DE10209780A1 - Datenverarbeitungssystem für Patientendaten - Google Patents

Datenverarbeitungssystem für Patientendaten

Info

Publication number
DE10209780A1
DE10209780A1 DE10209780A DE10209780A DE10209780A1 DE 10209780 A1 DE10209780 A1 DE 10209780A1 DE 10209780 A DE10209780 A DE 10209780A DE 10209780 A DE10209780 A DE 10209780A DE 10209780 A1 DE10209780 A1 DE 10209780A1
Authority
DE
Germany
Prior art keywords
data
patient
health
health data
processing system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE10209780A
Other languages
English (en)
Other versions
DE10209780B4 (de
Inventor
Christian Thielscher
Martin Goettfried
Simon Umbreit
Frank Boegner
Jochen Haack
Nikolai V Schroeders
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SYMBASIS GmbH
Original Assignee
SYMBASIS GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=7702057&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE10209780(A1) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by SYMBASIS GmbH filed Critical SYMBASIS GmbH
Priority to DE10209780A priority Critical patent/DE10209780B4/de
Priority to TW091123258A priority patent/TWI254233B/zh
Priority to EP02774694A priority patent/EP1451736A2/de
Priority to JP2003536953A priority patent/JP2005505863A/ja
Priority to CNA028245547A priority patent/CN1602495A/zh
Priority to PCT/EP2002/011305 priority patent/WO2003034294A2/de
Priority to CA002462981A priority patent/CA2462981A1/en
Priority to US10/492,298 priority patent/US20050043964A1/en
Publication of DE10209780A1 publication Critical patent/DE10209780A1/de
Publication of DE10209780B4 publication Critical patent/DE10209780B4/de
Application granted granted Critical
Anticipated expiration legal-status Critical
Revoked legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Human Resources & Organizations (AREA)
  • Operations Research (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Data Mining & Analysis (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Medical Treatment And Welfare Office Work (AREA)

Abstract

Die Erfindung bezieht sich auf ein Datenverarbeitungssystem zur Verarbeitung von Patientendaten, die personenidentifizierende Daten eines jeweiligen Patienten und zugehörige Gesundheitsdaten (GD) umfassen, mit einer Zentralstelle (3), die eine die Gesundheitsdaten speichernde Datenbank (4) beinhaltet, und mit Endgeräten (1), die mit der Zentralstelle zum Abrufen von Gesundheitsdaten aus der Datenbank und/oder zum Einlesen von Gesundheitsdaten in die zentrale Datenbank verbunden sind. DOLLAR A Erfindungsgemäß sind die Gesundheitsdaten in der zentralen Datenbank ohne Zuordnung zu Personendaten gespeichert, wobei dem Gesundheitsdatensatz eines jeweiligen Patienten ein Datensatzidentifikationscode (DIC) zugeordnet ist, dessen Eingabe zum Abruf des Gesundheitsdatensatzes notwendig ist. DOLLAR A Verwendung z. B. für ein System mit elektronischen Patientenakten.

