AT500264A2 - Verfahren zur steuerung - Google Patents

Verfahren zur steuerung Download PDF

Info

Publication number
AT500264A2
AT500264A2 AT0205404A AT20542004A AT500264A2 AT 500264 A2 AT500264 A2 AT 500264A2 AT 0205404 A AT0205404 A AT 0205404A AT 20542004 A AT20542004 A AT 20542004A AT 500264 A2 AT500264 A2 AT 500264A2
Authority
AT
Austria
Prior art keywords
user
stored
access
sensitive data
data
Prior art date
Application number
AT0205404A
Other languages
English (en)
Inventor
Bernt Bieber
Dirk Wesloh
Original Assignee
Siemens Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Ag filed Critical Siemens Ag
Publication of AT500264A2 publication Critical patent/AT500264A2/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/40User authentication by quorum, i.e. whereby two or more security principals are required
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H40/00ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
    • G16H40/40ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the management of medical equipment or devices, e.g. scheduling maintenance or upgrades
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99931Database or file accessing
    • Y10S707/99939Privileged access

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Bioethics (AREA)
  • Medical Informatics (AREA)
  • Epidemiology (AREA)
  • Databases & Information Systems (AREA)
  • Primary Health Care (AREA)
  • Public Health (AREA)
  • Storage Device Security (AREA)
  • Measuring And Recording Apparatus For Diagnosis (AREA)
  • Medical Treatment And Welfare Office Work (AREA)

