-
Die Erfindung bezieht sich auf ein
Datenverarbeitungssystem zur Verarbeitung von Patientendaten nach
dem Oberbegriff des Patentanspruchs 1.
-
In jüngerer Zeit nehmen Bestrebungen
im Gesundheitswesen zu, die Behandlung von Patienten durch eine
optimierte Verarbeitung der Gesundheitsdaten, d.h. der den Gesundheitszustand
des jeweiligen Patienten beschreibenden Daten, kosteneffizient zu
verbessern. Hierzu erweist sich ein vernetztes Datenverarbeitungssystem
als vorteilhaft, durch das verschiedene Behandler, wie Ärzte, sowie
Apotheker und Kostenträger,
wie Krankenkassen, effizienteren Zugriff auf benötigte Gesundheitsdaten erhalten
können.
Solche Systeme sind derzeit unter dem Stichwort „elektronische Patientenakte" im Gespräch.
-
Gesundheitsdaten sind allerdings
hochsensibel und daher einem sehr strengen Datenschutz zu unterstellen,
um zu vermeiden, dass nicht autorisierte Behandler oder andere Personen
Zugriff auf gespeicherte Gesundheitsdaten erhalten können.
-
In der Offenlegungsschrift
DE 199 25 910 A1 wird
ein Verfahren zum Be- oder Verarbeiten von Daten beschrieben, die
in wenigstens einer Datenbank in zumindest teilweise verschlüsselter
Form gespeichert werden, wobei die Daten von einem mit der Datenbank über eine
Kommunikationsverbindung kommunizierenden Anwender ausgelesen und
gegebenenfalls neue Daten gespeichert werden können. Dabei werden die Daten
unter Verwendung eines in einer zentralen weiteren Datenbank gespeicherten, ausschließlich an
den autorisierten Anwender übermittelbaren
Schlüssels
entschlüsselt
und/oder verschlüsselt.
Als eine mögliche
Anwendung wird die elektronische Patientenakte angesprochen, wobei dann
ein behandelnder Arzt als Anwender fungiert, dessen Systemteil über alle
erforderlichen Autorisierungsdaten verfügt, um von der zentralen weiteren Datenbank
nach unverschlüsselten
personenspezifischen Identitätsdaten
eines Patienten zu suchen und diese abzurufen. Mit den Identitätsdaten
werden verschlüsselte
Zuordnungsdaten zum Arzt übertragen, der
mit diesen nach Entschlüsselung
Daten aus der anderen Datenbank abrufen kann, insbesondere beschreibende
Daten über
den Patienten. Optional kann zusätzlich
eine direkte Zugriffsmöglichkeit
eines Patienten auf seine privaten Daten vorgesehen sein, um diese
zu lesen oder zu ändern.
-
Der Erfindung liegt als technisches
Problem die Bereitstellung eines neuartigen Datenverarbeitungssystems
zur Verarbeitung von Patientendaten zugrunde, bei dem die Gesundheitsdaten
in der zentralen Datenbank mit hohem Schutz vor nicht autorisiertem
Zugriff abgespeichert sind, insbesondere auch vor nicht vom Patienten
erlaubten Zugriffen.
-
Die Erfindung löst dieses Problem durch die Bereitstellung
eines Datenverarbeitungssystems mit den Merkmalen des Anspruchs
1 oder 6. Bei diesem System sind die Gesundheitsdaten in der jeweiligen zentralen
Datenbank ohne Zuordnung zu Personendaten gespeichert, so dass es
Unbefugten selbst bei Auslesen der Gesundheitsdaten aus der Datenbank nicht
möglich
ist, diese bestimmten Personen zuzuordnen.
-
Das berechtigte Abrufen von Gesundheitsdaten
eines jeweiligen Patienten erfordert die Eingabe eines ihm zugeordneten
Datensatzidentifikationscodes. Durch diesen Code können zwar
gezielt Daten eines zugehörigen
Gesundheitsdatensatzes aus der zentralen Datenbank ausgelesen werden,
jedoch ist dieser Code von Personendaten entkoppelt, d.h. eine Zuordnung
der ausgelesenen Daten zu einer bestimmten Person ist anhand dieses
Codes allein nicht möglich.
