-
Die
Erfindung betrifft ein Verfahren, ein System und eine Datenübertragungseinrichtung
zur Übertragung
von aus einer medizinischen Untersuchungseinrichtung eines Anwenders
stammenden Daten an eine Drittorganisation. Außerdem betrifft die Erfindung
die Verwendung einer Filtereinrichtung zur Filterung solcher Betriebs-
und/oder Fehlerdaten einer medizinischen Untersuchungseinrichtung.
-
Koronare
Herzerkrankungen, Lungenkrebs und Darmkrebs gehören heutzutage zu den häufigsten
Todesursachen innerhalb der industrialisierten Länder. Die inzwischen verfügbaren radiologischen Technologien
wie Computertomographieverfahren oder Magnetresonanztomographieverfahren
erlauben an sich eine relativ frühe
Erkennung dieser Krankheiten, wodurch die Therapieaussichten erheblich
verbessert werden. Es besteht daher zunehmend der Trend, moderne
bildgebende Systeme nicht nur zur Untersuchung von Patienten mit
entsprechenden Beschwerden, sondern auch im Rahmen der Früherkennung
solcher Krankheiten bei Personen zu nutzen, welche noch keinerlei
Symptome aufweisen. Darüber
hinaus werden Computertomographieverfahren oder Magnetresonanztomographieverfahren auch
mehr und mehr für
die genauere Diagnose einer Vielzahl weiterer Krankheiten oder zur
Vorbereitung von operativen Eingriffen eingesetzt. Die Anzahl entsprechender
medizinischer Untersuchungseinrichtungen steigt daher ständig, wobei
insbesondere auch die Verbreitung solcher Geräte in entlegenen Gebieten außerhalb
von Ballungszentren zunimmt.
-
Die
aufwändigen
und kostspieligen medizinischen Geräte müssen zur Sicherstellung eines
hohen Qualitätsstandards
der Untersuchungen regelmäßigen Wartungsarbeiten
unterzogen werden. Die Wartungs- und Servicearbeiten erfolgen dabei üblicherwei se
durch den Hersteller der medizinischen Geräte oder durch vom Hersteller
für diese
Arbeiten autorisierte, spezialisierte Serviceunternehmen. Des Weiteren
ist es erforderlich, dass die Geräte bei einem Störfall möglichst
schnell wieder entstört
bzw. repariert werden. Dabei ist zu berücksichtigen, dass die Betriebsbereitschaft
eines solchen Geräts
lebensrettend sein kann, insbesondere wenn in der näheren Umgebung
kein zweites geeignetes Gerät
zur Verfügung
steht. Darüber
hinaus sollten aber auch wegen der im Allgemeinen hohen Anschaffungskosten
die Standzeiten solcher Untersuchungseinrichtungen möglichst
gering gehalten werden. Ein Problem besteht hierbei unter anderem
darin, dass in den meisten Fällen
kein geeigneter Servicetechniker vor Ort ist. Allein die Anfahrtszeiten
des Technikers können
somit die Zeit, in der das Gerät
nach einem Störfall
nicht genutzt werden kann, erheblich verlängern. Weiterhin gehen die
Anfahrtszeiten für
den Techniker als effektive Arbeitszeit verloren, da er in dieser
Zeit keine Geräte
warten bzw. reparieren kann. Durch die Anfahrten der Techniker erhöhen sich
folglich auch die Kosten für
die Entstörung
und regelmäßige Wartung
der Einrichtungen. Daher wäre es
wünschenswert,
diese Anfahrtszeiten soweit wie möglich zu reduzieren.
-
Bei
vielen Störfällen könnte dem
Betreiber einer medizinischen Untersuchungseinrichtung nach einer
detaillierten Fehlerdiagnose anhand von Betriebs- und Fehlerdaten
des betreffenden Geräts
bereits sehr schnell eine Hilfestellung bzw. eine konkrete Abhilfemöglichkeit
gegeben werden, ohne dass ein Techniker zum Gerät reisen müsste. Hierzu ist es jedoch
erforderlich, dass entsprechende Betriebs- und Fehlerdaten an den
Hersteller des Geräts
bzw. ein geeignetes Serviceunternehmen versendet werden.
-
Um
die Technik der medizinischen Geräte sowie den Service für medizinische
Geräte
stetig weiter zu verbessern, sind die Hersteller von medizinischen
Geräten
des Weiteren daran interessiert, möglichst viele Informationen,
insbesondere Be triebs- und Fehlerdaten, aus dem laufenden Betrieb
der medizinischen Geräte
zu gewinnen.
-
Prinzipiell
lassen sich zur Erreichung dieser Zielstellungen sämtliche
Betriebs- und Fehlerdaten vom Betreiber des medizinischen Gerätes an den Hersteller übermitteln.
Dies stößt aber
bei den Betreibern von medizinischen Geräten wegen der hohen datenschutzrechtlichen
Sensibilität
auf dem medizinischen Sektor bislang nur auf eine geringe Akzeptanz.
-
Es
ist daher eine Aufgabe der vorliegenden Erfindung, ein Verfahren
und ein System zur Übermittlung
von aus einer medizinischen Untersuchungseinrichtung stammenden
Betriebs- und/oder Fehlerdaten
zu schaffen, bei denen der Betreiber der Untersuchungseinrichtung
sicher sein kann, dass keinerlei vertrauliche Informationen, insbesondere patientenbezogene
Informationen, zu deren Geheimhaltung er verpflichtet ist, an nicht
autorisierte Personen gelangen.
-
Diese
Aufgabe wird durch ein Verfahren gemäß Patentanspruch 1, durch ein
System zur Übertragung
von aus einer medizinischen Untersuchungseinrichtung eines Anwenders
stammenden Daten gemäß Patentanspruch
13, durch eine Datenübermittlungseinrichtung
nach Patentanspruch 20 sowie die Verwendung einer Filtereinrichtung
nach Patentanspruch 22 gelöst.