Description

  • Die Erfindung bezieht sich auf ein Datenverarbeitungssystem zur Verarbeitung von Patientendaten, die personenidentifizierende Personendaten eines jeweiligen Patienten und zugehörige Gesundheitsdaten umfassen, wobei das System eine oder mehrere Zentralstellen jeweils mit einer die Gesundheitsdaten speichernden Datenbank und mit der Datenbank verbundene Endgeräte beinhaltet, über die Gesundheitsdaten von Patienten aus der Datenbank ausgelesen und/oder in selbige eingelesen werden können.
  • In jüngerer Zeit nehmen Bestrebungen im Gesundheitswesen zu, die Behandlung von Patienten durch eine optimierte Verarbeitung der Gesundheitsdaten, d. h. der den Gesundheitszustand des jeweiligen Patienten beschreibenden Daten, kosteneffizient zu verbessern. Hierzu erweist sich ein vernetztes Datenverarbeitungssystem als vorteilhaft, durch das verschiedene Behandler, wie Ärzte, sowie Apotheker und Kostenträger, wie Krankenkassen, effizienteren Zugriff auf benötigte Gesundheitsdaten erhalten können. Solche Systeme sind derzeit unter dem Stichwort "elektronische Patientenakte" im Gespräch.
  • Gesundheitsdaten sind allerdings hochsensibel und daher einem sehr strengen Datenschutz zu unterstellen, um zu vermeiden, dass nicht autorisierte Behandler oder andere Personen Zugriff auf gespeicherte Gesundheitsdaten erhalten können.
  • Der Erfindung liegt daher als technisches Problem die Bereitstellung eines neuartigen Datenverarbeitungssystems zur Verarbeitung von Patientendaten zugrunde, bei dem die Gesundheitsdaten in der zentralen Datenbank mit hohem Schutz vor nicht autorisiertern Zugriff abgespeichert sind.
  • Die Erfindung löst dieses Problem durch die Bereitstellung eines Datenverarbeitungssystems mit den Merkmalen des Anspruchs 1. Bei diesem System sind die Gesundheitsdaten in der jeweiligen zentralen Datenbank ohne Zuordnung zu Personendaten gespeichert, so dass es Unbefugten selbst bei Auslesen der Gesundheitsdaten aus der Datenbank nicht möglich ist, diese bestimmten Personen zuzuordnen.
  • Das berechtigte Abrufen von Gesundheitsdaten eines jeweiligen Patienten erfordert die Eingabe eines ihm zugeordneten Datensatzidentifikationscodes. Durch diesen Code kann zwar gezielt ein zugehöriger Gesundheitsdatensatz aus der zentralen Datenbank ausgelesen werden, jedoch ist dieser Code von Personendaten entkoppelt, d. h. eine Zuordnung des ausgelesenen Datensatzes zu einer bestimmten Person ist anhand dieses Codes allein nicht möglich. Auf diese Weise lässt sich erreichen, dass die Zuordnung von ausgelesenen Gesundheitsdaten zu einer bestimmten Person nicht ohne Mitwirkung bzw. Zustimmung der betreffenden Person möglich ist. Dazu können den Patienten entsprechende Autorisierungsmittel zur Verfügung gestellt werden, mit denen sie z. B. einen Behandler in die Lage versetzen können, die gewünschten Gesundheitsdaten unter Zuhilfenahme des zugehörigen Datensatzidentifikationscodes aus der zentralen Datenbank auszulesen. Erfindungsgemäß wird somit eine effiziente, zentralisierte Gesundheitsdatenhaltung realisiert, die andererseits einen sehr hohen Schutz davor bietet, dass Unberechtigte Zugang zu personenbezogenen Gesundheitsdaten erhalten.
  • In einer Weiterbildung der Erfindung nach Anspruch 2 beinhaltet der zum Abrufen eines jeweiligen Gesundheitsdatensatzes erforderliche Datensatzidentifikationscode einen auf einer elektronischen Patientenkarte gespeicherten Patientenkartencode und einen vom Patienten einzugebenden Patientenidentifikationscode. Ein Datenabruf erfordert daher sowohl die Bereitstellung der elektronischen Patientenkarte durch den Patienten als auch dessen Eingabe seines Patientenidentifikationscodes, d. h. der Datenabruf ist von einer doppelt gesicherten Mitwirkung des Patienten abhängig.
  • In einer Weiterbildung der Erfindung nach Anspruch 3 beinhaltet der Datensatzidentifikationscode einen auf einer elektronischen Patientenkarte gespeicherten Patientenkartencode und einen Behandleridentifikationscode, der den abfragenden Behandler identifiziert. Indem auf diese Weise das Abrufen von Gesundheitsdaten auch die Eingabe des Behandleridentifikationscodes erfordert, kann das System überwachen, welcher Behandler wann Gesundheitsdaten abgefragt hat.
  • In einer weiteren Ausgestaltung der Erfindung ist gemäß Anspruch 4 eine verschlüsselte Übertragung des Datensatzidentifikationscodes und/oder eine verschlüsselte Übertragung der aus der zentralen Datenbank abgerufenen Gesundheitsdaten vorgesehen. Dies wirkt einem unberechtigten Abfangen des Datensatzidentifikationscodes bzw. der aus der Datenbank abgerufenen Gesundheitsdaten entgegen und erhöht somit weiter die Datensicherheit.
  • Ein nach Anspruch 5 weitergebildetes System gibt dem Endgerätenutzer, insbesondere einem behandelnden Arzt, eine zeitbegrenzte Berechtigung zum Einlesen neuer bzw. aktualisierter Gesundheitsdaten eines Patienten in die zentrale Datenbank im Anschluss an eine anhand des Datensatzidentifikationscodes, als berechtigt erkannte Anmelde- bzw. Ausleseprozedur, an dessen Durchführung der Patient mitzuwirken hat. Diese Maßnahme ermöglicht es dem Behandler, neue Gesundheitsdaten innerhalb eines gewissen Zeitraums von z. B. wenigen Wochen oder Monaten nach einem Behandlungstermin in die zentrale Datenbank einzugeben, ohne dass hierfür der Patient anwesend sein muss.
