-
Moderne
technische Einrichtungen und insbesondere medizinische Geräte (z.B.
Kernspintomographen) weisen eine hohe Komplexität auf. Hierdurch ist es beispielsweise
bei der Fehlfunktion eines Kernspintomographen häufig nicht ausreichend, einen
einzelnen, allgemein qualifzierten Mitarbeiter zur Behebung des
Fehlers heranzuziehen. Vielmehr ist es vielfach erfordorlich, aus
einem Pool hochqualifizierter Experten den für die Behebung des jeweiligen Fehlers
spezialisierten Experten heranzuziehen.
-
Dies
ist besonders bei einer räumlich
verteilten Anordnung der technischen Einrichtungen problematisch,
da solche hochqualifizierten Experten nicht an allen Orten gleichermaßen verfügbar sind.
-
Zudem
müssen
die hochqualifizierten Mitarbeiter im Falle einer Fehlermeldung
bei einer räumlich
verteilten Anordnung hochentwickelter technischer Einrichtungen
oft große
Wege zurücklegen,
um eine fehlerhafte technische Einrichtung zu reparieren.
-
Die
langen Anfahrtszeiten der für
die Reparatur ausgeschickten Experten haben entsprechend lange Ausfallzeiten
der jeweiligen technischen Einrichtungen zur Folge.
-
In
diesem Zusammenhang ist zu betonen, dass derartige technische Einrichtungen
häufig
durch komplexe Softwareprogramme gesteuert werden. Die hohe Komplexität der verwendeten
Software führt
dazu, dass ein Großteil
der Störungen
von komplexen technischen Einrichtungen wie z.B. Kernspintomographen
weniger auf Materialfehler als vielmehr auf Softwarefehler zurückzuführen sind.
-
Zur
Lösung
dieser Problematik ist es im Stand der Technik bekannt, eine Fehlerbehebung
einer softwaregesteuerten komplexen technischen Einrichtung durch
Fernwartung durchzuführen.
-
Hierfür ist die
technische Einrichtung beispielsweise über das Internet mit einem
Servicecenter verbunden, an dem eine Vielzahl von hochqualifizierten
Mitarbeitern versammelt ist.
-
Im
Falle einer Störung
schickt die technische Einrichtung automatisch eine Fehlermeldung
an das Servicecenter.
-
Die
an dem Servicecenter versammelten Experten analysieren die Störung anhand
der übermittelten
Fehlermeldung und versuchen die Störung durch Überspielung einer korrigierten
Software an die technische Einrichtung über das Internet zu beheben.
-
Aufgrund
der in vielen Ländern
geltenden rechtlichen Rahmenbedingungen ist es jedoch derzeit nicht
möglich,
ein Fernwartungssystem auch für medizinische
Geräte
einzusetzen, da medizinische Geräte
in aller Regel sensible Patientendaten enthalten können und
damit strengen Datenschutzvorschriften unterliegen.
-
Derartige
sensible Patientendaten dürfen beispielsweise
gemäß der Rechtslage
in Deutschland nur dem jeweiligen Arzt oder einem dem Betrieb des
Arztes zuzuordnenden Gehilfen des Arztes zugänglich gemacht werden.
-
Um
als Gehilfe des Arztes im Sinne der rechtlichen Vorschriften zu
gelten, muss ein für
die Fehlerbehebung des medizinischen Gerätes eingesetzter Experte dem
Arzt bekannt und die Gesamtzahl der für den Arzt zuständigen Experten
stark begrenzt sein. Nur in diesem Fall kann von einer Einbindung
des jeweiligen Experten in die Organisation des Arztes ausgegan gen
werden kann, wodurch einen Zugriff auf sensible Patientendaten zulässig wird.
-
Aufgrund
der entsprechenden Vorschriften des Datenschutzes treten derartige
sensible Daten jedoch nicht nur im Bereich der Medizin sondern auch
in anderen Bereichen auf.
-
Es
ist daher Aufgabe der vorliegenden Erfindung, ein Verfahren und
eine Anordnung zur Steuerung des Zugriffes auf in einer technischen
Einrichtung gespeicherte sensible Daten bereitzustellen, welche
auf besonders einfache und gleichwohl zuverlässige Weise sicherstellt, dass
nur von einem jeweiligen Benutzer der technischen Einrichtung legitimierte
Personen Zugriff auf die sensible Daten erhalten können.
-
Die
Aufgabe wird gemäß den Merkmalen
der unabhängigen
Ansprüche
1 und 17 gelöst.
Die Erfindung wird in den jeweiligen Unteransprüchen weitergebildet.
-
Gemäß der vorliegenden
Erfindung weist ein Verfahren zur Steuerung des Zugriffs auf in
einer ersten Einrichtung gespeicherte sensible Daten durch eine
mit der ersten Einrichtung verbundene zweite Einrichtung die folgenden
Schritte auf:
- – Anmeldung eines Zugriffs
der zweiten Einrichtung auf in der ersten Einrichtung gespeicherte sensible
Daten durch einen ersten Benutzer der ersten Einrichtung und Übermittlung
der Anmeldung an die zweite Einrichtung;
- – Abfrage
einer ersten eindeutigen Identifizierung des ersten Benutzers durch
die erste Einrichtung;
- – Abfrage
einer zweiten eindeutigen Identifizierung eines zweiten Benutzers
der zweiten Einrichtung durch die zweite Einrichtung;
- – Überprüfung der
durch die Abfragen gewonnenen Konstellation des ersten und zweiten
Benutzers anhand einer vorgegebenen Zuordnungsdatei, wobei die Zuordnungsdatei
jedem ersten Benutzer einen oder mehrere erlaubte zweite Benutzer
zuordnet;
- – Freischaltung
des Zugriffs der zweiten Einrichtung auf in der ersten Einrichtung
gespeicherte sensible Daten, wenn die Überprüfung der Zuordnung eine erlaubte
Konstellation von erstem und zweitem Benutzer feststellt; und
- – Unterbindung
des Zugriffs der zweiten Einrichtung auf in der ersten Einrichtung
gespeicherte sensible Daten, wenn die Überprüfung der Zuordnung keine erlaubte
Konstellation von erstem und zweitem Benutzer feststellt oder ein
Zugriff der zweiten Einrichtung auf in der ersten Einrichtung gespeicherte
sensible Daten durch den ersten Benutzer nicht angemeldet wurde.