Description

Moderne technische Einrichtungen und insbesondere medizinische Geräte (z.B. Kernspintomographen) weisen eine hohe Komplexität auf. Hierdurch ist es beispielsweise bei der Fehlfunktion eines Kernspintomographen häufig nicht ausreichend, einen einzelnen, allgemein qualifizierten Mitarbeiter zur Behebung des Fehlers heranzuziehen. Vielmehr ist es vielfach erforderlich, aus einem Pool hochqualifizierter Experten den für die Behebung des jeweiligen Fehlers spezialisierten Experten heranzuziehen.
Dies ist besonders bei einer räumlich verteilten Anordnung der technischen Einrichtungen problematisch, da solche hoch-qualifizierten Experten nicht an allen Orten gleichermaßen verfügbar sind.
Zudem müssen die hochqualifizierten Mitarbeiter im Falle einer Fehlermeldung bei einer räumlich verteilten Anordnung hochentwickelter technischer Einrichtungen oft große Wege zurücklegen, um eine fehlerhafte technische Einrichtung zu reparieren.
Die langen Anfahrtszeiten der für die Reparatur ausgeschickten Experten haben entsprechend lange Ausfallzeiten der jeweiligen technischen Einrichtungen zur Folge.
In diesem Zusammenhang ist zu betonen, dass derartige technische Einrichtungen häufig durch komplexe Softwareprogramme gesteuert werden. Die hohe Komplexität der verwendeten Software führt dazu, dass ein Großteil der Störungen von komplexen technischen Einrichtungen wie z.B. Kernspintomographen weniger auf Materialfehler als vielmehr auf Softwarefehler zurückzuführen sind. 1 • * ·· ♦· • · ♦ · • · • I · I · · Μ ···· ·· ·*·· «
Zur Lösung dieser Problematik ist es im Stand der Technik bekannt, eine Fehlerbehebung einer softwaregesteuerten komplexen technischen Einrichtung durch Fernwartung durchzuführen.
Hierfür ist die technische Einrichtung beispielsweise über das Internet mit einem Servicecenter verbunden, an dem eine Vielzahl von hochqualifizierten Mitarbeitern versammelt ist.
Im Falle einer Störung schickt die technische Einrichtung automatisch eine Fehlermeldung an das Servicecenter.
Die an dem Servicecenter versammelten Experten analysieren die Störung anhand der übermittelten Fehlermeldung und versuchen die Störung durch Überspielung einer korrigierten Software an die technische Einrichtung über das Internet zu beheben.
Das Dokument US 2003/0154274 Al offenbart ein System, das einen effizienten Datenaustausch innerhalb eines Netzwerkes bei der Verwendung von portablen Datenstationen erlaubt. Das System enthält eine erste Datenstation, die bestimmte Daten speichert, sowie eine zweite Datenstation, welche Zugriffsrechte auf die in der ersten Datenstation gespeicherten Daten kontrolliert. Die zweite Datenstation ermächtigt weitere Datenstationen zum Zugriff auf gewünschte Daten. Hierfür erhält die erste Datenstation eine Anfrage in Form eines Datenzeichens (token) und gibt unter der Voraussetzung, dass das Datenzeichen gültig ist, die entsprechenden Daten an den Antragsteller aus. Zur Erstellung eines derartigen Datenzeichens ist erforderlich, dass ein Benutzer der ersten Datenstation mit einem Benutzer einer anfragenden Datenstation ausdrücklich über den jeweiligen Datenaustausch übereinkommt.
Aufgrund der in vielen Ländern geltenden rechtlichen Rahmenbedingungen ist es jedoch derzeit nicht möglich, ein Fernwartungssystem auch für medizinische Geräte einzusetzen, da medizinische Geräte in aller Regel sensible Patientendaten ent- 2 • «
• t ♦· « • ι»ι· · · · · « · halten können und damit strengen Datenschutzvorschriften unterliegen.
Derartige sensible Patientendaten dürfen beispielsweise gemäß 5 der Rechtslage in Deutschland nur dem jeweiligen Arzt oder einem dem Betrieb des Arztes zuzuordnenden Gehilfen des Arztes zugänglich gemacht werden.
Um als Gehilfe des Arztes im Sinne der rechtlichen Vorschrif-10 ten zu gelten, muss ein für die Fehlerbehebung des medizinischen Gerätes eingesetzter Experte dem Arzt bekannt und die Gesamtzahl der für den Arzt zuständigen Experten stark begrenzt sein. Nur in diesem Fall kann von einer Einbindung des jeweiligen Experten in die Organisation des Arztes ausgegan-15 gen werden kann, wodurch einen Zugriff auf sensible Patientendaten zulässig wird.
Aufgrund der entsprechenden Vorschriften des Datenschutzes treten derartige sensible Daten jedoch nicht nur im Bereich 20 der Medizin sondern auch in anderen Bereichen auf.
Es ist daher Aufgabe der vorliegenden Erfindung, ein Verfahren und eine Anordnung zur Steuerung des Zugriffes auf in einer technischen Einrichtung gespeicherte sensible Daten be-25 reitzustellen, welche auf besonders einfache und gleichwohl zuverlässige Weise sicherstellt, dass nur von einem jeweiligen Benutzer der technischen Einrichtung legitimierte Personen Zugriff auf die sensible Daten erhalten können. 30 Die Aufgabe wird gemäß den Merkmalen der unabhängigen Ansprüche 1 und 17 gelöst. Die Erfindung wird in den jeweiligen Unteransprüchen weitergebildet.
Gemäß der vorliegenden Erfindung weist ein Verfahren zur 35 Steuerung des Zugriffs auf in einer ersten Einrichtung gespeicherte sensible Daten durch eine mit der ersten Einrich- 3 • 4 * · ·* 99 • ··· • · · \ • 4 I · · · · ···« ···♦ 4 · 99 tung verbundene zweite Einrichtung die folgenden Schritte auf: - Anmeldung eines Zugriffs der zweiten Einrichtung auf in der ersten Einrichtung gespeicherte sensible Daten durch einen ersten Benutzer der ersten Einrichtung und Übermittlung der Anmeldung an die zweite Einrichtung; - Abfrage einer ersten eindeutigen Identifizierung des ersten Benutzers durch die erste Einrichtung; - Abfrage einer zweiten eindeutigen Identifizierung eines zweiten Benutzers der zweiten Einrichtung durch die zweite Einrichtung; - Überprüfung der durch die Abfragen gewonnenen Konstellation des ersten und zweiten Benutzers anhand einer vorgegebenen Zuordnungsdatei, wobei die Zuordnungsdatei jedem ersten Benutzer einen oder mehrere erlaubte zweite Benutzer zuordnet; - Freischaltung des Zugriffs der zweiten Einrichtung auf in der ersten Einrichtung gespeicherte sensible Daten, wenn die Überprüfung der Zuordnung eine erlaubte Konstellation von erstem und zweitem Benutzer feststellt; und - Unterbindung des Zugriffs der zweiten Einrichtung auf in der ersten Einrichtung gespeicherte sensible Daten, wenn die Überprüfung der Zuordnung keine erlaubte Konstellation von erstem und zweitem Benutzer feststellt oder ein Zugriff der zweiten Einrichtung auf in der ersten Einrichtung gespeicherte sensible Daten durch den ersten Benutzer nicht angemeldet wurde.
Da gemäß dem erfindungsgemäßen Verfahren ein Zugriff auf in der ersten Einrichtung gespeicherte sensible Daten nur nach Anmeldung durch den ersten Benutzer möglich ist, behält der erste Benutzer die absolute Kontrolle über die sensiblen Daten.
Durch die eindeutige Identifizierung von sowohl dem (ersten) Benutzer der ersten Einrichtung als auch dem (zweiten) Benutzer der zweiten Einrichtung wird vor Freischaltung eines Zugriffes auf sensible Daten sichergestellt, dass der (zwei- 4
• # ♦ · * ·« te) Benutzer der zweiten Einrichtung einem vorgegebenen Kreis von Personen angehört, die von dem jeweiligen (ersten) Benutzer der ersten Einrichtung zum Zugriff auf die sensiblen Daten ermächtigt sind. 5
Durch die erfindungsgemäße Verwendung einer Zuordnungsdatei kann der für einen Zugriff auf die sensiblen Daten legitimierte Kreis an (zweiten) Benutzern auf besonders einfache Weise für einen jeweiligen ersten Benutzer festgelegt und an 10 diesen angepasst werden. Dies ist insbesondere bei ersten technischen Einrichtungen, die von einer Vielzahl von ersten Benutzern genutzt werden, von erheblicher Bedeutung, um eine Fernwartung zu ermöglichen. 15 Der Zugriff auf eine vorgegebene Zuordnungsdatei, in der für jeden ersten Benutzer ein oder mehrere erlaubte zweite Benutzer zugeordnet sind, weist zudem eine hohe Transparenz und Rechtsicherheit auf, die es einem ersten Benutzer auf besonders einfache Art und Weise durch Auslesen der Zuordnungsda-20 tei ermöglicht, einen ständigen Überblick über für einen
Zugriff von sensiblen Daten des jeweiligen ersten Benutzers legitimierte zweite Benutzer zu behalten.
Zusammenfassend kann mit Hilfe des erfindungsgemäßen Verfah-25 rens auch bei (ersten) technischen Einrichtungen, auf denen sensible Daten gespeichert sind, eine Fernwartung mittels zweiter technischer Einrichtungen durchgeführt werden. Hierdurch können die mit der Fernwartung verbundenen Vorteile wie eine erhebliche Zeitersparnis bei der Fehlerbehebung und der 30 Verfügbarkeit einer Vielzahl von Experten auch für technische Einrichtungen mit sensiblen Daten genutzt werden.
Gemäß einem bevorzugten Ausführungsbeispiel gehen dem Schritt der Anmeldung eines Zugriffs der zweiten Einrichtung auf in 35 der ersten Einrichtung gespeicherte sensible Daten durch den ersten Benutzer die folgenden Schritte voraus: 5 - Übermittlung einer Anfrage auf Anmeldung eines Zugriffs der zweiten Einrichtung auf in der ersten Einrichtung gespeicherte sensible Daten von der zweiten Einrichtung an die erste Einrichtung; und 5 - Ausgabe der Anfrage durch die erste Einrichtung an den ers ten Benutzer der ersten Einrichtung.
