DE102020212187A1 - Medizinisches Datenverwaltungssystem - Google Patents

Medizinisches Datenverwaltungssystem Download PDF

Info

Publication number
DE102020212187A1
DE102020212187A1 DE102020212187.7A DE102020212187A DE102020212187A1 DE 102020212187 A1 DE102020212187 A1 DE 102020212187A1 DE 102020212187 A DE102020212187 A DE 102020212187A DE 102020212187 A1 DE102020212187 A1 DE 102020212187A1
Authority
DE
Germany
Prior art keywords
medical data
patient identifier
pseudonymized
data
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020212187.7A
Other languages
English (en)
Inventor
Srikrishna PRASAD
Michael Kelm
Ute Rosenbaum
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Healthineers Ag De
Original Assignee
Siemens Healthcare GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Healthcare GmbH filed Critical Siemens Healthcare GmbH
Priority to DE102020212187.7A priority Critical patent/DE102020212187A1/de
Priority to US17/476,526 priority patent/US20220101964A1/en
Publication of DE102020212187A1 publication Critical patent/DE102020212187A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/25Integrating or interfacing systems involving database management systems
    • G06F16/252Integrating or interfacing systems involving database management systems between a Database Management System and a front-end application
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H10/00ICT specially adapted for the handling or processing of patient-related medical or healthcare data
    • G16H10/60ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H40/00ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
    • G16H40/20ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the management or administration of healthcare resources or facilities, e.g. managing hospital staff or surgery rooms
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H40/00ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
    • G16H40/60ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices
    • G16H40/67ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices for remote operation
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H30/00ICT specially adapted for the handling or processing of medical images
    • G16H30/20ICT specially adapted for the handling or processing of medical images for handling medical images, e.g. DICOM, HL7 or PACS

Landscapes

  • Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Epidemiology (AREA)
  • Primary Health Care (AREA)
  • Public Health (AREA)
  • Bioethics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Biomedical Technology (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Medical Treatment And Welfare Office Work (AREA)

Abstract

Die Erfindung betrifft ein medizinisches Datenverwaltungssystem (1000) zum Verwalten medizinischer Daten, umfassend: ein Gateway (1300) für medizinische Daten, das einen Prozessor (1330) umfasst, der mit einer Vielzahl von Eingabevorrichtungen (1100) verbindbar ist, wobei das Gateway (1300) für medizinische Daten mit einem lokalen Netzwerk verbunden ist, wobei der Prozessor (1330) dazu ausgelegt ist, den Schritt auszuführen: Sammeln (S2200, S4200) medizinischer Daten, die einer nicht pseudonymisierten Patientenkennung und einer Datenquellenkennung zugeordnet sind, von einer Eingabevorrichtung (1101, 1102-110N, 1110) der Vielzahl von Eingabevorrichtungen (1100), Pseudonymisieren (S2300, S3300) zumindest der nicht pseudonymisierten Patientenkennung der medizinischen Daten, Exportieren (S2400, S4400) der pseudonymisierten medizinischen Daten in einen entfernten Speicher (1500), wobei der entfernte Speicher (1500) Teil eines entfernten Netzwerks außerhalb des lokalen Netzwerks ist, Erlauben eines Zugriff (S2500, S5500) auf die nicht pseudonymisierte Patientenkennung einer lokalen Anwendung (1400), die in dem lokalen Netzwerk läuft, und/oder Verweigern eines Zugriffs auf die nicht pseudonymisierte Patientenkennung an eine entfernte Anwendung (1600), die außerhalb des lokalen Netzwerks läuft. Die Erfindung betrifft ferner ein entsprechendes medizinisches Datenverwaltungsverfahren.

