DE102004038038A1 - Datenverarbeitungssystem zur Verwaltung von sensiblen, anonymisierten und/oder pseudonymisierten Patientendaten und Verfahren zu seiner Anwendung - Google Patents
Datenverarbeitungssystem zur Verwaltung von sensiblen, anonymisierten und/oder pseudonymisierten Patientendaten und Verfahren zu seiner Anwendung Download PDFInfo
- Publication number
- DE102004038038A1 DE102004038038A1 DE102004038038A DE102004038038A DE102004038038A1 DE 102004038038 A1 DE102004038038 A1 DE 102004038038A1 DE 102004038038 A DE102004038038 A DE 102004038038A DE 102004038038 A DE102004038038 A DE 102004038038A DE 102004038038 A1 DE102004038038 A1 DE 102004038038A1
- Authority
- DE
- Germany
- Prior art keywords
- service
- data
- patient
- identification
- pseudonymization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16H—HEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
- G16H10/00—ICT specially adapted for the handling or processing of patient-related medical or healthcare data
- G16H10/60—ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records
- G16H10/65—ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records stored on portable record carriers, e.g. on smartcards, RFID tags or CD
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16H—HEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
- G16H80/00—ICT specially adapted for facilitating communication between medical practitioners or patients, e.g. for collaborative diagnosis, therapy or health monitoring
Landscapes
- Health & Medical Sciences (AREA)
- Engineering & Computer Science (AREA)
- Medical Informatics (AREA)
- Epidemiology (AREA)
- General Health & Medical Sciences (AREA)
- Primary Health Care (AREA)
- Public Health (AREA)
- Biomedical Technology (AREA)
- Pathology (AREA)
- Medical Treatment And Welfare Office Work (AREA)
- Storage Device Security (AREA)
Abstract
Description
- Gebiet der Erfindung
- Die Erfindung betrifft ein Datenverarbeitungssystem zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen, bestehend aus einem Praxisverwaltungssystem, einem Patientenidentifikationsdienst, einem Pseudonymisierungsdienst, einem Datendienst und einem System aus elektronischen Chipkarten zur kryptographischen Transportsicherung und sicheren Adressierung.
- Hintergrund der Erfindung
- Im Gesundheitswesen besteht die Notwendigkeit sensible medizinische Patientendaten gegenüber Dritten verfügbar zu machen. Dies können Forschungseinrichtungen sein, die die Informationen zum Zwecke der medizinischen oder epidemiologischen Forschung verwenden können müssen. Ebenso benötigen Leistungserbringer und Kostenträger, solche Informationen zur Steuerung und Kostenplanung. Ferner ist die öffentliche Verwaltung von der Kenntnis sensibler Patientendaten abhängig, um beispielsweise gesundheitspolitische Entscheidungsprozesse unterstützen und einleiten zu können.
- Systeme, mit denen sensible Patientendaten gegenüber Dritten verfügbar gemacht werden können, basieren auf einer Pseudonymisierung und/oder einer Anonymisierung. Dadurch werden personenbezogene Auswertungen von sensiblen Daten verhindert. Werden Krankheitsverläufe erfasst, tritt das Problem auf, dass eine fehlerfreie Zuordnung von pseudonymisierten bzw. anonymisierten Datensätzen im Zeitverlauf gewährleistet werden muss. Ist dies nicht der Fall, kann es zu fehlerhaften Mehrfachnennungen oder Unternennungen kommen. Bei Mehrfachnennungen erscheint der gleiche Patient mehrmals in den anonymisierten und/oder pseudonymisierten Datenbeständen, bei Unternennungen werden die medizinischen Daten von verschieden Patienten in den anonymisierten und/oder pseudonymisierten Datenbeständen einer Person zugeordnet. Dies führt zu Fehlinformationen über die individuellen Krankheitsverläufe. Ferner entstehen zusätzliche Kosten für die Wartung der Daten, sprich das Erkennen und Bereinigen dieser Mehrfach- oder Unternennungen.
- Aus der
DE 199 25 910 A1 ist ein Verfahren zum Be- oder Verarbeiten von Daten bekannt, mit dem kritische Teildatensätze in verschlüsselter Form in einer Datenbank gespeichert werden, wobei die Daten ausschließlich beim Anwender unter Verwendung eines in einer zentralen weiteren Datenbank gespeicherten, ausschließlich an den autorisierten Anwender übermittelbaren Schlüssels entschlüsselt und/oder verschlüsselt werden. - Aus der
DE 102 09 780 B4 ist ein Datenverarbeitungssystem für Patientendaten bekannt, bei dem ein Datensatz identifikationscode dem Gesundheitsdatensatz eines Patienten zugeordnet ist, so dass Gesundheitsdaten auf einer zentralen Datenbank zugeordnet werden können, ohne dass dort gleichzeitig personenidentifizierende Personendaten gespeichert werden. Das Abrufen von Daten eines jeweiligen Gesundheitsdatensatzes erfordert sowohl die Bereitstellung einer elektronischen Patientenkarte durch den Patienten und einen darauf gespeicherten Patientenkartencode und als auch einen vom Patienten einzugebenden Patientenidentifikationscode und/oder Behandleridentifikationscode. - Sowohl das Verfahren nach
DE 199 25 910 A1 als auch das DatenverarbeitungssystemDE 102 09 780 B4 sehen ihren Anwendungsbereich in der Verwaltung von sensiblen Daten im Gesundheitsbereich. In beiden Fällen wird das bei der Dokumentation von individuellen Krankheitsverläufen relevante Problem einer fehlerlosen Zuordnung von Datensätzen im Zeitverlauf nicht aufgegriffen bzw. als gelöst vorausgesetzt. - Debold/Reng [2003] formulieren im Auftrag des Koordinierungsrates der Telematikplattform Medizinische Forschungsnetze "Generische Lösungen der TFM zum Datenschutz für die Forschungsnetze der Medizin" (Version 1.07 v. 08.02.2003) ein Konzept zur Verwaltung sensibler Gesundheitsdaten. Das Problem einer möglichst fehlerlosen Zuordnung im Zeitverlauf wird mit Hilfe eines Patientenidentifikationsdienstes gelöst, der Patientenidentifikationen vergibt, die bei den Ärzten zusätzlich zu den Patientendaten gehalten werden.