Dabei ist es besonders vorteilhaft, wenn der Schritt der Ü-bermittlung einer Anfrage auf Anmeldung eines Zugriffs der 10 zweiten Einrichtung auf in der ersten Einrichtung gespeicherte sensible Daten durch die zweite Einrichtung erst nach Erhalt einer von der ersten Einrichtung erzeugten und an die zweite Einrichtung übermittelten Mitteilung erfolgt. 15 Hierdurch verbleibt die Kontrolle über die Einleitung des erfindungsgemäßen Verfahrens bei der ersten Einrichtung.
In diesem Fall ist es besonders vorteilhaft, wenn die von der ersten Einrichtung an die zweite Einrichtung übermittelte 20 Mitteilung eine automatisch erzeugte und/oder übermittelte Fehlermeldung ist.
Somit ist sichergestellt, dass eine Anfrage auf Anmeldung eines Zugriffes der zweiten Einrichtung auf in der ersten Ein-25 richtung gespeicherte sensible Daten nur im Falle eines Fehlers bei der ersten Einrichtung möglich ist.
Damit nicht auch in Fällen, in denen für eine Fehlerbehebung die Übermittlung von sensiblen Daten gar nicht erforderlich 30 ist, ein Zugriff auf sensible Daten ermöglicht wird, ist es weiter vorteilhaft, wenn der Schritt der Übermittlung einer Anfrage auf Anmeldung eines Zugriffs der zweiten Einrichtung auf in der ersten Einrichtung gespeicherte sensible Daten durch die zweite Einrichtung erst nach einer Überprüfung der 35 Mitteilung durch den Benutzer der zweiten Einrichtung erfolgt. 6
Um die Fehlertoleranz des erfindungsgemäßen Verfahrens gegen eine Manipulierung der zweiten Einrichtungen zur erhöhen, ist es besonders vorteilhaft, wenn die Abfrage der eindeutigen Identifizierung des zweiten Benutzers der zweiten Einrichtung unter Kontrolle der ersten Einrichtung erfolgt. Dies ist beispielsweise bei der Abfrage eines individuellen Passwortes über ein Datennetzwerk ohne weiteres möglich.
Um dem ersten bzw. zweiten Benutzer der ersten bzw. zweiten Einrichtung Kenntnis über den jeweiligen Benutzer der anderen Einrichtung zu verschaffen ist es vorteilhaft, wenn das Ergebnis der Abfrage der ersten eindeutigen Identifizierung des ersten Benutzers der ersten Einrichtung an die zweite Einrichtung übermittelt und an den zweiten Benutzer ausgegeben wird und/oder das Ergebnis der Abfrage der zweiten eindeutigen Identifizierung des zweiten Benutzers der zweiten Einrichtung an die erste Einrichtung übermittelt und an den ersten Benutzer ausgegeben wird.
Durch Weiterleitung dieser Information an den jeweiligen Benutzer wird die Transparenz des erfindungsgemäßen Verfahrens erhöht, was die Kontrolle durch einen jeweiligen Benutzer verbessert.
Vorzugsweise umfasst die Abfrage einer eindeutigen Identifizierung eines Benutzers die Abfrage eines individuellen Passwortes und/oder eines biometrischen Merkmals und/oder einer elektronischen Signatur und/oder eines individuellen maschinenlesbaren Gegenstandes (beispielsweise einer Magnetkarte oder eines codierten Transponders).
Derartige eindeutige Identifizierungsmöglichkeiten sind dem Benutzer von technischen Geräten allgemein vertraut. Weiter hat sich die Abfrage derartiger eindeutiger Identifizierungsmerkmale von Benutzern in der Praxis als zuverlässig herausgestellt . 7
Bevorzugt erfolgt die Überprüfung der durch die Abfrage gewonnenen Konstellation des ersten und zweiten Benutzers gemäß dem erfindungsgemäßen Verfahren wahlweise durch die erste Einrichtung und/oder durch die zweite Einrichtung und/oder 5 durch ein oder mehrere mit der ersten und zweiten Einrichtung verbundenen weiteren Einrichtungen, wobei die Zuordnungsdatei in der bzw. den jeweiligen Einrichtungen gespeichert ist.
Weiter ist es besonders vorteilhaft, wenn das Ergebnis der 10 Überprüfung der durch die Abfrage gewonnenen Konstellation des ersten und zweiten Benutzers anhand der Zuordnungsdatei an die erste und/oder zweite Einrichtung übertragen und an den jeweiligen ersten und/oder zweiten Benutzer ausgegeben wird. 15
Hierdurch erhalten der erste und/oder zweite Benutzer Kenntnis darüber, ob ein Zugriff auf die sensiblen Daten möglich ist. 20 Um die Transparenz des erfindungsgemäßen Verfahrens weiter zu erhöhen und die Kontrolle und Nachvollziehbarkeit der Freigabe von sensiblen Daten sicherzustellen ist es besonders vorteilhaft, wenn das Verfahren weiter den Schritt einer automatischen Protokollierung der zwischen der ersten und der zwei-25 ten Einrichtung übertragenen Daten und einer Ausgabe des Protokolls an die erste und/oder zweite Einrichtung umfasst.
Damit in einem Fehlerfall eine zügige Behebung des Fehlers auch durch eine in der Zuordnungsdatei noch nicht in Verbin-30 düng mit der jeweiligen ersten Person gespeicherte zweite
Person möglich ist, weist das erfindungsgemäße Verfahren vorzugsweise zusätzlich den Schritt der Übermittlung eines Genehmigungsformulars an die erste Einrichtung durch die zweite Einrichtung auf. 8 35
Bevorzugt ist die erste Einrichtung ein medizinisches System und die zweite Einrichtung ein Wartungssystem zur Fernwartung des medizinischen Systems. 5 In diesem Falle handelt es sich bei den sensiblen Daten insbesondere um in dem medizinischen System gespeicherte Patientendaten.
Die vorstehend angegebene Aufgabe wird erfindungsgemäß auch 10 durch eine Anordnung zur Steuerung des Zugriffs auf in einer ersten Einrichtung gespeicherte sensible Daten durch eine mit der ersten Einrichtung verbundene zweite Einrichtung gelöst, welche die folgenden Merkmale aufweist: - eine mit der ersten und zweiten Einrichtung verbundene Da-15 tenübertragungseinrichtung zur Übertragung von Daten zwischen der ersten Einrichtung und der zweiten Einrichtung; - eine mit der ersten Einrichtung verbundene erste Eingabeeinrichtung zur Anmeldung eines Zugriffs der zweiten Einrichtung auf in der ersten Einrichtung gespeicherte sensible Da- 20 ten durch einen ersten Benutzer der ersten Einrichtung; - eine mit der ersten Einrichtung verbundene erste Abfrage-einrichtung zur Abfrage einer ersten eindeutigen Identifizierung des ersten Benutzers durch die erste Einrichtung; - eine mit der zweiten Einrichtung verbundene zweite Abfrage-25 einrichtung zur Abfrage einer zweiten eindeutigen Identifizierung eines zweiten Benutzers der zweiten Einrichtung durch die zweite Einrichtung; und - eine mit der ersten und zweiten Einrichtung verbundene Vergleichseinrichtung zur Überprüfung der von der ersten und 30 zweiten Abfrageeinrichtung gewonnenen Konstellation des ersten und zweiten Benutzers anhand einer vorgegebenen Zuord-» nungsdatei, wobei die Zuordnungsdatei jedem ersten Benutzer einen oder mehrere erlaubte zweite Benutzer zuordnet und in der Vergleichseinrichtung gespeichert ist,; 35 wobei die erste Einrichtung eine Zugriffssteuerungseinrichtung umfasst, die ausgebildet ist, den Zugriff der zweiten Einrichtung auf in der ersten Einrichtung gespeicherte sen- 9 ·· ·· ♦♦ ♦ · ·· ♦ · · ♦ ♦ ♦ · ι « ♦ * ········ ·» • · · · ····»····« · « · · · · · · · · ········ · · * « sible Daten freizugeben, wenn die Vergleichseinrichtung eine erlaubte Konstellation von erstem und zweitem Benutzer fest-stellt und den Zugriff der zweiten Einrichtung auf in der ersten Einrichtung gespeicherte sensible Daten zu unterbinden, wenn die Vergleichseinrichtung keine erlaubte Konstellation von erstem und zweitem Benutzer feststellt oder durch die erste Eingabeeinrichtung kein Zugriff der zweiten Einrichtung auf in der ersten Einrichtung gespeicherte sensible Daten angemeldet wurde.
Gemäß einer bevorzugten Ausführungsform weist die Anordnung ferner - eine mit der ersten Einrichtung verbundene Fehlerkontrolleinrichtung zur automatischen Erzeugung und Übermittlung von Fehlermeldungen an die zweite Einrichtung über die Datenübertragungseinrichtung; - eine mit der zweiten Einrichtung verbundene zweite Ausgabeeinrichtung zur Ausgabe einer von der ersten Einrichtung empfangenen Fehlermeldung an den zweiten Benutzer der zweiten Einrichtung; - eine zweite Eingabeeinrichtung zur Übermittlung einer Anfrage auf Anmeldung eines Zugriffs der zweiten Einrichtung auf in der ersten Einrichtung gespeicherte sensible Daten nach Erhalt einer von der ersten Einrichtung an die zweite Einrichtung übermittelten Fehlermeldung; und - eine mit der ersten Einrichtung verbundene erste Ausgabe-einrichtung zur Ausgabe der Anfrage an den ersten Benutzer der ersten Einrichtung auf.
Vorzugsweise ist die erste Abfrageeinrichtung ausgebildet, um das Ergebnis der Abfrage der ersten eindeutigen Identifizierung des ersten Benutzers der ersten Einrichtung über die Datenübertragungseinrichtung an die zweite Einrichtung zu übermitteln, und ist die zweite Ausgabeeinrichtung ausgebildet, um das Ergebnis der Abfrage an den zweiten Benutzer auszugeben . 10 ι· · · ♦ · * • · ·· ········· · • · ·♦