-
Da
gemäß dem erfindungsgemäßen Verfahren
ein Zugriff auf in der ersten Einrichtung gespeicherte sensible
Daten nur nach Anmeldung durch den ersten Benutzer möglich ist,
behält
der erste Benutzer die absolute Kontrolle über die sensiblen Daten.
-
Durch
die eindeutige Identifizierung von sowohl dem (ersten) Benutzer
der ersten Einrichtung als auch dem (zweiten) Benutzer der zweiten
Einrichtung wird vor Freischaltung eines Zugriffes auf sensible
Daten sichergestellt, dass der (zweite) Benutzer der zweiten Einrichtung
einem vorgegebenen Kreis von Personen angehört, die von dem jeweiligen
(ersten) Benutzer der ersten Einrichtung zum Zugriff auf die sensiblen
Daten ermächtigt
sind.
-
Durch
die erfindungsgemäße Verwendung einer
Zuordnungsdatei kann der für
einen Zugriff auf die sensiblen Daten legitimierte Kreis an (zweiten) Benutzern
auf besonders einfache Weise für
einen jeweiligen ersten Benutzer festgelegt und an diesen angepasst
werden. Dies ist insbesondere bei ersten technischen Einrichtungen,
die von einer Vielzahl von ersten Benutzern genutzt werden, von
erheblicher Bedeutung, um eine Fernwartung zu ermöglichen.
-
Der
Zugriff auf eine vorgegebene Zuordnungsdatei, in der für jeden
ersten Benutzer ein oder mehrere erlaubte zweite Benutzer zugeordnet
sind, weist zudem eine hohe Transparenz und Rechtsicherheit auf,
die es einem ersten Benutzer auf besonders einfache Art und Weise
durch Auslesen der Zuordnungsdatei ermöglicht, einen ständigen Überblick über für einen
Zugriff von sensiblen Daten des jeweiligen ersten Benutzers legitimierte
zweite Benutzer zu behalten.
-
Zusammenfassend
kann mit Hilfe des erfindungsgemäßen Verfahrens
auch bei (ersten) technischen Einrichtungen, auf denen sensible
Daten gespeichert sind, eine Fernwartung mittels zweiter technischer
Einrichtungen durchgeführt
werden. Hierdurch können
die mit der Fernwartung verbundenen Vorteile wie eine erhebliche
Zeitersparnis bei der Fehlerbehebung und der Verfügbarkeit
einer Vielzahl von Experten auch für technische Einrichtungen
mit sensiblen Daten genutzt werden.
-
Gemäß einem
bevorzugten Ausführungsbeispiel
gehen dem Schritt der Anmeldung eines Zugriffs der zweiten Einrichtung
auf in der ersten Einrichtung gespeicherte sensible Daten durch
den ersten Benutzer die folgenden Schritte voraus:
- – Übermittlung
einer Anfrage auf Anmeldung eines Zugriffs der zweiten Einrichtung
auf in der ersten Einrichtung gespeicherte sensible Daten von der
zweiten Einrichtung an die erste Einrichtung; und
- – Ausgabe
der Anfrage durch die erste Einrichtung an den ersten Benutzer der
ersten Einrichtung.
-
Dabei
ist es besonders vorteilhaft, wenn der Schritt der Übermittlung
einer Anfrage auf Anmeldung eines Zugriffs der zweiten Einrichtung
auf in der ersten Einrichtung gespeicherte sensible Daten durch
die zweite Einrichtung erst nach Erhalt einer von der ersten Einrichtung
erzeugten und an die zweite Einrichtung übermittelten Mitteilung erfolgt.
-
Hierdurch
verbleibt die Kontrolle über
die Einleitung des erfindungsgemäßen Verfahrens
bei der ersten Einrichtung.
-
In
diesem Fall ist es besonders vorteilhaft, wenn die von der ersten
Einrichtung an die zweite Einrichtung übermittelte Mitteilung eine
automatisch erzeugte und/oder übermittelte
Fehlermeldung ist.
-
Somit
ist sichergestellt, dass eine Anfrage auf Anmeldung eines Zugriffes
der zweiten Einrichtung auf in der ersten Einrichtung gespeicherte
sensible Daten nur im Falle eines Fehlers bei der ersten Einrichtung
möglich
ist.
-
Damit
nicht auch in Fällen,
in denen für
eine Fehlerbehebung die Übermittlung
von sensiblen Daten gar nicht erforderlich ist, ein Zugriff auf
sensible Daten ermöglicht
wird, ist es weiter vorteilhaft, wenn der Schritt der Übermittlung
einer Anfrage auf Anmeldung eines Zugriffs der zweiten Einrichtung
auf in der ersten Einrichtung gespeicherte sensible Daten durch
die zweite Einrichtung erst nach einer Überprüfung der Mitteilung durch den
Benutzer der zweiten Einrichtung erfolgt.
-
Um
die Fehlertoleranz des erfindungsgemäßen Verfahrens gegen eine Manipulierung der zweiten
Einrichtungen zur erhöhen,
ist es besonders vorteilhaft, wenn die Abfrage der eindeutigen Identifizierung
des zweiten Benutzers der zweiten Einrichtung unter Kontrolle der
ersten Einrichtung erfolgt. Dies ist beispielsweise bei der Abfrage
eines individuellen Passwortes über
ein Datennetzwerk ohne weiteres möglich.
-
Um
dem ersten bzw. zweiten Benutzer der ersten bzw. zweiten Einrichtung
Kenntnis über
den jeweiligen Benutzer der anderen Einrichtung zu verschaffen ist
es vorteilhaft, wenn das Ergebnis der Abfrage der ersten eindeutigen
Identifizierung des ersten Benutzers der ersten Einrichtung an die
zweite Einrichtung übermittelt
und an den zweiten Benutzer ausgegeben wird und/oder das Ergebnis
der Abfrage der zweiten eindeutigen Identifizierung des zweiten Benutzers
der zweiten Einrichtung an die erste Einrichtung übermittelt
und an den ersten Benutzer ausgegeben wird.
-
Durch
Weiterleitung dieser Information an den jeweiligen Benutzer wird
die Transparenz des erfindungsgemäßen Verfahrens erhöht, was
die Kontrolle durch einen jeweiligen Benutzer verbessert.
-
Vorzugsweise
umfasst die Abfrage einer eindeutigen Identifizierung eines Benutzers
die Abfrage eines individuellen Passwortes und/oder eines biometrischen
Merkmals und/oder einer elektronischen Signatur und/oder eines individuellen
maschinenlesbaren Gegenstandes (beispielsweise einer Magnetkarte
oder eines codierten Transponders).