- Aufgabe der vorliegenden Erfindung ist es, ein Datenverarbeitungssystem für Patientendaten zu schaffen, mit dem eine Analyse und Zuordnung anonymisierter und/oder pseudonymisierter, medizinischer Daten im Zeitverlauf bei gleichzeitiger Wahrung datenschutzrelevanter Interessen von Patienten und Ärzten ermöglicht wird.
- Gelöst wird diese Aufgabe durch ein Datenverarbeitungssystem, gekennzeichnet durch eine elektronische Arztchipkarte, die Angaben eines Arzt enthält und kryptographische Hilfsmittel vorhält, eine elektronische Patientenchipkarte, die Angaben eines Patienten enthält und kryptographische Hilfsmittel vorhält, eine elektronische Chipkarte des Patientenidentifikationsdienstes, die kryptographische Hilfsmittel vorhält, eine elektronische Chipkarte des Pseudonymisierungsdienstes die kryptographische Hilfsmittel vorhält, eine elektronische Chipkarte des Datendienstes, die kryptographische Hilfsmittel vorhält, eine von dem Patientenidentifikationsdienst generierbare Vorgangsidentifikation und durch einen von dem Praxisverwaltungssystem generierten Rückantwortschlüssel, mit dem medizinische Behandlungsdaten ergänzbar sind.
- Durch diese Maßnahmen wird ein Datenverarbeitungssystem geschaffen, mit dem es möglich ist, sensible medizinische Daten von Patienten ohne Verletzung von Schutzrechten auch gegenüber Dritten verfügbar zu machen. Dabei tritt keine zeitliche Verzögerung auf. Eine vertrauliche Weitergabe von Patientendaten von einem Datengeber, nämlich dem Arzt, an einen Datenverwalter, nämlich einem Datendienst, wird dadurch möglich.
- Bei dem Datendienst werden die medizinischen Daten ohne Patientenidentifikationsdaten und ohne Arztidentifikationsdaten in pseudonymisierter und/oder anonymisierter Form gespeichert. Der Datendienst kann beispielsweise der öffentlichen Verwaltung für gesundheitspolitische Entscheidungsprozesse anonymisierte sensible Patientendaten zugänglich machen, so dass die Datenschutzrechte der Patienten nicht verletzt werden. Durch das Subsystem zur Generierung von Vorgangsidentifikationen können vom Arzt medizinische Behandlungsdaten bereits zur Datenverarbeitung weitergeleitet werden, ohne dass der Prozess der Patientenidentifikation abgeschlossen wurde, d.h. zeitliche Verzögerungen entfallen. Dadurch weist das Datenverarbeitungssystem eine hohe Akzeptanz bei den datenliefernden Nutzern auf, falls z.B. erst die Verfügbarmachung der Daten Ansprüche auf Leistungsvergütung generiert oder die Nichtverfügbarmachung oder verspätete Verfügbarmachung von Daten sanktionsbewehrt ist.
- Da die für die Pseudonymisierung bzw. Anonymisierung notwendigen Ordnungsinstanzen in zentralen Datenbanken gehalten werden ist das System robust und leicht wartbar. Dies wäre dann nicht der Fall, wenn diese Ordndungsinstanzen dezentral bei den beteiligten Ärzten vorgehalten würden, gegebenenfalls noch mit einer Verkettung zu Patientenidentifikationsdaten, was zusätzlich das Risiko einer Ausspähung durch nicht autorisierte Personen beinhalten würde.
- Das Subsystem zur Generierung von Rückantwortschlüsseln ermöglicht vertrauliche Rückmeldungen vom Datendienst an den Arzt, ohne dass Dritte Einsicht in die Kommunikationsinhalte nehmen können. Dadurch wird es z.B. möglich unplausible Daten an den Arzt zur Korrektur zurückzusenden. Weiterhin kann der Arzt über Rückantwortschlüssel vertrauliche Datenauswertungen oder sog. Benchmarks hinsichtlich seiner Behandlungseinrichtung oder auch weitere Beratungsleistungen des Datendienstes anfordern. Dem Datendienst bleibt hierbei die Identität der Behandlungseinrichtung verborgen.
- Eine weitere Aufgabe der Erfindung ist es, ein Verfahren zu schaffen, mit dem eine Analyse und Zuordnung pseudonymisierter und/oder anonymisierter sensibler medizinischer Daten bei Wahrung datenschutzrelevanter Interessen von Patienten und Ärzten ermöglicht wird.