-
Nach
Maßgabe
des erfindungsgemäßen Verfahrens
werden zunächst
aus einer Ansammlung von zur Verfügung stehenden Daten zur Bestimmung eines
Betriebs- und/oder Fehlerzustandes der medizinischen Untersuchungseinrichtung
erforderliche Betriebs- und/oder
Fehlerdaten der medizinischen Untersuchungseinrichtung ausgewählt. Die
ausgewählten
Betriebs- und/oder Fehlerdaten werden dann zunächst mittels einer in einer
Vertrauenssphäre
des Anwenders angeordneten Filtereinrichtung gemäß vorgegebener Filterkriterien
gefiltert. Erst dann werden die ausgewählten und gefilterten Betriebs-
und/oder Fehlerdaten an eine Empfangseinrichtung der Drittorganisation übersendet.
-
Die „Vertrauenssphäre" des Anwenders kann
hierbei als ein Bereich definiert werden, der unter der Kontrolle
des Anwenders der medizinischen Untersuchungseinrichtung steht und
der vor Zugriffen unbefugter Dritter von außen weitgehend sicher ist, beispielsweise
ein innerhalb der Organisation, z. B. einer Klinik oder Praxis,
des Anwenders angeordneter Bereich. Zur „Vertrauenssphäre" zählen aber auch
Bereiche, die mit der Organisation des Anwenders beispielsweise über gesicherte Übertragungskanäle verbunden
sind. Insbesondere kann es sich hierbei auch um andere Personen
bzw. Organisationen handeln, die das Vertrauen des Anwenders genießen, beispielsweise
Bereiche in Unternehmen, die auch ansonsten für den Betrieb und die Wartung
der Hardware und Software in der Anwenderorganisation zuständig sind
und ohnehin über
gesicherte Fernwartungsleitungen o. Ä. mit dieser verbunden sind.
-
Ein
entsprechendes System zur Durchführung
des Verfahrens benötigt
zunächst
eine Auswahleinrichtung zum Auswählen
bestimmter, zur Bestimmung eines Betriebs- und/oder Fehlerzustands
der medizinischen Untersuchungseinrichtung erforderlicher Betriebs-
und/oder Fehlerdaten aus einer Ansammlung von zur Verfügung stehenden
Daten der medizinischen Untersuchungseinrichtung. Bei den Betriebs-
und/oder Fehlerdaten kann es sich grundsätzlich um alle Daten handeln,
die Rückschlüsse über den
Betriebs- und/oder Fehlerzustand des Geräts erlauben. Hierzu zählen unter
anderem Betriebsdaten des Geräts
wie Temperaturen, Spannungen, Ströme, Betriebsdauern etc., aber
auch konkrete Messdaten, die bei aktuellen oder zurückliegenden Testmessungen
oder „echten" Einsätzen des
Geräts, d.h.
bei Untersuchungen von Patienten, aufgenommen wurden. Dabei kann
es sich sowohl um Rohdaten als auch um fertige Bilder handeln. Bei
einem konkreten Störfall
werden z. B. sinnvollerweise alle Daten versandt, die bei der/den
Messung(en) bzw. Untersuchung(en) erfasst wurden, bei der/denen
der Fehler auftrat.
-
Darüber hinaus
benötigt
dieses System eine in der Vertrauenssphäre des Anwenders angeordnete
Filtereinrichtung, in welcher die Betriebs- und/oder Fehlerdaten
gemäß vorgegebenen
Filterkriterien gefiltert werden, sowie eine Sendeeinrichtung, um
die ausgewählten
und gefilterten Betriebs- und/oder Fehlerdaten an eine Empfangseinrichtung
der Drittorganisation zu übersenden.
-
Mit
Hilfe des erfindungsgemäßen Verfahrens bzw.
Systems wird sichergestellt, dass bestimmte geheim zu haltende Daten,
insbesondere patientenbezogene Daten, nicht aus der Einflusssphäre des Betreibers
der medizinischen Untersuchungseinrichtung hinaus gelangen. Dies
führt dazu,
dass eine größere Anzahl
von Anwendern eine Übertragung
von Betriebs- und/oder Fehlerdaten ihrer medizinischen Untersuchungseinrichtungen
an Drittorganisationen, wie den Hersteller der Geräte und/oder
geeignete Servicebetriebe, zulässt,
so dass insgesamt die Standzeiten sowie die Kosten für die Wartung
und Entstörung
der Geräte
reduziert werden können.
-
Weitere
Ausgestaltungen und Weiterbildungen der Erfindung ergeben sich aus
den weiteren Ansprüchen
sowie der nachfolgenden Beschreibung.
-
Grundsätzlich können durch
die Filtereinrichtung aus den ausgewählten Betriebs- und oder Fehlerdaten
bestimmte Datensätze
vollständig
entfernt werden, z. B. wenn es sich hierbei um Datensätze handelt,
die nicht ohne weiteres sinnvoll anonymisierbar sind.
-
Besonders
bevorzugt werden aber durch die Filtereinrichtung bestimmte Datensätze der
ausgewählten
Betriebs- und/oder Fehlerdaten, welche z. B. persönliche Daten
enthalten, lediglich modifiziert. Durch diese Maßnahme lässt sich eine Anonymisierung
der betreffenden Datensätze
erreichen, so dass z. B. nicht mehr erkennbar ist, von welchem Patienten
die Daten stammen. In vielen Fällen
ist eine Anonymisierung der Daten sätze auf einfache Weise erreichbar,
indem in den betreffenden Datensätzen
bestimmte Datenfelder mit z. B. personenbezogenen Daten entfernt
werden.