Description

  • HINTERGRUND
  • Moderne medizinische Geräte sind oft dazu in der Lage, Ausgaben in Form von digitalen Daten zu erzeugen. Beispiele dafür können beispielsweise Bilder von einem Magnetresonanzscanner oder von einem Röntgengerät, Elektrokardiogramm- und Blutdruckdaten, die Temperatur eines Patienten, usw. sein. Mit zunehmender Digitalisierung nimmt die Zahl der medizinischen Geräte, die Daten in digitaler Form ausgeben können, ständig zu.
  • Die ausgegebenen Daten können unterschiedliche Formate aufweisen, aufgrund der Tatsache, dass die Daten unterschiedliche physikalische Werte darstellen können, und der Tatsache, dass die verschiedenen Geräten von unterschiedlichen Herstellern mit unterschiedlichen Ansätzen hergestellt sein können.
  • Die ausgegebenen Daten können ferner eine Vielzahl von Verwendungszwecken und Benutzern haben. Beispielsweise können Bilder eines Magnetresonanzscanners von einem Arzt zur Diagnose eines Patienten verwendet werden. Dabei können die Daten auf einem direkt an den Scanner angeschlossenen Monitor visualisiert werden oder an einen PC in der Arztpraxis übertragen werden. Beispielsweise können die Daten auch zur Schadensevaluierung an Krankenkassen übermittelt werden. Als weiteres Beispiel können Daten an Unternehmen zur Verfügung gestellt werden, die an klinischen Studien beteiligt sind. Darüber hinaus kann Dienstanbietern ein Zugriff auf die medizinischen Daten für verschiedene Operationen, wie beispielsweise die Analyse der Daten durch künstliche Intelligenz, gewährt werden.
  • Unterschiedliche Benutzer können außerdem unterschiedliche Rechte haben. Beispielsweise müssen ein Arzt und eine Versicherungsgesellschaft möglicherweise auf die medizinischen Daten, wie etwa ein Röntgenbild, und die damit verbundenen Patientendaten, wie etwa das Geschlecht, Alter, Name und Adresse, zugreifen. Ein Unternehmen, das an einer in einem Krankenhaus durchgeführten klinischen Studie beteiligt ist, kann andererseits aus Datenschutzgründen und zur Einhaltung von Protokollen, wie etwa bei doppelblinden klinischen Studien, nur Zugriff auf die medizinischen Daten erhalten, ohne Zugriff auf die Patientendaten zu haben. Darüber hinaus ist ein Dienstanbieter, der die Verarbeitung der Daten durch künstliche Intelligenz durchführt, normalerweise von einem Zugriff auf die Identifikationsdaten des Patienten ausgeschlossen.
  • Darüber hinaus können die Daten sowohl innerhalb eines Krankenhausnetzwerks als auch außerhalb davon beispielsweise über einen Cloud-Speicher oder allgemeiner ein externes Netzwerk zugänglich gemacht werden, beispielsweise für Versicherungsunternehmen, für an klinischen Studien beteiligte Unternehmen, für Regierungen, für externe Dienstleister usw.
  • Somit wird es immer komplexer, die medizinischen Daten und den Zugriff auf diese durch verschiedene Nutzer effizient zu verwalten. Derzeit auf dem Markt vorhandene Lösungen, wie etwa die Teamplay Digital Health Cloud Plattform von Siemens, unterstützen ein Daten-Push/Pull von Krankenhaussystemen in die Cloud unter strikter Einhaltung der HIPAA/DSGVO-Vorschriften sowohl für ruhende als auch für bewegte Daten innerhalb des Krankenhausnetzwerks oder außerhalb des Netzwerks.
  • Ein Problem bei solch strengen Sicherheitsmaßnahmen besteht jedoch darin, dass die Daten regelmäßig entweder pseudonymisiert oder verschlüsselt werden, selbst bei Zugriff auf Daten innerhalb des Krankenhausnetzwerks beispielsweise durch einen Arzt, der eine Diagnose durchführt. Dies behindert die Verwaltung des Arbeitsablaufs, da Patientendaten, nachdem sie pseudonymisiert oder verschlüsselt worden sind, nicht leicht wieder identifiziert werden können, und daher Datensätze nicht einfach einem bestimmten Patienten zugeordnet werden können.
  • Aktuelle Lösungen konzentrieren sich daher hauptsächlich auf die Verwendung von pseudonymisierten oder verschlüsselten Daten sowohl für ruhende als auch bewegte, und es gibt keinen Re-Identifizierungsmechanismus in der Anwendung, um das obige Problem zu lösen. Einige Re-Identifizierungsmechanismen identifizieren nur einen Datensatz von einem bestimmten Datentyp, der sich auf eine bestimmte Ausgabe eines bestimmten Geräts bezieht. Jedoch kann einem Patienten, wie oben erwähnt, während der Behandlung in einem Krankenhaus eine Vielzahl von Datensätzen zugeordnet werden. Daher wird es schwierig, solche Mechanismen anzuwenden, um den Anforderungen von Cloud-Anwendungen im Gesundheitswesen, neu identifizierte Datensätze aus verschiedenen Krankenhausdatensystemen bereitzustellen, gerecht zu werden. Auch der Anwendungsentwicklungsanbieter muss Zeit und Geld in die Entwicklung von Anwendungen investieren, die für eine lokale Umgebung und eine Cloud-Umgebung geeignet sind, was eine Verschwendung von Zeit und Geld zur Folge hat.
  • KURZDARSTELLUNG DER ERFINDUNG
  • Es ist daher eine Aufgabe der Erfindung, ein Datenverwaltungssystem für medizinische Daten bereitzustellen, das einen effizienten Zugriff auf Daten innerhalb eines Krankenhausnetzwerks sowie außerhalb davon ermöglicht und das gleichzeitig verschiedenen Benutzern unterschiedliche Datenschutzniveaus in Übereinstimmung mit den gesetzlichen Datenschutzanforderungen anvertraut. Es ist ferner eine Aufgabe der Erfindung, einem solchen System zu erlauben, mit verschiedenen Datenquellen von verschiedenen Geräten zu arbeiten.
  • Allgemein gesagt haben die Erfinder erkannt, dass die oben genannten Ziele durch ein System erreicht werden können, das eine Pseudonymisierung des Patientenidentifizierungsteils der medizinischen Daten implementiert, bevor sie für verschiedene Ausgabevorrichtungen oder Benutzer verfügbar gemacht werden, während die nicht pseudonymisierte Patientenidentifizierung in Zuordnung zu der pseudonymisierten Patientenkennung gespeichert wird.
  • Dadurch wird ermöglicht, dass die medizinischen Daten nur mit der pseudonymisierten Patientenkennung gespeichert und zugänglich gemacht werden. Für Verwendungen, bei denen ein Zugriff auf die nicht pseudonymisierten Patientenkennungen erforderlich ist, kann das System erlauben, dass die Re-Identifizierung nur für diejenigen Geräte und/oder Benutzer durchgeführt wird, die das Recht haben, auf dieses Merkmal zuzugreifen.
  • Dank dieses Ansatzes ist es auf vorteilhafte Weise möglich, alle medizinische Daten innerhalb eines konsistenten Rahmens zu behandeln, indem alle eingehenden Daten pseudonymisiert werden, bevor sie in einem für alle Benutzer und/oder Ausgabevorrichtungen zugänglichen Speicher gespeichert werden. Dies ermöglicht ferner vorteilhafterweise, dass alle Benutzer und/oder Ausgabegeräte unabhängig von den Datenschutzrechten, die den Benutzern und/oder Ausgabevorrichtungen zugeordnet sind, für den Zugriff auf die Daten in ähnlicher Weise ausgebildet sind. Zusätzlich zu dieser Grundfunktionalität erlaubt die Erfindung den Benutzern und/oder Ausgabevorrichtungen mit einem erhöhten Datenschutzzugriffsniveau, eine Re-Identifizierung der pseudonymisierten Daten anzufordern, um zusätzlich Zugriff auf die nicht pseudonymisierte Patientenkennung zu erhalten.
  • Ein Aspekt der Erfindung kann sich daher auf ein medizinisches Datenverwaltungssystem zum Verwalten medizinischer Daten beziehen, das umfasst: ein Gateway für medizinische Daten, das einen Prozessor umfasst, der mit einer Vielzahl von Eingabevorrichtungen verbindbar ist, wobei das Gateway für medizinische Daten mit einem lokalen Netzwerk verbunden ist, wobei der Prozessor dazu ausgelegt ist, den Schritt auszuführen: Sammeln medizinischer Daten, die einer nicht pseudonymisierten Patientenkennung und einer Datenquellenkennung zugeordnet sind, von einer Eingabevorrichtung der Vielzahl von Eingabevorrichtungen, Pseudonymisieren zumindest der nicht pseudonymisierten Patientenkennung der medizinischen Daten, Exportieren der pseudonymisierten medizinischen Daten in einen entfernten Speicher, wobei der entfernte Speicher Teil eines entfernten Netzwerks außerhalb des lokalen Netzwerks ist, Erlauben eines Zugriffs auf die nicht pseudonymisierte Patientenkennung für eine lokale Anwendung, die in dem lokalen Netzwerk läuft, und/oder Verweigern eines Zugriffs auf die nicht pseudonymisierte Patientenkennung für eine entfernte Anwendung, die außerhalb des lokalen Netzwerks läuft.
  • Beispielhafte Eingabevorrichtungen können medizinische Bildgebungsvorrichtungen aufweisen, z. B. einen Computertomographie- (CT) Scanner, einen Magnetresonanz-Bildgebungs- (MRI) Scanner, einen Röntgenbildgeber, und einen Ultraschallbildgeber. Beispielhafte Eingabevorrichtungen könnten z. B. auch einen Elektrokardiographen, einen Bluttest-Steuerungscomputer, ein Blutdruckmessgerät, ein Pulsmessgerät usw. aufweisen.
  • Eine Pseudonymisierung kann - gemäß den hier beschriebenen Techniken - einer Entfernung oder Änderung aller oder zumindest einiger Informationen aus medizinischen Daten, die einen Rückschluss auf die Identität des zugehörigen Patienten erlauben könnten, entsprechen. Zum Beispiel kann ein Name des Patienten entfernt oder geändert werden, um eine Identifizierung des Patienten anhand des Namens zu verhindern. Beispielsweise können Wohnadressen oder Telefonnummern gelöscht werden. Zum Beispiel kann bei dem Pseudonymisieren ein Hash-Wert basierend auf der Patientenkennung bestimmt werden. Teile der Patientenkennung können auch gelöscht werden. Es wäre möglich, bei einer Pseudonymisierung der Patientenkennung eine verschlüsselte Darstellung der Patientenkennung zu ermitteln.
  • Der Grad der Pseudonymisierung kann beispielsweise von einem oder mehreren Datenschutzprofilen abhängig sein. Denkbar wäre beispielsweise, dass - je nach Datenschutzprofil - mehr oder weniger personenbezogene Daten des Patienten aus den medizinischen Daten entfernt werden. Beispielsweise kann das Datenschutzprofil bestimmte Kriterien spezifizieren, die von einem entsprechenden Algorithmus verwendet werden können, um datenschutzrelevante Daten selektiv zu verwerfen oder umzuwandeln oder anderweitig zu modifizieren.
  • Das Sammeln der medizinischen Daten kann ein Anfordern der medizinischen Daten von einer jeweiligen Eingabevorrichtung umfassen. Es wäre auch möglich, dass die medizinischen Daten in einer Push-Kommunikation von der jeweiligen Eingabevorrichtung bereitgestellt werden. Zum Beispiel kann ein Bildarchivierungs- und Kommunikationssystem (PACS) Benachrichtigungen an Teilnehmer bereitstellen.
  • Gemäß verschiedenen Beispielen können die medizinischen Daten unter Verwendung eines Bildgebungs-Arbeitsablaufs erfasst werden. Beispielsweise könnte ein CT-Scan eines Hirntumor-Patienten von entsprechenden CT-Arbeitsabläufen profitieren.
  • Als allgemeine Regel können die medizinischen Daten eines oder mehrere Bilder, z. B. einen Film, aufweisen. In den medizinischen Daten enthaltene Bilder können im DICOM- (Digital Imaging and Communications in Medicine) Format bereitgestellt werden.
  • Die Datenquellenkennung kann z. B. durch eine Seriennummer der jeweiligen Eingabevorrichtung implementiert werden. Es wäre auch möglich, dass die Quellenkennung eine Adresse der jeweiligen Eingabevorrichtung in einem Netzwerk ist, das das Gateway für medizinische Daten und die verschiedenen Eingabevorrichtungen verbindet.
  • Ein lokales Netzwerk kann durch eine vertrauenswürdige Domäne definiert werden. Innerhalb der vertrauenswürdigen Domäne dürfen nur vorautorisierte Geräte vorhanden sein. Solchen Geräte können geeignete Berechtigungsnachweise zugewiesen werden, z. B. von einer zentralen Autorität des lokalen Netzwerks. Das lokale Netzwerk kann eine sichere Domäne eines PACS sein. Das lokale Netzwerk kann Archiv für PACS-Daten aufweisen. Das lokale Netzwerk kann mit nicht vertrauenswürdigen Geräten kommunizieren, denen keine Anmeldeinformationen des lokalen Netzwerks zugewiesen wurden.
