WerteRadar

Gesundheitsdaten souverän spenden

Die administrative Aufnahme in die stationäre Versorgung findet in Krankenhäusern häufig unter hohem Zeitdruck statt. Patient*innen werden die Konsequenzen der Datenweitergabe meist nicht ausreichend erläutert und haben weder die Zeit noch den notwendigen psychischen Freiraum, ihre Entscheidung informiert und reflektiert zu treffen. Der Datenerfassungsprozess selbst findet zumeist mit Personen statt, die keine oder nur wenig weiterführende Informationen zur Datensicherheit zu Verfügung stellen können. Dies betrifft nicht nur den persönlichen Austausch zwischen Ärzt*innen und Patient*innen, sondern auch technische Dienste.

Im interdisziplinären Zusammenspiel aus Informatik, Medienpädagogik und Medizin soll der
Prozess der Datenspende im Kontext der Patient*innenanmeldung neu konzeptualisiert werden. Mittels einer rezeptiven Datenkompetenz, die vorwiegend technisch gefördert werden kann, sollen Patient*innen in die Lage versetzt werden, über die Abgabe ihrer Daten souverän zu entscheiden.

Angesprochen ist damit nicht nur die Fähigkeit zur individuellen Entscheidungsfindung über die
Abgabe eigener Daten, sondern auch die soziale Situation der Datenspende. Zur Befähigung
soll ein Web-basiertes interaktives Empfehlungssystem konzipiert und praktisch umgesetzt
werden, das den herkömmlichen Prozess der Datenweitergabe in drei Schritte zerlegt, nämlich die der Reflexion,  Exploration und Interpretation. Patient*innen können mit Hilfe dieses dreistufigen Interaktionsdesigns ihre Datenspende nach ihren Wertemaßstäben selbstbestimmt durchführen, eine informierte Entscheidung treffen und über ihre Werte bezüglich der Datenweitergabe reflektieren.

Ziel des Verbundprojekts

Das übergeordnete Ziel des interdisziplinären Vorhabens ist es, die Weitergabe personenbezogener Gesundheitsdaten durch Erfassung und Auswertung bestehender Werte der Interessengruppen, basierend auf der Methode des Value-Sensitive Design, neu zu gestalten. Damit sollen Patient*innen unter Berücksichtigung von Aspekten der Datensicherheit und des Datenschutzes eine selbstbestimmte und reflektierte Weitergabe ihrer Daten ermöglicht werden.

Die Verbundpartner*innen eint ein Forschungs- und Erkenntnisinteresse an der theoretischen Frage nach der Ausgestaltung der ethisch-reflexiven und technischen Souveränität bei der Weitergabe von personenbezogenen Gesundheitsdaten. Der strukturelle Aufbau des Verbunds ist in vier Teilvorhaben unterteilt.

Teilvorhaben 1

— Medienpädagogische Begleitung

Der WerteRadar lebt vom Einbezug gegenwärtiger Diskussionen und Konzepte rund um digitale Souveränität, welche medienpädagogisch aufbereitet werden. Die Kooperation dient auch dazu, grundlegende Annahmen in Bezug auf die Zielgruppe und Menschenbilder aus pädagogischer Sicht offenzulegen und im Verbund zu reflektieren. In diesem Teilvorhaben wird vor allem ein Verständnis für die ethisch-reflexive Souveränität beim Prozess der Datenweitergabe aufgebaut und die dafür notwendigen Maßnahmen realisiert.

Teilvorhaben 2

— WerteRadar: Reflektierte Datenweitergabe

Die theoretische Basis für dieses Teilvorhabens bieten erste Prinzipien für das Design eines interaktiven Systems, welches es Patient*innen erlaubt, über die Weitergabe ihrer persönlichen Daten zu reflektieren. Innerhalb des Reflexionsprozesses werden die unterschiedlichen Verrauschungsstufen von Differential Privacy berücksichtigt, um dem Schutzinteresse des Einzelnen gerecht zu werden. Dieser Reflexionsprozess kann aber aufgrund der schweren Verständlichkeit der Technologie verhindert werden. Daher werden entsprechende Vermittlungsansätze entwickelt, indem unterschiedliche Realisierungen für den WerteRadar konzipiert, implementiert und evaluiert werden. Das Ergebnis ist ein empirisch validierter Demonstrator des WerteRadar.

