DE102020203951A1 - Verfahren zur dynamischen Datenminimierung eines Datensatzes mittels Whitelisting - Google Patents

Verfahren zur dynamischen Datenminimierung eines Datensatzes mittels Whitelisting Download PDF

Info

Publication number
DE102020203951A1
DE102020203951A1 DE102020203951.8A DE102020203951A DE102020203951A1 DE 102020203951 A1 DE102020203951 A1 DE 102020203951A1 DE 102020203951 A DE102020203951 A DE 102020203951A DE 102020203951 A1 DE102020203951 A1 DE 102020203951A1
Authority
DE
Germany
Prior art keywords
attribute
attributes
whitelist
data
determination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020203951.8A
Other languages
English (en)
Inventor
Ute Rosenbaum
Steffen Fries
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Healthineers Ag De
Original Assignee
Siemens Healthcare GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Healthcare GmbH filed Critical Siemens Healthcare GmbH
Priority to DE102020203951.8A priority Critical patent/DE102020203951A1/de
Priority to US17/202,431 priority patent/US11663221B2/en
Priority to CN202110325298.3A priority patent/CN113449335A/zh
Publication of DE102020203951A1 publication Critical patent/DE102020203951A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2455Query execution
    • G06F16/24564Applying rules; Deductive queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2457Query processing with adaptation to user needs
    • G06F16/24573Query processing with adaptation to user needs using data annotations, e.g. user-defined metadata
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/25Integrating or interfacing systems involving database management systems
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H10/00ICT specially adapted for the handling or processing of patient-related medical or healthcare data
    • G16H10/60ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/21Design, administration or maintenance of databases
    • G06F16/211Schema design and management
    • G06F16/213Schema design and management with details for schema evolution support
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/22Indexing; Data structures therefor; Storage structures
    • G06F16/2228Indexing structures

Abstract

Die Erfindung betrifft ein computerimplementiertes Verfahren zur dynamischen Datenminimierung eines Datensatzes zur Weitergabe des minimierten Datensatzes von einer Zentralinstanz nach außerhalb der Zentralinstanz, wobei der Datensatz eine zweite Menge einzelner Attribute umfasst. Das Verfahren weist einen Verfahrensschritt eines Ersten Bereitstellens (PROV-1) einer Whitelist auf, wobei die Whitelist eine erste Menge an Attributen umfasst, wobei die erste Menge an Attributen eine Teilmenge der zweiten Menge an Attributen ist, wobei der minimierte Datensatz die erste Menge an Attributen umfasst. Das Verfahren weist außerdem einen Verfahrensschritt eines Ersten Bestimmens (DET-1) einer Attributliste auf, wobei die Attributliste eine dritte Menge an Attributen umfasst, wobei die dritte Menge an Attributen wenigstens das Komplement der ersten Menge an Attributen in Bezug auf die zweite Menge an Attributen umfasst. Das Verfahren weist außerdem einen Verfahrensschritt eines Zweiten Bereitstellens (PROV-2) der Attributliste durch die Zentralinstanz zur Verwendung außerhalb der Zentralinstanz auf.