-
Derartige
eindeutige Identifizierungsmöglichkeiten
sind dem Benutzer von technischen Gerten allgemein vertraut. Weiter
hat sich die Abfrage derartiger eindeutiger Identifizierungsmerkmale
von Benutzern in der Praxis als zuverlässig herausgestellt.
-
Bevorzugt
erfolgt die Überprüfung der
durch die Abfrage gewonnenen Konstellation des ersten und zweiten
Benutzers gemäß dem erfindungsgemäßen Verfahren
wahlweise durch die erste Einrichtung und/oder durch die zweite
Einrichtung und/oder durch ein oder mehrere mit der ersten und zweiten Einrichtung
verbundenen weiteren Einrichtungen, wobei die Zuordnungsdatei in
der bzw. den jeweiligen Einrichtungen gespeichert ist.
-
Weiter
ist es besonders vorteilhaft, wenn das Ergebnis der Überprüfung der
durch die Abfrage gewonnenen Konstellation des ersten und zweiten
Benutzers anhand der Zuordnungsdatei an die erste und/oder zweite
Einrichtung übertragen
und an den jeweiligen ersten und/oder zweiten Benutzer ausgegeben
wird.
-
Hierdurch
erhalten der erste und/oder zweite Benutzer Kenntnis darüber, ob
ein Zugriff auf die sensiblen Daten möglich ist.
-
Um
die Transparenz des erfindungsgemäßen Verfahrens weiter zu erhöhen und
die Kontrolle und Nachvollziehbarkeit der Freigabe von sensiblen Daten
sicherzustellen ist es besonders vorteilhaft, wenn das Verfahren
weiter den Schritt einer automatischen Protokollierung der zwischen
der ersten und der zweiten Einrichtung übertragenen Daten und einer
Ausgabe des Protokolls an die erste und/oder zweite Einrichtung
umfasst.
-
Damit
in einem Fehlerfall eine zügige
Behebung des Fehlers auch durch eine in der Zuordnungsdatei noch
nicht in Verbindung mit der jeweiligen ersten Person gespeicherte
zweite Person möglich
ist, weist das erfindungsgemäße Verfahren
vorzugsweise zusätzlich
den Schritt der Übermittlung
eines Genehmigungsformulars an die erste Einrichtung durch die zweite
Einrichtung auf.
-
Bevorzugt
ist die erste Einrichtung ein medizinisches System und die zweite
Einrichtung ein Wartungssystem zur Fernwartung des medizinischen Systems.
-
In
diesem Falle handelt es sich bei den sensiblen Daten insbesondere
um in dem medizinischen System gespeicherte Patientendaten.
-
Die
vorstehend angegebene Aufgabe wird erfindungsgemäß auch durch eine Anordnung
zur Steuerung des Zugriffs auf in einer ersten Einrichtung gespeicherte
sensible Daten durch eine mit der ersten Einrichtung verbundene
zweite Einrichtung gelöst,
welche die folgenden Merkmale aufweist:
- – eine mit
der ersten und zweiten Einrichtung verbundene Datenübertragungseinrichtung
zur Übertragung
von Daten zwischen der ersten Einrichtung und der zweiten Einrichtung;
- – eine
mit der ersten Einrichtung verbundene erste Eingabeeinrichtung zur
Anmeldung eines Zugriffs der zweiten Einrichtung auf in der ersten
Einrichtung gespeicherte sensible Daten durch einen ersten Benutzer
der ersten Einrichtung;
- – eine
mit der ersten Einrichtung verbundene erste Abfrageeinrichtung zur
Abfrage einer ersten eindeutigen Identifizierung des ersten Benutzers durch
die erste Einrichtung;
- – eine
mit der zweiten Einrichtung verbundene zweite Abfrageeinrichtung
zur Abfrage einer zweiten eindeutigen Identifizierung eines zweiten
Benutzers der zweiten Einrichtung durch die zweite Einrichtung;
und
- – eine
mit der ersten und zweiten Einrichtung verbundene Vergleichseinrichtung
zur Überprüfung der
von der ersten und zweiten Abfrageeinrichtung gewonnenen Konstellation
des ersten und zweiten Benutzers anhand einer vorgegebenen Zuordnungsdatei,
wobei die Zuordnungsdatei jedem ersten Benutzer einen oder mehrere
erlaubte zweite Benutzer zuordnet und in der Vergleichseinrichtung
gespeichert ist;
wobei die erste Einrichtung eine Zugriffssteuerungseinrichtung
umfasst, die ausgebildet ist, den Zugriff der zweiten Einrichtung
auf in der ersten Einrichtung gespeicherte sensible Daten freizugeben,
wenn die Vergleichseinrichtung eine erlaubte Konstellation von erstem
und zweitem Benutzer feststellt und den Zugriff der zweiten Einrichtung
auf in der ersten Einrichtung gespeicherte sensible Daten zu unterbinden, wenn
die Vergleichseinrichtung keine erlaubte Konstellation von erstem
und zweitem Benutzer feststellt oder durch die erste Eingabeeinrichtung
kein Zugriff der zweiten Einrichtung auf in der ersten Einrichtung gespeicherte
sensible Daten angemeldet wurde.
-
Gemäß einer
bevorzugten Ausführungsform weist
die Anordnung ferner
- – eine mit der ersten Einrichtung
verbundene Fehlerkontrolleinrichtung zur automatischen Erzeugung
und Übermittlung
von Fehlermeldungen an die zweite Einrichtung über die Datenübertragungseinrichtung;
- – eine
mit der zweiten Einrichtung verbundene zweite Ausgabeeinrichtung
zur Ausgabe einer von der ersten Einrichtung empfangenen Fehlermeldung
an den zweiten Benutzer der zweiten Einrichtung;
- – eine
zweite Eingabeeinrichtung zur Übermittlung
einer Anfrage auf Anmeldung eines Zugriffs der zweiten Einrichtung
auf in der ersten Einrichtung gespeicherte sensible Daten nach Erhalt
einer von der ersten Einrichtung an die zweite Einrichtung übermittelten
Fehlermeldung; und
- – eine
mit der ersten Einrichtung verbundene erste Ausgabeeinrichtung zur
Ausgabe der Anfrage an den ersten Benutzer der ersten Einrichtung auf.
