-
HINTERGRUND
-
Die vorliegende Erfindung bezieht sich auf Techniken, die die Fähigkeit bereitstellen, eine Einwilligung zu einem Zugriff auf personenbezogene Daten zu verwalten, die mehreren Personen gemeinsam sind.
-
Ein Teilen personenbezogener Informationen für bestimmte Zwecke erfordert typischerweise eine rechtswirksame Einwilligung. Beispielsweise schreiben Gesetze wie GDPR, HIPAA und sonstige vor, dass Einzelne in die Verwendung personenbezogener Daten einwilligen müssen, um personenbezogene Daten für einige Zwecke zu verwenden. Eine persönliche Telefonnummer kann zum Beispiel ohne Einwilligung zum Bereitstellen von Unterstützung, nicht aber für Marketing-Zwecke verwendet werden.
-
Einige personenbezogene Daten sind jedoch mehreren Personen gemeinsam. Beispielsweise können Informationen über gemeinsames Eigentum gemeinsame Informationen wie etwa eine Privatanschrift, eine private Telefonnummer usw. enthalten, DNA-Informationen, bei denen ein bestimmter Prozentsatz der DNA einer Person mit derjenigen der Vorfahren, Geschwister und Kinder der Person übereinstimmt, Informationen über eine Religionszugehörigkeit der Familie können gemeinsame Informationen enthalten, zum Beispiel Familienaktivitäten, Urlaubspläne, Urlaubserfahrungen usw., mehrere Personen, die in einem einzelnen Bild, Film, einer Audioaufnahme usw. erscheinen, und Sonstiges. Wenn in dieser Situation eine Person in die Verwendung ihrer Informationen einwilligt, stellt sie im Wesentlichen Informationen zur Verfügung, die sonstigen Personen zugehörig sind, und macht auch sonstige Personen ohne Einwilligung der sonstigen Person erkennbar. Wenn zum Beispiel die Geschwister einer Person ihre DNA über Ancestry.com teilen, um bisher unbekannte Verwandte zu finden, wissen diese Verwandten, dass sie sowohl mit der Person als auch mit dem Geschwisterteil verwandt sind. Wenn eine Person über einen großartigen Familienurlaub berichtet, den sie erlebt, kann es gleichermaßen für alle Beobachter offensichtlich sein, dass der Ehepartner und die Kinder der Person ebenfalls anwesend sind.
-
Derzeit bestehen Verfahren zum Erfassen einer Einwilligung von einem Einzelnen, nicht jedoch zum Verwalten von Einwilligungen zum Zugriff auf personenbezogene Daten, die mehreren Personen gemeinsam sind. Dementsprechend entsteht ein Bedarf an Techniken, die die Fähigkeit bereitstellen, eine Einwilligung zu einem Zugriff auf personenbezogene Daten zu verwalten, die mehreren Personen gemeinsam sind.
-
KURZDARSTELLUNG
-
Ausführungsformen der vorliegenden Systeme und Verfahren können Techniken bereitstellen, die die Fähigkeit bereitstellen, eine Einwilligung zum Zugriff auf personenbezogene Daten zu verwalten, die mehreren Personen gemeinsam sind.
-
Bei einer Ausführungsform kann ein Verfahren zum Steuern eines Zugriffs auf gespeicherte Daten zum Beispiel ein Erkennen von Daten in einem Computersystem, das einen Prozessor, einen durch den Prozessor zugänglichen Speicher und in dem Speicher gespeicherte und durch den Prozessor ausführbare Computerprogrammanweisungen aufweist, bei denen zumindest ein Teil der Daten einer Mehrzahl von Einzelnen oder Entitäten gemeinsam ist, ein Ermitteln eines Konsensniveaus der Einzelnen oder Entitäten, denen die gespeicherten Daten gemeinsam sind, für einen Zweck in dem Computersystem, wobei das Konsensniveau für einen Zugriff auf die Daten erforderlich ist, ein Übertragen einer Anfrage nach einer Einwilligung zu den gespeicherten Daten von dem Computersystem an jede(n) der Mehrzahl von Einzelnen oder Entitäten, ein Empfangen von Antworten auf die Anfragen nach einer Einwilligung von zumindest einigen der Mehrzahl von Einzelnen oder Entitäten in dem Computersystem, ein Ermitteln einer Konsensbewertung in dem Computersystem auf Grundlage der empfangenen Antworten auf die Anfragen nach einer Einwilligung und ein Zulassen oder Verweigern eines Zugriffs auf die gespeicherten Daten in dem Computersystem auf Grundlage der ermittelten Konsensbewertung und des erforderlichen Konsensniveaus enthalten.