- Gelöst wird diese Aufgabe dadurch dass, das Praxisverwaltungssystem Patientenidentifikationsdaten mit einem öffentlichen Schlüssel des Patientenidentifikationsdienstes verschlüsselt, diese so verschlüsselte Nachricht signiert und die verschlüsselte und signierte Nachricht an den Patientenidentifikationsdienst sendet, der Patientenidentifikationsdienst eine Vorgangsidentifikation generiert, die Vorgangsidentifikation mit einem öffentlichen Arzt-Schlüssel verschlüsselt wird, diese so verschlüsselte Nachricht signiert und die verschlüsselte und signierte Nachricht an das Praxisverwaltungssystem gesendet wird, das Praxisverwaltungssystem die Signatur des Patientenidentifikationsdienstes überprüft und die verschlüsselte Nachricht mit der Vorgangsidentifikation mit einem privaten Arzt-Schlüssel entschlüsselt wird, das Praxisverwaltungssystem einen Rückantwortschlüssel generiert und dieser Rückantwortschlüssel einem medizinischen Datensatz hinzugefügt wird, das Praxisverwaltungssystem den medizinischen Datensatz einschließlich des Rückantwortschlüssels mit einem öffentlichen Schlüssel des Datendienstes verschlüsselt, das Praxisverwaltungssystem dieser verschlüsselten Nachricht, bestehend aus dem verschlüsselten medizinischen Datensatz und dem verschlüsselten Rückantwortschlüssel, die Vorgangsidentifikation und die Arztidentifikationsdaten hinzufügt, diese gesamte Nachricht mit einem öffentlichen Schlüssel des Pseudonymisierungsdienstes verschlüsselt wird, diese gesamte verschlüsselte Nachricht signiert und an den Pseudony misierungsdienst gesendet wird, der Patientenidentifikationsdienst nach der Identifikation eines Patienten eine Patientenidentifikation ermittelt bzw. eine Patientenidentifikation generiert und die Patientenidentifikation zusammen mit der zugehörigen Vorgangsidentifikation mit einem öffentlichen Schlüssel des Pseudonymisierungsdienstes verschlüsselt, diese Nachricht signiert und an den Pseudonymisierungsdienst sendet, der Pseudonymisierungsdienst die Signatur der von dem Praxisverwaltungssystem übermittelten Nachricht überprüft und diese Nachricht mit einem privaten Pseudonymisierungsdienst-Schlüssel entschlüsselt wird, so dass die Vorgangsidentifikation und die Arztidentifikationsdaten als Klartext und der medizinische Datensatz zusammen mit dem Rückantwortschlüssel verschlüsselt vorliegen, der Pseudonymisierungsdienst die Signatur der übermittelten Nachricht des Patientenidentifikationsdienstes überprüft, der Pseudonymisierungsdienst die übermittelte Nachricht des Patientenidentifikationsdienstes mit einem privaten Schlüssel entschlüsselt und eine Vorgangsidentifikation und eine Patientenidentifikation als Klartext erhält, der Pseudonymisierungsdienst den verschlüsselten medizinischen Datensatz einschließlich Rückantwortschlüssel anhand gleicher Vorgangsidentifikationen identifiziert, der Pseudonymisierungsdienst für die Patientenidentifikation ein Patientenpseudonym und für die Arztidentifikationsdaten ein Arztpseudonym ermittelt bzw. generiert, der Pseudonymisierungsdienst dem verschlüsselten medizinischen Datensatz mit dem Rückantwortschlüssel ein Patientenpseudonym und ein Arztpseudonym hinzufügt, diese Nachricht mit dem öffentlichen Schlüssel des Datendienstes verschlüsselt, die Nachricht signiert und diese verschlüsselte und signierte Nachricht an den Datendienst sendet, der Datendienst die Signatur der vom Pseudonymisierungsdienst übermittelten Nachricht überprüft und diese Nachricht mit dem privaten Schlüssel des Datendienstes entschlüsselt, wobei nun das Patientenpseudonym und das Arztpseudonym im Klartext und der medizinische Datensatz mit dem Rückantwortschlüssel in verschlüsselter Form vorliegen, der Datendienst den verschlüsselten medizinischen Datensatz und den verschlüsselten Rückantwortschlüssel mit dem privaten Schlüssel des Datendienstes entschlüsselt, so dass sie als Klartext zur Verfügung stehen, der Datendienst Plausibilitätstests durchführt, wonach der Datensatz bei Nichtbeanstandung in die Datenbank übernommen und bei Beanstandung verschlüsselt mit dem Rückantwortschlüssel zurück gesendet wird.
- Durch diese Maßnahmen erfolgt eine Aufteilung in Identifikationselemente und medizinische Daten, die einerseits den individuellen Schutz der Daten eines Patienten sicherstellen und andererseits eine anonyme Auswertung sämtlicher gesammelter Daten ermöglicht.
- Weitere vorteilhafte Maßnahmen sind in den Unteransprüchen beschrieben. Die Erfindung ist in der beiliegenden Zeichnung dargestellt und wird nachfolgend näher beschrieben.