-
Bei
einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens
erfolgt eine Ermittlung von bei der Filterung aus den Betriebs-
und/oder Fehlerdaten zu entfernenden oder zu modifizierenden Datensätzen und/oder
von zu entfernenden Datensatzfeldern durch einen Vergleich mit hinterlegten Datentypen
bzw. Datensatztypen auf Grund bestimmter Charakteristika. So ist
meist ohnehin bekannt, dass sich in bestimmten Datensätzen keinerlei Daten
befinden, anhand derer der Patient identifizierbar wäre, wogegen
bei anderen Datensätzen
aufgrund ihres Typs (beispielsweise erkennbar an einem bestimmten
Dateinamen) klar ist, an welcher Position im Datensatz, z. B. im
so genannten „Header" einer Bilddatei,
personenbezogene Daten gespeichert sind. Durch einen solchen Typenvergleich
ist eine erheblich schnellere automatische Filterung möglich, weil
die Dateninhalte nicht im Detail analysiert werden müssen.
-
Vorteilhafterweise
wird den übermittelten
Daten bei der Filterung eine Kennung zugeordnet. Anhand dieser Kennung
ist später
wieder eine Personalisierung von anonymisierten Daten beim Betreiber der
medizinischen Untersuchungseinrichtung möglich, falls die Originaldaten
oder weitere Daten zu einem Fall, z. B. aufbereitete Bilddaten einer
bestimmten Untersuchung, von der Drittorganisation an den Betreiber
zurückgesendet
werden. D. h. es können mit
Hilfe der Kennung allgemein von der Drittorganisation zurückgesendete
Betriebs- und/oder
Fehlerdaten und/oder Antwortdaten durch zugehörige Datensätze und/oder Datenfelder wieder
ergänzt
werden, die bei der Filterung in der Speichereinheit hinterlegt
wurden.
-
Mit
diesem Verfahren wird erreicht, dass sensible personenbezogene Daten
in der Einflusssphäre des
Betreibers der medizinischen Untersuchungseinrichtung verbleiben
und dennoch die Zuordnung der gesendeten Betriebs- und/oder Fehlerdaten
zu dem konkreten Fall nicht verloren geht.
-
Bei
einer bevorzugten Variante wird ein entferntes Datenfeld in einem
an die Drittorganisation zu versendenden Datensatz durch die entsprechende Kennung
ersetzt. Gleichzeitig können
die bei der Filterung entfernten Datensätze und/oder Datenfelder gemeinsam
mit der Kennung in der Speichereinheit gespeichert werden.
-
Eine
besonders vorteilhafte Ausgestaltung des erfindungsgemäßen Verfahrens
sieht vor, dass die zu filternden Daten vom Anwender zunächst über einen
gesicherten Übertragungskanal
an eine externe Datenübermittlungseinrichtung
gesendet werden, welche ebenfalls zum Vertrauensbereich des Anwenders
zählt.
In dieser Datenübermittlungseinrichtung werden
dann die betreffenden Daten vor einer Weiterübermittlung an die Empfangseinrichtung
der Drittorganisation zunächst
mittels einer Filtereinrichtung gefiltert. Hierdurch wird grundsätzlich eine
Filtereinrichtung in der Einflusssphäre des Betreibers der medizinischen
Untersuchungseinrichtung entbehrlich, wobei der gesicherte Übertragungskanal
garantiert, dass die Daten des Anwenders nicht an Unbefugte gelangen.
-
D.
h. es ist bei dieser Variante vorteilhafterweise nicht mehr erforderlich,
dass der Anwender selbst eine innerhalb seiner Organisation, z.
B. in der Klinik bzw. Praxis, befindliche Filtereinrichtung konfiguriert
und wartet. Hierbei ist zu berücksichtigen, dass
je nach Art der Filterung die Konfiguration der Filtereinrichtung
relativ kompliziert sein kann und hierfür entsprechend geschultes Personal
zur Verfügung
stehen muss. Weiterhin sollte die Konfiguration der Filtereinrichtung
möglichst
regelmäßig aktualisiert
werden, um wechselnden Sicherheitsanforderungen und/oder Dateiformatänderungen
gerecht zu werden. Eine einmalige Konfiguration der Filtereinrichtung
bei der Installation ist daher meist nicht ausreichend. Jedoch wäre insbesondere
bei kleineren organisa torischen Einheiten, beispielsweise bei niedergelassenen
Praxen, ein speziell geschulter Software-Techniker, welcher mit
der Bedienung, Wartung und Konfiguration der Filtereinrichtung betraut
werden könnte,
nicht ausgelastet, so dass entsprechendes Personal oftmals gar nicht
zur Verfügung
steht. Solche Anwender von medizinischen Untersuchungseinrichtungen
können
vorteilhafterweise bei der Übermittlung
der Betriebs- und/oder
Fehlerdaten eine erfindungsgemäße Datenübermittlungseinrichtungen
nutzen, die sich bei einer vom Anwender als vertrauenswürdig eingestuften
und gegebenenfalls entsprechend kontrollierbaren Organisationen
befindet. Beispielsweise könnte
es sich hierbei um ein Unternehmen handeln, welches regelmäßig die
Hardware und Software innerhalb des Anwenderbereichs wartet und
daher ohnehin Zugang zu den Daten hätte. In vielen Fällen existieren
bereits geeignete gesicherte Übertragungskanäle zwischen
solchen Unternehmen und dem Anwender, um auch andere Komponenten
innerhalb des Anwenderbereichs mittels Fernwartungsverfahren zu
warten.
-
Darüber hinaus
ist es auch möglich,
speziell für
die Datenübermittlung
von medizinischen Daten eingerichtete „Trustcenter" zu schaffen, welche über entsprechende
Datenübermittlungseinrichtungen verfügen. Diese
können
darauf spezialisiert sein, verschiedenste Betriebs- und/oder Fehlerdaten
aus medizinischen Untersuchungseinrichtungen zu filtern und dementsprechend
die Filter zu konfigurieren und bei Änderungen von Datennormen auch
entsprechend die Konfigurationen umzustellen. Solche Trustcenter
könnten
diese Dienstleistung für
verschiedenste Anwender anbieten.