-
Bei Ausführungsformen können den gespeicherten Daten Zweckinformationen zugehörig sein, die zumindest einen Zweck angeben, für den die gespeicherten Daten verwendet werden dürfen. Den gespeicherten Daten können des Weiteren Informationen über Konsensrichtlinien zugehörig sein, die zumindest ein Einwilligungsniveau angeben, das für jeden zugehörigen Zweck, für den die gespeicherten Daten verwendet werden dürfen, erforderlich ist. Jede Antwort auf die Anfrage nach einer Einwilligung kann eine positive Einwilligungsantwort oder eine negative Einwilligungsantwort aufweisen, jede empfangene Antwort kann auf Grundlage einer Beziehung des/der antwortenden Einzelnen oder Entität zu den gespeicherten Daten gewichtet werden, und die Konsensbewertung kann auf Grundlage der gewichteten Antworten und der Nichtantworten auf die Anfrage nach einer Einwilligung ermittelt werden. Das Verfahren kann des Weiteren ein Empfangen einer Anfrage nach einem Zugriff auf die gespeicherten Daten in dem Computersystem aufweisen. Das Verfahren kann des Weiteren ein Übertragen einer Antwort auf die Anfrage nach einem Zugriff auf die gespeicherten Daten in dem Computersystem aufweisen, wobei die Antwort darauf beruht, ob der Zugriff auf die gespeicherten Daten gemäß der Konsenseinwilligungsbewertung zugelassen oder verweigert wurde. Ein Zugriff auf die gespeicherten Daten kann verweigert werden, indem die gespeicherten Daten aus der Antwort weggelassen oder die in der Antwort enthaltenen gespeicherten Daten verschleiert werden.
-
Bei einer Ausführungsform kann ein System zum Steuern eines Zugriffs auf gespeicherte Daten einen Prozessor, einen durch den Prozessor zugänglichen Speicher und in dem Speicher gespeicherte und durch den Prozessor ausführbare Computerprogrammanweisungen aufweisen, um durchzuführen: ein Erkennen von Daten, bei denen zumindest ein Teil der Daten einer Mehrzahl von Einzelnen oder Entitäten gemeinsam ist, ein Ermitteln eines Konsensniveaus der Einzelnen oder Entitäten, denen die gespeicherten Daten gemeinsam sind, für einen Zweck, wobei das Konsensniveau für einen Zugriff auf die Daten erforderlich ist, ein Übertragen einer Anfrage nach einer Einwilligung zu den gespeicherten Daten an jede(n) der Mehrzahl von Einzelnen oder Entitäten, ein Empfangen von Antworten auf die Anfragen nach einer Einwilligung von zumindest einigen der Mehrzahl von Einzelnen oder Entitäten, ein Ermitteln einer Konsensbewertung auf Grundlage der empfangenen Antworten auf die Anfragen nach einer Einwilligung und ein Zulassen oder Verweigern eines Zugriffs auf die gespeicherten Daten auf Grundlage der ermittelten Konsensbewertung und des erforderlichen Konsensniveaus.