- Kurzbeschreibung der Zeichnungen
- Die einzige Figur zeigt ein Diagramm zur schematischen Darstellung des erfindungsgemäßen Datenverarbeitungssystems. Das hier schematisch dargestellte Datenverarbeitungssystem
10 besteht aus mehreren elektronischen Chipkarten, nämlich einer Arzt-Chipkarte11 , einer Patienten-Chipkarte12 , einer Identifikationsdienst-Chipkarte13 , einer Pseudonymisierungsdienst-Chipkarte14 und einer Datendienst-Chipkarte15 . - Beschreibung der Erfindung
- Die Chipkarten
11 bis15 sind mit verschiedenen Datenverarbeitungsdiensten koppelbar, nämlich einem Praxisverwaltungssystem16 eines Arztes, einem Patientenidentifikationsdienst17 , einem Pseudonymisierungsdienst18 und einem Datendienst19 . - Der Datendienst
19 ist eine anonymisierte/pseudonymisierte Datenbank für Plausibilitätskontrolle, z.B. für Laborwerte, Krankheitsverläufe, Stammdaten, ärztliche Behandlungsdaten und Auswertungen. Diese Auswertungen können in einem variablen Datenfluss von Dritten, beispielsweise für sog. Benchmark-Berichte für Behandlungseinrichtungen, Krankenkassen, kassenärztliche Vereinigungen oder das öffentliche Gesundheitswesen vorgenommen werden. - Es kann zweckmäßig oder erforderlich sein, die kryptographischen Werkzeuge bei dem Identifikationsdienst, dem Pseudonymisierungsdienst und dem Datendienst auf verschiedenen elektronischen Chipkarten vorzuhalten.
- Der Ablauf eines mit diesem Datenverarbeitungssystem
10 ermöglichten Pseudonymisierungs- und/oder Anonymisierungsverfahrens wird nachfolgend beschrieben. - Das Praxisverwaltungssystem
16 verschlüsselt mit dem öffentlichen Schlüssel des Patientenidentifikationsdienstes17 die Nachricht mit den Patientenidentifikationsdaten. Anschließend wird die verschlüsselte Nachricht signiert und an den Patientenidentifikationsdienst17 gesendet. Der Patientenidentifikationsdienst17 generiert eine Vorgangsidentifikation (V#), wobei die Vorgangsidentifikationen oder Strings, vorzugsweise Vorgangsnummern sind, die jeweils nur einmal vergeben werden. - Der Patientenidentifikationsdienst
17 verschlüsselt die Nachricht mit der Vorgangsidentifikation mit dem öffentlichen Schlüssel des Praxisverwaltungssystems16 , signiert die verschlüsselte Nachricht und sendet sie an das Praxisverwaltungssystem16 . Hier wird die Signatur des Patientenidentifikationsdienstes17 überprüft. Die Nachricht mit der Vorgangsidentifikation wird mit einem privaten Schlüssel entschlüsselt. - Sodann wird ein Rückantwortschlüssel (RSch) generiert und dem medizinischen Datensatz (MDAT) hinzugefügt. Der medizinische Datensatz einschließlich des Rückantwortschlüssels wird mit dem öffentlichen Schlüssel des Datendienstes
19 verschlüsselt. Dieser verschlüsselten Nachricht werden die Vorgangsidentifikation und die Arztidentifikationsdaten (Arzt-IDAT) hinzugefügt und die gesamte Nachricht wird mit dem öffentlichen Schlüssel des Pseudonymisierungsdienstes18 verschlüsselt. Die gesamte Nachricht wird signiert und an den Pseudonymisierungsdienst18 geschickt. - Nach der eindeutigen Identifikation eines Patienten ermittelt der Patientenidentifikationsdienst
17 eine Patientenidentifikation (Pat-ID) bzw. generiert eine solche, wenn sie noch nicht vorliegt. Diese wird zusammen mit der zugehörigen Vorgangsidentifikation mit dem öffentlichen Schlüssel des Pseudonymisierungsdienstes18 verschlüsselt, signiert und dann an den Pseudonymisierungsdienst18 gesandt. Der Pseudonymisierungsdienst18 überprüft die Signatur der übermittelten Nachricht des Praxisverwaltungssystems16 eines Arztes. Es entschlüsselt die Nachricht mit seinem privaten Schlüssel und erhält eine Vorgangsidentifikation und die Arztidenti fikationsdaten als Klartext und die verschlüsselten medizinischen Daten (MDAT*) mit dem verschlüsselten Rückantwortschlüssel (RSch*). - Der Pseudonymisierungsdienst
18 überprüft die Signatur der übermittelten Nachricht des Patientenidentifikationsdienstes17 . Er entschlüsselt die Nachricht mit seinem privaten Schlüssel und erhält eine Vorgangsidentifikation und eine Patientenidentifikation (Pat-ID) als Klartext. Er identifiziert in seinen temporären Daten den verschlüsselten medizinischen Datensatz mit der gleichen Vorgangsidentifikation. Für die Patientenidentifikation wird ein Patientenpseudonym (Pat-PSN) ermittelt oder generiert, für die Arztidentifikationsdaten wird ein Arztpseudonym (Arzt-PSN) ermittelt oder generiert. Dem verschlüsselten medizinischen Datensatz mit dem Rückantwortschlüssel werden Patientenpseudonym und Arztpseudonym hinzugefügt. Alles zusammen wird mit dem öffentlichen Schlüssel des Datendienstes19 verschlüsselt, signiert und an den Datendienst19 gesandt. - Der Datendienst
19 überprüft die Signatur des Pseudonymisierungsdienstes18 . Die Nachricht wird mit dem privaten Schlüssel des Datendienstes19 entschlüsselt. Es finden sich im Klartext das Patienten- und das Arztpseudonym, in verschlüsselter Form die medizinischen Daten mit dem Rückantwortschlüssel. - Die verschlüsselten Daten werden mit dem privaten Schlüssel des Datendienstes entschlüsselt, als Klartext stehen nun die medizinischen Daten und der Rückantwortschlüssel zur Verfügung. Erbringen die durchzuführenden Plausibilitätstests keine Beanstandungen, kann der medizinische Datensatz in die Datenbank übernommen werden.