  • In einer Weiterbildung der Erfindung nach Anspruch 6 enthält die elektronische Patientenkarte ein personenidentifizierendes Bild. Der Behandler kann dieses Bild mit der ihm die Karte überreichenden Person auf Identität abgleichen, was einem Missbrauch der Karte entgegenwirkt.
  • Bei einem nach Anspruch 7 weitergebildeten System ist in der Zentralstelle ein Pseudonymisierungsrechner physikalisch getrennt von der zentralen Datenbank vorgesehen, d. h. ohne eine online-Verbindung mit dieser. Der Pseudonymisierungsrechner beinhaltet eine Zuordnungstabelle von personenidentifizierenden Daten einerseits und Datensatzidentifikationscodes andererseits. Zum Einlesen von Gesundheitsdaten eines jeweiligen Patienten in die zentrale Datenbank werden diese zusammen mit personenidentifizierenden Daten vorzugsweise verschlüsselt zum Pseudonymisierungsrechner der Zentralstelle übertragen, der daraufhin die personenidentifizierenden Daten gegen den zugehörigen Datensatzidentifikationscode austauscht und letzteren zusammen mit den empfangenen Gesundheitsdaten zur offline-Übertragung an die zentrale Datenbank bereitstellt, wo sie anschließend abrufbar abgespeichert werden. Die physikalische Trennung von Pseudonymisierungsrechner und Datenbank macht es Unbefugten selbst bei einem erfolgreichen Einbruch in den Datenbestand der Datenbank unmöglich, an die Gesundheitsdaten zugeordnet zu bestimmten Personen zu gelangen.
  • In einer weiteren Ausgestaltung der Erfindung ist nach Anspruch 8 in der Zentralstelle ein vom Pseudonymisierungsrechner physikalisch getrennter Eingangsrechner vorgesehen. An diesen sind die nutzerseitigen Endgeräte über eine online-Verbindung angeschlossen. Der Eingangsrechner empfängt von den Endgeräten vorzugsweise verschlüsselt und z. B. mit der oben erwähnten, zeitbegrenzten Einleseberechtigung geschickte, in der zentralen Datenbank abzuspeichernde Gesundheitsdaten zusammen mit den zugehörigen personenidentifizierenden Daten und stellt diese ausgangsseitig zur offline-Weiterleitung an den Pseudonymisierungsrechner bereit. Auf diese Wiese ist der Pseudonymisierungsrechner von den nutzerseitigen Endgeräten und dem zugehörigen Datennetz vollständig physikalisch getrennt, so dass die in ihm abgelegte Zuordnungstabelle von personenidentifizierenden Daten zu Datensatzidentifizierungscodes vor missbräuchlichen online-Zugriffen absolut gesichert ist.
  • In einer Weiterbildung der Erfindung nach Anspruch 9 ist auf der Patientendatenkarte ein gewisser Teil der zu dem Patienten gehörigen, in der zentralen Datenbank gespeicherten Gesundheitsdaten direkt auf der Patientendatenkarte abrufbar gespeichert. Dies gibt einem Behandler z. B. in einem Notfall die Möglichkeit, anhand der Karte Kenntnis dieser Daten über den Gesundheitszustand des Patienten zu erhalten, wenn die zum Abfragen der zentralen Datenbank erforderliche Mitwirkung des Patienten in diesem Moment nicht möglich ist.
  • In einer weiteren, für Notfälle relevanten Weiterbildung der Erfindung ist nach Anspruch 10 eine Notfallrufzentrale vorhanden, die der Zentralstelle gegenüber anfrage- und ausleseberechtigt ist, um Notfall-Auslesevorgänge durchzuführen, mit denen Gesundheitsdaten eines Patienten einem Behandler in Notfallsituationen zur Verfügung gestellt werden können, wenn der Patient nicht in der Lage ist, mit dem Behandler einen normalen Datenabruf vorzunehmen. Der Behandler hat sich für diese Fälle unter Verwendung entsprechender Authentikationsmittel gegenüber der Notfallrufzentrale als berechtigt auszuweisen.
  • Vorteilhafte Ausführungsformen der Erfindung sind in den Zeichnungen dargestellt und werden nachfolgend beschrieben. Hierbei zeigen:
  • Fig. 1 ein schematisches Blockschaltbild der zum Auslesen von Daten relevanten Komponenten eines Datenverarbeitungssystems zur Verarbeitung von Patientendaten,
  • Fig. 2 ein schematisches Blockdiagramm für eine Variante des Systems von Fig. 1 und
  • Fig. 3 ein schematisches Blockdiagramm der zum Einlesen von Daten relevanten Komponenten der Systeme von Fig. 1 bzw. Fig. 2.
  • Fig. 1 veranschaulicht schematisch die zum Auslesen von Daten relevanten Komponenten eines Datenverarbeitungssystems zur Verarbeitung von Patientendaten und einen mit diesen durchgeführten Datenauslesevorgang. Das System beinhaltet ein Datennetz, das mehrere Endgeräte, typischerweise eine Vielzahl von Endgeräten, von denen in Fig. 1 nur stellvertretend ein Endgerät 1 in Form eines PC dargestellt ist, umfasst, die über eine jeweilige online-Verbindung 2 mit einer Zentralstelle 3 verbunden sind. Letztere enthält einen Ausgangsrechner 4, der als zentrale Gesundheitsdatenbank fungiert. Je nach Bedarf können auch mehrere solcher Zentralstellen mit jeweiliger Datenbank in einer Realisierung als verteiltes System vorgesehen sein.
