DE102004038038A1 - Datenverarbeitungssystem zur Verwaltung von sensiblen, anonymisierten und/oder pseudonymisierten Patientendaten und Verfahren zu seiner Anwendung - Google Patents

Datenverarbeitungssystem zur Verwaltung von sensiblen, anonymisierten und/oder pseudonymisierten Patientendaten und Verfahren zu seiner Anwendung Download PDF

Info

Publication number
DE102004038038A1
DE102004038038A1 DE102004038038A DE102004038038A DE102004038038A1 DE 102004038038 A1 DE102004038038 A1 DE 102004038038A1 DE 102004038038 A DE102004038038 A DE 102004038038A DE 102004038038 A DE102004038038 A DE 102004038038A DE 102004038038 A1 DE102004038038 A1 DE 102004038038A1
Authority
DE
Germany
Prior art keywords
service
data
patient
identification
pseudonymization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102004038038A
Other languages
English (en)
Inventor
Hans-Jürgen Schober-Halstenberg
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
QUASI NIERE GGMBH
QUASI-NIERE GGMBH
Original Assignee
QUASI NIERE GGMBH
QUASI-NIERE GGMBH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by QUASI NIERE GGMBH, QUASI-NIERE GGMBH filed Critical QUASI NIERE GGMBH
Priority to DE102004038038A priority Critical patent/DE102004038038A1/de
Publication of DE102004038038A1 publication Critical patent/DE102004038038A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H10/00ICT specially adapted for the handling or processing of patient-related medical or healthcare data
    • G16H10/60ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records
    • G16H10/65ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records stored on portable record carriers, e.g. on smartcards, RFID tags or CD
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H80/00ICT specially adapted for facilitating communication between medical practitioners or patients, e.g. for collaborative diagnosis, therapy or health monitoring

Landscapes

  • Health & Medical Sciences (AREA)
  • Engineering & Computer Science (AREA)
  • Medical Informatics (AREA)
  • Epidemiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Primary Health Care (AREA)
  • Public Health (AREA)
  • Biomedical Technology (AREA)
  • Pathology (AREA)
  • Medical Treatment And Welfare Office Work (AREA)
  • Storage Device Security (AREA)

Abstract

Datenverarbeitungssystem und Verfahren zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen, bestehend aus einem Patientenidentifikationsdienst, einem Pseudonymisierungsdienst, einem Datendienst und einem System aus elektronischen Chipkarten zur kryptographischen Tranportsicherung und sicheren Adressierung, so dass sensible medizinische Daten von Patienten ohne Verletzung von Schutzrechten auch gegenüber Dritten verfügbar gemacht werden können. Weitere wesentliche Merkmale sind Subsysteme zur Generierung von Ordnungsinstanzen für Patienten und Ärzte, die in zentralen Datenbanken gespeichert werden, ein Subsystem zur Generierung von Vorgangsidentifikationen und ein Subsystem zur Generierung von Rückantwortschlüsseln.