Weiter ist es vorteilhaft, wenn die zweite Abfrageeinrichtung ausgebildet ist, um das Ergebnis der Abfrage der zweiten eindeutigen Identifizierung des zweiten Benutzers der zweiten Einrichtung über die Datenübertragungseinrichtung an die erste Einrichtung zu übermitteln, und ist die erste Ausgabeeinrichtung ausgebildet, um das Ergebnis der Abfrage an den ersten Benutzer auszugeben.
Besonders vorteilhaft ist es, wenn die erste Abfrageeinrichtung und die zweite Abfrageeinrichtung ausgebildet sind, um ein individuelles Passwort und/oder ein biometrisches Merkmal und/oder eine elektronische Signatur und/oder einen individuellen maschinenlesbaren Gegenstand abzufragen.
Es ist ferner vorteilhaft, wenn die Vergleichseinrichtung in der ersten Einrichtung und/oder in der zweiten Einrichtung und/oder durch in einer oder mehreren mit der ersten und zweiten Einrichtung verbundenen weiteren Einrichtungen angeordnet ist.
Vorzugsweise ist die Vergleichseinrichtung ferner ausgebildet, das Vergleichsergebnis über die Datenübertragungseinrichtung an die erste und/oder zweite Einrichtung zu übertragen, und ist die erste Ausgabeeinrichtung ausgebildet, um das von der Vergleichseinrichtung gewonnene Vergleichsergebnis an den ersten Benutzer auszugeben, und ist die zweite Ausgabeeinrichtung ausgebildet, um das von der Vergleichseinrichtung gewonnene Vergleichsergebnis an den zweiten Benutzer auszugeben .
Bevorzugt weist die Anordnung ferner eine Protokolliereinrichtung auf, um automatisch ein Protokoll der zwischen der ersten und der zweiten Einrichtung übertragenen Daten zu erstellen und das Protokoll über die Datenübertragungseinrichtung an die erste und/oder zweite Einrichtung zu übermitteln. 11 ♦ · · · · · · · ·» ··♦·· · · · « • · ···«···· · « Φ Φ · · ·········# | ······ ··« ·····*»» « « · «
Es ist besonders vorteilhaft, wenn die zweite Einrichtung ferner ausgebildet ist, über die Datenübertragungseinrichtung ein Genehmigungsformular an die erste Einrichtung zu übertragen.
Gemäß einer bevorzugten Ausführungsform ist die zweite Einrichtung ein WartungsSystem zur Fernwartung der ersten Einrichtung.
Dabei ist die erste Einrichtung vorzugsweise ein medizinisches System und die zweite Einrichtung ein Wartungssystem zur Fernwartung des medizinischen Systems.
In diesem Falle handelt es sich bei den sensiblen Daten vorzugsweise um in dem medizinischen System gespeicherte Patientendaten.
In der folgenden ausführlichen Beschreibung wird die vorliegende Erfindung unter Bezugnahme auf die beigefügten Zeichnungen, in denen gleiche Bezugszeichen auf in den jeweiligen Ansichten gleiche Elemente verweisen, näher beschrieben, wobei
Fig. 1 ein Blockdiagramm eines ersten bevorzugten Ausführungsbeispieles der erfindungsgemäßen Anordnung;
Fig. 2 ein Blockdiagramm eines alternativen Ausführungs-beispieles der erfindungsgemäßen Anordnung; und
Fig. 3 ein Flußdiagramm des erfindungsgemäßen Verfahrens zeigt.
Figur 1 zeigt ein Blockdiagramm eines ersten bevorzugten Ausführungsbeispieles der erfindungsgemäßen Anordnung zur Steuerung des Zugriffs auf in einer ersten Einrichtung gespeicherte sensible Daten. 12 ·* ·# ·· # · ·· ····· · · · · • · ·······♦ Μ • · » I ····«··«·· « • · · ·· · » · « • · ···« ·· « ♦ · ·
Die Anordnung weist eine erste Einrichtung 1 auf, welche gemäß dieser Ausführungsform ein medizinisches System ist. Bei dem medizinischen System 1 kann es sich beispielsweise um einen Kernspintomographen oder einen Computertomographen handeln.
Das medizinische System 1 weist sensiblen Daten 4 auf, die in einem geeigneten Datenträger, beispielsweise einer Festplatte, gespeichert sind. Bei diesen sensiblen Daten handelt es sich gemäß der hier beschriebenen Ausführungsform um Patientendaten und damit beispielsweise um Computer- oder Kernspintomographiebilder von Patienten.
Weiter weist das medizinische System eine Zugriffssteuereinrichtung 13 auf, die ausgebildet ist, um den Zugriff auf die in dem medizinischen System gespeicherten sensiblen Daten 4 freizugeben oder zu unterbinden. In dem vorliegenden Ausführungsbeispiel handelt es sich bei der Zugriffssteuereinrichtung 13 um einen Mikroprozessor, der auf die auf dem Datenträger des medizinischen Systems 1 gespeicherten sensiblen Daten 4 zugreifen kann.
Mit dem medizinischen System 1 ist eine erste Eingabeeinrichtung 9 (in der vorliegenden Ausführungsform eine Tastatur) zur Anmeldung eines Zugriffs auf in der ersten Einrichtung gespeicherte sensible Daten durch einen ersten Benutzer 5 des medizinischen Systems 1 verbunden. Bei dem ersten Benutzer 5 des medizinischen Systems handelt es sich gemäß der vorliegenden Ausführungsform um einen Arzt.
Eine erste Abfrageeinrichtung 11 in Form eines Magnetkartenlesers ist an das medizinische System 1 angeschlossen. Der Magnetkartenlesers 11 ist ausgebildet, um durch Auslesung einer individuellen Magnetkarte des Arztes 5 eine erste eindeutige Identifizierung des Arztes 5 zu ermöglichen. 13 • • • · • • • · · « • • • • • • · · · • • · · • « • • • · Φ MM · · φ · • « • * • · · • « • « • • M»· · * • « • ·
Weiter sind mit dem medizinischen System,! eine Fehlerkontrolleinrichtung 14 zur Überwachung des Funktion des medizinischen Systems 1 sowie eine erste Ausgabeeinrichtung 16 zur Ausgabe von von dem medizinischen System 1 empfangenden oder generierten Informationen an den Arzt 5 verbunden.
In der vorliegenden Ausführungsform handelt es sich bei der Fehlerkontrolleinrichtung 14 um einen Mikroprozessor und bei der ersten Ausgabeeinrichtung 16 um einen Monitor. Über eine Datenübertragungseinrichtung 3 ist das medizinische System 1 mit einer zweiten Einrichtung 2, welche ein Wartungssystem zur Wartung des medizinischen Systems 1 ist, verbunden. Die Datenübertragungseinrichtung 3 ermöglicht eine Übertragung von Daten zwischen dem medizinischen System 1 und der Wartungseinrichtung 2.
In dem vorliegenden Ausführungsbeispiel handelt es sich bei der Datenübertragungseinrichtung 3 um eine gesicherte Internet Verbindung, über die geeignete kodierte Daten zwischen dem medizinischen System 1 und dem Wartungssystem 2 übertragen werden.
Das Wartungssystem 2 ist zur Fernwartung des medizinischen Systems 1 über die gesicherte Internetverbindung 3 ausgebildet .
Hierfür weist Wartungssystem 2 u.a. eine zweite Abfrageeinrichtung 12 auf, die in dem vorliegenden Ausführungsbeispiel ein Lesegerät für die biometrische Daten eines das Wartungs-system 2 betreuenden Experten 6, 6', 6'' ist.
Das Lesegerät für biometrische Daten kann beispielsweise zum Auslesen der Iris oder des Fingerabdruckes des Experten 6, 6', 6'1 ausgebildet sein. Somit ermöglicht das Lesegerät für biometrische Daten 12 eine eindeutige Identifizierung eines 14
t« ♦ · ♦ · *· * · • · • • · · • · • • ·♦ • * · · H • · • • · #*·· | 0 · • • · • 1 · ·# • · • 1 M das Wartungssystem 2 benutzenden Experten 6, 6', 6'' (zweiten Benutzers).
Mit dem Wartungssystem 2 sind weiter eine zweite Eingabeeinrichtung 10, bei der es sich beispielsweise um eine Maus handelt, sowie eine zweite Ausgabeeinrichtung 17, bei dem es sich wiederum um einen Monitor handeln kann, verbunden.
Die Maus ermöglicht es dem Experten 6, 6', 6'' das Wartungssystem 2 zu steuern. Über den Monitor 17 können von dem Wartungssystem 2 generierte oder über die Internetverbindung 3 von.dem medizinischen System 1 empfangene Daten an den Experten 6, 6', 6’1 ausgegeben werden.
Gemäß der vorliegenden bevorzugten Ausführungsbeispiel ist in dem Wartungssystem 2 eine Protokolliereinrichtung 18 in Form eines mit einer Festplatte verbundenen Mikroprozessors angeordnet .
Die Protokolliereinrichtung 18 ist geeignet, automatisch ein Protokoll der zwischen dem medizinischen System 1 und dem Wartungssystem 2 übertragenen Daten zu erstellen, das Protokoll auf der Festplatte zu speichern und über die gesicherte Internetverbindung 3 an das medizinische System 1 zu übermitteln. Das von der Protokolliereinrichtung 18 erzeugte Protokoll kann von dem medizinischen System 1 über den Monitor 16 und von dem Wartungssystem 2 über den Monitor 17 an den Arzt 5 bzw. den Experten 6, 6', 61' ausgegeben werden. Das Protokoll kann beispielsweise die Namen der am Datenaustausch beteiligten Personen, die Urzeit, die Art des Dateneingriffs (Kopie, Löschung, Einfügung) sowie eine Angabe der jeweiligen Daten enthalten.
Die erfindungsgemäße Anordnung zur Steuerung des Zugriffs auf in dem medizinischen System 1 gespeicherte sensible Patien- 15 • · • · • · • · ·· • • • · • • · · • • • • • · · • t · · · · • • • • · #··· · · · · · • • • • • ♦ • · · • • 1 t« · · • · * · ♦ ♦ tendaten 4 weist ferner eine über die gesicherte Internetverbindung 3 mit dem medizinischen System 1 und dem Wartungssystem 2 verbundene Vergleichseinrichtung 15 auf.
In der Vergleichseinrichtung 15 ist eine Zuordnungsdatei 7 abgelegt, in der in tabellarischer Form jedem das medizinische System 1 nutzenden Arzt 5 ein oder mehrere erlaubte Experten 6, 6', 6'' für das WartungsSystem 2 zugeordnet sind.