  • In der Gesundheitsdatenbank 4 sind die Gesundheitsdaten eines jeweiligen Patienten als Gesundheitsdatensatz zusammen mit je einem eigens zugeordneten Datensatzidentifizierungscode abrufbar abgelegt. Die Gesundheitsdaten können elektronische Rezepte, Arztbriefe, Labordaten, Röntgenbilder usw. sein. Der Datensatzidentifizierungscode ist so gewählt, dass aus dessen Kenntnis allein keinerlei Rückschluss auf die Identität des Patienten möglich ist. Damit ist sichergestellt, dass es einem Unbefugten nicht möglich ist, durch unberechtigtes Auslesen von Daten aus der zentralen Datenbank 4 Kenntnis darüber zu erhalten, für welche Personen Gesundheitsdaten gespeichert sind und welche Gesundheitsdaten zu einer jeweiligen Person gehören.
  • Diese Zuordnung ausgelesener Gesundheitsdaten zu bestimmten Personen erfordert vielmehr, abgesehen von weiter unten beschriebenen Notfällen, eine aktive Mitwirkung des Patienten, wozu das System entsprechend ausgelegt ist. In der in Fig. 1 gezeigten Grundvariante umfasst das System zu diesem Zweck für jeden Patienten eine elektronische Patientenkarte 5, auf der ein Patientenkartencode 5a gespeichert ist, der auch als Kartennummer bezeichnet werden kann. Zur weiteren Sicherheitserhöhung erhält jeder Patient als Systemnutzer eine nur ihm bekannte Personenidentifikationsnummer (PIN), mit der sichergestellt wird, dass die abgerufenen Gesundheitsdaten sich auf ihn beziehen, d. h. ein unbefugter Besitz der Patientenkarte 5 ermöglicht noch keinen Gesundheitsdatenabruf. Statt einer solchen PIN kann alternativ auch ein anderer personenspezifischer Code verwendet werden, z. B. ein solcher, der ein spezifisches biometrisches Personenmerkmal beinhaltet.
  • Die Kartennummer 5a und die PIN bilden zusammen den Datensatzidentifikationscode DIC, mit dem zusammen der betreffende Gesundheitsdatensatz in der zentralen Datenbank 4 abgespeichert ist und der für einen erfolgreichen Datenabruf zu übermitteln ist. Dazu wird die Patientenkarte 5 an einem Endgerät 1, das z. B. bei einem behandelnden Arzt steht, zum Auslesen der Kartennummer 5a eingesteckt, und zusätzlich gibt der Patient seine PIN ein. Das Endgerät 1 übermittelt die Kartennummer 5a und die PIN als den Datensatzidentifizierungscode DIC an die Zentralstelle 3, um die Rückübermittlung des zugehörigen Gesundheitsdatensatzes anzufordern.
  • Die Zentralstelle 3 überprüft mit ihrem Datenbank-Ausgangsrechner 4 den übermittelten DIC auf Übereinstimmung mit einem der abgespeicherten DICs und sendet bei festgestellter Übereinstimmung den zugehörigen Gesundheitsdatensatz GD(DIC) zum anfragenden Endgerät 1. Selbst wenn diese Datenübertragung von einem Unbefugten abgehört würde, wäre dieser nicht in der Lage, die abgehörten Daten GD(DIC) einer bestimmten Person zuzuordnen, da sie keinerlei personenidentifizierende Information enthalten. Auch ein unbefugtes Abfangen der Übertragung des DICs würde es einem Unbefugten höchstens ermöglichen, den zugehörigen Gesundheitsdatensatz GD(DIC) aus der zentralen Datenbank 4 auszulesen, er hätte aber keine Information darüber, zu welcher Person selbiger gehört.
  • Einem Unberechtigten ist es auch durch Eindringen in das Endgerätesystem 1 des Behandlers nicht möglich, die Anonymität der Daten zu durchbrechen, da dem Behandler und dessen Endgerät 1 weder die Patientenkartennummer 5a, noch die PIN des Patienten bekannt ist. Die Patientenkarte 5 kann z. B. von einem sogenannten Trustcenter, d. h. einer zur Ausgabe von sicherheitskritischen Zertifikaten zugelassenen Einrichtung, von einer Krankenkasse oder einer öffentlichen Einrichtung auf Antrag ausgegeben werden. Insgesamt realisiert dies folglich ein Datenverarbeitungssystem zur Verarbeitung von Patientendaten, das ausreichend gegen unbefugte Datenzugriffe gesichert ist. Je nach Bedarf sind weitere sicherheitserhöhende Maßnahmen realisierbar, von denen einige nachfolgend beschrieben werden.
  • So kann als eine sicherheitserhöhende Option vorgesehen sein, dass die Patientenkarte 5 ein personenidentifizierendes Bild 5b des Patienten enthält, so dass der Behandler daran überprüfen kann, ob die ihm vom Patienten überreichte Karte 5 auch tatsächlich seine eigene ist, was Missbrauch und Verwechslungen vorbeugt.
  • Fig. 2 veranschaulicht eine Variante des Systems von Fig. 1, die zusätzlich für den jeweiligen Behandler, wie einen Arzt, eine elektronische Behandlerkarte 6 mit darauf gespeichertem Behandleridentifikationscode 6a umfasst. Ein Anfragevorgang nach Gesundheitsdaten eines Patienten aus der zentralen Datenbank 4 läuft wie im Fall von Fig. 1 ab, mit der Ausnahme, dass zusätzlich der Behandler seine Karte 6 in das Endgerät 1 einzustecken hat, das daraufhin den Behandleridentifikationscode 6a liest und zusätzlich zum Patientenidentifikationscode 5a und der PIN des Patienten an die Zentralstelle 3 übermittelt. Durch diese Maßnahme kann über das System festgestellt werden, welcher Arzt oder andere Systemnutzer, wie ein Apotheker oder eine Kostenabrechnungsstelle, zu welchem Zeitpunkt auf welche Daten zugegriffen hat.