Teilvorhaben 3

— Usable Security: Datensicherheit und Datenschutz

Maßnahmen zur Datensicherheit und zum Datenschutz sollen identifiziert werden, die einerseits für Patient*innen verständlich sind und andererseits in der täglichen Handhabung vom medizinischen Personal als geeignet erscheinen. In Abstimmung mit Interessengruppen wird untersucht, wie Daten von Patient*innen mit Methoden nach Differential Privacy anonymisiert und trotzdem weiterhin sinnvoll zu Forschungszwecken eingesetzt werden können. Die Untersuchungsergebnisse bilden die Basis für ein Machine Learning-basiertes Differential Privacy Konzept. Dieses Konzept muss für Patient*innen und Forscher*innen visuell gestaltet werden, sodass die eingesetzten Mechanismen und der gewählte Kompromiss zwischen Wahrung der Privatsphäre und Maximierung der Genauigkeit nachvollziehbar sind. Die Umsetzung wird hinsichtlich ihrer Tauglichkeit für den Einsatz in der medizinischen Forschung evaluiert.

Teilvorhaben 4

— Praktische Anwendung des WerteRadars

An den Kliniken der Charité – Universitätsmedizin Berlin werden mehrere Interessengruppen sowohl aktiv als auch partizipativ am Verbundprojekt teilnehmen. Dieses Teilvorhaben stellt hierbei eine Einbettung der Projektabläufe in die vorhandene Strukturen an der Charité dar. Dazu zählt sowohl die Begleitung der partizipierenden Patent*innen, forschenden Ärzt*innen sowie externen Partner*innen als auch die Unterstützung der assoziierten Verbundpartner*innen. Zusätzlich wird der Brückenschlag für den Technologietransfer moderiert. Der Aufbau klarer Projektorganisationsstrukturen und Einsicht in die Zuständigkeiten innerhalb der Charité sollen es dem Verbund ermöglichen, die Entwicklung über die gesamte Projektlaufzeit zu begleiten.

Publikationen

Personalized PATE: Differential Privacy for Machine Learning with Individual Privacy Guarantees

Christoper Mühl and Franziska Boenisch. 2022.
Personalized PATE: Differential Privacy for Machine Learning with Individual Privacy Guarantees.
arXiv preprint arXiv:2202.10517.

Applying machine learning (ML) to sensitive domains requires privacy protection of the underlying training data through formal privacy frameworks, such as differential privacy (DP). Yet, usually, the privacy of the training data comes at the costs of the resulting ML models‘ utility. One reason for this is that DP uses one homogeneous privacy budget epsilon for all training data points, which has to align with the strictest privacy requirement encountered among all data holders. In practice, different data holders might have different privacy requirements and data points of data holders with lower requirements could potentially contribute more information to the training process of the ML models. To account for this possibility, we propose three novel methods that extend the DP framework Private Aggregation of Teacher Ensembles (PATE) to support training an ML model with different personalized privacy guarantees within the training data. We formally describe the methods, provide theoretical analyses of their privacy bounds, and experimentally evaluate their effect on the final model’s utility at the example of the MNIST and Adult income datasets. Our experiments show that our personalized privacy methods yield higher accuracy models than the non-personalized baseline. Thereby, our methods can improve the privacy-utility trade-off in scenarios in which different data holders consent to contribute their sensitive data at different privacy levels

Privacy Needs Reflection: Conceptional Design Rationales for Privacy-Preserving Explanation User Interfaces

Peter Sörries, Claudia Müller-Birn, Katrin Glinka, Franziska Boenisch, Marian Margraf, Sabine Sayegh-Jodehl, and Matthias Rose. 2021.
Privacy needs Reflection: Conceptional Design Rationales for Privacy-Preserving Explanation User Interfaces.
In Proceedings of the Mensch und Computer 2021 Workshop on «7. Usable Security und Privacy Workshop».
doi.org/10.18420/muc2021-mci-ws14-389.