Description

  • Gebiet der Erfindung
  • Die Erfindung betrifft ein Datenverarbeitungssystem zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen, bestehend aus einem Praxisverwaltungssystem, einem Patientenidentifikationsdienst, einem Pseudonymisierungsdienst, einem Datendienst und einem System aus elektronischen Chipkarten zur kryptographischen Transportsicherung und sicheren Adressierung.
  • Hintergrund der Erfindung
  • Im Gesundheitswesen besteht die Notwendigkeit sensible medizinische Patientendaten gegenüber Dritten verfügbar zu machen. Dies können Forschungseinrichtungen sein, die die Informationen zum Zwecke der medizinischen oder epidemiologischen Forschung verwenden können müssen. Ebenso benötigen Leistungserbringer und Kostenträger, solche Informationen zur Steuerung und Kostenplanung. Ferner ist die öffentliche Verwaltung von der Kenntnis sensibler Patientendaten abhängig, um beispielsweise gesundheitspolitische Entscheidungsprozesse unterstützen und einleiten zu können.
  • Systeme, mit denen sensible Patientendaten gegenüber Dritten verfügbar gemacht werden können, basieren auf einer Pseudonymisierung und/oder einer Anonymisierung. Dadurch werden personenbezogene Auswertungen von sensiblen Daten verhindert. Werden Krankheitsverläufe erfasst, tritt das Problem auf, dass eine fehlerfreie Zuordnung von pseudonymisierten bzw. anonymisierten Datensätzen im Zeitverlauf gewährleistet werden muss. Ist dies nicht der Fall, kann es zu fehlerhaften Mehrfachnennungen oder Unternennungen kommen. Bei Mehrfachnennungen erscheint der gleiche Patient mehrmals in den anonymisierten und/oder pseudonymisierten Datenbeständen, bei Unternennungen werden die medizinischen Daten von verschieden Patienten in den anonymisierten und/oder pseudonymisierten Datenbeständen einer Person zugeordnet. Dies führt zu Fehlinformationen über die individuellen Krankheitsverläufe. Ferner entstehen zusätzliche Kosten für die Wartung der Daten, sprich das Erkennen und Bereinigen dieser Mehrfach- oder Unternennungen.
  • Aus der DE 199 25 910 A1 ist ein Verfahren zum Be- oder Verarbeiten von Daten bekannt, mit dem kritische Teildatensätze in verschlüsselter Form in einer Datenbank gespeichert werden, wobei die Daten ausschließlich beim Anwender unter Verwendung eines in einer zentralen weiteren Datenbank gespeicherten, ausschließlich an den autorisierten Anwender übermittelbaren Schlüssels entschlüsselt und/oder verschlüsselt werden.
  • Aus der DE 102 09 780 B4 ist ein Datenverarbeitungssystem für Patientendaten bekannt, bei dem ein Datensatz identifikationscode dem Gesundheitsdatensatz eines Patienten zugeordnet ist, so dass Gesundheitsdaten auf einer zentralen Datenbank zugeordnet werden können, ohne dass dort gleichzeitig personenidentifizierende Personendaten gespeichert werden. Das Abrufen von Daten eines jeweiligen Gesundheitsdatensatzes erfordert sowohl die Bereitstellung einer elektronischen Patientenkarte durch den Patienten und einen darauf gespeicherten Patientenkartencode und als auch einen vom Patienten einzugebenden Patientenidentifikationscode und/oder Behandleridentifikationscode.
  • Sowohl das Verfahren nach DE 199 25 910 A1 als auch das Datenverarbeitungssystem DE 102 09 780 B4 sehen ihren Anwendungsbereich in der Verwaltung von sensiblen Daten im Gesundheitsbereich. In beiden Fällen wird das bei der Dokumentation von individuellen Krankheitsverläufen relevante Problem einer fehlerlosen Zuordnung von Datensätzen im Zeitverlauf nicht aufgegriffen bzw. als gelöst vorausgesetzt.
  • Debold/Reng [2003] formulieren im Auftrag des Koordinierungsrates der Telematikplattform Medizinische Forschungsnetze "Generische Lösungen der TFM zum Datenschutz für die Forschungsnetze der Medizin" (Version 1.07 v. 08.02.2003) ein Konzept zur Verwaltung sensibler Gesundheitsdaten. Das Problem einer möglichst fehlerlosen Zuordnung im Zeitverlauf wird mit Hilfe eines Patientenidentifikationsdienstes gelöst, der Patientenidentifikationen vergibt, die bei den Ärzten zusätzlich zu den Patientendaten gehalten werden.
    •
  • Aufgabe der vorliegenden Erfindung ist es, ein Datenverarbeitungssystem für Patientendaten zu schaffen, mit dem eine Analyse und Zuordnung anonymisierter und/oder pseudonymisierter, medizinischer Daten im Zeitverlauf bei gleichzeitiger Wahrung datenschutzrelevanter Interessen von Patienten und Ärzten ermöglicht wird.
  • Gelöst wird diese Aufgabe durch ein Datenverarbeitungssystem, gekennzeichnet durch eine elektronische Arztchipkarte, die Angaben eines Arzt enthält und kryptographische Hilfsmittel vorhält, eine elektronische Patientenchipkarte, die Angaben eines Patienten enthält und kryptographische Hilfsmittel vorhält, eine elektronische Chipkarte des Patientenidentifikationsdienstes, die kryptographische Hilfsmittel vorhält, eine elektronische Chipkarte des Pseudonymisierungsdienstes die kryptographische Hilfsmittel vorhält, eine elektronische Chipkarte des Datendienstes, die kryptographische Hilfsmittel vorhält, eine von dem Patientenidentifikationsdienst generierbare Vorgangsidentifikation und durch einen von dem Praxisverwaltungssystem generierten Rückantwortschlüssel, mit dem medizinische Behandlungsdaten ergänzbar sind.