-
Wichtig
ist dabei, dass die Daten gut gesichert an dieses Trustcenter übertragen
werden können
und dass das Trustcenter durch entsprechende Überwachungseinrichtungen und/oder
regelmäßige Kontrollen überwacht
wird, um das Vertrauen der Anwender in das Trustcenter zu sichern.
-
Eine
entsprechende externe Datenübermittlungseinrichtung
zur Übertragung
von aus einer medizinischen Untersuchungseinrichtung eines Anwenders
stammenden Daten an eine Drittorganisation muss daher eine Empfangseinrichtung
aufweisen, welche über
einen gesicherten Übertragungskanal mit
einer Sendeeinrichtung des Anwenders verbunden ist, und eine Sendeeinrichtung,
die die gefilterten Betriebs- und/oder Fehlerdaten an eine Drittorganisation
weitersendet. Außerdem
wird eine geeignete Filtereinrichtung benötigt, um die vom Anwender empfangenen
Betriebs- und/oder Fehlerdaten der medizinischen Untersuchungseinrichtung
gemäß den vorgegebenen
Filterkriterien zu filtern.
-
Diese
Filtereinrichtung ist vorzugsweise wie die bereits weiter oben beschriebene,
innerhalb der Organisation des Anwenders selbst angeordnete Filtereinrichtung
ausgestaltet bzw. weist sämtliche Merkmale
einer solchen Filtereinrichtung auf.
-
Vorzugsweise
weist eine solche externe Datenübermittlungseinrichtung
zusätzlich
eine Abrechnungseinrichtung auf, um auf Basis der Menge der gefilterten
Daten und/oder der zur Filterung der Daten benötigten Zeit einen Kostenwert
für die
Filterung zu ermitteln. Auf diese Weise ist eine einfache Abrechnung
mit dem Betreiber der medizinischen Untersuchungseinrichtung und/oder
der Drittorganisation möglich,
welche die entsprechenden Betriebs- und/oder Fehlerdaten empfangen
möchte.
-
Es
ist aber auch möglich,
dass eine interne, d. h. im Bereich des Anwenders selbst angeordnete Filtereinrichtung
mit einer entsprechenden Abrechnungseinrichtung versehen ist, beispielsweise
wenn diese Filtereinrichtung von einem vertrauenswürdigen Unternehmen
zur Verfügung
gestellt und gewartet wird, wobei ebenfalls nach Nutzungszeit und/oder Menge
der versendeten Daten abgerechnet werden kann.
-
Eine
weitere vorteilhafte Ausgestaltung sieht vor, dass die Betriebs-
und/oder Fehlerdaten innerhalb einer in einer Anwendersphäre befindlichen
ersten Filtereinrichtung zunächst
nur vorgefiltert werden. Ein Teil der Daten wird dann unmittelbar
an die Empfangseinrichtung der Drittorganisation übersendet und
ein anderer Teil wird zur Nachfilterung mit einer zweiten Filtereinrichtung
an eine externe Datenübermittlungseinrichtung
gesendet.
-
Beispielsweise
könnte
bei der Vorfilterung anhand der Datentypen festgestellt werden,
welche Datensätze
mit Sicherheit keine personenbezogenen Daten enthalten. Diese könnten dann
direkt versandt werden. Datensätze,
bei denen dagegen nicht eindeutig klar ist, ob sie gegebenenfalls
zu schützende Daten
enthalten, werden der Nachfilterung zugeführt.
-
Durch
diese Variante entfällt
einerseits die technisch aufwändigere
vollständige
Filterung der Betriebs- und/oder Fehlerdaten beim Anwender selbst.
Andererseits werden nicht unnötige
Datenmengen an ein mit der Filterung beauftragtes, vertrauenswürdiges Serviceunternehmen
gesandt.
-
Vorzugsweise
erfolgt eine automatische Auswahl der Betriebs- und/oder Fehlerdaten aus den zur Verfügung stehenden
Daten auf Basis einer Fehlertypisierung. So kann beispielsweise
basierend auf vom Benutzer eingegebenen Daten über möglicherweise auftretende Fehler
oder auch durch Auswertung bestimmter Betriebsdaten der aufgetretene
Fehler einem bestimmten Fehlertyp zugeordnet werden. Für diesen
Fehlertyp kann dann bereits festgelegt sein, welche Art von Betriebs-
und/oder Fehlerdaten überhaupt
aus der Ansammlung der zur Verfügung stehenden
Daten benötigt
werden, um genauer festzustellen, wo der aufgetretene Fehler liegt.
-
So
kann es beispielsweise bei einigen Fehlertypen erforderlich sein,
dass nicht nur Daten aus der aktuellen Untersuchung, bei der der
Fehler auftritt, versandt werden, sondern dass Daten aus einem länger zurückliegenden
Zeitraum mitgesandt werden. Außerdem
kann es bei einigen Fehlertypen notwendig sein, Bilddaten zu versenden,
wogegen es bei anderen Fehlertypen ausreichen würde, Betriebsdaten wie bestimmte
Spannungswerte, Temperaturen etc. zu übermitteln. Mit einer solchen
Fehlertypisierung lässt
sich die Zeit für
eine automatische Auswahl der Betriebs- und/oder Fehlerdaten sehr
reduzieren.
-
Grundsätzlich kann
aber auch der Anwender selbst Betriebs- und/oder Fehlerdaten unmittelbar auswählen und
diese zur weiteren Bearbeitung, insbesondere zur Filterung und zum
Versand an die Drittorganisation, selektieren.
-
Ebenso
kann bei einer bevorzugten Variante des erfindungsgemäßen Verfahrens
auch vorgesehen sein, dass vor einer Versendung von Daten an die
Drittorganisation nach der Filterung noch einmal explizit vom Anwender
bestätigt
werden muss, dass die Daten in der gefilterten Form übersendet
werden dürfen.
-
Die
Erfindung wird im Folgenden unter Hinweis auf die beigefügten Figuren
anhand von Ausführungsbeispielen
noch einmal näher
erläutert.