Auf diese Weise lässt
sich erreichen, dass die Zuordnung von ausgelesenen Gesundheitsdaten zu
einer bestimmten Person nicht ohne Mitwirkung bzw. Zustimmung der
betreffenden Person möglich ist.
Dazu können
den Patienten entsprechende Autorisierungsmittel zur Verfügung gestellt
werden, mit denen sie z.B. einen Behandler in die Lage versetzen können, die
gewünschten
Gesundheitsdaten unter Zuhilfenahme des zugehörigen Datensatzidentifikationscodes
aus der zentralen Datenbank auszulesen. Erfindungsgemäß wird somit
eine effiziente, zentralisierte Gesundheitsdatenhaltung realisiert,
die andererseits einen sehr hohen Schutz davor bietet, dass Unberechtigte
Zugang zu personenbezogenen Gesundheitsdaten erhalten.
-
Dazu trägt speziell nach Anspruch 1
weiter bei, dass der zum Abrufen von Daten eines jeweiligen Gesundheitsdatensatzes
erforderliche Datensatzidentifikationscode einen auf einer elektronischen Patientenkarte
gespeicherten Patientenkartencode und einen vom Patienten einzugebenden
Patientenidentifikationscode und/oder einen Behandleridentifikationscode
beinhaltet, der den abfragenden Behandler identifiziert. Ein Datenabruf
erfordert daher sowohl die Bereitstellung der elektronischen Patientenkarte
durch den Patienten als auch dessen Eingabe seines Patientenidentifikationscodes
und/oder des Behandleridentifikationscodes. Im Fall der zusätzlich notwendigen
Eingabe des Patientenidentifikationscodes ist der Datenabruf von
einer doppelt gesicherten Mitwirkung des Patienten abhängig. Im Fall,
dass zusätzlich
zum Patientenkartencode mindestens auch die Eingabe des Behandleridentifikationscodes
notwendig ist, kann das System überwachen,
welcher Behandler wann Gesundheitsdaten abgefragt hat.
-
In einer Ausgestaltung der Erfindung
ist gemäß Anspruch
2 eine verschlüsselte Übertragung des
Datensatzidentifikationscodes und/oder eine verschlüsselte Übertragung
der aus der zentralen Datenbank abgerufenen Gesundheitsdaten vorgesehen.
Dies wirkt einem unberechtigten Abfangen des Datensatzidentifikationscodes
bzw. der aus der Datenbank abgerufenen Gesundheitsdaten entgegen und
erhöht
somit weiter die Datensicherheit. In weiterer Ausgestaltung dieser
Maßnahme
sind gemäß Anspruch
3 Mittel zur Verschlüsselung
der zu übertragenden
Datensatzidentifikationscodes in der elektronischen Patientenkarte
angeordnet. Dies beugt einem missbräuchlichen Auslesen oder Abfangen
eines auf der elektronischen Patientenkarte gespeicherten Patientenkartencodes
vor.
-
Ein nach Anspruch 4 weitergebildetes
System gibt dem Endgerätenutzer,
insbesondere einem behandelnden Arzt, eine zeitbegrenzte Berechtigung zum
Einlesen neuer bzw. aktualisierter Gesundheitsdaten eines Patienten
in die zentrale Datenbank im Anschluss an eine anhand des Datensatzidentifikationscodes,
als berechtigt erkannte Anmelde- bzw. Ausleseprozedur, an dessen
Durchführung
der Patient mitzuwirken hat. Diese Maßnahme ermöglicht es dem Behandler, neue
Gesundheitsdaten innerhalb eines gewissen Zeitraums von z.B. wenigen
Wochen oder Monaten nach einem Behandlungstermin in die zentrale
Datenbank einzugeben, ohne dass hierfür der Patient anwesend sein
muss.
-
In einer Weiterbildung der Erfindung
nach Anspruch 5 enthält
die elektronische Patientenkarte ein personenidentifizierendes Bild.