Description

  • Typischerweise wird die Verarbeitung und Weitergabe von personenbezogenen Daten durch Datenschutzgesetze beschränkt. Zur Einhaltung der Datenschutzgesetze ist eine Datenminimierung von Datensätzen, welche personenbezogene Daten umfassen, ein wichtiges Verfahren. Im Zuge der Datenminimierung wird sichergestellt, dass nur die personenbezogenen Daten eines Datensatzes weitergegeben bzw. verarbeitet werden, die für den jeweiligen Zweck der Verarbeitung auch benötigt werden. Die Datenminimierung kann bis hin zur Anonymisierung gehen. Das bedeutet, dass nach Ausführen der Datenminimierung jeglicher Personenbezug des Datensatzes ausgeschlossen werden kann. Speziell für sensitive personenbezogene Daten wie sie im Bereich der Medizintechnik in Form von Patientendaten oder bei Verkehrsflussanalysen vorliegen, ist die Datenminimierung wichtig.
  • Typischerweise sind viele personenbezogene Daten in Datensätzen mit strukturierten Dateiformaten gespeichert. Strukturierte Datensätze umfassen typischerweise wenigstens ein Attribut. Attribute beschreiben insbesondere der in den Datensätzen gespeicherten Daten. Typischerweise gibt es vordefinierte und definierbare Attribute. Vordefinierte Attribut sind von jedem Datensatz mit gleichem Bezug umfasst. Definierte Attribute können je nach Bezug des Datensatzes beispielsweise von einem Nutzer definiert werden. Der Bezug des Datensatzes kann beispielsweise eine medizinische Untersuchung und/oder ein medizinisches Gerät etc. sein. Jedem Attribut ist bei einem strukturierten Dateiformat typischerweise ein Attribut-Wert zugeordnet. Ein Attribut beschreibt den ihm zugeordneten Attribut-Wert, indem es einen Namen oder einen Code für den Wert umfasst.
  • Typischerweise wird in der Medizintechnik ein Ergebnis von einem bildgebenden System (beispielsweise von einem Computertomographie Gerät, einem C-Bogen, einem Magnetresonanz-Tomographie Gerät, einem Positronen-Emissions-Tomographie Gerät, einem Single-Photon-Emission-Computed-Tomography Gerät, etc.) in einem Datensatz gespeichert, der nach dem DICOM Standard strukturiert ist.
  • Derzeit werden typischerweise zwei Verfahren zur Datenminimierung von strukturierten Dateiformaten eingesetzt:
    • - Blacklisting: Beim Blacklisting werden die Attribute in einer Blacklist definiert, die mit ihren zugeordneten Attribut-Werten aus den zu minimierenden Datensatz entfernt oder ersetzt werden sollen.
    • - Whitelisting: Beim Whitelisting werden die Attribute in einer Whitelist definiert, die mit ihren zugeordneten Attribut-Werten unverändert oder modifiziert beibehalten werden sollen.
  • Dabei ist Blacklisting insbesondere aus Datenschutzsicht und Whitelisting insbesondere aus Anwendungssicht problematisch. In beiden Fällen muss aktiv eine Auswahl an Attributen getroffen werden ansonsten gibt Blacklisting im Zweifelsfall zu viel und Whitelisting zu wenig Attribute mit zugeordneten Attribut-Werten heraus.
  • Beim Blacklisting besteht typischerweise das Risiko, dass Attribute und ihre zugeordneten Attribut-Werte nicht von der Blacklist umfasst bzw. in der Blacklist definiert sind und somit weitergegeben werden, obwohl sie personenbezogene Daten enthalten können. Das Beispiel des DICOM Standards zeigt diese Problematik: Die Zahl der direkt im DICOM Standard definierten Attribute (DICOM Header Attribute) liegt derzeit bei über 4000, dazu kommen noch mehrere tausend Attribute deren Typ über andere Codierungen bestimmt wird. Der DICOM Standard wird mehrfach im Jahr um Attribute erweitert, die teilweise personenbezogen sind. Durch diese Dynamik ist es schwierig alle personenbezogenen Attribute in der Blacklist zu definieren.
  • Das Whitelisting bietet aus Datenschutzsicht eine deutlich höhere Sicherheit. Die Whitelist umfasst nur die Attribute, welche mit ihren zugeordneten Attribut-Werten direkt oder in modifizierter Form (z.B. als Pseudonym oder mit verringerter Genauigkeit) beibehalten werden. Insbesondere umfasst die Whitelist diejenigen Attribute, deren zugeordnete Attribut-Werte für eine weitere Verarbeitung benötigt werden und im Vorfeld entsprechend dem Datenschutz abgeklärt wurden. Bei diesem Ansatz ist das Problem die Handhabbarkeit für einen Nutzer des minimierten Datensatzes. Oft stellt sich erst während der folgenden Verarbeitung des Datensatzes heraus, dass deutlich mehr Attribute bzw. ihre zugeordneten Attribut-Werte für die Verarbeitung benötigt werden als beim Erstellen der Whitelist angenommen. In der Praxis führt dies zu unspezifischen Fehlermeldungen und langwieriger Fehlersuche, auch weil die nicht in der Whitelist definierten Attribute dem Nutzer nicht bekannt sind. Damit leidet die Benutzerfreundlichkeit dieser datenschutzrechtlich zu bevorzugenden Methode erheblich.
  • Es ist daher die Aufgabe der vorliegenden Erfindung, ein Verfahren bereitzustellen, das eine dynamische und flexible Datenminimierung basierend auf Whitelisting ermöglicht.
  • Die Aufgabe wird gelöst durch ein Verfahren zur dynamischen Datenminimierung eines Datensatzes zur Weitergabe des minimierten Datensatzes von einer Zentralinstanz nach außerhalb der Zentralinstanz, durch eine Datenminimierungsvorrichtung zur Datenminimierung eines Datensatzes, durch ein Computerprogrammprodukt und durch ein computerlesbares Speichermedium gemäß den unabhängigen Ansprüchen. Vorteilhafte Weiterbildungen sind in den abhängigen Ansprüchen und in der folgenden Beschreibung aufgeführt.
  • Nachstehend wird die erfindungsgemäße Lösung der Aufgabe sowohl in Bezug auf die beanspruchten Vorrichtungen als auch in Bezug auf das beanspruchte Verfahren beschrieben. Hierbei erwähnte Merkmale, Vorteile oder alternative Ausführungsformen sind ebenso auch auf die anderen beanspruchten Gegenstände zu übertragen und umgekehrt. Mit anderen Worten können die gegenständlichen Ansprüche (die beispielsweise auf eine Vorrichtung gerichtet sind) auch mit den Merkmalen, die in Zusammenhang mit einem Verfahren beschrieben oder beansprucht sind, weitergebildet sein. Die entsprechenden funktionalen Merkmale des Verfahrens werden dabei durch entsprechende gegenständliche Module ausgebildet.
  • Die Erfindung betrifft ein computerimplementiertes Verfahren zur dynamischen Datenminimierung eines Datensatzes zur Weitergabe des minimierten Datensatzes von einer Zentralinstanz nach außerhalb der Zentralinstanz, wobei der Datensatz eine zweite Menge einzelner Attribute umfasst. Das Verfahren weist einen Verfahrensschritt eines ersten Bereitstellens einer Whitelist auf. Dabei umfasst die Whitelist eine erste Menge an Attributen, wobei die erste Menge an Attributen eine Teilmenge der zweiten Menge an Attributen ist. Dabei umfasst der minimierte Datensatz die erste Menge an Attributen. Das Verfahren weist weiter einen Verfahrensschritt eines ersten Bestimmens einer Attributliste auf, wobei die Attributliste eine dritte Menge an Attributen umfasst. Die dritte Menge an Attributen umfasst wenigstens das Komplement der ersten Menge an Attributen in Bezug auf die zweite Menge an Attributen. Das Verfahren weist weiter einen Verfahrensschritt eines zweiten Bereitstellens der Attributliste durch die Zentralinstanz zur Verwendung außerhalb der Zentralinstanz auf.
  • Insbesondere wird der Datensatz von der Zentralinstanz verwaltet. Insbesondere kann der Datensatz ein medizinischer Datensatz sein. Insbesondere kann der Datensatz Patienteninformationen umfassen. Insbesondere kann der Datensatz Informationen und/oder Parameter zur Aufnahme eines medizinischen Bildes umfassen. Insbesondere kann der Datensatz im DICOM Standard vorliegen. Insbesondere kann der Datensatz in einer Electronic Health Record (EHR) oder Electronic Medical Record (EMR) etc. vorliegen. Insbesondere umfasst der Datensatz die zweite Menge an Attributen. Ein Attribut umfasst eine Bezeichnung für eine Eigenschaft von in dem Datensatz gespeicherten Daten. Insbesondere kann ein Attribut beispielsweise eine Eigenschaft von personenbezogenen Daten bezeichnen, wie beispielsweise ,Patientenname`, ,Geburtsdatum`, ,Vorerkrankungen‘, etc. Insbesondere kann ein Attribut auch Eigenschaften einer Messung zur Erfassung der Daten des Datensatzes bezeichnen, wie beispielsweise ,Aufnahmezeit‘, ,Messprotokoll‘, etc. Insbesondere kann ein Attribut die entsprechende Eigenschaft auch in codierter Form bezeichnen. Insbesondere kann die zweite Menge kein, ein, oder mehr als ein Attribut umfassen. Insbesondere kann der minimierte Datensatz ein Teil des Datensatzes sein. Alternativ kann der minimierte Datensatz dem Datensatz entsprechen.
  • Der Verfahrensschritt des ersten Bereitstellens der Whitelist und des zweiten Bereitstellens der Attributliste erfolgt insbesondere mittels einer Schnittstelle. Die Schnittstelle ist insbesondere Teil einer Datenminimierungsvorrichtung. Das erste Bestimmen der Attributliste wird insbesondere von einer Recheneinheit ausgeführt. Insbesondere ist die Recheneinheit Teil der Datenminimierungsvorrichtung. Insbesondere umfasst die Datenminimierungsvorrichtung die Zentralinstanz. Insbesondere kann die Zentralinstanz die Schnittstelle und/oder die Recheneinheit umfassen.
  • Insbesondere kann „Weitergabe nach außerhalb der Zentralinstanz“ bedeuten, dass der minimierte Datensatz mit der Schnittstelle zum Download für einen Nutzer und/oder eine Verarbeitungsinstanz bereitgestellt wird. Insbesondere kann es auch bedeuten, dass der minimierte Datensatz in eine Cloud geladen wird und so für den Nutzer und/oder die Verarbeitungsinstanz zu Verfügung steht. Der Nutzer kann insbesondere eine Person sein.
  • Insbesondere kann „außerhalb der Zentralinstanz“ bei dem Nutzer und/oder der Verarbeitungsinstanz bedeuten. Mit anderen Worten kann die Attributliste und/oder der minimierte Datensatz von der Zentralinstanz beispielsweise mittels eines Downloads oder über eine Cloud an den Nutzer und/oder die Verarbeitungsinstanz weitergegeben werden. Insbesondere kann der Nutzer und/oder die Verarbeitungsinstanz Daten, welche von dem minimierten Datensatz umfasst werden, für eine Verarbeitung der Daten bzw. des minimierten Datensatzes nutzen. Insbesondere kann der Nutzer und/oder die Verarbeitungsinstanz die Attribute außerhalb der Zentralinstanz verwenden.
  • Insbesondere bedeutet „zur Verwendung“, dass der Nutzer und/oder die Verarbeitungsinstanz beispielsweise einen Entscheidungsprozess, eine Aktualisierung des Verfahrens oder der Whitelist, etc. basierend auf der Attributliste ausführt.
  • Die Whitelist kann insbesondere von dem Nutzer und/oder der Verarbeitungsinstanz bereitgestellt werden. Insbesondere kann die Whitelist von dem Nutzer und/oder der Verarbeitungsinstanz erstellt werden und mittels der Schnittstelle von der Zentralinstanz empfangen werden. Insbesondere definiert der Nutzer und/oder die Verarbeitungsinstanz eine erste Menge an Attributen in der Whitelist, welche er für die Verarbeitung des minimierten Datensatzes benötigt. Mit anderen Worten kann der Datensatz basierend auf der Whitelist minimiert werden.
  • Alternativ kann die Whitelist intern innerhalb der Zentralinstanz bereitgestellt werden. Insbesondere kann die Zentralinstanz eine oder mehr Whitelists bereitstellen. Insbesondere kann aus den mehreren Whitelists die Whitelist ausgewählt werden, mit welcher der Datensatz derart minimiert wird, dass der minimierte Datensatz für eine Verarbeitung geeignet ist. Insbesondere kann die für eine spezielle Verarbeitung des minimierten Datensatzes erstellte Whitelist ausgewählt und innerhalb der Zentralinstanz bereitgestellt werden.
  • Insbesondere umfasst die Whitelist die erste Menge an Attributen. Mit anderen Worten umfasst die Attributliste die Attribute der ersten Menge an Attributen. Insbesondere ist die erste Menge an Attributen eine Teilmenge der zweiten Menge an Attributen. Insbesondere kann die erste Menge an Attributen kein, ein oder mehr als ein Attribut umfassen. Insbesondere kann die erste Menge an Attributen maximal alle Attribute aus der zweiten Menge an Attributen umfassen. Insbesondere sind die Attribute der ersten Menge an Attributen solche Attribute, die für die Verarbeitung des minimierten Datensatzes durch den Nutzer und/oder die Verarbeitungsinstanz notwendig sind. Insbesondere umfasst der minimierte Datensatz die erste Menge an Attributen.
  • Insbesondere können die Attribute der ersten Menge an Attributen auf Konformität mit einem für den Nutzer und oder die Verarbeitungsinstanz und/oder die Zentralinstanz geltenden Datenschutzgesetz bzw. Datenschutzrichtlinien geprüft werden.
  • Im Verfahrensschritt des ersten Bestimmens wird die Attributliste bestimmt. Insbesondere umfasst die Attributliste die dritte Menge an Attributen. Mit anderen Worten umfasst die Attributliste die Attribute der dritten Menge an Attributen.
  • Insbesondere ist die dritte Menge an Attributen wenigstens das Komplement der ersten Menge an Attributen in Bezug auf die zweite Menge an Attributen. Insbesondere kann die dritte Menge an Attributen auch Attribute umfassen, die von der ersten Menge an Attributen umfasst werden. Insbesondere kann die dritte Menge an Attributen auch Attribute umfassen, die nicht von der ersten und/oder zweiten Menge an Attributen umfasst werden. Insbesondere umfasst die dritte Menge an Attributen wenigstens die Attribute der zweiten Menge an Attributen, die nicht von der ersten Menge an Attributen umfasst werden. Mit anderen Worten umfasst somit die Attributliste wenigstens die Attribute des Datensatzes, die nicht bereits von der Whitelist umfasst werden. Insbesondere kann die dritte Menge an Attributen kein, ein oder mehr als ein Attribut umfassen.
  • Insbesondere kann die dritte Menge an Attribut genau das Komplement der ersten Menge an Attributen in Bezug auf die zweite Menge an Attributen sein. Mit anderen Worten umfasst die dritte Menge an Attributen dann genau die Attribute aus der zweiten Menge an Attributen, die nicht von der ersten Menge an Attributen umfasst werden. Mit anderen Worten umfasst somit die Attributliste die Attribute des Datensatzes, die nicht bereits von der Whitelist umfasst werden. Insbesondere kann die dritte Menge an Attributen kein, ein oder mehr als ein Attribut umfassen.
  • Die Attributliste wird im Schritt des zweiten Bereitstellens der Attributliste mittels der Schnittstelle für eine Verwendung außerhalb der Zentralinstanz bereitgestellt. Insbesondere kann die Attributliste dem Nutzer und/oder der Verarbeitungsinstanz bereitgestellt werden. Mit anderen Worten wird die Attributliste an den Nutzer und/oder die Verarbeitungsinstanz weitergegeben. Insbesondere kann der Nutzer und/oder die Verarbeitungsinstanz die Attributliste empfangen. Insbesondere kann der Nutzer und/oder die Verarbeitungsinstanz von dem Nutzer und/oder der Verarbeitungsinstanz, der die Whitelist erstellt hat, verschieden sein. Insbesondere kann der gleiche Nutzer und/oder die gleich Verarbeitungsinstanz die Whitelist erstellen und die Attributliste empfangen. Insbesondere erhält der Nutzer und/oder die Verarbeitungsinstanz mittels der Attributliste Informationen, welche Eigenschaften der Daten des Datensatzes zusätzlich zu den durch die Attribute der ersten Menge definierten Eigenschaften, zur Verfügung stehen.
  • Insbesondere bedeutet „dynamische“ Datenminimierung, dass dem Nutzer Informationen bereitgestellt werden, welche es ihm ermöglichen, die Datenminimierung an seine Bedürfnisse anzupassen. Insbesondere kann der Nutzer mit dem Wissen aus der Attributliste die Datenminimierung dynamisch an die Verarbeitung des minimierten Datensatzes anpassen.
  • Die Erfinder haben erkannt, dass mittels der Attributliste der Nutzer und/oder die Verarbeitungsinstanz darüber informiert werden kann, welche Attribute zusätzlich zu den in der Whitelist definierten Attributen zur Verfügung stehen. Außerdem haben die Erfinder erkannt, dass das Bereitstellen der Attributliste keine Probleme hinsichtlich des Datenschutzes mit sich bringt, da die Attributliste in Form der Attribute lediglich Informationen beinhaltet, über welche Eigenschaften bzw. Daten des Datensatzes Informationen vorliegen. Die Attributliste beinhaltet keine Informationen über einen Wert einer solchen Eigenschaft. Beispielsweise kann die Attributliste das Attribut ,Patientenname‘ enthalten. Folglich weiß der Nutzer, dass Informationen über den Patientennamen in dem Datensatz vorliegen. Allerdings bekommt er mittels der Attributliste keine Informationen, wie der Patientenname lautet. Aus dem minimierten Datensatz, den der Nutzer empfängt, werden die Informationen über zusätzliche Attribute, nicht in der Whitelist genannte Attribute, durch Anwendung der Whitelist herausgefiltert. Ohne die Attributliste wüsste der Nutzer nicht, welche Attribute noch zur Verfügung stehen.
  • Die Erfinder haben außerdem erkannt, dass durch das Bereitstellen der Attributliste der Nutzer und/oder die Verarbeitungsinstanz bei der Ausführung der technischen Aufgabe des dynamischen Datenminimierung unterstützt wird. Insbesondere kann der Nutzer und/oder die Verarbeitungsinstanz durch die in der Attributliste bereitgestellten Informationen die Datenminimierung dynamisch an eine weiterführende Aufgabe für den minimierten Datensatz anpassen. Die Erfinder haben außerdem erkannt, dass das Verfahren insbesondere im medizinischen Umfeld Vorteile mit sich bringt. Medizinische Datensätze liegen überwiegend in einem strukturierten Dateiformat wie dem DICOM Standard vor. Das heißt die Datensätze umfassen bereits Attribut-Wert-Paare und ein Ausführen des beschriebenen Verfahrens kann direkt auf den medizinischen Datensätzen erfolgen. Außerdem umfassen medizinische Datensätze einen großen Anteil an sensiblen, personenbezogenen Daten, weshalb eine zuverlässige Datenminimierung unerlässlich ist. Da immer neue Applikationen zur Anwendung auf die medizinischen Datensätze auf den Markt kommen und bestehende Anwendungen erweitert bzw. verbessert werden, ist es notwendig, die Datenminimierung dynamisch anzupassen, ohne Gefahr zu laufen, die geltenden Datenschutzrichtlinien zu verletzen. Die Erfinder haben erkannt, dass mit dem beschriebenen Verfahren, diese Aufgaben bzw. Anforderungen in vorteilhafter Weise gelöst bzw. erfüllt werden können.