-
Bei einer Ausführungsform kann ein Computerprogrammprodukt zum Steuern eines Zugriffs auf gespeicherte Daten einen nichttransitorischen, durch einen Computer lesbaren Speicher aufweisen, in dem Programmanweisungen verkörpert sind, wobei die Programmanweisungen durch einen Computer ausführbar sind, um den Computer zu veranlassen, ein Verfahren durchzuführen, das aufweist: ein Erkennen von Daten, bei denen zumindest ein Teil der Daten einer Mehrzahl von Einzelnen oder Entitäten gemeinsam ist, ein Ermitteln eines Konsensniveaus der Einzelnen oder Entitäten, denen die gespeicherten Daten gemeinsam sind, für einen Zweck, wobei das Konsensniveau für einen Zugriff auf die Daten erforderlich ist, ein Übertragen einer Anfrage nach einer Einwilligung zu den gespeicherten Daten an jede(n) der Mehrzahl von Einzelnen oder Entitäten, ein Empfangen von Antworten auf die Anfragen nach einer Einwilligung von zumindest einigen der Mehrzahl von Einzelnen oder Entitäten, ein Ermitteln einer Konsensbewertung auf Grundlage der empfangenen Antworten auf die Anfrage nach einer Einwilligung und ein Zulassen oder Verweigern eines Zugriffs auf die gespeicherten Daten auf Grundlage der ermittelten Konsensbewertung und des erforderlichen Konsensniveaus.
-
Figurenliste
-
Die Einzelheiten der vorliegenden Erfindung, sowohl hinsichtlich ihrer Struktur als auch ihrer Arbeitsweise, lassen sich am besten unter Bezugnahme auf die beigefügten Zeichnungen verstehen, in denen sich gleiche Bezugszahlen und Bezeichnungen auf gleiche Elemente beziehen.
- 1 veranschaulicht ein beispielhaftes System gemäß Ausführungsformen der vorliegenden Systeme und Verfahren.
- 2 ist ein beispielhafter Ablaufplan eines Prozesses gemäß Ausführungsformen der vorliegenden Systeme und Verfahren.
- 3 ist ein beispielhaftes Blockschaubild von Informationselementen, die in einem Prozess zum Modellieren einer Datengemeinsamkeit gemäß Ausführungsformen der vorliegenden Systeme und Verfahren verwendet werden.
- 4 ist ein beispielhafter Ablaufplan eines Prozesses zum Erfassen von Identitäten von Einzelnen, Personen und Entitäten, die ein Datenelement teilen, gemäß Ausführungsformen der vorliegenden Systeme und Verfahren.
- 5 ist ein beispielhafter Ablaufplan eines Prozesses zum Erfassen und Speichern einer Einwilligung und Berechnen einer Konsensbewertung gemäß Ausführungsformen der vorliegenden Systeme und Verfahren.
- 6 ist ein beispielhafter Ablaufplan eines Prozesses zum Ermitteln einer zulässigen Datennutzung gemäß Ausführungsformen der vorliegenden Systeme und Verfahren.
- 7 ist ein beispielhaftes Blockschaubild eines Computersystems, in dem Prozesse implementiert werden können, die an den hierin beschriebenen Ausführungsformen beteiligt sind.
-
AUSFÜHRLICHE BESCHREIBUNG
-
Ausführungsformen der vorliegenden Systeme und Verfahren können Techniken bereitstellen, die die Fähigkeit bereitstellen, eine Einwilligung zum Zugriff auf personenbezogene Daten zu verwalten, die mehreren Personen gemeinsam sind.