Der Behandler kann dieses Bild mit der ihm die Karte überreichenden
Person auf Identität
abgleichen, was einem Missbrauch der Karte entgegenwirkt.
-
Beim erfindungsgemäßen System
nach Anspruch 6 ist in der Zentralstelle ein Pseudonymisierungsrechner
physikalisch getrennt von der zentralen Datenbank vorgesehen, d.h.
ohne eine online-Verbindung mit dieser. Der Pseudonymisierungsrechner beinhaltet
eine Zuordnungstabelle von personenidentifizierenden Daten einerseits
und Datensatzidentifikationscodes andererseits. Zum Einlesen von
Gesundheitsdaten eines jeweiligen Patienten in die zentrale Datenbank
werden diese zusammen mit personenidentifizierenden Daten vorzugsweise
verschlüsselt
zum Pseudonymisierungsrechner der Zentralstelle übertragen, der daraufhin die
personenidentifizierenden Daten gegen den zugehörigen Datensatzidentifikationscode
austauscht und letzteren zusammen mit den empfangenen Gesundheitsdaten
zur offline-Übertragung
an die zentrale Datenbank bereitstellt, wo sie anschließend abrufbar
abgespeichert werden. Die physikalische Trennung von Pseudonymisierungsrechner
und Datenbank macht es Unhefugten selbst bei einem erfolgreichen
Einbruch in den Datenbestand der Datenbank unmöglich, an die Gesundheitsdaten
zugeordnet zu bestimmten Personen zu gelangen.
-
In einer Ausgestaltung der Erfindung
ist nach Anspruch 7 in der Zentralstelle ein vom Pseudonymisierungsrechner
physikalisch getrennter Eingangsrechner vorgesehen. An diesen sind
die nutzerseitigen Endgeräte über eine
online-Verbindung angeschlossen. Der Eingangsrechner empfängt von
den Endgeräten
vorzugsweise verschlüsselt
und z.B. mit der oben erwähnten,
zeitbegrenzten Einleseberechtigung geschickte, in der zentralen
Datenbank abzuspeichernde Gesundheitsdaten zusammen mit den zugehörigen personenidentifizierenden
Daten und stellt diese ausgangsseitig zur offline-Weiterleitung an
den Pseudonymisierungsrechner bereit. Auf diese Wiese ist der Pseudonymisierungsrechner
von den nutzerseitigen Endgeräten
und dem zugehörigen
Datennetz vollständig
physikalisch getrennt, so dass die in ihm abgelegte Zuordnungstabelle
von personenidentifizierenden Daten zu Datensatzidentifizierungscodes
vor missbräuchlichen
online-Zugriffen absolut gesichert ist.
-
In einer Weiterbildung der Erfindung
nach Anspruch 8 ist auf der Patientendatenkarte ein gewisser Teil
der zu dem Patienten gehörigen,
in der zentralen Datenbank gespeicherten Gesundheitsdaten direkt
auf der Patientendatenkarte abrufbar gespeichert. Dies gibt einem
Behandler z.B. in einem Notfall die Möglichkeit, anhand der Karte
Kenntnis dieser Daten über
den Gesundheitszustand des Patienten zu erhalten, wenn die zum Abfragen
der zentralen Datenbank erforderliche Mitwirkung des Patienten in diesem
Moment nicht möglich
ist.
-
In einer weiteren, für Notfälle relevanten
Weiterbildung der Erfindung ist nach Anspruch 9 eine Notfallrufzentrale
vorhanden, die der Zentralstelle gegenüber anfrage- und ausleseberechtigt
ist, um Notfall-Auslesevorgänge
durchzuführen,
mit denen Gesundheitsdaten eines Patienten einem Behandler in Notfallsituationen
zur Verfügung
gestellt werden können,
wenn der Patient nicht in der Lage ist, mit dem Behandler einen
normalen Datenabruf vorzunehmen. Der Behandler hat sich für diese
Fälle unter Verwendung
entsprechender Authentikationsmittel gegenüber der Notfallrufzentrale
als berechtigt auszuweisen.