Somit ist es der Vergleichseinrichtung 15 anhand der Zuordnungsdatei 7 möglich, eine von dem Magnetkartenleser 11 und dem Lesegerät für biometrische Daten 12 gewonnene Konstellation von Arzt 5 und Experte 6, 6', 6'' auf seine Zulässigkeit zu überprüfen. Hierfür handelt es sich bei der Vergleichseinrichtung 15 vorzugsweise um einen geeigneten Mikroprozessor. Die Zuordnungsdatei 7 kann in einem Festspeichersystem oder einem geeigneten Datenträger gespeichert sein-.
In dem in Fig. 1 gezeigten Ausführungsbeispiel sind zwei Vergleichseinrichtungen 15 vorgesehen, die in zwei weiteren Einrichtungen 8, 8' angeordnet sind. Bei diesen weiteren Einrichtungen 8, 8' handelt es sich um die Datenübertragende ü-berwachende Server die über die gesicherte InternetVerbindung mit dem medizinischen System 1 und dem Wartungssystem 2 verbunden sind. Selbstverständlich kann es sich bei den weiteren Einrichtungen 8, 8' auch um andere Systeme handeln.
Durch die redundante Auslegung der Vergleichseinrichtung 15 können Manipulationen sicher vermieden werden und kann so eine hohe Datensicherheit sichergestellt werden.
Die Vergleichseinrichtungen 15 der weiteren Einrichtungen 8, 8' sind ausgebildet, um den Zugriff des WartungsSystems 2 auf die in dem medizinischen System 1 gespeicherten Patientendaten 4 durch entsprechende Steuerung der Zugriffssteuereinrichtung 13 freizugeben, wenn anhand der Zuordnungsdatei 7 eine erlaubte Konstellation von Arzt 5 und Experten 6, 6', 16
·· · · ·· • · · · · · ···· ♦· ·· ·· Φ ♦*·♦♦··♦♦♦ * Φ · « * ♦ · • φ· ♦ * · · 6'' festgestellt wurde. Weiter sind die Vergleichseinrichtungen 15 der weiteren Einrichtungen 8, 8' ausgebildet, um den Zugriff des Wartungssystems 2 auf die in dem medizinischen Systems 1 gespeicherten Patientendaten 4 durch entsprechende Steuerung der Zugriffssteuereinrichtung 13 zu unterbinden, wenn die Vergleichseinrichtung 12 keine erlaubte Konstellation von Arzt 5 und Experten 6, 6', 6'' festgestellt hat oder durch die Tastatur 9 kein Zugriff des Wartungssystems 2 auf die in dem medizinischen System 1 gespeicherten Patientendaten 4 angemeldet wurde.
Da für eine Freigabe der Patientendaten immer zunächst eine Anmeldung über das medizinische System 1 erforderlich ist, behält ein das medizinische System 1 bedienender Arzt 5 immer die absolute Verfügungsgewalt über die in dem medizinischen System 1 abgelegten Patientendaten 4. Über die Vergleichseinrichtungen 15 wird somit sichergestellt, dass lediglich dem Arzt 5 bekannte und von dem Arzt 5 autorisierte Experten 6, 6', 6*', welche dem Betrieb des Arztes zuzurechnen sind, Kenntnis von in dem medizinischen System 1 gespeicherten Patientendaten 4 erlangen können.
Somit ist mit der erfindungsgemäßen Anordnung eine Fernwartung des medizinischen Systems 1 durch das WartungsSystem 2 möglich.
Gemäß dem die Figur 1 bevorzugten Ausführungsbeispiel wird ein Zugriff auf in dem medizinischen System 1 gespeicherte sensible Patientendaten 4 durch die Fehlerkontrolleinrichtung 14 initialisiert, die bei Feststellung eines Fehlers in dem medizinischen System 1 automatisch eine Fehlermeldung erzeugt und über die gesicherte Internetverbindung 3 an das Wartungssystem 3 übermittelt. 17 • · · « • · · · · · «········· · • · # · · ♦ * ·♦
Die Fehlermeldung wird über den Monitor 17 des Wartungssystems 2 an ein des Wartungssystems 2 bedienenden Experten 6, 6', 61' ausgegeben.
Alternativ kann die Fehlermeldung auch manuell durch den Arzt 5 über z.B. eine normale Telephonleitung im Rahmen eines Telephongespräches an das Wartungssystem 3‘ übermittelt werden.
Anhand der Fehlermeldung entscheidet der Experte 6, 6', 6'', ob für eine Behebung des Fehlers in dem medizinischen System 1 überhaupt ein Zugriff auf die in dem medizinischen System 1 gespeicherten sensiblen Patientendaten 4 erforderlich ist.
Kommt der Experte 6, 6', 6' ' aufgrund der von der Fehlerkon- * trolleinrichtung 14 des medizinischen Systems 1 erzeugten und an das Wartungssystem 2 übermittelten Fehlermeldungen zu der Überzeugung, dass für eine Behebung des Fehlers in dem medizinischen Systems 1 ein Zugriff auf sensible Patientendaten 4 erforderlich ist, so übermittelt er über das Wartungssystem 2 und die Datenübertragungseinrichtung 3 eine Anfrage auf Anmeldung eines Zugriffs des Wartungssystems 2 auf die in dem medizinischen System 1 gespeicherten Patientendaten 4.
Die Anfrage auf Anmeldung eines Zugriffs'des Wartungssystems 2 auf die in dem medizinischen System 1 gespeicherten sensiblen Patientendaten 4 wird dem Arzt 5 über den Monitor 16 des medizinischen Systems 1 angezeigt.
Der Arzt 5 (oder eine von dem Arzt 5 hierzu legitimierte Person, die in geeigneter Weise in die Organisation des Arztes eingebunden ist) erhält somit nochmals Gelegenheit, über die Einleitung eines Datenaustausches zu entscheiden.
Um sowohl den das medizinische System 1 bedienenden Arzt 5 als auch den des Wartungssystems 2 bedienenden Experten 6, 18 • · • · ► t · • ··*· · · · · · • · · · 6', 6'' über den jeweiligen Bediener des anderen Systems in Kenntnis zu setzten, sind sowohl der Magnetkartenleser 11 als auch das Lesegerät für biometrische Daten 12 ausgebildet, um das Ergebnis der Abfrage der ersten und zweiten eindeutigen Identifizierung des Arztes 5 bzw. des Experten 6, 6', 6'1 ü-ber die gesicherte Internetverbindung 3 an das jeweilige andere System zu übertragen wo es über den jeweiligen Monitor 16, 17 angezeigt wird.
Hierdurch ist eine manuelle Überprüfung des jeweiligen Benutzers des jeweiligen Systems durch den jeweiligen anderen Benutzer des anderen Systems möglich.
Um den Arzt 5 und den Experten 6, 6', 6'1 von dem jeweiligen Funktionszustand der erfindungsgemäßen Anordnung in Kenntnis zu setzten, sind die Vergleichseinrichtungen 15 ferner ausgebildet, das Ergebnis des Vergleichs über die gesicherte Internetverbindung 3 an das medizinische System 1 und das Wartungssystem 2 zu übertragen wo sie von dem Monitor 16 bzw. dem Monitor 17 an den Arzt 5 bzw. den Experten 6, 6', 6'' ausgegeben werden.
Sollte die von der Vergleichseinrichtung. 15 festgestellte Konstellation von Arzt 5 und Experten 6 einen Zugriff auf in dem medizinischen System 1 gespeicherte sensible Patientendaten 4 derzeit nicht zulassen, ist des Wartungssystem 2 gemäß der in Fig. 1 gezeigten Ausführungsform weiter ausgebildet, um über die gesicherte Internetverbindung 3 ein Genehmigungs-formular in Form eines Faxformulares an das medizinische System 1 übertragen.
Das Faxformular kann von dem medizinische System 1 über einen in der Figur 1 nicht dargestellten Drucker ausgedruckt werden.
Das Genehmigungsformular (Faxformular) ist von dem Arzt 5 entsprechend auszufüllen und unterschrieben an die weiteren 19 • ·· • · t • · Μ • · · · · · • · · • · · • · Μ · · · • t · · · · f · ···· · * • ♦ · I ···· • ♦ · ♦ · * Μ *··· ·♦ ·
Einrichtungen 8, 8' zu schicken, wo die neue Konstellation von Arzt 5 und Experten 6, 6', 6'' in die jeweilige Zuordnungsdatei 7 eingegeben wird.
Somit erlaubt die erfindungsgemäße Anordnung auf einfach und gleichwohl sichere Weise eine flexible Anpassung an die aktuelle Situation, so dass eine Fernwartung eines medizinischen Systems 1 über das Wartungssystem 2 in jedem Fall schnell gewährleistet werden kann. Über das Genehmigungsformular kann durch den Arzt 5 (oder eine vom Arzt legitimierte Person) erforderlichenfalls auch eine Weitergabe der Patienteninformationen 4 durch den Experten 6, 6', 61' an eine weitere Person legitimiert werden.
Figur 2 zeigt ein alternatives Ausführungsbeispiel der erfindungsgemäßen Anordnung zur Steuerung des Zugriffs auf in einer ersten Einrichtung 1 gespeicherte sensible Daten 4 durch eine mit der ersten Einrichtung 1 über eine Datenübertragungseinrichtung 3 verbundene zweite Einrichtung 2 in der gleiche Elemente wie in Figur 1 mit den gleichen Bezugszeichen versehen sind.
Das in Figur 2 gezeigte alternative Ausführungsbeispiel unterscheidet sich von dem in Figur 1 gezeigten bevorzugten Ausführungsbeispiel zunächst dadurch, dass die Vergleichseinrichtung 15 und damit die Zuordnungsdatei 7 nicht in einer weiteren Einrichtung 8, 8' angeordnet, sondern in das Wartungssystem 2 integriert ist. Eine Redundanz der Vergleichseinrichtung 15 ist in dem in Figur 2 gezeigten Ausführungsbeispiel somit nicht vorgesehen.
Weiter unterscheidet sich das in Figur 2 gezeigte Ausführungsbeispiel von dem in Figur 1 gezeigten Ausführungsbeispiel dadurch, dass die Protokolliereinrichtung 18 nicht in dem Wartungssystem 2 sondern in dem medizinischen System 1 20 ·· · · · · · · ·· ··«·· · · ·· • ♦ ·*·#·«·· Μ • · * « #········· · • ·· ·♦ * * 1 ♦ »« ·«>·· · · « · · * angeordnet und die Fehlerkontrolleinrichtung 14 in das medizinische System 1 integriert ist.
Obwohl in den vorstehend beschriebenen Figuren 1 und 2 die Vergleichseinrichtung 15 entweder in separaten weiteren Einrichtungen 8 oder 81 oder in dem Wartungssystem 2 angeordnet ist, ist es selbstverständlich auch möglich, die Vergleichseinrichtung 15 in dem medizinischen System 1 oder sowohl in dem medizinischen System 1 als auch im Wartungssystem 2 vorzusehen.