  • Durch diese Maßnahmen wird ein Datenverarbeitungssystem geschaffen, mit dem es möglich ist, sensible medizinische Daten von Patienten ohne Verletzung von Schutzrechten auch gegenüber Dritten verfügbar zu machen. Dabei tritt keine zeitliche Verzögerung auf. Eine vertrauliche Weitergabe von Patientendaten von einem Datengeber, nämlich dem Arzt, an einen Datenverwalter, nämlich einem Datendienst, wird dadurch möglich.
  • Bei dem Datendienst werden die medizinischen Daten ohne Patientenidentifikationsdaten und ohne Arztidentifikationsdaten in pseudonymisierter und/oder anonymisierter Form gespeichert. Der Datendienst kann beispielsweise der öffentlichen Verwaltung für gesundheitspolitische Entscheidungsprozesse anonymisierte sensible Patientendaten zugänglich machen, so dass die Datenschutzrechte der Patienten nicht verletzt werden. Durch das Subsystem zur Generierung von Vorgangsidentifikationen können vom Arzt medizinische Behandlungsdaten bereits zur Datenverarbeitung weitergeleitet werden, ohne dass der Prozess der Patientenidentifikation abgeschlossen wurde, d.h. zeitliche Verzögerungen entfallen. Dadurch weist das Datenverarbeitungssystem eine hohe Akzeptanz bei den datenliefernden Nutzern auf, falls z.B. erst die Verfügbarmachung der Daten Ansprüche auf Leistungsvergütung generiert oder die Nichtverfügbarmachung oder verspätete Verfügbarmachung von Daten sanktionsbewehrt ist.
  • Da die für die Pseudonymisierung bzw. Anonymisierung notwendigen Ordnungsinstanzen in zentralen Datenbanken gehalten werden ist das System robust und leicht wartbar. Dies wäre dann nicht der Fall, wenn diese Ordndungsinstanzen dezentral bei den beteiligten Ärzten vorgehalten würden, gegebenenfalls noch mit einer Verkettung zu Patientenidentifikationsdaten, was zusätzlich das Risiko einer Ausspähung durch nicht autorisierte Personen beinhalten würde.
  • Das Subsystem zur Generierung von Rückantwortschlüsseln ermöglicht vertrauliche Rückmeldungen vom Datendienst an den Arzt, ohne dass Dritte Einsicht in die Kommunikationsinhalte nehmen können. Dadurch wird es z.B. möglich unplausible Daten an den Arzt zur Korrektur zurückzusenden. Weiterhin kann der Arzt über Rückantwortschlüssel vertrauliche Datenauswertungen oder sog. Benchmarks hinsichtlich seiner Behandlungseinrichtung oder auch weitere Beratungsleistungen des Datendienstes anfordern. Dem Datendienst bleibt hierbei die Identität der Behandlungseinrichtung verborgen.
  • Eine weitere Aufgabe der Erfindung ist es, ein Verfahren zu schaffen, mit dem eine Analyse und Zuordnung pseudonymisierter und/oder anonymisierter sensibler medizinischer Daten bei Wahrung datenschutzrelevanter Interessen von Patienten und Ärzten ermöglicht wird.
  • Gelöst wird diese Aufgabe dadurch dass, das Praxisverwaltungssystem Patientenidentifikationsdaten mit einem öffentlichen Schlüssel des Patientenidentifikationsdienstes verschlüsselt, diese so verschlüsselte Nachricht signiert und die verschlüsselte und signierte Nachricht an den Patientenidentifikationsdienst sendet, der Patientenidentifikationsdienst eine Vorgangsidentifikation generiert, die Vorgangsidentifikation mit einem öffentlichen Arzt-Schlüssel verschlüsselt wird, diese so verschlüsselte Nachricht signiert und die verschlüsselte und signierte Nachricht an das Praxisverwaltungssystem gesendet wird, das Praxisverwaltungssystem die Signatur des Patientenidentifikationsdienstes überprüft und die verschlüsselte Nachricht mit der Vorgangsidentifikation mit einem privaten Arzt-Schlüssel entschlüsselt wird, das Praxisverwaltungssystem einen Rückantwortschlüssel generiert und dieser Rückantwortschlüssel einem medizinischen Datensatz hinzugefügt wird, das Praxisverwaltungssystem den medizinischen Datensatz einschließlich des Rückantwortschlüssels mit einem öffentlichen Schlüssel des Datendienstes verschlüsselt, das Praxisverwaltungssystem dieser verschlüsselten Nachricht, bestehend aus dem verschlüsselten medizinischen Datensatz und dem verschlüsselten Rückantwortschlüssel, die Vorgangsidentifikation und die Arztidentifikationsdaten hinzufügt, diese gesamte Nachricht mit einem öffentlichen Schlüssel des Pseudonymisierungsdienstes verschlüsselt wird, diese gesamte verschlüsselte Nachricht signiert und an den Pseudony misierungsdienst gesendet wird, der Patientenidentifikationsdienst nach der Identifikation eines Patienten eine Patientenidentifikation ermittelt bzw. eine Patientenidentifikation generiert und die Patientenidentifikation zusammen mit der zugehörigen Vorgangsidentifikation mit einem öffentlichen Schlüssel des Pseudonymisierungsdienstes verschlüsselt, diese Nachricht signiert und an den Pseudonymisierungsdienst sendet, der Pseudonymisierungsdienst die Signatur der von dem Praxisverwaltungssystem übermittelten Nachricht überprüft und diese Nachricht mit einem privaten Pseudonymisierungsdienst-Schlüssel entschlüsselt wird, so dass die Vorgangsidentifikation und die Arztidentifikationsdaten als Klartext und der medizinische Datensatz zusammen mit dem Rückantwortschlüssel verschlüsselt vorliegen, der Pseudonymisierungsdienst die Signatur der übermittelten Nachricht des Patientenidentifikationsdienstes überprüft, der