-
Ein beispielhaftes Blockschaubild eines Systems 100 gemäß Ausführungsformen der vorliegenden Techniken wird in 1 dargestellt. In diesem Beispiel kann das System 100 ein Zweck- und Richtlinien-Repository 102, das Metadaten über die personenbezogenen Daten, die zum Beispiel in einem Repository 110 für personenbezogene Daten gespeichert sind, und die Prozesse und Richtlinien, die die personenbezogenen Daten regeln, enthalten kann, einen Einwilligungskollektorblock 104, einen Einwilligungs- und Konsensdurchsetzungsblock 106 und einen Einwilligungsberichtsblock 108 enthalten. Das Zweck- und Richtlinien-Repository kann Hardware wie zum Beispiel ein Computersystem oder ein Datenspeichersystem und/oder Software enthalten, wie etwa in einem Computersystem oder einem Datenspeichersystem implementiert sein kann, um Datenkatalogfunktionen durchzuführen, wie zum Beispiel ein Speichern von personenbezogenen Datenelementen, Informationen, die sich auf die Zwecke der personenbezogenen Datenelemente beziehen, und Richtlinien oder Konsensanforderungen. Ein Schema für das Zweck- und Richtlinien-Repository 102 kann während einer Systementwurfsphase konfiguriert werden. Der Einwilligungskollektorblock 104 kann Hardware wie zum Beispiel ein Computersystem oder ein Datenspeichersystem und/oder Software enthalten, wie etwa in einem Computersystem oder einem Datenspeichersystem implementiert sein kann, um eine Erfassung von Einwilligungs- und Konsensanforderungen und eine Speicherung von Einwilligungs- und Konsensergebnissen durchzuführen. Der Einwilligungskollektorblock 104 kann während einer Systemlaufzeit aktiv Einwilligungen und Konsens erfassen. Der Einwilligungs- und Konsensdurchsetzungsblock 106 kann Hardware wie zum Beispiel ein Computersystem oder ein Datenspeichersystem und/oder Software enthalten, wie etwa in einem Computersystem oder einem Datenspeichersystem implementiert sein kann, um eine Durchsetzung von Einwilligungsanforderungen angesichts der erfassten Konsensergebnisse durchzuführen. Der Einwilligungs- und Konsensdurchsetzungsblock 106 kann während einer Systemlaufzeit und zu Zeiten einer sonstigen Datennutzung aktiv Einwilligungs- und Konsensrichtlinien durchsetzen. Der Einwilligungsberichtsblock 108 kann Hardware wie zum Beispiel ein Computersystem oder ein Datenspeichersystem und/oder Software enthalten, wie etwa in einem Computersystem oder einem Datenspeichersystem implementiert sein kann, um Einwilligungs- und Konsensstatistiken auf Grundlage der erfassten Konsensergebnisse zu erzeugen. Der Einwilligungsberichtsblock 108 kann während einer Nachbearbeitungskonformität Einwilligungs- und Konsensstatistiken erzeugen. Das Repository 110 für personenbezogene Daten kann Informationen speichern, die sich auf Betroffene, Personen, Entitäten usw. beziehen.
-
Ein beispielhafter Ablaufplan eines Prozesses 200 gemäß Ausführungsformen der vorliegenden Techniken wird in 2 dargestellt. Ein Prozess 200 beginnt mit 202, in dem modelliert werden kann, ob ein bestimmter Typ von personenbezogenen Daten sonstigen Einzelnen gemeinsam ist und ob die Identität der sonstigen Personen, die die Daten teilen, von Natur aus bekannt ist, ausdrücklich bekannt ist oder erklärt wurde oder abgeleitet wurde. In 204 kann das für einen Zugriff auf einen bestimmten Typ von Daten für einen bestimmten Zweck erforderliche Konsensniveau erfasst werden. In 206 können die Identitäten von sonstigen Einzelnen erfasst werden, die dieselben (oder einen Teilsatz der) personenbezogenen Daten teilen. Bei Ausführungsformen können Gewichtungen im Hinblick auf die Bedeutung einer Einwilligung jeder Person bereitgestellt werden. Solche Gewichtungen können zum Beispiel darauf beruhen, wie nahe sie einem Familienmitglied sind, wenn sie DNA teilen. In 208 kann eine Einwilligung von sonstigen Einzelnen erfasst werden, die dieselben (oder einen Teilsatz der) personenbezogenen Daten einer bestimmten Person teilen, und die erfassten Einwilligungsinformationen können gespeichert werden. Bei Ausführungsformen kann das Erfassen von Einwilligungen ein iterativer Prozess sein, bei dem die Entscheidungen und Gründe für die Entscheidungen sonstiger Personen erfasst und geteilt werden. In 210 kann eine Konsensbewertung für die personenbezogenen Daten für einen bestimmten Zweck berechnet werden. In 212 können die zulässigen Verwendungen von personenbezogenen Daten ermittelt werden, indem zum Beispiel die Einwilligungskonsensbewertung mit einem erforderlichen Konsensniveau verglichen wird. In 214 kann eine Konsensstatistik erzeugt und berichtet werden.