  • Nach einem Aspekt der Erfindung umfasst die Whitelist für jedes Attribut der ersten Menge an Attributen wenigstens eine Regel. Außerdem ist jedem Attribut der zweiten Menge an Attributen ein Attribut-Wert zugeordnet. Das Verfahren umfasst weiter den Verfahrensschritt des ersten Anwendens der Regeln der Whitelist auf die Attribut-Werte der Attribute der ersten Menge an Attributen, derart dass für jedes Attribut der zweiten Menge an Attributen ein modifizierter Attribut-Wert bestimmt wird. Das Verfahren umfasst weiter einen Verfahrensschritt eines zweiten Bestimmens des minimierten Datensatzes, wobei der minimierte Datensatz die erste Menge an Attributen umfasst, wobei der minimierte Datensatz für jedes Attribut der ersten Menge der Attribute den modifizierten Attribut-Wert umfasst. Außerdem umfasst das Verfahren einen Verfahrensschritt eines dritten Bereitstellens des minimierten Datensatzes durch die Zentralinstanz zur Verwendung außerhalb der Zentralinstanz.
  • Jedem Attribut der zweiten Menge ist ein Attribut-Wert zugeordnet. Mit anderen Worten bildet jedes Attribut der zweiten Menge mit dem entsprechenden Attribut-Wert ein Attribut-Wert-Paar. Insbesondere umfasst der Datensatz Attribut-Wert-Paare, wobei die Attribute dieser Attribut-Wert-Paare von der zweiten Menge an Attributen umfasst werden. Der Attribut-Wert gibt den Wert für die durch das entsprechende Attribut definierte Eigenschaft des Datensatzes an. Beispielsweise umfasst der Attribut-Wert des Attributs ,Geburtsdatum` das tatsächliche Geburtsdatum eines Patienten, dem der Datensatz zugeordnet ist oder der Attribut-Wert zu dem Attribut ,Aufnahmezeit‘ umfasst die Zeit in ,ms' die eine Aufnahme, der der Datensatz zugeordnet ist, gedauert hat.
  • Jedem Attribut der ersten Menge ist eine Regel zugeordnet. Mit anderen Worten bilden jeweils ein Attribut der ersten Menge und eine Regel ein Attribut-Regel-Paar. Insbesondere ist jedes Attribut der ersten Menge an Attributen auch von der zweiten Menge an Attributen umfasst. Insbesondere kann somit jedem Attribut der ersten Menge der Attribut-Wert gemäß des Attribut-Wert-Paares der zweiten Menge zugeordnet werden. Eine Regel beschreibt, wie der Attribut-Wert des entsprechenden, in der Whitelist definierten Attributes an außerhalb der Zentralinstanz weitergegeben werden soll und/oder darf. Insbesondere können die Regeln die Datenschutzbestimmungen erfüllen. Insbesondere kann eine Regel beispielsweise vorgeben, ob ein Attribut-Wert unverändert, pseudonymisiert, verschlüsselt, und/oder gar nicht weitergegeben werden soll. Die Regeln können beispielsweise an die Bedürfnisse des Nutzers zur Verarbeitung des Datensatzes und/oder durch Datenschutzrichtlinien vorbestimmt sein.
  • In dem Verfahrensschritt des ersten Anwendens der Regeln der Whitelist auf die Attribut-Werte der Attribute der ersten Menge an Attributen, werden die Attribut-Werte entsprechend der Regel beispielsweise nicht verändert, pseudonymisiert, verschlüsselt und/oder gelöscht. Durch Anwenden der entsprechenden Regel wird für jedes Attribut der ersten Menge an Attributen ein modifizierter Attribut-Wert bestimmt. Insbesondere bildet jedes Attribut der ersten Menge an Attributen mit dem modifizierten Attribut-Wert ein modifiziertes Attribut-Wert-Paar.
  • Basierend auf dem modifizierten Attribut-Wert-Paar wird im Verfahrensschritt des zweiten Bestimmens der minimierte Datensatz bestimmt. Insbesondere umfasst der minimierte Datensatz die modifizierten Attribut-Wert-Paare. Mit anderen Worten umfasst der minimierte Datensatz die Attribute der ersten Menge an Attributen und die zugehörigen modifizierten Attribut-Werte.
  • Insbesondere kann der minimierte Datensatz den Datenschutzrichtlinien entsprechen. Insbesondere kann der minimierte Datensatz nur die Attribute bzw. modifizierten Attribut-WertePaare umfassen, die für die Verarbeitung des minimierten Datensatzes notwendig sind. Insbesondere können die modifizierten Attribut-Werte gemäß der Datenschutzrichtlinien modifiziert sein.
  • Im Verfahrensschritt des dritten Bereitstellens wird der minimierte Datensatz zur Verwendung außerhalb der Zentralinstanz bereitgestellt. Mit anderen Worten wird der minimierte Datensatz zur Verarbeitung der Daten des minimierten Datensatzes bereitgestellt. Insbesondere kann der minimierte Datensatz dem Nutzer und/oder der Verarbeitungsinstanz bereitgestellt werden. Insbesondere kann das Bereitstellen des minimierten Datensatzes durch eine Schnittstelle erfolgen. Insbesondere kann das Bereitstellen beispielsweise ein Bereitstellen des minimierten Datensatzes zum Download und/oder in einer Cloud sein.
  • Die Erfinder haben erkannt, dass durch das Anwenden von Regeln auf die Attribut-Werte ein Einhalten von Datenschutzrichtlinien sichergestellt werden kann. Außerdem haben die Erfinder erkannt, dass abhängig von dem jeweiligen Attribut der ersten Menge an Attributen eine für das Attribut spezifische Regel aufgestellt werden kann. Insbesondere kann somit verhindert werden, dass entweder alle Attribut-Werte pseudonymisiert oder nicht weitergegeben werden oder dass die Datenschutzrichtlinien für einige Attribut-Werte nicht eingehalten werden, um genügend Informationen für die Verarbeitung des minimierten Datensatzes bereitzustellen.
  • Gemäß einem Aspekt der Erfindung werden die Verfahrensschritte in einer Schleife ausgeführt, wobei die Schleife wenigstens einen Schleifendurchlauf umfasst. Dabei weist der Datensatz mehrere einzelne Dateien auf. Dabei werden die Verfahrensschritte für die einzelnen Dateien in der Schleife ausgeführt, derart, dass in jedem Schleifendurchlauf eine Datei minimiert wird. Dabei wird in jedem Schleifendurchlauf die Attributliste auf die Datei des Schleifendurchlaufs angepasst.
  • Der Datensatz weist mehrere einzelne Dateien auf. Dabei kann jede Datei des Datensatzes wie ein eigener Datensatz behandelt werden. Insbesondere kann jeder Verfahrensschritt für jede Datei wie oben für den Datensatz beschrieben ausgeführt werden.
  • Insbesondere können die Dateien bei verschiedenen Schleifendurchläufen paarweise verschieden sein. Mit anderen Worten können in jedem Schleifendurchlauf die Verfahrensschritte für eine andere Datei ausgeführt werden. Insbesondere wird bei jedem Schleifendurchlauf eine Datei minimiert. Insbesondere können die Attribute der zweiten Menge an Attributen bei den Dateien zumindest teilweise verschieden sein.
  • Alternativ kann eine Datei mehrere Schleifendurchläufe durchlaufen.
  • Insbesondere kann die Attributliste in einem Schleifendurchlauf derart angepasst werden, dass die Attributliste alle Attribute aus den Attributlisten der vorherigen Schleifendurchläufe umfasst.
  • Insbesondere können Attributlisten aus verschiedenen Schleifendurchläufen verglichen werden. Insbesondere können auf diese Weise Änderungen bei den Attributen der Dateien beobachtet und/oder analysiert werden. Insbesondere kann durch Vergleichen der aktualisierten Attributlisten erkannt werden, wenn ein neues Attribut bei einer Datei hinzugefügt wurde.
  • Die Erfinder haben erkannt, dass durch Anpassen der Attributliste der Nutzer Informationen über Veränderungen bei den Attributen in den Dateien erhält. Die Erfinder haben erkannt, dass diese Informationen das Anpassen der Datenminimierung verbessern.
  • Nach einem Aspekt der Erfindung umfasst die Attributliste für jedes Attribut einer ersten Teilmenge der dritten Menge an Attributen einen Marker, der angibt, ob das jeweilige Attribut in einem vorhergehenden Schleifendurchlauf bereits von der dritten Menge an Attributen umfasst wurde.
  • Mit anderen Worten wird jedes Attribut in der Attributliste, welches bereits von einer Attributliste, die bei einem vorherigen Schleifendurchlauf bereitgestellt wurde, umfasst wurde, mit einem Marker versehen. Die Menge der mit einem Marker versehenen Attribute bildet die erste Teilmenge der dritten Menge an Attributen des aktuellen Schleifendurchlaufes. Die Marker markieren die Attribute, die der Nutzer bereits kennt. Mit anderen Worten markieren die Marker die Attribute der dritten Menge an Attributen, die dem Nutzer bereits in einem vorherigen Schleifendurchlauf in Form einer Attributliste bereitgestellt wurden.
  • Alternativ können alle anderen Attribute mit einem Marker versehen sein und die Attribute der ersten Teilmenge nicht markiert werden.
  • Alternativ können alle Attribute markiert werden. Dabei hängt der Marker davon ab, ob das entsprechende Attribut von der ersten Teilmenge umfasst ist oder nicht.
  • Der Marker kann beispielsweise ein Wert sein, der den zu markierenden Attributen zugeordnet wird. Dieser Wert kann beispielsweise ,0' oder ,1' sein. Alternativ kann der Wert ,True‘ oder ,False‘ sein. Alternativ kann die Attributliste zwei Unterlisten umfassen. In einer der Unterlisten sind die markierten Attribute aufgelistet. In der anderen Unterliste sind alle anderen Attribute der dritten Menge an Attributen aufgelistet.
  • Die Erfinder haben erkannt, dass das Markieren der bereits bekannten Attribute das Anpassen der Datenminimierung beschleunigen und vereinfachen kann. Insbesondere werden bereits bekannte Attribute nicht mehrfach geprüft, ob sie für das Anpassen der Datenminimierung geeignet sind.
  • Nach einem weiteren Aspekt der Erfindung umfasst die Attributliste für jedes Attribut einer zweiten Teilmenge der dritten Menge an Attributen einen Marker, der angibt, ob das jeweilige Attribut in der ersten Menge enthalten ist.
  • Mit anderen Worten gibt der Marker an, ob ein Attribut der dritten Menge an Attributen von der Whitelist umfasst ist.
  • Der Marker kann analog zu der obigen Beschreibung des Markers ausgeführt sein.
  • Insbesondere können der Marker, der die Attribute der ersten Teilmenge markiert, und der Marker, der die Attribute der zweiten Teilmenge markiert, identisch sein. Alternativ können die beiden Marker verschieden sein.
  • Alternativ können alle anderen Attribute, die nicht Teil der ersten und/oder zweiten Teilmenge sind, mit einem Marker versehen werden und die Attribute der ersten und/oder zweiten Teilmenge nicht markiert werden.
  • Alternativ können alle Attribute markiert werden. Die Markierung ist dabei verschieden für Attribute, die von der ersten und/oder zweiten Teilmenge umfasst werden und für die restlichen Attribute der ersten Menge an Attributen.
  • Die Erfinder haben erkannt, dass das Markieren der bereits in der Whitelist umfassten Attribute das Anpassen der Datenminimierung beschleunigt und vereinfacht. Insbesondere ist für den Nutzer und/oder die Verarbeitungsinstanz direkt ersichtlich, welche Attribute er nicht mehr zum Anpassend er Datenminimierung in Betracht ziehen muss.
  • Gemäß einem weiteren Aspekt der Erfindung umfasst die Attributliste für jedes Attribut der dritten Menge an Attributen einen Häufigkeitswert. Der Häufigkeitswert beschreibt die Auftritts-Häufigkeit des Attributes in dem Datensatz.
  • Insbesondere kann der Häufigkeitswert für ein Attribut die Auftritts-Häufigkeit des Attributes in der zweiten Menge an Attributen des Datensatzes beschreiben.
  • Insbesondere kann das Auftreten eines Attributes in mehreren Dateien des Datensatzes sukzessive in der Schleife gezählt werden. Insbesondere kann jede Datei eine zweite Menge an Attributen umfassen. Die Attributliste kann während Durchlaufens der Schleife über die Dateien sukzessive erweitert werden. Für bereits von der Attributliste umfassten Attribute wird bei einem erneuten Auftreten des Attributes in der zweiten Menge der Häufigkeitswert um eins erhöht.
  • Insbesondere kann der Häufigkeits-Wert eines Attributes eine natürliche Zahl umfassen, welche die Häufigkeit des Auftretens des Attributes in der Menge an Datensätzen beschreibt.
  • Die Erfinder haben erkannt, dass aus der Häufigkeit des Auftretens eines Attributes seine Wichtigkeit bzw. sein Einfluss auf den Datensatz abgeleitet werden kann. Folglich ist der Häufigkeitswert ein weiterer Faktor, welcher zum Anpassen der Datenminimierung herangezogen werden kann.
  • Nach einem weiteren Aspekt der Erfindung umfasst das Verfahren weiter einen Verfahrensschritt eines dritten Bestimmens einer aktualisierten Whitelist basierend auf der Attributliste, insbesondere auf Grundlage der Anzahl der Attribute in der Attributliste und/oder einer Nutzereingabe in Bezug auf ein Attribut und/oder einer Regel in Bezug auf die Attributliste.
  • Insbesondere kann der Schritt des dritten Bestimmens der aktualisierten Whitelist in dem oben beschriebenen Verfahren nach dem Bereitstellen der Attributliste ausgeführt werden.
  • Insbesondere kann dem dritten Bestimmen der aktualisierten Whitelist ein Prüfschritt vorausgehen. Insbesondere kann in diesem Prüfschritt geprüft werden, ob die Whitelist aktualisiert werden soll. Wenn in dem Prüfschritt die Prüfung positiv ist, kann der Verfahrensschritt des dritten Bestimmens der aktualisierten Whitelist ausgeführt werden.
  • Insbesondere kann der Verfahrensschritt des dritten Bestimmens der aktualisierten Whitelist in jedem Schleifendurchlauf ausgeführt werden, wenn das Verfahren in der Schleife durchgeführt wird.
  • Alternativ kann der Verfahrensschritt des dritten Bestimmens der aktualisierten Whitelist nicht in jedem Schleifendurchlauf ausgeführt werden, wenn das Verfahren in der Schleife durchgeführt wird. Insbesondere kann das Ausführen des dritten Bestimmens der aktualisierten Whitelist bei einem Schleifendurchlauf manuell und/oder automatisiert und/oder getriggert initiiert werden. Insbesondere wird nach dem dritten Bestimmen der aktualisierten Whitelist in den folgenden Schleifendurchläufen die aktualisierte Whitelist als Whitelist bereitgestellt.
  • Insbesondere ersetzt die aktualisierte Whitelist die Whitelist. Insbesondere kann im Folgenden mit dem Begriff Whitelist die aktualisierte Whitelist oder die Whitelist gemeint sein.
  • Insbesondere kann das Anpassen der Datenminimierung durch das Bestimmen der aktualisierten Whitelist erfolgen. Insbesondere kann das Bestimmen der aktualisierten Whitelist ein Anpassen der Whitelist sein. Insbesondere kann die Whitelist derart angepasst werden, dass die erste Menge an Attributen durch ein oder mehr Attribute ergänzt wird. Insbesondere wird die Whitelist mit der Intention aktualisiert, dass der minimierte Datensatz besser für die Verarbeitung durch den Nutzer und/oder die Verarbeitungsinstanz geeignet ist.
  • Insbesondere kann das dritte Bestimmen der aktualisierten Whitelist auf Grundlage verschiedener Faktoren ausgeführt werden. Mit anderen Worten kann das dritte Bestimmen der aktualisierten Whitelist durch verschiedene Faktoren initiiert werden. Mit anderen Worten kann das dritte Bestimmen der aktualisierten Whitelist durch verschiedene Faktoren getriggert werden.
  • Insbesondere kann ein Häufigkeitswert eines Attributes das dritte Bestimmen der aktualisierten Whitelist bei einem Überschreiten eines vordefinierten Schwellwertes initiierten bzw. triggern. Mit anderen Worten kann, wenn ein Häufigkeitswert eines Attributs in der Attributliste den Schwellwert überschreitet, der Prüfschritt ausgelöst werden. Insbesondere kann der Schwellwert für jedes Attribut der Attributliste individuell festgelegt sein. In diesem Prüfschritt kann geprüft werden, ob ein Attribut, im Speziellen das Attribut, dessen Häufigkeitswert den Prüfschritt initiiert hat, in die Whitelist aufgenommen werden soll. Ist dies der Fall, wird der Verfahrensschritt des dritten Bestimmens der aktualisierten Whitelist ausgeführt.
  • Insbesondere können bereits markierte Attribute als Initiator bzw. Trigger für den Prüfschritt ausgeschlossen werden. Insbesondere kann dafür der Marker der ersten und/oder zweiten Teilmenge dienen.
  • Insbesondere kann die Anzahl der Attribute in der Attributliste ein Initiator bzw. Trigger für das dritte Bestimmen der aktualisierten Whitelist sein. Insbesondere kann die Anzahl der Attribute in der Attributliste ein Initiator bzw. ein Trigger für den Prüfschritt sein.
  • Insbesondere kann das dritte Bestimmen der aktualisierten Whitelist durch eine Nutzereingabe initiiert bzw. getriggert werden. Mit anderen Worten kann der Nutzer jederzeit die Whitelist aktualisieren bzw. das dritte Bestimmen der aktualisierten Whitelist initiieren.
  • Insbesondere kann das dritte Bestimmen der aktualisierten Whitelist in Abhängigkeit einer Regel in Bezug auf die Attributliste erfolgen.
  • Insbesondere kann das dritte Bestimmen beliebig oft ausgeführt werden. Insbesondere kann derart die Whitelist iterativ angepasst bzw. aktualisiert werden.
  • Die Erfinder haben erkannt, dass die Attributliste als Basis zum Aktualisieren der Whitelist dienen kann. Insbesondere können so dem Nutzer darüber Informationen bereitgestellt werden, welche möglichen Attribute in die Whitelist aufgenommen werden können. Die Erfinder haben erkannt, dass dieses Wissen das Aktualisieren der Whitelist vereinfacht. Außerdem ermöglicht das Wissen über die zur Verfügung stehenden Attribute anhand der Attributliste dem Nutzer, Attribute, die die Verarbeitung optimieren, der Whitelist hinzuzufügen.
  • Nach einem weiteren Aspekt der Erfindung umfasst das dritte Bestimmen einen Verfahrensschritt eines ersten Aktualisierens der Whitelist, wobei das erste Aktualisieren ein Hinzufügen eines Attributes aus der Attributliste zu der Whitelist umfasst.
  • Insbesondere kann mehr als ein Attribut aus der Attributliste der Whitelist hinzugefügt werden.
  • Die Erfinder haben erkannt, dass die Attributliste als Basis für das Aktualisieren der Whitelist dienen kann. Außerdem haben die Erfinder erkannt, dass durch das Hinzufügen eines geeigneten Attributes aus der Attributliste zu der Whitelist, der mit der aktualisierten Whitelist bestimmte minimierte Datensatz an die Verarbeitung angepasst werden kann.