  • Ob eine bestimmte Anwendung in dem lokalen Netzwerk oder außerhalb des lokalen Netzwerks läuft, kann davon abhängig sein, ob ein Host-Gerät die jeweilige Anwendung ausführt. Beispielsweise wäre es denkbar, dass das lokale Netzwerk ein lokales („On-Premise“-) Netzwerk eines Krankenhauses ist und eine Anwendung auf einem in dem lokalen Netzwerk befindlichen Gerät lokal ausgeführt wird. In einigen Szenarien wäre es denkbar, dass sich ein Host-Gerät außerhalb des Standorts befindet und über eine über das Internet hergestellte virtuelle private Netzwerkverbindung mit anderen Geräten des lokalen Netzwerks verbunden ist. Das lokale Netzwerk kann durch einen Bereich von Netzwerkadressen oder einen gemeinsamen Adressraum gekennzeichnet sein. Das lokale Netzwerk kann durch gemeinsame Verschlüsselungsgeheimnisse gekennzeichnet sein, die die Kommunikation zwischen Geräten des lokalen Netzwerks erleichtern. Das lokale Netzwerk kann über ein Gateway beispielsweise mit dem Internet verbunden sein.
  • Das Erlauben eines Zugriffs auf die nicht pseudonymisierte Patientenkennung kann einer Weiterleitung der Patientenkennung bei Erhalt einer entsprechenden Abfrage entsprechen.
  • Beispielsweise wäre es möglich, dass der Prozessor dazu ausgelegt ist, entweder den Zugriff auf die nicht pseudonymisierte Patientenkennung zu erlauben oder den Zugriff auf die nicht pseudonymisierte Patientenkennung zu verweigern, in Abhängigkeit davon, ob eine entsprechende Abfrage von einer Anwendung, die sich in dem lokalen Netzwerk befindet, d. h. einer lokale Anwendung, oder einer Anwendung, die außerhalb des lokalen Netzwerks läuft, eingeht.
  • Somit wird, allgemein gesagt, eine Zugriffssteuerung auf die nicht pseudonymisierte Patientenkennung implementiert, z. B. in Abhängigkeit von einem Entscheidungskriterium, wie es oben in Bezug auf den Ausführungspunkt einer anfragenden Anwendung identifiziert wurde. Jedoch sollte verstanden werden, als eine allgemeine Regel, dass neben dem Ausführungspunkt oder alternativ zu dem Ausführungspunkt weitere oder andere Entscheidungskriterien in Betracht gezogen werden könnten. Beispielsweise können Entscheidungskriterien bezüglich der selektiven Zugangsgewährung auch einen zeitlichen Aspekt umfassen, z. B. von der Tageszeit oder dem Wochentag abhängig sein. Das Entscheidungskriterium könnte auch Identitäten eines anfragenden Teilnehmers aufweisen, z. B. ungeachtet oder zusätzlich zu der bestimmten Anwendung, die die Abfrage für den Teilnehmer bereitstellt.
  • In einigen Ausführungsformen kann das Gateway für medizinische Daten ferner einen Speicher umfassen, wobei der Prozessor für den Schritt des Pseudonymisierens ferner dazu ausgelegt sein kann, die Schritte auszuführen: Erstellen einer pseudonymisierten Patientenkennung basierend auf der nicht pseudonymisierten Patientenkennung und der Datenquellenkennung, Zuordnen der medizinischen Daten zu der pseudonymisierten Patientenkennung, und Speichern der pseudonymisierten Patientenkennung und der nicht pseudonymisierten Patientenkennung in dem Speicher.
  • Beispielsweise kann ein Zeiger (auch Zuordnung genannt) implementiert werden, der die pseudonymisierte Patientenkennung mit der nicht pseudonymisierten Patientenkennung verknüpft. Auf diese Weise kann es möglich sein, die nicht pseudonymisierte Patientenkennung aus dem Speicher abzurufen, wenn man im Besitz der pseudonymisierten Patientenkennung und optional der Zuordnung ist. In einigen Szenarien können zum Abrufen der nicht pseudonymisierten Patientenkennung basierend auf der pseudonymisierten Patientenkennung zusätzliche Berechtigungsnachweise erforderlich sein, wie z. B. ein Autorisierungscode usw. Dieser kann dazu verwendet werden, die Zuordnung zu entschlüsseln.
  • In einigen Ausführungsformen kann der Prozessor für den Schritt des Exportierens ferner dazu ausgelegt sein, die Schritte auszuführen:
    • Übertragen der pseudonymisierten medizinischen Daten an den entfernten Speicher, Löschen der pseudonymisierten medizinischen Daten aus dem Gateway für medizinische Daten.
  • Das Löschen der pseudonymisierten medizinischen Daten kann eine dauerhafte Entfernung aufweisen, um einen weiteren Zugriff auf die pseudonymisierten medizinischen Daten zu verhindern.
  • In einigen Ausführungsformen kann der Prozessor für den Schritt des Zugreifens ferner dazu ausgelegt sein, die Schritte auszuführen: Empfangen einer Umwandlungsanfrage, die die pseudonymisierte Patientenkennung umfasst, Evaluieren, ob die Umwandlungsanfrage ausreichende Rechte zum Erhalten der nicht pseudonymisierten Patientenkennung hat, im Falle eines positiven Ergebnisses des Evaluierungsschritts, Umwandeln der pseudonymisierten Patientenkennung in die entsprechende nicht pseudonymisierte Patientenkennung.
  • Beispielsweise kann die Evaluierung, ob die Umwandlungsanfrage über ausreichende Rechte verfügt, auf Berechtigungsnachweisen basieren, die einem Absender der Anfrage zugeordnet sind. Beispielsweise wäre es möglich, dass Anmeldedaten implementiert werden, indem beispielsweise ein Zertifikat verwendet wird, das von einer vertrauenswürdigen Stelle ausgestellt wurde. Beispielsweise könnten öffentlich-private kryptografische Schlüsselpaare verwendet werden. Zum Beispiel kann der Urheber ein bestimmter Anwendungstyp sein, oder eine Anwendung, die lokal ausgeführt wird, z. B. in einem lokalen Netzwerk oder außerhalb. Beispielsweise können Anwendungen, die in dem lokalen Netzwerk ausgeführt werden, als über ausreichende Rechte verfügend angesehen werden.
  • Durch solche Techniken ist es möglich, sicherzustellen, dass nicht autorisierte Anfragen zurückgewiesen werden. Dadurch kann ein hoher Sicherheitsstandard für die pseudonymisierte Patientenkennung eingehalten werden.
  • In einigen Ausführungsformen kann der Prozessor ferner dazu ausgelegt sein, den folgenden Schritt auszuführen: Empfangen einer Datenverfügbarkeits-Benachrichtigung, die die Datenquellenkennung und die Patientenkennung umfasst. Zum Beispiel kann die Datenverfügbarkeits-Benachrichtigung innerhalb des lokalen Netzwerks rundgesendet werden. Es wäre möglich, dass eine Benachrichtigung über die Datenverfügbarkeit per Push-Benachrichtigung an Teilnehmer eines entsprechenden Benachrichtigungsdienstes gesendet wird. Die Datenverfügbarkeits-Benachrichtigung kann allgemein anzeigen, dass neue medizinische Daten verfügbar sind, insbesondere, dass neue medizinische Daten verfügbar sind, die eine Patientenkennung aufweisen, die einer Pseudonymisierung unterliegen kann.
  • In einigen Ausführungsformen kann der Prozessor ferner dazu ausgelegt sein, den Schritt auszuführen: Empfangen einer Datenabfrage, die die Datenquellenkennung und die Patientenkennung umfasst oder einen Zeiger auf die Datenquellenkennung und die Patientenkennung aufweist. Mittels der Datenabfrage kann ein Push-Service z. B. im Kontext eines PACS realisiert werden. Die Verfügbarkeit neuer medizinischer Daten kann signalisiert werden. Dabei kann die Pseudonymisierung als Reaktion darauf erfolgen, dass die medizinischen Daten verfügbar werden.
  • In einigen Ausführungsformen kann das System ferner einen Multiplexer umfassen, der dazu ausgelegt ist, den Prozessor mit einer durch die Datenquellenkennung identifizierten Eingabevorrichtung zu verbinden. Der Multiplexer kann in Hardware und/oder Software implementiert sein.
  • In einigen Ausführungsformen kann das System ferner einen Demultiplexer umfassen, der dazu ausgelegt ist, den Prozessor mit einer Ausgabevorrichtung zu verbinden.
  • Ein weiterer Aspekt der Erfindung kann sich auf ein medizinisches Datenverwaltungsverfahren zum Verwalten medizinischer Daten beziehen, umfassend die Schritte: an einem Gateway für medizinische Daten, das mit einem lokalen Netzwerk verbunden ist, Sammeln medizinischer Daten, die einer nicht pseudonymisierten Patientenkennung und einer Datenquellenkennung zugeordnet sind, von einer Eingabevorrichtung einer Vielzahl von Eingabevorrichtungen, Pseudonymisieren mindestens der nicht pseudonymisierten Patientenkennung der medizinischen Daten, Exportieren der pseudonymisierten medizinischen Daten in einen entfernten Speicher, wobei der entfernte Speicher Teil eines entfernten Netzwerks außerhalb des lokalen Netzwerks ist, Erlauben eines Zugriff auf die nicht pseudonymisierte Patientenkennung für eine lokale Anwendung, die in dem lokalen Netzwerk läuft, und/oder Verweigern eines Zugriffs auf die nicht pseudonymisierte Patientenkennung für eine entfernte Anwendung, die außerhalb des lokalen Netzwerks läuft.
  • In einigen Ausführungsformen kann der Schritt der Pseudonymisierung die Schritte umfassen: Erstellen einer pseudonymisierten Patientenkennung basierend auf der nicht pseudonymisierten Patientenkennung und der Datenquellenkennung, Zuordnen der medizinischen Daten zu der pseudonymisierten Patientenkennung, und Speichern der pseudonymisierten Patientenkennung und der nicht pseudonymisierten Patientenkennung in einem Speicher.
  • In einigen Ausführungsformen kann der Schritt des Exportierens die Schritte umfassen: Übertragen der pseudonymisierten medizinischen Daten an den entfernten Speicher, Löschen der pseudonymisierten medizinischen Daten aus dem Gateway für medizinische Daten.
  • In einigen Ausführungsformen kann der Schritt des Zugreifens die Schritte umfassen: Empfangen einer Umwandlungsanfrage, die die pseudonymisierte Patientenkennung umfasst, Evaluieren, ob die Umwandlungsanfrage ausreichende Rechte zum Erhalten der nicht pseudonymisierten Patientenkennung hat, im Falle eines positiven Ergebnisses des Evaluierungsschritts, Umwandeln der pseudonymisierten Patientenkennung in die entsprechende nicht pseudonymisierte Patientenkennung.
  • In einigen Ausführungsformen kann das Verfahren ferner den Schritt umfassen: Empfangen einer Datenverfügbarkeits-Benachrichtigung, die die Datenquellenkennung und die Patientenkennung umfasst.
  • In einigen Ausführungsformen kann das Verfahren ferner den Schritt umfassen: Empfangen einer Datenabfrage, die die Datenquellenkennung und die Patientenkennung umfasst.
  • In einigen Ausführungsformen kann das Verfahren ferner den Schritt umfassen: Multiplexen einer Verbindung zwischen einem Prozessor des Gateways für medizinische Daten und einer durch die Datenquellenkennung identifizierten Eingabevorrichtung.
  • In einigen Ausführungsformen kann das Verfahren ferner den Schritt umfassen: Demultiplexen einer Verbindung zwischen einem Prozessor des Gateways für medizinische Daten und einer Ausgabevorrichtung.
  • Ein Computerprogramm oder ein Computerprogrammprodukt oder ein computerlesbares Speichermedium weist Programmcode auf. Der Programmcode kann von mindestens einem Prozessor geladen und ausgeführt werden. Beim Laden und Ausführen des Programmcodes kann der mindestens eine Prozessor ein Verfahren zum Verwalten medizinischer Daten durchführen. Das Verfahren umfasst Sammeln medizinischer Daten, die einer nicht pseudonymisierten Patientenkennung und einer Datenquellenkennung zugeordnet sind, von einer Eingabevorrichtung einer Vielzahl von Eingabevorrichtungen. Das Verfahren weist auch Pseudonymisieren zumindest der nicht pseudonymisierten Patientenkennung der medizinischen Daten auf. Das Verfahren weist auch Exportieren der pseudonymisierten medizinischen Daten in einen entfernten Speicher auf. Der entfernte Speicher kann Teil eines entfernten Netzwerks außerhalb des lokalen Netzwerks sein. Das Verfahren weist auch Erlauben des Zugriffs auf die nicht pseudonymisierte Patientenkennung für eine lokale Anwendung, die auf dem lokalen Netzwerk läuft, auf. Alternativ oder zusätzlich kann das Verfahren Verweigern eines Zugriffs auf die nicht pseudonymisierte Patientenkennung für eine entfernte Anwendung, die außerhalb des lokalen Netzwerks läuft, aufweisen.
  • Es versteht sich, dass die vorstehend genannten und die nachfolgend noch zu erläuternden Merkmale nicht nur in den jeweils angegebenen Kombinationen, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne dabei den Rahmen der Erfindung zu verlassen.
  • Figurenliste
    • 1 veranschaulicht schematisch ein medizinisches Datenverwaltungssystem 1000;
    • Die 2-5 veranschaulichen schematisch mögliche Operationen des medizinischen Datenverwaltungssystems 1000.