Pseudonymisierungsdienst die übermittelte Nachricht des Patientenidentifikationsdienstes mit einem privaten Schlüssel entschlüsselt und eine Vorgangsidentifikation und eine Patientenidentifikation als Klartext erhält, der Pseudonymisierungsdienst den verschlüsselten medizinischen Datensatz einschließlich Rückantwortschlüssel anhand gleicher Vorgangsidentifikationen identifiziert, der Pseudonymisierungsdienst für die Patientenidentifikation ein Patientenpseudonym und für die Arztidentifikationsdaten ein Arztpseudonym ermittelt bzw. generiert, der Pseudonymisierungsdienst dem verschlüsselten medizinischen Datensatz mit dem Rückantwortschlüssel ein Patientenpseudonym und ein Arztpseudonym hinzufügt, diese Nachricht mit dem öffentlichen Schlüssel des Datendienstes verschlüsselt, die Nachricht signiert und diese verschlüsselte und signierte Nachricht an den Datendienst sendet, der Datendienst die Signatur der vom Pseudonymisierungsdienst übermittelten Nachricht überprüft und diese Nachricht mit dem privaten Schlüssel des Datendienstes entschlüsselt, wobei nun das Patientenpseudonym und das Arztpseudonym im Klartext und der medizinische Datensatz mit dem Rückantwortschlüssel in verschlüsselter Form vorliegen, der Datendienst den verschlüsselten medizinischen Datensatz und den verschlüsselten Rückantwortschlüssel mit dem privaten Schlüssel des Datendienstes entschlüsselt, so dass sie als Klartext zur Verfügung stehen, der Datendienst Plausibilitätstests durchführt, wonach der Datensatz bei Nichtbeanstandung in die Datenbank übernommen und bei Beanstandung verschlüsselt mit dem Rückantwortschlüssel zurück gesendet wird.
  • Durch diese Maßnahmen erfolgt eine Aufteilung in Identifikationselemente und medizinische Daten, die einerseits den individuellen Schutz der Daten eines Patienten sicherstellen und andererseits eine anonyme Auswertung sämtlicher gesammelter Daten ermöglicht.
  • Weitere vorteilhafte Maßnahmen sind in den Unteransprüchen beschrieben. Die Erfindung ist in der beiliegenden Zeichnung dargestellt und wird nachfolgend näher beschrieben.
    •
  • Kurzbeschreibung der Zeichnungen
  • Die einzige Figur zeigt ein Diagramm zur schematischen Darstellung des erfindungsgemäßen Datenverarbeitungssystems. Das hier schematisch dargestellte Datenverarbeitungssystem 10 besteht aus mehreren elektronischen Chipkarten, nämlich einer Arzt-Chipkarte 11, einer Patienten-Chipkarte 12, einer Identifikationsdienst-Chipkarte 13, einer Pseudonymisierungsdienst-Chipkarte 14 und einer Datendienst-Chipkarte 15.
  • Beschreibung der Erfindung
  • Die Chipkarten 11 bis 15 sind mit verschiedenen Datenverarbeitungsdiensten koppelbar, nämlich einem Praxisverwaltungssystem 16 eines Arztes, einem Patientenidentifikationsdienst 17, einem Pseudonymisierungsdienst 18 und einem Datendienst 19.
  • Der Datendienst 19 ist eine anonymisierte/pseudonymisierte Datenbank für Plausibilitätskontrolle, z.B. für Laborwerte, Krankheitsverläufe, Stammdaten, ärztliche Behandlungsdaten und Auswertungen. Diese Auswertungen können in einem variablen Datenfluss von Dritten, beispielsweise für sog. Benchmark-Berichte für Behandlungseinrichtungen, Krankenkassen, kassenärztliche Vereinigungen oder das öffentliche Gesundheitswesen vorgenommen werden.
  • Es kann zweckmäßig oder erforderlich sein, die kryptographischen Werkzeuge bei dem Identifikationsdienst, dem Pseudonymisierungsdienst und dem Datendienst auf verschiedenen elektronischen Chipkarten vorzuhalten.
  • Der Ablauf eines mit diesem Datenverarbeitungssystem 10 ermöglichten Pseudonymisierungs- und/oder Anonymisierungsverfahrens wird nachfolgend beschrieben.
  • Das Praxisverwaltungssystem 16 verschlüsselt mit dem öffentlichen Schlüssel des Patientenidentifikationsdienstes 17 die Nachricht mit den Patientenidentifikationsdaten. Anschließend wird die verschlüsselte Nachricht signiert und an den Patientenidentifikationsdienst 17 gesendet. Der Patientenidentifikationsdienst 17 generiert eine Vorgangsidentifikation (V#), wobei die Vorgangsidentifikationen oder Strings, vorzugsweise Vorgangsnummern sind, die jeweils nur einmal vergeben werden.
  • Der Patientenidentifikationsdienst 17 verschlüsselt die Nachricht mit der Vorgangsidentifikation mit dem öffentlichen Schlüssel des Praxisverwaltungssystems 16, signiert die verschlüsselte Nachricht und sendet sie an das Praxisverwaltungssystem 16. Hier wird die Signatur des Patientenidentifikationsdienstes 17 überprüft. Die Nachricht mit der Vorgangsidentifikation wird mit einem privaten Schlüssel entschlüsselt.
  • Sodann wird ein Rückantwortschlüssel (RSch) generiert und dem medizinischen Datensatz (MDAT) hinzugefügt. Der medizinische Datensatz einschließlich des Rückantwortschlüssels wird mit dem öffentlichen Schlüssel des Datendienstes 19 verschlüsselt. Dieser verschlüsselten Nachricht werden die Vorgangsidentifikation und die Arztidentifikationsdaten (Arzt-IDAT) hinzugefügt und die gesamte Nachricht wird mit dem öffentlichen Schlüssel des Pseudonymisierungsdienstes 18 verschlüsselt. Die gesamte Nachricht wird signiert und an den Pseudonymisierungsdienst 18 geschickt.