Weiter ist es alternativ ohne weiteres möglich, anstelle des Magnetkartenlesers 11 und des Lesegeräts für biometrische Daten 12 beliebige Abfrageeinrichtung vorzusehen, die ausgebildet sind, um ein individuelles Passwort und/oder ein biometrisches Merkmal und/oder ein elektronische Signatur und/oder ein individuellen maschinenlesbaren Gegenstand abzufragen.
Bei einem individuellen maschinenlesbaren Gegenstand kann es sich beispielsweise um eine Magnetkarte oder um einen mit einem individuellen Strichcode oder individuell kodierten Transponder versehenen Gegenstand handeln, der geeignet ist, eine Person eindeutig zu identifizieren.
Es ist für den Fachmann offensichtlich, dass die erfindungsgemäße Anordnung nicht nur zur Fernwartung von medizinischen Systemen geeignet ist, sondern beispielsweise auch im Rahmen einer Ferndiagnostik verwendet werden kann. In diesem Fall handelt es sich bei der zweiten Einrichtung 2 um eine Ferndiagnostikeinrichtung, die einen Zugriff auf das medizinische System 1 erlaubt und bei dem die Ferndiagnoseeinrichtung 2 bedienenden zweiten Benutzer 6, 6', 6'' um einen sich der Ferndiagnostikeinrichtung 2 bedienenden zweiten Arzt, der auf die von dem das medizinische System 1 bedienenden ersten Arzt 5 gewonnenen Patientendaten 4 zugreift. 21 ···« t · · » * ♦
♦ I
Obwohl in den Figuren 1 und 2 für eine Ausgabe von Daten lediglich Monitore 16 und 17 gezeigt werden, können selbstverständlich beliebige andere Ausgabegeräte für Daten, beispielsweise Drucker etc. verwendet werden. Entsprechend ist auch eine Dateneingabe nicht nur wie in den Figuren 1 und 2 gezeigt über eine Tastatur 9 oder einer Maus 10 möglich, sondern es können beliebige andere Eingabemedien wie z. B. Touchscreens oder Trackballs für eine Dateneingabe verwendet werden.
Weiter muss es sich bei der Datenübertragungseinrichtung 3 nicht um eine gesicherte Internetverbindung handeln, sondern es kommen beliebige andere Verbindungen wie beispielsweise eine direkte Verbindung über beispielsweise eine Telefonleitung oder eine gesicherte Leitung oder eine Übertragung über eine Luftschnittstelle in betracht.
In dem in den Figs. 1 und 2 gezeigten Ausführungsbeispiel erfolgt die Abfrage von sowohl der ersten als auch der zweiten eindeutigen Identifizierung des ersten und zweiten Benutzers 5, 6, 6', 6'' gleichzeitig durch das medizinische System 1 bzw. die Wartungseinrichtung 2 unter Kontrolle des medizinischen Systems 1. Alternativ kann die Abfrage auch sequentiell und durch Steuerung des WartungsSystems 2 oder getrennt durch das jeweilige System erfolgen.
Im Folgenden wird das erfindungsgemäße Verfahren zur Steuerung des Zugriffs auf in einer ersten Einrichtung gespeicherte sensible Daten unter Bezugnahme auf Figur 3 näher beschrieben.
Wie in Figur 3 gezeigt wird in einem ersten Schritt S1 automatisch eine Fehlermeldung durch die erste Einrichtung 1 erzeugt und automatisch an die zweite Einrichtung 2 übermittelt. Die Übermittlung der Fehlermeldung kann über Telephon oder eine Datenleitung erfolgen. 22 • ·«· · · · · ♦· • * ·#········ ι • · · · · · · ···· ·· · * ♦*
In dem anschließenden Schritt S2 wird in Folge der empfangenen Fehlermeldung von der zweiten Einrichtung 2 über eine geeignete Datenübertragungseinrichtung 3 eine Anfrage auf Anmeldung eines Zugriffs der zweiten Einrichtung 2 auf in der ersten Einrichtung 1 gespeicherte sensible Daten 4 an die erste Einrichtung 1 übermittelt. Die Übermittlung der Anfrage auf Anmeldung eines Zugriffs erfolgt in diesem Ausführungsbeispiel erst nach einer Überprüfung der Fehlermeldung durch einen Benutzer 6 der zweiten Einrichtung 2.
In Schritt S3 wird die Anfrage auf Anmeldung eines Zugriffs durch die erste Einrichtung 1 an einen ersten Benutzer 5 der ersten Einrichtung 1 ausgegeben.
Nach Ausgabe der Anfrage an den ersten Benutzer 5 erfolgt (im Belieben des ersten Benutzers 5) in Schritt S4 die Anmeldung des Zugriffs der zweiten Einrichtung 2 auf in der ersten Einrichtung 1 gespeicherte sensible Daten 4 durch den ersten Benutzer 5 der ersten Einrichtung 1. Diese Anmeldung wird über die Datenübertragungseinrichtung 3 an die zweite Einrichtung 2 übertragen.
Daran anschließend wird in Schritt S5 eine erste eindeutige Identifizierung des ersten Nutzers 5 durch die erste Einrichtung 1 abgefragt und über die Datenübertragungseinrichtung 3 an die zweite Einrichtung 2 zur Ausgabe an den zweiten Benutzer 6, 6', 6'1 übermittelt.
Gleichzeitig wird im parallelen Schritt S6 eine zweite eindeutige Identifizierung eines zweiten Benutzers 6, 6', 6'' der zweiten Einrichtung 2 durch die zweite Einrichtung 2 abgefragt und an die erste Einrichtung 1 zur Ausgabe an den ersten Nutzer 5 übermittelt.
Es ist offensichtlich, dass die Schritte S5 und S6 alternative auch sequenziell durchgeführt werden können, wobei wahl- 23 • I ·· · · · · Μ ···»· · · ·* • · ·····#·· Μ • · · « «···«···*· · ··· ·· * ·*· ·· ···· ·· · · · * weise der Schritt S6 auf den Schritt S5 oder der Schritt S5 auf den Schritt S6 erfolgt.
In dem sich an die Schritte S5 und S6 anschließenden Schritt S7 wird die durch die Abfragen gewonnene Konstellation des ersten und zweiten Benutzers 5, 6, 6', 6'1 anhand einer vorgegebenen Zuordnungsdatei 7 überprüft, wobei die Zuordnungsdatei 7 jedem ersten Benutzer 5 einen oder mehrere erlaubte zweite Benutzer 6, 6', 6'· zuordnet.
Anschließend wird entschieden, ob die durch die Abfragen gewonnene Konstellation erlaubt ist.
Ist dies nicht der Fall, wird in Schritt S9 das Ergebnis der Überprüfung an die erste und/oder zweite Einrichtung 1, 2 ü-bertragen und an den jeweiligen ersten und/oder zweiten Nutzer 5, 6', 6'' ausgegeben. Weiter wird der Zugriff der zweiten Einrichtung 2 auf die in der ersten Einrichtung 1 gespeicherten sensiblen Daten 4 unterbunden.
Ergibt die Überprüfung, dass die Konstellation erlaubt ist, wird anschließend geprüft, ob in Schritt S4 ein Zugriff der zweiten Einrichtung 2 auf in der ersten Einrichtung 1 gespeicherte sensible Daten 4 angemeldet worden ist.
Ist dies der Fall, wird in dem sich anschließenden Schritt S8 das Ergebnis der Überprüfungen an die erste und/oder zweite Einrichtung 1, 2 übertragen und dort an den jeweiligen ersten und/oder zweiten Benutzer 5, 6, 6', 6'' ausgegeben. Weiter wird der Zugriff der zweiten Einrichtung 2 auf die in der ersten Einrichtung 1 gespeicherten sensiblen Daten 4 freigegeben .
Wurde jedoch in Schritt S4 kein Zugriff angemeldet, so fährt das Verfahren mit dem vorstehend beschriebenen Schritt S9 fort. 24 ·· ·· ·· · · · · ····· · · · · I · ·······* ·· φ I · · ······#··· · 4 · · · t · · · · ·· * ♦ · · ·· · · · ·
In dem sich an die Schritt S8 und S9 anschließenden Schritt S10 werden die zwischen der ersten und zweiten Einrichtung 1, 2 übertragenen Daten automatisch protokolliert und das so erstellte Protokoll an die ersten und zweiten Einrichtungen 1 und 2 ausgegeben.
Hierauf endet das erfindungsgemäße Verfahren.
Es ist für den Fachmann offensichtlich, dass die Überprüfung, ob ein Zugriff in Schritt S4 angemeldet wurde, anders als in Figur 3 gezeigt bereits unmittelbar nach dem Schritt S4 und damit vor den Schritten S5 und S6 erfolgen kann. In diesem Falle wird mit den Schritten S5 und S6 fortgefahren, wenn in Schritt S4 ein Zugriff angemeldet wurde. Anderenfalls fährt das Verfahren mit Schritt S9 fort.
Die Abfrage einer eindeutigen Identifizierung eines Benutzers 5, 6 umfasst vorzugsweise die Abfrage eines individuellen Passworts und/oder eines biometrischen Merkmals und/oder einer elektronischen Signatur und/oder eines individuellen maschinenlesbaren Gegenstandes.
Die Überprüfung der durch die Abfrage gewonnen Konstellation des ersten und zweiten Nutzers 5, 6 erfolgt vorzugsweise durch die ersten Einrichtung 1 und/oder durch die zweite Einrichtung 2 und/oder durch eine oder mehrere mit der ersten und zweiten Einrichtung 1, 2 verbundene weiteren Einrichtung 8, 8', wobei die Zuordnungsdatei 7 in der bzw. den jeweiligen Einrichtungen 1, 2, 8, 8' gespeichert ist.
Ergibt die Überprüfung der Konstellation des ersten und zweiten Nutzers 5, 6, 6', 6'', dass eine derartige Konstellation in der Zuordnungsdatei 7 nicht als erlaubt gespeichert ist, weist das erfindungsgemäße Verfahren gemäß einem weiteren, in der Figur 3 nicht gezeigten Ausführungsbeispiels ferner den Schritt der Übermittlung eines Genehmigungsformulares von der zweiten Einrichtung 2 an die erste Einrichtung 1 auf. Ein 25 solches Genehmigungsformular kann auch gesendet werden, wenn eine Weitergabe der sensiblen Daten 4 durch den zweiten Benutzer 6, 6', 6'1 an einen Dritten erforderlich ist. 5 Besonders vorteilhaft ist es, wenn die zweite Einrichtung 2 ein Wartungssystem zur Fernwartung der ersten Einrichtung 1 ist.
Dabei ist besonders vorteilhaft, wenn die erste Einrichtung 1 10 ein medizinisches System und die zweite Einrichtung 2 ein
Wartungssystem zur Fernwartung des medizinischen Systems ist. In diesem Falle handelt es sich bei den sensiblen Daten 4 um in den medizinischen System gespeicherte Patienten. 26