-
Vorzugsweise
ist die erste Abfrageeinrichtung ausgebildet, um das Ergebnis der
Abfrage der ersten eindeutigen Identifizierung des ersten Benutzers
der ersten Einrichtung über
die Datenübertragungseinrichtung
an die zweite Einrichtung zu übermitteln,
und ist die zweite Ausgabeeinrichtung ausgebildet, um das Ergebnis
der Abfrage an den zweiten Benutzer auszugeben.
-
Weiter
ist es vorteilhaft, wenn die zweite Abfrageeinrichtung ausgebildet
ist, um das Ergebnis der Abfrage der zweiten eindeutigen Identifizierung
des zweiten Benutzers der zweiten Einrichtung über die Datenübertragungseinrichtung
an die erste Einrichtung zu übermitteln,
und ist die erste Ausgabeeinrichtung ausgebildet, um das Ergebnis
der Abfrage an den ersten Benutzer auszugeben.
-
Besonders
vorteilhaft ist es, wenn die erste Abfrageeinrichtung und die zweite
Abfrageeinrichtung ausgebildet sind, um ein individuelles Passwort und/oder
ein biometrisches Merkmal und/oder eine elektronische Signatur und/oder
einen individuellen maschinenlesbaren Gegenstand abzufragen.
-
Es
ist ferner vorteilhaft, wenn die Vergleichseinrichtung in der ersten
Einrichtung und/oder in der zweiten Einrichtung und/oder durch in
einer oder mehreren mit der ersten und zweiten Einrichtung verbundenen
weiteren Einrichtungen angeordnet ist.
-
Vorzugsweise
ist die Vergleichseinrichtung ferner ausgebildet, das Vergleichsergebnis über die Datenübertragungseinrichtung
an die erste und/oder zweite Einrichtung zu übertragen, und ist die erste Ausgabeeinrichtung
ausgebildet, um das von der Vergleichseinrichtung gewonnene Vergleichsergebnis
an den ersten Benutzer auszugeben, und ist die zweite Ausgabe einrichtung
ausgebildet, um das von der Vergleichseinrichtung gewonnene Vergleichsergebnis
an den zweiten Benutzer auszugeben.
-
Bevorzugt
weist die Anordnung ferner eine Protokolliereinrichtung auf, um
automatisch ein Protokoll der zwischen der ersten und der zweiten
Einrichtung übertragenen
Daten zu erstellen und das Protokoll über die Datenübertragungseinrichtung
an die erste und/oder zweite Einrichtung zu übermitteln.
-
Es
ist besonders vorteilhaft, wenn die zweite Einrichtung ferner ausgebildet
ist, über
die Datenübertragungseinrichtung
ein Genehmigungsformular an die erste Einrichtung zu übertragen.
-
Gemäß einer
bevorzugten Ausführungsform ist
die zweite Einrichtung ein Wartungssystem zur Fernwartung der ersten
Einrichtung.
-
Dabei
ist die erste Einrichtung vorzugsweise ein medizinisches System
und die zweite Einrichtung ein Wartungssystem zur Fernwartung des
medizinischen Systems.
-
In
diesem Falle handelt es sich bei den sensiblen Daten vorzugsweise
um in dem medizinischen System gespeicherte Patientendaten.
-
In
der folgenden ausführlichen
Beschreibung wird die vorliegende Erfindung unter Bezugnahme auf
die beigefügten
Zeichnungen, in denen gleiche Bezugszeichen auf in den jeweiligen
Ansichten gleiche Elemente verweisen, näher beschrieben, wobei
-
1 ein
Blockdiagramm eines ersten bevorzugten Ausführungsbeispielen der erfindungsgemäßen Anordnung;
-
2 ein
Blockdiagramm eines alternativen Ausführungsbeispieles der erfindungsgemäßen Anordnung;
und
-
3 ein
Flußdiagramm
des erfindungsgemäßen Verfahrens
zeigt.
-
1 zeigt
ein Blockdiagramm eines ersten bevorzugten Ausführungsbeispieles der erfindungsgemäßen Anordnung
zur Steuerung des Zugriffs auf in einer ersten Einrichtung gespeicherte
sensible Daten.
-
Die
Anordnung weist eine erste Einrichtung 1 auf, welche gemäß dieser
Ausführungsform
ein medizinisches System ist. Bei dem medizinischen System 1 kann
es sich beispielsweise um einen Kernspintomographen oder einen Computertomographen handeln.
-
Das
medizinische System 1 weist sensiblen Daten 4 auf,
die in einem geeigneten Datenträger, beispielsweise
einer Festplatte, gespeichert sind. Bei diesen sensiblen Daten handelt
es sich gemäß der hier
beschriebenen Ausführungsform
um Patientendaten und damit beispielsweise um Computer- oder Kernspintomographiebilder
von Patienten.
-
Weiter
weist das medizinische System eine Zugriffssteuereinrichtung 13 auf,
die ausgebildet ist, um den Zugriff auf die in dem medizinischen
System gespeicherten sensiblen Daten 4 freizugeben oder zu
unterbinden. In dem vorliegenden Ausführungsbeispiel handelt es sich
bei der Zugriffssteuereinrichtung 13 um einen Mikroprozessor,
der auf die auf dem Datenträger
des medizinischen Systems 1 gespeicherten sensiblen Daten 4 zugreifen
kann.
-
Mit
dem medizinischen System 1 ist eine erste Eingabeeinrichtung 9 (in
der vorliegenden Ausführungsform
eine Tastatur) zur Anmeldung eines Zugriffs auf in der ersten Einrichtung
gespeicherte sensible Daten durch einen ersten Benutzer 5 des
medizinischen Systems 1 verbunden. Bei dem ersten Benutzer 5 des
medizinischen Systems handelt es sich gemäß der vorliegenden Ausführungsform
um einen Arzt.
-
Eine
erste Abfrageeinrichtung 11 in Form eines Magnetkartenlesers
ist an das medizinische System 1 angeschlossen. Der Magnetkartenlesers 11 ist ausgebildet,
um durch Auslesung einer individuellen Magnetkarte des Arztes 5 eine
erste eindeutige Identifizierung des Arztes 5 zu ermöglichen.
-
Weiter
sind mit dem medizinischen System 1 eine Fehlerkontrolleinrichtung 14 zur Überwachung des
Funktion des medizinischen Systems 1 sowie eine erste Ausgabeeinrichtung 16 zur
Ausgabe von von dem medizinischen System 1 empfangenden oder
generierten Informationen an den Arzt 5 verbunden.
-
In
der vorliegenden Ausführungsform
handelt es sich bei der Fehlerkontrolleinrichtung 14 um einen
Mikroprozessor und bei der ersten Ausgabeeinrichtung 16 um
einen Monitor.