-
Ein beispielhaftes Blockschaubild von Informationselementen 300, die in einem Prozess 202 zum Modellieren einer Datengemeinsamkeit gemäß Ausführungsformen der vorliegenden Techniken verwendet werden, wird in 3 dargestellt. In diesem Beispiel können die Informationselemente 300 eine oder mehrere Konsensrichtlinien 302, Metadaten zu personenbezogenen Datenelementen 304 und zugehörige Zwecke 306, die in einem Zweck- und Richtlinien-Repository 308 gruppiert und gespeichert werden können, Einwilligende 310A bis N, Einwilligungselemente 312A bis N, einen Konsens 314 und ein Repository 316 für personenbezogene Daten enthalten.
-
Bei der Konsensrichtlinie 302 kann es sich um Informationen handeln, die die Konsensniveaus angeben, die für einen Zugriff auf ein personenbezogenes Datenelement 304 für einen bestimmten Zweck erforderlich sind. Die Konsensrichtlinie 302 kann so definiert sein, dass für ein Paar, das einen Zweck 306 und ein personenbezogenes Datenelement 304 mit einer positiven Gemeinsamkeitsmarkierung enthält, eine Richtlinie vorhanden ist, die das Konsensniveau ermittelt, das erforderlich ist, um die personenbezogenen Daten für den angegebenen Zweck zu verwenden. Ein erforderliches Konsensniveau kann zum Beispiel sein: Hoch = 90 %, Mittel = 60 %, Niedrig = 20 %, was den Prozentsatz von Betroffenen angeben kann, deren gemeinsame Daten geteilt werden, die zustimmen müssen, damit die Daten für den angegebenen Zweck verwendet werden. Typischerweise kann eine Konsensrichtlinie 302 durch einen Datenschutzexperten, einen Administrator oder einen sonstigen vertrauenswürdigen Benutzer eingegeben werden.
-
Das personenbezogene Datenelement 304 kann sich auf Daten beziehen, die einer erkennbaren Person oder Entität zugehörig sind, auch wenn es möglicherweise nicht unbedingt für eine und nur für eine Person einzigartig ist. Das personenbezogene Datenelement 304 kann sich auf Informationsattribute wie zum Beispiel einen Namen der zugehörigen Personen oder Entitäten, eine Beschreibung der zugehörigen Personen oder Entitäten beziehen, und kann den technischen Speicherort solcher Informationen wie etwa einen Speicherort einer Datenbank, ein Schema, eine Tabelle usw., eine Gemeinsamkeitsmarkierung, die angibt, ob diese Daten sonstigen Betroffenen gemeinsam sein können, Datenquellen für die Identität und Kontaktinformationen für die zugehörigen Personen oder Entitäten, die das Datenelement teilen können, und ob sie automatisch feststellbar sind oder angegeben werden müssen, enthalten. Zu solchen Quellen können zum Beispiel ein Telefonbuch, ein Familienstammbaum, Vereinsgemeinschaften usw. zählen. Wenn verschiedene Typen von Personen oder Entitäten vorhanden sind, die möglicherweise ein bestimmtes Datenelement teilen, können sie unterschiedlich gewichtet werden. Wenn es sich bei dem Datenelement zum Beispiel um ein DNA-Profil handelt, können die Gewichtungen, die auf Geschwister angewendet werden, sich von denjenigen für Cousins unterscheiden.