  • Gemäß einem weiteren Aspekt der Erfindung umfasst das dritte Bestimmen weiter einen Verfahrensschritt eines ersten Entfernens des zu der Whitelist hinzugefügten Attributes aus der Attributliste.
  • Insbesondere kann der Verfahrensschritt des ersten Entfernens nach dem Verfahrensschritt des ersten Aktualisierens durchgeführt werden. Insbesondere kann durch das Entfernen des zu der Whitelist hinzugefügten Attributes aus der Attributliste verhindert werden, dass die Attributliste zu lang und/oder unübersichtlich wird. Insbesondere wird somit nicht aus Versehen zweimal dasselbe Attribut aus der Attributliste der Whitelist hinzugefügt.
  • Die Erfinder haben erkannt, dass durch Entfernen des hinzugefügten Attributes aus der Attributliste eine Übersichtlichkeit der Attributliste beibehalten wird. Außerdem haben die Erfinder erkannt, dass somit ein doppeltes bzw. redundantes Speichern von Attributen vermieden werden kann. Insbesondere kann so Speicherplatz gespart werden. Außerdem ist somit die bereitgestellte Attributliste kleiner bzw. umfasst weniger Attribute. Insbesondere müssen somit weniger Daten übertragen werden.
  • Nach einem weiteren Aspekt der Erfindung wird das dritte Bestimmen der aktualisierten Whitelist durch einen Trigger initiiert manuell ausgeführt.
  • Insbesondere kann der Trigger dem Nutzer ein Trigger-Signal ausgeben, welches angibt, dass ein Prüfschritt ausgeführt werden soll. Insbesondere ist der Nutzer bei diesem Aspekt der Erfindung eine Person. In dem Prüfschritt kann der Nutzer entscheiden, ob die Whitelist aktualisiert werden soll. Insbesondere kann das Trigger-Signal optisch und/oder akustisch sein. Alternativ kann das Trigger-Signal beispielsweise eine Mail sein, die an den Nutzer versendet wird. Alternativ kann das Trigger-Signal ein Pop-Up Fenster sein, welches auf dem Bildschirm des Nutzers erscheint.
  • Insbesondere kann der Trigger anwendungs- und/oder nutzerspezifisch ausgestaltet sein. Insbesondere kann der Trigger abhängig von dem Häufigkeitswert und/oder der Anzahl der Attribute in der Attributliste und/oder einer Nutzereingabe in Bezug auf ein Attribut und/oder einer Regel in Bezug auf die Attributliste ausgegeben werden. Insbesondere kann der Trigger zeitgesteuert sein.
  • Insbesondere wird das dritte Bestimmen der Whitelist manuell durch den Nutzer ausgeführt. Insbesondere kann der Nutzer basierend auf der Attributliste entscheiden, welche oder welches Attribut von der Attributliste in die Whitelist bzw. die erste Menge an Attributen aufgenommen werden soll. Insbesondere kann der Nutzer als Unterstützung bei der Entscheidung den Häufigkeitswert eines Attributes und/oder den Marker eines Attributes heranziehen. Insbesondere kann der Nutzer für jedes Attribut, das in die Whitelist aufgenommen werden soll, eine Regel bestimmen. Insbesondere kann der Nutzer das Attribut-Regel-Paar zu der Whitelist hinzufügen.
  • Insbesondere kann der Nutzer jedes Attribut, das in die Whitelist aufgenommen wird, aus der Attributliste löschen.
  • Die Erfinder haben erkannt, dass durch Anwenden eines Triggers ein regelmäßiges und/oder anwendungsspezifisches Durchführen eines Prüfschrittes zur Aktualisierung der Whitelist sichergestellt werden kann. Insbesondere haben die Erfinder erkannt, dass der Trigger je nach Anwendung spezifisch ausgestaltet sein kann. Außerdem haben die Erfinder erkannt, dass anhand der Attributliste ein manuelles drittes Bestimmen der aktualisierten Whitelist möglich ist.
  • Nach einem weiteren Aspekt der Erfindung ist der Trigger zeitgesteuert.
  • Mit anderen Worten löst der Trigger nach Verstreichen einer bestimmten Zeitspanne aus. Insbesondere kann der Trigger nach dem Verstreichen der Zeitspanne das Trigger-Signal auslösen bzw. initiieren. Insbesondere kann die Zeitspanne beginnend bei dem letzten bzw. vorherigen Trigger-Signal gemessen werden. Insbesondere kann die Zeitspanne beginnend bei einer einem Zeitpunkt einer letzten Aktualisierung der Whitelist gemessen werden. Insbesondere kann die Zeitspanne beginnend ab einem letzten Ereignis gemessen werden. Das Ereignis kann beispielsweise das letzte Auslösen des Triggers und/oder das letzte Aktualisieren der Whitelist und/oder ein letztes Überprüfen der Attributliste während des Prüfschrittes sein. Insbesondere kann die Messung der Zeitspanne manuell oder automatisiert gestartet werden.
  • Insbesondere kann der Trigger den Prüfschritt initiieren. Der Verfahrensschritt des dritten Bestimmens der aktualisierten Whitelist kann wiederrum abhängig von dem Ergebnis des Prüfschrittes ausgeführt werden. Insbesondere kann der Verfahrensschritt des dritten Bestimmens der aktualisierten Whitelist bei einem positiven Ergebnis des Prüfschrittes ausgeführt werden.
  • Die Erfinder haben erkannt, dass ein zeitgesteuerter Trigger einfach zu realisieren ist. Insbesondere kann mit einem zeitgesteuerten Trigger sichergestellt werden, dass in regelmäßigen Abständen ein Prüfschritt zum Prüfen, ob das dritte Bestimmen der aktualisierten Whitelist ausgeführt werden soll, durchgeführt wird.
  • Nach einem weiteren Aspekt der Erfindung ist der Trigger durch die Anzahl der Attribute in der dritten Menge an Attributen gesteuert.
  • Mit anderen Worten ist der Trigger durch die Anzahl der Attribute in der Attributliste gesteuert. Insbesondere kann der Trigger auslösen, wenn sich die Anzahl der Attribute in der dritten Menge an Attributen ändert. Insbesondere kann der Trigger auslösen, wenn die Anzahl der Attribute in der dritten Menge an Attributen größer wird. Insbesondere kann das Auslösen des Triggers mit dem Trigger-Signal verbunden sein. Mit anderen Worten kann das Auslösen des Triggers eine Ausgabe des Trigger-Signals initiieren.
  • Insbesondere kann der Trigger den Prüfschritt initiieren, in welchem geprüft wird, ob der Verfahrensschritt des dritten Bestimmens der aktualisierten Whitelist ausgeführt werden soll.
  • Die Erfinder haben erkannt, dass ein Steuern des Triggers durch die Anzahl an Attributen in der dritten Menge an Attributen sicherstellt, dass bei einer Veränderung der Attributliste ein Prüfschritt, ob die Whitelist aktualisiert werden sollte, durchgeführt wird. Außerdem haben die Erfinder erkannt, dass folglich nur dann ein Prüfschritt durchgeführt wird, wenn sich etwas verändert hat. Insbesondere wird so vermieden, dass das dritte Bestimmen basierend auf derselben bzw. unveränderten Attributliste wiederholt ausgeführt wird. Die Erfinder haben erkannt, dass so Arbeitszeit bzw. Rechenzeit gespart werden kann, da der Prüfschritt bzw. der Verfahrensschritt des dritten Bestimmens nur dann ausgeführt wird, wenn sich die Attributliste geändert hat.
  • Nach einem weiteren möglichen Aspekt der Erfindung ist der Trigger durch den Häufigkeitswert gesteuert.
  • Insbesondere kann der Trigger ausgelöst werden, wenn der Häufigkeitswert eines Attributs einen vordefinierten Schwellwert überschreitet. Der Schwellwert kann von dem Nutzer festgelegt werden. Alternativ kann der Schwellwert applikationsabhängig vordefiniert sein. Insbesondere kann der Schwellwert für jedes Attribut in der Attributliste individuell festgelegt bzw. vordefiniert sein.
  • Die Erfinder haben erkannt, dass mittels des Häufigkeitswertes eine Aussage über die Wichtigkeit eines Attributes getroffen werden kann. Außerdem haben die Erfinder erkannt, dass der Prüfschritt ausgeführt werden soll, wenn ein Attribut in der Attributliste als wichtig eingestuft wird. Insbesondere soll der Prüfschritt mit einem Trigger initiiert werden. Das Einstufen erfolgt dann anhand des Schwellwertes des Häufigkeitswertes.
  • Nach einem weiteren möglichen Aspekt der Erfindung kann der Trigger zeitgesteuert und/oder durch die Anzahl der Attribute gesteuert und/oder durch den Häufigkeitswert gesteuert sein.
  • Mit anderen Worten kann der Trigger aus einer Kombination der oben beschriebenen Trigger gesteuert sein. Insbesondere kann eine Messung der Zeitspanne welche vergehen muss, bevor der zeitgesteuerte Trigger ausgelöst wird, bei einem Auslösen eines Triggers auf Grund der Anzahl der Attribute und/oder der Häufigkeitswertes neu starten.
  • Die Erfinder haben erkannt, dass durch eine Kombination der Trigger zum einen sichergestellt werden kann, dass in regelmäßigen Zeit-Abständen ein Prüfschritt durchgeführt wird. Zum anderen kann auf Veränderungen der Attributliste mit Hilfe der Trigger, welche durch die Anzahl der Attribute und den Häufigkeitswert gesteuert werden, zeitnah reagiert werden.
  • Gemäß einem alternativen Aspekt der Erfindung erfolgt das dritte Bestimmen der aktualisierten Whitelist automatisiert. Dabei wird das dritte Bestimmen der aktualisierten Whitelist durch den Trigger initiiert.
  • Der Trigger kann gemäß einem oben beschriebenen Aspekt ausgebildet sein. Das dritte Bestimmen wird in diesem Aspekt der Erfindung durch die Verarbeitungsinstanz ausgeführt. Insbesondere kann das Trigger-Signal ein Datensignal für die Verarbeitungsinstanz sein. Insbesondere kann das Datensignal den Prüfschritt durch die Verarbeitungsinstanz initiieren. Insbesondere kann in dem Prüfschritt geprüft werden, ob der Verfahrensschritt des dritten Bestimmens der aktualisierten Whitelist ausgeführt werden soll.
  • Insbesondere kann das Aktualisieren der Whitelist ohne Nutzeraktion erfolgen. Insbesondere kann mit der Verarbeitungsinstanz automatisiert die Attributliste analysiert werden und in einem Prüfschritt automatisiert entschieden werden, ob der Verfahrensschritt des dritten Bestimmens einer aktualisierten Whitelist durchgeführt werden soll. Insbesondere erfolgt dann auch das dritte Bestimmen automatisiert.
  • Die Erfinder haben erkannt, dass bei einem automatisierten dritten Bestimmen der Whitelist, welches durch einen Trigger ausgelöst wird, keine Nutzeraktion erforderlich ist. Die Erfinder haben erkannt, dass dies bei einer Beschleunigung von Arbeitsabläufen unterstützt.
  • Nach einem weiteren Aspekt der Erfindung umfasst das automatisierte dritte Bestimmen der aktualisierten Whitelist weiter einen Verfahrensschritt eines vierten Bestimmens, ob ein Attribut in der Attributliste einem Nutzer und/oder einer Verarbeitungsinstanz unbekannt ist. Außerdem umfasst das Verfahren einen Verfahrensschritt eines fünften Bestimmens eines Datenformates des Attribut-Wertes des unbekannten Attributes. Außerdem umfasst das Verfahren einen Verfahrensschritt eines ersten Prüfens, ob das Datenformat des Attribut-Wertes des unbekannten Attributes mit einem Datenformat eines Attribut-Wertes eines übereinstimmenden Attributes in der ersten Menge an Attributen übereinstimmt.
  • Insbesondere erfolgt das dritte Bestimmen der aktualisierten Whitelist in diesem Aspekt der Erfindung automatisiert. Insbesondere kann das vierte Bestimmen anhand einer Klassifizierung erfolgen. Insbesondere kann jedes Attribut der Attributliste als „bekannt“ oder „unbekannt“ klassifiziert werden. Ein als unbekannt klassifiziertes Attribut wird im Folgenden als unbekanntes Attribut bezeichnet. Insbesondere kann nur ein Teil der Attribute der ersten Menge an Attributen klassifiziert werden. Insbesondere kann minimal ein Attribut der ersten Menge an Attributen klassifiziert werden. Insbesondere können maximal alle Attribute der ersten Menge an Attributen klassifiziert werden. Insbesondere kann eine beliebige Anzahl an Attributen der ersten Menge an Attributen zwischen den beiden Extremen klassifiziert werden.
  • Insbesondere kann das vierte Bestimmen mittels des oder der Marker erfolgen. Insbesondere wird ein Attribut mit dem Marker, welcher Attribute in der Attributliste markiert, die in der Whitelist umfasst sind, als bekannt angenommen bzw. klassifiziert. Insbesondere werden Attribute als bekannt klassifiziert, die mit dem Marker markiert wurden, welcher Attribute markiert, die bereits in einer vorherigen Attributliste umfasst waren und/oder die von dem Nutzer und/oder der Verarbeitungsinstanz in dem Prüfschritt geprüft wurden. Insbesondere werden Attribute ohne Marker als unbekannt klassifiziert.
  • Alternativ kann ein Attribut, das nur in der Attributliste und nicht in der Whitelist umfasst ist, als unbekannt klassifiziert werden.
  • Alternativ kann ein Attribut der Attributliste, das in einem vorherigen Schleifendurchlauf bereits einmal als unbekannt klassifiziert wurde, als bekannt klassifiziert werden.
  • Insbesondere kann mehr als ein Attribut als unbekannt klassifiziert werden.
  • Alternativ können alle Attribute der Attributliste, die bereits in einem vorherigen Schleifendurchlauf als unbekannt klassifiziert wurden, von einer weiteren Liste umfasst sein. Alle Attribute in der Attributliste, die nicht von dieser Liste und/oder der Whitelist umfasst werden, werden als unbekannt angenommen bzw. klassifiziert.
  • Insbesondere ist jeder Attribut-Wert in einem Datenformat erfasst. Insbesondere kann ein Datenformat beispielsweise ein ,String‘, ein ,Datumswert‘, ein ,Geldwert‘, ein ,numerischer Wert‘, etc. sein.
  • Insbesondere kann für jedes unbekannte Attribut in dem Datensatz der entsprechende Attribut-Wert anhand der Attribut-Wert-Paare des Datensatzes zugeordnet werden. Insbesondere kann das Datenformat dieses Attribut-Wertes in dem Schritt des fünften Bestimmens bestimmt werden.
  • Insbesondere kann in dem Verfahrensschritt des ersten Prüfens geprüft werden, ob in der ersten Menge an Attributen ein Attribut ist, dessen zugeordneter Attribut-Wert dasselbe Datenformat aufweist, wie das unbekannte Attribut. Mit anderen Worten wird beim ersten Prüfen überprüft, ob ein Attribut-Wert eines Attributs aus der Whitelist dasselbe Datenformat wie der Attribut-Wert des unbekannten Attributes aufweist. Ein Solches Attribut wird als übereinstimmendes Attribut bezeichnet.
  • Die Erfinder haben erkannt, dass anhand des Datenformates eines Attribut-Wertes eines unbekannten Attributes, ein automatisiertes drittes Bestimmen der aktualisierten Whitelist ausgeführt werden kann. Die Erfinder haben erkannt, dass anhand des Datenformates automatisiert überprüft werden kann, ob bereits ein Attribut mit einem Attribut-Wert desselben Datenformates in der Whitelist umfasst ist.
  • Nach einem weiteren Aspekt der Erfindung umfasst das Verfahren weiter einen Verfahrensschritt eines zweiten Aktualisierens der Whitelist durch Hinzufügen des unbekannten Attributes und der Regel des übereinstimmenden Attributes, falls das erste Prüfen des Datenformates eine Übereinstimmung ergaben hat.
  • Jedem Attribut der ersten Menge an Attributen ist in der Whitelist eine Regel zugeordnet. Die Regel wird beim ersten Anwenden auf den dem Attribut zugeordneten Attribut-Wert angewendet, um den minimierten Datensatz im Verfahrensschritt des zweiten Bestimmens zu bestimmen. Die Regel kann insbesondere für ein Datenformat spezifisch sein. Insbesondere kann dann die Regel des übereinstimmenden Attributes aus der Whitelist auch auf den Attribut-Wert des unbekannten Attributes angewendet werden. Insbesondere kann dann die Regel des übereinstimmenden Attributes auch dem unbekannten Attribut zugeordnet werden. Dieses Attribut-Regel-Paar kann dann der Whitelist hinzugefügt werden.
  • Insbesondere kann das Datenformat von mehr als einem Attribut-Wert, der einem Attribut der ersten Menge an Attributen zugeordnet ist, mit dem Datenformat des Attribut-Wertes des unbekannten Attributes übereinstimmen. Mit anderen Worten können für ein unbekanntes Attribut mehrere übereinstimmende Attribute bestimmt werden. Insbesondere können die Regeln der mehreren übereinstimmenden Attribute gleich sein. Dann kann wie oben beschrieben vorgegangen werden.
  • Alternativ können wenigstens zwei verschiedene Regeln den übereinstimmenden Attributen zugeordnet sein. Diese verschiedenen Regeln können einem Nutzer vorgelegt werden, der entscheidet, welche der Regeln dem unbekannten Attribut zugeordnet werden soll. Alternativ können die Regeln klassifiziert sein. Die Klassen dieser Klassifikation können beispielsweise den Grad der Modifizierung eines Attribut-Wertes durch die Regel beschreiben. Die Klassen können beispielsweise ,unverändert‘, ,pseudonymisiert‘, ,anonymisiert‘, etc. lauten. Beispielsweise umfasst die Klasse ,unverändert‘ Regeln, die einen Attribut-Wert weniger stark modifizieren, als die Klasse ,anonymisiert‘. Insbesondere kann dann anhand dieser Klassifizierung aus den verschiedenen Regeln die Regel herausgesucht werden, die in Bezug auf die Klassen der mehreren Regeln der Klasse mit der stärksten Modifizierung zugeordnet ist. Insbesondere kann diese Regel dem unbekannten Attribut zugeordnet werden. Insbesondere kann das unbekannte Attribut mit dieser Regel zu der Whitelist hinzugefügt werden.
  • Die Erfinder haben erkannt, dass basierend auf den bereits bekannten Regeln ein komplett automatisiertes oder nahezu komplett automatisiertes drittes Bestimmen der aktualisierten Whitelist möglich ist. Außerdem haben die Erfinder erkannt, dass bei einer Auswahl aus mehreren Regeln die Regel mit der stärksten Modifizierung dem unbekannten Attribut zuzuordnen ist. So kann die Gefahr, dass zu viele Informationen weitergegeben werden, minimiert werden.
  • Gemäß einem weiteren Aspekt der Erfindung umfasst das Verfahren weitere Verfahrensschritte, wenn das erste Prüfen des Datenformates keine Übereinstimmung ergeben hat. In diesem Fall umfasst das Verfahren einen Verfahrensschritt eines dritten Aktualisierens der Whitelist, wobei das dritte Aktualisieren manuell ausgeführt wird. Dabei umfasst das manuelle Ausführen das Erstellen einer Regel für das unbekannte Attribut und das Hinzufügen des unbekannten Attributes und der zugehörigen Regel zu der Whitelist.
  • Insbesondere wird bei keiner Übereinstimmung der Datenformate ein manueller Prüfschritt ausgeführt. Insbesondere kann der manuelle Prüfschritt von dem Nutzer ausgeführt werden. Insbesondere kann der Nutzer in dem Prüfschritt entscheiden, ob das unbekannte Attribut zu der Whitelist hinzugefügt werden soll oder nicht.
  • Wenn das unbekannte Attribut nicht hinzugefügt werden soll, werden keine weiteren Schritte vorgenommen. Falls das Verfahren in eine Schleife läuft, beginnt dann der nächste Schleifendurchlauf.