  • In beiden gezeigten Systembeispielen erfolgt die Datenübertragung auf der online-Verbindung 2 vorzugsweise, wenngleich nicht zwingend, in verschlüsselter Form, und zwar bevorzugt sowohl die Übertragung der anfragenden Codedaten 5a, PIN, 6a als auch der übermittelten Gesundheitsdaten GD. Hierfür können herkömmliche kryptografische Methoden genutzt werden. Eine für den vorliegenden Anwendungsfall besonders günstige Realisierung mit sehr hoher Datensicherheit sieht die Implementierung eines Verschlüsselungsalgorithmus 5c in der elektronischen Patientenkarte 5 vor, wie in Fig. 2 als Option gestrichelt angedeutet. Die Patientenkarte 5 ist in diesem Fall so ausgelegt, dass sie nach Einstecken in das Endgerät 1 die vom Patienten eingegebene PIN und, wenn vorhanden, den Behandleridentifikationscode 6a einliest. Der Verschlüsselungsalgorithmus 5c generiert z. B. unter Verwendung eines Zufallscodes eine verschlüsselte Information, welche die Patientenkartennummer 5a, die PIN und den Behandleridentifikationscode 6a, z. B. eine Behandlerkartennummer, in verschlüsselter Form enthält und die anschließend vom Endgerät 1 zur Zentralstelle 3 übermittelt wird. Dort ist ein zugehöriger Entschlüsselungsalgorithmus implementiert, der die übermittelte Information entschlüsselt. Diese Systemlösung hat den Vorteil, dass die Patientenkartennummer 5a nicht auslesbar und damit vollständig geheim bleibend in die Patientenkarte 5 implementiert werden kann. Somit kann die Patientenkartennummer 5a vom Kartenleser des Endgerätes 1 nicht ausgelesen werden, und ein missbräuchliches Abfangen der Patientenkartennummer 5a am Endgerät 1 ist unmöglich.
  • Zur Rückübermittlung der angeforderten Gesundheitsdaten kann z. B. eine Verschlüsselung nach einem herkömmlichen Verfahren benutzt werden, bei dem nur nutzerseitig ein geheimer Codeschlüssel ("private key") vorhanden ist, während zentralenseitig ein nicht-geheimer Codeschlüssel ("public key") genügt. Dazu sind in der Zentralstelle 3 die nichtgeheimen Codeschlüssel aller berechtigten Endgeräte 1 bzw. Behandler und der Datensatzidentifikationscodes als Pseudonym vorhanden. Die Zentralstelle 3 übermittelt die Gesundheitsdaten GD verschlüsselt mit dem nichtgeheimen Codeschlüssel an das anfordernde Endgerät 1, das sie mit dem geheimen Codeschlüssel entschlüsselt, der sich z. B. aus den geheimen Codeschlüsseln der Patientenkarte 5 und ggf. der Behandlerkarte 6 zusammensetzt, wonach die Gesundheitsdaten GD angezeigt bzw. ausgewertet werden können.
  • Fig. 3 veranschaulicht die zum Einlesen neuer Gesundheitsdaten von einem jeweiligen Endgerät 1 in die zentrale Datenbank 4 der Zentralstelle 3 relevanten Komponenten einer bezüglich hoher Datensicherheit besonders vorteilhaften Systemlösung. Bei dieser Ausführungsform sind in der Zentralstelle 3 zusätzlich zum die Datenbank bildenden Ausgangsrechner 4 ein Pseudonymisierungsrechner 7, auch Anonymisierungsrechner genannt, und ein Eingangsrechner 8 vorgesehen. Charakteristischerweise ist der Pseudonymisierungsrechner 7 physikalisch sowohl vom Eingangsrechner 8 als auch vom Ausgangsrechner 4 getrennt. Datenübertragungen erfolgen vom Eingangsrechner 8 zum Pseudonymisierungsrechner 7 bzw. vom Pseudonymisierungsrechner 7 zum Ausgangsrechner 4 allein über eine jeweilige offline-Verbindung 10, 11, die z. B. durch einen herkömmlichen Batch- oder Stapelbetrieb realisiert sind. Dies verhindert jeglichen unbefugten online-Zugriff auf den Pseudonymisierungsrechner 7.
  • Der Pseudonymisierungsrechner 7 hat die hauptsächliche Aufgabe, von eingehenden Daten, die personenidentifizierende Daten und zugehörige Gesundheitsdaten umfassen, die personenidentifizierenden Daten gegen den jeweils zugehörigen Datensatzidentifizierungscode des Patienten auszutauschen und somit ausgangsseitig vollständig pseudonymisierte bzw. anonymisierte Gesundheitsdaten zur Abspeicherung in der zentralen Datenbank 4 bereitzustellen. Die Gesundheitsdaten können dann anhand des mit ihnen abgespeicherten Datensatzidentifizierungscodes nach einem berechtigten Datenabruf wieder einem jeweiligen Patienten zugeordnet werden.
  • In einer Grundvariante des Systems werden neue Gesundheitsdaten eines Patienten zusammen mit ihn identifizierenden Personendaten vom Behandler über dessen Endgerät 1 und eine online-Verbindung 9 zur Zentralstelle 3 übermittelt. Bei der online-Verbindung 9 kann es sich um die auch zur Datenabfrage genutzte online-Verbindung 2 oder eine andere Datenübertragungsverbindung des Netzwerks handeln. Der Eingangsrechner 8 empfängt die eingehenden Personen- und Gesundheitsdaten und stellt sie ausgangsseitig zur offline-Übertragung an den Pseudonymisierungsrechner 7 bereit.
