WO2008061267A1 - Datenverarbeitungssystem zur verarbeitung von objektdaten - Google Patents

Datenverarbeitungssystem zur verarbeitung von objektdaten Download PDF

Info

Publication number
WO2008061267A1
WO2008061267A1 PCT/AT2007/000524 AT2007000524W WO2008061267A1 WO 2008061267 A1 WO2008061267 A1 WO 2008061267A1 AT 2007000524 W AT2007000524 W AT 2007000524W WO 2008061267 A1 WO2008061267 A1 WO 2008061267A1
Authority
WO
WIPO (PCT)
Prior art keywords
data
instances
standard
instance
key
Prior art date
Application number
PCT/AT2007/000524
Other languages
English (en)
French (fr)
Inventor
Bernhard Riedl
Thomas Neubauer
Oswald BÖHM
Original Assignee
Braincon Handels-Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Braincon Handels-Gmbh filed Critical Braincon Handels-Gmbh
Publication of WO2008061267A1 publication Critical patent/WO2008061267A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification

Definitions

  • the invention relates to a data processing system for processing object data of a plurality of standard instances, the object data comprising object identification data and associated payload data having an object data database in which the object data can be stored and retrieved via access devices.
  • a standard instance is understood to be a person, a system or the like, for which object data requiring protection exists.
  • This object data includes object identification data that identifies an object, e.g. via a person's social security number, and payload data that has been generated and stored for the particular object.
  • WO 2003/034294 A2 describes a system for processing patient data comprising a patient's personal identification data and associated health data, with a central office containing a database storing the health data, and with terminals communicating with the central office for retrieving health data from the central database or for importing health data into the central database.
  • the health data is stored in the central database without assignment to personal data, the health record of a patient being assigned a data record identification code and its entry necessary to retrieve the health record.
  • US 2005/0236474 A1 relates to a method for processing patient health information while ensuring confidentiality to meet regulatory requirements.
  • the security of the system used is based on a central service, realized via a central table, which can be accessed by means of a role-based login model.
  • WO 2003/034294 A2 and US 2005/0236474 A1 A1 method are that both systems based on the fact that a central point is present, which the associations between identification and User data stops.
  • the data identification codes are stored as a backup option on a central pseudonymization computer, in order to allow recovery of the same in the case of loss of the original data identification codes, while in US 2005/0236474 A1 a central table, not only for hedging, but is used by default for re-identification.
  • the presence of the central table is a weak point in terms of data security.
  • US 2003/0074564 A1 describes an encryption system for accessing medical files which does not include an authorization procedure. Healthcare providers can therefore only edit or add data when the patient is on-site and enters his only known password. Furthermore, a person who has the necessary identification code, which according to the method description is applied to a card, can view the data of the patient.
  • the object of the invention is therefore to provide a data processing system of the type mentioned in which increased security against data abuse is given, but nevertheless, if necessary, the assignment of Personal identification data and user data over longer periods is possible.
  • Another object of the invention is to provide a data processing system which allows the possibility of access to user data of an object, without revealing the object identification data of this object.
  • the object identification data and the user data in the object data database can be stored separately and retrieved separately, so that alone from the stored data records no relationship between the object identification data and the user data can be derived,
  • That at least one input device is provided, which upon entry of a given for the standard instances security key access to the
  • one or more associated recovery entities e.g. outside of the object data database, are defined, which can be generated again at loss of the security key, and
  • the privacy of the patients is protected in such a way that the association between the identification data and the useful data is obscured.
  • the security key can be composed of different subkeys and encrypted in itself.
  • a partial security key can decrypt a different partial security key, which in turn is made available to further instances or to the or the recovery instances. This ensures the protection of the data and, if the security key is lost, the data access authorization for the default instance can be restored.
  • two separate data groups are provided, namely the object identification data and the payload data associated with the standard instances.
  • the latter user data of a particular standard instance can only be associated with the object identification data of the same if the security key assigned for the respective standard instance is used.
  • the data of each standard instance is protected by an individual security key, which preferably remains in parts decentrally with the standard instance itself and with the recovery instances or other instances and can not be polled centrally or only under Announcement of a security key.
  • the access to the object data of the standard instance can be effected, for example, via the recovery instances happen.
  • the selected system operator instances are e.g. randomly selected so that they are independent of each other, preferably spatially separated and do not know each other, who for each standard instance preserves one of the subkeys, which together with the other subkeys or access to the object data and payload of the assigned standard Allow instance, so that in this way a new security key for the affected standard instance can be generated and reassigned.
  • the default instance is the holder of its data and has the unlimited authority to grant this authority to other instances.
  • further instances can be defined which are authorized by the standard instances for full or partial data access.
  • the further instances may include one or more associated instances, each authorized by one of the standard instances and having the same access authority as these and authorizing further instances.
  • Such an associated instance is located immediately below in the hierarchy the default instance, can access all data of the standard instance and - under controlled circumstances - also allow this authority to other instances.
  • the further entities include one or more authorized entities, each authorized by one of the standard entities, for predetermined entries associated with the respective standard entity, e.g. certain patient or health data to access the object data database.
  • the authorized instance can be authorized by both the default instance and the associated instance for restricted access.
  • the further instances may include one or more research instances.
  • the research instances can therefore only view user data.
  • each entry with user data in the object data database can be assigned a unique user data identification.
  • the security key or parts thereof may be stored on a security token, eg on a smartcard having a PIN code.
  • a security token eg on a smartcard having a PIN code.
  • This also allows a long security key to be conveniently entered for the user.
  • the standard instance logs on by pulling in the smart card and entering the PIN code in each system and can announce in this way the security key stored on the smart card.
  • the security key remains with the standard instance and can not be centrally viewed.
  • the object data database can be formed by two separate databases, wherein in one database object identification data and in the other database user data are stored.
  • the field of application of the invention is in no way limited in the nature of the object data.
  • the object data database is a personal data database and the object identification data is personal data, in particular patient data.
  • the security key can be designed in two or more parts, so that an outer key remains with the standard instance and can be used to access this via a next inner key or to make it accessible by decryption.
  • This next inner key can in turn access the next inner key, etc.
  • the data access is made possible by decryption to the innermost shell or layer, after which again a new external key can be formed, which is made available to the affected entity.
  • An embodiment of the invention may consist in that the security key of each of the standard instances is formed from one or more inner and one or more outer keys and a key for the respective payload data record, the payload data and the object identification data of the respective standard instance optionally encrypted with the inner key, the outer key being in each case Instances, the inner key at the recovery instances and possibly the associated instances remains and the inner key is encrypted with the associated outer key, and the innermost key for the respective user data record with the inner key.
  • the respective keys can be the same or different for all instances.
  • the invention further relates to a method for processing object data from standard instances, which comprise object identification data and associated user data, wherein the object data is stored in an object data database in a storage step and the object data is accessed in a query step from the object data database and these be retrieved.
  • this is achieved in that the object identification data and the payload data are stored separately in the object data database so that they can be retrieved separately from the object data database, but only from the stored data records no relationship between the object identification data and the user data is derivable
  • security keys are assigned to each of the standard instances that allow access to the object identification data and associated payload data for each of the respective standard instances, optionally defining a recovery instance for each of the default instances which can be generated again if the security key is lost,
  • the assignment of the separate object identification data and the user data is possible solely via the security key.
  • the security key or part thereof remains with the default instance and can be restored via the recovery instance in the event of loss or destruction in order to prevent the assignment of the identification data and user data of the standard instance being lost forever. Since the security key remains with the respective default instance, the keys required for the data access are not centrally retrievable and therefore protected against unauthorized use.
  • One way to create a recovery instance is to have two or more system operator instances selected from multiple, independent system operator instances for each standard instance, without the identity of the other selected system operator instances being selected by the selected system operator instances.
  • Instance (s) is known that the security key of the respective standard instance is awarded to the two or more selected system operator instances, as well as the at least two selected System operator instances for shared access is available, and optionally accessed in the query step through the two or more system operator instances after entering the security key together on the object identification data in conjunction with the associated user data.
  • the selected system operator instance (s) to be spatially separate.
  • the randomly determined, at least two system operator instances each have e.g. via a security key, the possibility of jointly accessing the inner part of a security key of a standard instance in order to query the object identification data and the user data of the same. If required, the selected system operator instances can also use this access authorization to trigger the assignment of a new outer part of the security key so that a lost security key can be replaced in this way.
  • an inner key of the respective standard instance is generated and sent to this standard instance and to the at least two selected system operator instances are forwarded, and that the internal key from this standard instance and from the system operator instances, each with an outer key, is sent back to the object data database and stored there.
  • the system operator instances which ideally have no knowledge of each other's permissions, can only discover in a request that they join with one or more other system operator instances are selected, for a standard instance unknown to them, to decrypt the inner key by entering its outer key and thus to allow access to the object identification data and the payload for this standard instance.
  • FIG. 1 shows a block diagram of an embodiment of the data processing system according to the invention
  • FIG. 2 shows a block diagram of a further embodiment of the data processing system according to the invention.
  • FIG. 5 shows the schematic sequence for issuing an existing security key to an existing entity according to a further embodiment of the method according to the invention
  • FIG. 6 shows the schematic sequence for adding new user data according to a further embodiment of the method according to the invention
  • 7 shows the schematic sequence for reading existing user data according to a further embodiment of the method according to the invention
  • 8 shows the schematic procedure for adding an associated entity according to a further embodiment of the method according to the invention
  • FIG. 9 shows the schematic procedure for adding an authorized entity according to a further embodiment of the method according to the invention
  • FIG. 1 shows a data processing system for processing object data of a standard instance 101, which represents a person, a system, a person Data owner od. Like. Is shown.
  • the standard instance 101 provides personal data as object data or extracts it from an object data database operated as a personal data database 20, in which the personal data can be stored or retrieved via access devices 70.
  • data may be stored by a plurality of standard instances.
  • the personal data includes object identification data, namely, personal identification data 100 and associated payload data 110, the personal identification data including data representing a person, e.g. identify a patient, such as social security number, name, date of birth, place of residence, citizenship, etc.
  • the user data 110 Separated from this personal identification data is the user data 110, which may include various entries and recorded history data, e.g. X-rays, mammography data, NMR data needed for diagnoses and which can or must be stored for a certain period of time.
  • various entries and recorded history data e.g. X-rays, mammography data, NMR data needed for diagnoses and which can or must be stored for a certain period of time.
  • central logic 70 which includes a plurality of input and output devices and a controller, and interfaces the personal data database 20 and instances 101, 60, 50, and 40 that store or retrieve personal data ,
  • the personal identification data 100 and the user data 110 in the personal data database 20 are stored separately and retrievable, so that alone from the stored data records no connection between the Object identification data and the user data can be derived. This can be done by access control (logical) as well as spatially separated (physically) provision of two databases.
  • Access to personal identification data 100 in conjunction with the associated user data 110 is permitted only after entry of a security key assigned for the respective standard entity 101 identified by the personal identification data 100. If, for a standard instance 101, e.g. In the context of an examination, data is recorded, the standard instance 101 receives security key assigned by the data processing system according to the invention, which is stored wholly or partly on a security token, e.g. on a smartcard with PIN code or the like.
  • the default instance 101 can access its own user data 110 while entering the security key, while other standard instances are excluded from access. This ensures that the stored payload data 110, e.g. Case histories, by outsiders can not be associated with a specific standard instance 101.
  • a research entity 40 may be provided which has exclusive access to the payload 110 for the purpose of the analysis.
  • the useful data 110 can be accessed in a meaningful manner and used for statistical studies and studies, e.g. to improve the medical treatment or for diagnostic purposes, find use without having to reveal the identity of the patients. Due to the complete separation of the personal identification data 100 and the object data 110, inferences from the user data 110 to the personal identification data 100 can be prevented and the anonymity of the standard instances is maintained.
  • the standard instance 101 has its security token with the lost security key or destroyed.
  • one or more recovery instances can be created for each of the standard instances be defined outside the object data database 20.
  • a number of mutually independent system operator instances 30 are present as a retrieval instance, from which two or more system operator instances can be selected for an assigned standard instance without the identity of the other one being selected by the selected system operator instances selected system operator instance (s) or the standard instances, wherein the assigned to the associated standard instance 101 security key is the at least two selected system operator instances at least partially accessible, so that a common access to the personal identification data 100 in conjunction with the associated payload data 110 for the associated standard instance 101 is enabled.
  • the security key (s) of the default instance 101 may be previously created and passed to another system operator instance.
  • the personal data are stored in the personal data database 20 in a storage step and the personal data are accessed in a query step from the personal data database 20.
  • the personal identification data 100 and the user data 110 are stored separately in the personal data database 20 so that they can be retrieved separately from the personal data database 20.
  • no connection between the personal identification data 100 and the user data 110 can be derived from the stored data records alone.