Es zeigen:
-
1 eine
Darstellung einer ersten Variante eines erfindungsgemäßen Systems
zur Übertragung von
Betriebs- und/oder
Fehlerdaten einer medizinischen Untersuchungseinrichtung,
-
2 eine
Darstellung einer zweiten Variante des erfindungsgemäßen Systems
zur Übertragung von
Betriebs- und/oder Fehlerdaten einer medizinischen Untersuchungseinrichtung,
-
3 eine
Darstellung einer dritten Variante des erfindungsgemäßen Systems
zur Übertragung von
Betriebs- und/oder Fehlerdaten einer medizinischen Untersuchungseinrichtung.
-
1 zeigt
als einfachen Funktionsblock eine medizinische Untersuchungseinrichtung 1,
beispielsweise einen Magnetresonanztomographen oder einen Computertomographen.
Beim Betrieb der medizinischen Untersuchungseinrichtung 1 anfallende
Daten 3 werden in einem Datenspeicher 4 zur Archivierung
abgelegt.
-
In
einem Störungsfall
oder zu bestimmten Zeitpunkten, beispielsweise in bestimmten Wartungsintervallen,
werden die von der medizinischen Untersuchungseinrichtung 1 aktuell
generierten Daten 3 und/oder die im Datenspeicher 4 hinterlegten Daten 3 von
einer Auswahleinrichtung 5 geprüft bzw. durchsucht. Von der
Auswahleinrichtung 5 werden dabei aus den Daten 3 spezifische
Betriebs- und/oder Fehlerdaten 6 ausgewählt, die zur Analyse bestimmter
Betriebs- und/oder Fehlerzustände
der medizinischen Untersuchungseinrichtung 1 und folglich
auch zu deren stetiger technischer Weiterentwicklung nützlich sind.
Die von der Auswahleinrichtung 5 ausgewählten Betriebs- und/oder Fehlerdaten 6 enthalten
teilweise noch personenbezogene und/oder andere von Betreiber der
medizinischen Untersuchungseinrichtung 1 geheim zu haltende
Daten.
-
Dabei
führt die
Auswahleinrichtung 5 die Auswahl der Betriebs- und/oder
Fehlerdaten 6 vorzugsweise automatisch auf Basis einer
Fehlertypisierung durch. Die Fehlertypisierung kann dabei z. B. aufgrund
einer Benutzereingabe und/oder auch auf der Grundlage einer Selbstdiagnose
der medizinischen Untersuchungseinrichtung erfolgen. Hierzu weist
die Auswahleinrichtung 5 eine in der Zeichnung nicht näher dargestellte
Fehlertypisierungseinrichtung auf. Die Fehlertypisierungseinrichtung
enthält beispielsweise
die vorprogrammierten Fehlercodes, die bestimmten Störfallszenarien
der medizinischen Untersuchungseinheit entsprechen. Weiterhin ist
die Fehlertypisierungseinrichtung in der Lage, nicht vordefinierten
und vorprogrammierten Fehlerzuständen der
medizinischen Untersuchungseinrichtung 1 neue Fehlercodes
zuzuordnen, mittels derer die Auswahleinrichtung 5 dann
bestimmte Betriebs- und/oder Fehlerdaten 6 aus
den Daten 3 auswählen
kann.
-
Die
von der Auswahleinrichtung 5 zur Übertragung ausgewählten Betriebs-
und/oder Fehlerdaten 6 werden anschließend einer Filtereinrichtung 8 zugeleitet.
Diese Filtereinrichtung 8 befindet sich zum Schutz vor
Manipulationen durch unbefugte Dritte innerhalb einer Vertrauenssphäre 2 des
Anwenders, d. h. bevorzugt innerhalb der Klinik bzw. Praxis, in
welcher auch die medizinische Untersuchungseinrichtung 1,
der Datenspeicher 4 und die Auswahleinrichtung 5 angeordnet
sind.
-
Die
Filtereinrichtung 8 umfasst neben dem eigentlichen Datenfilter 9 einen
Datentypspeicher 10, ein Kennzeichnungsmodul 11 sowie
eine Speichereinheit 12. Das Kennzeichnungsmodul 11,
der Datentypspeicher 10 und die Speichereinheit 12 müssen dabei
nicht zwingend innerhalb der Filtereinrichtung 8 angeordnet
sein. Die gezeigte Anordnung innerhalb der Filtereinrichtung 8 ist
aber bevorzugt, weil die zentral angeordneten Einrichtungen sich leichter
vor unbefugten Zugriffen Dritter schützen lassen.
-
Mittels
des Datenfilters 9 werden sämtliche Betriebs- und/oder Fehlerdaten 6 hinsichtlich
vertraulicher Daten gefiltert. Hierzu muss der Datenfilter 9 in der
Filtereinrichtung 8 mit geeigneten Filterregeln so konfiguriert
werden, dass gegebenenfalls bestimmte Datensätze aus den Betriebs- und/oder Fehlerdaten 6 entfernt
werden oder so weit wie möglich
modifiziert werden, beispielsweise durch Entfernung bestimmter Datenfelder
anonymisiert werden. Bei einem Datenfeld handelt es sich um einen
bestimmten Datenteil innerhalb eines Datensatzes. Im einfachsten
Fall enthält
ein solches Datenfeld beispielsweise eine Zeichenkette, wie z. B.
den Namen des Patienten.
-
Um
die Filterung der Betriebs- und/oder Fehlerdaten 6 innerhalb
des Datenfilters 9 zu vereinfachen und zu beschleunigen,
weist die Filtereinrichtung 8 den Datentypspeicher 10 auf.
Der Datentypspeicher 10 enthält eine Zusammenstellung von
innerhalb der Betriebs- und/oder Fehlerdaten 6 vorkommenden
Da tentypen, von denen ohne genauere Inhaltsprüfung bekannt ist, dass sie
wegen ihrer personenbezogenen Inhalte mittels des Datenfilters 9 entfernt
oder modifiziert werden müssen
und in welcher Weise gegebenenfalls die Modifizierung erforderlich
ist. Erkennt der Datenfilter 9 beispielsweise einen Datensatz,
der einem der im Datentypspeicher hinterlegten, auszufilternden
Datentypen entspricht, wird dieser mittels des Datenfilters 9 ausgefiltert.