-
Über eine
Datenübertragungseinrichtung 3 ist
das medizinische System 1 mit einer zweiten Einrichtung 2,
welche ein Wartungssystem zur Wartung des medizinischen Systems 1 ist,
verbunden. Die Datenübertragungseinrichtung 3 ermöglicht eine Übertragung
von Daten zwischen dem medizinischen System 1 und der Wartungseinrichtung 2.
-
In
dem vorliegenden Ausführungsbeispiel handelt
es sich bei der Datenübertragungseinrichtung 3 um
eine gesicherte Internetverbindung, über die geeignete kodierte
Daten zwischen dem medizinischen System 1 und dem Wartungssystem 2 übertragen
werden.
-
Das
Wartungssystem 2 ist zur Fernwartung des medizinischen
Systems 1 über
die gesicherte Internetverbindung 3 ausgebildet.
-
Hierfür weist
Wartungssystem 2 u.a. eine zweite Abfrageeinrichtung 12 auf,
die in dem vorliegenden Ausführungsbeispiel
ein Lesegerät
für die
biometrische Daten eines das Wartungssystem 2 betreuenden
Experten 6, 6', 6'' ist.
-
Das
Lesegerät
für biometrische
Daten kann beispielsweise zum Auslesen der Iris oder des Fingerabdruckes
des Experten 6, 6', 6'' ausgebildet sein. Somit ermöglicht das
Lesegerät
für biometrische
Daten 12 eine eindeutige Identifizierung eines das Wartungssystem 2 benutzenden
Experten 6, 6', 6'' (zweiten Benutzers).
-
Mit
dem Wartungssystem 2 sind weiter eins zweite Eingabeeinrichtung 10,
bei der es sich beispielsweise um eine Maus handelt, sowie eine
zweite Ausgabeeinrichtung 17, bei dem es sich wiederum um
einen Monitor handeln kann, verbunden.
-
Die
Maus ermöglicht
es dem Experten 6, 6', 6'' das
Wartungssystem 2 zu steuern.
-
Über den
Manitor 17 können
von dem Wartungssystem 2 generierte oder über die
Internetverbindung 3 von dem medizinischen System 1 empfangene
Daten an den Experten 6, 6', 6'' ausgegeben werden.
-
Gemäß der vorliegenden
bevorzugten Ausführungsbeispiel
ist in dem Wartungssystem 2 eine Protokolliereinrichtung 18 in
Form eines mit einer Festplatte verbundenen Mikroprozessors angeordnet.
-
Die
Protokolliereinrichtung 18 ist geeignet, automatisch ein
Protokoll der zwischen dem medizinischen System 1 und dem
Wartungssystem 2 übertragenen
Daten zu erstellen, das Protokoll auf der Festplatte zu speichern
und über
die gesicherte Internetverbindung 3 an das medizinische
System 1 zu übermitteln.
Das von der Protokolliereinrichtung 18 erzeugte Protokoll
kann von dem medizinischen System 1 über den Monitor 16 und
von dem Wartungssystem 2 über dne Monitor 17 an
den Arzt 5 bzw. den Experten 6, 6', 6'' ausgegeben werden. Das Protokoll kann
beispielsweise die Namen der am Datenaustausch beteiligten Personen,
die Urzeit, die Art des Dateneingriffs (Kopie, Löschung, Einfügung) sowie eine
Angabe der jeweiligen Daten enthalten.
-
Die
erfindungsgemäße Anordnung
zur Steuerung des Zugriffs auf in dem medizinischen System 1 gespeicherte
sensible Patientendaten 4 weist ferner eine über die
gesicherte Internetverbindung 3 mit dem medizinischen System 1 und
dem Wartungssystem 2 verbundene Vergleichseinrichtung 15 auf.
-
In
der Vergleichseinrichtung 15 ist eine Zuordnungsdatei 7 abgelegt,
in der in tabellarischer Form jedem das medizinische System 1 nutzenden Arzt 5 ein
oder mehrere erlaubte Experten 6, 6', 6'' für das Wartungssystem 2 zugeordnet
sind.
-
Somit
ist es der Vergleichseinrichtung 15 anhand der Zuordnungsdatei 7 möglich, eine
von dem Magnetkartenleser 11 und dem Lesegerät für biometrische
Daten 12 gewonnene Konstellation von Arzt 5 und
Experte 6, 6', 6'' auf seine Zulässigkeit zu überprüfen. Hierfür handelt
es sich bei der Vergleichseinrichtung 15 vorzugsweise um
einen geeigneten Mikroprozessor.
-
Die
Zuordnungsdatei 7 kann in einem Festspeichersystem oder
einem geeigneten Datenträger gespeichert
sein.
-
In
dem in 1 gezeigten Ausführungsbeiapiel sind zwei Vergleichseinrichtungen 15 vorgesehen,
die in zwei weiteren Einrichtungen 8, 8' angeordnet
sind. Bei diesen weiteren Einrichtungen 8, 8' handelt es
sich um die Datenübertragende überwachende
Server die über
die gesicherte Internetverbindung mit dem medizinischen System 1 und
dem Wartungssystem 2 verbunden sind. Selbstverständlich kann
es sich bei den weiteren Einrichtungen 8, 8' auch um andere
Systeme handeln.
-
Durch
die redundante Auslegung der Vergleichseinrichtung 15 können Manipulationen
sicher vermieden werden und kann eine hohe Datensicherheit sichergestellt
werden.
-
Die
Vergleichseinrichtungen 15 der weiteren Einrichtungen 8, 8' sind ausgebildet,
um den Zugriff des Wartungssystems 2 auf die in dem medizinischen
System 1 gespeicherten Patientendaten 4 durch
entsprechende Steuerung der Zugriffssteuereinrichtung 13 freizugeben,
wenn anhand der Zuordnungsdatei 7 eine erlaubte Konstellation
von Arzt 5 und Experten 6, 6', 6'' festgestellt wurde. Weiter sind die
Vergleichseinrichtungen 15 der weiteren Einrichtungen 8, 8' ausgebildet,
um den Zugriff des Wartungssystems 2 auf die in dem medizinischen
Systems 1 gespeicherten Patientendaten 4 durch
entsprechende Steuerung der Zugriffssteuereinrichtung 13 zu
unterbinden, wenn die Vergleichseinrichtung 12 keine erlaubte
Konstellation von Arzt 5 und Experten 6, 6', 6'' festgestellt hat oder durch die
Tastatur 9 kein Zugriff des Wartungssystems 2 auf
die in dem medizinischen System 1 gespeicherten Patientendaten 4 angemeldet
wurde.