  • Wenn das unbekannte Attribut zu der Whitelist hinzugefügt werden soll, wird der Verfahrensschritt des dritten Aktualisierens der Whitelist ausgeführt. Beim dritten Aktualisieren erstellt der Nutzer zunächst eine Regel für das unbekannte Attribut. Diese Regel ist derart ausgestaltet, dass der Attribut-Wert, wenn die Regel auf ihn angewendet wird, die Datenschutzrichtlinien erfüllt. Im Verfahrensschritt des dritten Aktualisierens der Whitelist fügt der Nutzer dann das unbekannte Attribut und die Regel zu der Whitelist hinzu.
  • Die Erfinder haben erkannt, dass auch bei einem manuellen Aktualisieren der Whitelist der Verfahrensschritt des dritten Bestimmens der aktualisierten Whitelist effizienter ausgeführt werden kann, wenn automatisiert bereits die unbekannten Attribute aus der Attributliste extrahiert werden. So muss der Nutzer die Attributliste nicht mehr händisch nach Veränderungen bzw. neuen Attributen durchsuchen.
  • Nach einem weiteren Aspekt der Erfindung umfasst das Verfahren weiter einen Verfahrensschritt eines zweiten Entfernens des unbekannten Attributes aus der Attributliste.
  • Insbesondere kann das unbekannte Attribut dann aus der Attributliste entfernt werden, wenn es zuvor im Schritt des zweiten Aktualisierens oder des dritten Aktualisierens zu der Whitelist hinzugefügt wurde.
  • Die Erfinder haben erkannt, dass durch Entfernen der Attribute in der Whitelist aus der Attributliste die Übersichtlichkeit der Attributliste verbessert werden kann. Insbesondere kann somit der Prüfschritt beschleunigt und effizienter gestaltet werden, da keine bereits bekannten Attribute in der Attributliste in dem Prüfschritt geprüft werden. Außerdem haben die Erfinder erkannt, dass Speicherplatz gespart werden kann, wenn redundante Informationen gelöscht werden.
  • Nach einem weiteren Aspekt der Erfindung werden die Verfahrensschritte des ersten Anwendens der Regeln, des zweiten Bestimmens des minimierten Datensatzes und des dritten Bereitstellens der minimierten Datensatzes nach Bestätigung der Whitelist und/oder der aktualisierten Whitelist durch einen Nutzer und/oder eine Verarbeitungsinstanz ausgeführt.
  • Insbesondere kann das dritte Bestimmen der aktualisierten Whitelist ausgeführt werden, bevor die Regeln auf die Attribut-Werte der von der Whitelist umfassten Attribute angewendet werden. Insbesondere kann der Schritt des dritten Bestimmens der aktualisierten Whitelist beliebig oft ausgeführt werden. Insbesondere kann der Schritt des dritten Bestimmens der Whitelist in allen oben beschriebenen Aspekten ausgeführt werden. Der Datensatz wird erst dann durch das Anwenden der Regeln minimiert, wenn der Nutzer und/oder die Verarbeitungsinstanz die aktualisierte Whitelist bestätigt. Insbesondere wird somit nur die letzte Version der aktualisierten Whitelist bzw. der Whitelist zum Bestimmen des minimierten Datensatzes angewendet. Mit anderen Worten werden nur Regeln auf die Attribut-Werte der Attribute, die von der letzten Version der aktualisierten Whitelist bzw. der Whitelist umfasst werden, angewendet. Insbesondere kann der Nutzer und/oder die Verarbeitungsinstanz den Verfahrensschritt des dritten Bestimmens der aktualisierten Whitelist auslassen und direkt die Whitelist bestätigen. Insbesondere kann der Nutzer und/oder die Verarbeitungsinstanz basierend auf der Attributliste die aktualisierte Whitelist bzw. die Whitelist bestätigen.
  • Die Erfinder haben erkannt, dass es häufig notwendig ist, die Whitelist iterativ anzupassen bzw. zu aktualisieren. Um Rechenzeit zu sparen, wird der minimierte Datensatz durch das Anwenden der Regeln nur einmal mit der letzten Version der Whitelist bestimmt. Die Erfinder haben erkannt, dass dies zu einer Beschleunigung des Verfahrens und einer Einsparung an Rechenzeit führt.
  • Die Erfindung betrifft außerdem eine Datenminimierungsvorrichtung zur dynamischen Datenminimierung eines Datensatzes zur Weitergabe des minimierten Datensatzes von einer Zentralinstanz nach außerhalb der Zentralinstanz. Dabei umfasst der Datensatz eine zweite Menge einzelner Attribute. Dabei umfasst die Datenminimierungsvorrichtung eine Schnittstelle und eine Recheneinheit. Die Schnittstelle ist zum ersten Bereitstellen einer Whitelist ausgebildet. Dabei umfasst die Whitelist eine erste Menge an Attributen. Dabei ist die erste Menge an Attributen eine Teilmenge der zweiten Menge an Attributen. Dabei umfasst der minimierte Datensatz die erste Menge an Attributen. Die Recheneinheit ist zum ersten Bestimmen einer Attributliste ausgebildet, wobei die Attributliste eine dritte Menge an Attributen umfasst. Dabei umfasst die dritte Menge an Attributen wenigstens das Komplement der ersten Menge an Attributen in Bezug auf die zweite Menge an Attributen. Die Schnittstelle ist weiter zum zweiten Bereitstellen der Attributliste durch die Zentralinstanz zur Verwendung außerhalb der Zentralinstanz ausgebildet.
  • Eine solche Datenminimierungsvorrichtung kann insbesondere dazu ausgebildet sein das zuvor beschriebene Verfahren zum zur dynamischen Datenminimierung eines Datensatzes zur Weitergabe des minimierten Datensatzes von einer Zentralinstanz nach außerhalb der Zentralinstanz und seine Aspekte auszuführen. Die Datenminimierungsvorrichtung ist dazu ausgebildet dieses Verfahren und seine Aspekte auszuführen, indem die Schnittstelle und die Recheneinheit ausgebildet sind, die entsprechenden Verfahrensschritte auszuführen.
  • Die Erfindung betrifft auch ein Computerprogrammprodukt mit einem Computerprogramm sowie ein computerlesbares Medium. Eine weitgehend softwaremäßige Realisierung hat den Vorteil, dass auch schon bisher verwendete Datenminimierungsvorrichtung auf einfache Weise durch ein Software-Update nachgerüstet werden können, um auf die beschriebene Weise zu arbeiten. Ein solches Computerprogrammprodukt kann neben dem Computerprogramm gegebenenfalls zusätzliche Bestandteile wie z. B. eine Dokumentation und/oder zusätzliche Komponenten, sowie Hardware-Komponenten, wie z.B. Hardware-Schlüssel (Dongles etc.) zur Nutzung der Software, umfassen.
  • Insbesondere betrifft die Erfindung auch ein Computerprogrammprodukt mit einem Computerprogramm, welches direkt in einen Speicher einer Datenminimierungsvorrichtung ladbar ist, mit Programmabschnitten, um alle Schritte des Verfahrens zur dynamischen Datenminimierung eines Datensatzes zur Weitergabe des minimierten Datensatzes von einer Zentralinstanz nach außerhalb der Zentralinstanz und seine Aspekte auszuführen, wenn die Programmabschnitte von der Datenminimierungsvorrichtung ausgeführt werden.
  • Insbesondere betrifft die Erfindung ein computerlesbares Speichermedium, auf welchem von einem Bestimmungssystem und/oder einem Trainingssystem lesbare und ausführbare Programmabschnitte gespeichert sind, um alle Schritte des Verfahrens zur dynamischen Datenminimierung eines Datensatzes zur Weitergabe des minimierten Datensatzes von einer Zentralinstanz nach außerhalb der Zentralinstanz und seine Aspekte auszuführen, wenn die Programmabschnitte von der Datenminimierungsvorrichtung ausgeführt werden.
  • Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung werden klarer und verständlicher im Zusammenhang mit folgenden Figuren und ihren Beschreibungen. Dabei sollen die Figuren und Beschreibungen die Erfindung und ihre Ausführungsformen in keiner Weise einschränken. In verschiedenen Figuren sind gleiche Komponenten mit korrespondierenden Bezugszeichen versehen. Die Figuren sind in der Regel nicht maßstabsgetreu.
  • Es zeigen
    • 1 ein Flussdiagramm eines ersten Ausführungsbeispiels des Verfahrens zur dynamischen Datenminimierung eines Datensatzes zur Weitergabe des minimierten Datensatzes von einer Zentralinstanz nach außerhalb der Zentralinstanz,
    • 2 ein Flussdiagramm eines zweiten Ausführungsbeispiels des Verfahrens zur dynamischen Datenminimierung eines Datensatzes zur Weitergabe des minimierten Datensatzes von einer Zentralinstanz nach außerhalb der Zentralinstanz,
    • 3 ein Flussdiagramm eines dritten Ausführungsbeispiels des Verfahrens zur dynamischen Datenminimierung eines Datensatzes zur Weitergabe des minimierten Datensatzes von einer Zentralinstanz nach außerhalb der Zentralinstanz,
    • 4 ein Flussdiagramm eines vierten Ausführungsbeispiels des Verfahrens zur dynamischen Datenminimierung eines Datensatzes zur Weitergabe des minimierten Datensatzes von einer Zentralinstanz nach außerhalb der Zentralinstanz,
    • 5 ein Flussdiagramm eines fünften Ausführungsbeispiels des Verfahrens zur dynamischen Datenminimierung eines Datensatzes zur Weitergabe des minimierten Datensatzes von einer Zentralinstanz nach außerhalb der Zentralinstanz,
    • 6 ein Flussdiagramm eines sechsten Ausführungsbeispiels des Verfahrens zur dynamischen Datenminimierung eines Datensatzes zur Weitergabe des minimierten Datensatzes von einer Zentralinstanz nach außerhalb der Zentralinstanz,
    • 7 ein Flussdiagramm eines siebten Ausführungsbeispiels des Verfahrens zur dynamischen Datenminimierung eines Datensatzes zur Weitergabe des minimierten Datensatzes von einer Zentralinstanz nach außerhalb der Zentralinstanz,
    • 8 ein Flussdiagramm eines ersten Ausführungsbeispiels des Verfahrensschrittes des dritten Bestimmens der aktualisierten Whitelist,
    • 9 ein Flussdiagramm eines zweiten Ausführungsbeispiels des Verfahrensschrittes des dritten Bestimmens der aktualisierten Whitelist,
    • 10 eine Datenminimierungsvorrichtung.
  • 1 zeigt ein Flussdiagramm eines ersten Ausführungsbeispiels des Verfahrens zur dynamischen Datenminimierung eines Datensatzes zur Weitergabe des minimierten Datensatzes von einer Zentralinstanz nach außerhalb der Zentralinstanz.
  • In der Zentralinstanz wird ein Datensatz basierend auf einer Whitelist minimiert. Mit anderen Worten wird basierend auf der Whitelist ein minimierter Datensatz bestimmt. Der Datensatz umfasst eine zweite Menge an Attributen. Jedem Attribut des Datensatzes bzw. der zweiten Menge ist ein Attribut-Wert zugeordnet. Mit anderen Worten beschreibt das Attribut eine Eigenschaft und der Attribut-Wert den Wert dieser Eigenschaft. Typischerweise steht der Datensatz in einem Bezug zu einer medizinischen Untersuchung, einem medizinischen Gerät etc. Typischerweise sind die Attribute der zweiten Menge an Attributen abhängig von diesem Bezug. Mit anderen Worten wird durch diesen Bezug bestimmt, welche Attribute von der zweiten Menge umfasst werden. Die Whitelist umfasst eine erste Menge an Attributen. Mit anderen Worten umfasst die Whitelist die Attribute der ersten Menge an Attributen. Die erste Menge an Attributen ist eine Teilmenge der zweiten Menge an Attributen. Der minimierte Datensatz umfasst die erste Menge an Attributen.
  • In dem Verfahrensschritt des ersten Bereitstellens PROV-1 einer Whitelist, wird eine Whitelist entweder durch einen Nutzer U und/oder eine Verarbeitungsinstanz W und oder intern durch eine Zentralinstanz bereitgestellt. Die Whitelist wird über eine Schnittstelle bereitgestellt.
  • Im Verfahrensschritt des ersten Bestimmens DET-1 einer Attributliste wird basierend auf dem Datensatz und der Whitelist die Attributliste bestimmt. Dabei umfasst die Attributliste eine dritte Menge an Attributen. Mit anderen Worten umfasst die Attributliste die Attribute der dritten Menge an Attributen. Dabei umfasst die Attributliste wenigstens die Attribute aus dem Datensatz bzw. aus der zweiten Menge an Attributen, die nicht von der Whitelist bzw. der ersten Menge an Attributen umfasst sind. Mit anderen Worten umfasst die Attributliste bzw. die dritte Menge an Attributen wenigstens das Komplement der ersten Menge an Attributen in Bezug auf die zweite Menge an Attributen.
  • In dem Verfahrensschritt des zweiten Bereitstellens PROV-2 wird die Attributliste für eine Verwendung außerhalb der Zentralinstanz bereitgestellt. Das Bereitstellen kann über eine Schnittstelle erfolgen. Das Bereitstellen kann beispielsweise in Form eines Downloads und/oder über eine Cloud erfolgen. Außerhalb der Zentralinstanz kann bei einem Nutzer U und/oder einer Verarbeitungsinstanz W sein. Der Nutzer U ist eine Person. Die Verarbeitungsinstanz W ist eine Recheneinheit. Der Nutzer U und/oder die Verarbeitungsinstanz W kann die Attributliste verwenden. Insbesondere werden mittels der Attributliste der Nutzer U und/oder die Verarbeitungsinstanz W darüber informiert, welche Attribute zusätzlich zu den Attributen der Whitelist bzw. der ersten Menge an Attributen in dem Datensatz vorhanden sind. Der Nutzer U und/oder die Verarbeitungsinstanz W haben bis dahin nur Kenntnis über die Attribute der ersten Menge an Attributen. Da keine Attribut-Werte in der Attributliste umfasst sind, gibt es keine datenschutzrechtlichen Bedenken gegen die Attributliste.
  • 2 zeigt ein Flussdiagramm eines zweiten Ausführungsbeispiels des Verfahrens zur dynamischen Datenminimierung eines Datensatzes zur Weitergabe des minimierten Datensatzes von einer Zentralinstanz nach außerhalb der Zentralinstanz.
  • Die Verfahrensschritte des ersten Bereitstellens PROV-1 der Whitelist, des ersten Bestimmens DET-1 der Attributliste und des zweiten Bereitstellens PROV-2 der Attributliste werden analog zu der Beschreibung gemäß 1 ausgeführt.
  • Da jedes Attribut aus der ersten Menge an Attributen auch von der zweiten Menge an Attributen umfasst wird, kann jedem Attribut aus der ersten Menge an Attributen ein Attribut-Wert zugeordnet werden. Die Whitelist umfasst zu jedem Attribut der ersten Liste an Attributen eine Regel. Die Regel besagt, wie der zugeordnete bzw. zugehörige bzw. entsprechende Attribut-Wert modifiziert werden soll, damit er die Datenschutzbedingungen bzw. die Datenschutzrichtlinien erfüllt. Eine solche Regel kann beispielsweise ,nicht weitergeben‘, ,anonymisieren‘, ,pseudonymisieren‘, ,unverändert weitergeben` etc. sein.
  • In dem Verfahrensschritt des ersten Anwendens APP-1 wird die Regel, welche in der Whitelist einem Attribut zugeordnet ist, auf den Attribut-Wert angewendet. Dabei wird der Attribut-Wert dem Attribut aus der Whitelist über den Datensatz zugeordnet. Durch das Anwenden der Regel wird ein modifizierter Attribut-Wert für das Attribut bestimmt. In dem Verfahrensschritt wird jede Regel der Whitelist auf den entsprechenden Attribut-Wert angewendet. Auf diese Weise wird für jedes Attribut in der ersten Menge an Attributen ein modifizierter Attribut-Wert bestimmt.
  • In dem Verfahrensschritt des zweiten Bestimmens DET-2 wird der minimierte Datensatz bestimmt. Der minimierte Datensatz umfasst dabei die erste Menge an Attributen und die zugehörigen modifizierten Attribut-Werte.
  • In dem Verfahrensschritt des dritten Bereitstellens PROV-3 wird der minimierte Datensatz zur Verwendung außerhalb der Zentralinstanz bereitgestellt. Insbesondere wird der minimierte Datensatz dem Nutzer U und/oder der Verarbeitungsinstanz W bereitgestellt. Das Bereitstellen erfolgt über eine Schnittstelle. Der minimierte Datensatz kann als Download und/oder über eine Cloud bereitgestellt werden.
  • In dem gezeigten Ausführungsbeispiel werden die Verfahrensschritte des ersten Anwendens APP-1 der Regeln, der zweiten Bestimmens DET-2 des minimierten Datensatzes und des dritten Bereitstellens PROV-3 des minimierten Datensatzes parallel zu den Verfahrensschritten des ersten Bestimmens DET-1 und des zweiten Bereitstellens PROV-2 ausgeführt.
  • 3 zeigt ein Flussdiagramm eines dritten Ausführungsbeispiels des Verfahrens zur dynamischen Datenminimierung eines Datensatzes zur Weitergabe des minimierten Datensatzes von einer Zentralinstanz nach außerhalb der Zentralinstanz.
  • Die Verfahrensschritte des ersten Bereitstellens PROV-1 der Whitelist, des ersten Bestimmens DET-1 der Attributliste und des zweiten Bereitstellens PROV-2 der Attributliste werden analog zu der Beschreibung gemäß 1 ausgeführt.
  • Die Verfahrensschritte des ersten Anwendens APP-1 der Regeln, des zweiten Bestimmens DET-2 des minimierten Datensatzes DET-2 und des dritten Bereitstellens PROV-3 des minimierten Datensatzes werden analog zu der Beschreibung gemäß 2 ausgeführt.
  • In diesem Ausführungsbeispiel werden die Verfahrensschritte des ersten Anwendens APP-1 der Regeln, des zweiten Bestimmens DET-2 des minimierten Datensatzes und des dritten Bereitstellens PROV-3 des minimierten Datensatzes nach dem zweiten Bereitstellen PROV-2 der Attributliste ausgeführt.
  • Der Nutzer U und/oder die Verarbeitungsinstanz W übergibt nach dem zweiten Bereitstellen PROV-2 der Attributliste ein Signal, dass das Verfahren fortgesetzt werden soll. Mit anderen Worten signalisiert der Nutzer U und/oder die Verarbeitungsinstanz W das Fortsetzen des Verfahrens. Das Signal kann beispielsweise ein Mausklick der Nutzers U und/oder ein Datenstrom der Verarbeitungsinstanz W sein. Das Signal ist in der Figur als dicker Pfeil gekennzeichnet. Wird kein Signal gegeben, wartet das Verfahren nach dem zweiten Bereitstellen PROV-2 der Attributliste solange, bis ein Signal kommt.
  • Alternativ kann das Signal durch den Nutzer U und/oder die Verarbeitungseinheit W wegfallen. Bei der Durchführung des Verfahrens wird dann automatisch nach dem zweiten Bereitstellen PROV-2 der Attributliste der Verfahrensschritt des ersten Anwendens APP-1 der Regeln ausgeführt. Das heißt, die Verfahrensschritt werden ohne Signal von außerhalb der Reihenfolge nach ausgeführt. Dies gilt auch für alle im Folgenden beschriebenen Ausführungsformen.
  • 4 zeigt ein Flussdiagramm eines vierten Ausführungsbeispiels des Verfahrens zur dynamischen Datenminimierung eines Datensatzes zur Weitergabe des minimierten Datensatzes von einer Zentralinstanz nach außerhalb der Zentralinstanz.
  • Die Verfahrensschritte des ersten Bereitstellens PROV-1 der Whitelist, des ersten Bestimmens DET-1 der Attributliste und des zweiten Bereitstellens PROV-2 der Attributliste werden analog zu der Beschreibung gemäß 1 ausgeführt.