-
Die
in der Filtereinrichtung 8 geprüften und gegebenenfalls modifizierten
Daten 7 werden dann mittels einer beim Anwender angeordneten
Sendeeinrichtung 14 über
einen Übertragungskanal 17 an eine
Empfangseinrichtung 15 einer Drittorganisation 13 übermittelt.
Zur Übertragung
kann ein beliebiger Übertragungskanal 17,
beispielsweise eine Telefonleitung, eine Funkverbindung oder das
Internet, genutzt werden. Es bietet sich an, für die Übertragung allgemein im Medizinbereich
genutzte Standards wie z. B. den DICOM-Standard (Digital Imagine
and Communication in Medicine) zu nutzen.
-
Bei
der Drittorganisation 13 kann es sich beispielsweise um
den Hersteller der medizinischen Untersuchungseinrichtung 1 selbst,
ein vom Hersteller autorisiertes Serviceunternehmen oder dergleichen handeln,
welche sich außerhalb
der sicheren Vertrauenssphäre 2 des
Anwenders, d. h. innerhalb eines potentiell unsicheren Außenbereiches 16,
befinden.
-
Innerhalb
der Drittorganisation 13 werden die gefilterten Betriebs-
und/oder Fehlerdaten 7 einer genauen technischen Auswertung
und Analyse unterzogen. Diese technische Auswertung kann dazu dienen,
dem Anwender der medizinischen Untersuchungseinrichtung 1 in
einem Störfall
eine konkrete Hilfestellung zur Behebung des Problems geben zu können, ohne
dass die Anwesenheit von Servicepersonal beim Anwender erforderlich
ist.
-
Bei
der Filterung werden aus den Betriebs- und/oder Fehlerdaten 6 entfernte
Datensätze
bzw. Datenfelder mit Hilfe des Kennzeichnungsmoduls 11 mit
einer eindeutigen Kennung versehen und anschließend zusammen mit der Kennung
in der Speichereinheit 12 abgelegt. Ebenso werden die übermittelten
Daten 7 mit dieser anonymen Kennung versehen. D, h. erkennt
der Datenfilter 9 beispielsweise einen Datensatz, der ein
kritisches Datenfeld enthält, so
wird dieses Datenfeld im Datensatz durch die Kennung ersetzt und
der so anonymisierte Datensatz weitergeleitet. Ebenso wird das aus
dem Datensatz entfernte Datenfeld gemeinsam mit der Kennung im Speicher 12 hinterlegt.
-
Mit
Hilfe der eindeutigen Kennung können die
zu einem konkreten Fall in der Speichereinheit 12 abgelegten,
ausgefilterten Datensätze
bzw. Datenfelder genutzt werden, um sie im Bedarfsfall mit von der Drittorganisation
zurück
gesendeten Betriebs- und/oder Fehlerdaten 7, die beispielsweise
mit Antwortdaten des Herstellers der medizinischen Untersuchungseinrichtung 1 zur
Beseitigung eines Störfalls
angereichert sein können,
zu verknüpfen.
So können
beispielsweise modifizierte Datensätze, aus denen bestimmte Datenfelder
entfernt wurden, wieder vervollständigt, d. h. wieder personalisiert
werden.
-
Bei
den Antwortdaten kann es sich beispielsweise um Fehlerdaten, Fehlerdiagnosedaten,
Entstördaten,
Rückfragen
zur Fehlerlokalisierung oder um technische Anweisungen handeln,
die geeignet sind, dem Betreiber eine effektive Hilfestellung bei der
Beseitigung von Störfällen oder
Fehlern in der medizinischen Untersuchungseinrichtung 1 zu
geben. Die zurück übermittelten
Betriebs- und/oder Fehlerdaten können
auch modifiziert zurückgesendet werden.
Beispielsweise könnten
aus gesendeten Rohbilddaten eines Magnetresonanzgeräts beim Hersteller
optimale Magnetresonanzbilder rekonstruiert und an den Anwender
zurückgesandt
werden.
-
Zur
Rücksendung
von Daten von der Drittorganisation 13 werden bei der Drittorganisation
eine Sendeeinrichtung und beim Anwender der medizinischen Untersuchungseinrichtung 2 eine
Empfangseinrichtung benötigt.
Bei dem dargestellten Beispiel handelt es sich daher bei den Sendeeinrichtung 14 beim
Anwender und bei der Empfangseinrichtungen 15 bei der Drittorganisation 13 um
kombinierte Sende-/Empfangseinrichtungen 14, 15,
und die Rückübertragung
erfolgt über
den gleichen Übertragungskanal 17 wie
die Hinübertragung.
-
Von
der Sende-/Empfangseinrichtungen 14 können die zurückgesendeten
Betriebs- und/oder Fehlerdaten oder Antwortdaten an die Filtereinrichtung 8 weitergeleitet
werden, in der die Verknüpfung mit
den hinterlegten, ausgefilterten Datenteilen erfolgt. Von dort kann
eine Übermittlung
der Daten zurück
an die medizinische Untersuchungseinrichtung 1 über einen Übertragungskanal 18 erfolgen.
-
Weiterhin
kann die Auswertung der gefilterten Betriebs- und/oder Fehlerdaten 7 innerhalb
der Drittorganisation 13 dazu dienen, die medizinische Untersuchungseinrichtung 1 technisch
weiter zu entwickeln. Um diesen Zweck zu erreichen, ist eine Rücksendung
der technisch analysierten Betriebs- und/oder Fehlerdaten 7 in
die Anwendersphäre
nicht unbedingt erforderlich.