- Es kann ferner vorgesehen sein, dass der Patientenidentifikationsdienst
17 eine Liste mit allen vergebenen Vorgangsidentifikationen besitzt in der dokumentiert ist, wer wann welche Vorgangsidentifikation erhalten hat. Der Pseudonymisierungsdienst18 kann dem Praxisverwaltungssystem16 den Empfang von Daten ohne Kenntnis des Inhalts elektronisch quittieren. - Ferner ist es möglich, dass bereits in der Arztpraxis vom Praxisverwaltungssystem
16 nicht manipulierbare Prüfroutinen die Daten analysieren und ihre Vollständigkeit und Plausibilität so dokumentieren, dass diese Information dem Pseudonymisierungsdienst18 im Klartext zur Verfügung steht. In diesem Fall kann der Pseudonymisierungsdienst18 dem Praxisverwaltungssystem16 zusätzlich die Vollständigkeit und Plausibilität der Daten elektronisch quittieren. Ebenso ist denkbar, dass dem Praxisverwaltungssystem16 vom Datendienst19 über einen speziellen Rückmeldeschlüssel die Vollständigkeit und Plausibilität der Daten bestätigt wird. - Im weiteren können zusätzlich bei dem Pseudonymisierungsdienst
18 die Zuordnung von Arztidentifikationsdaten zu Arztpseudonym, die Zuordnung von Patientenidentifikation zu Patientenpseudonym oder bei dem Patientenidentifikationsdienst die Zuordnung von Patientenidentifikationsdaten (Pat-IDAT) zur Patientenidentifikation durch weitere elektronische Chipkarten kryptographisch geschützt werden. Zusätzlich wird bei dem Pseudonymisierungsdienst18 ein Verfahren bereitgestellt, dass Patientenpseudonyme in nicht rückverfolgbare Patientenanonyme umwandelt. - Es ist im weiteren möglich, das System aus elektronischen Chipkarten
11 ,12 ,13 ,14 und15 zur kryptographischen Transportsicherung und sicheren Adressie rung durch ein rein Software basiertes System zur kryptographischen Transportsicherung und sicheren Adressierung zu ersetzen oder bei der kryptographischen Transportsicherung keine elektronische Signatur erfolgt. - Ferner ist eine Änderung des Datenflusses dahingehend möglich, dass die Daten auf dem Weg vom Praxisverwaltungssystem
16 zum Pseudonymisierungsdienst18 , der hier der einen Datentreuhänder darstellt, über Dritte geleitet werden können. Der Datenfluss ist entsprechend variabel gestaltet. -
- 10
- Datenverarbeitungssystem
- 11
- Arzt-Chipkarte
- 12
- Patienten-Chipkarte
- 13
- Identifikationsdienst-Chipkarte
- 14
- Pseudonymisierungsdienst-Chipkarte
- 15
- Datendienst-Chipkarte
- 16
- Praxisverwaltungssystem, (Arzt)
- 17
- Patientenidentifikationsdienst
- 18
- Pseudonymisierungsdienst, (Arzt/Patient)
- 19
- Datendienst
- Pat-ID
- Patientenidentifikation
- Pat-IDAT
- Patientenidentifikationsdaten
- Pat-PSN
- Patientenpseudonym
- Arzt-PSN
- Arztpseudonym
- Arzt-IDAT
- Arztidentifikationsdaten
- MDAT
- Medizinischer Datensatz
- MDAT*
- Medizinische Daten, verschlüsselt
- V#
- Vorgangsidentifikation (Vorgangsnummer)
- RSch
- Rückantwortschlüssel
- RSch*
- Rückantwortschlüssel, verschlüsselt
Claims (13)
- Datenverarbeitungssystem zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen, bestehend aus einem Praxisverwaltungssystem (
16 ), einem Patientenidentifikationsdienst (17 ), einem Pseudonymisierungsdienst (18 ), einem Datendienst (19 ) und einem System aus elektronischen Chipkarten zur kryptographischen Transportsicherung und sicheren Adressierung (11 –15 ), gekennzeichnet durch • eine elektronische Arztchipkarte (11 ), die Angaben eines Arztes enthält und kryptographische Hilfsmittel vorhält; • eine elektronische Patientenchipkarte (12 ), die Angaben eines Patienten enthält und kryptographische Hilfsmittel vorhält; • eine elektronische Chipkarte (13 ) des Patientenidentifikationsdienstes (17 ), die kryptographische Hilfsmittel vorhält; • eine elektronische Chipkarte (14 ) des Pseudonymisierungsdienstes (18 ) die kryptographische Hilfsmittel vorhält; • eine elektronische Chipkarte (15 ) des Datendienstes (19 ), die kryptographische Hilfsmittel vorhält; • eine von dem Patientenidentifikationsdienst (17 ) generierbare Vorgangsidentifikation (V#); • und durch einen von dem Praxisverwaltungssystem (16 ) generierten Rückantwortschlüssel (RSch), mit dem ein medizinischer Datensatz (MDAT) mit Behandlungsdaten ergänzbar ist. - Datenverarbeitungssystem zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen nach Anspruch 1, dadurch gekennzeichnet, dass eine oder mehrere elektronische Chipkarten (
13 ) des Patientenidentifikationsdienstes (17 ) vorgesehen sind, die kryptographische Hilfsmittel vorhalten, eine oder mehrere elektronische Chipkarten (14 ) des Pseudonymisierungsdienstes (18 ) vorgesehen sind, die kryptographische Hilfsmittel vorhalten und eine oder mehrere elektronische Chipkarten (15 ) des Datendienstes (19 ) vorgesehen sind, die kryptographische Hilfsmittel vorhalten. - Datenverarbeitungssystem zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen nach Anspruch 1, dadurch gekennzeichnet, dass der Patientenidentifikationsdienst (