  • AUSFÜHRLICHE BESCHREIBUNG
  • Einige Beispiele der vorliegenden Offenbarung stellen im Allgemeinen eine Vielzahl von Schaltungen oder andere elektrische Vorrichtungen bereit. Alle Bezugnahmen auf die Schaltkreise und andere elektrische Vorrichtungen und die von ihnen bereitgestellte Funktionalität sollen nicht darauf beschränkt sein, nur das zu umfassen, was hier dargestellt und beschrieben wird. Während den verschiedenen offenbarten Schaltkreisen oder anderen elektrischen Vorrichtungen bestimmte Beschriftungen zugewiesen werden können, sollen solche Beschriftungen den Funktionsumfang der Schaltkreise und der anderen elektrischen Vorrichtungen nicht einschränken. Solche Schaltungen und andere elektrische Vorrichtungen können miteinander kombiniert und/oder auf beliebige Weise getrennt werden, basierend auf der bestimmten Art der gewünschten elektrischen Implementierung. Es versteht sich, dass jede hierin offenbarte Schaltung oder jede andere elektrische Vorrichtung eine beliebige Anzahl von Mikrocontrollern, eine Grafikprozessoreinheit (GPU), integrierte Schaltungen, Speichervorrichtungen (z. B. FLASH, Direktzugriffsspeicher (RAM), Nur-Lese-Speicher (ROM)), elektrisch programmierbare Nur-Lese-Speicher (EPROM), elektrisch löschbare programmierbare Nur-Lese-Speicher (EEPROM) oder andere geeignete Varianten davon) und Software aufweisen kann, die zusammenwirken, um hierin offenbarte Operationen auszuführen. Außerdem können eine oder mehrere der elektrischen Vorrichtungen dazu ausgelegt sein, einen Programmcode auszuführen, der in einem nichtflüchtigen computerlesbaren Medium enthalten ist, das dazu programmiert ist, eine beliebige Anzahl der offenbarten Funktionen auszuführen.
  • Im Folgenden werden Ausführungsformen der Erfindung unter Bezugnahme auf die beigefügten Zeichnungen ausführlich beschrieben. Es versteht sich, dass die folgende Beschreibung von Ausführungsformen nicht in einem einschränkenden Sinn zu verstehen ist. Der Umfang der Erfindung soll nicht durch die nachfolgend beschriebenen Ausführungsformen oder durch die Zeichnungen, die nur zur Veranschaulichung dienen, beschränkt sein.
  • Die Zeichnungen sind als schematische Darstellungen zu verstehen, und in den Zeichnungen dargestellte Elemente sind nicht unbedingt maßstabsgetreu dargestellt. Vielmehr sind die verschiedenen Elemente so dargestellt, dass für einen Fachmann ihre Funktion und ihr allgemeiner Zweck klar wird. Jede Verbindung oder Kopplung zwischen Funktionsblöcken, Vorrichtungen, Komponenten oder anderen physikalischen oder funktionalen Einheiten, die in den Zeichnungen gezeigt oder hierin beschrieben sind, kann auch durch eine indirekte Verbindung oder Kopplung implementiert werden. Eine Kopplung zwischen Komponenten kann auch über eine drahtlose Verbindung hergestellt werden. Funktionsblöcke können in Hardware, Firmware, Software, oder einer Kombination davon implementiert werden.
  • Gemäß den hier beschriebenen Techniken ist es möglich, medizinische Daten in einem klinischen Arbeitsablauf zu verwalten. Insbesondere ist es möglich, die medizinischen Daten oder zumindest Teile davon, wie etwa eine Patientenkennung der medizinischen Daten, falls nötig zu pseudonymisieren. Insbesondere dort, wo medizinische Daten außerhalb eines lokalen Netzwerks gespeichert werden, ist die Pseudonymisierung möglich.
  • Andererseits dürfen medizinische Daten, die in dem lokalen Netzwerk verbleiben, nicht der Pseudonymisierung unterliegen. Gemäß verschiedenen hierin beschriebenen Techniken ist es möglich, einen Sicherungsmechanismus zu implementieren, bei dem Patientenkennungen innerhalb des lokalen Netzwerks, z. B. des Krankenhauses, dauerhaft nicht pseudonymisiert gespeichert werden. Möglich ist ein Re-Identifizierungskonzept: Hier können pseudonymisierte Patientenkennungen mit nicht pseudonymisierten Patientenkennungen verknüpft werden, z.B. um Informationen zu rekonstruieren. Somit kann, wie aus dem Obigen ersichtlich ist, die Pseudonymisierung auf Bedarfsbasis implementiert werden.
  • Gemäß verschiedenen Szenarien wäre es möglich, dass eine solche Funktionalität in einem Krankenhaus-Bildarchivierungs- und Kommunikationssystem implementiert wird, z. B. für radiologische Bilder, die die Bildgebungsdaten implementieren. Dies wird manchmal als Picture Archiving and Communication System (PACS) bezeichnet. Hier können erfasste medizinische Daten per Push-Benachrichtigung an mehrere Teilnehmer gesendet werden.
  • 1 veranschaulicht schematisch ein medizinisches Datenverwaltungssystem 1000 zum Verwalten medizinischer Daten.
  • Die medizinischen Daten können im Allgemeinen beliebige digitale Daten umfassen, die von einem Messgerät ausgegeben werden, das dazu ausgelegt ist, medizinisch relevante Daten zu messen. Medizinische Daten können sich somit auf Bildgebungsdaten, wie etwa Röntgen- und Magnetresonanzaufnahmen, auf Elektrokardiogramme, Gewichts-, Temperatur-, Blutdruckmessungen, usw. beziehen.
  • Darüber hinaus können, um eine Zuordnung solcher Daten zu einem bestimmten Patienten zu erlauben, medizinische Daten auch eine Patientenkennung umfassen. Bei der Patientenkennung kann es sich um eine beliebige Zuordnung der medizinischen Daten zu einer bestimmten Person handeln, beispielsweise eine Kombination aus Vor- und Nachname, eine Sozialversicherungsnummer, eine Aufnahmenummer in einem Krankenhaus, usw.
  • Durch die gesamte Anmeldung hindurch wird auf eine nicht pseudonymisierte Patientenkennung, oder einfach eine Patientenkennung, und auf eine pseudonymisierte Patientenkennung Bezug genommen. Die nicht pseudonymisierte Patientenkennung kann eine direkte Patientenidentifikation erlauben, beispielsweise, wenn die Patientenkennung eine Kombination aus Vor- und Nachname ist, oder mit reduziertem Aufwand, beispielsweise, wenn die Patientenkennung eine Sozialversicherungsnummer oder eine von einem Krankenhaus vergebene Patientennummer ist. In den letzteren Fällen ist zwar eine direkte Identifizierung des Patienten nicht möglich, die Umwandlung der Patientenkennung in eine bestimmte Identität ist jedoch recht einfach, da nur auf die Zuordnung zwischen dem Wert der Patientenkennung und der Identität zugegriffen werden muss, wobei diese Zuordnung möglicherweise nicht besonders schwer wiederzufinden ist. Andererseits erlaubt die pseudonymisierte Patientenkennung keine Identifizierung einer bestimmten Identität, es sei denn, es wird Zugriff auf den Schlüssel gewährt, der verwendet wurde, um die pseudonymisierte Patientenkennung basierend auf der nicht pseudonymisierten Patientenkennung zu erstellen. Da dieser Schlüssel nur intern für das System 1300 verwendet werden kann und der Zugriff darauf stark eingeschränkt ist und kontrolliert werden kann, wird die Identifizierung des Patienten verhindert, es sei denn, es stehen ausreichende Datenschutzrechte zur Verfügung.
  • Das System 1000 kann ein Gateway 1300 für medizinische Daten umfassen, das einen Prozessor 1330 umfasst, der mit mindestens einer Vielzahl von Eingabevorrichtungen 1100 verbindbar ist. Bei den Eingabevorrichtungen 1100 kann es sich um ein beliebiges Messgerät handeln, das dazu ausgelegt ist, medizinisch relevante Daten, wie etwa die oben beschriebenen, zu messen. Die Eingabevorrichtungen 1100 sind im Allgemeinen mehrere Eingabevorrichtungen 1101, 1102-110N, 1110 von verschiedenen Herstellern, die verschiedene Datenausgabestandards anbieten. Das Gateway 1300 für medizinische Daten ist nicht spezifisch für einen gegebenen Ausgabestandard, und kann mit beliebigen digitalen medizinischen Daten arbeiten, die als Eingabe bereitgestellt werden.
  • Das Gateway 1300 für medizinische Daten kann mit einem lokalen Netzwerk verbunden sein. Dies ist als Verbindung mit einem entfernten Netzwerk zu verstehen, wie im Folgenden diskutiert wird. Das heißt, das lokale Netzwerk soll das Netzwerk in Bezug auf Größe oder Fähigkeiten nicht einschränken. Das lokale Netzwerk kann ein Netzwerk von Vorrichtungen sein, denen höhere Zugriffsrechte als den Vorrichtungen in dem entfernten Netzwerk gewährt wurden. In einigen Fällen könnte das lokale Netzwerk beispielsweise ein auf ein Krankenhaus beschränktes Netzwerk sein, oder eine Teilmenge des Krankenhausnetzwerks. Das lokale Netzwerk kann mit bekannten Technologien drahtgebunden und/oder drahtlos implementiert sein. Das entfernte Netzwerk könnte beispielsweise ein Netzwerk außerhalb des Krankenhauses sein, wie etwa das Internet, oder ein Netzwerk in einer Versicherungsgesellschaft, ein Dienstleister außerhalb des Krankenhauses, usw.
  • Das heißt, das Gateway 1300 für medizinische Daten, das als PC oder Server implementiert sein kann, kann mit einem Netzwerk verbunden sein, das als lokales Netzwerk bezeichnet wird. Dieses lokale Netzwerk kann in einer an sich bekannten Weise, beispielsweise basierend auf IP-Adressen, von einem entfernten Netzwerk erkannt werden. Das lokale Netzwerk und das entfernte Netzwerk können in einer an sich bekannten Weise miteinander verbunden sein, um dazu in der Lage zu sein, Daten auszutauschen. Dies erlaubt es Knoten, die mit dem entfernten Netzwerk verbunden sind, Knoten in dem lokalen Netzwerk zu kontaktieren, und umgekehrt. Die Möglichkeit, die beiden Netzwerke zu unterscheiden, erlaubt es einem Knoten in dem lokalen Netzwerk zu bestimmen, ob die Daten oder die Verbindungsanforderung von einem Knoten in dem lokalen Netzwerk oder von einem Knoten in dem entfernten Netzwerk stammt.
    2 veranschaulicht schematisch ein Verfahren, das durch das Gateway 1300 für medizinische Daten implementiert werden kann. Es ist klar, dass nicht alle in 2 veranschaulichten Schritte implementiert werden müssen, damit das Verfahren ausgeführt werden kann.
  • Wie in 2 zu sehen ist, kann der Prozessor 1330 des Gateways 1300 für medizinische Daten dazu ausgelegt sein, einen Schritt S2200 des Sammelns medizinischer Daten, die einer nicht pseudonymisierten Patientenkennung und einer Datenquellenkennung zugeordnet sind, von einer Eingabevorrichtung 1101, 1102-110N, 1110 der Vielzahl von Eingabevorrichtungen 1100 auszuführen.
  • In einigen Fällen ist die Eingabevorrichtung 1101, 1102-110N, 1110 dazu in der Lage, die medizinischen Daten bereitzustellen, die bereits eine nicht pseudonymisierte Patientenkennung umfassen. In einigen anderen Fällen kann die nicht pseudonymisierte Patientenkennung zu den medizinischen Daten, die von der Eingabevorrichtung 1101, 1102-110N, 1110 bereitgestellt werden, hinzugefügt werden, beispielsweise durch das Gateway 1300 für medizinische Daten oder durch eine Vorrichtung oder Software, die die Daten verarbeitet, bevor sie an das Gateway 1300 für medizinische Daten weitergeleitet werden.
  • Als Beispiel könnte die Eingabevorrichtung ein Röntgengerät sein, das Bilder eines Patienten sammelt. Die Patientenkennung kann ein Patientenname oder eine von einem Krankenhaus verwendete ID-Nummer sein, die von einer medizinischen Bedienungsperson beim Sammeln der Bilder eingegeben wird. Die Patientenkennung kann beispielsweise über einen mit der Eingabevorrichtung verbundenen PC oder über die Eingabevorrichtung selbst eingegeben werden.
  • Die Datenquellenkennung kann ein beliebiges Feld sein, beispielsweise eine alphanumerische Zeichenfolge, die dazu geeignet ist, eine der Vielzahl von Eingabevorrichtungen 1100 zu identifizieren. Dies kann beispielsweise ein Tag, eine Netzwerkadresse der Eingabevorrichtung, usw. sein.
  • Dank des Sammelschritts S2200 ist es somit möglich, medizinische Daten an dem Gateway 1300 für medizinische Daten zu erhalten. Nachdem die medizinischen Daten gesammelt wurden, kann der Prozessor 1330 des Gateways 1300 für medizinische Daten ferner dazu ausgelegt sein, einen Schritt S2300 des Pseudonymisierens zumindest der nicht pseudonymisierten Patientenkennung der medizinischen Daten auszuführen.