  • security keys are assigned to each of the standard instances 101 and for each standard instance 101 a recovery instance is defined by selecting two or more system operator instances from a plurality of independent system operator instances 30 without the selected system operator The identity of the respectively other selected system operator instance (s) and the default instance 101 itself is known, the security key of the respective standard entity 101 being allocated, at least partially, also to the two or more selected system operator instances.
  • the provision of a recovery instance is not mandatory, but protects against the complete loss of data for a standard instance 101 if the associated security key should be lost.
  • the personal identification data 100 in conjunction with the associated user data 110 is accessed via the standard instance after entering the security key, and if necessary via the two or more system operator instances after the security key has been entered together, the personal identification data 100 in FIG Connection with the associated user data 110 accessed.
  • the security key or a part thereof remains with the standard instance 101 and, if appropriate, further instances 50, 60 authorized by the standard instance 101 and also associated instances, and stands by the use of the System operators as one of the optional recovery instances provide the at least two selected shared access system operator instances 30.
  • instances may be defined, e.g. a default instance, an associated instance, and an authorized instance.
  • the standard instance is the holder of the user data and has unlimited rights to allow other persons or instances to access the user data.
  • the associated instance is authorized by the default instance and can also have unlimited access to all data of the default instance, as well as the authorization to authorize additional instances.
  • the authorized entity is only authorized to access defined entries of the database 20, according to the authorization by the standard entity or the associated entity.
  • the associated instance can be used as a recovery instance.
  • system components are arranged so that the respective instances 101, 50, 60 and 40 have access to the object data database 20 without the logic interposed in FIG.
  • the logic is thus realized decentrally.
  • an internal key of the respective standard entity is generated by the logic 70 or the personal data database 20 for the assignment of personal identification data 100 and user data 110 of a specific standard entity 101 and sent to this standard entity 101 and optionally to a user or multiple recovery instances forwarded.
  • the security key is encrypted back to the object data database 20 and stored there by this standard instance 101 and the recovery instances, each with an outer key.
  • the security key may be formed in two or more parts, so that an outer key remains in the standard instance and can be accessed via this on a next inner key or this can be made accessible by decryption. This next inner key, in turn, can access the key next to it, etc. In this way, access authorizations can be set differently depending on the number of layers used.
  • the outer key is lost by the standard instance, e.g. another entity may be entitled to access the next inner key or to make it accessible by decryption.
  • FIG. 3 shows an access layer model that can be used to implement the invention.
  • An outer layer 200 and an inner layer 201 are formed.
  • the standard instance 101 inputs the outer key 90 of the outer layer 200 and thus decrypts in the inner layer 201 the inner key of the standard instance 101, which in turn allows access to the payload data CD of the standard instance 101 with the user data identification CID ,
  • the associated entity 60 has an outer key 91 which decrypts its inner key, which thereby provides access to the inner key of the standard instance 101. If the default instance 101 changes its inner keys, it can prevent further access by the associated instance and the system operator instances at any time. However, the outer key of the standard instance can be retained.
  • the two system operator instances 30 decrypt decrypt the inner key of the standard instance 101 with its respective inner keys, which in turn decrypted by their outer keys 93.
  • an outer and an inner key may preferably each be formed from a private and a public key, whereby the flexibility is increased.
  • FIG. 4 shows the sequence in the data processing system according to the invention for the addition of a new standard instance 101. The following steps are carried out, which are shown schematically in FIG. 4:
  • Step (1) The new standard instance 101 identifies itself to the logic 70 or an authorized person.
  • Step (2) The personal identification data (SID) of the standard instance 101 is sent from the logic 70 to the database 20.
  • Step (3) The database 20 reports that the specified SID is unknown.
  • Step (4) The logic 70 generates for the default instance to be added a new security key comprising a key pair of an inner key and an outer key, and transmits the private inner key K S o '1 encrypted with the outer public Key K s of the standard instance 101 to the database 20.
  • Step (5) The logic 70 transmits the internal private key Kso "1 of the standard instance 101 sequentially encrypted with two or more public ones
  • Keys K 0 o the system operator instances 30 to the database 20 This is the internal private key Kso "one of the standard instance 101 the selected standard Instances are shared when they apply their inner private keys to decrypt the internal private key Kso "1 of the default instance 101.
  • a second possibility is that the internal private key Kso "1 of the standard instance 101 is divided and stored encrypted in the database 20 with the respective public keys Koo of the system operator instances 30 (for example using a threshold scheme).
  • Step (6) The logic 70 transfers the internal public key Kso of the standard instance 101 to the database 20. In this way, data of the standard instance 101 can be encrypted with the key Kso.
  • Step (7) The logic 70 transfers the outer public key Ks of the standard instance 101 to the database 20.
  • the logic 70 may itself encrypt the connection between the selected system operators 30 and the associated standard instance 101 and thus keep them secret.
  • Step (8) The logic 70 transmits the personal identification data (SID) of the standard entity 101 encrypted with the internal public keys Koo of the system operators 30 to the database 20.
  • SID personal identification data
  • Step (9) The logic 70 passes the outer private key 90 (eg for storage on a smart card) to the corresponding standard instance 101.
  • the outer key 90 is thus part of the security key and is used to access the internal key of the standard key. Instance needed.
  • Step (1) The standard instance 101 identifies itself to the logic 70 or an authorized person.
  • Step (2) The standard instance 101 sends its personal identification data (SID) to the logic 70.
  • SID personal identification data
  • Step (3) The logic 70 sends the personal identification data (SID) of the standard instance 101 to the database 20.
  • SID personal identification data
  • Step (4) The database 20 responds with the transmission of all personal identification data (SIDs) assigned to the system operators 30.
  • SIDs personal identification data
  • Step (5) The logic 70 sends the desired personal identification data (SID) of the standard instance 101 and the personal identification data (SIDs) assigned to the system operators 30 encrypted with the internal public key K 0 of the respective system operator 30 to all system operators 30. These decrypt their assigned personal identification data (SIDs) with their inner private key K 0 o "1 and determine by comparison with the desired personal identification data (SID) of the standard instance 101 whether they are responsible for the respective standard instance 101.
  • SID desired personal identification data
  • SIDs personal identification data assigned to the system operators 30 encrypted with the internal public key K 0 of the respective system operator 30 to all system operators 30.
  • the assigned personal identification data (SIDs) may additionally be encrypted with the public key K L o of the logic.
  • the system operators 30 can not determine if they are associated with a standard instance 101. It follows, therefore, the transmission of the simply decrypted assigned personal identification data (SIDs) to the logic 70.
  • Step (6) The system operators 30 notify the logic 70 of theirs Responsibility regarding the standard instance 101.
  • system operators 30 of the logic 70 may also transmit the SIDs decrypted with the respective system operator key but still encrypted with the public key KL O of the logic 70.
  • the logic 70 decrypts the SIDs with the private key KL O "1 of the logic 70 and determines by comparison with the desired personal identification data (SID) of the standard instance 101 which system operator instances 30 are assigned to which standard instance 101.
  • SID personal identification data
  • Step (7) The logic 70 sends the list of competent system operators 30 to the database 20.
  • Step (8) The database 20 transmits the internal private key Kso "1 of the standard instance 101 sequentially encrypted with two or more public system operator instance 30 keys Koo to the logic 70.
  • a second possibility is that the inner private key Kso "1 of the standard instance 101 has been split up and is encrypted with the respective public keys Koo of the system operator instances 30.
  • Step (9) The logic 70 transmits the internal private key Kso "1 of the standard instance 101 sequentially encrypted with two or more public keys K 0 o of the system operator instances 30 to the respectively responsible system operator instances 30.
  • a second possibility is that the key K S o "1 of the standard instance 101 has been split up and is encrypted with the respective public keys Koo of the system operator instances 30.
  • an encryption with the key KL O of the logic 70 is made to the keys before the system operator Keep instances secret.
  • a second possibility is that the key Kso "1 of the standard instance 101 is divided and stored encrypted in the database 20 with the respective public key Koo of the system operator instances 30
  • Step (13) The logic 70 replaces the previously valid outer public key Ks of the standard instance 101 with the new outer public key Ks' of the standard instance 101.
  • outer private security key 90 e.g., smart card
  • security keys are generated, which are encrypted with the internal public key of the default instance, where appropriate, the other security keys are encrypted with the inner public key of the authorized entity.
  • the further security key is preferably changed from time to time or after a certain number of user data entries.
  • Fig. 6 describes the procedure for adding new payload data. The following steps are carried out, which are shown schematically in FIG.
  • Step (1) The standard instance 101 logs into the system by entering the security key, e.g. a PIN code is entered to authenticate against a smart card 90.
  • the security key e.g. a PIN code is entered to authenticate against a smart card 90.
  • Step (2) The standard instance 101 transmits its personal identification data (SID) to the logic 70.
  • SID personal identification data
  • the standard entity 101 is also notified of the public key of the logic 70 K L o.
  • Step (3) The standard instance 101 transmits new user data (CD) to the logic 70.
  • CD new user data
  • Step (4) The standard instance 101 transmits an indexing identifier ID (eg, search terms, date, etc.) encrypted with the public key of the logic K L o to the logic 70.
  • an indexing identifier ID eg, search terms, date, etc.
  • Step (5) The logic transfers the personal identification data (SID) of the standard instance 101 to the database 20.
  • SID personal identification data
  • Step (6) If a new key needs to be generated, the database 20 informs the logic 70.
  • Step (8) Thereafter, the logic 70 encrypts the personal identification data (SID) of the standard instance 101 with the payload key Ksi and transmits it to the database 20.
  • SID personal identification data
  • CID Payload Identification Code
  • Step (9) Thereafter, the logic 70 decrypts the selected indexing tag (eg, search terms, date, etc.) of the standard instance 101 with the private key of the logic K L o '1 and encrypts the tag (ID) with the inner public one Key Kso of the standard instance 101.
  • the selected indexing tag eg, search terms, date, etc.
  • Step (10) Finally, the logic 70 transfers the payload data (CD) to the database 20 and binds it to the previously formed identification data.
  • Fig. 7 describes the procedure for reading existing payload data. The following steps are carried out, which are shown schematically in FIG.
  • Step (1) The standard instance 101 logs into the system by entering the security key, e.g. a PIN code is entered to authenticate against a smart card 90.
  • the security key e.g. a PIN code is entered to authenticate against a smart card 90.
  • Step (2) The standard instance 101 transmits its personal identification data (SID) to the logic 70.
  • SID personal identification data
  • Step (3) The logic 70 transmits the personal identification data (SID) of the standard instance 101 to the database 20.
  • SID personal identification data
  • CIDs Indexing Labels
  • Step (5) The logic 70 sends all indexing tags (CIDs) encrypted with the internal public key Kso of the standard instance to the standard instance 101.
  • CIDs indexing tags
  • Step (6) The standard instance 101 decrypts its inner private key Kso "1 with its outer private key Ks " 1 . It then uses the internal private key Kso "1 to decrypt the encrypted indexing identifiers (CIDs) and select a tag (ID) and associated payload key KSJ, then encrypts its personal identification (SID) data with the corresponding indexed tag associated payload key Ksi and transmits the resulting payload identification code (CID) to the logic 70.
  • CIDs encrypted indexing identifiers
  • KSJ select a tag
  • SID personal identification
  • Step (7) The logic 70 sends the payload identification code to the database 20.
  • Step (8) The database 20 sends the payload data to the logic 70.
  • Step (9) The logic transmits the payload data to the standard instance 101.
  • Fig. 8 describes the procedure for adding an associated instance. The following steps are carried out, which are shown schematically in FIG.
  • SID personal identification data
  • Step (3) The logic 70 sends the personal identification data (SID) of the standard instance 101 to the database 20.
  • SID personal identification data
  • Step (4) The associated entity 60 transmits its personal identification data (AID) to the logic 70.
  • AID personal identification data
  • AID personal identification data
  • Step (6) The database 20 transmits the internal public key K S o of the standard instance 101 to the logic 70.
  • Step (7) The database 20 transmits the inner public key KA O of the associated instance 60 to the logic 70.
  • Step (8) The database 20 sends the internal private key Kso "1 of the standard instance 101 encrypted with the external public key Ks of the standard instance 101 to the logic 70.
  • Step (9) The logic 70 sends the inner private key Kso "1 of the standard instance 101 encrypted with the outer public key K s of the standard instance 101 to the standard instance 101.
  • Step (10) The logic 70 sends the inner public key K AO of the associated instance 60 to the standard instance 101.
  • Step (11) The standard instance 101 decrypts its inner private key Kso "1 with its outer private key Ks " 1 and encrypts its inner private key Kso "1 with the inner public key KA O of the associated ones Instance 60 and transmits this to the logic 70.
  • Step (13) The logic 70 sends the personal identification data (SID) of the standard entity 101 encrypted with the internal public key KA O of the associated entity 60 to the database 20.
  • SID personal identification data
  • Step (14) The logic 70 sends the personal identification data (AID) of the associated entity 60 encrypted with the internal public key Kso of the standard entity 101 to the database 20.
  • AID personal identification data
  • FIG. 9 describes the procedure for adding an authorized instance 50. The following steps are carried out, which are shown schematically in FIG.
  • Step (1) The default instance 101 and the authorized instance 50 log into the system by entering the security token, for example, by entering a PIN code to authenticate against a smart card (eg 90 or 92).
  • the standard instance 101 is also notified of the public key of the logic KL O.
  • Step (2) The personal identification data (SID) of the standard instance 101 is transmitted from the standard instance to the logic 70.
  • Step (3) The logic 70 sends the personal identification data (SID) of the standard instance 101 to the database 20.
  • SID personal identification data
  • Step (6) If a new key needs to be generated, the database 20 informs the logic 70.
  • Step (7) The database 20 transmits the internal public key Kso of the standard instance 101 to the logic 70.
  • Step (8) The database 20 transmits the internal public key K B o of the authorized entity 50 to the logic 70.
  • Step (9) The database 20 transmits all indexing identifiers (CIDs) encrypted with the internal public key Kso of the standard instance 101 to the logic 70.
  • CIDs indexing identifiers
  • Step (10) The logic 70 transmits all indexing tags (CIDs) encrypted with the internal public key Kso of the standard instance 101 to the standard instance 101.
  • CIDs indexing tags
  • Step (11) The standard instance 101 transmits an indexing identification including associated payload data key Ksi (eg search terms, date, etc.) encrypted with the public key K L o to the logic 70.
  • Ksi payload data key
  • the selected indexing tag eg, search terms, date, etc.
  • Step (13) Subsequently, the logic 70 encrypts the selected user data Key K S i with the internal public key K B o of the authorized entity 60 and transmits it to the database 20.
  • SID personal identification data
  • BID personal identification data

Abstract

Datenverarbeitungssystem zur Verarbeitung von Objektdaten einer Vielzahl von Standard-Instanzen (101), wobei Objektidentifikationsdaten (100) und Nutzdaten (110) in der Objektdaten-Datenbank (20) voneinander getrennt speicherbar und abrufbar sind, sodaß allein aus den gespeicherten Datensätzen kein Zusammenhang zwischen den Objektidentifikationsdaten (100) und den Nutzdaten (110) ableitbar ist, wobei zumindest eine Eingabevorrichtung vorgesehen ist, welche bei Eingabe eines von für die Standard-Instanzen (101) vergebenen Sicherheitsschlüssel den Zugriff auf die Objektidentifikationsdaten (100) der zugeordneten Standard-Instanz und auf die zugehörigen Nutzdaten (110) ermöglicht, und der Sicherheitsschlüssel oder ein Teil davon bei der Standard-Instanz (101 ), bei der Wiedergewinnungs-Instanz und gegebenenfalls bei weiteren von der Standard-Instanz bestimmten Instanzen (50, 60) verbleibt.