17 ) eine Liste mit allen Vorgangsidentifikationen, den Empfängern der Vorgangsidentifikationen, sowie dem Zeitpunkt des Versands der Vorgangsidentifikationen führt. - Datenverarbeitungssystem zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen nach Anspruch 1, dadurch gekennzeichnet, dass dem Praxisverwaltungssystem (
16 ) der Empfang der Daten von dem Pseudonymisierungsdienst (18 ) elektronisch quittierbar sind. - Verfahren zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen, bestehend aus einem Praxisverwaltungssystem, einem Patientenidentifikationsdienst, einem Pseudonymisierungsdienst, einem Datendienst und einem System aus elektronischen Chipkarten zur kryptographischen Transportsicherung und sicheren Adressierung, dadurch gekennzeichnet, dass • das Praxisverwaltungssystem Patientenidentifikationsdaten mit einem öffentlichen Schlüssel des Patientenidentifikationsdienstes verschlüsselt, diese so verschlüsselte Nachricht signiert und die verschlüsselte und signierte Nachricht an den Patientenidentifikationsdienst sendet; • der Patientenidentifikationsdienst eine Vorgangsidentifikation generiert, die Vorgangsidentifikation mit einem öffentlichen Arzt-Schlüssel verschlüsselt wird, diese so verschlüsselte Nachricht signiert und die verschlüsselte und signierte Nachricht an das Praxisverwaltungssystem gesendet wird; • das Praxisverwaltungssystem die Signatur des Patientenidentifikationsdienstes überprüft und die verschlüsselte Nachricht mit der Vorgangsidentifikation mit einem privaten Arzt-Schlüssel entschlüsselt wird; • das Praxisverwaltungssystem einen Rückantwortschlüssel generiert und dieser Rückantwortschlüssel einem medizinischen Datensatz hinzugefügt wird; • das Praxisverwaltungssystem den medizinischen Datensatz einschließlich des Rückantwortschlüssels mit einem öffentlichen Schlüssel des Datendienstes verschlüsselt; • das Praxisverwaltungssystem dieser verschlüsselten Nachricht, bestehend aus dem verschlüsselten medizinischen Datensatz und dem verschlüsselten Rückantwortschlüssel, die Vorgangsidentifikation und die Arztidentifikationsdaten hinzufügt, diese gesamte Nachricht mit einem öffentlichen Schlüssel des Pseudonymisierungsdienstes verschlüsselt wird, diese gesamte verschlüsselte Nachricht signiert und an den Pseudonymisierungsdienst gesendet wird; • der Patientenidentifikationsdienst nach der Identifikation eines Patienten eine Patientenidentifikation ermittelt bzw. eine Patientenidentifikation generiert und die Patientenidentifikation zusammen mit der zugehörigen Vorgangsidentifikation mit einem öffentlichen Schlüssel des Pseudonymisierungsdienstes verschlüsselt, diese Nachricht signiert und an den Pseudonymisierungsdienst sendet; • der Pseudonymisierungsdienst die Signatur der von dem Praxisverwaltungssystem übermittelten Nachricht überprüft und diese Nachricht mit einem privaten Pseudonymisierungsdienst-Schlüssel entschlüsselt wird, so dass die Vorgangsidentifikation und die Arztidentifikationsdaten als Klartext und der medizinische Datensatz zusammen mit dem Rückantwortschlüssel verschlüsselt vorliegen; • der Pseudonymisierungsdienst die Signatur der übermittelten Nachricht des Patientenidentifikationsdienstes überprüft, der Pseudonymisierungs dienst die übermittelte Nachricht des Patientenidentifikationsdienstes mit einem privaten Schlüssel entschlüsselt und eine Vorgangsidentifikation und eine Patientenidentifikation als Klartext erhält; • der Pseudonymisierungsdienst den verschlüsselten medizinischen Datensatz einschließlich Rückantwortschlüssel anhand gleicher Vorgangsidentifikationen identifiziert; • der Pseudonymisierungsdienst für die Patientenidentifikation ein Patientenpseudonym und für die Arztidentifikationsdaten ein Arztpseudonym ermittelt bzw. generiert; • der Pseudonymisierungsdienst dem verschlüsselten medizinischen Datensatz mit dem Rückantwortschlüssel ein Patientenpseudonym und ein Arztpseudonym hinzufügt, diese Nachricht mit dem öffentlichen Schlüssel des Datendienstes verschlüsselt, die Nachricht signiert und diese verschlüsselte und signierte Nachricht an den Datendienst sendet; • der Datendienst die Signatur der vom Pseudonymisierungsdienst übermittelten Nachricht überprüft und diese Nachricht mit dem privaten Schlüssel des Datendienstes entschlüsselt, wobei nun das Patientenpseudonym und das Arztpseudonym im Klartext und der medizinische Datensatz mit dem Rückantwortschlüssel in verschlüsselter Form vorliegen; • der Datendienst den verschlüsselten medizinischen Datensatz und den verschlüsselten Rückantwortschlüssel mit dem privaten Schlüssel des Daten dienstes entschlüsselt, so dass sie als Klartext zur Verfügung stehen; • der Datendienst Plausibilitätstests durchführt, wonach der Datensatz bei Nichtbeanstandung in die Datenbank übernommen und bei Beanstandung zurück gesendet wird.