  • Die Verfahrensschritte des ersten Anwendens APP-1 der Regeln, des zweiten Bestimmens DET-2 des minimierten Datensatzes DET-2 und des dritten Bereitstellens PROV-3 des minimierten Datensatzes werden analog zu der Beschreibung gemäß 2 ausgeführt.
  • In dem Verfahrensschritt des dritten Bestimmens DET-3 wird basierend auf der Attributliste eine aktualisierte Whitelist bestimmt. Das dritte Bestimmen der aktualisierten Whitelist kann durch den Nutzer U und/oder die Verarbeitungsinstanz W ausgeführt werden. Mit dem Wissen aus der Attributliste, welche Attribute von dem Datensatz zusätzlich zu den Attributen aus der Whitelist umfasst sind, kann die Whitelist aktualisiert werden. In den 8 und 9 werden Ausführungsbeispiele des Verfahrensschrittes des dritten Bestimmens DET-3 der aktualisierten Whitelist genauer beschrieben.
  • Die Verfahrensschritte des ersten Bereitstellens PROV-1 der Whitelist, des ersten Bestimmens DET-1 der Attributliste, des zweiten Bereitstellens PROV-2 der Attributliste und des dritten Bestimmens DET-3 der aktualisierten Whitelist können in einer Schleife mit N Schleifendurchläufen durchgeführt werden. N ist dabei eine natürliche Zahl. N kann insbesondere auch eins sein. Mit anderen Worten kann der Nutzer U und/oder die Verarbeitungsinstanz W iterativ die Whitelist aktualisieren. Bei jedem ersten Bereitstellen PROV-1 der Whitelist wird die aktualisierte Whitelist bereitgestellt.
  • Erst wenn der Nutzer U und/oder die Verarbeitungsinstanz W das Signal gibt, wird die letzte Whitelist zur Minimierung des Datensatzes angewendet. Dadurch kann Rechenzeit gespart werden, da der Datensatz erst dann minimiert wird, wenn der Nutzer U und/oder die Verarbeitungsinstanz W die aktualisierte Whitelist bestätigen, wenn die Whitelist also für eine Verarbeitung des minimierten Datensatzes angepasst ist.
  • Um das dritte Bestimmen DET-3 der aktualisierten Whitelist zu beschleunigen, sind die Attribute, die dem Nutzer U und/oder der Verarbeitungseinheit W bereits bekannt sind mit einem Marker markiert. Derartige Attribute werden bekannte Attribute genannt. Das können beispielsweise Attribute sein, die bereits von der Whitelist umfasst sind und/oder die dem Nutzer U und/oder der Verarbeitungsinstanz W anderweitig bekannt sind. Der Marker kann beispielsweise der Wert ,1' sein, der jedem bereits bekannten Attribut der dritten Menge an Attributen zugeordnet wird. Alle anderen Attribute können nicht oder beispielsweise mit einer ,0' markiert sein. Alternativ können alle anderen Attribute markiert sein, während die bekannten Attribute nicht markiert sind.
  • 5 zeigt ein Flussdiagramm eines fünften Ausführungsbeispiels des Verfahrens zur dynamischen Datenminimierung eines Datensatzes zur Weitergabe des minimierten Datensatzes von einer Zentralinstanz nach außerhalb der Zentralinstanz.
  • Das Verfahren wird im Wesentlichen analog zu dem Ausführungsbeispiel gemäß 3 ausgeführt.
  • Allerdings werden alle Verfahrensschritte in einer Schleife ausgeführt. Die Schleife kann N Schleifendurchläufe umfassen.
  • Die Schleife kann N mal für denselben Datensatz ausgeführt werden. Basierend auf dem minimierten Datensatz und der Attributliste, kann der Nutzer U und/oder die Verarbeitungsinstanz W im Verfahrensschritt des dritten Bestimmens DET-3 eine aktualisierte Whitelist bestimmen, auf deren Basis der minimierte Datensatz des Schleifendurchlaufes bestimmt wird.
  • Alternativ kann der Datensatz wenigstens N einzelne Dateien aufweisen. Dabei werden in jedem einzelnen Schleifendurchlauf die Verfahrensschritte wie für die vorhergehenden Figuren beschrieben für die Datei ausgeführt. Dabei wird im Verfahrensschritt des dritten Bereitstellens PROV-3 in jedem Schleifendurchlauf eine minimierte Datei bereitgestellt. Die minimierte Datei wird wie oben für den Datensatz beschrieben aus der entsprechenden Datei des Schleifendurchlaufes bestimmt.
  • Im Verfahrensschritt des ersten Bestimmens DET-1 der Attributliste wird dabei in jedem Schleifendurchlauf die Attributliste des vorherigen Schleifendurchlaufes aktualisiert. Dabei werden die Attribute in die Attributliste aufgenommen, die von der zweiten Menge an Attributen der Datei des Schleifendurchlaufen umfasst werden, aber bisher nicht in der Attributliste vorgekommen sind. Insbesondere kann die Attributliste für jedes Attribut der dritten Menge an Attributen einen Häufigkeitswert umfassen. Der Häufigkeits-Wert beschreibt die Auftritts-Häufigkeit eines Attributes aus der dritten Menge an Attributen über die Schleifendurchläufe summiert. Jedes Mal, wenn das Attribut in einem Schleifendurchlauf von der ersten Menge an Attributen umfasst wird, wird der Häufigkeitswert des entsprechenden Attributes in der Attributliste um eins erhöht. Außerdem kann jedes Attribut in der Attributliste wie oben beschrieben markiert werden, wenn es bereits in einem vorherigen Schleifendurchlauf von der Attributliste umfasst wurde.
  • 6 zeigt ein Flussdiagramm eines sechsten Ausführungsbeispiels des Verfahrens zur dynamischen Datenminimierung eines Datensatzes zur Weitergabe des minimierten Datensatzes von einer Zentralinstanz nach außerhalb der Zentralinstanz.
  • Das Verfahren wird im Wesentlichen analog zu dem Ausführungsbeispiel gemäß 5 ausgeführt.
  • Nach dem Verfahrensschritt des dritten Bestimmens DET-3 der aktualisierten Whitelist kann der Nutzer U und/oder die Verarbeitungsinstanz W wie in dem Ausführungsbeispiel gemäß 4 entscheiden, ob die Verfahrensschritte des ersten Bereitstellens PROV-1 der Whitelist, des ersten Bestimmens DET-1 der Attributliste, des zweiten Bereitstellens PROV-2 der Attributliste und des dritten Bestimmens DET-3 der aktualisierten Whitelist für die Datei bzw. den Datensatz des Schleifendurchlaufes nochmal ausgeführt werden soll oder ob das Verfahren mit der aktualisierten Whitelist fortgesetzt werden soll.
  • 7 zeigt ein Flussdiagramm eines siebten Ausführungsbeispiels des Verfahrens zur dynamischen Datenminimierung eines Datensatzes zur Weitergabe des minimierten Datensatzes von einer Zentralinstanz nach außerhalb der Zentralinstanz.
  • Die Verfahrensschritte werden wie oben beschrieben ausgeführt. Die Schleife kann entweder für einen Datensatz N mal oder für N Dateien des Datensatzes ausgeführt werden.
  • Der Verfahrensschritt des dritten Bestimmens DET-3 der aktualisierten Whitelist wird nicht in jedem Schleifendurchlauf ausgeführt. Der Verfahrensschritt des dritten Bestimmens DET-3 der aktualisierten Whitelist wird nur dann ausgeführt, wenn der Schritt durch einen Trigger initiiert wird. Der Trigger kann dabei beispielsweise zeitabhängig, abhängig von der Anzahl der Attribute in dem entsprechenden Schleifendurchlauf und/oder abhängig von den Häufigkeitswerten in der Attributliste auslösen. Der Trigger kann insbesondere ein Trigger-Signal auslösen. Das Trigger-Signal kann dem Nutzer U optisch oder akustisch signalisieren, dass ein Prüfschritt ausgeführt werden muss. Alternativ kann das Trigger-Signal ein Datensignal für die Verarbeitungsinstanz W sein, damit diese den Prüfschritt ausführt. In dem Prüfschritt prüft der Nutzer U und/oder die Verarbeitungsinstanz W basierend auf der Attributliste, ob der Verfahrensschritt des dritten Bestimmens DET-3 der aktualisierten Whitelist ausgeführt werden soll. Abhängig von dieser Entscheidung wird entweder mit dem Verfahrensschritt des dritten Bestimmens DET-3 der aktualisierten Whitelist oder mit dem Verfahrensschritt des ersten Anwendens APP-1 der Regeln fortgefahren. Nach dem dritten Bestimmen DET-3 der aktualisierten Whitelist kann durch den Nutzer U und/oder die Verarbeitungsinstanz W signalisiert werden, dass mit dem Verfahrensschritt des ersten Anwendens APP-1 der Regeln fortgefahren werden soll.
  • Alternativ kann analog zu dem Ausführungsbeispiel gemäß 6 nach dem dritten Bestimmen DET-3 der aktualisierten Whitelist eine weitere Entscheidungsschleife eingebaut werden. In der Entscheidungsschleife wird nach dem dritten Bestimmen DET-3 der aktualisierten Whitelist entschieden, ob das Verfahren fortgesetzt werden soll, oder ob die Verfahrensschritte des ersten Bereitstellens PROV-1 der Whitelist, des ersten Bestimmens DET-1 der Attributliste, des zweiten Bereitstellens PROV-2 der Attributliste und des dritten Bestimmens DET-3 der aktualisierten Whitelist in demselben Schleifendurchlauf für dieselbe Datei oder denselben Datensatz nochmal durchgeführt werden sollen.
  • 8 zeigt ein Flussdiagramm eines ersten Ausführungsbeispiels des Verfahrensschrittes des dritten Bestimmens der aktualisierten Whitelist.
  • In dem gezeigten Ausführungsbeispiel umfasst der Verfahrensschritt des dritten Bestimmens DET-3 der aktualisierten Whitelist den Verfahrensschritt des ersten Aktualisierens ACT-1 der Whitelist und den optionalen Verfahrensschritt des ersten Entfernens DEL-1 des zu der Whitelist hinzugefügten Attributes aus der Attributliste.
  • In dem Verfahrensschritt des ersten Aktualisieren ACT-1 wird ein Attribut aus der Attributliste zu der Whitelist hinzugefügt. In dem vorhergehenden Prüfschritt wird von dem Nutzer U und/oder der Verarbeitungsinstanz W entschieden, dass wenigstens ein Attribut aus der Attributliste zu der Whitelist hinzugefügt werden soll. Das wenigstens eine Attribut wird der Whitelist hinzugefügt. Außerdem wird für jedes der Whitelist hinzugefügte Attribut eine Regel hinzugefügt. Diese Regel kann beispielsweise von dem Nutzer U gemäß der Datenschutzrichtlinien bestimmt werden. Alternativ kann die Regel automatisiert von der Verarbeitungsinstanz W bestimmt werden.
  • In dem optionalen Verfahrensschritt des ersten Entfernens DEL-1 wird das wenigstens eine Attribut, das in dem Verfahrensschritt des ersten Aktualisierens ACT-1 der Whitelist zu der Whitelist hinzugefügt wurde, aus der Attributliste gelöscht. Der Verfahrensschritt kann ausgeführt werden, um redundante Informationen in verschiedenen Listen zu vermeiden und dem Nutzer U und/oder der Verarbeitungsinstanz W eine bessere Übersicht zu gewährleisten.
  • Alternativ kann das wenigstens eine Attribut in der Attributliste beibehalten werden und mit einem Marker markiert werden. Der Marker zeigt dem Nutzer U und/oder der Verarbeitungsinstanz W an, dass das Attribut bereits in die Whitelist aufgenommen wurde und nicht nochmals geprüft werden muss.
  • 9 zeigt ein Flussdiagramm eines zweiten Ausführungsbeispiels des Verfahrensschrittes des dritten Bestimmens der aktualisierten Whitelist
  • In diesem Ausführungsbeispiel kann das dritte Bestimmen DET-3 der aktualisierten Whitelist zumindest teilweise automatisiert durch die Verarbeitungsinstanz W ausgeführt werden.
  • In dem Verfahrensschritt des vierten Bestimmens DET-4, wird bestimmt, ob ein Attribut der Attributliste dem Nutzer U und/oder der Verarbeitungsinstanz W unbekannt ist. Dafür kann beispielsweise geprüft werden, ob von der Attributliste wenigstens ein Attribut ohne Marker umfasst ist. Insbesondere sind dafür alle Attribute der Attributliste markiert, die bereits von der Whitelist umfasst sind und die in einem vorherigen Schleifendurchlauf bereits Teil der Attributliste waren. Falls nicht in jedem Schleifendurchlauf der Prüfschritt ausgeführt wird, sind die Attribute, die von der Whitelist umfasst werden, und die Attribute, die bei einem vorherigen Prüfschritt bereits von der Attributliste umfasst waren, markiert. Nicht markierte Attribute werden somit als unbekannt angenommen bzw. klassifiziert.
  • Im Verfahrensschritt des fünften Bestimmens DET-5 eines Datenformates wird das Datenformat des Attribut-Wertes des unbekannten Attributes bestimmt. Dafür wird das unbekannte Attribut in der zweiten Menge an Attributen gesucht. Jedem Attribut der zweiten Menge an Attributen des Datensatzes ist ein Attribut-Wert zugeordnet. Basierend auf dem Datensatz wird das Datenformat des zugehörigen Attribut-Wertes bestimmt. Das Datenformat kann beispielsweise ein Datumsformat, ein Währungsformat, ein numerisches Format, ein String Format etc. sein.
  • In dem Verfahrensschritt des ersten Prüfens CHECK-1 wird überprüft, ob von der Whitelist ein Attribut umfasst ist, welchem mittels des Datensatzes ein Attribut-Wert mit demselben Datenformat zugeordnet werden kann, wie das Datenformat des Attribut-Wertes des unbekannten Attributes. Ein solches Attribut wird als übereinstimmendes Attribut bezeichnet. Insbesondere kann bei dem Prüfen kein ein oder mehr als ein übereinstimmendes Attribut in der Attributliste gefunden werden. Jedem Attribut in der Whitelist ist eine Regel zugeordnet, mit welcher der zugehörige Attribut-Wert derart modifiziert wird, dass der Attribut-Wert den Datenschutzrichtlinien entspricht.
  • Im Anschluss an den Verfahrensschritt des ersten Prüfens CHECK-1 wird abhängig von dem Ergebnis dieses Prüfschrittes weiter verfahren.
  • Wird kein übereinstimmendes Attribut gefunden, wird mit dem Verfahrensschritt, der sich an den Verfahrensschritt des dritten Bestimmens DET-3 der aktualisierten Whitelist anschließt, fortgefahren.
  • Wird ein übereinstimmendes Attribut in der Attributliste bestimmt, kann das unbekannte Attribut mit der Regel des übereinstimmenden Attributes aus der Whitelist, zu der Whitelist hinzugefügt werden. Dies wird in dem Schritt des zweiten Aktualisierens ACT-2 der Whitelist ausgeführt.
  • Wird mehr als ein übereinstimmendes Attribut bestimmt, wobei den übereinstimmenden Attributen in der Whitelist verschiedene Regeln zugeordnet sind, wird die Regel gemeinsam mit dem unbekannten Attribut der Whitelist hinzugefügt, die den Attribut-Wert am meisten modifiziert. Dafür können die Regeln in Klassen eingeteilt werden, welche den Grad der Modifizierung des Attribut-Wertes beschreiben. Wenig modifiziert bedeutet dabei, dass durch Anwenden der Regel der Attribut-Wert nicht verändert wird. Stark modifiziert bedeutet, dass der Attribut-Wert durch Anwenden der Regel gelöscht wird. Wird die Regel mit der stärksten Modifikation dem unbekannten Attribut zugeordnet, kann das Risiko, dass zu viele Daten nach außerhalb der Zentralinstanz weitergegeben werden reduziert werden. Alternativ können die verschiedenen Regeln dem Nutzer U vorgelegt werden, der manuell entscheidet, welche der Regeln dem unbekannten Attribut zugeordnet werden soll. Das unbekannte Attribut und die derart zugeordnete Regel werden in dem Verfahrensschritt des zweiten Aktualisierens ACT-2 der Whitelist hinzugefügt. Insbesondere wird das unbekannte Attribut der ersten Menge hinzugefügt. Der Verfahrensschritt des zweiten Aktualisierens ACT-2 der Whitelist kann für mehr als ein unbekanntes Attribut ausgeführt werden.
  • Analog zu der Beschreibung des Verfahrensschritt des ersten Entfernens DEL-1 gemäß 8 kann das unbekannte Attribut im Verfahrensschritt des zweiten Entfernens DEL-2 aus der Attributliste bzw. der dritten Menge an Attributen entfernt werden. Dieser Verfahrensschritt kann optional ausgeführt werden.
  • Die Verfahrensschritte des vierten Bestimmens DET-4, des fünften Bestimmens DET-5 des Datenformates, des ersten Prüfens CHECK-1, des zweiten Aktualisierens ACT-2 der Whitelist und gegebenenfalls des zweiten Entfernens DEL-2 des unbekannten Attributes können insbesondere von der Verarbeitungsinstanz W ausgeführt werden.
  • Wird im Verfahrensschritt des ersten Prüfens CHECK-1 kein übereinstimmendes Attribut gefunden, wird der Verfahrensschritt des dritten Aktualisierens ACT-3 der Whitelist und gegebenenfalls des dritten Entfernens DEL-3 des unbekannten Attributes manuell von dem Nutzer U ausgeführt.
  • Dabei bestimmt der Nutzer U im Verfahrensschritt des dritten Aktualisierens ACT-3 der Whitelist eine Regel für das unbekannte Attribut. Anschließend wird das unbekannte Attribut gemeinsam mit der Regel zu der Whitelist hinzugefügt. Insbesondere wird das unbekannte Attribut zu der ersten Menge hinzugefügt.
  • In dem optionalen Verfahrensschritt des dritten Entfernens DEL-3 des unbekannten Attributes kann analog zu den Verfahrensschritten des ersten Entfernens DEL-1 und des zweiten Entfernens DEL-2 das unbekannte Attribut aus der Attributliste bzw. aus der dritten Menge an Attributen entfernt werden.
  • 10 zeigt eine Datenminimierungsvorrichtung 10 zur dynamischen Datenminimierung eines Datensatzes zur Weitergabe des minimierten Datensatzes von einer Zentralinstanz nach außerhalb der Zentralinstanz. Die hier gezeigte Datenminimierungsvorrichtung 10 ist ausgelegt, ein erfindungsgemäßes Verfahren auszuführen. Diese Datenminimierungsvorrichtung 10 umfasst eine Schnittstelle 11, eine Recheneinheit 12, eine Speichereinheit 13 sowie eine Ein- und Ausgabeeinheit 14. Dabei kann die Schnittstelle 11 insbesondere weitere Schnittstellen bzw. Unterschnittstellen umfassen. Weiterhin kann die Recheneinheit 12 insbesondere weitere Recheneinheiten bzw. Unterrecheneinheiten umfassen.
  • Bei der Datenminimierungsvorrichtung 10 kann es sich insbesondere um einen Computer, einen Mikrocontroller oder um einen integrierten Schaltkreis handeln. Alternativ kann es sich bei der Datenminimierungsvorrichtung 10 um einen realen oder virtuellen Verbund von Computern handeln (ein englischer Fachbegriff für einen realen Verbund ist „Cluster“, ein englischer Fachbegriff für einen virtuellen Verbund ist „Cloud“).
  • Bei einer Schnittstelle 11 kann es sich um eine Hardware- oder Softwareschnittstelle handeln (beispielsweise PCI-Bus, USB oder Firewire). Eine Recheneinheit 12 kann Hardware-Elemente oder Software-Elemente aufweisen, beispielsweise einen Mikroprozessor oder ein sogenanntes FPGA (englisches Akronym für „Field Programmable Gate Array“). Eine Speichereinheit 13 kann als nicht dauerhafte Arbeitsspeicher (Random Access Memory, kurz RAM) oder als dauerhafter Massenspeicher (Festplatte, USB-Stick, SD-Karte, Solid State Disk) realisiert sein. Eine Ein- und Ausgabeeinheit 14 umfasst wenigstens eine Eingabeeinheit und/oder wenigstens eine Ausgabeeinheit.
    Eine Eingabeeinheit 14 kann insbesondere mittels einer Tastatur und/oder einer Maus realisiert sein. Bei einer Ausgabeeinheit 14 kann es sich insbesondere um einen Bildschirm handeln. Es kann sich alternativ auch um einen Drucker handeln, der dazu ausgebildet ist, Bilddaten auszudrucken.