  • Im Allgemeinen kann der Pseudonymisierungsschritt S2300 auf jede Weise implementiert werden, die es ermöglicht, dass die pseudonymisierte Patientenkennung die Identität des Patienten nicht offenbart. Beispielsweise kann die nicht pseudonymisierte Patientenkennung mit einem Schlüssel verschlüsselt werden, oder eine Kombination aus der Patientenkennung und anderen Teilen der medizinischen Daten, wie etwa der Datenquellenkennung, kann mit einem Schlüssel verschlüsselt werden. Ein Hash-Wert kann bestimmt werden. Verschiedene Algorithmen zur Pseudonymisierung von Daten basierend auf einem oder mehreren geheimen Schlüsseln sind einem Fachmann bekannt und können implementiert werden. Beispielsweise könnte ein privat-öffentliches Schlüsselpaar verwendet werden. Dabei könnte der öffentliche Schlüssel außerhalb des lokalen Netzwerks allgemein verfügbar gemacht werden; während der private Schlüssel in dem lokalen Netzwerk aufbewahrt wird.
  • Als nächstes wird, in Verbindung mit der Verschlüsselung, ein Beispiel angegeben, das durch die verschiedenen hierin offenbarten Ausführungsformen verwendet werden kann:
  • Die Verwendung der „AES 256“-Verschlüsselung auf ‚Mrd‘, was medizinische Daten sind, z. B. eine Patientenkennung, kann wie folgt ausgedrückt werden: C rd = f e ( M rd , K )
    Figure DE102020212187A1_0001
  • Hier ist Crd ein verschlüsselter Text im Klartext, und K ist ein zufälliger Schlüssel
  • Öffentlicher Schlüssel:
    • PubtpKEK = {e, n}, wobei ‚e‘ d-1 mod Φ(n) ist, und die ganze Zahl ‚d‘ gcd(Φ(n), d) = 1 ist; 1 < d < Φ(n)), und p/q sind prim, mit n=p*q.
  • Privater Schlüssel:
    • PrivtpKEK = {d, n}, wobei ‚e‘ d-1mod Φ(n) ist, und die ganze Zahl ‚d‘ gcd(Φ(n), d) = 1 ist; 1 < d < Φ(n)), und p/q sind prim, mit n=p*q.
  • Durch Anwenden der RSA-Verschlüsselung auf Crd erhält man Crd' = Crd e (mod n), wobei Crd < n ist.
  • Entschlüsselung - d. h. Implementieren eines Abrufs der nicht pseudonymisierten Patientenkennung: M rd = M rd' e ( mod n )
    Figure DE102020212187A1_0002
  • Das Obige ist ein spezifisches Beispiel, und andere Verschlüsselungs-/Entschlüsselungs-Routinen wären für die hier beschriebenen Techniken denkbar.
  • Dank des Pseudonymisierungsschritts S2300 ist es daher möglich, zumindest die Patientenkennung der medizinischen Daten pseudonymisiert wiederzugeben, wodurch ein Zugriff auf die medizinischen Daten ermöglicht wird, während sichergestellt wird, dass der Zugriff mit der Privatsphäre des Patienten vereinbar ist.
  • Der Prozessor 1330 des Gateways für medizinische Daten kann ferner dazu ausgelegt sein, einen Schritt S2400 des Exportierens der pseudonymisierten medizinischen Daten in einen entfernten Speicher 1500 auszuführen. In bevorzugten Ausführungsformen kann der entfernte Speicher 1500 Teil eines entfernten Netzwerks außerhalb des lokalen Netzwerks, in dem das Gateway 1300 für medizinische Daten läuft, sein.
  • In einigen Ausführungsformen kann der entfernte Speicher 1500 mindestens einen Prozessor 1530 und einen Speicher 1540 umfassen. Der Prozessor kann dazu ausgelegt sein, die pseudonymisierten medizinischen Daten in dem Speicher 1540 zu speichern. Im Allgemeinen kann der entfernte Speicher 1500 durch einen PC, einen Server, oder ähnliche Datenverarbeitungsvorrichtungen implementiert sein.
  • Der Prozessor 1330 des Gateways 1300 für medizinische Daten kann ferner dazu ausgelegt sein, einen Schritt S2500 auszuführen, um einer lokalen Anwendung 1400, die in dem lokalen Netzwerk läuft, den Zugriff S2500 auf die nicht pseudonymisierte Patientenkennung zu erlauben, und/oder um den Zugriff auf die nicht pseudonymisierte Patientenkennung für eine entfernte Anwendung 1600, die außerhalb des lokalen Netzwerks läuft, zu verweigern.
  • In einigen Ausführungsformen kann dies nach einem Schritt des Abrufens der medizinischen Daten aus dem entfernten Speicher 1500 ausgeführt werden, obwohl dies nicht zwingend erforderlich ist. Insbesondere könnte sein, dass der Benutzer nach dem Abrufen der medizinischen Daten den Patienten identifizieren muss. Dies ist beispielsweise der Fall bei einem Arzt, der im Krankenhaus operiert und einen Patienten diagnostiziert. In diesem Fall kann das Gateway für medizinische Daten durch Empfangen einer Anfrage von einer Anwendung 1400 innerhalb des lokalen Netzwerks erlauben, dass auf die Entsprechung zwischen der pseudonymisierten Patientenkennung, die mit der Anfrage von der lokalen Anwendung 1400 empfangen wurde, und der nicht pseudonymisierten Patientenkennung zugegriffen wird, und die pseudonymisierte Patientenkennung entsprechend der bereitgestellten nicht pseudonymisierten Patientenkennung zurückgeben.
  • In anderen Fällen, in denen der Benutzer der entfernten Anwendung 1600 einen Zugriff auf die nicht pseudonymisierte Patientenkennung nicht benötigt, oder es ihm nicht erlaubt ist, kann das Gateway für medizinische Daten den Zugriff auf die nicht pseudonymisierte Patientenkennung verweigern.
  • Auf diese Weise wird es dem Gateway für medizinische Daten vorteilhafterweise ermöglicht, sicherzustellen, dass ein korrekter Zugriff auf datenschutzrelevante, nicht pseudonymisierte Patientenkennungen basierend darauf gewährt wird, ob die Anfrage von der lokalen Anwendung 1400 oder von der entfernten Anwendung 1600 empfangen wurde. Somit wird es möglich, die Einhaltung der Privatsphäre sicherzustellen, indem das Netzwerk, in dem das Gateway für medizinische Daten betrieben wird, nämlich das lokale Netzwerk, dazu ausgelegt ist, nur für Geräte und/oder Anwendungen zugänglich zu sein, die dem Recht auf Zugriff auf die nicht pseudonymisierte Patientenkennung zugeordnet sind. Eine solche Netzwerkkonfiguration kann, wie dem Fachmann klar sein wird, auf verschiedene bekannte Weisen implementiert werden. Beispielsweise, indem nur Geräten der Zugriff auf das lokale Netzwerk gewährt wird, die von Personal bedient werden können, das das Recht hat, auf die nicht pseudonymisierten Patientendaten zuzugreifen. Eine solche Rechteverwaltung von ausgewählten Geräten, die mit einem Netzwerk verbunden sind, kann auf an sich bekannte Weise implementiert werden.
  • Dies ermöglicht es vorteilhafterweise auch, dass eine Anwendung nur einmal entworfen wird und dann sowohl als lokale Anwendung 1400 als auch als entfernte Anwendung 1600 betrieben wird, wodurch Entwicklungsaufwand für die Anwendung gespart wird. Insbesondere kann der Betrieb der Anwendung als lokale Anwendung 1400 und als entfernte Anwendung 1600 für den Abruf der pseudonymisierten medizinischen Daten aus dem entfernten Speicher 1500 gleich sein. Die Anwendung kann dann die medizinischen Daten mit der pseudonymisierten Patientenkennung anzeigen. Die Anwendung kann dann ferner dazu ausgelegt sein, den Zugriff auf die nicht pseudonymisierte Patientenkennung anzufragen, beispielsweise basierend auf einer Eingabe des Benutzers. Vorteilhafterweise wird die Zugangskontrolle durch das Gateway 1300 für medizinische Daten verwaltet, so dass keine spezielle Entwicklung in die Anwendung integriert werden muss. Die Anwendung kann somit so gestaltet sein, dass sie dem Benutzer die nicht pseudonymisierte Patientenkennung nur dann zur Verfügung stellt, wenn ihr Zugriff von dem Gateway für medizinische Daten gewährt wird.
  • Der zentralisierte Ansatz, bei dem die pseudonymisierten medizinischen Daten auf dem entfernten Speicher 1500 gespeichert werden und die Zuordnung zwischen der pseudonymisierten Patientenkennung und der nicht pseudonymisierten Patientenkennung in dem Gateway für medizinische Daten gespeichert wird, erlaubt somit einen einfachen Zugriff auf pseudonymisierte medizinische Daten durch laufende Anwendungen in dem lokalen und in dem entfernten Netzwerk, ohne spezielle Entwurfsanforderungen zur Gewährleistung der Vertraulichkeit der Daten. Es wird ferner erlaubt, dass diese Anwendungen zum Sammeln medizinischer Daten von einem einzigen Kontaktpunkt mit einer einzigen Schnittstelle, nämlich dem entfernten Speicher 1500, entworfen werden, anstatt dass man sich mit der Vielzahl von Schnittstellen befassen muss, die von den verschiedenen Eingabevorrichtungen 1100 implementiert werden. Außerdem wird erlaubt, den Zugriff auf die datenschutzsensitive Zuordnung zwischen der pseudonymisierten Patientenkennung und der pseudonymisierten Patientenkennung auf einfache Weise basierend auf einer Netzwerkkonfiguration zu steuern.
  • Während in der obigen Beschreibung die Anfrage zum Zugriff auf die nicht pseudonymisierte Patientenkennung als von dem Gateway 1300 für medizinische Daten direkt von der lokalen Anwendung 1400 oder von der entfernten Anwendung 1600 empfangen beschrieben wurde, ist die vorliegende Erfindung nicht auf diese Implementierung beschränkt. In einigen Fällen kann die Anfrage zum Zugreifen auf die nicht pseudonymisierte Patientenkennung von dem entfernten Speicher 1500 zusammen mit Informationen empfangen werden, die angeben, ob die Anfrage von der lokalen Anwendung 1400 oder der entfernten Anwendung 1600 stammt. Weiterhin alternativ oder zusätzlich können die verschiedenen Anfragen von Netzwerkknoten, wie etwa Routern, Repeatern usw., empfangen werden und an den vorgesehenen Zielknoten weitergeleitet werden.
  • Wie aus 1 ersichtlich ist, kann das Gateway 1300 für medizinische Daten ferner einen Speicher 1340, 1341 umfassen. In einigen Ausführungsformen kann der Speicher dazu ausgelegt sein, einen Speicher 1340 und einen Backup-Speicher 1341 zu umfassen. Die Speicher 1340 und 1341 können durch Hauptspeicher, einen Festkörperspeicher, eine Festplatte, die lokal an dem Gateway 1300 für medizinische Daten implementiert sind, aber auch durch einen entfernten Speicher, auf den der Gateway 1300 für medizinische Daten zugreifen kann, implementiert werden.
  • 3 veranschaulicht ferner einen Schritt S3300 der Pseudonymisierung, der eine mögliche weitere Implementierung des Pseudonymisierungsschritts S2300 sein kann. In Schritt S3300 kann, wie aus 3 ersichtlich ist, der Prozessor 1330 des Gateways 1300 für medizinische Daten ferner dazu ausgelegt sein, einen Schritt S3310 zum Erstellen einer pseudonymisierten Patientenkennung basierend zumindest auf der nicht pseudonymisierten Patientenkennung und der Datenquellenkennung auszuführen.
  • Darüber hinaus kann in Schritt S3300 der Prozessor 1330 des Gateways 1300 für medizinische Daten ferner dazu ausgelegt sein, einen Schritt S3320 des Zuordnens der medizinischen Daten zu der pseudonymisierten Patientenkennung auszuführen. Die Zuordnung kann beispielsweise als Tabelle implementiert werden, in der Teile der medizinischen Daten, insbesondere zumindest die Patientenkennung, der pseudonymisierten Patientenkennung zugeordnet sind. Andere bekannte Arten und Datenstrukturen zum Zuordnen von Daten können implementiert werden.
  • Des Weiteren kann der Prozessor 1330 des Gateways 1300 für medizinische Daten in Schritt S3300 ferner dazu ausgelegt sein, einen Schritt S3330 des Speicherns der pseudonymisierten Patientenkennung und der nicht pseudonymisierten Patientenkennung in dem Speicher 1340, 1341 auszuführen. Es versteht sich, dass dies nicht die vollständige Speicherung der medizinischen Daten in dem Speicher 1340, 1341 erfordert, der somit effizient genutzt werden kann. Im Allgemeinen ist jede Art der Speicherung realisierbar, die es ermöglicht, die nicht pseudonymisierte Patientenkennung basierend auf der jeweiligen pseudonymisierten Patientenkennung aus dem Speicher abzurufen.
  • Auf diese Weise kann sichergestellt werden, dass die datenschutzsensitive, nicht pseudonymisierte Patientenkennung und ihre Zuordnung zu der pseudonymisierten Patientenkennung in einer kontrollierten Umgebung nur einmal gespeichert werden.
  • Durch die weitere Speicherung der pseudonymisierten medizinischen Daten in dem entfernten Speicher 1500 kann sichergestellt werden, dass keine weiteren Kopien der medizinischen Daten, beispielsweise in den Eingabevorrichtungen 1100, aufbewahrt werden müssen. Insbesondere könnte in einigen Ausführungsformen in Betracht gezogen werden, dass nach dem Schritt des Exportierens S2400 alle verbleibenden Kopien der medizinischen Daten, außer der Kopie auf dem entfernten Speicher 1500, entfernt werden, beispielsweise basierend auf einem Befehl von dem Gateway 1300 für medizinische Daten.