-
Das
in 2 dargestellte System weist ebenfalls eine medizinische
Untersuchungseinrichtung 1 mit einem Datenspeicher 4,
einer Auswahleinrichtung 5 sowie einer Sende-/Empfangseinrichtung 14 im
Einflussbereich, beispielsweise in der Klinik oder Praxis, des Anwenders
auf. Die Funktion dieser Komponenten wurde im Rahmen der Beschreibung der 1 bereits
erörtert.
-
Im
Unterschied zu der Systemanordnung gemäß 1 befindet
sich hier im unmittelbaren Bereich des Anwenders keine Filtereinrichtung 8.
Statt dessen werden die von der Auswahlein richtung 5 aus den
Daten 3 ausgewählten
Betriebs- und/oder Fehlerdaten 6 direkt zur Sende-/Empfangseinrichtung 14 weitergeleitet.
-
Die
Betriebs- und/oder Fehlerdaten 6 werden dann von der Sende-/Empfangseinrichtung 14 über einen
gesicherten Übertragungskanal 22 an eine
externe Datenübermittlungseinrichtung 20 gesendet,
die sich im Außenbereich,
d. h. außerhalb
der Klinik oder Praxis, befindet. Die Datenübertragung über den Übertragungskanal 22 von
der Sende-/Empfangseinrichtung 14 an die Datenübermittlungseinrichtung 20 erfolgt
zur Sicherung der Daten beispielsweise mit einem starken Verschlüsselungsalgorithmus.
-
In
dieser externen Datenübermittlungseinrichtung 20 befindet
sich neben einer Sende-/Empfangseinrichtung 19, welche
die über
den Übertragungskanal 22 von
der Sende-/Empfangseinrichtung des Anwenders ankommenden Betriebs-
und/oder Fehlerdaten 6 empfängt, eine Filtereinrichtung 24, welche
unter anderem einen Datenfilter 25, einen Datentypspeicher 26,
ein Kennzeichnungsmodul 27 sowie eine Speichereinheit 28 aufweist.
Die Funktion der Filtereinrichtung 24 und ihrer Komponenten 25, 26, 27, 28 entspricht
im Wesentlichen der Funktion der Filtereinrichtung 8, wie
sie bereits im Rahmen der Beschreibung der 1 erläutert wurde.
-
Die
in der Filtereinrichtung 24 geprüften und gegebenenfalls modifizierten
Betriebs- und/oder Fehlerdaten 7 werden dann mittels der
Sende-/Empfangseinrichtung 19 über einen Übertragungskanal 23 an
die Sende-/Empfangseinrichtung 15 der Drittorganisation 13 gesendet.
-
Diese
Datenübermittlungseinrichtung 20 entspricht
den aktuellen Sicherheitsstandards der Informationstechnologie und
ist daher vor unbefugten Zugriffen Dritter von außen nahezu
vollständig
sicher. Da aus der Datenübermittlungseinrichtung 20 keine personenbezogenen
oder sonstigen geheim zu haltenden Daten heraus gelangen können und
diese Datenübermittlungseinrichtung
als "Trustcenter" vom Anwender mit
der Filterung und Übermittlung
der sensiblen Betriebs- und/oder Fehlerdaten 6 betraut ist,
zählt sie
zum Vertrauensbereich 2 des Anwenders der medizinischen
Untersuchungseinrichtung 1.
-
Der
Vorteil dieser Anordnung liegt darin, dass sich der Betreiber der
medizinischen Untersuchungseinrichtung 1 nicht näher mit
der Konfiguration und dem Betrieb eines Datenfilters 9 befassen muss.
Da aber sämtliche
Filteraufgaben in der gesicherten, vertrauenswürdigen Datenübermittlungseinrichtung 20 durchgeführt werden,
ist ein Missbrauch von in den Betriebs- und/oder Fehlerdaten 6 enthaltenen
vertraulichen Daten trotzdem nahezu unmöglich.
-
In
Entsprechung zu den im Rahmen der Beschreibung des Ausführungsbeispiels
gemäß 1 gemachten
Ausführungen
erfolgt in der Drittorganisation 13 eine genaue Analyse
und Auswertung der empfangenen Betriebs- und/oder Fehlerdaten 7.
Im Bedarfsfall ist es wiederum möglich,
die empfangenen Betriebs- und/oder
Fehlerdaten 7 oder Antwortdaten an den Anwender zurück zu übertragen.
-
Die
betreffenden Daten werden hier jedoch über die Datenübermittlungseinrichtung 20 zurück übertragen.
Innerhalb der Datenübermittlungseinrichtung 20 kann
dabei soweit möglich
wieder eine Verknüpfung
der Betriebs- und/oder Fehlerdaten oder der Antwortdaten mit den
in der Speichereinheit 28 hinterlegten ausgefilterten Datensätzen bzw.
Datenfeldern erfolgen. Eine solche Verknüpfung kann dabei in der gleichen
Weise erfolgen, wie sie bereits im Rahmen der Beschreibung des Ausführungsbeispiels
gemäß 1 erläutert wurde.
-
Von
der Datenübermittlungseinrichtung 20 gelangen
die zurückgesendeten
und gegebenenfalls aufbereiteten Betriebs- und/oder Fehlerdaten sowie eventuelle
Antwortdaten dann über
den gesicherten Übertragungskanal 22 zurück zur Sende-/Emp fangseinseinrichtung 14 beim
Anwender der medizinischen Untersuchungseinrichtung und von dort über den Übertragungskanal 18 gegebenenfalls
zur medizinischen Untersuchungseinrichtung 1.
-
Die
Datenübermittlungseinheit 20 weist
außerdem
eine Kostenabrechnungseinheit 21 auf, mittels derer die
für die Übermittlungs-
und Filterdienstleistungen anfallenden Kosten ermittelt werden können. In
diesem Zusammenhang kann eine Kostenerfassung beispielsweise dadurch
erfolgen, dass die Verbindungszeiten zu den Sende-/Empfangseinrichtungen 14, 15 und/oder
das über
die Übertragungskanäle 22, 23 transferierte
Datenvolumen erfasst wird und hieraus beispielsweise ein rechnerischer Kostenwert
ermittelt wird.