Description

Datenverarbeitungssystem zur Verarbeitung von Objektdaten
Die Erfindung betrifft ein Datenverarbeitungssystem zur Verarbeitung von Objektdaten einer Vielzahl von Standard-Instanzen, wobei die Objektdaten Objektidentifikationsdaten und zugehörige Nutzdaten umfassen, mit einer Objektdaten-Datenbank, in welcher die Objektdaten über Zugriffseinrichtungen speicherbar und abrufbar sind.
Unter Standard-Instanz wird dabei eine Person, ein System od. dgl. verstanden, für die schützenswerte Objektdaten bestehen. Diese Objektdaten enthalten Objektidentifikationsdaten, die eine Identifizierung eines Objekts, z.B. über die Sozialversicherungsnummer einer Person, ermöglichen und Nutzdaten, die zu dem jeweiligen Objekt generiert wurden und gespeichert sind.
Da immer mehr Datenbanken, z.B. mit personenspezifischen Daten existieren oder im Entstehen sind, wird ein verstärkter Schutz von objektbezogenen, z.B. persönlichen Angaben und Daten angestrebt. Andererseits werden in vielen Bereichen, z.B. im Gesundheitsbereich Daten von Personen und zugehörige Meß- und Überwachungsdaten sowie historische Daten zu Studienzwecken und für statistische Analysen sowie für die Umsetzung von gesetzlichen Bestimmungen benötigt und daher über längere Zeit aufbewahrt, um sie einer späteren Verarbeitung zuzuführen. Dies führt zu einem verstärkten Schutzbedürfnis der gespeicherten Daten.
Es bestehen daher seit jeher Bestrebungen, einerseits die Vorteile der Verfügbarkeit von möglichst vielen Datensätzen nützen zu können, andererseits aber nicht die Privatsphäre zu verletzen. Aus diesen Gründen wird bei bestehenden Lösungsansätzen versucht, die Daten jeder einzelnen Person, die dem Datenschutz unterliegen, vor dem Zugriff von nichtautorisierten Benutzern zu bewahren.
Bestehende Systeme bieten jedoch keinen ausreichenden Schutz gegen eine Rückverfolgung von Daten durch Vergleich und unterbinden somit nicht die Möglichkeit, einen Rückschluss auf die Identität der Standardinstanz durch Vergleich der Nutzdaten, z.B. der Krankengeschichte eines Patienten, vorzunehmen.
Bei bestehenden Datenverarbeitungssystemen wird diese Zuordnung beispielsweise im System zentral durch einen Zugangskode geschützt bzw. erfolgt unter
Verwendung einer Liste. Wer sich somit über diesen zentralen Zugangskode Zutritt zu den Daten verschaffen kann, dem stehen die Gesamtheit oder große Teile aller
Datenbestände zur Verfügung. Dies bereitet nicht nur Probleme bei einem zentralen
Hacker-Angriff auf das System, sondern wirft ganz generell die Frage auf, wer die Kontrolle über die Datenbestände im System hat und ob nicht die Gefahr der unautorisierten Datenweitergabe durch die Systemoperatoren eintreten kann.
In der WO 2003/034294 A2 ist ein System zur Verarbeitung von Patientendaten beschrieben, die personenidentifizierende Daten eines Patienten und zugehörige Gesundheitsdaten umfassen, mit einer Zentralstelle, die eine die Gesundheitsdaten speichernde Datenbank beinhaltet, und mit Endgeräten, die mit der Zentralstelle zum Abrufen von Gesundheitsdaten aus der zentralen Datenbank bzw. zum Einlesen von Gesundheitsdaten in die zentrale Datenbank verbunden sind. Die Gesundheitsdaten sind in der zentralen Datenbank ohne Zuordnung zu Personendaten gespeichert, wobei dem Gesundheitsdatensatz eines Patienten ein Datensatzidentifikationscode zugeordnet und dessen Eingabe zum Abruf des Gesundheitsdatensatzes notwendig ist.
Die US 2005/0236474 A1 bezieht sich auf ein Verfahren für die Verarbeitung von Patientengesundheitsinformationen unter Gewährleistung von Vertraulichkeit, um regulatorische Anforderungen zu erfüllen. Die Sicherheit des verwendeten Systems basiert auf einem zentralen Service, realisiert über eine zentrale Tabelle, auf welche mittels eines rollenbasierten Anmeldemodells zugegriffen werden kann.
Die Gemeinsamkeit der in der WO 2003/034294 A2 sowie der US 2005/0236474 A1 geoffenbarten Verfahren besteht darin, daß beide Systeme darauf beruhen, daß eine zentrale Stelle vorhanden ist, welche die Assoziationen zwischen Identifikations- und Nutzdaten hält. In der WO 2003/034294 A2 werden die Daten identifikationscodes als Sicherungsmöglichkeit auf einem zentralen Pseudonymisierungsrechner gespeichert, um im Falle des Verlusts der originalen Datenidentifikationscodes eine Wiederherstellung ebendieser zu ermöglichen, während in der US 2005/0236474 A1 eine zentrale Tabelle, nicht nur zur Absicherung, sondern standardmäßig zur Reidentifikation benutzt wird. Das Vorhandensein der zentralen Tabelle stellt eine Schwachstelle hinsichtlich der Datensicherheit dar.
Das in der DE 19925910 A1 offenbarte System geht nicht von der Ver- und Entschlüsselung der Daten auf Seiten des zentralen Servers selbst oder einer
Leitungsverschlüsselung aus, sondern sieht vor, daß dies ausschließlich auf dem
Computer beim Anwender (Client) erfolgt. Dabei werden die Daten selbst vollständig oder partiell verschlüsselt. Die zugrunde liegende öffentliche Schlüsselinfrastruktur in der DE 19925910 A1 dient ausschließlich zum Ver- und Entschlüsseln der Daten, und kann daher nicht für ein Autorisierungskonzept verwendet werden. Die
Verschlüsselung von medizinischen Daten ist in der Praxis jedoch nur eingeschränkt verwendbar, da medizinische Daten sehr umfassend sein können und die
Verschlüsselung dieser Daten zu einem hohen Verwaltungsaufwand und
Verzögerungen in den klinischen Pfaden führen kann.
Die US 2003/0074564 A1 beschreibt ein Verschlüsselungssystem für den Zugriff auf medizinische Akten, das kein Autorisierungsverfahren beinhaltet. Gesundheitsdienstleister können daher Daten nur editieren oder hinzufügen, wenn der Patient selbst vor Ort ist und sein nur ihm bekanntes Passwort eingibt. Weiters kann eine Person, welche über den notwendigen Identifikationscode, der laut Verfahrensbeschreibung auf einer Karte aufgebracht ist, verfügt, die Daten des Patienten einsehen.
Aufgabe der Erfindung ist es daher, ein Datenverarbeitungssystem der eingangs genannten Art zu schaffen, bei welchem erhöhte Sicherheit gegen Datenmißbrauch gegeben ist, dennoch aber bei Bedarf die Zuordnung von Personenidentifikationsdaten und Nutzdaten über längere Zeiträume möglich ist.
Weitere Aufgabe der Erfindung ist es, ein Datenverarbeitungssystem anzugeben, welches die Möglichkeit eines Zugriffes auf Nutzdaten eines Objekts ermöglicht, ohne die Objektidentifikationsdaten dieses Objekts preiszugeben.
Erfindungsgemäß wird dies dadurch erreicht,
- daß die Objektidentifikationsdaten und die Nutzdaten in der Objektdaten-Datenbank voneinander getrennt speicherbar und abrufbar sind, sodaß allein aus den gespeicherten Datensätzen kein Zusammenhang zwischen den Objektidentifikationsdaten und den Nutzdaten ableitbar ist,
- daß zumindest eine Eingabevorrichtung vorgesehen ist, welche bei Eingabe eines von für die Standard-Instanzen vergebenen Sicherheitsschlüssel den Zugriff auf die
Objektidentifikationsdaten der zugeordneten Standard-Instanz und auf die zugehörigen Nutzdaten ermöglicht,
- daß gegebenenfalls für jede der Standard-Instanzen eine oder mehrere zugeordnete Wiedergewinnungs-Instanzen, z.B. außerhalb der Objektdaten- Datenbank, definiert sind, über welche bei Verlust des Sicherheitsschlüssels dieser wieder erzeugt werden kann, und
- daß der Sicherheitsschlüssel oder ein Teil davon bei der Standard-Instanz verbleibt und gegebenenfalls zusätzlich bei der Wiedergewinnungs-Instanz und/oder bei weiteren von der Standard-Instanz bestimmten Instanzen verbleibt oder von diesen auf ihn zugegriffen werden kann.
Im erfindungsgemäßen Verfahren werden die benutzten Sicherheitsschlüssel, welche zur Wiederherstellung der Assoziationen eingesetzt werden, dezentral auf die
Systemoperatoren zur Absicherung bei Verlust der Sicherheitsschlüssel, welche auf der Karte gehalten werden, aufgeteilt und daher nicht zentral gespeichert. Es existiert daher weder ein zentrales Service noch eine zentrale Tabelle, mittels welcher ein Reidentifikationsablauf ausgeführt werden kann. Ein weiterer Unterschied z.B. zum Verfahren gemäß WO 03/034294 A2 besteht darin, daß mittels des erfindungsgemäßen Verfahrens ein mehrstufiges Berechtigungskonzept etabliert wird.
Im Gegensatz zu den bekannten Verfahren wird beim erfindungsgemäßen Verfahren die Privatsphäre der Patienten dahingehend geschützt, daß die Assoziation zwischen den Identifikations- und den Nutzdaten verschleiert wird.
Der Sicherheitsschlüssel kann aus verschiedenen Teilschlüsseln zusammengesetzt und in sich verschlüsselt sein. Ein Teil-Sicherheitsschlüssel kann dabei einen anderen Teil-Sicherheitsschlüssel entschlüsseln, welcher seinerseits weiteren Instanzen oder der bzw. den Wiedergewinnungs-Instanzen zugänglich gemacht ist. Damit ist der Schutz der Daten gewährleistet und bei Verlust des Sicherheitsschlüssels kann die Berechtigung zum Datenzugriff für die Standard- Instanz wiederhergestellt werden.
Es sind somit zwei getrennte Datengruppen vorgesehen, nämlich die Objektidentifikationsdaten und die Nutzdaten, die den Standard-Instanzen zugeordnet sind. Letztere Nutzdaten einer bestimmten Standard-Instanz können mit den Objektidentifikationsdaten derselben nur in Verbindung gebracht werden, wenn der für die jeweilige Standard-Instanz vergebene Sicherheitsschlüssel zur Anwendung gebracht wird.
Auf diese Weise sind die Daten jeder Standard-Instanz durch einen individuellen Sicherheitsschlüssel geschützt, der vorzugsweise in Teilen dezentral bei der Standard-Instanz selbst und bei der bzw. den Wiedergewinnungs-Instanzen oder anderen Instanzen verbleibt und nicht zentral abgefragt werden kann bzw. nur unter Bekanntgabe eines Sicherheitsschlüssel. Im Falle eines Verlustes oder einer Zerstörung des Sicherheitsschlüssels durch die Standard-Instanz kann der Zugriff auf die Objektdaten der Standard-Instanz z.B. über die Wiedergewinnungs-Instanzen geschehen.
Gemäß einer Ausführungsform der Erfindung können mehrere voneinander unabhängige Systemoperator-Instanzen vorhanden sein, aus denen zwei oder mehrere Systemoperator-Instanzen für jeweils eine der Standard-Instanzen als die dieser zugeordneten Wiedergewinnungs-Instanz definiert sind, ohne daß den ausgewählten Systemoperator-Instanzen die Identität der jeweils anderen ausgewählten Systemoperator-Instanz(en) sowie der Standard-Instanz(en) bekannt ist, wobei den zumindest zwei ausgewählten Systemoperator-Instanzen ein gemeinsamer Zugriff auf die Objektdaten und die zugehörigen Nutzdaten für die jeweilige Standard-Instanz möglich ist.