-
Vorteilhafte Ausführungsformen der Erfindung
sind in den Zeichnungen dargestellt und werden nachfolgend beschrieben.
Hierbei zeigen:
-
1 ein
schematisches Blockschaltbild der zum Auslesen von Daten relevanten
Komponenten eines Datenverarbeitungssystems zur Verarbeitung von
Patientendaten,
-
2 ein
schematisches Blockdiagramm für eine
Variante des Systems von 1 und
-
3 ein
schematisches Blockdiagramm der zum Einlesen von Daten relevanten
Komponenten der Systeme von 1 bzw. 2.
-
1 veranschaulicht
schematisch die zum Auslesen von Daten relevanten Komponenten eines Datenverarbeitungssystems
zur Verarbeitung von Patientendaten und einen mit diesen durchgeführten Datenauslesevorgang.
Das System beinhaltet ein Datennetz, das mehrere Endgeräte, typischerweise eine
Vielzahl von Endgeräten,
von denen in 1 nur stellvertretend
ein Endgerät 1 in
Form eines PC dargestellt ist, umfasst, die über eine jeweilige online-Verbindung 2 mit
einer Zentralstelle 3 verbunden sind. Letztere enthält einen
Ausgangsrechner 4, der als zentrale Gesundheitsdatenbank
fungiert. Je nach Bedarf können
auch mehrere solcher Zentralstellen mit jeweiliger Datenbank in
einer Realisierung als verteiltes System vorgesehen sein.
-
In der Gesundheitsdatenbank 4 sind
die Gesundheitsdaten eines jeweiligen Patienten als Gesundheitsdatensatz
zusammen mit je einem eigens zugeordneten Datensatzidentifizierungscode
abrufbar abgelegt. Die Gesundheitsdaten können elektronische Rezepte,
Arztbriefe, Labordaten, Röntgenbilder
usw. sein. Der Datensatzidentifizierungscode ist so gewählt, dass
aus dessen Kenntnis allein keinerlei Rückschluss auf die Identität des Patienten
möglich ist.
Damit ist sichergestellt, dass es einem Unbefugten nicht möglich ist,
durch unberechtigtes Auslesen von Daten aus der zentralen Datenbank 4 Kenntnis darüber zu erhalten,
für welche
Personen Gesundheitsdaten gespeichert sind und welche Gesundheitsdaten
zu einer jeweiligen Person gehören.
-
Diese Zuordnung ausgelesener Gesundheitsdaten
zu bestimmten Personen erfordert vielmehr, abgesehen von weiter
unten beschriebenen Notfällen,
eine aktive Mitwirkung des Patienten, wozu das System entsprechend
ausgelegt ist. In der in 1 gezeigten
Grundvariante umfasst das System zu diesem Zweck für jeden
Patienten eine elektronische Patientenkarte 5, auf der
ein Patientenkartencode 5a gespeichert ist, der auch als
Kartennummer bezeichnet werden kann. Zur weiteren Sicherheitserhöhung erhält jeder
Patient als Systemnutzer eine nur ihm bekannte Personenidentifikationsnummer (PIN),
mit der sichergestellt wird, dass die abgerufenen Gesundheitsdaten
sich auf ihn beziehen, d.h. ein unbefugter Besitz der Patientenkarte 5 ermöglicht noch
keinen Gesundheitsdatenabruf. Statt einer solchen PIN kann alternativ
auch ein anderer personenspezifischer Code verwendet werden, z.B.
ein solcher, der ein spezifisches biometrisches Personenmerkmal
beinhaltet.
-
Die Kartennummer 5a und
die PIN bilden zusammen den Datensatzidentifikationscode DIC, mit dem
zusammen der betreffende Gesundheitsdatensatz in der zentralen Datenbank 4 abgespeichert
ist und der für
einen erfolgreichen Datenabruf zu übermitteln ist. Dazu wird die
Patientenkarte 5 an einem Endgerät 1, das z.B. bei
einem behandelnden Arzt steht, zum Auslesen der Kartennummer 5a eingesteckt,
und zusätzlich
gibt der Patient seine PIN ein. Das Endgerät 1 übermittelt
die Kartennummer 5a und die PIN als den Datensatzidentifizierungscode
DIC an die Zentralstelle 3, um die Rückübermittlung des zugehörigen Gesundheitsdatensatzes
anzufordern.