-
Da
für eine
Freigabe der Patientendaten immer zunächst eine Anmeldung über das
medizinische System 1 erforderlich ist, behält ein das
medizinische System 1 bedienender Arzt 5 immer die
absolute Verfügungsgewalt über die
in dem medizinischen System 1 abgelegten Patientendaten 4.
-
Über die
Vergleichseinrichtungen 15 wird somit sichergestellt, dass
lediglich dem Arzt 5 bekannte und von dem Arzt 5 autorisierte
Experten 6, 6', 6'', welche dem Betrieb des Arztes
zuzurechnen sind, Kenntnis von in dem medizinischen System 1 gespeicherten
Patientendaten 4 erlangen können.
-
Somit
ist mit der erfindungsgemäßen Anordnung
eine Fernwartung des medizinischen Systems 1 durch das
Wartungssystem 2 möglich.
-
Gemäß dem die 1 bevorzugten
Ausführungsbeispiel
wird ein Zugriff auf in dem medizinischen System 1 gespeicherte
sensible Patientendaten 4 durch die Fehlerkontrolleinrichtung 14 initialisiert,
die bei Feststellung eines Fehlers in dem medizinischen System 1 automatisch
eine Fehlermeldung erzeugt und über
die gesicherte Internetverbindung 3 an das Wartungssystem 3 übermittelt.
-
Die
Fehlermeldung wird über
den Monitor 17 des Wartungssystems 2 an ein des
Wartungssystems 2 bedienenden Experten 6, 6', 6'' ausgegeben.
-
Alternativ
kann die Fehlermeldung auch manuell durch den Arzt 5 über z.B.
eine normale Telephonleitung im Rahmen eines Telephongespräches an
das Wartungssystem 3 übermittelt
werden.
-
Anhand
der Fehlermeldung entscheidet der Experte 6, 6', 6'', ob für eine Behebung des Fehlers in
dem medizinischen System 1 überhaupt ein Zugriff auf die
in dem medizinischen System 1 gespeicherten sensiblen Patientendaten 4 erforderlich
ist.
-
Kommt
der Experte 6, 6', 6'' aufgrund der von der Fehlerkontrolleinrichtung 14 des
medizinischen Systems 1 erzeugten und an das Wartungssystem 2 übermittelten
Fehlermeldungen zu der Überzeugung,
dass für
eine Behebung des Fehlers in dem medizinischen Systems 1 ein
Zugriff auf sensible Patientendaten 4 erforderlich ist,
so übermittelt
er über
das Wartungssystem 2 und die Datenübertragungseinrichtung 3 eine
Anfrage auf Anmeldung eines Zugriffs des Wartungssystems 2 auf
die in dem medizinischen System 1 gespeicherten Patientendaten 4.
-
Die
Anfrage auf Anmeldung eines Zugriffs des Wartungssystems 2 auf
die in dem medizinischen System 1 gespeicherten sensiblen
Patientendaten 4 wird dem Arzt 5 über den
Monitor 16 des medizinischen Systems 1 angezeigt.
-
Der
Arzt 5 (oder eine von dem Arzt 5 hierzu legitimierte
Person, die in geeigneter Weise in die Organisation des Arztes eingebunden
ist) erhält
somit nochmals Gelegenheit, über
die Einleitung eines Datenaustausches zu entscheiden.
-
Um
sowohl den das medizinische System 1 bedienenden Arzt 5 als
auch den des Wartungssystems 2 bedienenden Experten 6, 6', 6'' über den jeweiligen Bediener
des anderen Systems in Kenntnis zu setzten, sind sowohl der Magnetkartenleser 11 als auch
das Lesegerät
für biometrische
Daten 12 ausgebildet, um das Ergebnis der Abfrage der ersten
und zweiten eindeutigen Identifizierung des Arztes 5 bzw. des
Experten 6, 6', 6'' über die gesicherte Internetverbindung 3 an
das jeweilige andere System zu übertragen
wo es über
den jeweiligen Monitor 16, 17 angezeigt wird.
-
Hierdurch
ist eine manuelle Überprüfung des jeweiligen
Benutzers des jeweiligen Systems durch den jeweiligen anderen, Benutzer
des anderen Systems möglich.
-
Um
den Arzt 5 und den Experten 6, 6', 6'' von dem jeweiligen Funktionszustand
der erfindungsgemäßen Anordnung
in Kenntnis zu setzten, sind die Vergleichseinrichtungen 15 ferner
ausgebildet, das Ergebnis des Vergleichs über die gesicherte Internetverbindung 3 an
das medizinische System 1 und das Wartungssystem 2 zu übertragen
wo sie von dem Monitor 16 bzw. dem Monitor 17 an
den Arzt 5 bzw. den Experten 6, 6', 6'' ausgegeben werden.
-
Sollte
die von der Vergleichseinrichtung 15 festgestellte Konstellation
von Arzt 5 und Experten 6 einen Zugriff auf in
dem medizinischen System 1 gespeicherte sensible Patientendaten 4 derzeit
nicht zulassen, ist des Wartungssystem 2 gemäß der in 1 gezeigten
Ausführungsform
weiter ausgebildet, um über
die gesicherte Internetverbindung 3 ein Genehmigungsformular
in Form eines Faxformulares an das medizinische System 1 übertragen.
-
Das
Faxformular kann von dem medizinische System 1 über einen
in der 1 nicht dargestellten Drucker ausgedruckt werden.
-
Das
Genehmigungsformular (Faxformular) ist von dem Arzt 5 entsprechend
auszufüllen
und unterschrieben an die weiteren Einrichtungen 8, 8' zu schicken,
wo die neue Konstellation von Arzt 5 und Experten 6, 6', 6'' in die jeweilige Zuordnungsdatei 7 eingegeben
wird.
-
Somit
erlaubt die erfindungsgemäße Anordnung
auf einfach und gleichwohl sichere Weise eine flexible Anpassung
an die aktuelle Situation, so dass eine Fernwartung eines medizinischen
Systems 1 über
das Wartungssystem 2 in jedem Fall schnell gewährleistet
werden kann.
-
Über das
Genehmigungsformular kann durch den Arzt 5 (oder eine vom
Arzt legitimierte Person) erforderlichenfalls auch eine Weitergabe
der Patienteninformationen 4 durch den Experten 6, 6', 6'' an eine weitere Person legitimiert
werden.