  • Der Pseudonymisierungsrechner 7 empfängt die offline übertragenen Patientendaten und ersetzt, wie oben schon kurz erläutert, die darin enthaltenen Personendaten durch den zu dem betreffenden Patienten gehörigen Datensatzidentifikationscode, um ausgangsseitig die Gesundheitsdaten zusammen mit dem zugehörigen Datensatzidentifikationscode bereitzustellen. Hierzu ist im Pseudonymisierungsrechner 7 eine Zuordnungs- bzw. Übersetzungstabelle implementiert, die den Personendaten eines Patienten, wie Name und Geburtsdatum, den entsprechenden Datensatzidentifizierungscode dieses Patienten zuordnet. Die Daten werden in einem Format übermittelt, das dieses automatische Löschen der Personendaten und Ersetzen durch den Datensatzidentifizierungscode zulässt. Anschließend werden die Gesundheitsdaten mit dem Code über die zugehörige offline-Verbindung 11 der zentralen Datenbank 4 zugeführt und dort eingelesen, d. h. gespeichert. Aus der zentralen Datenbank 4 können dann die Gesundheitsdaten für einen bestimmten Patienten durch einen berechtigten Abfragevorgang, der eine Übermittlung des richtigen Datensatzidentifikationscodes DIC beinhaltet, nach Bedarf abgerufen werden, wie oben anhand der Fig. 1 und Fig. 2 beschrieben.
  • Um einem Behandler nur für eine gewisse Zeit nach einer Untersuchung des Patienten ein Einlesen von Gesundheitsdaten in die zentrale Datenbank 4 zu ermöglichen, ist das System in einer sicherheitserhöhten Variante so ausgelegt, dass die Zentralstelle 3 zusammen mit den Gesundheitsdaten GD, die der Behandler für eine Sitzung mit dem Patienten während dessen Anwesenheit abruft, einen zeitlich begrenzten Ein- leseberechtigungscode übermittelt, vorzugsweise in verschlüsselter Form. Er bleibt für eine vorgebbare Zeitdauer von z. B. wenigen Wochen oder Monaten gültig und gibt in diesem Zeitraum dem Behandler die Möglichkeit, Gesundheitsdaten in der oben zu Fig. 3 geschilderten Weise an die zentrale Datenbank 4 zu übertragen und dort abzuspeichern.
  • Vom oben geschilderten Einleseverfahren gemäß der Grundvariante von Fig. 3 unterscheidet sich diese Vorgehensweise dadurch, dass zusammen mit den Gesundheitsdaten statt den zugehörigen Personendaten der zum betreffenden Patient gehörige Einleseberechtigungscode vom Endgerät 1 an den Eingangsrechner 8 und von dort offline zum Pseudonomisierungsrechner 7 übermittelt wird. Dieser ersetzt dann unter Anwendung einer in ihm entsprechend abgelegten Zuordnungstabelle den zeitlich begrenzten Einleseberechtigungscode durch den Datensatzidentifizierungscode des Patienten. Will der Behandler nach Ablauf des Berechtigungszeitraums noch Gesundheitsdaten in die zentrale Datenbank einlesen, muss dies in anderer gesicherter Form erfolgen, z. B. durch Übermittlung per Post und anschließende elektronische Aufbereitung in der Zentralstelle 3 oder durch eine andere, hochsichere elektronische Datenübermittlung.
  • Alternativ oder zusätzlich zu dieser zeitlichen Begrenzung des Einlesens neuer Gesundheitsdaten in die zentrale Datenbank 4 kann die zu Fig. 3 geschilderte Vorgehensweise zur Erzielung einer erhöhten Datensicherheit dahingehend modifiziert werden, dass die Datenübertragung auf der online-Verbindung 9 verschlüsselt erfolgt, z. B. mit einem der zu den Fig. 1 und Fig. 2 oben erläuterten Verschlüsselungsalgorithmen.
  • Die bisher beschriebene Systemauslegung ermöglicht einen Datenabruf aus der zentralen Datenbank 4 nur während der Anwesenheit des Patienten beim Behandler. Um in einem Notfall jederzeit die erforderlichen Gesundheitsdaten für einen Patienten einem Behandler zur Verfügung stellen zu können, umfasst das System eine oder mehrere geeignete Notfallmaßnahmen. Eine erste Notfallmaßnahme sieht vor, einen für Notfallbehandlungen üblicherweise benötigten Teil der Gesundheitsdaten eines Patienten direkt auf der elektronischen Patientenkarte 5 abrufbar gespeichert zu halten, wie z. B. Daten über die Blutgruppe, Allergien, aktuell verwendete Medikamente, notfallrelevante Diagnosen etc. Ein Behandler kann dann allein mittels der Patientenkarte im Notfall auf die betreffenden Daten zugreifen.
  • Als weitere Notfallmaßnahme kann das System eine Notfallrufzentrale nach Art eines sogenannten Call-Centers beinhalten, welche die Berechtigung zum Zugriff auf wenigstens einen notfallrelevanten Teil der in der zentralen Datenbank 4 abgespeicherten Gesundheitsdaten jedes Patienten hat. Im Notfall hat sich der Behandler dieser Noffallrufzentrale gegenüber zu authentifizieren, wozu jeder Behandler einen entsprechenden Authentikationscode erhält. Nach Authentifizierung erhält er dann von ihr die benötigten Notfall-Gesundheitsdaten. Zur ausreichenden Datensicherheit muss zweckmäßigerweise der Patient vorab dieser Notfall-Zugangsberechtigung auf seine Gesundheitsdaten zustimmen und über jeden solchen Zugriff im Nachhinein informiert werden.
  • Es versteht sich, dass für den Fall eines Verlustes der Patientenkarte odler der Arztkarte eine Kartensperrung vom Karteneigentümer in einer herkömmlichen, z. B. zur Sperrung von Kreditkarten bekannten Weise initiiert werden kann, beispielsweise durch Anruf in der Zentralstelle, die dann die Berechtigung des Anrufers geeignet überprüft, z. B. durch Rückruf und/oder Abfragen von nur dem Karteneigentümer bekannten Sicherheitsinformationen.
  • Die oben erläuterten Ausführungsformen machen deutlich, dass die Erfindung ein Datenverarbeitungssystem zur Verarbeitung von Patientendaten mit sogenannten elektronischen Patientenakten in einer praktikablen Form bereitstellt, das darüber hinaus einen hohen, für solche Daten geforderten Datensicherheitsstandard erfüllt.