  • Nach der eindeutigen Identifikation eines Patienten ermittelt der Patientenidentifikationsdienst 17 eine Patientenidentifikation (Pat-ID) bzw. generiert eine solche, wenn sie noch nicht vorliegt. Diese wird zusammen mit der zugehörigen Vorgangsidentifikation mit dem öffentlichen Schlüssel des Pseudonymisierungsdienstes 18 verschlüsselt, signiert und dann an den Pseudonymisierungsdienst 18 gesandt. Der Pseudonymisierungsdienst 18 überprüft die Signatur der übermittelten Nachricht des Praxisverwaltungssystems 16 eines Arztes. Es entschlüsselt die Nachricht mit seinem privaten Schlüssel und erhält eine Vorgangsidentifikation und die Arztidenti fikationsdaten als Klartext und die verschlüsselten medizinischen Daten (MDAT*) mit dem verschlüsselten Rückantwortschlüssel (RSch*).
  • Der Pseudonymisierungsdienst 18 überprüft die Signatur der übermittelten Nachricht des Patientenidentifikationsdienstes 17. Er entschlüsselt die Nachricht mit seinem privaten Schlüssel und erhält eine Vorgangsidentifikation und eine Patientenidentifikation (Pat-ID) als Klartext. Er identifiziert in seinen temporären Daten den verschlüsselten medizinischen Datensatz mit der gleichen Vorgangsidentifikation. Für die Patientenidentifikation wird ein Patientenpseudonym (Pat-PSN) ermittelt oder generiert, für die Arztidentifikationsdaten wird ein Arztpseudonym (Arzt-PSN) ermittelt oder generiert. Dem verschlüsselten medizinischen Datensatz mit dem Rückantwortschlüssel werden Patientenpseudonym und Arztpseudonym hinzugefügt. Alles zusammen wird mit dem öffentlichen Schlüssel des Datendienstes 19 verschlüsselt, signiert und an den Datendienst 19 gesandt.
  • Der Datendienst 19 überprüft die Signatur des Pseudonymisierungsdienstes 18. Die Nachricht wird mit dem privaten Schlüssel des Datendienstes 19 entschlüsselt. Es finden sich im Klartext das Patienten- und das Arztpseudonym, in verschlüsselter Form die medizinischen Daten mit dem Rückantwortschlüssel.
  • Die verschlüsselten Daten werden mit dem privaten Schlüssel des Datendienstes entschlüsselt, als Klartext stehen nun die medizinischen Daten und der Rückantwortschlüssel zur Verfügung. Erbringen die durchzuführenden Plausibilitätstests keine Beanstandungen, kann der medizinische Datensatz in die Datenbank übernommen werden.
  • Es kann ferner vorgesehen sein, dass der Patientenidentifikationsdienst 17 eine Liste mit allen vergebenen Vorgangsidentifikationen besitzt in der dokumentiert ist, wer wann welche Vorgangsidentifikation erhalten hat. Der Pseudonymisierungsdienst 18 kann dem Praxisverwaltungssystem 16 den Empfang von Daten ohne Kenntnis des Inhalts elektronisch quittieren.
  • Ferner ist es möglich, dass bereits in der Arztpraxis vom Praxisverwaltungssystem 16 nicht manipulierbare Prüfroutinen die Daten analysieren und ihre Vollständigkeit und Plausibilität so dokumentieren, dass diese Information dem Pseudonymisierungsdienst 18 im Klartext zur Verfügung steht. In diesem Fall kann der Pseudonymisierungsdienst 18 dem Praxisverwaltungssystem 16 zusätzlich die Vollständigkeit und Plausibilität der Daten elektronisch quittieren. Ebenso ist denkbar, dass dem Praxisverwaltungssystem 16 vom Datendienst 19 über einen speziellen Rückmeldeschlüssel die Vollständigkeit und Plausibilität der Daten bestätigt wird.
  • Im weiteren können zusätzlich bei dem Pseudonymisierungsdienst 18 die Zuordnung von Arztidentifikationsdaten zu Arztpseudonym, die Zuordnung von Patientenidentifikation zu Patientenpseudonym oder bei dem Patientenidentifikationsdienst die Zuordnung von Patientenidentifikationsdaten (Pat-IDAT) zur Patientenidentifikation durch weitere elektronische Chipkarten kryptographisch geschützt werden. Zusätzlich wird bei dem Pseudonymisierungsdienst 18 ein Verfahren bereitgestellt, dass Patientenpseudonyme in nicht rückverfolgbare Patientenanonyme umwandelt.
  • Es ist im weiteren möglich, das System aus elektronischen Chipkarten 11, 12, 13, 14 und 15 zur kryptographischen Transportsicherung und sicheren Adressie rung durch ein rein Software basiertes System zur kryptographischen Transportsicherung und sicheren Adressierung zu ersetzen oder bei der kryptographischen Transportsicherung keine elektronische Signatur erfolgt.
  • Ferner ist eine Änderung des Datenflusses dahingehend möglich, dass die Daten auf dem Weg vom Praxisverwaltungssystem 16 zum Pseudonymisierungsdienst 18, der hier der einen Datentreuhänder darstellt, über Dritte geleitet werden können. Der Datenfluss ist entsprechend variabel gestaltet.
    • 10
    Datenverarbeitungssystem
    11
    Arzt-Chipkarte
    12
    Patienten-Chipkarte
    13
    Identifikationsdienst-Chipkarte
    14
    Pseudonymisierungsdienst-Chipkarte
    15
    Datendienst-Chipkarte
    16
    Praxisverwaltungssystem, (Arzt)
    17
    Patientenidentifikationsdienst
    18
    Pseudonymisierungsdienst, (Arzt/Patient)
    19
    Datendienst
    Pat-ID
    Patientenidentifikation
    Pat-IDAT
    Patientenidentifikationsdaten
    Pat-PSN
    Patientenpseudonym
    Arzt-PSN
    Arztpseudonym
    Arzt-IDAT
    Arztidentifikationsdaten
    MDAT
    Medizinischer Datensatz
    MDAT*
    Medizinische Daten, verschlüsselt
    V#
    Vorgangsidentifikation (Vorgangsnummer)
    RSch
    Rückantwortschlüssel
    RSch*
    Rückantwortschlüssel, verschlüsselt