  • Dies wird in 4 ausführlicher veranschaulicht. Insbesondere veranschaulicht 4 ferner einen Schritt S4400 des Exportierens, der eine mögliche weitere Implementierung des Exportschritts S2400 sein kann. In Schritt S4400 kann, wie aus 4 ersichtlich ist, der Prozessor 1330 des Gateways 1300 für medizinische Daten ferner dazu ausgelegt sein, einen Schritt S4410 des Übertragens der pseudonymisierten medizinischen Daten an den entfernten Speicher 1500 und einen Schritt S4420 des Löschens der pseudonymisierten medizinischen Daten von dem Gateway 1300 für medizinische Daten auszuführen. In diesem Fall ist klar, dass die nicht pseudonymisierte Patientenkennung und deren Zuordnung zu der pseudonymisierten Patientenkennung nicht zu den gelöschten Daten gehören.
  • 5 veranschaulicht ferner einen Schritt S5500 des Zugriffs, der eine mögliche weitere Implementierung des Zugriffsschritts S2500 sein kann. In Schritt S5500 kann, wie aus 5 ersichtlich ist, der Prozessor 1330 des Gateways 1300 für medizinische Daten ferner dazu ausgelegt sein, einen Schritt S5510 des Empfangens einer Umwandlungsanfrage auszuführen, die die pseudonymisierte Patientenkennung umfasst.
  • Wie oben diskutiert, kann die Anfrage direkt von der lokalen Anwendung 1400 oder von der entfernten Anwendung 1600 ausgegeben werden. Alternativ oder zusätzlich kann die Anfrage von oder über den entfernten Speicher 1500 ausgegeben werden, was anzeigt, ob der Ursprung der Anforderung die lokale Anwendung 1400 oder die entfernte Anwendung 1600 ist.
  • Außerdem kann der Prozessor 1330 des Gateways 1300 für medizinische Daten ferner dazu ausgelegt sein, einen Schritt S5520 zum Evaluieren, ob die Umwandlungsanfrage ausreichende Rechte zum Erhalten der nicht pseudonymisierten Patientenkennung hat, auszuführen. Dies kann beispielsweise basierend auf der Netzwerkadresse der Anwendung implementiert werden. Basierend darauf kann bestimmt werden, ob die Anwendung in dem lokalen Netzwerk läuft und somit über ausreichende Rechte für den Zugriff auf die nicht pseudonymisierte Patientenkennung verfügt, oder ob die Anwendung in dem entfernten Netzwerk läuft und daher nicht auf die nicht pseudonymisierte Patientenkennung zugreifen darf.
  • Im Falle eines positiven Ergebnisses des Evaluierungsschritts S5520, wodurch angezeigt wird, dass die anfragende Anwendung über ausreichende Rechte für den Zugriff auf die nicht pseudonymisierte Patientenkennung verfügt, kann der Prozessor 1330 des Gateways 1300 für medizinische Daten ferner dazu ausgelegt sein, einen Schritt S5530 des Umwandelns der pseudonymisierten Patientenkennung in die entsprechende nicht pseudonymisierte Patientenkennung auszuführen. Die nicht pseudonymisierte Patientenkennung kann dann an die anfragende Anwendung weitergeleitet werden.
  • Oben wurde eine Beschreibung bezüglich medizinischer Daten bereitgestellt, die von einer der Eingabevorrichtungen 1100 an das Gateway 1300 für medizinische Daten gesendet werden. Wie genau die Daten an das Gateway 1300 für medizinische Daten übertragen werden, ist eine Frage der Implementierung, und es können mehrere mögliche Verfahren implementiert werden. Im Folgenden werden einige besonders vorteilhafte Vorgehensweisen beschrieben.
  • In einigen Ausführungsformen kann, wie in 2 veranschaulicht wird, der Prozessor 1330 ferner dazu ausgelegt sein, einen Schritt S2120 des Empfangens einer Datenverfügbarkeits-Benachrichtigung auszuführen, die die Datenquellenkennung und die Patientenkennung umfasst. Die Datenverfügbarkeits-Benachrichtigung kann von der Eingabevorrichtung 1101-1102-110N entsprechend der angegebenen Datenquellenkennung ausgegeben werden. Dank dieses Ansatzes kann dem Gateway für medizinische Daten mitgeteilt werden, dass medizinische Daten an einer bestimmten Eingabevorrichtung 1101, 1102-110N, 1110 zum Sammeln verfügbar sind.
  • Alternativ oder zusätzlich kann der Prozessor 1330 ferner dazu ausgelegt sein, einen Schritt S2110 des Empfangens einer Datenabfrage, die die Datenquellenkennung und die Patientenkennung umfasst, auszuführen. Die Datenabfrage kann beispielsweise von den Anwendungen 1400, 1600 von dem entfernten Speicher 1500 oder von einer oder mehreren Ausgabevorrichtungen 1200 ausgegeben werden. Dank dieses Ansatzes können Daten nur dann von dem Gateway für medizinische Daten verarbeitet werden, wenn diese relevant werden.
  • In beiden Fällen könnte die Patientenkennung die nicht pseudonymisierte Patientenkennung oder die pseudonymisierte Patientenkennung sein. Falls die pseudonymisierte Patientenkennung verwendet wird, kann eine Umwandlung in die nicht pseudonymisierte Patientenkennung erforderlich sein, um die Daten von den Eingabevorrichtungen 1100 abzurufen. Wenn in diesem Fall die Datenabfrage oder die Verfügbarkeitsbenachrichtigung von einer Anwendung oder einer Vorrichtung außerhalb des lokalen Netzwerks stammt, kann das Gateway 1300 für medizinische Daten dazu ausgelegt sein, die Umwandlungsanfrage von der pseudonymisierten Patientenkennung in die nicht pseudonymisierte Patientenkennung abzulehnen, wie zuvor beschrieben. Auf diese Weise können mögliche Sicherheitsverletzungen in Form einer Datenabfrage oder Verfügbarkeitsbenachrichtigung verhindert werden.
  • In beiden Fällen kann, sobald das Gateway 1300 für medizinische Daten über die Datenquellenkennung, die die Eingabevorrichtung identifiziert, von der die medizinischen Daten gesammelt werden sollen, informiert ist, ein Multiplexer 1310 betrieben werden, so dass die medizinischen Daten von der jeweiligen Eingabevorrichtung 1101, 1102-110N, 1110 an den Prozessor übertragen werden können.
  • Insbesondere kann, um dies zu tun, in einigen Ausführungsformen, wie in 1 veranschaulicht, das System ferner einen Multiplexer 1310 umfassen, der dazu ausgelegt ist, den Prozessor 1330 mit einer Eingabevorrichtung 1101, 1102-110N, 1110 zu verbinden, die durch die Datenquellenkennung identifiziert wird. Während der Multiplexer 1310 als im Gateway 1300 für medizinische Daten enthalten veranschaulicht ist, ist die Erfindung nicht darauf beschränkt, und der Multiplexer 1310 könnte alternativ außerhalb des Gateways 1300 für medizinische Daten implementiert sein. Dank dieses Ansatzes können verschiedene Eingabevorrichtungen an ein einziges Gateway 1300 für medizinische Daten angeschlossen werden. Es ist klar, dass der Multiplexer 1310 in Hardware und/oder in Software implementiert werden kann.
  • In einigen Ausführungsformen kann, um die Sicherheit der medizinischen Daten zu erhöhen, der Pseudonymisierungsschritt S2300, S3300 jedes Mal implementiert werden, wenn medizinische Daten von einer der Eingabevorrichtungen 1101, 1102-110N, 1110 empfangen werden. Insbesondere könnte diese in Fällen, in denen die Generierung der pseudonymisierten Patientenkennung nicht nur auf der nicht pseudonymisierten Patientenkennung basiert, sondern auch auf anderen Daten, die bei jeder Datenerfassung von einer der Eingabevorrichtungen 1101, 1102-110N, 1110 variieren, jedes Mal, wenn neue Daten von einer der Eingabevorrichtungen 1100 abgerufen werden, eine andere pseudonymisierte Patientenkennung erhalten. Während dadurch aufgrund der Vielzahl von Zuordnungen zwischen der nicht pseudonymisierten Patientenkennung und mehreren pseudonymisierten Patientenkennungen die Speicherung erhöht wird, wird dadurch die Zuverlässigkeit der Vertraulichkeit der Daten erhöht. Sollte insbesondere eine Entsprechung zwischen einer pseudonymisierten Patientenkennung und der jeweiligen nicht pseudonymisierten Patientenkennung durch einen Hacker oder irrtümlicherweise identifiziert werden, lässt dies nur erkennen, dass die der angegebenen pseudonymisierten Patientenkennung zugeordneten spezifischen medizinischen Daten der jeweiligen nicht pseudonymisierten Patientenkennung entsprechen. Weitere medizinische Daten, die sich auf dieselbe nicht pseudonymisierte Patientenkennung beziehen, sind nicht erkennbar, da sie einer anderen pseudonymisierten Patientenkennung zugeordnet sein können.
  • In einigen Ausführungsformen, wie in 1 veranschaulicht, kann das System 1000 ferner einen Demultiplexer 1320 und/oder eine Vielzahl von Ausgabevorrichtungen 1200 umfassen. Es ist klar, dass der Demultiplexer 1320 in Hardware und/oder in Software implementiert sein kann. Die Ausgabevorrichtungen können nur Ausgabevorrichtungen, wie etwa die Vorrichtung 1201, 1202-120N, sowie eine Eingabe-/Ausgabevorrichtung, wie etwa die Vorrichtung 1110, umfassen. Die Ausgabevorrichtungen können dazu ausgelegt sein, über das Gateway 1300 für medizinische Daten abgerufene medizinische Daten auszugeben. In einigen Ausführungsformen können die medizinischen Daten durch das Gateway 1300 für medizinische Daten bereitgestellt werden, indem diese Daten von einer oder mehreren der Eingabevorrichtungen 1100 abgerufen werden. Alternativ oder zusätzlich können die medizinischen Daten durch das Gateway 1300 für medizinische Daten bereitgestellt werden, indem diese Daten aus dem entfernten Speicher 1500 abgerufen werden.
  • Die Verbindung von dem Prozessor 1330 zu den Ausgabevorrichtungen 1200 kann, falls implementiert, über den Demultiplexer 1320 gehen. Der Demultiplexer 1320 kann insbesondere unterschiedliche Datenflüsse zulassen, die beispielsweise unterschiedlichen Protokollen zugeordnet sind oder von einer oder mehreren Eingabevorrichtungen 1100 sowie von dem entfernten Speicher 1500 an die entsprechende Ausgabevorrichtung 1200 umgeleitet werden.
  • Aus der obigen Beschreibung ist daher klar, wie die Erfindung basierend auf einer Netzwerkkonfiguration den Zugriff auf nicht pseudonymisierte Patientenkennungen erlauben oder verweigern kann. Dies vereinfacht den Entwurf und den Betrieb von Anwendungen, die mit den medizinischen Daten arbeiten, denen der Zugriff in Abhängigkeit von ihrer Netzwerkverbindung gewährt oder verweigert werden kann, anstatt auf zwei unterschiedliche Arten konzipiert zu sein. Darüber hinaus wird durch Speichern der Entsprechung zwischen der nicht pseudonymisierten Patientenkennung und der pseudonymisierten Patientenkennung in einem Gateway für medizinische Daten die Kontrolle über die sensiblen nicht pseudonymisierten Patientenkennungen aufrechterhalten, wodurch die Datenschutzkonformität und die Robustheit des Systems erhöht werden.
  • Zusammenfassend sind oben Techniken beschrieben worden, die dabei helfen, Patientenkennungen dauerhaft zu speichern, indem sie einen entsprechenden Sicherungsmechanismus bereitstellen. Der Sicherungsmechanismus kann die Verwendung der Patientenkennungen innerhalb eines lokalen Netzwerks, z. B. eines Krankenhauses, einschränken. Pseudonymisierte Patientenkennungen können auf einen externen Datenspeicher hochgeladen werden. Gemäß verschiedenen Techniken wird ein Re-Identifizierungskonzept bereitgestellt, bei dem Anwendungen - z. B. medizinische Anwendungen, die medizinisches Personal unterstützen - ursprüngliche Patientenkennungen abrufen können, wenn sie sich in dem lokalen Netzwerk befinden. Dieses Abrufen kann auf den pseudonymisierten Kennungen basieren, wenn die Anwendungen außerhalb des lokalen Netzwerks ausgeführt werden.
  • Während oben verschiedene Ausführungsformen beschrieben wurden, die jeweils eines oder mehrere Merkmale umfassen, ist klar, dass die Erfindung nicht auf die beschriebenen Ausführungsformen in diesen spezifischen Formen beschränkt ist. Ein Fachmann wird erkennen, dass zusätzliche Ausführungsformen implementiert werden können, indem eines oder mehrere Merkmale aus einer der Ausführungsformen mit einem oder mehreren Merkmalen aus einer anderen Ausführungsform kombiniert werden.
  • Zur Veranschaulichung wurden zwar verschiedene Szenarien im Zusammenhang mit pseudonymisierten und nicht pseudonymisierten Daten im Zusammenhang mit medizinischen Daten beschrieben, ähnliche Techniken können jedoch auch auf andere Anwendungsfälle anwendbar sein, z. B. Anwendungsfälle, die die Anwesenheit von Personen oder Aktivitäten von Personen erkennen, usw.