- Verfahren zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen nach Anspruch 5, dadurch gekennzeichnet, dass das Praxisverwaltungssystem durch nicht manipulierbare Prüfroutinen ergänzt wird und die Prüfroutinen die Daten auf Vollständigkeit und Plausibilität überprüfen, in einem nicht manipulierbaren Protokoll festhalten und dieses Protokoll an den Pseudonymisierungsdienst übermitteln.
- Verfahren zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen nach Anspruch 5, dadurch gekennzeichnet, dass ein Praxisverwaltungssystem einen Rückantwortschlüssel für eine Bestätigung hinsichtlich der Vollständigkeit und Plausibilität der Daten generiert, dieser Rückantwortschlüssel mit an einen Datendienst übermittelt wird und der Datendienst nach Prüfung der Daten ein mit dem Rückantwortschlüssel verschlüsseltes Prüfprotokoll über den Pseudonymisierungsdienst an das Praxisverwaltungssystem zurückschickt.
- Verfahren zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen nach Anspruch 5, dadurch gekennzeichnet, dass bei einem Pseudonymiserungsdienst die Zuordnung von Arztidentifikationsdaten und Arztpseudonym mit Hilfe einer elektronischen Chipkarte vorgenommen wird, bei dem Pseudonymiserungsdienst die Zuordnung von Patientenidentifikation und Patientenpseudonym mit Hilfe einer elektronischen Chipkarte vorgenommen wird und bei einem Patientenidentifikationsdienst die Zuordnung von Patientenidentifikation und Patientenidentifikationsdaten mit Hilfe einer elektronischen Chipkarte vorgenommen wird.
- Verfahren zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen nach Anspruch 5, dadurch gekennzeichnet, dass bei einem Pseudonymiserungsdienst ein Verfahren bereitgestellt ist, das Patientenpseudonyme in nicht mehr rückverfolgbare Patientenanonyme umwandelt.
- Verfahren zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen nach Anspruch 5, dadurch gekennzeichnet, dass ein Software basiertes System zur kryptographischen Transportsicherung und sicheren Adressierung vorgesehen ist.
- Verfahren zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen nach Anspruch 5, dadurch gekennzeichnet, dass die kryptographische Transportsicherung signaturlos erfolgt.
- Verfahren zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen nach Anspruch 5, dadurch gekennzeichnet, dass die Daten in einem variablen Datenfluss an Dritte leitbar sind.
- Verfahren zur Anonymisierung und/oder Pseudonymisierung von individuellen Krankheitsverläufen nach Anspruch 5, dadurch gekennzeichnet, dass die Daten in einem variablen Datenfluss für Benchmark-Berichte für Behandlungseinrichtungen, Krankenkassen, kassenärztliche Vereinigungen und das Gesundheitswesen auswertbar sind.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102004038038A DE102004038038A1 (de) | 2004-05-27 | 2004-08-05 | Datenverarbeitungssystem zur Verwaltung von sensiblen, anonymisierten und/oder pseudonymisierten Patientendaten und Verfahren zu seiner Anwendung |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102004026486.4 | 2004-05-27 | ||
DE102004026486 | 2004-05-27 | ||
DE102004038038A DE102004038038A1 (de) | 2004-05-27 | 2004-08-05 | Datenverarbeitungssystem zur Verwaltung von sensiblen, anonymisierten und/oder pseudonymisierten Patientendaten und Verfahren zu seiner Anwendung |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102004038038A1 true DE102004038038A1 (de) | 2005-12-29 |
Family
ID=35455122
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102004038038A Withdrawn DE102004038038A1 (de) | 2004-05-27 | 2004-08-05 | Datenverarbeitungssystem zur Verwaltung von sensiblen, anonymisierten und/oder pseudonymisierten Patientendaten und Verfahren zu seiner Anwendung |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102004038038A1 (de) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102006012311A1 (de) * | 2006-03-17 | 2007-09-20 | Deutsche Telekom Ag | Verfahren und Vorrichtung zur Pseudonymisierung von digitalen Daten |
DE102007056224A1 (de) * | 2007-11-22 | 2009-06-04 | Siemens Ag | Erzeugen von anonymen und eindeutigen Objekt-Identifikatoren |
DE102010037326B4 (de) * | 2010-09-03 | 2014-02-13 | Wolfgang Hüffer | Verfahren zum anonymen Zusammenführen von vertraulichen Daten und zugehörigen Identifizierungsdaten |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19925910A1 (de) * | 1999-06-07 | 2001-02-22 | Siemens Ag | Verfahren zum Be- oder Verarbeiten von Daten |