Claims (13)

  1. Datenverarbeitungssystem zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen, bestehend aus einem Praxisverwaltungssystem (16), einem Patientenidentifikationsdienst (17), einem Pseudonymisierungsdienst (18), einem Datendienst (19) und einem System aus elektronischen Chipkarten zur kryptographischen Transportsicherung und sicheren Adressierung (1115), gekennzeichnet durch • eine elektronische Arztchipkarte (11), die Angaben eines Arztes enthält und kryptographische Hilfsmittel vorhält; • eine elektronische Patientenchipkarte (12), die Angaben eines Patienten enthält und kryptographische Hilfsmittel vorhält; • eine elektronische Chipkarte (13) des Patientenidentifikationsdienstes (17), die kryptographische Hilfsmittel vorhält; • eine elektronische Chipkarte (14) des Pseudonymisierungsdienstes (18) die kryptographische Hilfsmittel vorhält; • eine elektronische Chipkarte (15) des Datendienstes (19), die kryptographische Hilfsmittel vorhält; • eine von dem Patientenidentifikationsdienst (17) generierbare Vorgangsidentifikation (V#); • und durch einen von dem Praxisverwaltungssystem (16) generierten Rückantwortschlüssel (RSch), mit dem ein medizinischer Datensatz (MDAT) mit Behandlungsdaten ergänzbar ist.
  2. Datenverarbeitungssystem zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen nach Anspruch 1, dadurch gekennzeichnet, dass eine oder mehrere elektronische Chipkarten (13) des Patientenidentifikationsdienstes (17) vorgesehen sind, die kryptographische Hilfsmittel vorhalten, eine oder mehrere elektronische Chipkarten (14) des Pseudonymisierungsdienstes (18) vorgesehen sind, die kryptographische Hilfsmittel vorhalten und eine oder mehrere elektronische Chipkarten (15) des Datendienstes (19) vorgesehen sind, die kryptographische Hilfsmittel vorhalten.
  3. Datenverarbeitungssystem zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen nach Anspruch 1, dadurch gekennzeichnet, dass der Patientenidentifikationsdienst (17) eine Liste mit allen Vorgangsidentifikationen, den Empfängern der Vorgangsidentifikationen, sowie dem Zeitpunkt des Versands der Vorgangsidentifikationen führt.
  4. Datenverarbeitungssystem zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen nach Anspruch 1, dadurch gekennzeichnet, dass dem Praxisverwaltungssystem (16) der Empfang der Daten von dem Pseudonymisierungsdienst (18) elektronisch quittierbar sind.
  5. Verfahren zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen, bestehend aus einem Praxisverwaltungssystem, einem Patientenidentifikationsdienst, einem Pseudonymisierungsdienst, einem Datendienst und einem System aus elektronischen Chipkarten zur kryptographischen Transportsicherung und sicheren Adressierung, dadurch gekennzeichnet, dass • das Praxisverwaltungssystem Patientenidentifikationsdaten mit einem öffentlichen Schlüssel des Patientenidentifikationsdienstes verschlüsselt, diese so verschlüsselte Nachricht signiert und die verschlüsselte und signierte Nachricht an den Patientenidentifikationsdienst sendet; • der Patientenidentifikationsdienst eine Vorgangsidentifikation generiert, die Vorgangsidentifikation mit einem öffentlichen Arzt-Schlüssel verschlüsselt wird, diese so verschlüsselte Nachricht signiert und die verschlüsselte und signierte Nachricht an das Praxisverwaltungssystem gesendet wird; • das Praxisverwaltungssystem die Signatur des Patientenidentifikationsdienstes überprüft und die verschlüsselte Nachricht mit der Vorgangsidentifikation mit einem privaten Arzt-Schlüssel entschlüsselt wird; • das Praxisverwaltungssystem einen Rückantwortschlüssel generiert und dieser Rückantwortschlüssel einem medizinischen Datensatz hinzugefügt wird; • das Praxisverwaltungssystem den medizinischen Datensatz einschließlich des Rückantwortschlüssels mit einem öffentlichen Schlüssel des Datendienstes verschlüsselt; • das Praxisverwaltungssystem dieser verschlüsselten Nachricht, bestehend aus dem verschlüsselten medizinischen Datensatz und dem verschlüsselten Rückantwortschlüssel, die Vorgangsidentifikation und die Arztidentifikationsdaten hinzufügt, diese gesamte Nachricht mit einem öffentlichen Schlüssel des Pseudonymisierungsdienstes verschlüsselt wird, diese gesamte verschlüsselte Nachricht signiert und an den Pseudonymisierungsdienst gesendet wird; • der Patientenidentifikationsdienst nach der Identifikation eines Patienten eine Patientenidentifikation ermittelt bzw. eine Patientenidentifikation generiert und die Patientenidentifikation zusammen mit der zugehörigen Vorgangsidentifikation mit einem öffentlichen Schlüssel des Pseudonymisierungsdienstes verschlüsselt, diese Nachricht signiert und an den Pseudonymisierungsdienst sendet; • der Pseudonymisierungsdienst die Signatur der von dem Praxisverwaltungssystem übermittelten Nachricht überprüft und diese Nachricht mit einem privaten Pseudonymisierungsdienst-Schlüssel entschlüsselt wird, so dass die Vorgangsidentifikation und die Arztidentifikationsdaten als Klartext und der