-
Die Zwecke 306 können Informationen enthalten, die sich auf die Verwendung oder die Verwendungen beziehen oder diese beschreiben, für die die personenbezogenen Daten 304 eingesetzt werden können. Personenbezogene Datenelemente 304, die Metadaten über die eigentlichen Persona-Informationen bereitstellen, die in einem Repository 316 für personenbezogene Daten gespeichert werden können, und Zwecke 306 können gruppiert und in einem Zweck- und Richtlinien-Repository 308 gespeichert werden. Die Konsensrichtlinie 302 kann in dem Zweck- und Richtlinien-Repository 308 gespeichert werden, oder, wie in dem Beispiel von 3 dargestellt, in den Datenkatalog 308 eingegeben werden. Zu den Einwilligenden 310A bis N können Betroffene, Personen oder Entitäten zählen, deren personenbezogene Daten 304 für einen bestimmten Zweck verwendet werden. Die Einwilligung 312A bis N kann eine Angabe von jedem Betroffenen (dem Einwilligenden 310A bis N) enthalten, dass der Einwilligende zustimmt, dass ein bestimmter Typ seiner personenbezogenen Daten 304 für einen bestimmten Zweck verwendet werden darf. Die Einwilligung kann Informationsattribute wie zum Beispiel eine ID des Einwilligenden, ein oder mehrere personenbezogene Datenelemente 304, für die die Einwilligung gilt, Zweckinformationen 306, für die die Einwilligung gilt, eine Angabe einer positiven oder negativen Einwilligung, ein Datum der positiven oder negativen Einwilligung usw. enthalten. Der Konsens 314 kann eine Anforderung enthalten, dass, wenn sich bestimmte personenbezogene Daten 304 (oder ein Teilsatz der Daten) auf mehr als einen Betroffenen beziehen, eine Zustimmung mehrerer Betroffener erforderlich sein kann. Diese Anforderung kann als „Konsens“ bezeichnet werden.
-
Ein beispielhafter Ablaufplan eines Prozesses zum Erfassen von Identitäten von Einzelnen, Personen und Entitäten 206, die Datenelemente teilen, die in 2 dargestellt werden, wird in 4 dargestellt. In 402 kann eine Einwilligung zu personenbezogenen Daten für einen bestimmten Zweck von dem Betroffenen A erfasst werden. In 404 kann der Betroffene A für jedes dem Zweck zugehörige personenbezogene Datenelement um Einwilligung gebeten werden. In 406 kann, wenn das Datenelement geteilt wird, das heißt, wenn die Gemeinsamkeitsmarkierung des personenbezogenen Datenelements wahr ist, der in 1 dargestellte Einwilligungs- und Konsenskollektor 104 aufgerufen werden.
-
Ein beispielhafter Ablaufplan eines Prozesses zum Erfassen und Speichern der Einwilligung 208 und zum Berechnen der Konsensbewertung 210, die in 2 dargestellt werden, wird in 5 dargestellt. Die Prozesse 208 und 210 können durch den in 1 dargestellten Einwilligungs- und Konsenskollektor 104 durchgeführt werden. Der Einwilligungs- und Konsenskollektor 104 kann als Eingabe Informationen wie zum Beispiel das personenbezogene Datenelement, eine Erkennung einer Person oder Entität, die mit dem Datenelement in Zusammenhang steht (als Betroffener A bezeichnet), und einen zugehörigen Zweck entgegennehmen. In dem in 1 dargestellten Beispiel beginnt der Prozess mit 502, in dem für jede Quelle in dem personenbezogenen Datenelement eine Liste von zusätzlichen Einwilligenden erstellt werden kann. In 504 kann diese Liste erstellt werden, indem für diejenigen Datenelemente, für die die erforderlichen Einwilligenden automatisch feststellbar sind, nach einer Beziehung zwischen dem Betroffenen A und sonstigen Personen gesucht wird, die mit dem personenbezogenen Datenelement in Zusammenhang stehen. Beispielsweise kann eine Abfrage auf Grundlage der Postanschrift des Betroffenen A durchgeführt werden, um andere Personen als den Betroffenen A zu finden, die an dieser Anschrift wohnen. Zu weiteren Beispielen können Beziehungen zählen, die von Familienstammbäumen oder durch DNA-Analyse abgeleitet werden können. Bei denjenigen Datenelementen, für die die erforderlichen Einwilligenden nicht automatisch feststellbar sind, kann der Betroffene A aufgefordert werden, die Identitäten sonstiger Personen bereitzustellen, die einwilligen sollten.