Die ausgewählten Systemoperator-Instanzen sind z.B. nach einem Zufallsprinzip so ausgewählt, daß sie voneinander unabhängig, vorzugsweise räumlich getrennt sind und nicht voneinander wissen, wer für welche Standard-Instanz einen der Teilschlüssel verwahrt, die gemeinsam mit dem oder den anderen Teilschlüsseln einen Zugriff auf die Objektdaten und Nutzdaten der zugeordneten Standard-Instanz erlauben, sodaß auf diese Weise ein neuer Sicherheitsschlüssel für die betroffene Standard-Instanz generiert und wieder vergeben werden kann.
Die Standard-Instanz ist jeweils Inhaberin ihrer Daten und hat die unbeschränkte Berechtigung anderen Instanzen diese Berechtigung zu verleihen. In weiterer Ausbildung der Erfindung können daher weitere Instanzen definiert sein, welche durch die Standard-Instanzen zum vollen oder teilweisen Datenzugriff autorisiert sind.
Weiters können gemäß einer Ausführungsform der Erfindung die weiteren Instanzen eine oder mehrere assoziierte Instanzen umfassen, die jeweils durch eine der Standard-Instanzen autorisiert sind und die gleiche Zugriffsberechtigung wie diese aufweisen sowie weitere Instanzen autorisieren können.
Eine solche assoziierte Instanz befindet sich in der Hierarchie unmittelbar unterhalb der Standard-Instanz, kann auf alle Daten der Standard-Instanz zugreifen und - unter kontrollierten Umständen - weiteren Instanzen ebenfalls diese Berechtigung ermöglichen.
Es kann auch vorgesehen sein, daß in einer weiteren Ausführungsform der Erfindung die weiteren Instanzen eine oder mehrere autorisierte Instanzen umfassen, die jeweils durch eine der Standard-Instanzen autorisiert sind, auf vorbestimmte Einträge, die der jeweiligen Standard-Instanz zugeordnet sind, z.B. bestimmte Patienten- oder Gesundheitsdaten, in der Objektdaten-Datenbank zuzugreifen. Die autorisierte Instanz kann sowohl von der Standard-Instanz als auch von der assoziierten Instanz zum eingeschränkten Zugriff berechtigt werden.
Zum Zweck der Auswertung von Nutzdaten ohne Berechtigung zum Zugriff auf Objektidentifikationsdaten können die weiteren Instanzen eine oder mehrere Forschungs-Instanzen umfassen. Die Forschungs-Instanzen können daher nur Nutzdaten einsehen.
Um Einträge von Nutzdaten in der Objektdaten-Datenbank für eine bestimmte Standard-Instanz abrufen zu können, kann jedem Eintrag mit Nutzdaten in der Objektdaten-Datenbank eine eindeutige Nutzdaten-Identifikation zugeordnet sein.
Für die Aufbewahrung jenes Teils des Sicherheitsschlüssels einer bestimmten Standard-Instanz, der bei dieser verbleibt, bestehen verschiedenste Möglichkeiten.
Gemäß einer bevorzugten Ausführungsform der Erfindung kann der Sicherheitsschlüssel oder Teile davon auf einem Sicherheitstoken gespeichert sein, z.B. auf einer Smartcard, welche über einen PIN-Kode verfügt. Damit kann auch ein langer Sicherheitsschlüssel für den Anwender bequem eingegeben werden. Die Standard-Instanz meldet sich dabei über das Einziehen der Smartcard und Eingeben des PIN-Kodes im jeweiligen System an und kann auf diese Weise den auf der Smartcard gespeicherten Sicherheitsschlüssel bekanntgeben. Der Sicherheitsschlüssel verbleibt bei der Standard-Instanz und ist nicht zentral einsehbar.
In weiterer Ausbildung der Erfindung kann die Objektdaten-Datenbank durch zwei separate Datenbanken gebildet sein, wobei in der einen Datenbank Objektidentifikationsdaten und in der anderen Datenbank Nutzdaten gespeichert sind. Durch die diese räumliche Trennung der Datensätze des erfindungsgemäßen System wird eine erhöhte Sicherheit erreicht.
Das Anwendungsgebiet der Erfindung ist hinsichtlich der Art der Objektdaten in keiner Weise eingeschränkt. Eine mögliche Anwendung besteht aber darin, daß die Objektdaten-Datenbank eine Personendaten-Datenbank ist und die Objektidentifikationsdaten Personendaten, insbesondere Patientendaten sind.
Wie bereits erwähnt, kann der Sicherheitsschlüssel zwei- oder mehrteilig ausgebildet sein, sodaß ein äußerer Schlüssel bei der Standard-Instanz verbleibt und über diesen auf einen nächstinneren Schlüssel zugegriffen bzw. dieser durch Entschlüsselung zugänglich gemacht werden kann. Dieser nächstinnere Schlüssel kann wiederum auf den seinerseits nächstinneren Schlüssel zugreifen, usw. Dies hat den Vorteil, daß bei Verlust des äußeren Schlüssels durch die Standard-Instanz eine weitere Instanz berechtigt sein kann, auf den nächstinneren Schlüssel zuzugreifen bzw. diesen durch Entschlüsselung zugänglich zu machen. Der Datenzugriff wird durch Entschlüsselung bis zur innersten Schale oder Schicht ermöglicht, wonach wieder ein neuer äußerer Schlüssel gebildet werden kann, welcher der betroffenen Instanz zur Verfügung gestellt wird.
Eine Ausführungsform der Erfindung kann darin bestehen, daß der Sicherheitsschlüssel jeder der Standard-Instanzen aus einem oder mehreren inneren und einem oder mehreren äußeren Schlüssel sowie einem Schlüssel für den jeweiligen Nutzdaten-Datensatz gebildet ist, wobei die Nutzdaten und die Objektidentifikationsdaten der jeweiligen Standard-Instanz optional mit dem inneren Schlüssel verschlüsselt sind, wobei der äußere Schlüssel jeweils bei den Standard- Instanzen, der innere Schlüssel bei den Wiedergewinnungs-Instanzen und gegebenenfalls den assoziierten Instanzen verbleibt und der innere Schlüssel mit dem zugehörigen äußeren Schlüssel, sowie der innerste Schlüssel für den jeweiligen Nutzdaten-Datensatz mit dem inneren Schlüssel verschlüsselt ist. Die jeweiligen Schlüssel können für alle Instanzen gleich oder aber auch verschieden gewählt werden.
Die Erfindung betrifft weiters ein Verfahren zur Verarbeitung von Objektdaten von Standard-Instanzen, welche Objektidentifikationsdaten und zugehörige Nutzdaten umfassen, wobei in einem Speicherschritt die Objektdaten in einer Objektdaten- Datenbank gespeichert und in einem Abfrageschritt aus der Objektdaten-Datenbank auf die Objektdaten zugegriffen wird und diese abgerufen werden.
Aufgabe ist es auch hier, wie eingangs bereits erläutert, ein Verfahren anzugeben, welches erhöhte Datensicherheit und zugleich hohe Datenverwertbarkeit unter Wahrung der Anonymität der Objekte bietet.
Erfindungsgemäß wird dies dadurch erreicht, daß im Speicherschritt die Objektidentifikationsdaten und die Nutzdaten in der Objektdaten-Datenbank voneinander getrennt gespeichert werden, sodaß sie aus der Objektdaten- Datenbank getrennt abgerufen werden können, allein aus den gespeicherten Datensätzen jedoch kein Zusammenhang zwischen den Objektidentifikationsdaten und den Nutzdaten ableitbar ist,
- daß in einem Vergabeschritt Sicherheitsschlüssel an jede der Standard-Instanzen vergeben werden, die ein Zugreifen auf die Objektidentifikationsdaten und die zugehörigen Nutzdaten für jede der jeweiligen Standard-Instanzen ermöglichen, wobei gegebenenfalls für jede der Standard-Instanzen eine Wiedergewinnungs- Instanz definiert wird, über welche bei Verlust des Sicherheitsschlüssels dieser wieder erzeugt werden kann,
- daß jede der Standard-Instanzen weiteren Instanzen den vollen oder teilweisen Datenzugriff auf ihre Objektdaten gestatten kann,
- und daß in einem Abfrageschritt über eine der Standard-Instanzen oder gegebenenfalls eine Wiedergewinnungs-Instanz und/oder eine der weiteren Instanzen nach Eingabe des Sicherheitsschlüssels oder eines Teils davon auf die Objektidentifikationsdaten in Verbindung mit den zugehörigen Nutzdaten zugegriffen wird.
Allein über den Sicherheitsschlüssel ist die Zuordnung der getrennten Objektidentifikationsdaten und der Nutzdaten möglich. Dabei verbleibt der Sicherheitsschlüssel oder ein Teil davon bei der Standard-Instanz und kann bei Verlust oder Zerstörung über die Wiedergewinnungs-Instanz wiederhergestellt werden, um zu verhindern, daß die Zuordnung der Identifikationsdaten und Nutzdaten der Standard-Instanz für immer verloren sind. Da der Sicherheitsschlüssel bei der jeweiligen Standard-Instanz verbleibt, sind die für den Datenzugriff erforderlichen Schlüssel nicht zentral abrufbar und daher vor einer nicht-autorisierten Verwendung geschützt.
Auf welche Weise der Sicherheitsschlüssel aufbewahrt und verwaltet wird, bleibt dem Anwender überlassen. Es hat sich aber bewährt, zumindest einen Teil des Sicherheitsschlüssels durch eine Verschlüsselung im System zu hinterlegen, wobei auch die Wiedergewinnungs-Instanz eine solche Verschlüsselung vornehmen, damit sie den Sicherheitsschlüssel bei Bedarf zumindest teilweise generieren kann.
Eine Möglichkeit, eine Wiedergewinnungs-Instanz auszubilden, besteht darin, daß für jede Standard-Instanz zwei oder mehrere Systemoperator-Instanzen aus mehreren, voneinander unabhängigen Systemoperator-Instanzen ausgewählt werden, ohne daß den ausgewählten Systemoperator-Instanzen die Identität der jeweils anderen ausgewählten Systemoperator-Instanz(en) bekannt ist, daß der Sicherheitsschlüssel der jeweiligen Standard-Instanz auch an die zwei oder mehreren, ausgewählten Systemoperator-Instanzen vergeben wird, sowie den zumindest zwei ausgewählten Systemoperator-Instanzen für den gemeinsamen Zugriff zur Verfügung steht, und gegebenenfalls im Abfrageschritt über die zwei oder mehreren Systemoperator- Instanzen nach gemeinsamer Eingabe des Sicherheitsschlüssels auf die Objektidentifikationsdaten in Verbindung mit den zugehörigen Nutzdaten zugegriffen wird. Um die Sicherheit weiter zu verbessern, ist es möglich, dass die ausgewählten Systemoperator-Instanz(en) räumlich getrennt voneinander tätig sind.
Die nach dem Zufallsprinzip bestimmten, zumindest zwei Systemoperator-Instanzen besitzen jeweils z.B. über einen Sicherheitsschlüssel die Möglichkeit, gemeinsam auf den inneren Teil eines Sicherheitsschlüssels einer Standard-Instanz zuzugreifen, um die Objektidentifikationsdaten und die Nutzdaten derselben abzufragen. Im Bedarfsfall können die ausgewählten Systemoperator-Instanzen über diese Zugriffsberechtigung auch die Vergabe eines neuen äußeren Teils des Sicherheitsschlüssels veranlassen, damit ein verloren gegangener Sicherheitsschlüssel auf diese Weise ersetzt werden kann.
Gemäß einer weiteren Ausführungsform der Erfindung kann weiters vorgesehen sein, daß zur Erstellung des Sicherheitsschlüssels von einer Logik für die Zuordnung von Objektidentifikationsdaten und Nutzdaten einer bestimmten Standard-Instanz ein innerer Schlüssel der jeweiligen Standard-Instanz generiert wird und an diese Standard-Instanz sowie an die zumindest zwei ausgewählten Systemoperator- Instanzen weitergeleitet wird, und daß der innere Schlüssel von dieser Standard- Instanz und von den Systemoperator-Instanzen mit jeweils einem äußeren Schlüssel verschlüsselt an die Objektdaten-Datenbank zurückgesendet und dort abgelegt wird.