medizinische Datensatz zusammen mit dem Rückantwortschlüssel verschlüsselt vorliegen; • der Pseudonymisierungsdienst die Signatur der übermittelten Nachricht des Patientenidentifikationsdienstes überprüft, der Pseudonymisierungs dienst die übermittelte Nachricht des Patientenidentifikationsdienstes mit einem privaten Schlüssel entschlüsselt und eine Vorgangsidentifikation und eine Patientenidentifikation als Klartext erhält; • der Pseudonymisierungsdienst den verschlüsselten medizinischen Datensatz einschließlich Rückantwortschlüssel anhand gleicher Vorgangsidentifikationen identifiziert; • der Pseudonymisierungsdienst für die Patientenidentifikation ein Patientenpseudonym und für die Arztidentifikationsdaten ein Arztpseudonym ermittelt bzw. generiert; • der Pseudonymisierungsdienst dem verschlüsselten medizinischen Datensatz mit dem Rückantwortschlüssel ein Patientenpseudonym und ein Arztpseudonym hinzufügt, diese Nachricht mit dem öffentlichen Schlüssel des Datendienstes verschlüsselt, die Nachricht signiert und diese verschlüsselte und signierte Nachricht an den Datendienst sendet; • der Datendienst die Signatur der vom Pseudonymisierungsdienst übermittelten Nachricht überprüft und diese Nachricht mit dem privaten Schlüssel des Datendienstes entschlüsselt, wobei nun das Patientenpseudonym und das Arztpseudonym im Klartext und der medizinische Datensatz mit dem Rückantwortschlüssel in verschlüsselter Form vorliegen; • der Datendienst den verschlüsselten medizinischen Datensatz und den verschlüsselten Rückantwortschlüssel mit dem privaten Schlüssel des Daten dienstes entschlüsselt, so dass sie als Klartext zur Verfügung stehen; • der Datendienst Plausibilitätstests durchführt, wonach der Datensatz bei Nichtbeanstandung in die Datenbank übernommen und bei Beanstandung zurück gesendet wird.
  6. Verfahren zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen nach Anspruch 5, dadurch gekennzeichnet, dass das Praxisverwaltungssystem durch nicht manipulierbare Prüfroutinen ergänzt wird und die Prüfroutinen die Daten auf Vollständigkeit und Plausibilität überprüfen, in einem nicht manipulierbaren Protokoll festhalten und dieses Protokoll an den Pseudonymisierungsdienst übermitteln.
  7. Verfahren zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen nach Anspruch 5, dadurch gekennzeichnet, dass ein Praxisverwaltungssystem einen Rückantwortschlüssel für eine Bestätigung hinsichtlich der Vollständigkeit und Plausibilität der Daten generiert, dieser Rückantwortschlüssel mit an einen Datendienst übermittelt wird und der Datendienst nach Prüfung der Daten ein mit dem Rückantwortschlüssel verschlüsseltes Prüfprotokoll über den Pseudonymisierungsdienst an das Praxisverwaltungssystem zurückschickt.
  8. Verfahren zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen nach Anspruch 5, dadurch gekennzeichnet, dass bei einem Pseudonymiserungsdienst die Zuordnung von Arztidentifikationsdaten und Arztpseudonym mit Hilfe einer elektronischen Chipkarte vorgenommen wird, bei dem Pseudonymiserungsdienst die Zuordnung von Patientenidentifikation und Patientenpseudonym mit Hilfe einer elektronischen Chipkarte vorgenommen wird und bei einem Patientenidentifikationsdienst die Zuordnung von Patientenidentifikation und Patientenidentifikationsdaten mit Hilfe einer elektronischen Chipkarte vorgenommen wird.
  9. Verfahren zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen nach Anspruch 5, dadurch gekennzeichnet, dass bei einem Pseudonymiserungsdienst ein Verfahren bereitgestellt ist, das Patientenpseudonyme in nicht mehr rückverfolgbare Patientenanonyme umwandelt.
  10. Verfahren zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen nach Anspruch 5, dadurch gekennzeichnet, dass ein Software basiertes System zur kryptographischen Transportsicherung und sicheren Adressierung vorgesehen ist.
  11. Verfahren zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen nach Anspruch 5, dadurch gekennzeichnet, dass die kryptographische Transportsicherung signaturlos erfolgt.
  12. Verfahren zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen nach Anspruch 5, dadurch gekennzeichnet, dass die Daten in einem variablen Datenfluss an Dritte leitbar sind.
  13. Verfahren zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen nach Anspruch 5, dadurch gekennzeichnet, dass die Daten in einem variablen Datenfluss für Benchmark-Berichte für Behandlungseinrichtungen, Krankenkassen, kassenärztliche Vereinigungen und das Gesundheitswesen auswertbar sind.
DE102004038038A 2004-05-27 2004-08-05 Datenverarbeitungssystem zur Verwaltung von sensiblen, anonymisierten und/oder pseudonymisierten Patientendaten und Verfahren zu seiner Anwendung Withdrawn DE102004038038A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102004038038A DE102004038038A1 (de) 2004-05-27 2004-08-05 Datenverarbeitungssystem zur Verwaltung von sensiblen, anonymisierten und/oder pseudonymisierten Patientendaten und Verfahren zu seiner Anwendung