-
2 zeigt
ein alternatives Ausführungsbeispiel
der erfindungsgemäßen Anordnung
zur Steuerung des Zugriffs auf in einer ersten Einrichtung 1 gespeicherte
sensible Daten 4 durch eine mit der ersten Einrichtung 1 über eine
Datenübertragungseinrichtung 3 verbundene
zweite Einrichtung 2 in der gleiche Elements wie in 1 mit
den gleichen Bezugszeichen versehen sind.
-
Das
in 2 gezeigte alternative Ausführungsbeispiel unterscheidet
sich von dem in 1 gezeigten bevorzugten Ausführungsbeispiel
zunächst
dadurch, dass die Vergleichseinrichtung 15 und damit die
Zuordnungsdatei 7 nicht in einer weiteren Einrichtung 8, 8' angeordnet,
sondern in das Wartungssystem 2 integriert ist. Eine Redundanz
der Vergleichseinrichtung 15 ist in dem in 2 gezeigten Ausführungsbeispiel
somit nicht vorgesehen.
-
Weiter
unterscheidet sich das in 2 gezeigte
Ausführungsbeispiel
von dem in 1 gezeigten Ausführungsbeispiel
dadurch, dass die Protokolliereinrichtung 18 nicht in dem
Wartungssystem 2 sondern in dem medizinischen System 1 angeordnet und
die Fehlerkontrolleinrichtung 14 in das medizinische System 1 integriert
ist.
-
Obwohl
in den vorstehend beschriebenen 1 und 2 die
Vergleichseinrichtung 15 entweder in separaten weiteren
Einrichtungen 8 oder 8' oder in dem Wartungssystem 2 angeordnet
ist, ist es selbstverständlich
auch möglich,
die Vergleichseinrichtung 15 in dem medizinischen System 1 oder
sowohl in dem medizinischen System 1 als auch im Wartungssystem 2 vorzusehen.
-
Weiter
ist es alternativ ohne weiteres möglich, anstelle des Magnetkartenlesers 11 und
des Lesegeräts
für biometrische
Daten 12 beliebige Abfrageeinrichtung vorzusehen, die ausgebil det
sind, um ein individuelles Passwort und/oder ein biometrisches Merkmal
und/oder ein elektronische Signatur und/oder ein individuellen maschinenlesbaren
Gegenstand abzufragen.
-
Bei
einem individuellen maschinenlesbaren Gegenstand kann es sich beispielsweise
um eine Magnetkarte oder um einen mit einem individuellen Strichcode
oder individuell kodierten Transponder versehenen Gegenstand handeln,
der geeignet ist, eine Person eindeutig zu identifizieren.
-
Es
ist für
den Fachmann offensichtlich, dass die erfindungsgemäße Anordnung
nicht nur zur Fernwartung von medizinischen Systemen geeignet ist, sondern
beispielsweise auch im Rahmen einer Ferndiagnostik verwendet werden
kann. In diesem Fall handelt es sich bei der zweiten Einrichtung 2 um
eine Ferndiagnostikeinrichtung, die einen Zugriff auf das medizinische
System 1 erlaubt und bei dem die Ferndiagnoseeinrichtung 2' bedienenden
zweiten Benutzer 6, 6', 6'' um
einen sich der Ferndiagnostikeinrichtung 2 bedienenden
zweiten Arzt, der auf die von dem das medizinische System 1 bedienenden
ersten Arzt 5 gewonnenen Patientendaten 4 zugreift.
-
Obwohl
in den 1 und 2 für eine Ausgabe von Daten lediglich
Monitore 16 und 17 gezeigt werden, können selbstverständlich beliebige
andere Ausgabegärte
für Daten,
beispielsweise Drucker etc. verwendet werden. Entsprechend ist auch
eine Dateneingabe nicht nur wie in den 1 und 2 gezeigt über eine
Tastatur 9 oder einer Maus 10 möglich, sondern
es können
beliebige andere Eingabemedien wie z. B. Touchscreens oder Trackballs
für eine
Dateneingabe verwendet werden.
-
Weiter
muss es sich bei der Datenübertragungseinrichtung 3 nicht
um eine gesicherte Internetverbindung handeln, sondern es kommen
beliebige andere Verbindungen wie beispielsweise eine direkte Verbindung über beispielsweise
eine Telefonlei tung oder eine gesicherte Leitung oder eine Übertragung über eine
Luftschnittstelle in betracht.
-
In
dem in den 1 und 2 gezeigten Ausführungsbeispiel
erfolgt die Abfrage von sowohl der ersten als auch der zweiten eindeutigen
Identifizierung des ersten und zweiten Benutzers 5, 6, 6', 6'' gleichzeitig durch das medizinische
System 1 bzw. die Wartungseinrichtung 2 unter
Kontrolle des medizinischen Systems 1. Alternativ kann
die Abfrage auch sequentiell und durch Steuerung des Wartungssystems 2 oder
getrennt durch das jeweilige System erfolgen.
-
Im
Folgenden wird das erfindungsgemäße Verfahren
zur Steuerung des Zugriffs auf in einer ersten Einrichtung gespeicherte
sensible Daten unter Bezugnahme auf 3 näher beschrieben.
-
Wie
in 3 gezeigt wird in einem ersten Schritt S1 automatisch
eine Fehlermeldung durch die erste Einrichtung 1 erzeugt
und automatisch an die zweite Einrichtung 2 übermittelt.
Die Übermittlung
der Fehlermeldung kann über
Telephon oder eine Datenleitung erfolgen.
-
In
dem anschließenden
Schritt S2 wird in Folge der empfangenen Fehlermeldung von der zweiten
Einrichtung 2 über
eine geeignete Datenübertragungseinrichtung 3 eine
Anfrage auf Anmeldung eines Zugriffs der zweiten Einrichtung 2 auf
in der ersten Einrichtung 1 gespeicherte sensible Daten 4 an
die, erste Einrichtung 1 übermittelt. Die Übermittlung
der Anfrage auf Anmeldung eines Zugriffs erfolgt in diesem Ausführungsbeispiel
erst nach einer Überprüfung der
Fehlermeldung durch einen Benutzer 6 der zweiten Einrichtung 2.
-
In
Schritt S3 wird die Anfrage auf Anmeldung eines Zugriffs durch die
erste Einrichtung 1 an einen ersten Benutzer 5 der
ersten Einrichtung 1 ausgegeben.