Claims (16)

  1. Medizinisches Datenverwaltungssystem (1000) zur Verwaltung medizinischer Daten, umfassend: ein Gateway (1300) für medizinische Daten, das einen Prozessor (1330) umfasst, der mit einer Vielzahl von Eingabevorrichtungen (1100) verbindbar ist, wobei das Gateway (1300) für medizinische Daten mit einem lokalen Netzwerk verbunden ist, wobei der Prozessor (1330) dazu ausgelegt ist, den Schritt auszuführen: - Sammeln (S2200, S4200) medizinischer Daten, die einer nicht pseudonymisierten Patientenkennung und einer Datenquellenkennung zugeordnet sind, von einer Eingabevorrichtung (1101, 1102-110N, 1110) der Vielzahl von Eingabevorrichtungen (1100), - Pseudonymisieren (S2300, S3300) zumindest der nicht pseudonymisierten Patientenkennung der medizinischen Daten, - Exportieren (S2400, S4400) der pseudonymisierten medizinischen Daten in einen entfernten Speicher (1500), wobei der entfernte Speicher (1500) Teil eines entfernten Netzwerks außerhalb des lokalen Netzwerks ist, - Erlauben eines Zugriffs (S2500, S5500) auf die nicht pseudonymisierte Patientenkennung für eine lokale Anwendung (1400), die in dem lokalen Netzwerk läuft, und/oder Verweigern eines Zugriffs auf die nicht pseudonymisierte Patientenkennung für eine entfernte Anwendung (1600), die außerhalb des lokalen Netzwerks läuft.
  2. System (1000) nach Anspruch 1, wobei das Gateway (1300) für medizinische Daten ferner einen Speicher (1340, 1341) umfasst, wobei für den Schritt des Pseudonymisierens (S3300) der Prozessor (1330) ferner dazu ausgelegt ist, die Schritte auszuführen: - Erstellen (S3310) einer pseudonymisierten Patientenkennung basierend auf der nicht pseudonymisierten Patientenkennung und der Datenquellenkennung, - Zuordnen (S3320) der medizinischen Daten zu der pseudonymisierten Patientenkennung, und - Speichern (S3330) der pseudonymisierten Patientenkennung und der nicht pseudonymisierten Patientenkennung in dem Speicher (1340, 1341).
  3. System (1000) nach Anspruch 1 oder 2, wobei für den Schritt des Exportierens (S4400) der Prozessor (1330) ferner dazu ausgelegt ist, die Schritte auszuführen: - Übertragen (S4410) der pseudonymisierten medizinischen Daten an den entfernten Speicher (1500), - Löschen (S4420) der pseudonymisierten medizinischen Daten aus dem Gateway (1300) für medizinische Daten.
  4. System (1000) nach einem der vorhergehenden Ansprüche, wobei für den Schritt des Zugreifens (S5500) der Prozessor (1330) ferner dazu ausgelegt ist, die Schritte auszuführen: - Empfangen (S5510) einer Umwandlungsanfrage, die die pseudonymisierte Patientenkennung umfasst, - Evaluieren (S5520), ob die Umwandlungsanfrage ausreichende Rechte zum Erhalten der nicht pseudonymisierten Patientenkennung hat, - im Falle eines positiven Ergebnisses des Evaluierungsschritts (S5520), Umwandeln (S5530) der pseudonymisierten Patientenkennung in die entsprechende nicht pseudonymisierte Patientenkennung.
  5. System (1000) nach Anspruch 1, wobei der Prozessor (1330) ferner dazu ausgelegt ist, den Schritt auszuführen: - Empfangen (S2120) einer Datenverfügbarkeits-Benachrichtigung, die die Datenquellenkennung und die Patientenkennung umfasst.
  6. System (1000) nach Anspruch 1, wobei der Prozessor (1330) ferner dazu ausgelegt ist, den Schritt auszuführen: - Empfangen (S2110) einer Datenabfrage, die die Datenquellenkennung und die Patientenkennung umfasst.
  7. System (1000) nach Anspruch 5 oder 6, das ferner einen Multiplexer (1310) umfasst, der dazu ausgelegt ist, den Prozessor (1330) mit einer Eingabevorrichtung (1101, 1102-110N, 1110) zu verbinden, die durch die Datenquellenkennung identifiziert wird.
  8. System (1000) nach einem der vorhergehenden Ansprüche, das ferner einen Demultiplexer (1320) umfasst, der dazu ausgelegt ist, den Prozessor (1330) mit einer Ausgabevorrichtung (1110, 1201, 1202-120N) zu verbinden.
  9. Medizinisches Datenverwaltungsverfahren (2000) zum Verwalten medizinischer Daten, umfassend die Schritte: - an einem Gateway (1300) für medizinische Daten, das mit einem lokalen Netzwerk verbunden ist, Sammeln (S2200, S4200) medizinischer Daten, die einer nicht pseudonymisierten Patientenkennung und einer Datenquellenkennung zugeordnet sind, von einer Eingabevorrichtung (1101, 1102-110N, 1110) einer Vielzahl von Eingabevorrichtungen (1100), - Pseudonymisieren (S2300, S3300) zumindest der nicht pseudonymisierten Patientenkennung der medizinischen Daten, - Exportieren (S2400, S4400) der pseudonymisierten medizinischen Daten in einen entfernten Speicher (1500), wobei der entfernte Speicher (1500) Teil eines entfernten Netzwerks außerhalb des lokalen Netzwerks ist, - Erlauben des Zugriffs (S2500, S5500) auf die nicht pseudonymisierte Patientenkennung für eine lokale Anwendung (1400), die in dem lokalen Netzwerk läuft, und/oder Verweigern eines Zugriffs auf die nicht pseudonymisierte Patientenkennung für eine entfernte Anwendung (1600), die außerhalb des lokalen Netzwerks läuft.
  10. Verfahren (2000) nach Anspruch 9, wobei der Schritt des Pseudonymisierens (S3300) die Schritte umfasst: - Erstellen (S3310) einer pseudonymisierten Patientenkennung basierend auf der nicht pseudonymisierten Patientenkennung und der Datenquellenkennung, - Zuordnen (S3320) der medizinischen Daten zu der pseudonymisierten Patientenkennung, und - Speichern (S3330) der pseudonymisierten Patientenkennung und der nicht pseudonymisierten Patientenkennung in einem Speicher (1340, 1341).
  11. Verfahren (2000) nach Anspruch 9 oder 10, wobei der Schritt des Exportierens (S4400) die Schritte umfasst: - Übertragen (S4410) der pseudonymisierten medizinischen Daten an den entfernten Speicher (1500), - Löschen (S4420) der pseudonymisierten medizinischen Daten aus dem Gateway (1300) für medizinische Daten.
  12. Verfahren (2000) nach einem der Ansprüche 9 bis 11, wobei der Schritt des Zugreifens (S5500) die Schritte umfasst: - Empfangen (S5510) einer Umwandlungsanfrage, die die pseudonymisierte Patientenkennung umfasst, - Evaluieren (S5520), ob die Umwandlungsanfrage ausreichende Rechte zum Erhalten der nicht pseudonymisierten Patientenkennung hat, - im Falle eines positiven Ergebnisses des Evaluierungsschritts (S5520), Umwandeln (S5530) der pseudonymisierten Patientenkennung in die entsprechende nicht pseudonymisierte Patientenkennung.
  13. Verfahren (2000) nach Anspruch 9, ferner umfassend den Schritt: - Empfangen (S2120) einer Datenverfügbarkeits-Benachrichtigung, die die Datenquellenkennung und die Patientenkennung umfasst.
  14. Verfahren (2000) nach Anspruch 9, ferner umfassend den Schritt: - Empfangen (S2110) einer Datenabfrage, die die Datenquellenkennung und die Patientenkennung umfasst.
  15. Verfahren (2000) nach Anspruch 13 oder 14, ferner umfassend einen Schritt des Multiplexens einer Verbindung zwischen einem Prozessor (1330) des Gateways (1300) für medizinische Daten und einer Eingabevorrichtung (1101, 1102-110N, 1110), die durch die Datenquellenkennung identifiziert wird.
  16. Verfahren (2000) nach einem der Ansprüche 9 bis 15, ferner umfassend einen Schritt des Demultiplexens einer Verbindung zwischen einem Prozessor (1330) des Gateways (1300) für medizinische Daten und einer Ausgabevorrichtung (1110, 1201, 1202-120N) .
DE102020212187.7A 2020-09-28 2020-09-28 Medizinisches Datenverwaltungssystem Pending DE102020212187A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102020212187.7A DE102020212187A1 (de) 2020-09-28 2020-09-28 Medizinisches Datenverwaltungssystem
US17/476,526 US20220101964A1 (en) 2020-09-28 2021-09-16 Medical data management system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020212187.7A DE102020212187A1 (de) 2020-09-28 2020-09-28 Medizinisches Datenverwaltungssystem