-
In 506 kann für jeden zusätzlichen Einwilligenden eine Anfrage nach Einwilligung erzeugt und gesendet werden. Die Anfrage kann dadurch erzeugt werden, dass für jeden zusätzlichen Einwilligenden Richtlinieninformationen für das personenbezogene Datenelement und den zugehörigen Zweck abgerufen werden, um Informationen wie etwa eine Zeitgrenze (ein Zeit-Limit zum Gewinnen einer Einwilligung), einen erforderlichen Konsens wie zum Beispiel eine erforderliche Konsensbewertung und erforderliche Gewichtungen von verschiedenen Einwilligenden zu gewinnen. An jeden zusätzlichen Einwilligenden kann eine Anfrage nach einer Einwilligung gesendet werden, und dessen Antwort oder deren Ausbleiben kann verfolgt und gespeichert werden. In 510 kann das Senden von Anfragen nach einer Einwilligung und ein Verfolgen und Speichern oder Antworten und Nichtantworten mehrfach iteriert werden, bis der Prozess abgeschlossen ist. Der Prozess kann durch Erreichen der Zeitgrenze in der Richtlinie abgeschlossen werden, das heißt, das Zeit-Limit zum Gewinnen der Einwilligung kann erreicht werden, oder das Verfahren kann abgeschlossen werden, wenn genügend Antworten empfangen worden sind, um zu ermitteln, ob der erforderliche Konsens, wie durch die Richtlinie angegeben, erreicht worden ist. In 512 kann das Konsensergebnis gespeichert werden. Das Konsensergebnis kann die Summe der gewichteten Ergebnisse aller Einwilligenden sein. Das Ergebnis jedes Einwilligenden kann zum Beispiel ermittelt werden als: positive Einwilligung = 1 × Gewichtung des Einwilligenden, negative Einwilligung oder keine Antwort = 0. Dann ist das Konsensergebnis = die Summe der gewichteten Ergebnisse aller Einwilligenden.
-
Ein beispielhafter Ablaufplan eines Prozesses zum Ermitteln der zulässigen Datennutzung 212, der in 2 dargestellt wird, wird in 6 dargestellt. Der Prozess 212 kann durch den in 1 dargestellten Einwilligungs- und Konsensdurchsetzungsblock 106 durchgeführt werden. Die zulässige Datennutzung kann als Reaktion auf ein Empfangen einer Abfrage zum Zugriff 602 auf einen Satz von Daten ermittelt werden, die für einen bestimmten Zweck (Zweck A) zu verwenden sind. In 604 kann für jedes zurückgegebene personenbezogene Datenelement in dem Datensatz, das zu einer Person oder Entität (als Betroffener B bezeichnet) gehört, ermittelt werden, ob das personenbezogene Datenelement (aus dem in 1 dargestellten Zweck- und Richtlinien-Repository 102) eine positive Gemeinsamkeitsmarkierung aufweist. Wenn dies der Fall ist, kann in 606 die für das personenbezogene Datenelement erforderliche Konsensbewertung für Zweck A und den Betroffenen B abgerufen werden. In 608 kann auf die gespeicherten Einwilligungs- und Konsensinformationen zugegriffen werden, um festzustellen, ob die Konsensbewertung, die den Betroffenen B enthält, größer als oder gleich wie die durch die Richtlinie geforderte Konsensbewertung ist. In 610 kann, wenn die Konsensbewertung größer als oder gleich wie die durch die Richtlinie geforderte Konsensbewertung ist, das personenbezogene Datenelement als Teil des Datensatzes als Reaktion auf die Abfrage aufgenommen werden. Wenn die Konsensbewertung nicht größer als oder gleich wie die durch die Richtlinie geforderte Konsensbewertung ist, kann das personenbezogene Datenelement aus dem Datensatz ausgelassen werden oder kann verschleiert werden (so geändert werden, dass es nicht möglich ist, jegliche der damit in Zusammenhang stehenden Betroffenen zu erkennen).