Claims (21)

  1. Computerimplementiertes Verfahren zur dynamischen Datenminimierung eines Datensatzes zur Weitergabe des minimierten Datensatzes von einer Zentralinstanz nach außerhalb der Zentralinstanz, wobei der Datensatz eine zweite Menge einzelner Attribute umfasst, wobei das Verfahren folgende Verfahrensschritte aufweist: - Erstes Bereitstellen (PROV-1) einer Whitelist, wobei die Whitelist eine erste Menge an Attributen umfasst, wobei die erste Menge an Attributen eine Teilmenge der zweiten Menge an Attributen ist, wobei der minimierte Datensatz die erste Menge an Attributen umfasst, - Erstes Bestimmen (DET-1) einer Attributliste, wobei die Attributliste eine dritte Menge an Attributen umfasst, wobei die dritte Menge an Attributen wenigstens das Komplement der ersten Menge an Attributen in Bezug auf die zweite Menge an Attributen umfasst, - Zweites Bereitstellen (PROV-2) der Attributliste durch die Zentralinstanz zur Verwendung außerhalb der Zentralinstanz.
  2. Verfahren nach Anspruch 1 weiter umfassend folgende Verfahrensschritte, wobei die Whitelist für jedes Attribut der ersten Menge an Attributen wenigstens eine Regel umfasst, wobei jedem Attribut der zweiten Menge an Attributen ein Attribut-Wert zugeordnet ist: - Erstes Anwenden (APP-1) der Regeln der Whitelist auf die Attribut-Werte der Attribute der ersten Menge an Attributen, derart, dass für jedes Attribut der ersten Menge an Attributen ein modifizierter Attribut-Wert bestimmt wird, - Zweites Bestimmen (DET-2) des minimierten Datensatzes, wobei der minimierte Datensatz die erste Menge an Attributen umfasst, wobei der minimierte Datensatz für jedes Attribut der ersten Menge der Attribute den modifizierten Attribut-Wert umfasst - Drittes Bereitstellen (PROV-3) des minimierten Datensatzes durch die Zentralinstanz zur Verwendung außerhalb der Zentralinstanz.
  3. Verfahren nach einem der vorherigen Ansprüche, wobei die Verfahrensschritte in einer Schleife ausgeführt werden, wobei die Schleife wenigstens einen Schleifendurchlauf umfasst, wobei der Datensatz mehrere einzelne Dateien aufweist, wobei die Verfahrensschritte für die einzelnen Dateien in der Schleife ausgeführt werden, derart, dass in jedem Schleifendurchlauf eine Datei minimiert wird, wobei in jedem Schleifendurchlauf die Attributliste auf die Datei des Schleifendurchlaufs angepasst wird.
  4. Verfahren nach Anspruch 3, wobei die Attributliste für jedes Attribut einer ersten Teilmenge der dritten Menge an Attributen einen Marker umfasst, der angibt, ob das jeweilige Attribut in einem vorhergehenden Schleifendurchlauf bereits von der dritten Menge an Attributen umfasst wurde.
  5. Verfahren nach einem der vorherigen Ansprüche, wobei die Attributliste für jedes Attribut einer zweiten Teilmenge der dritten Menge an Attributen einen Marker umfasst, der angibt, ob das jeweilige Attribut in der ersten Menge enthalten ist.
  6. Verfahren nach einem der vorherigen Ansprüche, wobei die Attributliste für jedes Attribut der dritten Menge an Attributen einen Häufigkeitswert umfasst, wobei der Häufigkeitswert eines Attributes eine Auftritts-Häufigkeit des Attributes in dem Datensatz beschreibt.
  7. Verfahren nach einem der vorhergehenden Ansprüche, weiter umfassend folgenden Verfahrensschritt: - Drittes Bestimmen (DET-3) einer aktualisierten Whitelist basierend auf der Attributliste, insbesondere auf Grundlage der Anzahl der Attribute in der Attributliste und/oder einer Nutzereingabe in Bezug auf ein Attribut in der Attributliste und/oder einer Regel in Bezug auf die Attributliste.
  8. Verfahren nach Anspruch 7, wobei das dritte Bestimmen (DET-3) folgenden Verfahrensschritt umfasst: - Erstes Aktualisieren (ACT-1) der Whitelist, wobei das erste Aktualisieren (ACT-1) ein Hinzufügen eines Attributes aus der Attributliste zu der Whitelist umfasst.
  9. Verfahren nach Anspruch 8, wobei das dritte Bestimmen (DET-3) weiter folgenden Verfahrensschritt umfasst: - Erstes Entfernen (DEL-1) des zu der Whitelist hinzugefügten Attributes aus der Attributliste.
  10. Verfahren nach einem der Ansprüche 7 bis 9, wobei das dritte Bestimmen (DET-3) der aktualisierten Whitelist durch einen Trigger (T) initiiert manuell ausgeführt wird.
  11. Verfahren nach Anspruch 10, wobei der Trigger (T) zeitgesteuert ist.
  12. Verfahren nach einem der Ansprüche 10 oder 11, wobei der Trigger (T) durch die Anzahl der Attribute in der dritten Menge an Attributen gesteuert ist.
  13. Verfahren nach einem der Ansprüche 7 in Kombination mit einem der Ansprüche 11 oder 12, wobei das dritte Bestimmen (DET-3) der aktualisierten Whitelist automatisiert erfolgt, wobei das dritte Bestimmen (DET-3) der aktualisierten Whitelist durch den Trigger (T) initiiert wird.
  14. Verfahren nach Anspruch 13, wobei das dritte Bestimmen (DET-3) der aktualisierten Whitelist folgende Verfahrensschritte umfasst: - Viertes Bestimmen (DET-4), ob ein Attribut in der Attributliste einem Nutzer (U) und/oder einer Verarbeitungsinstanz (W) unbekannt ist, - Fünftes Bestimmen (DET-5) eines Datenformates des Attribut-Wertes des unbekannten Attributes, - Erstes Prüfen (CHECK-1), ob das Datenformat des Attribut-Wertes des unbekannten Attributes mit einem Datenformat eines Attribut-Wertes eines übereinstimmenden Attributes der ersten Menge an Attributen übereinstimmt.
  15. Verfahren nach Anspruch 14 in Kombination mit Anspruch 2, weiter umfassend folgenden Verfahrensschritt, falls das erste Prüfen (CHECK-1) des Datenformates eine Übereinstimmung ergeben hat: - Zweites Aktualisieren (ACT-2) der Whitelist durch Hinzufügen des unbekannten Attributes und der Regel des übereinstimmenden Attributes.
  16. Verfahren nach Anspruch 14 oder 15 weiter umfassend folgenden Verfahrensschritt, falls das erste Prüfen (CHECK-1) des Datenformates keine Übereinstimmung ergeben hat: - Drittes Aktualisieren (ACT-3) der Whitelist, wobei das dritte Aktualisieren (ACT-3) manuell ausgeführt wird, wobei das manuelle Ausführen ein Erstellen einer Regel für das unbekannte Attribut umfasst, wobei das dritte Aktualisieren (ACT-3) das Hinzufügen des unbekannten Attributes und der zugehörigen Regel zu der Whitelist umfasst.
  17. Verfahren nach einem der Ansprüche 14 bis 16, weiter umfassend folgenden Verfahrensschritt: - Zweites Entfernen (DEL-2) des unbekannten Attributes aus der Attributliste.
  18. Verfahren nach einem der vorhergehenden Ansprüche in Kombination mit Anspruch 2, wobei die Verfahrensschritte gemäß Anspruch 2 nach Bestätigung der Whitelist und/oder der aktualisierten Whitelist durch einen Nutzer (U) und/oder eine Verarbeitungsinstanz (W) ausgeführt werden.
  19. Datenminimierungsvorrichtung (10) zur dynamischen Datenminimierung eines Datensatzes zur Weitergabe des minimierten Datensatzes von einer Zentralinstanz nach außerhalb der Zentralinstanz, wobei der Datensatz eine zweite Menge einzelner Attribute umfasst, wobei die Datenminimierungsvorrichtung eine Schnittstelle (11) und eine Recheneinheit (12) umfasst, wobei die Schnittstelle (11) zum Ersten Bereitstellen (PROV-1) einer Whitelist ausgebildet ist, wobei die Whitelist eine erste Menge an Attributen umfasst, wobei die erste Menge an Attributen eine Teilmenge der zweiten Menge an Attributen ist, wobei der minimierte Datensatz die erste Menge an Attributen umfasst, wobei die Recheneinheit (12) zum Ersten Bestimmen (DET-1) einer Attributliste ausgebildet ist, wobei die Attributliste eine dritte Menge an Attributen umfasst, wobei die dritte Menge an Attributen wenigstens das Komplement der ersten Menge an Attributen in Bezug auf die zweite Menge an Attributen umfasst, wobei die Schnittstelle (11) weiter zum Zweiten Bereitstellen (PROV-2) der Attributliste durch die Zentralinstanz zur Verwendung außerhalb der Zentralinstanz ausgebildet ist.
  20. Computerprogrammprodukt mit einem Computerprogramm, welches direkt in einen Speicher (13) einer Datenminimierungsvorrichtung (10) ladbar ist, mit Programmabschnitten, um alle Schritte des Verfahrens nach einem der Ansprüche 1 bis 18 auszuführen, wenn die Programmabschnitte von der Datenminimierungsvorrichtung (10) ausgeführt werden
  21. Computerlesbares Speichermedium, auf welchem von einer Datenminimierungsvorrichtung (10) lesbare und ausführbare Programmabschnitte gespeichert sind, um alle Schritte des Verfahrens nach einem der Ansprüche 1 bis 18 auszuführen, wenn die Programmabschnitte von der Datenminimierungsvorrichtung (10) ausgeführt werden.
DE102020203951.8A 2020-03-26 2020-03-26 Verfahren zur dynamischen Datenminimierung eines Datensatzes mittels Whitelisting Pending DE102020203951A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102020203951.8A DE102020203951A1 (de) 2020-03-26 2020-03-26 Verfahren zur dynamischen Datenminimierung eines Datensatzes mittels Whitelisting
US17/202,431 US11663221B2 (en) 2020-03-26 2021-03-16 Method for dynamic data minimization of a data set by means of whitelisting
CN202110325298.3A CN113449335A (zh) 2020-03-26 2021-03-26 对数据集进行动态数据最小化的方法和数据最小化装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020203951.8A DE102020203951A1 (de) 2020-03-26 2020-03-26 Verfahren zur dynamischen Datenminimierung eines Datensatzes mittels Whitelisting