Claims (28)

  1. ♦ * · · # · · · ·· • · · · * · · ·· • · ····#··· ·· • · · » · ·*·· ···· « * • ·· · · · · * · • · ···· ·· · · * · Patent ansprüche 1. Verfahren zur Steuerung des Zugriffs auf in einer ersten Einrichtung (1) gespeicherte sensible Daten (4) durch eine mit der ersten Einrichtung (1) verbundene zweite Einrichtung (2), aufweisend die folgenden Schritte: - (S4) Anmeldung eines Zugriffs der zweiten Einrichtung (2) auf in der ersten Einrichtung (1) gespeicherte sensible Daten (4) ; - (S5) Abfrage einer ersten eindeutigen Identifizierung des ersten Benutzers (5) durch die erste Einrichtung (1); und - (S6) Abfrage einer zweiten eindeutigen Identifizierung eines zweiten Benutzers (6) der zweiten Einrichtung (2) durch die zweite Einrichtung (2) ; dadurch gekennzeichnet, dass der Schritt der Anmeldung eines Zugriffs (S4) der zweiten Einrichtung (2) auf in der ersten Einrichtung (1) gespeicherte sensible Daten (4) durch einen ersten Benutzer (5) der ersten Einrichtung (1) erfolgt und eine Übermittlung der Anmeldung an die zweite Einrichtung (2) beinhaltet und dass das Verfahren ferner die folgenden Schritte auf-weist: - (S7) Überprüfung der durch die Abfragen gewonnenen Konstellation des ersten und zweiten Benutzers (5, 6) anhand einer vorgegebenen Zuordnungsdatei (7), wobei die Zuordnungsdatei (7) jedem ersten Benutzer (5) einen oder mehrere erlaubte zweite Benutzer (6, 6', 6'') zuordnet; - (S8) Freischaltung des Zugriffs der zweiten Einrichtung (2) auf in der ersten Einrichtung (1) gespeicherte sensible Daten (4), wenn die Überprüfung der Zuordnung eine erlaubte Konstellation von erstem und zweitem Benutzer (5, 6) feststellt; und - (S9) Unterbindung des Zugriffs der zweiten Einrichtung (2) auf in der ersten Einrichtung (1) gespeicherte sensible Daten (4), wenn die Überprüfung der Zuordnung keine erlaubte Konstellation von erstem und zweitem Benutzer (5, 6). feststellt oder ein Zugriff der zweiten Einrichtung (2) auf in 27 • · ·· • · • · • • · · · • « · · • · · · ·* • • · ·····»··* * 9 · • • · t · ♦ * 9 9 • · · · • « • · · · der ersten Einrichtung (1) gespeicherte sensible Daten (4) durch den ersten Benutzer (5) nicht angemeldet wurde.
  2. 2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass dem Schritt (S4) der Anmeldung eines Zugriffs der zweiten Einrichtung (2) auf in der ersten Einrichtung (1) gespeicherte sensible Daten (4) durch den ersten Benutzer (5) die folgenden Schritte vorausgehen: - (S2) Übermittlung einer Anfrage auf Anmeldung eines Zugriffs der zweiten Einrichtung (2) auf in der ersten Einrichtung (1) gespeicherte sensible Daten (4) von der zweiten Einrichtung (2) an die erste Einrichtung (1); und - (S3) Ausgabe der Anfrage durch die erste Einrichtung (1) an den ersten Benutzer (5) der ersten Einrichtung (1).
  3. 3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass der Schritt (S2) der Übermittlung einer Anfrage auf Anmeldung eines Zugriffs der zweiten Einrichtung (2) auf in der ersten Einrichtung (1) gespeicherte sensible Daten (4) durch die zweite Einrichtung (2) erst nach Erhalt (Sl) einer von der ersten Einrichtung (1) erzeugten und an die zweite Einrichtung (2) übermittelten Mitteilung erfolgt.
  4. 4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass die von der ersten Einrichtung (1) an die zweite Einrichtung (2) übermittelte Mitteilung eine automatisch erzeugte und/oder übermittelte Fehlermeldung ist.
  5. 5. Verfahren nach Anspruch 3 oder 4, dadurch gekennzeichnet, dass der Schritt (S2) der Übermittlung einer Anfrage auf Anmeldung eines Zugriffs der zweiten Einrichtung (2) auf in der ersten Einrichtung (1) gespeicherte sensible Daten (4) durch die zweite Einrichtung (2) erst nach einer Überprüfung der 28 «· ·· ♦·· · · · t · · · · · · * * • · ··*····· ·· • I · · ······*··· · • · · ·· · ··· I» · · · · · · · · * · Mitteilung durch den Benutzer (6) der zweiten Einrichtung (2) erfolgt.
  6. 6. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Abfrage der eindeutigen Identifizierung des zweiten Benutzers (6) der zweiten Einrichtung (2) unter Kontrolle der ersten Einrichtung (1) erfolgt.
  7. 7. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass das Ergebnis der Abfrage (S5) der ersten eindeutigen I-dentifizierung des ersten Benutzers (5) der ersten Einrichtung (1) an die zweite Einrichtung (2) übermittelt und an den zweiten Benutzer (6) ausgegeben wird.
  8. 8. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass das Ergebnis der Abfrage (S6) der zweiten eindeutigen Identifizierung des zweiten Benutzers (6) der zweiten Einrichtung (2) an die erste Einrichtung (1) übermittelt und an den ersten Benutzer (5) ausgegeben wird.
  9. 9. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Abfrage einer eindeutigen Identifizierung eines Benutzers (5, 6) die Abfrage eines individuellen Passworts und/oder eines biometrischen Merkmals und/oder einer elektronischen Signatur und/oder eines individuellen maschinenlesbaren Gegenstandes (9) umfasst.
  10. 10. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Überprüfung der durch die Abfrage gewonnenen Konstellation des ersten und zweiten Benutzers (5, 6) durch die erste Einrichtung (1) und/oder durch die zweite Einrichtung (2) und/oder durch eine oder mehrere mit der ersten und 29 • 1 «9 ·· « • *· • 9 • · 9 • • · · • 9 • · · t • • · · * · • · • · · ···«···«· · • · • · · • ♦ · · • · • · · · · · • 9 »· zweiten Einrichtung (1, 2) verbundenen weiteren Einrichtungen (8, 8') erfolgt und die Zuordnungsdatei (7) in der bzw. den jeweiligen Einrichtungen (1, 2, 8, 8') gespeichert ist.
  11. 11. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass das Ergebnis der Überprüfung der durch die Abfrage gewonnenen Konstellation des ersten und zweiten Benutzers (5, 6) anhand der Zuordnungsdatei (7) an die erste und/oder zweite Einrichtung (1, 2) übertragen und an den jeweiligen ersten und/oder zweiten Benutzer (5, 6) ausgegeben wird.
  12. 12. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass das Verfahren weiter den folgenden Schritt aufweist: - (S10) automatische Protokollierung der zwischen der ersten und der zweite Einrichtung (1, 2) übertragenen Daten und Ausgabe des Protokolls an die erste und/oder zweite Einrichtung (1, 2) .
  13. 13. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass das Verfahren weiter den folgenden Schritt aufweist: - Übermittlung eines Genehmigungsformulars an die erste Einrichtung (1) durch die zweite Einrichtung (2).
  14. 14. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die zweite Einrichtung (2) ein WartungsSystem zur Fernwartung der ersten Einrichtung (1) ist.
  15. 15. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die erste Einrichtung (1) ein medizinisches System und die zweite Einrichtung (1) ein Wartungssystem zur Fernwartung des medizinischen Systems ist. 30 «« ·· ·♦ · · ·· «···· · · ·· • · ······♦· ·· • # · · ·····§*♦·· · • · · ·· · · * · •ft····#« · · *·
  16. 16. Verfahren nach Anspruch 15, dadurch gekennzeichnet, dass die sensiblen Daten (4) in dem medizinischen System gespeicherte Patientendaten sind.
  17. 17. Anordnung zur Steuerung des Zugriffs auf in einer ersten Einrichtung (1) gespeicherte sensible Daten (4) durch eine mit der ersten Einrichtung verbundene zweite Einrichtung (2), aufweisend: - eine mit der ersten und zweiten Einrichtung (1, 2) verbundene Datenübertragungseinrichtung (3) zur Übertragung von Daten zwischen der ersten Einrichtung (1) und der zweiten Einrichtung (2) ; - eine mit der ersten Einrichtung (1) verbundene erste Eingabeeinrichtung (9) zur Anmeldung eines Zugriffs der zweiten Einrichtung (2) auf in der ersten Einrichtung (1) gespeicherte sensible Daten (4) durch einen ersten Benutzer (5) der ersten Einrichtung (1) ; - eine mit der ersten Einrichtung (1) verbundene erste Abfrageeinrichtung (11) zur Abfrage einer ersten eindeutigen Identifizierung des ersten Benutzers (5) durch die erste Einrichtung (1) ,· und - eine mit der zweiten Einrichtung (2) verbundene zweite Abfrageeinrichtung (12) zur Abfrage einer zweiten eindeutigen Identifizierung eines zweiten Benutzers (6) der zweiten Einrichtung (2) durch die zweite Einrichtung (2); dadurch gekennzeichnet, dass die Anordnung ferner aufweist: - eine mit der ersten Einrichtung (1) verbundene erste Eingabeeinrichtung (9) zur Anmeldung eines Zugriffs der zweiten Einrichtung (2) auf in der ersten Einrichtung (1) gespeicherte sensible Daten (4) durch einen ersten Benutzer (5) der ersten Einrichtung (1); und - eine mit der ersten und zweiten Einrichtung (1, 2) verbundene Vergleichseinrichtung (15) zur Überprüfung der von der ersten und zweiten Abfrageeinrichtung (11, 12) gewonnenen Konstellation des ersten und zweiten Benutzers (5, 6) anhand 31 * 1 • · • · M • • · • » · · · • • • · · # · ♦ * M • • • · ··«··*··· · • • • · • · · · • ♦ · · • « • · * » einer vorgegebenen Zuordnungsdatei (7) , wobei die Zuordnungs-datei (7) jedem ersten Benutzer (5) einen oder mehrere erlaubte zweite Benutzer (6, 61, 61') zuordnet und in der Vergleichseinrichtung (15) gespeichert ist; wobei die erste Einrichtung (1) eine Zugriffssteuerungseinrichtung (13) umfasst, die ausgebildet ist, den Zugriff der zweiten Einrichtung (2) auf in der ersten Einrichtung (1) gespeicherte sensible Daten (4) freizugeben, wenn die Vergleichseinrichtung (15) eine erlaubte Konstellation von erstem und zweitem Benutzer (5, 6) feststellt, und den Zugriff der zweiten Einrichtung (2) auf in der ersten Einrichtung (1) gespeicherte sensible Daten (4) zu unterbinden, wenn die Vergleichseinrichtung (15) keine erlaubte Konstellation von erstem und zweitem Benutzer (5, 6) feststellt oder durch die erste Eingabeeinrichtung (9) kein Zugriff der zweiten Einrichtung (2) auf in der ersten Einrichtung (1) gespeicherte sensible Daten (4) angemeldet wurde.
  18. 18. Anordnung nach Anspruch 17, dadurch gekennzeichnet, dass die Anordnung ferner aufweist: - eine mit der ersten Einrichtung (1) verbundene Fehlerkontrolleinrichtung (14) zur automatischen Erzeugung und Übermittlung von Fehlermeldungen an die zweite Einrichtung (2) über die Datenübertragungseinrichtung (3); - eine mit der zweiten Einrichtung (2) verbundene zweite Aus-gabeeinrichtung (17) zur Ausgabe einer von der ersten Einrichtung (1) empfangenen Fehlermeldung an den zweiten Benutzer (6) der zweiten Einrichtung; - eine zweite Eingabeeinrichtung (10) zur Übermittlung einer Anfrage auf Anmeldung eines Zugriffs der zweiten Einrichtung (2) auf in der ersten Einrichtung (1) gespeicherte sensible Daten (4) nach Erhalt einer von der ersten Einrichtung (1) an die zweite Einrichtung (2) übermittelten Fehlermeldung; und 32 »t t · • · ·· • ft • · *· * · ♦ t · « * • ftftft ftftft« ·· m • 1 ftsft« ··«« ft • • • · • · · • » * • * - eine mit der ersten Einrichtung (1) verbundene erste Ausgabeeinrichtung (16) zur Ausgabe der Anfrage an den ersten Benutzer (5) der ersten Einrichtung (1).
  19. 19. Anordnung nach einem der Ansprüche 17 oder 18, dadurch gekennzeichnet, dass die erste Abfrageeinrichtung (11) ausgebildet ist, um das Ergebnis der Abfrage der ersten eindeutigen Identifizierung des ersten Benutzers (5) der ersten Einrichtung (1) über die Datenübertragungseinrichtung (3) an die zweite Einrichtung (2) zu übermitteln, und dass die zweite Ausgabeeinrichtung (17) ausgebildet ist, um das Ergebnis der Abfrage an den zweiten Benutzer (6) auszugeben.
  20. 20. Anordnung nach einem der Ansprüche 17, 18 oder 19, dadurch gekennzeichnet, dass die zweite Abfrageeinrichtung (12) ausgebildet ist, um das Ergebnis der Abfrage der zweiten eindeutigen Identifizierung des zweiten Benutzers (6) der zweite Einrichtung (2) ü-ber die Datenübertragungseinrichtung (3) an die erste Einrichtung (1) zu übermitteln, und dass die erste Ausgabeeinrichtung (16) ausgebildet ist, um das Ergebnis der Abfrage an den ersten Benutzer (5) auszugeben .
  21. 21. Anordnung nach einem der Ansprüche 17 bis 20, dadurch gekennzeichnet, dass die erste Abfrageeinrichtung (11) und die zweite Abfrageeinrichtung (12) ausgebildet sind, um ein individuelles Passwort und/oder ein biometrisches Merkmal und/oder eine e-lektronische Signatur und/oder einen individuellen maschinenlesbaren Gegenstand abzufragen.
  22. 22. Anordnung nach einem der Ansprüche 17 bis 21, dadurch gekennzeichnet, 33 Μ »» · · Μ ·♦··· · · · · • · · ··· · · · * ·· • · · « ««*··»·*· · ««««·· · · · ·· ···· ·· · · «· dass die Vergleichseinrichtung (15) in der ersten Einrichtung (1) und/oder in der zweiten Einrichtung (2) und/oder durch in einer oder mehreren mit der ersten und zweite Einrichtung (1, 2) verbundenen weiteren Einrichtungen (8, 8') angeordnet ist.
  23. 23. Anordnung nach einem der Ansprüche 17 bis 22, dadurch gekennzeichnet, dass die Vergleichseinrichtung (15) ferner ausgebildet ist, das Vergleichsergebnis über die Datenübertragungseinrichtung (3) an die erste und/oder zweite Einrichtung (1, 2) zu übertragen, dass die erste Ausgabeeinrichtung (16) ausgebildet ist, um das von der Vergleichseinrichtung (15) gewonnene Vergleichsergebnis an den ersten Benutzer (5) auszugeben, und dass die zweite Ausgabeeinrichtung (17) ausgebildet ist, um das von der Vergleichseinrichtung (15) gewonnene Vergleichsergebnis an den zweiten Benutzer (6) auszugeben.
  24. 24. Anordnung nach einem der Ansprüche 17 bis 23, dadurch gekennzeichnet, dass die Anordnung ferner eine Protokolliereinrichtung (18) aufweist, um automatisch ein Protokoll der zwischen der ersten und der zweite Einrichtung (1, 2) übertragenen Daten zu erstellen und das Protokoll über die Datenübertragungseinrichtung (3) an die erste und/oder zweite Einrichtung (1, 2) zu übermitteln.
  25. 25. Anordnung nach einem der Ansprüche 17 bis 24, dadurch gekennzeichnet, dass die zweite Einrichtung (2) ferner ausgebildet ist, über die Datenübertragungseinrichtung (3) ein Genehmigungsformular an die erste Einrichtung (1) zu übertragen.
  26. 26. Anordnung nach einem der Ansprüche 17 bis 25, dadurch gekennzeichnet, 34 dass die zweite Einrichtung (2) ein WartungsSystem zur Fernwartung der ersten Einrichtung (1) ist.
  27. 27. Anordnung nach einem der Ansprüche 17 bis 26, 5 dadurch gekennzeichnet, dass die erste Einrichtung (1) ein medizinisches System und die zweite Einrichtung (1) ein Wartungssystem zur Fernwartung des medizinischen Systems ist.
  28. 28. Anordnung nach Anspruch 27, « dadurch gekennzeichnet, dass die sensiblen Daten (4) in dem medizinischen System gespeicherte Patientendaten sind. 35
AT0205404A 2003-12-30 2004-12-07 Verfahren zur steuerung AT500264A2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10361800A DE10361800A1 (de) 2003-12-30 2003-12-30 Verfahren und Anordnung zur Steuerung des Zugriffs auf in einer ersten Einrichtung gespeicherte sensible Daten