-
Nach
Ausgabe der Anfrage an den ersten Benutzer 5 erfolgt (im
Belieben des ersten Benutzers 5) in Schritt S4 die Anmeldung
des Zugriffs der zweiten Einrichtung 2 auf in der ersten
Einrichtung 1 gespeicherte sensible Daten 9 durch
den ersten Benutzer 5 der ersten Einrichtung 1.
Diese Anmeldung wird über
die Datenübertragungseinrichtung 3 an
die zweite Einrichtung 2 übertragen.
-
Daran
anschließend
wird in Schritt S5 eine erste eindeutige Identifizierung des ersten
Nutzers 5 durch die erste Einrichtung 1 abgefragt
und über
die Datenübertragungseinrichtung 3 an
die zweite Einrichtung 2 zur Ausgabe an den zweiten Benutzer 6, 6', 6'' übermittelt.
-
Gleichzeitig
wird im parallelen Schritt S6 eine zweite eindeutige Identifizierung
eines zweiten Benutzers 6, 6', 6'' der
zweiten Einrichtung 2 durch die zweite Einrichtung 2 abgefragt
und an die erste Einrichtung 1 zur Ausgabe an den ersten
Nutzer 5 übermittelt.
-
Es
ist offensichtlich, dass die Schritte S5 und S6 alternative auch
sequenziell durchgeführt
werden können,
wobei wahlweise der Schritt S6 auf den Schritt S5 oder der Schritt
S5 auf den Schritt S6 erfolgt.
-
In
dem sich an die Schritte S5 und S6 anschließenden Schritt S7 wird die
durch die Abfragen gewonnene Konstellation des ersten und zweiten
Benutzers 5, 6, 6', 6'' anhand
einer vorgegebenen Zuordnungsdatei 7 überprüft, wobei die Zuordnungsdatei 7 jedem
ersten Benutzer 5 einen oder mehrere erlaubte zweite Benutzer 6, 6', 6'' zuordnet. Anschließend wird
entschieden, ob die durch die Abfragen gewonnene Konstellation erlaubt
ist.
-
Ist
dies nicht der Fall, wird in Schritt S9 das Ergebnis der Überprüfung an
die erste und/oder zweite Einrichtung 1, 2 übertragen
und an den jeweiligen ersten und/oder zweiten Nutzer 5, 6', 6'' ausgegeben. Weiter wird der Zugriff
der zweiten Einrichtung 2 auf die in der ersten Einrichtung 1 gespeicherten
sensiblen Daten 4 unterbunden.
-
Ergibt
die Überprüfung, dass
die Konstellation erlaubt ist, wird anschließend geprüft, ob in Schritt S4 ein Zugriff
der zweiten Einrichtung 2 auf in der ersten Einrichtung 1 gespeicherte
sensible Daten 4 angemeldet worden ist.
-
Ist
dies der Fall, wird in dem sich anschließenden Schritt S8 das Ergebnis
der Überprüfungen an
die erste und/oder zweite Einrichtung 1, 2 übertragen
und dort an den jeweiligen ersten und/oder zweiten Benutzer 5, 6, 6', 6'' ausgegeben. Weiter wird der Zugriff
der zweiten Einrichtung 2 auf die in der ersten Einrichtung 1 gespeicherten
sensiblen Daten 4 freigegeben.
-
Wurde
jedoch in Schritt S4 kein Zugriff angemeldet, so fährt das
Verfahren mit dem vorstehend beschriebenen Schritt S9 fort.
-
In
dem sich an die Schritt S8 und S9 anschließenden Schritt S14 werden die
zwischen der ersten und zweiten Einrichtung 1, 2 übertragenen
Daten automatisch protokolliert und das so erstellte Protokoll an
die ersten und zweiten Einrichtungen 1 und 2 ausgegeben.
-
Hierauf
endet das erfindungsgemäße Verfahren.
-
Es
ist für
den Fachmann offensichtlich, dass die Überprüfung, ob ein Zugriff in Schritt
S4 angemeldet wurde, anders als in 3 gezeigt
bereits unmittelbar nach dem Schritt 34 und damit vor den
Schritten S5 und S6 erfolgen kann. In diesem Falle wird mit den
Schritten S5 und S6 fortgefahren, wenn in Schritt S4 ein Zugriff
angemeldet wurde. Anderenfalls fährt das
Verfahren mit Schritt S9 fort.
-
Die
Abfrage einer eindeutigen Identifizierung eines Benutzers 5, 6 umfasst
vorzugsweise die Abfrage eines individuellen Passworts und/oder
eines biometrischen Merkmals und/oder einer elektronischen Signatur
und/oder eines individuellen maschinenlesbaren Gegenstandes.
-
Die Überprüfung der
durch die Abfrage gewonnen Konstellation des ersten und zweiten
Nutzers 5, 6 erfolgt vorzugsweise durch die ersten
Einrichtung 1 und/oder durch die zweite Einrichtung 2 und/oder
durch eine oder mehrere mit der ersten und zweiten Einrichtung 1, 2 verbundene
weiteren Einrichtung 8, 8', wobei die Zuordnungsdatei 7 in
der bzw. den jeweiligen Einrichtungen 1, 2, 8, 8' gespeichert
ist.
-
Ergibt
die Überprüfung der
Konstellation des ersten und zweiten Nutzers 5, 6, 6', 6'', dass eine derartige Konstellation
in der Zuordnungsdatei 7 nicht als erlaubt gespeichert
ist, weist das erfindungsgemäße Verfahren
gemäß einem
weiteren, in der 3 nicht gezeigten Ausführungsbeispiels
ferner den Schritt der Übermittlung
eines Genehmigungsformulares von der zweiten Einrichtung 2 an
die erste Einrichtung 1 auf. Ein solches Genehmigungsformular kann
auch gesendet werden, wenn eine Weitergabe der sensiblen Daten 4 durch
den zweiten Benutzer 6, 6', 6'' an
einen Dritten erforderlich ist.
-
Besonders
vorteilhaft ist es, wenn die zweite Einrichtung 2 ein Wartungssystem
zur Fernwartung der ersten Einrichtung 1 ist.
-
Dabei
ist besonders vorteilhaft, wenn die erste Einrichtung 1' ein medizinisches
System und die zweite Einrichtung 2 ein Wartungssystem
zur Fernwartung des medizinischen Systems ist.
-
In
diesem Falle handelt es sich bei den sensiblen Daten 4 um
in den medizinischen System gespeicherte Patienten.