DE10209780B4 (de) * | 2001-10-11 | 2004-04-08 | Symbasis Gmbh | Datenverarbeitungssystem für Patientendaten |
-
2004
- 2004-08-05 DE DE102004038038A patent/DE102004038038A1/de not_active Withdrawn
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19925910A1 (de) * | 1999-06-07 | 2001-02-22 | Siemens Ag | Verfahren zum Be- oder Verarbeiten von Daten |
DE10209780B4 (de) * | 2001-10-11 | 2004-04-08 | Symbasis Gmbh | Datenverarbeitungssystem für Patientendaten |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102006012311A1 (de) * | 2006-03-17 | 2007-09-20 | Deutsche Telekom Ag | Verfahren und Vorrichtung zur Pseudonymisierung von digitalen Daten |
US10372940B2 (en) | 2006-03-17 | 2019-08-06 | Deutsche Telekom Ag | Method and device for the pseudonymization of digital data |
DE102007056224A1 (de) * | 2007-11-22 | 2009-06-04 | Siemens Ag | Erzeugen von anonymen und eindeutigen Objekt-Identifikatoren |
DE102007056224B4 (de) * | 2007-11-22 | 2010-03-11 | Siemens Ag | Erzeugen von anonymen und eindeutigen Objekt-Identifikatoren |
DE102010037326B4 (de) * | 2010-09-03 | 2014-02-13 | Wolfgang Hüffer | Verfahren zum anonymen Zusammenführen von vertraulichen Daten und zugehörigen Identifizierungsdaten |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3488555B1 (de) | Gesichertes verarbeiten einer berechtigungsnachweisanfrage | |
US6925599B2 (en) | Methodology for performing validated clinical studies of pharmeceutical related products | |
US20030088771A1 (en) | Method and system for authorizing and certifying electronic data transfers | |
US20020128883A1 (en) | Integrated system for insurance claim management | |
WO2002052480A1 (en) | Dynamic electronic chain-of-trust document with audit trail | |
DE10253676B4 (de) | Verfahren und Vorrichtung für die Fernübertragung sensibler Daten | |
DE19824787C2 (de) | Verfahren zum abgesicherten Zugriff auf Daten in einem Netzwerk | |
US20080154634A1 (en) | Lien/levy inquiry system | |
DE60122349T2 (de) | Verahren zur erzeugung von nachweisen über das senden und empfangen eines elektronischen schreibens und seines inhaltes über ein netzwerk | |
DE112020007364T5 (de) | Verfahren und verteiltes Ledger-System zur Unterstützung der gemeinsamen Nutzung digitaler Gesundheitsdaten von Reisenden in einer Reiseumgebung | |
EP2426617B1 (de) | Verfahren zum anonymen Zusammenführen von vertraulichen Daten und zugehörigen Identifizierungsdaten | |
DE102004038038A1 (de) | Datenverarbeitungssystem zur Verwaltung von sensiblen, anonymisierten und/oder pseudonymisierten Patientendaten und Verfahren zu seiner Anwendung | |
DE602005000234T2 (de) | Verfahren zur gesicherten Abfrage von Lieferscheinen für Gegenstände | |
Peyton et al. | Tracking privacy compliance in b2b networks | |
DE10209780B4 (de) | Datenverarbeitungssystem für Patientendaten | |
DE10020562C1 (de) | Verfahren zum Beheben eines in einer Datenverarbeitungseinheit auftretenden Fehlers | |
EP1102193A1 (de) | Medizinisches System zur Überweisung eines Patienten | |
EP3840321B1 (de) | Verfahren und system zur authentifikation einer mobile-id mittels hashwerten | |
DE202021100647U1 (de) | Personendatenanonymisierungssystem (PDAS) mit kundenspezifischem Token | |
WO2020169502A1 (de) | Verfahren zum transfer von daten | |
CH717898A1 (de) | Server zur Abwicklung von Finanz-Transaktionen. | |
AU2002100453A4 (en) | Integrated system for insurance claims management | |
Mirani | Telemedicine in India: A Critical Analysis on the Regulatory, Legal, & Ethical Consideration of Telemedicine | |
WO2022002502A1 (de) | Anonymisiertes bereitstellen eines dienstes | |
Arifkhodzhaieva et al. | Economic Policy Of The State In Conditions Of Informatization Of Health Care In Ukraine As An Integral Part Of The Social Sphere |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8172 | Supplementary division/partition in: |
Ref document number: 102004064065 Country of ref document: DE Kind code of ref document: P |
|
Q171 | Divided out to: |
Ref document number: 102004064065 Country of ref document: DE Kind code of ref document: P |
|
8172 | Supplementary division/partition in: |
Ref document number: 102004064091 Country of ref document: DE Kind code of ref document: P |
|
Q171 | Divided out to: |
Ref document number: 102004064091 Country of ref document: DE Kind code of ref document: P |
|
R120 | Application withdrawn or ip right abandoned |
Effective date: 20131120 |