Publications (1)

Publication Number Publication Date
DE102020203951A1 true DE102020203951A1 (de) 2021-09-30

Family

ID=77658893

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020203951.8A Pending DE102020203951A1 (de) 2020-03-26 2020-03-26 Verfahren zur dynamischen Datenminimierung eines Datensatzes mittels Whitelisting

Country Status (3)

Country Link
US (1) US11663221B2 (de)
CN (1) CN113449335A (de)
DE (1) DE102020203951A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11487901B2 (en) * 2020-03-05 2022-11-01 International Business Machines Corporation Anonymizing relational and textual data

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160147940A1 (en) 2012-03-30 2016-05-26 Citrix Systems, Inc. Collaborative cloud-based sharing of medical imaging studies with or without automated removal of protected health information

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7168025B1 (en) * 2001-10-11 2007-01-23 Fuzzyfind Corporation Method of and system for searching a data dictionary with fault tolerant indexing
US7757183B2 (en) * 2002-04-23 2010-07-13 Draeger Medical Systems, Inc. Timing adaptive patient parameter acquisition and display system and method
US8645391B1 (en) * 2008-07-03 2014-02-04 Google Inc. Attribute-value extraction from structured documents
US8706698B2 (en) * 2011-09-21 2014-04-22 International Business Machines Corporation Coordination of event logging operations and log management
US10403399B2 (en) * 2014-11-20 2019-09-03 Netspective Communications Llc Tasks scheduling based on triggering event and work lists management
CN109716345B (zh) * 2016-04-29 2023-09-15 普威达有限公司 计算机实现的隐私工程系统和方法
CN107273757B (zh) * 2017-04-23 2020-08-18 西安电子科技大学 一种基于l-diversity规则和MDAV算法的处理大数据的方法
CN108418758B (zh) * 2018-01-05 2021-01-29 网宿科技股份有限公司 一种单包识别方法及流量引导方法
US11082429B2 (en) * 2018-11-05 2021-08-03 Citrix Systems, Inc. Providing access to content within a computing environment

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160147940A1 (en) 2012-03-30 2016-05-26 Citrix Systems, Inc. Collaborative cloud-based sharing of medical imaging studies with or without automated removal of protected health information

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Data Models for the Pseudonymization of DICOM Data, 2011 [recherchiert am 30.11.2020] Im Internet: <URL: https://www.computer.org/csdl/proceedings-article/hicss/2011/05718686/12OmNzVXNNc>

Also Published As

Publication number Publication date
US20210303580A1 (en) 2021-09-30
US11663221B2 (en) 2023-05-30
CN113449335A (zh) 2021-09-28

Similar Documents

Publication Publication Date Title
DE102006036584B4 (de) Verwalten von unterschiedlich versionierten Konfigurationsdateien einer medizinischen Einrichtung
DE10300545B4 (de) Vorrichtung, Verfahren, Speichermedium und Datenstruktur zur Kennzeichnung und Speicherung von Daten
DE112012004036T5 (de) Definieren des Geltungsbereichs und Verwalten der Rollenentwicklung
DE102016216843A1 (de) Verteiltes Zusammenführen von Dateien
DE10040987B4 (de) Verfahren und Vorrichtung für übereinstimmende Aktualisierungen von redundanten Daten in relationalen Datenbanken
DE112017007656T5 (de) Verschobene aktualisierung von datenbank-hashcode in einer blockchain
DE112018003236T5 (de) Domänenspezifischer lexikalisch gesteuerter prä-parser
DE102021004157A1 (de) Maschinell lernendes Modellieren zum Schutz gegen die Online-Offenlegung empfindlicher Daten
DE112012004247T5 (de) Passives Überwachen virtueller Systeme unter Verwendung einer erweiterbaren Indexierung
DE112018002954T5 (de) Bereitstellen eines konfigurationsabhängigen arbeitsablaufs
DE102004025264A1 (de) Datenverarbeitungseinrichtung und Verfahren zur Wiederherstellung eines Betriebszustandes
DE102020203951A1 (de) Verfahren zur dynamischen Datenminimierung eines Datensatzes mittels Whitelisting
DE10219167A1 (de) Objektorientierter Rahmen für eine Abtasteinrichtung/Workstation-Konfiguration
DE102018214541A1 (de) Verfahren und vorrichtung zum abbilden von single-static-assignment-anweisungen auf einen datenflussgraphen in einer datenflussarchitektur
DE112018005620T5 (de) Auftragsverwaltung in einem datenverarbeitungssystem
DE102018219070B3 (de) Übertragen eines Datensatzes und Bereitstellen einer Datenübertragungsinformation
DE112020003767T5 (de) Erzeugen eines ausführbaren verfahrens aus einer textbeschreibung, die in einer natürlichen sprache geschrieben ist
EP3809260A1 (de) System und verfahren zur administration von bildgebenden geräten
DE10322685A1 (de) Verfahren zur Verarbeitung eines Therapiehinweise umfassenden Datensatzes bei medizinischen Behandlungen
DE112021004115T5 (de) Sicherheitssystem für eine Segmentierung von Computerdatei-Metadaten
EP3401816A1 (de) Dynamische erstellung von übersichtsnachrichten im gesundheitswesen
EP2329374A1 (de) Testmodul und verfahren zum testen einer o/r-abbildungs-middleware
EP0662226B1 (de) Verfahren zur bearbeitung eines anwenderprogramms auf einem parallelrechnersystem
DE112020007092B4 (de) Anonymisierungsvorrichtung, anonymisierungsverfahren und anonymisierungsprogramm
DE112018003243T5 (de) Domänenspezifische lexikalische analyse

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R081 Change of applicant/patentee

Owner name: SIEMENS HEALTHINEERS AG, DE

Free format text: FORMER OWNER: SIEMENS HEALTHCARE GMBH, MUENCHEN, DE