Publications (1)

Publication Number Publication Date
AT500264A2 true AT500264A2 (de) 2005-11-15

Family

ID=34716270

Family Applications (1)

Application Number Title Priority Date Filing Date
AT0205404A AT500264A2 (de) 2003-12-30 2004-12-07 Verfahren zur steuerung

Country Status (3)

Country Link
US (1) US7610490B2 (de)
AT (1) AT500264A2 (de)
DE (1) DE10361800A1 (de)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1213638A1 (de) * 2000-12-06 2002-06-12 Siemens Aktiengesellschaft Freigabe von Geräten
US8028325B2 (en) * 2005-08-08 2011-09-27 AOL, Inc. Invocation of a third party's service
US7739267B2 (en) * 2006-03-10 2010-06-15 International Business Machines Corporation Classification and sequencing of mixed data flows
US7689576B2 (en) * 2006-03-10 2010-03-30 International Business Machines Corporation Dilation of sub-flow operators in a data flow
US9361137B2 (en) * 2006-03-10 2016-06-07 International Business Machines Corporation Managing application parameters based on parameter types
US7689582B2 (en) * 2006-03-10 2010-03-30 International Business Machines Corporation Data flow system and method for heterogeneous data integration environments
US8099725B2 (en) * 2006-10-11 2012-01-17 International Business Machines Corporation Method and apparatus for generating code for an extract, transform, and load (ETL) data flow
US8160999B2 (en) * 2006-12-13 2012-04-17 International Business Machines Corporation Method and apparatus for using set based structured query language (SQL) to implement extract, transform, and load (ETL) splitter operation
US8219518B2 (en) 2007-01-09 2012-07-10 International Business Machines Corporation Method and apparatus for modelling data exchange in a data flow of an extract, transform, and load (ETL) process
CN102196014B (zh) * 2010-03-18 2014-04-09 腾讯科技(深圳)有限公司 多群组操作同步的方法和系统
JP5964635B2 (ja) 2012-03-30 2016-08-03 東京エレクトロン株式会社 操作制限装置、操作制限方法及びコンピュータプログラム
JP6428430B2 (ja) * 2015-03-26 2018-11-28 富士ゼロックス株式会社 情報処理装置、画像形成装置、情報処理システムおよびプログラム

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5526428A (en) * 1993-12-29 1996-06-11 International Business Machines Corporation Access control apparatus and method
CA2125300C (en) * 1994-05-11 1999-10-12 Douglas J. Ballantyne Method and apparatus for the electronic distribution of medical information and patient services
US7424679B1 (en) * 1999-12-29 2008-09-09 General Electric Company Patient data information system
US6463417B1 (en) * 2000-02-22 2002-10-08 Carekey.Com, Inc. Method and system for distributing health information
US20020162005A1 (en) * 2000-04-24 2002-10-31 Masaomi Ueda Access right setting device and manager terminal
JP2001338062A (ja) * 2000-05-26 2001-12-07 Nec Corp 電子カルテ情報管理システムおよび電子カルテ情報管理方法
US20010053986A1 (en) * 2000-06-19 2001-12-20 Dick Richard S. Method and apparatus for requesting, retrieving, and normalizing medical information
JP4082564B2 (ja) * 2002-02-04 2008-04-30 インターナショナル・ビジネス・マシーンズ・コーポレーション データ通信システム、端末装置及びプログラム
WO2004063961A1 (en) * 2003-01-15 2004-07-29 The Statum Group Inc. Method and system for creating a conveniently accessible medical history

Also Published As

Publication number Publication date
US7610490B2 (en) 2009-10-27
US20050174988A1 (en) 2005-08-11
DE10361800A1 (de) 2005-08-04

Similar Documents

Publication Publication Date Title
AT500264A2 (de) Verfahren zur steuerung
EP1326470A2 (de) Verfahren und Anordnung zur Überprüfung einer Authentizität eines ersten Kommunikationsteilnehmers in einem Kommunikationsnetz
DE10065579A1 (de) Verfahren und Vorrichtung zur automatischen Verarbeitung von Geschäftsvertragsinformationen zu einer lizenzierten Endbenutzeranwendung
DE10065667A1 (de) Verfahren und Vorrichtung zur Gemeinschaftsverwaltung bei einem Vornehmen von Diensten bei entfernten Systemen
DE112007000144T5 (de) Anlagenüberwachungs-Steuervorrichtung
DE102014226398A1 (de) Verfahren und Vorrichtung zum rückwirkungsfreien Erfassen von Daten
EP3340095B1 (de) Beatmungssystem und verfahren
WO2008095866A2 (de) Verfahren zur autorisierung des zugriffs auf mindestens eine automatisierungskomponente einer technischen anlage
WO2008101889A2 (de) Chipkarte mit einer erstnutzerfunktion, verfahren zur wahl einer kennung und computersystem
WO2006105852A1 (de) Netzwerkknoten und verfahren zum bereitstellen von internetdiensten auf internetmarktplätzen
EP2835759A1 (de) Verfahren und System zur Handhabung eines defekten elektronischen Nutzerendgerätes
DE102007041370B4 (de) Chipkarte, elektronisches Gerät, Verfahren zur Herstellung einer Chipkarte und Verfahren zur Inbenutzungnahme einer Chipkarte
WO2001046785A2 (de) Verfahren und vorrichtung zur überprüfung einer datei
DE202019104044U1 (de) System zum Verifizieren und Ausmelden von Medikamentenverpackungen
DE102015211036A1 (de) Überprüfen einer Verträglichkeit von Gerätekomponenten eines medizinischen Geräts
EP1818727B1 (de) Verfahren zur sicheren Übertragung von Betriebsdaten
DE19623660B4 (de) Vorrichtung zur Ermöglichung berechtigter Benutzung und Verhinderung unberechtigter Benutzung eines Fahrzeuges mit einem Motor
DE102012201431A1 (de) System und Verfahren zum Lizenzieren einer Vielzahl von Softwarekomponenten
DE60128729T2 (de) Markierungsausgabeverfahren und -system
EP1685472A1 (de) Verfahren zum zugriff auf eine datenverarbeitungsanlage
DE102005054140B4 (de) Verfahren und Vorrichtung zur Unterscheidung der Herkunft von Bedieneingaben
DE102005045816B4 (de) Verfahren, Softwareprogrammprodukt und Vorrichtung zur Herstellung von Sicherheitsdokumenten
DE19509775C2 (de) Eichfähiges Speichermedium
EP3671758A1 (de) Verfahren zur kontrolle der nutzung einer medizinischen infrastruktur
DE102007021716A1 (de) Vorrichtung zur Identifikation einer Person zur Benutzung eines elektronischen, insbesondere medizinischen Geräts

Legal Events

Date Code Title Description
AZ Withdrawn

Effective date: 20160515