Damit kann nur die Standard-Instanz oder die zumindest zwei Systemoperator- Instanzen zusammen über ihren äußeren Schlüssel auf den inneren Schlüssel zugreifen, der wiederum die Entschlüsselung des Zusammenhanges zwischen Objektidentifikationsdaten und Nutzdaten der betreffenden Standard-Instanz ermöglicht. Die Systemoperator-Instanzen, die idealerweise keine Kenntnis ihrer gegenseitigen Berechtigungen haben, können bei einer Anfrage nur feststellen, daß sie zusammen mit einer oder mehreren anderen Systemoperator-Instanzen dazu ausgewählt sind, für eine ihnen unbekannte Standard-Instanz den inneren Schlüssel durch Eingabe ihres äußeren Schlüssels zu entschlüsseln und damit den Zugang zu den Objektidentifikationsdaten und den Nutzdaten für diese Standard-Instanz zu ermöglichen.
Nachfolgend wird die Erfindung anhand der in den Zeichnungen dargestellten Ausführungsbeispiele eingehend erläutert. Es zeigt dabei
Fig.1 ein Blockschaltbild einer Ausführungsform des erfindungsgemäßen Datenverarbeitungssystems;
Fig.2 ein Blockschaltbild einer weiteren Ausführungsform des erfindungsgemäßen Datenverarbeitungssystems; Fig.3 eine schematische Darstellung eines Zugriffs-Schichtenmodells in Zusammenhang mit dem Aufbau eines Sicherheitsschlüssels;
Fig.4 den schematischen Ablauf zur Vergabe eines Sicherheitsschlüssels gemäß einer Ausführungsform des erfindungsgemäßen Verfahrens;
Fig.5 den schematischen Ablauf zur Herausgabe eines vorhandenen Sicherheitsschlüssels an eine bestehende Instanz gemäß einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens;
Fig.6 den schematischen Ablauf zum Hinzufügen neuer Nutzdaten gemäß einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens; Fig.7 den schematischen Ablauf zum Lesen vorhandener Nutzdaten gemäß einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens; Fig.8 den schematischen Ablauf zum Hinzufügen einer Assoziierten Instanz gemäß einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens und Fig. 9 den schematischen Ablauf zum Hinzufügen einer Autorisierten Instanz gemäß einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens;
Fig.1 zeigt ein Datenverarbeitungssystem zur Verarbeitung von Objektdaten einer Standard-Instanz 101 , welche stellvertretend für eine Person, ein System, einen Dateninhaber od. dgl. dargestellt ist. In dem in Fig.1 gezeigten Beispiel stellt die Standard-Instanz 101 als Objektdaten Personendaten bereit oder entnimmt diese einer als Personendaten-Datenbank 20 betriebenen Objektdaten-Datenbank, in welcher die Personendaten über Zugriffseinrichtungen 70 speicherbar oder abrufbar sind. In der Personendaten-Datenbank 20 können Daten von einer Vielzahl von Standard-Instanzen abgelegt sein.
Die in weiterer Folge als Beispiel dienende Verarbeitung von Patientendaten ist nicht als einschränkend zu verstehen, vielmehr können im Rahmen der Erfindung auch andere Arten von Daten, beispielsweise Dokumente in einem Unternehmen, bearbeitet werden, nicht nur die von Patienten.
Die Personendaten umfassen Objektidentifizierungsdaten, nämlich Personenidentifikationsdaten 100 und zugehörige Nutzdaten 110, wobei die Personenidentifikationsdaten Daten beinhalten, die eine Person, z.B. einen Patienten identifizieren, also etwa Sozialversicherungsnummer, Name, Geburtsdatum, Wohnort, Staatsbürgerschaft usw.
Getrennt von diesen Personenidentifikationsdaten sind die Nutzdaten 110 gespeichert, welche verschiedene Einträge und aufgezeichnete Anamnese Daten umfassen können, z.B. Röntgenaufnahmen, Mammographie-Daten, NMR-Daten, die für Diagnosen benötigt und eine bestimmte Zeit gespeichert werden können oder müssen.
Die Zugriffseinrichtungen sind in Fig.1 als zentrale Logik 70 dargestellt, die eine Vielzahl von Eingabe- und Ausgabevorrichtungen und eine Steuereinrichtung beinhaltet und eine Schnittstelle zwischen der Personendaten-Datenbank 20 und Instanzen 101 , 60, 50 und 40 darstellt, die Personendaten speichern oder abfragen.
Erfindungsgemäß sind die Personenidentifikationsdaten 100 und die Nutzdaten 110 in der Personendaten-Datenbank 20 voneinander getrennt speicherbar und abrufbar, sodaß allein aus den gespeicherten Datensätzen kein Zusammenhang zwischen den Objektidentifikationsdaten und den Nutzdaten ableitbar ist. Dies kann durch die Zugriffssteuerung (logisch) sowie durch räumlich getrenntes (physikalisch) Vorsehen von zwei Datenbanken geschehen.
Der Zugriff auf Personenidentifikationsdaten 100 in Verbindung mit den zugehörigen Nutzdaten 110 ist nur nach Eingabe eines Sicherheitsschlüssels gestattet, der für die jeweilige Standard-Instanz 101 vergeben ist, welche durch die Personenidentifikationsdaten 100 identifiziert ist. Wenn für eine Standard-Instanz 101 z.B. im Rahmen einer Untersuchung Daten aufgezeichnet werden, so erhält die Standard-Instanz 101 vom erfindungsgemäßen Datenverarbeitungssystem vergebenen Sicherheitsschlüssel, welcher ganz oder teilweise auf einem Sicherheits- Token gespeichert ist, z.B. auf einer Smartcard mit PIN-Kode od. dgl.
Somit kann die Standard-Instanz 101 unter Eingabe des Sicherheitsschlüssels auf die eigenen Nutzdaten 110 zugreifen, während andere Standard-Instanzen vom Zugriff ausgeschlossen sind. Damit ist sichergestellt, daß die gespeicherten Nutzdaten 110, z.B. Krankengeschichten, durch Außenstehende nicht mit einer konkreten Standard-Instanz 101 in Zusammenhang gebracht werden können.
Wie erwähnt können weitere Instanzen im erfindungsgemäßen Datenverarbeitungssystem zugelassen werden, denen andere Berechtigungen ermöglicht werden. So kann z.B. eine Forschungs-Instanz 40 vorgesehen sein, die zum Zwecke der Analyse ausschließlich Zugriff auf die Nutzdaten 110 hat. Dadurch kann in sinnvoller Weise auf die Nutzdaten 110 zugegriffen werden und diese für statistische Untersuchungen und Studien, z.B. zur Verbesserung der medizinischen Behandlung oder zu Diagnosezwecken, Verwendung finden ohne die Identität der Patienten preisgeben zu müssen. Durch die vollkommene Trennung der Personenidentifikationsdaten 100 und der Objektdaten 110 können Rückschlüsse aus den Nutzdaten 110 auf die Personenidentifikationsdaten 100 verhindert werden und die Anonymität der Standard-Instanzen bleibt gewahrt.
Es kann vorkommen, daß die Standard-Instanz 101 ihr Sicherheits-Token mit dem darauf abgelegten Sicherheitsschlüssel verliert oder zerstört. Um zu verhindern, daß die gespeicherten Nutzdaten 110 der jeweiligen Standard-Instanz 101 unwiederbringlich verlorengehen, weil die Zuordnung der Personendaten der Standard-Instanz 101 zu den Nutzdaten nicht mehr vorhanden wäre, kann für jede der Standard-Instanzen eine bzw. mehrere Wiedergewinnungs-Instanzen außerhalb der Objektdaten-Datenbank 20 definiert werden.
Im Ausführungsbeispiel gemäß Fig.1 sind als Wiedergewinnungs-Instanz mehrere voneinander unabhängige Systemoperator-Instanzen 30 vorhanden, aus denen jeweils zwei oder mehrere Systemoperator-Instanzen für eine zugeordnete Standard- Instanz auswählbar sind, ohne daß den ausgewählten Systemoperator-Instanzen die Identität der jeweils anderen ausgewählten Systemoperator-Instanz(en) oder der Standard-Instanzen bekannt ist, wobei der an die zugeordnete Standard-Instanz 101 vergebene Sicherheitsschlüssel den zumindest zwei ausgewählten Systemoperator- Instanzen zumindest teilweise zugänglich ist, sodaß ein gemeinsamer Zugriff auf die Personenidentifikationsdaten 100 in Verbindung mit den zugehörigen Nutzdaten 110 für die zugeordnete Standard-Instanz 101 ermöglicht ist.
Um die Unabhängigkeit der zumindest zwei Systemoperator-Instanzen sicherzustellen, sind diese für jede Standard-Instanz 101 an unterschiedlichen Orten vorgesehen und es wird ihnen die gegenseitige Zuordnung nicht bekanntgegeben.
Wenn einer der ausgewählten Systemoperator-Instanzen das System verlässt, kann der Sicherheitsschlüssel bzw. Teile des Sicherheitsschlüssels der Standard-Instanz 101 vorher erzeugt und an eine andere Systemoperator-Instanz weitergegeben werden.
Beim erfindungsgemäßen Verfahren zur Verarbeitung von Objektdaten, hier Personendaten einer Standard-Instanz 101 werden in einem Speicherschritt die Personendaten in der Personendaten-Datenbank 20 gespeichert und in einem Abfrageschritt aus der Personendaten-Datenbank 20 auf die Personendaten zugegriffen. Im Speicherschritt werden die Personenidentifikationsdaten 100 und die Nutzdaten 110 in der Personendaten-Datenbank 20 voneinander getrennt gespeichert, sodaß sie aus der Personendaten-Datenbank 20 getrennt abgerufen werden können. Allein aus den gespeicherten Datensätzen ist jedoch - wie bereits vorstehend erwähnt - kein Zusammenhang zwischen den Personenidentifikationsdaten 100 und den Nutzdaten 110 ableitbar.
Weiters werden im Vergabeschritt Sicherheitsschlüssel an jede der Standard- Instanzen 101 vergeben und für jede Standard-Instanz 101 eine Wiedergewinnungs- Instanz definiert, indem zwei oder mehrere Systemoperator-Instanzen aus mehreren, voneinander unabhängigen Systemoperator-Instanzen 30 ausgewählt werden, ohne daß den ausgewählten Systemoperator-Instanzen die Identität der jeweils anderen ausgewählten Systemoperator-Instanz(en) sowie der Standard-Instanz 101 selbst bekannt ist, wobei der Sicherheitsschlüssel der jeweiligen Standard-Instanz 101 zumindest teilweise auch an die zwei oder mehreren, ausgewählten Systemoperator- Instanzen vergeben wird.
Das Vorsehen einer Wiedergewinnungs-Instanz ist nicht zwingend erforderlich, schützt aber vor dem völligen Datenverlust für eine Standard-Instanz 101 , wenn der zugehörige Sicherheitsschlüssel verloren gehen sollte.
Im Abfrageschritt wird über die Standard-Instanz nach Eingabe des Sicherheitsschlüssels auf die Personen-Identifikationsdaten 100 in Verbindung mit den zugehörigen Nutzdaten 110 zugegriffen, und gegebenenfalls wird über die zwei oder mehreren Systemoperator-Instanzen nach gemeinsamer Eingabe des Sicherheitsschlüssels auf die Personen-Identifikationsdaten 100 in Verbindung mit den zugehörigen Nutzdaten 110 zugegriffen.
Der Sicherheitsschlüssel oder ein Teil davon verbleibt bei der Standard-Instanz 101 und gegebenenfalls weiteren von der Standard-Instanz 101 autorisierten Instanzen 50, 60 sowie assoziierten Instanzen und steht bei dem Einsatz der Systemoperatoren als eine der optionalen Wiedergewinnungs-Instanzen den zumindest zwei ausgewählten Systemoperator-Instanzen 30 für den gemeinsamen Zugriff zur Verfügung.
In einer Weiterbildung des erfindungsgemäßen Datenverarbeitungssystems können verschiedene Instanzen definiert sein, z.B. eine Standard-Instanz, eine assoziierte Instanz und eine autorisierte Instanz.
Die Standard-Instanz ist dabei die Inhaberin der Nutzdaten und hat unlimitierte Rechte, anderen Personen oder Instanzen den Zugriff auf die Nutzdaten zu gestatten. Die assoziierte Instanz wird durch die Standard-Instanz autorisiert und kann ebenfalls unbegrenzten Zugriff auf alle Daten der Standard-Instanz erhalten sowie die Berechtigung, weitere Instanzen zu autorisieren. Demgegenüber ist die autorisierte Instanz nur berechtigt, auf definierte Einträge der Datenbank 20 zuzugreifen, entsprechend der Autorisierung durch die Standard-Instanz oder die assoziierte Instanz. Weiters kann die assoziierte Instanz als Wiedergewinnungs- Instanz eingesetzt werden.