The application of machine learning (ML) in the medical domain has recently received a lot of attention. However, the constantly growing need for data in such ML-based approaches raises many privacy concerns, particularly when data originate from vulnerable groups, for example, people with a rare disease. In this context, a challenging but promising approach is the design of privacy-preserving computation technologies (e.g. differential privacy). However, design guidance on how to implement such approaches in practice has been lacking. In our research, we explore these challenges in the design process by involving stakeholders from medicine, security, ML, and human-computer interaction, as well as patients themselves. We emphasize the suitability of reflective design in this context by considering the concept of privacy by design. Based on a real-world use case situated in the healthcare domain, we explore the existing privacy needs of our main stakeholders, i.e. medical researchers or physicians and patients. Stakeholder needs are illustrated within two scenarios that help us to reflect on contradictory privacy needs. This reflection process informs conceptional design rationales and our proposal for privacy-preserving explanation user interfaces. We propose that the latter support both patients’ privacy preferences for a meaningful data donation and experts’ understanding of the privacy-preserving computation technology employed.

Situated Case Studies for a Human-Centered Design of Explanation User Interfaces

Claudia Müller-Birn, Katrin Glinka, Peter Sörries, Michael Tebbe, and Susanne Michl. 2021.
Situated Case Studies for a Human-Centered Design of Explanation User Interfaces.
In ACM CHI Workshop on Operationalizing Human-Centered Perspectives in Explainable AI.
arXiv:2103.15462.

Researchers and practitioners increasingly consider a human-centered perspective in the design of machine learning-based applications, especially in the context of Explainable Artificial Intelligence (XAI). However, clear methodological guidance in this context is still missing because each new situation seems to require a new setup, which also creates different methodological challenges. Existing case study collections in XAI inspired us; therefore, we propose a similar collection of case studies for human-centered XAI that can provide methodological guidance or inspiration for others. We want to showcase our idea in this workshop by describing three case studies from our research. These case studies are selected to highlight how apparently small differences require a different set of methods and considerations. With this workshop contribution, we would like to engage in a discussion on how such a collection of case studies can provide a methodological guidance and critical reflection.

Partner

Im Rahmen des Forschungsprogramms „Mensch-Technik-Interaktion“ des BMBF wird WerteRadar durch die Kooperation von Expert*innen mit den Forschungsschwerpunkten Human-Centered Design und Human-Machine Collaboration, Medienpädagogik sowie Datenschutz und -sicherheit realisiert. Assoziierte Verbundpartner*innen für medizinethische, gestalterische und rechtliche Perspektiven werden in beratender Funktion miteinbezogen.

Projektkoordination

David Leimstädtner

Fabrizio Kuruc

Rebecca Merdes

Verbundpartner*innen

Prof. Dr. Sandra Hofhues

Christoph Piske

Prof. Dr. Marian Margraf

Franziska Boenisch

Jörg Willomitzer

Christopher Mühl

Constantin Yves Plessen

Daniel Hetz

Anne Kretzschmann

Praxispartner

Felix Compes

Diana Krähling

Assoziierte Verbundpartner*innen

Prof. Iris Eisenberger

Förderer

Dieses Forschungsprojekt wird gefördert vom Bundesministerium für Bildung und Forschung.

Pressemitteilungen

30/11/2021

Mensch und Technik
in Interaktion
— Wie gelingt individuelle
digitale Souveränität?

27/04/2021

Der Wert von
Informationen
— Gesundheitsdaten
reflektiert spenden