Publications (1)

Publication Number Publication Date
DE102020212187A1 true DE102020212187A1 (de) 2022-03-31

Family

ID=80624609

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020212187.7A Pending DE102020212187A1 (de) 2020-09-28 2020-09-28 Medizinisches Datenverwaltungssystem

Country Status (2)

Country Link
US (1) US20220101964A1 (de)
DE (1) DE102020212187A1 (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11687672B1 (en) * 2022-01-07 2023-06-27 Beijing Bytedance Network Technology Co., Ltd. Data access gateway for security and privacy
EP4346157A1 (de) 2022-09-27 2024-04-03 Siemens Healthineers AG Computerimplementiertes verfahren zur bereitstellung eines verschlüsselten datensatzes mit globaler trainierter funktion, computerimplementiertes verfahren zur wiederherstellung persönlicher informationen, computersystem und computerprogramm
US20240143838A1 (en) * 2022-10-28 2024-05-02 nference, inc. Apparatus and a method for anonymizing user data

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040078238A1 (en) 2002-05-31 2004-04-22 Carson Thomas Anonymizing tool for medical data
WO2006130346A2 (en) 2005-05-27 2006-12-07 Ashok Dave Medical alert communication systems and methods
EP2815372B1 (de) 2012-02-14 2018-04-18 TeraRecon, Inc. Cloud-basiertes medizinisches bildbearbeitungssystem mit anonymem datenupload und -download

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5696761A (en) * 1995-08-31 1997-12-09 Lucent Technologies Inc Method and apparatus for interfacing low speed access links to a high speed time multiplexed switch fabric
US10307104B2 (en) * 2011-07-05 2019-06-04 Saudi Arabian Oil Company Chair pad system and associated, computer medium and computer-implemented methods for monitoring and improving health and productivity of employees
US9973836B1 (en) * 2016-03-11 2018-05-15 Juniper Networks, Inc. Detecting a transceiver using a noise optical signal

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040078238A1 (en) 2002-05-31 2004-04-22 Carson Thomas Anonymizing tool for medical data
WO2006130346A2 (en) 2005-05-27 2006-12-07 Ashok Dave Medical alert communication systems and methods
EP2815372B1 (de) 2012-02-14 2018-04-18 TeraRecon, Inc. Cloud-basiertes medizinisches bildbearbeitungssystem mit anonymem datenupload und -download

Also Published As

Publication number Publication date
US20220101964A1 (en) 2022-03-31

Similar Documents

Publication Publication Date Title
DE102020212187A1 (de) Medizinisches Datenverwaltungssystem
EP2766863A1 (de) Verfahren zur bearbeitung von patientenbezogenen datensätzen
US20090187423A1 (en) Method for online management of medical record forms
Atac et al. An overview to ethical problems in telemedicine technology
DE102009001719B4 (de) Verfahren zur Erzeugung von asymmetrischen kryptografischen Schlüsselpaaren
EP2147388B1 (de) Computersystem und verfahren zur speicherung von daten
DE112013000642B4 (de) Verwaltung und Abruf von verschlüsselten biometrischen Daten
US20040193901A1 (en) Dynamic configuration of patient tags and masking types while de-identifying patient data during image export from PACS diagnostic workstation
US20070192138A1 (en) Medical record system in a wide-area network environment
DE102008020610A1 (de) Vorrichtungen und Verfahren zur Validierung klinischer Daten
DE102007019375A1 (de) Systeme und Verfahren zur Re-Identifikation von Patienten
EP1451736A2 (de) Datenverarbeitungssystem für patientendaten
EP1084465B1 (de) Verfahren zum abgesicherten zugriff auf daten in einem netzwerk
EP2759957B1 (de) Übertragungsmittel für sicherheitskritische medizinische Bildinhalte
US20190287672A1 (en) Archive server and system
DE102013202825A1 (de) Verfahren und System zur Darstellung medizinischer Inhalte
KR20110066576A (ko) 임상시험 및 임상연구용 의료 정보관리 시스템 및 방법
DE102007021275A1 (de) Verfahren zur Übertragung und/oder zur Bereitstellung persönlicher elektronischer Daten eines Inhabers, insbesondere gesundheitsbezogener elektronischer Daten eines Patienten
WO2019206384A1 (de) Verfahren zum zusammenführen von unterschiedlichen teildaten
Santos et al. Multi vendor DICOM metadata access a multi site hospital approach using Dicoogle
DE10209780B4 (de) Datenverarbeitungssystem für Patientendaten
DE202021100647U1 (de) Personendatenanonymisierungssystem (PDAS) mit kundenspezifischem Token
DE102014003889A1 (de) Verfahren und System zur anonymisierten Bereitstellung von medizinischen Bilddaten über das Internet
EP2693352A1 (de) System zur Übertragung personenbezogener und nicht personenbezogener Daten (Data-Split)
EP3023902A1 (de) Verfahren zum Anonymisieren von medizinischen Datensätzen

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R081 Change of applicant/patentee

Owner name: SIEMENS HEALTHINEERS AG, DE

Free format text: FORMER OWNER: SIEMENS HEALTHCARE GMBH, MUENCHEN, DE