Im Ausführungsbeispiel gemäß Fig. 2 sind die Systemkomponenten so angeordnet, daß die jeweiligen Instanzen 101 , 50, 60 sowie 40 ohne der in Fig. 1 zwischengeschalteten Logik Zugriff auf die Objektdaten-Datenbank 20 hat. Die Logik wird somit dezentral realisiert.
Zur Erstellung des Sicherheitsschlüssels wird von der Logik 70 oder der Personendaten-Datenbank 20 für die Zuordnung von Personenidentifikationsdaten 100 und Nutzdaten 110 einer bestimmten Standard-Instanz 101 ein innerer Schlüssel der jeweiligen Standard-Instanz generiert und an diese Standard-Instanz 101 sowie optional an eine oder mehrere Wiedergewinnungs-Instanzen weitergeleitet. Der Sicherheitsschlüssel wird von dieser Standard-Instanz 101 und den Wiedergewinnungs-Instanzen mit jeweils einem äußeren Schlüssel verschlüsselt an die Objektdaten-Datenbank 20 zurückgesendet und dort abgelegt. Der Sicherheitsschlüssel kann zwei- oder mehrteilig ausgebildet sein, sodaß ein äußerer Schlüssel bei der Standard-Instanz verbleibt und über diesen auf einen nächstinneren Schlüssel zugegriffen bzw. dieser durch Entschlüsselung zugänglich gemacht werden kann. Dieser nächstinnere Schlüssel kann wiederum auf den seinerseits nächstinneren Schlüssel zugreifen, usw. Auf diese Weise können Zugriffsberechtigungen je nach Anzahl der verwendeten Schichten verschiedenartig festgelegt werden.
Bei Verlust des äußeren Schlüssels durch die Standard-Instanz kann z.B. eine weitere Instanz berechtigt sein kann, auf den nächstinneren Schlüssel zuzugreifen bzw. diesen durch Entschlüsselung zugänglich zu machen.
Fig. 3 zeigt ein zur Umsetzung der Erfindung verwendbares Zugriffs- Schichtenmodell. Es ist eine äußere Schicht 200 und eine innere Schicht 201 ausgebildet.
Die Standard-instanz 101 gibt den äußeren Schlüssel 90 der äußeren Schicht 200 ein und entschlüsselt damit in der inneren Schicht 201 den inneren Schlüssel der Standard-Instanz 101 , der wiederum den Zugriff auf die Nutzdaten CD der Standard- Instanz 101 mit der Nutzdatenidentifikation CID ermöglicht.
Zugleich verfügt die assoziierte Instanz 60 über einen äußeren Schlüssel 91 , der seinen inneren Schlüssel entschlüsselt, welcher hiermit Zugriff auf den inneren Schlüssel der Standard-Instanz 101 bietet. Ändert die Standard-Instanz 101 ihre inneren Schlüssel kann sie jederzeit einen weiteren Zugriff durch die assoziierte Instanz und die Systemoperator-Instanzen verhindern. Der äußere Schlüssel der Standard-Instanz kann dabei aber beibehalten werden.
Die beiden Systemoperator-Instanzen 30 (ver-)entschlüsseln den inneren Schlüssel der Standard-Instanz 101 mit ihren jeweiligen inneren Schlüsseln, der wiederum durch ihre äußeren Schlüssel 93 (ver-)entschlüsselt wird.
Für die autorisierte Instanz 50 liegt nur die Berechtigung für den Zugriff auf bestimmte Datensätze vor, die über den äußeren Schlüssel 92 und den inneren Schlüssel realisiert wird.
Wenn im Rahmen der Erfindung von einem äußeren und einem inneren Schlüssel die Rede ist, so können diese vorzugsweise jeweils aus einem privaten und einem öffentlichen Schlüssel gebildet sein, wodurch die Flexibilität erhöht wird.
Fig. 4 zeigt den Ablauf im erfindungsgemäßen Datenverarbeitungssystem für das Hinzufügen einer neuen Standard-Instanz 101. Folgende Schritte werden dabei ausgeführt, welche in Fig. 4 schematisch wiedergegeben sind:
Schritt (1): Die neue Standard-Instanz 101 identifiziert sich gegenüber der Logik 70 bzw. einer autorisierten Person.
Schritt (2): Die Personenidentifikationsdaten (SID) der Standard-Instanz 101 werden von der Logik 70 an die Datenbank 20 gesendet.
Schritt (3): Die Datenbank 20 meldet, daß die angegebene SID unbekannt ist.
Schritt (4): Die Logik 70 generiert für die hinzuzufügende Standard-Instanz einen neuen Sicherheits-Schlüssel, der ein Schlüsselpaar aus einem inneren Schlüssel sowie einem äußeren Schlüssel umfasst, und überträgt den privaten inneren Schlüssel KSo'1 verschlüsselt mit dem äußeren öffentlichen Schlüssel Ks der Standard-Instanz 101 zur Datenbank 20.
Schritt (5): Die Logik 70 überträgt den inneren privaten Schlüssel Kso"1 der Standard- Instanz 101 nacheinander verschlüsselt mit zwei oder mehreren öffentlichen
Schlüsseln K0o der Systemoperator-Instanzen 30 zur Datenbank 20. Damit steht der innere private Schlüssel Kso"1 der Standard-Instanz 101 den ausgewählten Standard- Instanzen gemeinsam zur Verfügung, wenn diese ihre inneren privaten Schlüssel anwenden, um den inneren privaten Schlüssel Kso"1 der Standard-Instanz 101 zu entschlüsseln.
Eine zweite Möglichkeit ist, daß der innere private Schlüssel Kso"1 der Standard- Instanz 101 aufgeteilt wird und mit den jeweiligen öffentlichen Schlüsseln Koo der Systemoperator-Instanzen 30 verschlüsselt in der Datenbank 20 gespeichert wird (beispielsweise unter Verwendung eines Threshold Schemes).
Schritt (6): Die Logik 70 überträgt den inneren öffentlichen Schlüssel Kso der Standard-Instanz 101 zur Datenbank 20. Auf diese Weise können Daten der Standard-Instanz 101 mit dem Schlüssel Kso verschlüsselt werden.
Schritt (7): Die Logik 70 überträgt den äußeren öffentlichen Schlüssel Ks der Standard-Instanz 101 zur Datenbank 20. Alternativ kann die Logik 70 die Verbindung zwischen den ausgewählten Systemoperatoren 30 und der zugehörigen Standard- Instanz 101 auch selbst verschlüsseln und so geheim halten.
Schritt (8): Die Logik 70 überträgt die Personenidentifikationsdaten (SID) der Standard-Instanz 101 verschlüsselt mit den inneren öffentlichen Schlüsseln Koo der Systemoperatoren 30 zur Datenbank 20.
Schritt (9): Die Logik 70 übergibt den äußeren privaten Schlüssel 90 (z.B. zur Speicherung auf einer Smartcard) an die entsprechende Standard-Instanz 101. Der äußere Schlüssel 90 ist somit Teil des Sicherheitsschlüssels und wird zum Zugriff auf den inneren Schlüssel der Standard-Instanz benötigt.
Sobald der Sicherheitsschlüssel an die Standard-Instanz 101 vergeben worden ist, bleibt er über seine gesamte Lebensdauer der Standard-Instanz im System einmalig vorhanden, oder die Standard-Instanz 101 entscheidet sich, ihn zu ändern. Fig.5 beschreibt den Ablauf zur Herausgabe eines neuen äußeren Sicherheitsschlüssels an eine bestehende Standard-Instanz. Folgende Schritte werden dabei ausgeführt, welche in Fig.5 schematisch wiedergegeben sind:
Schritt (1): Die Standard-Instanz 101 identifiziert sich gegenüber der Logik 70 bzw. einer autorisierten Person.
Schritt (2): Die Standard-Instanz 101 sendet ihre Personenidentifikationsdaten (SID) an die Logik 70.
Schritt (3): Die Logik 70 sendet die Personenidentifikationsdaten (SID) der Standard- Instanz 101 an die Datenbank 20.
Schritt (4): Die Datenbank 20 antwortet mit der Übermittlung aller den Systemoperatoren 30 zugewiesenen Personenidentifikationsdaten (SIDs).
Schritt (5): Die Logik 70 sendet die gewünschten Personenidentifikationsdaten (SID) der Standard-Instanz 101 sowie die den Systemoperatoren 30 zugewiesenen Personenidentifikationsdaten (SIDs) verschlüsselt mit dem inneren öffentlichen Schlüssel K0o des jeweiligen Systemoperators 30 an alle Systemoperatoren 30. Diese entschlüsseln ihre zugewiesenen Personenidentifikationsdaten (SIDs) mit ihrem inneren privaten Schlüssel K0o"1 und stellen durch Vergleich mit den gewünschten Personenidentifikationsdaten (SID) der Standard-Instanz 101 fest, ob sie für die jeweilige Standard-Instanz 101 zuständig sind.
Optional können die zugewiesenen Personenidentifikationsdaten (SIDs) zusätzlich mit dem öffentlichen Schlüssel KLo der Logik verschlüsselt sein. In diesem Fall können die Systemoperatoren 30 nicht feststellen, ob sie einer Standard-Instanz 101 zugeordnet sind. Es folgt daher die Übermittlung der einfach entschlüsselten zugewiesenen Personenidentifikationsdaten (SIDs) an die Logik 70.
Schritt (6): Die Systemoperatoren 30 benachrichtigen die Logik 70 über ihre Zuständigkeit betreffend der Standard-Instanz 101.
Optional können die Systemoperatoren 30 der Logik 70 auch die mit dem jeweiligen Systemoperator-Schlüssel entschlüsselten, aber noch mit dem öffentlichen Schlüssel KLO der Logik 70 verschlüsselten SIDs übermitteln. In diesem Fall entschlüsselt die Logik 70 die SIDs mit dem privaten Schlüssel KLO "1 der Logik 70 und stellt durch Vergleich mit den gewünschten Personenidentifikationsdaten (SID) der Standard Instanz 101 fest, welche Systemoperator-Instanzen 30 welcher Standard-Instanz 101 zugeordnet sind.
Schritt (7): Die Logik 70 sendet die Liste der zuständigen Systemoperatoren 30 an die Datenbank 20.
Schritt (8): Die Datenbank 20 übermittelt den inneren privaten Schlüssel Kso"1 der Standard-Instanz 101 nacheinander verschlüsselt mit zwei oder mehreren öffentlichen Systemoperator-Instanz 30-Schlüsseln Koo zur Logik 70.
Eine zweite Möglichkeit ist, daß der innere private Schlüssel Kso"1 der Standard- Instanz 101 aufgeteilt wurde und mit den jeweiligen öffentlichen Schlüsseln Koo der Systemoperator-Instanzen 30 verschlüsselt übertragen wird.
Schritt (9): Die Logik 70 überträgt den inneren privaten Schlüssel Kso"1 der Standard- Instanz 101 nacheinander verschlüsselt mit zwei oder mehreren öffentlichen Schlüsseln K0o der Systemoperatoren-Instanzen 30 zu den jeweilig zuständigen Systemoperatoren-Instanzen 30.
Eine zweite Möglichkeit ist, daß der Schlüssel KSo"1 der Standard-Instanz 101 aufgeteilt wurde und mit den jeweiligen öffentlichen Schlüsseln Koo der Systemoperator-Instanzen 30 verschlüsselt übertragen wird.
Schritt (10): Die Logik 70 sendet den neuen äußeren öffentlichen Schlüssel KS' der Standard-Instanz 101 an die jeweilig zuständigen Systemoperator-Instanzen 30. Schritt (11): Die jeweilig zuständigen Systemoperator-Instanzen 30 entschlüsseln nacheinander den inneren privaten Schlüssel Kso"1 der Standard-Instanz 101 mit ihren jeweiligen inneren privaten Schlüsseln K0o"1 und verschlüsseln den inneren privaten Schlüssel Kso"1 der Standard-Instanz 101 mit dem äußeren öffentlichen Schlüssel Ks^ der Standard-Instanz 101 und übertragen diesen an die Logik 70. Optional ist es hier möglich, daß zusätzlich eine Verschlüsselung mit dem Schlüssel KLO der Logik 70 vorgenommen wird, um die Schlüssel auch vor den Systemoperator-Instanzen geheim zu halten.
Eine zweite Möglichkeit ist, daß der Schlüssel Kso"1 der Standard-Instanz 101 aufgeteilt wird und mit den jeweiligen öffentlichen Schlüssel Koo der Systemoperator- Instanzen 30 verschlüsselt in der Datenbank 20 gespeichert wird