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102004026486.4 2004-05-27
DE102004026486 2004-05-27
DE102004038038A DE102004038038A1 (de) 2004-05-27 2004-08-05 Datenverarbeitungssystem zur Verwaltung von sensiblen, anonymisierten und/oder pseudonymisierten Patientendaten und Verfahren zu seiner Anwendung

Publications (1)

Publication Number Publication Date
DE102004038038A1 true DE102004038038A1 (de) 2005-12-29

Family

ID=35455122

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102004038038A Withdrawn DE102004038038A1 (de) 2004-05-27 2004-08-05 Datenverarbeitungssystem zur Verwaltung von sensiblen, anonymisierten und/oder pseudonymisierten Patientendaten und Verfahren zu seiner Anwendung

Country Status (1)

Country Link
DE (1) DE102004038038A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006012311A1 (de) * 2006-03-17 2007-09-20 Deutsche Telekom Ag Verfahren und Vorrichtung zur Pseudonymisierung von digitalen Daten
DE102007056224A1 (de) * 2007-11-22 2009-06-04 Siemens Ag Erzeugen von anonymen und eindeutigen Objekt-Identifikatoren
DE102010037326B4 (de) * 2010-09-03 2014-02-13 Wolfgang Hüffer Verfahren zum anonymen Zusammenführen von vertraulichen Daten und zugehörigen Identifizierungsdaten

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19925910A1 (de) * 1999-06-07 2001-02-22 Siemens Ag Verfahren zum Be- oder Verarbeiten von Daten
DE10209780B4 (de) * 2001-10-11 2004-04-08 Symbasis Gmbh Datenverarbeitungssystem für Patientendaten

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19925910A1 (de) * 1999-06-07 2001-02-22 Siemens Ag Verfahren zum Be- oder Verarbeiten von Daten
DE10209780B4 (de) * 2001-10-11 2004-04-08 Symbasis Gmbh Datenverarbeitungssystem für Patientendaten

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006012311A1 (de) * 2006-03-17 2007-09-20 Deutsche Telekom Ag Verfahren und Vorrichtung zur Pseudonymisierung von digitalen Daten
US10372940B2 (en) 2006-03-17 2019-08-06 Deutsche Telekom Ag Method and device for the pseudonymization of digital data
DE102007056224A1 (de) * 2007-11-22 2009-06-04 Siemens Ag Erzeugen von anonymen und eindeutigen Objekt-Identifikatoren
DE102007056224B4 (de) * 2007-11-22 2010-03-11 Siemens Ag Erzeugen von anonymen und eindeutigen Objekt-Identifikatoren
DE102010037326B4 (de) * 2010-09-03 2014-02-13 Wolfgang Hüffer Verfahren zum anonymen Zusammenführen von vertraulichen Daten und zugehörigen Identifizierungsdaten

Similar Documents

Publication Publication Date Title
EP3488555B1 (de) Gesichertes verarbeiten einer berechtigungsnachweisanfrage
US6925599B2 (en) Methodology for performing validated clinical studies of pharmeceutical related products
US20030088771A1 (en) Method and system for authorizing and certifying electronic data transfers
US20020128883A1 (en) Integrated system for insurance claim management
WO2002052480A1 (en) Dynamic electronic chain-of-trust document with audit trail
DE10253676B4 (de) Verfahren und Vorrichtung für die Fernübertragung sensibler Daten
DE19824787C2 (de) Verfahren zum abgesicherten Zugriff auf Daten in einem Netzwerk
US20080154634A1 (en) Lien/levy inquiry system
DE60122349T2 (de) Verahren zur erzeugung von nachweisen über das senden und empfangen eines elektronischen schreibens und seines inhaltes über ein netzwerk
DE112020007364T5 (de) Verfahren und verteiltes Ledger-System zur Unterstützung der gemeinsamen Nutzung digitaler Gesundheitsdaten von Reisenden in einer Reiseumgebung
EP2426617B1 (de) Verfahren zum anonymen Zusammenführen von vertraulichen Daten und zugehörigen Identifizierungsdaten
DE102004038038A1 (de) Datenverarbeitungssystem zur Verwaltung von sensiblen, anonymisierten und/oder pseudonymisierten Patientendaten und Verfahren zu seiner Anwendung
DE602005000234T2 (de) Verfahren zur gesicherten Abfrage von Lieferscheinen für Gegenstände
Peyton et al. Tracking privacy compliance in b2b networks
DE10209780B4 (de) Datenverarbeitungssystem für Patientendaten
DE10020562C1 (de) Verfahren zum Beheben eines in einer Datenverarbeitungseinheit auftretenden Fehlers
EP1102193A1 (de) Medizinisches System zur Überweisung eines Patienten
EP3840321B1 (de) Verfahren und system zur authentifikation einer mobile-id mittels hashwerten
DE202021100647U1 (de) Personendatenanonymisierungssystem (PDAS) mit kundenspezifischem Token
WO2020169502A1 (de) Verfahren zum transfer von daten
CH717898A1 (de) Server zur Abwicklung von Finanz-Transaktionen.
AU2002100453A4 (en) Integrated system for insurance claims management
Mirani Telemedicine in India: A Critical Analysis on the Regulatory, Legal, & Ethical Consideration of Telemedicine
WO2022002502A1 (de) Anonymisiertes bereitstellen eines dienstes
Arifkhodzhaieva et al. Economic Policy Of The State In Conditions Of Informatization Of Health Care In Ukraine As An Integral Part Of The Social Sphere

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8172 Supplementary division/partition in:

Ref document number: 102004064065

Country of ref document: DE

Kind code of ref document: P

Q171 Divided out to:

Ref document number: 102004064065

Country of ref document: DE

Kind code of ref document: P

8172 Supplementary division/partition in:

Ref document number: 102004064091

Country of ref document: DE

Kind code of ref document: P

Q171 Divided out to:

Ref document number: 102004064091

Country of ref document: DE

Kind code of ref document: P

R120 Application withdrawn or ip right abandoned

Effective date: 20131120