-
Die Zentralstelle 3 überprüft mit ihrem
Datenbank-Ausgangsrechner 4 den übermittelten DIC auf Übereinstimmung
mit einem der abgespeicherten DICs und sendet bei festgestellter Übereinstimmung den
zugehörigen
Gesundheitsdatensatz GD(DIC) zum anfragenden Endgerät 1.
Selbst wenn diese Datenübertragung
von einem Unbefugten abgehört
würde,
wäre dieser
nicht in der Lage, die abgehörten
Daten GD(DIC) einer bestimmten Person zuzuordnen, da sie keinerlei
personenidentifizierende Information enthalten. Auch ein unbefugtes
Abfangen der Übertragung
des DICs würde
es einem Unbefugten höchstens
ermöglichen,
den zugehörigen
Gesundheitsdatensatz GD(DIC) aus der zentralen Datenbank 4 auszulesen,
er hätte
aber keine Information darüber,
zu welcher Person selbiger gehört.
-
Einem Unberechtigten ist es auch
durch Eindringen in das Endgerätesystem 1 des
Behandlers nicht möglich,
die Anonymität
der Daten zu durchbrechen, da dem Behandler und dessen Endgerät 1 weder
die Patientenkartennummer 5a, noch die PIN des Patienten
bekannt ist. Die Patientenkarte 5 kann z.B. von einem sogenannten
Trustcenter, d.h. einer zur Ausgabe von sicherheitskritischen Zertifikaten
zugelassenen Einrichtung, von einer Krankenkasse oder einer öffentlichen
Einrichtung auf Antrag ausgegeben werden. Insgesamt realisiert dies
folglich ein Datenverarbeitungssystem zur Verarbeitung von Patientendaten,
das ausreichend gegen unbefugte Datenzugriffe gesichert ist. Je
nach Bedarf sind weitere sicherheitserhöhende Maßnahmen realisierbar, von denen
einige nachfolgend beschrieben werden.
-
So kann als eine sicherheitserhöhende Option
vorgesehen sein, dass die Patientenkarte 5 ein personenidentifizierendes
Bild 5b des Patienten enthält, so dass der Behandler daran überprüfen kann, ob
die ihm vom Patienten überreichte
Karte 5 auch tatsächlich
seine eigene ist, was Missbrauch und Verwechslungen vorbeugt.
-
2 veranschaulicht
eine Variante des Systems von 1,
die zusätzlich
für den
jeweiligen Behandler, wie einen Arzt, eine elektronische Behandlerkarte 6 mit
darauf gespeichertem Behandleridentifikationscode 6a umfasst.
Ein Anfragevorgang nach Gesundheitsdaten eines Patienten aus der
zentralen Datenbank 4 läuft
wie im Fall von 1 ab,
mit der Ausnahme, dass zusätzlich
der Behandler seine Karte 6 in das Endgerät 1 einzustecken
hat, das daraufhin den Behandleridentifikationscode 6a liest
und zusätzlich
zum Patientenidentifikationscode 5a und der PIN des Patienten
an die Zentralstelle 3 übermittelt.
Durch diese Maßnahme
kann über
das System festgestellt werden, welcher Arzt oder andere Systemnutzer,
wie ein Apotheker oder eine Kostenabrechnungsstelle, zu welchem
Zeitpunkt auf welche Daten zugegriffen hat.