Schritt (12): Die Logik 70 übergibt den mit dem neuen äußeren öffentlichen Schlüssel KKSs'' ddeerr SSttaannddaarrdd--IInnssttaannzz 110011 vveerrsscchhllüüsssseellten inneren privaten Schlüssel Kso"1 der Standard-Instanz 101 an die Datenbank 20.
Schritt (13): Die Logik 70 ersetzt den bisher gültigen äußeren öffentlichen Schlüssel Ks der Standard-Instanz 101 durch den neuen äußeren öffentlichen Schlüssel Ks' der Standard-Instanz 101.
Schritt (14): Die Logik 70 übergibt den äußeren privaten Sicherheitsschlüssel 90 (z.B. Smartcard) an die entsprechende Standard-Instanz 101.
Für die Eintragung von Nutzdaten 110 in der Personendaten-Datenbank 20 werden weitere Sicherheitsschlüssel generiert, die mit dem inneren öffentlichen Schlüssel der Standard-Instanz verschlüsselt werden, wobei gegebenenfalls die weiteren Sicherheitsschlüssel mit dem inneren öffentlichen Schlüssel der autorisierten Instanz verschlüsselt werden.
Auf diese Weise kann kein direkter Zusammenhang zwischen den Nutzdaten 110 und der Standard-Instanz 101 hergestellt werden, indem über bestimmte Eigenschaften der Standard-Instanz 101 , z.B. über den Verlauf einer Krankheit, Rückschlüsse gezogen werden. Damit wird das Erstellen von Profilen über die Standard-Instanzen wirkungsvoll verhindert. Der weitere Sicherheitsschlüssel wird vorzugsweise von Zeit zu Zeit oder nach einer bestimmten Anzahl an Nutzdaten- Einträgen verändert.
Fig.6 beschreibt den Ablauf zum Hinzufügen neuer Nutzdaten. Folgende Schritte werden dabei ausgeführt, welche in Fig.6 schematisch wiedergegeben sind:
Schritt (1): Die Standard-Instanz 101 meldet sich im System durch Eingabe des Sicherheitsschlüssels an, indem z.B. ein PIN-Code eingegeben wird, um sich gegenüber einer Smartcard 90 zu authentifizieren.
Schritt (2): Die Standard-Instanz 101 übermittelt ihre Personenidentifikationsdaten (SID) an die Logik 70. Im gleichen Schritt wird der Standard-Instanz 101 auch der öffentliche Schlüssel der Logik 70 KLo bekannt gegeben.
Schritt (3): Die Standard-Instanz 101 übermittelt neue Nutzdaten (CD) an die Logik 70.
Schritt (4): Die Standard-Instanz 101 übermittelt eine indizierende Kennzeichnung ID (z.B. Suchbegriffe, Datum, etc.) verschlüsselt mit dem öffentlichen Schlüssel der Logik KLo an die Logik 70.
Schritt (5): Die Logik überträgt die Personenidentifikationsdaten (SID) der Standard- Instanz 101 an die Datenbank 20.
Schritt (6): Falls ein neuer Schlüssel erzeugt werden muss, informiert die Datenbank 20 die Logik 70. Schritt (7): Die Logik 70 erzeugt einen neuen Nutzdaten-Schlüssel Ksi und verschlüsselt diesen mit dem inneren öffentlichen Schlüssel Kso der Standard-Instanz 101 und übermittelt diesen an die Datenbank 20.
Schritt (8): Danach verschlüsselt die Logik 70 die Personenidentifikationsdaten (SID) der Standard-Instanz 101 mit dem Nutzdaten-Schlüssel Ksi und überträgt sie zur Datenbank 20. Dieses Merkmal wird als Nutzdaten-Identifikationscode (CID) bezeichnet.
Schritt (9): Danach entschlüsselt die Logik 70 die gewählte indizierende Kennzeichnung (z.B. Suchbegriffe, Datum, etc.) der Standard-Instanz 101 mit dem privaten Schlüssel der Logik KLo'1 und verschlüsselt die Kennzeichnung (ID) mit dem inneren öffentlichen Schlüssel Kso der Standard-Instanz 101.
Schritt (10): Abschließend überträgt die Logik 70 die Nutzdaten (CD) zur Datenbank 20 und bindet sie an die zuvor gebildeten Identifikationsdaten.
Fig.7 beschreibt den Ablauf zum Lesen vorhandener Nutzdaten. Folgende Schritte werden dabei ausgeführt, welche in Fig.7 schematisch wiedergegeben sind:
Schritt (1): Die Standard-Instanz 101 meldet sich im System durch Eingabe des Sicherheitsschlüssels an, indem z.B. ein PIN-Code eingegeben wird, um sich gegenüber einer Smartcard 90 zu authentifizieren.
Schritt (2): Die Standard-Instanz 101 übermittelt ihre Personen identifikationsdaten (SID) an die Logik 70.
Schritt (3): Die Logik 70 übermittelt die Personenidentifikationsdaten (SID) der Standard-Instanz 101 an die Datenbank 20.
Schritt (4): Die Datenbank 20 übermittelt alle indizierenden Kennzeichnungen (CIDs) verschlüsselt mit dem inneren öffentlichen Schlüssel KSo der Standard-Instanz 101 an die Logik 70.
Schritt (5): Die Logik 70 übermittelt alle indizierenden Kennzeichnungen (CIDs) verschlüsselt mit dem inneren öffentlichen Schlüssel Kso der Standard-Instanz an die Standard-Instanz 101.
Schritt (6): Die Standard-Instanz 101 entschlüsselt ihren inneren privaten Schlüssel Kso"1 mit ihrem äußeren privaten Schlüssel Ks"1. Anschließend benutzt sie den inneren privaten Schlüssel Kso"1, um die verschlüsselten indizierenden Kennzeichnungen (CIDs) zu entschlüsseln und eine Kennzeichnung (ID) sowie einen zugehörigen Nutzdaten-Schlüssel KSJ auszuwählen. Danach verschlüsselt sie ihre Personenidentifikationsdaten (SID) mit dem zur entsprechenden indizierten Kennzeichnung assoziierten Nutzdaten-Schlüssel Ksi und übermittelt den daraus resultierende Nutzdaten-Identifikationscode (CID) an die Logik 70.
Schritt (7): Die Logik 70 sendet den Nutzdaten-Identifikationscode an die Datenbank 20.
Schritt (8): Die Datenbank 20 sendet die Nutzdaten an die Logik 70.
Schritt (9): Die Logik übermittelt die Nutzdaten an die Standard-Instanz 101.
Fig.8 beschreibt den Ablauf zum Hinzufügen einer assoziierten Instanz. Folgende Schritte werden dabei ausgeführt, welche in Fig.8 schematisch wiedergegeben sind:
Schritt da. 1b): Die Standard-Instanz 101 und die assoziierte Instanz 60 melden sich im System durch Eingabe des Sicherheitsschlüssels an, indem z.B. ein PIN-Code eingegeben wird, um sich gegenüber einer Smartcard (z.B. 90 oder 91) zu authentifizieren. Schritt (2): Die Personenidentifikationsdaten (SID) der Standard-Instanz 101 werden von der Standard-Instanz 101 an die Logik 70 übermittelt.
Schritt (3): Die Logik 70 sendet die Personenidentifikationsdaten (SID) der Standard- Instanz 101 an die Datenbank 20.
Schritt (4): Die assoziierte Instanz 60 übermittelt ihre Personenidentifikationsdaten (AID) an die Logik 70.
Schritt (5): Die Logik 70 übermittelt die Personenidentifikationsdaten (AID) der assoziierten Instanz 60 an die Datenbank 20.
Schritt (6): Die Datenbank 20 übermittelt den inneren öffentlichen Schlüssel KSo der Standard-Instanz 101 an die Logik 70.
Schritt (7): Die Datenbank 20 übermittelt den inneren öffentlichen Schlüssel KAO der assoziierten Instanz 60 an die Logik 70.
Schritt (8): Die Datenbank 20 sendet den inneren privaten Schlüssel Kso"1 der Standard-Instanz 101 verschlüsselt mit dem äußeren öffentlichen Schlüssel Ks der Standard-Instanz 101 an die Logik 70.
Schritt (9): Die Logik 70 sendet den inneren privaten Schlüssel Kso"1 der Standard- Instanz 101 verschlüsselt mit dem äußeren öffentlichen Schlüssel Ks der Standard- Instanz 101 an die Standard-Instanz 101.
Schritt (10): Die Logik 70 sendet den inneren öffentlichen Schlüssel KAO der assoziierten Instanz 60 an die Standard-Instanz 101.
Schritt (11): Die Standard-Instanz 101 entschlüsselt ihren inneren privaten Schlüssel Kso"1 mit ihrem äußeren privaten Schlüssel Ks"1 und verschlüsselt ihren inneren privaten Schlüssel Kso"1 rnit dem inneren öffentlichen Schlüssel KAO der assoziierten Instanz 60 und übermittelt diesen an die Logik 70.
Schritt (12): Die Logik 70 sendet den inneren privaten Schlüssel Kso"1 verschlüsselt mit dem inneren öffentlichen Schlüssel KAO der assoziierten Instanz 60 an die Datenbank 20.
Schritt (13): Die Logik 70 sendet die Personenidentifikationsdaten (SID) der Standard-Instanz 101 verschlüsselt mit dem inneren öffentlichen Schlüssel KAO der assoziierten Instanz 60 an die Datenbank 20.
Schritt (14): Die Logik 70 sendet die Personenidentifikationsdaten (AID) der assoziierten Instanz 60 verschlüsselt mit dem inneren öffentlichen Schlüssel Kso der Standard-Instanz 101 an die Datenbank 20.
Fig.9 beschreibt den Ablauf zum Hinzufügen einer autorisierten Instanz 50. Folgende Schritte werden dabei ausgeführt, welche in Fig.9 schematisch wiedergegeben sind:
Schritt (1): Die Standard-Instanz 101 und die autorisierte Instanz 50 melden sich im System durch Eingabe des Sicherheits-Tokens an, indem z.B. ein PIN-Code eingegeben wird, um sich gegenüber einer Smartcard (z.B. 90 oder 92) zu authentifizieren. Im gleichen Schritt wird der Standard-Instanz 101 auch der öffentliche Schlüssel der Logik KLO bekanntgegeben.
Schritt (2): Die Personenidentifikationsdaten (SID) der Standard-Instanz 101 werden von der Standard-Instanz an die Logik 70 übermittelt.
Schritt (3): Die Logik 70 sendet die Personenidentifikationsdaten (SID) der Standard- Instanz 101 an die Datenbank 20.
Schritt (4): Die autorisierte Instanz 50 übermittelt ihre Personenidentifikationsdaten (BID) an die Logik 70. Schritt (5): Die Logik übermittelt die Personenidentifikationsdaten (BID) der autorisierten Instanz 50 an die Datenbank 20.
Schritt (6): Falls ein neuer Schlüssel erzeugt werden muss, informiert die Datenbank 20 die Logik 70.
Schritt (7): Die Datenbank 20 übermittelt den inneren öffentlichen Schlüssel Kso der Standard-Instanz 101 an die Logik 70.
Schritt (8): Die Datenbank 20 übermittelt den inneren öffentlichen Schlüssel KBo der autorisierten Instanz 50 an die Logik 70.
Schritt (9): Die Datenbank 20 übermittelt alle indizierenden Kennzeichnungen (CIDs) verschlüsselt mit dem inneren öffentlichen Schlüssel Kso der Standard-Instanz 101 an die Logik 70.
Schritt (10): Die Logik 70 übermittelt alle indizierenden Kennzeichnungen (CIDs) verschlüsselt mit dem inneren öffentlichen Schlüssel Kso der Standard-Instanz 101 an die Standard-Instanz 101.
Schritt (11): Die Standard-Instanz 101 übermittelt eine indizierende Kennzeichnung inklusive zugehörigem Nutzdaten-Schlüssel Ksi (z.B. Suchbegriffe, Datum, etc.) verschlüsselt mit dem öffentlichen Schlüssel KLo an die Logik 70.
Schritt (12): Danach entschlüsselt die Logik 70 die gewählte indizierende Kennzeichnung (z.B. Suchbegriffe, Datum, etc.) der Standard-Instanz 101 mit dem privaten Schlüssel der Logik KLO "1 und verschlüsselt die Kennzeichnung mit dem inneren öffentlichen Schlüssel KBo der autorisierten Instanz 50 und überträgt diese zur Datenbank 20.
Schritt (13): Anschließend verschlüsselt die Logik 70 den gewählten Nutzdaten- Schlüssel KSi mit dem inneren öffentlichen Schlüssel KBo der autorisierten Instanz 60 und überträgt diesen zur Datenbank 20.
Schritt (14): Die Logik 70 sendet die Personenidentifikationsdaten (SID) der Standard-Instanz 101 verschlüsselt mit dem inneren öffentlichen Schlüssel KBo der autorisierten Instanz 50 an die Datenbank 20.
Schritt (15): Die Logik 70 sendet die Personenidentifikationsdaten (BID) der autorisierten Instanz 50 verschlüsselt mit dem inneren öffentlichen Schlüssel Kso der Standard-Instanz 101 an die Datenbank 20.