Claims (10)

1. Datenverarbeitungssystem zur Verarbeitung von Patientendaten, die personenidentifizierende Personendaten eines jeweiligen Patienten und zugehörige Gesundheitsdaten umfassen, mit
einer oder mehreren Zentralstellen (3) jeweils mit einer die Gesundheitsdaten enthaltenden Datenbank (4) und
mit der Datenbank verbundene Endgeräte (1) zum Auslesen von Gesundheitsdaten aus der zentralen Datenbank und/oder zum Einlesen von Gesundheitsdaten in die zentrale Datenbank (4),
dadurch gekennzeichnet, dass
in der zentralen Datenbank (4) die Gesundheitsdaten ohne Zuordnung zu Personendaten gespeichert sind, wobei dem Gesundheitsdatensatz (GD) eines jeweiligen Patienten ein Datensatzidentifikationscode (DIC) zugeordnet ist, dessen Eingabe zum Abruf des Gesundheitsdatensatzes notwendig ist.
2. Datenverarbeitungssystem nach Anspruch 1, weiter dadurch gekennzeichnet, dass der Datenidentifikationscode einen auf einer elektronischen Patientenkarte (5) gespeicherten Patientenkartencode (5a) und einen vom Patienten einzugebenden Patientenidentifikationscode (PIN) umfasst.
3. Datenverarbeitungssystem nach Anspruch 1 oder 2, weiter dadurch gekennzeichnet, dass der Datenidentifikationscode einen auf einer elektronischen Patientenkarte (5) gespeicherten Patientenkartencode (5a) und einen Behandleridentifikationscode (6a) umfasst.
4. Datenverarbeitungssystem nach Anspruch 2 oder 3, weiter gekennzeichnet durch Mittel zur verschlüsselten Übertragung des Datensatzidentifikationscodes und/oder Mittel zur verschlüsselten Übertragung der aus der zentralen Datenbank abgerufenen Gesundheitsdaten.
5. Datenverarbeitungssystem nach einem der Ansprüche 1 bis 4, weiter gekennzeichnet durch einen zeitbegrenzten Einleseberechtigungscode, der bei einem Abruf von Gesundheitsdaten von der Zentralstelle zusammen mit den Gesundheitsdaten an das abrufende Endgerät übermittelt wird und dem abrufenden Endgerät für einen vorgebbaren anschließenden Zeitraum eine Berechtigung zum Einlesen von Gesundheitsdaten in die zentrale Datenbank verleiht.
6. Datenverarbeitungssystem nach einem der Ansprüche 2 bis 5, weiter dadurch gekennzeichnet, dass die Patientendatenkarte ein patientenidentifizierendes Bild (5b) enthält.
7. Datenverarbeitungssystem nach einem der Ansprüche 1 bis 6, weiter dadurch gekennzeichnet, dass die Zentralstelle einen von der zentralen Datenbank (4) physikalisch getrennten Pseudonymisierungsrechner (7) aufweist, in dem eine Zuordnungstabelle von personenidentifizierenden Daten einerseits und den zugehörigen Datensatzidentifikationscodes andererseits abgelegt ist und der eingangsseitig eingegebene Gesundheitsdaten zusammen mit zugehörigen personenidentifizierenden Daten empfängt, die personenidentifizierenden Daten durch den zugehörigen Datensatzidentifikationscode ersetzt und ausgangsseitig die Gesundheitsdaten zusammen mit dem zugehörigen Datensatzidentifikationscode zur Abspeicherung in der zentralen Datenbank abgibt.
8. Datenverarbeitungssystem nach Anspruch 7, weiter dadurch gekennzeichnet, dass die Zentralstelle einen vom Pseudonymisierungsrechner (7) physikalisch getrennten Eingangsrechner (8) aufweist, an den die Endgeräte über eine online-Verbindung (9) angeschlossen sind und der die von diesen übertragenen Daten ausgangsseitig zur offline-Weiterleitung an den Pseudonymisierungsrechner (7) bereitstellt.
9. Datenverarbeitungssystem nach einem der Ansprüche 2 bis 8, weiter dadurch gekennzeichnet, dass auf der Patientenkarte ein vorgebbarer Teil der zu den Patienten gehörigen Gesundheitsdaten direkt abrufbar gespeichert ist.
10. Datenverarbeitungssystem nach einem der Ansprüche 1 bis 9, weiter gekennzeichnet durch eine Notfallrufzentrale, die mit der Zentralstelle zum Auslesen wenigstens eines notfallrelevanten Teils der Gesundheitsdaten eines jeden Patienten berechtigt verbunden ist, wobei Authentikationsmittel zur Authentikation eines Behandlers gegenüber der Notfallrufzentrale vorgesehen sind, um einen Notfall-Auslesevorgang berechtigt anzufordern.
DE10209780A 2001-10-11 2002-02-27 Datenverarbeitungssystem für Patientendaten Revoked DE10209780B4 (de)