-
In beiden gezeigten Systembeispielen
erfolgt die Datenübertragung
auf der online-Verbindung 2 vorzugsweise, wenngleich nicht zwingend,
in verschlüsselter
Form, und zwar bevorzugt sowohl die Übertragung der anfragenden
Codedaten 5a, PIN, 6a als auch der übermittelten
Gesundheitsdaten GD. Hierfür
können
herkömmliche
kryptografische Methoden genutzt werden. Eine für den vorliegenden Anwendungsfall
besonders günstige
Realisierung mit sehr hoher Datensicherheit sieht die Implementierung
eines Verschlüsselungsalgorithmus 5c in
der elektronischen Patientenkarte 5 vor, wie in 2 als Option gestrichelt
angedeutet. Die Patientenkarte 5 ist in diesem Fall so
ausgelegt, dass sie nach Einstecken in das Endgerät 1 die
vom Patienten eingegebene PIN und, wenn vorhanden, den Behandleridentifikationscode 6a einliest.
Der Verschlüsselungsalgorithmus 5c generiert
z.B. unter Verwendung eines Zufallsco des eine verschlüsselte Information,
welche die Patientenkartennummer 5a, die PIN und den Behandleridentifikationscode 6a,
z.B. eine Behandlerkartennummer, in verschlüsselter Form enthält und die
anschließend
vom Endgerät 1 zur
Zentralstelle 3 übermittelt
wird. Dort ist ein zugehöriger
Entschlüsselungsalgorithmus
implementiert, der die übermittelte
Information entschlüsselt.
Diese Systemlösung
hat den Vorteil, dass die Patientenkartennummer 5a nicht
auslesbar und damit vollständig
geheim bleibend in die Patientenkarte 5 implementiert werden kann.
Somit kann die Patientenkartennummer 5a vom Kartenleser
des Endgerätes 1 nicht
ausgelesen werden, und ein missbräuchliches Abfangen der Patientenkartennummer 5a am
Endgerät 1 ist
unmöglich.
-
Zur Rückübermittlung der angeforderten
Gesundheitsdaten kann z.B. eine Verschlüsselung nach einem herkömmlichen
Verfahren benutzt werden, bei dem nur nutzerseitig ein geheimer
Codeschlüssel ("private key") vorhanden ist,
während
zentralenseitig ein nicht-geheimer Codeschlüssel ("public key") genügt. Dazu sind in der Zentralstelle 3 die
nicht-geheimen Codeschlüssel aller
berechtigten Endgeräte 1 bzw.
Behandler und der Datensatzidentifikationscodes als Pseudonym vorhanden.
Die Zentralstelle 3 übermittelt
die Gesundheitsdaten GD verschlüsselt mit
dem nicht-geheimen Codeschlüssel
an das anfordernde Endgerät 1,
das sie mit dem geheimen Codeschlüssel entschlüsselt, der
sich z.B. aus den geheimen Codeschlüsseln der Patientenkarte 5 und
ggf. der Behandlerkarte 6 zusammensetzt, wonach die Gesundheitsdaten
GD angezeigt bzw. ausgewertet werden können.
-
3 veranschaulicht
die zum Einlesen neuer Gesundheitsdaten von einem jeweiligen Endgerät 1 in
die zentrale Datenbank 4 der Zentralstelle 3 relevanten
Komponenten einer bezüglich
hoher Datensicherheit besonders vorteilhaften Systemlösung. Bei
dieser Ausführungsform
sind in der Zentralstelle 3 zusätzlich zum die Datenbank bildenden
Ausgangsrechner 4 ein Pseudonymisierungsrechner 7, auch
Anonymisierungs rechner genannt, und ein Eingangsrechner 8 vorgesehen.
Charakteristischerweise ist der Pseudonymisierungsrechner 7 physikalisch sowohl
vom Eingangsrechner 8 als auch vom Ausgangsrechner 4 getrennt.
Datenübertragungen
erfolgen vom Eingangsrechner 8 zum Pseudonymisierungsrechner 7 bzw.
vom Pseudonymisierungsrechner 7 zum Ausgangsrechner 4 allein über eine
jeweilige offline-Verbindung 10, 11, die z.B.
durch einen herkömmlichen
Batch- oder Stapelbetrieb realisiert sind. Dies verhindert jeglichen
unbefugten online-Zugriff auf den Pseudonymisierungsrechner 7.