Claims

P A T E N T A N S P R Ü C H E
1. Datenverarbeitungssystem zur Verarbeitung von Objektdaten einer Vielzahl von Standard-Instanzen (101), wobei die Objektdaten Objektidentifikationsdaten (100) und zugehörige Nutzdaten (110) umfassen, mit einer Objektdaten-Datenbank (20), in welcher die Objektdaten über Zugriffseinrichtungen speicherbar und abrufbar sind, dadurch gekennzeichnet,
daß die Objektidentifikationsdaten (100) und die Nutzdaten (110) in der Objektdaten- Datenbank (20) voneinander getrennt speicherbar und abrufbar sind, sodaß allein aus den gespeicherten Datensätzen kein Zusammenhang zwischen den Objektidentifikationsdaten (100) und den Nutzdaten (110) ableitbar ist,
daß zumindest eine Eingabevorrichtung vorgesehen ist, welche bei Eingabe eines von für die Standard-Instanzen (101) vergebenen Sicherheitsschlüssel den Zugriff auf die Objektidentifikationsdaten (100) der zugeordneten Standard-Instanz und auf die zugehörigen Nutzdaten (110) ermöglicht,
daß gegebenenfalls für jede der Standard-Instanzen (101) zumindest eine zugeordnete Wiedergewinnungs-Instanz, z.B. außerhalb der Objektdaten-Datenbank (20), definiert ist, über welche bei Verlust des Sicherheitsschlüssels dieser wieder erzeugt werden kann, und
daß der Sicherheitsschlüssel oder ein Teil davon bei der Standard-Instanz (101) und gegebenenfalls zusätzlich bei der zugeordneten Wiedergewinnungs-Instanz und/oder bei weiteren von der Standard-Instanz bestimmten Instanzen (50, 60) verbleibt oder von diesen auf ihn zugegriffen werden kann.
2. Datenverarbeitungssystem nach Anspruch 1 , dadurch gekennzeichnet, daß mehrere voneinander unabhängige Systemoperator-Instanzen (30) vorhanden sind, aus denen zwei oder mehrere Systemoperator-Instanzen für eine der Standard- Instanzen (101) als die dieser zugeordneten Wiedergewinnungs-Instanz definiert sind, ohne daß den ausgewählten Systemoperator-Instanzen die Identität der jeweils anderen ausgewählten Systemoperator-Instanz(en) sowie der Standard-Instanz(en) bekannt ist, wobei den zumindest zwei ausgewählten Systemoperator-Instanzen ein gemeinsamer Zugriff auf die Objektidentifikationsdaten in Verbindung mit den zugehörigen Nutzdaten für die jeweilige Standard-Instanz möglich ist.
3. Datenverarbeitungssystem nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß weitere Instanzen (60, 50) definiert sind, welche durch die Standard-Instanzen (101) zum vollen oder teilweisen Datenzugriff autorisiert sind.
4. Datenverarbeitungssystem nach Anspruch 3, dadurch gekennzeichnet, daß die weiteren Instanzen eine oder mehrere assoziierte Instanzen (60) umfassen, die jeweils durch eine der Standard-Instanzen (101) autorisiert sind und die gleiche Zugriffsberechtigung wie diese aufweisen sowie weitere Instanzen autorisieren können, falls dies von der Standard-Instanz erlaubt wird.
5. Datenverarbeitungssystem nach Anspruch 4, dadurch gekennzeichnet, daß die assoziierten Instanzen (60) als Wiedergewinnungs-Instanzen definiert sind.
6. Datenverarbeitungssystem nach einem der Ansprüche 4 oder 5, dadurch gekennzeichnet, daß die weiteren Instanzen eine oder mehrere autorisierte
Instanzen (50) umfassen, die jeweils durch eine der Standard-Instanzen (101) autorisiert sind, auf vorbestimmte Einträge in der Objektdaten-Datenbank (20) zuzugreifen. Bei vorbestimmten Einträgen kann es sich um alle Daten handeln, die der Standard-Instanz zugeordnet und durch diese für den Zugriff durch autorisierte Instanzen freigegeben werden können (z.B. bestimmte Patienten- oder Gesundheitsdaten).
7. Datenverarbeitungssystem nach Anspruch 4, 5 oder 6, dadurch gekennzeichnet, daß die weiteren Instanzen eine oder mehrere Forschungs- Instanzen (40) umfassen, die zum Zwecke der Analyse ausschließlich Zugriff auf die Nutzdaten (110) haben.
8. Datenverarbeitungssystem nach einem der Ansprüche 1-7, dadurch gekennzeichnet, daß jedem Eintrag mit Nutzdaten in der Objektdaten-Datenbank (20) eine Nutzdaten-Identifikation zugeordnet ist.
9. Datenverarbeitungssystem nach einem der Ansprüche 1-7, dadurch gekennzeichnet, daß der Sicherheitsschlüssel oder Teile davon auf einem Sicherheitstoken gespeichert ist, z.B. auf einer Smartcard (90, 91 , 92, 93), welche über einen PIN-Kode verfügt.
10. Datenverarbeitungssystem nach einem der Ansprüche 1-7, dadurch gekennzeichnet, daß die Objektdaten-Datenbank (20) durch zwei separate Datenbanken gebildet ist, wobei in der einen Datenbank Objektidentifikationsdaten und in der anderen Datenbank Nutzdaten gespeichert sind.
11. Datenverarbeitungssystem nach einem der Ansprüche 1-7, dadurch gekennzeichnet, daß die Objektdaten-Datenbank eine Personendaten-Datenbank ist und die Objektidentifikationsdaten (100) Personendaten, insbesondere Patientendaten sind.
12. Datenverarbeitungssystem nach einem der Ansprüche 1-7, dadurch gekennzeichnet, daß der Sicherheitsschlüssel jeder der Standard-Instanzen (101) aus einem oder mehreren inneren und einem oder mehreren äußeren Schlüssel gebildet ist, wobei die Verbindung der Nutzdaten mit den Objektidentifikationsdaten der jeweiligen Standard-Instanz dadurch erreicht wird, dass es einen innersten Schlüssel gibt, mit dem die Objektidentifikationsdaten verschlüsselt werden. Der äußere Schlüssel verbleibt jeweils bei den Standard-Instanzen (101) und bietet die Möglichkeit des Zugriffs auf den inneren Schlüssel. Der innere Schlüssel dient als Zugriffsmöglichkeit auf die innersten Schlüssel.
13. Verfahren zur Verarbeitung von Objektdaten von Standard-Instanzen, welche Objektidentifikationsdaten (100) und zugehörige Nutzdaten (110) umfassen, wobei in einem Speicherschritt die Objektdaten in einer Objektdaten-Datenbank (20) gespeichert und in einem Abfrageschritt aus der Objektdaten-Datenbank auf die Objektdaten zugegriffen wird und diese abgerufen werden, dadurch gekennzeichnet,
daß im Speicherschritt die Objektidentifikationsdaten (100) und die Nutzdaten (110) in der Objektdaten-Datenbank (20) voneinander getrennt gespeichert werden, sodaß sie aus der Objektdaten-Datenbank (20) getrennt abgerufen werden können, allein aus den gespeicherten Datensätzen jedoch kein Zusammenhang zwischen den Objektidentifikationsdaten (100) und den Nutzdaten (110) ableitbar ist,
daß in einem Vergabeschritt Sicherheitsschlüssel an jede der Standard-Instanzen (101) vergeben werden, die ein Zugreifen auf die Objektidentifikationsdaten und die zugehörigen Nutzdaten für jede der Standard-Instanzen ermöglichen, wobei gegebenenfalls für jede der Standard-Instanzen eine Wiedergewinnungs-Instanz definiert wird, über welche bei Verlust des Sicherheitsschlüssels dieser wieder erzeugt werden kann,
daß jede der Standard-Instanzen weiteren Instanzen (60, 50) den vollen oder teilweisen Datenzugriff auf ihre Objektdaten gestatten kann,
und daß in einem Abfrageschritt über eine der Standard-Instanzen oder gegebenenfalls eine Wiedergewinnungs-Instanz und/oder eine der weiteren Instanzen (60, 50) nach Eingabe des Sicherheitsschlüssels oder eines Teils davon auf die Objektidentifikationsdaten (100) in Verbindung mit den zugehörigen Nutzdaten (110) zugegriffen wird.
14. Verfahren nach Anspruch 13, dadurch gekennzeichnet, daß für jede Standard-Instanz (101) zwei oder mehrere Systemoperator-Instanzen aus mehreren, voneinander unabhängigen Systemoperator-Instanzen (30) ausgewählt werden, ohne daß den ausgewählten Systemoperator-Instanzen die Identität der jeweils anderen ausgewählten Systemoperator-Instanz(en) bekannt ist, daß der Sicherheitsschlüssel der jeweiligen Standard-Instanz (101) auch an die zwei oder mehreren, ausgewählten Systemoperator-Instanzen vergeben wird, sowie den zumindest zwei ausgewählten Systemoperator-Instanzen für den gemeinsamen Zugriff zur Verfügung steht,
und gegebenenfalls im Abfrageschritt über die zwei oder mehreren Systemoperator- Instanzen nach gemeinsamer Eingabe des Sicherheitsschlüssels auf die Objektidentifikationsdaten in Verbindung mit den zugehörigen Nutzdaten zugegriffen wird.
15. Verfahren nach Anspruch 13, dadurch gekennzeichnet, daß eine der weiteren Instanzen als Wiedergewinnungs-Instanz definiert ist, und bei Verlust des Sicherheitsschlüssels dieser über diese weitere Instanz erzeugt wird.
16. Verfahren nach Anspruch 14, dadurch gekennzeichnet, daß zur Erstellung des Sicherheitsschlüssels von einer Logik (70) für die Zuordnung von
Objektidentifikationsdaten (100) und Nutzdaten (110) einer bestimmten Standard- Instanz (101) ein innerer Schlüssel der jeweiligen Standard-Instanz generiert wird und an diese Standard-Instanz (101) sowie an die zumindest zwei ausgewählten Systemoperator-Instanzen weitergeleitet wird, und daß der innere Schlüssel von dieser Standard-Instanz (101) und von den Systemoperator-Instanzen mit jeweils einem inneren Schlüssel verschlüsselt an die Objektdaten-Datenbank (20) zurückgesendet und dort abgelegt wird.
17. Verfahren nach Anspruch 16, dadurch gekennzeichnet, daß für die Eintragung von Nutzdaten (110) in der Objektdaten-Datenbank (20) ein weiterer
Sicherheitsschlüssel generiert wird, der mit einem Sicherheitsschlüssel der Standard- Instanz und einem Sicherheitsschlüssel der ausgewählten Systemoperator-Instanzen verschlüsselt wird, wobei gegebenenfalls der weitere Sicherheitsschlüssel mit dem inneren Schlüssel der autorisierten und/oder assoziierten Instanz verschlüsselt wird.
PCT/AT2007/000524 2006-11-21 2007-11-21 Datenverarbeitungssystem zur verarbeitung von objektdaten WO2008061267A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
AT19282006A AT503291B1 (de) 2006-11-21 2006-11-21 Datenverarbeitungssystem zur verarbeitung von objektdaten
ATA1928/2006 2006-11-21

Publications (1)

Publication Number Publication Date
WO2008061267A1 true WO2008061267A1 (de) 2008-05-29

Family

ID=38474507

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/AT2007/000524 WO2008061267A1 (de) 2006-11-21 2007-11-21 Datenverarbeitungssystem zur verarbeitung von objektdaten

Country Status (2)

Country Link
AT (1) AT503291B1 (de)
WO (1) WO2008061267A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030074564A1 (en) * 2001-10-11 2003-04-17 Peterson Robert L. Encryption system for allowing immediate universal access to medical records while maintaining complete patient control over privacy
US20050138374A1 (en) * 2003-12-23 2005-06-23 Wachovia Corporation Cryptographic key backup and escrow system
WO2005088899A1 (en) * 2004-03-15 2005-09-22 Lockstep Consulting Pty Ltd System and method for anonymously indexing electronic record systems

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19925910B4 (de) * 1999-06-07 2005-04-28 Siemens Ag Verfahren zum Be- oder Verarbeiten von Daten
CA2462981A1 (en) * 2001-10-11 2003-04-24 Symbasis Gmbh Data processing system for patient data
JP2007531124A (ja) * 2004-03-26 2007-11-01 コンヴァージェンス シーティー 患者医療データ記録のアクセス及び利用を制御するためのシステム及び方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030074564A1 (en) * 2001-10-11 2003-04-17 Peterson Robert L. Encryption system for allowing immediate universal access to medical records while maintaining complete patient control over privacy
US20050138374A1 (en) * 2003-12-23 2005-06-23 Wachovia Corporation Cryptographic key backup and escrow system
WO2005088899A1 (en) * 2004-03-15 2005-09-22 Lockstep Consulting Pty Ltd System and method for anonymously indexing electronic record systems

Also Published As

Publication number Publication date
AT503291B1 (de) 2007-09-15
AT503291A4 (de) 2007-09-15

Similar Documents

Publication Publication Date Title
EP1290530B1 (de) Verschlüsseln von abzuspeichernden daten in einem iv-system
DE69731338T2 (de) Verfahren und System zum sicheren Übertragen und Speichern von geschützter Information
EP2409452B1 (de) Verfahren zur bereitstellung von kryptografischen schlüsselpaaren
DE19925910A1 (de) Verfahren zum Be- oder Verarbeiten von Daten
EP2147388B1 (de) Computersystem und verfahren zur speicherung von daten
EP3452941B1 (de) Verfahren zur elektronischen dokumentation von lizenzinformationen
DE60117757T2 (de) Schlüssel- und schliesseinrichtung
EP2122588B1 (de) Chipkarte mit einer erstnutzerfunktion, verfahren zur wahl einer kennung und computersystem
DE102006012311A1 (de) Verfahren und Vorrichtung zur Pseudonymisierung von digitalen Daten
EP3471068A1 (de) Verteiltes system zum verwalten von personenbezogenen daten, verfahren und computerprogrammprodukt
EP1084465A1 (de) Verfahren zum abgesicherten zugriff auf daten in einem netzwerk
DE102017115298A1 (de) Verfahren zur Delegation von Zugriffsrechten
DE10156877B4 (de) Verfahren und System zum gesicherten Speichern und Auslesen von Nutzdaten
DE102010037326B4 (de) Verfahren zum anonymen Zusammenführen von vertraulichen Daten und zugehörigen Identifizierungsdaten
AT503291B1 (de) Datenverarbeitungssystem zur verarbeitung von objektdaten
DE10307996B4 (de) Verfahren zum Ver- und Entschlüsseln von Daten durch verschiedene Nutzer
DE10209780B4 (de) Datenverarbeitungssystem für Patientendaten
WO2007076840A1 (de) Datenobjektverarbeitungssystem und verfahren zur bearbeitung von elektronischen datenobjekten
DE102017000514B3 (de) Vorrichtungen, systeme und verfahren zum entriegeln eines schlosses eines schloss-systems
EP1650630B1 (de) Computersystem und Verfahren zur Speicherung von Daten
DE102017103519A1 (de) Verfahren zum gesicherten Zugriff auf Daten
DE10307995B4 (de) Verfahren zum Signieren von Daten
DE202023100943U1 (de) Auf maschinellem Lernen basierendes System für einen dynamischen Verschlüsselungsdienst, der die Sicherheit von Gesundheitsdaten im Krankenhausdatenmanagement aufrechterhalten kann
DE202021100647U1 (de) Personendatenanonymisierungssystem (PDAS) mit kundenspezifischem Token
EP2538627A1 (de) Verfahren zum Betreiben eines Engineering-Systems mit Benutzeridentifikation und Vorrichtung

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 07815190

Country of ref document: EP

Kind code of ref document: A1

DPE2 Request for preliminary examination filed before expiration of 19th month from priority date (pct application filed from 20040101)
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 07815190

Country of ref document: EP

Kind code of ref document: A1