Priority Applications (8)

Application Number Priority Date Filing Date Title
DE10209780A DE10209780B4 (de) 2001-10-11 2002-02-27 Datenverarbeitungssystem für Patientendaten
CNA028245547A CN1602495A (zh) 2001-10-11 2002-10-09 病人数据的数据处理系统
EP02774694A EP1451736A2 (de) 2001-10-11 2002-10-09 Datenverarbeitungssystem für patientendaten
JP2003536953A JP2005505863A (ja) 2001-10-11 2002-10-09 患者データのデータ処理システム
TW091123258A TWI254233B (en) 2001-10-11 2002-10-09 Data processing system for patient data
PCT/EP2002/011305 WO2003034294A2 (de) 2001-10-11 2002-10-09 Datenverarbeitungssystem für patientendaten
CA002462981A CA2462981A1 (en) 2001-10-11 2002-10-09 Data processing system for patient data
US10/492,298 US20050043964A1 (en) 2001-10-11 2002-10-09 Data processing system for patent data

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE10150008.4 2001-10-11
DE10150008 2001-10-11
DE10209780A DE10209780B4 (de) 2001-10-11 2002-02-27 Datenverarbeitungssystem für Patientendaten

Publications (2)

Publication Number Publication Date
DE10209780A1 true DE10209780A1 (de) 2003-04-30
DE10209780B4 DE10209780B4 (de) 2004-04-08

Family

ID=7702057

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10209780A Revoked DE10209780B4 (de) 2001-10-11 2002-02-27 Datenverarbeitungssystem für Patientendaten

Country Status (1)

Country Link
DE (1) DE10209780B4 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10323755B3 (de) * 2003-05-22 2004-08-19 Hasenau, Laszlo Verfahren zum Bereitstellen und Abrufen von Dokumenten über ein Computer-Netzwerk
DE10347431B4 (de) * 2003-10-13 2012-03-22 Siemens Ag Fernwartungssystem unter Zugriff auf autorisierungsbedürftige Daten

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004038038A1 (de) * 2004-05-27 2005-12-29 Quasi-Niere Ggmbh Datenverarbeitungssystem zur Verwaltung von sensiblen, anonymisierten und/oder pseudonymisierten Patientendaten und Verfahren zu seiner Anwendung
DE102007060677A1 (de) * 2007-12-17 2009-06-18 Siemens Aktiengesellschaft Verfahren und System für einen Zugriff auf einen gegen unberechtigte Zugriffe geschützten Datenspeicher
DE102008004656A1 (de) * 2008-01-16 2009-07-23 Siemens Aktiengesellschaft Verfahren zur Verwaltung der Benutzungsberechtigungen bei einem Datenverarbeitungsnetzwerk und ein Datenverarbeitungsnetzwerk

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19824787C2 (de) * 1998-06-03 2000-05-04 Paul Pere Verfahren zum abgesicherten Zugriff auf Daten in einem Netzwerk
DE19914225A1 (de) * 1999-03-29 2000-10-12 Fraunhofer Ges Forschung Vorrichtung und Verfahren für die sichere elektronische Datenübertragung
DE19925910B4 (de) * 1999-06-07 2005-04-28 Siemens Ag Verfahren zum Be- oder Verarbeiten von Daten

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10323755B3 (de) * 2003-05-22 2004-08-19 Hasenau, Laszlo Verfahren zum Bereitstellen und Abrufen von Dokumenten über ein Computer-Netzwerk
WO2004107239A1 (de) * 2003-05-22 2004-12-09 Laszlo Hasenau Verfahren zum bereitstellen und abrufen von dokumenten über ein computer-netzwerk
DE10323755B9 (de) * 2003-05-22 2006-08-24 Hasenau, Laszlo Verfahren zum Bereitstellen und Abrufen von Dokumenten über ein Computer-Netzwerk
DE10347431B4 (de) * 2003-10-13 2012-03-22 Siemens Ag Fernwartungssystem unter Zugriff auf autorisierungsbedürftige Daten

Also Published As

Publication number Publication date
DE10209780B4 (de) 2004-04-08

Similar Documents

Publication Publication Date Title
EP1451736A2 (de) Datenverarbeitungssystem für patientendaten
EP0781428B1 (de) Daten-archivierungssystem
DE69731338T2 (de) Verfahren und System zum sicheren Übertragen und Speichern von geschützter Information
DE102007019375A1 (de) Systeme und Verfahren zur Re-Identifikation von Patienten
EP1084465B1 (de) Verfahren zum abgesicherten zugriff auf daten in einem netzwerk
CN101114977A (zh) 开放式医疗信息服务系统
EP1862936A2 (de) Verfahren zur Identifikation eines Patienten zum späteren Zugriff auf eine elektronische Patientenakte des Patienten mittels einer Kommunikationseinrichtung einer anfragenden Person
EP1262855A2 (de) Sabotagesichere und zensurresistente persönliche elektronische Gesundheitsakte
DE102011003784B3 (de) Sichern von Zugriffen auf verteilte Daten in einem unsicheren Datennetz
DE10156877B4 (de) Verfahren und System zum gesicherten Speichern und Auslesen von Nutzdaten
DE10209780B4 (de) Datenverarbeitungssystem für Patientendaten
DE10307996B4 (de) Verfahren zum Ver- und Entschlüsseln von Daten durch verschiedene Nutzer
DE102008011882B4 (de) Vorrichtung und Verfahren zum kontrollierten Datenaustausch zwischen mindestens zwei Datenträgern
DE102018206616A1 (de) Verfahren zum Zusammenführen von unterschiedlichen Teildaten
WO2016012040A1 (de) Verfahren und datenverarbeitungssystem zur datenerhebung für eine klinische studie
DE10307995B4 (de) Verfahren zum Signieren von Daten
EP1650630B1 (de) Computersystem und Verfahren zur Speicherung von Daten
WO2018015409A1 (de) Encryption-decryption engine zur handhabung sensitiver patientendaten und entsprechendes verfahren
DE202021100647U1 (de) Personendatenanonymisierungssystem (PDAS) mit kundenspezifischem Token
WO2003060803A2 (de) Verfahren und vorrichtung zur sicherung von patientendaten
DE102007020759B3 (de) Medizinische Systemarchitektur
EP3886025A1 (de) Verfahren zur durchführung von transaktionen
AT503291B1 (de) Datenverarbeitungssystem zur verarbeitung von objektdaten
Birkegaard User authorization in distributed hospital information systems
EP1399867A2 (de) Expertensystem zur aufdeckung von kontraindikationen bei begrenztem zugriffsrecht auf patientendaten

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8363 Opposition against the patent
8331 Complete revocation