-
Der Pseudonymisierungsrechner 7 hat
die hauptsächliche
Aufgabe, von eingehenden Daten, die personenidentifizierende Daten
und zugehörige Gesundheitsdaten
umfassen, die personenidentifizierenden Daten gegen den jeweils
zugehörigen
Datensatzidentifizierungscode des Patienten auszutauschen und somit
ausgangsseitig vollständig
pseudonymisierte bzw. anonymisierte Gesundheitsdaten zur Abspeicherung
in der zentralen Datenbank 4 bereitzustellen. Die Gesundheitsdaten
können
dann anhand des mit ihnen abgespeicherten Datensatzidentifizierungscodes
nach einem berechtigten Datenabruf wieder einem jeweiligen Patienten
zugeordnet werden.
-
In einer Grundvariante des Systems
werden neue Gesundheitsdaten eines Patienten zusammen mit ihn identifizierenden
Personendaten vom Behandler über
dessen Endgerät 1 und
eine online-Verbindung 9 zur Zentralstelle 3 übermittelt.
Bei der online-Verbindung 9 kann es sich um die auch zur
Datenabfrage genutzte online-Verbindung 2 oder eine andere
Datenübertragungsverbindung
des Netzwerks handeln. Der Eingangsrechner 8 empfängt die
eingehenden Personen- und Gesundheitsdaten und stellt sie ausgangsseitig
zur offline-Übertragung
an den Pseudonymisierungsrechner 7 bereit.
-
Der Pseudonymisierungsrechner 7 empfängt die
offline übertragenen
Patientendaten und ersetzt, wie oben schon kurz erläutert, die
darin enthaltenen Personendaten durch den zu dem betreffenden Patienten
gehörigen
Datensatzidentifikationscode, um ausgangsseitig die Gesundheitsdaten
zusammen mit dem zugehörigen
Datensatzidentifikationscode bereitzustellen. Hierzu ist im Pseudonymisierungsrechner 7 eine
Zuordnungs- bzw. Übersetzungstabelle implementiert,
die den Personendaten eines Patienten, wie Name und Geburtsdatum,
den entsprechenden Datensatzidentifizierungscode dieses Patienten zuordnet.
Die Daten werden in einem Format übermittelt, das dieses automatische
Löschen
code zulässt.
Anschließend
werden die Gesundheitsdaten mit dem Code über die zugehörige offline-Verbindung 11 der
zentralen Datenbank 4 der Personendaten und Ersetzen durch
den Datensatzidentifizierungszugeführt und dort eingelesen, d.h.
gespeichert. Aus der zentralen Datenbank 4 können dann
die Gesundheitsdaten für
einen bestimmten Patienten durch einen berechtigten Abfragevorgang,
der eine Übermittlung
des richtigen Datensatzidentifikationscodes DIC beinhaltet, nach
Bedarf abgerufen werden, wie oben anhand der 1 und 2 beschrieben.
-
Um einem Behandler nur für eine gewisse Zeit
nach einer Untersuchung des Patienten ein Einlesen von Gesundheitsdaten
in die zentrale Datenbank 4 zu ermöglichen, ist das System in
einer sicherheitserhöhten
Variante so ausgelegt, dass die Zentralstelle 3 zusammen
mit den Gesundheitsdaten GD, die der Behandler für eine Sitzung mit dem Patienten
während
dessen Anwesenheit abruft, einen zeitlich begrenzten Einleseberechtigungscode übermittelt,
vorzugsweise in verschlüsselter
Form. Er bleibt für
eine vorgebbare Zeitdauer von z.B. wenigen Wochen oder Monaten gültig und
gibt in diesem Zeitraum dem Behandler die Möglichkeit, Gesundheitsdaten
in der oben zu 3 geschilderten
Weise an die zentrale Datenbank 4 zu übertragen und dort abzuspeichern.