-
Das
in 3 dargestellte System ist eine Art Kombination
der in den 1 und 2 dargestellten
Systeme.
-
Hier
befindet sich im Einflussbereich des Anwenders der medizinischen
Untersuchungseinrichtung 1 neben der medizinischen Untersuchungseinrichtung 1 mit
dem Datenspeicher 4, der Auswahleinrichtung 5 und
der Sende-/Empfangseinrichtung 14 auch eine Filtereinrichtung 8.
Diese weist wiederum einen Datenfilter 9, einen Datentypspeicher 10,
ein Kennzeichnungsmodul 11 sowie eine Speichereinheit 12 auf.
Die Funktionsweise aller dieser Komponenten ist – soweit nachfolgend nicht
anders erläutert – wie bei
dem Ausführungsbeispiel
gemäß 1.
-
Im
Unterschied zu der im Rahmen der Beschreibung der 1 beschriebenen
Filtereinrichtung 8 nimmt der Datenfilter 9 in
diesem dritten Ausführungsbeispiel
nur eine "Grobfilterung" der Betriebs- und/oder
Fehlerdaten 6 vor.
-
Bei
der „Grobfilterung" wird geprüft, ob bestimmte
Datensätze
der Betriebs- und/oder Fehlerdaten 7' unmittelbar über einen Übertragungskanal 17 von
der Sende-/Empfangseinrichtung 14 des Anwenders aus an
die Sende-/Empfangseinrichtung 15 der Drittorganisation 13 übermittelt
werden können, da
diese mit Sicherheit keine vertrauliche Daten enthalten.
-
Alle
anderen Betriebs- und/oder Fehlerdaten 6' werden über einen gesicherten Übertragungskanal 22 an
eine externe Datenübermittlungseinrichtung 20 ("Trustcenter") gesendet und durchlaufen
dort eine „Feinfilterstufe". Diese Datenübermittlungseinrichtung 20 entspricht
im Wesentlichen der Datenübermittlungseinrichtung 20,
wie sie bereits im Rahmen der Beschreibung der 2 erläutert wurde.
-
Die
innerhalb der Datenübermittlungseinrichtung 20 „feingefilterten" Betriebs- und/oder
Fehlerdaten 7 werden mittels der Sende-/Empfangseinrichtung 19 wieder über den Übertragungskanal 23 an die
Sende-/Empfangseinrichtung 15 übertragen.
-
Wie
bereits im Rahmen der Beschreibung des ersten Ausführungsbeispiels
der Erfindung dargestellt, kann die Drittorganisation 13 im
Bedarfsfall bestimmte – auch
modifizierte – Betriebs-
und/oder Fehlerdaten sowie Antwortdaten an die Filtereinrichtungen 8, 24 zurücksenden.
In den Filtereinrichtungen 8, 24 erfolgt dann
jeweils soweit möglich
eine Verknüpfung
mit dort bei der Filterung hinterlegten Daten. Von der Datenübermittlungseinrichtung 20 kann
eine Rücksendung
dieser Daten über
den Übertragungskanal 22 an
die bei der medizinischen Untersuchungseinrichtung 1 befindliche
Sende-/Empfangseinrichtung 14 erfolgen.
-
Diese
dritte Variante hat einerseits den Vorteil, dass an die Konfiguration
des Datenfilters 9 in dieser Ausführungsvariante nicht so hohe
Anforderungen zu stellen sind wie beim ersten Ausführungsbeispiel
der Erfindung gemäß der 1.
Damit kann auch der Betreiber der medizinischen Untersuchungseinrichtung 1 ohne
speziell ausgebildetes Personal die Konfiguration des Datenfilters 9 in
Eigenverantwortung übernehmen
und überwachen. Insbesondere
muss die gesamte Filtereinrich tung nicht so aufwändig aufgebaut sein wie bei
einer vollständigen
Filterung aller Daten, d. h. es würde hier eine sehr einfache
Filtereinrichtung ausreichen.
-
Andererseits
werden nicht unnötig
große
Datenmengen zur Filterung an die Übermittlungseinrichtung 20 gesendet
und dort abgerechnet, was dazu führt,
dass diese dritte Variante gegebenenfalls im laufenden Betrieb kostengünstiger
ist als die zweite Variante.
-
Es
wird abschließend
noch einmal darauf hingewiesen, dass es sich bei den vorhergehend
detailliert beschriebenen Verfahrensabläufen und Systemarchitekturen
lediglich um Ausführungsbeispiele handelt,
welche vom Fachmann in verschiedenster Weise modifiziert werden
können,
ohne den Bereich der Erfindung zu verlassen. So können beispielsweise
anstelle von kombinierten Sende-/Empfangseinrichtungen auch getrennte
Sendeeinrichtungen und Empfangseinrichtungen genutzt werden. Ebenso können auch
anders aufgebaute Filtereinrichtungen, beispielsweise mit mehrstufigen
Filtern, genutzt werden. Weiterhin könnte beispielsweise anstelle
einer innerhalb der Filtereinrichtung angeordneten, eigenen Speichereinheit
auch ein Speicherbereich innerhalb des von der medizinischen Untersuchungseinrichtung
genutzten Speichers verwendet werden, um ausgefilterte Datenteile
unter Zuordnung einer Kennung zu hinterlegen.
-
Die
Erfindung kann besonders vorteilhaft zur Übermittlung von Betriebs- und/oder
Fehlerdaten von aufwändigen
und kostspieligen medizinischen Untersuchungseinrichtungen wie Röntgeneinrichtungen, Computertomographen
oder Magnetresonanztomographen genutzt werden. Grundsätzlich können hiermit
aber auch Daten übermittelt
werden, die von beliebigen anderen medizinischen Untersuchungseinrichtungen
stammen.