-
Vom oben geschilderten Einleseverfahren gemäß der Grundvariante
von 3 unterscheidet sich
diese Vorgehensweise dadurch, dass zusammen mit den Gesundheitsdaten
statt den zugehörigen
Personendaten der zum betreffenden Patient gehörige Einleseberechtigungscode
vom Endgerät 1 an den
Eingangsrechner 8 und von dort offline zum Pseudonomisierungsrechner 7 übermittelt
wird. Dieser ersetzt dann unter Anwendung einer in ihm entsprechend
abgelegten Zuordnungstabelle den zeitlich begrenzten Einleseberechtigungscode
durch den Datensatzidentifizierungscode des Patienten. Will der
Behandler nach Ablauf des Berechtigungszeitraums noch Gesundheitsdaten
in die zentrale Datenbank einlesen, muss dies in anderer gesicherter Form
erfolgen, z.B. durch Übermittlung
per Post und anschließende
elektronische Aufbereitung in der Zentralstelle 3 oder
durch eine andere, hochsichere elektronische Datenübermittlung.
-
Alternativ oder zusätzlich zu
dieser zeitlichen Begrenzung des Einlesens neuer Gesundheitsdaten in
die zentrale Datenbank 4 kann die zu 3 geschilderte Vorgehensweise zur Erzielung
einer erhöhten
Datensicherheit dahingehend modifiziert werden, dass die Datenübertragung
auf der online-Verbindung 9 verschlüsselt erfolgt, z.B. mit einem
der zu den 1 und 2 oben erläuterten
Verschlüsselungsalgorithmen.
-
Die bisher beschriebene Systemauslegung ermöglicht einen
Datenabruf aus der zentralen Datenbank 4 nur während der
Anwesenheit des Patienten beim Behandler. Um in einem Notfall jederzeit
die erforderlichen Gesundheitsdaten für einen Patienten einem Behandler
zur Verfügung
stellen zu können, umfasst
das System eine oder mehrere geeignete Notfallmaßnahmen. Eine erste Notfallmaßnahme sieht
vor, einen für
Notfallbehandlungen üblicherweise
benötigten
Teil der Gesundheitsdaten eines Patienten direkt auf der elektronischen
Patientenkarte 5 abrufbar gespeichert zu halten, wie z.B.
Daten über die
Blutgruppe, Allergien, aktuell verwendete Medikamente, notfallrelevante
Diagnosen etc. Ein Behandler kann dann allein mittels der Patientenkarte im
Notfall auf die betreffenden Daten zugreifen.
-
Als weitere Notfallmaßnahme kann
das System eine Notfallrufzentrale nach Art eines sogenannten Call-Centers
beinhalten, welche die Berechtigung zum Zugriff auf wenigstens einen
notfallrelevanten Teil der in der zentralen Datenbank 4 abgespeicherten
Gesundheitsdaten jedes Patienten hat. Im Notfall hat sich der Behandler
dieser Notfallrufzentrale gegenüber
zu authentifizieren, wozu jeder Behandler einen entsprechenden Authentikationscode
erhält. Nach
Authentifizierung erhält
er dann von ihr die benötigten
Notfall-Gesundheitsdaten. Zur ausreichenden Datensicherheit muss
zweckmäßigerweise
der Patient vorab dieser Notfall-Zugangsberechtigung auf seine Gesundheitsdaten
zustimmen und über
jeden solchen Zugriff im Nachhinein informiert werden.
-
Es versteht sich, dass für den Fall
eines Verlustes der Patientenkarte oder der Arztkarte eine Kartensperrung
vom Karteneigentümer
in einer herkömmlichen,
z.B. zur Sperrung von Kreditkarten bekannten Weise initiiert werden
kann, beispielsweise durch Anruf in der Zentralstelle, die dann
die Berechtigung des Anrufers geeignet überprüft, z.B. durch Rückruf und/oder
Abfragen von nur dem Karteneigentümer bekannten Sicherheitsinformationen.
-
Die oben erläuterten Ausführungsformen machen
deutlich, dass die Erfindung ein Datenverarbeitungssystem zur Verarbeitung
von Patientendaten mit sogenannten elektronischen Patientenakten
in einer praktikablen Form bereitstellt, das darüber hinaus einen hohen, für solche
Daten geforderten Datensicherheitsstandard erfüllt.