-
In 7 wird ein beispielhaftes Blockschaubild eines Computersystems 700 dargestellt, in dem Prozesse implementiert werden können, die an den hierin beschriebenen Ausführungsformen beteiligt sind. Ein Computersystem 702 kann mithilfe eines oder mehrerer programmierter Universalcomputersysteme wie zum Beispiel eingebetteten Prozessoren, Ein-Chip-Systemen, Personalcomputern, Arbeitsplatzrechnern, Server-Systemen und Minicomputern oder Großrechnern, oder in verteilten, vernetzten Computerumgebungen implementiert werden. Das Computersystem 702 kann einen oder mehrere Prozessoren (CPUs) 702A bis 702N, eine Eingabe-/Ausgabeschaltung 704, einen Netzwerkadapter 706 und einen Speicher 708 enthalten. Die CPUs 702A bis 702N führen Programmanweisungen aus, um die Funktionen der vorliegenden Datenübertragungssysteme und -verfahren auszuführen. Bei den CPUs 702A bis 702N handelt es sich typischerweise um einen oder mehrere Mikroprozessoren wie zum Beispiel einen INTEL CORE®-Prozessor. 7 veranschaulicht eine Ausführungsform, bei der das Computersystem 702 als ein einzelnes Mehrprozessor-Computersystem implementiert ist, bei dem mehrere Prozessoren 702A bis 702N Systemressourcen teilen, wie zum Beispiel den Speicher 708, die Eingabe-/Ausgabeschaltung 704 und den Netzwerkadapter 706. Die vorliegenden Datenübertragungssysteme und -verfahren enthalten jedoch auch Ausführungsformen, bei denen das Computersystem 702 als eine Mehrzahl von vernetzten Computersystemen implementiert ist, bei denen es sich um Einprozessor-Computersysteme, Mehrprozessor-Computersysteme oder eine Mischung von diesen handeln kann.
-
Die Eingabe-/Ausgabeschaltung 704 stellt die Fähigkeit bereit, Daten in das Computersystem 702 einzugeben oder Daten aus diesem auszugeben. Zu den Eingabe-/Ausgabeschaltungen können zum Beispiel Eingabeeinheiten wie Tastaturen, Mäuse, Touchpads, Trackballs, Scanner, Analog-Digital-Wandler usw., Ausgabeeinheiten wie Videoadapter, Bildschirme, Drucker usw. und Eingabe-/Ausgabeeinheiten wie Modems usw. zählen. Der Netzwerkadapter 706 verbindet die Einheit 700 mit einem Netzwerk 710. Bei dem Netzwerk 710 kann es sich um ein beliebiges öffentliches oder proprietäres LAN oder WAN handeln, darunter um das Internet, ohne darauf beschränkt zu sein.
-
Der Speicher 708 speichert Programmanweisungen, die durch die CPU 702 ausgeführt werden, und Daten, die durch diese verwendet und verarbeitet werden, um die Funktionen des Computersystems 702 durchzuführen. Der Speicher 708 kann beispielsweise elektronische Speichereinheiten wie einen Direktzugriffsspeicher (Random Access Memory, RAM), einen Festwertspeicher (Read-Only Memory, ROM), einen programmierbaren Festwertspeicher (Programmable Read-Only Memory, PROM), einen elektrisch löschbaren, programmierbaren Festwertspeicher (Electrically Erasable Programmable Read-Only Memory, EEPROM), Flash-Speicher usw. sowie elektromechanische Speicher wie Magnetplattenlaufwerke, Bandlaufwerke, optische Plattenlaufwerke usw. enthalten, die eine Integrated-Drive-Electronics(IDE)-Schnittstelle oder eine Variante oder Weiterentwicklung davon wie zum Beispiel Enhanced IDE (EIDE) oder Ultra-Direct Memory Access (UDMA) oder eine Small-Computer-System-Interface(SCSI)-Schnittstelle oder eine Variante oder Weiterentwicklung davon wie zum Beispiel Fast-SCSI, Wide-SCSI, Fast and Wide-SCSI usw. oder Serial Advanced Technology Attachment (SATA) oder eine Variante oder Weiterentwicklung davon, oder eine Fiber-Channel-Arbitrated-Loop(FC-AL)-Schnittstelle verwenden können.
-
Der Inhalt des Speichers 708 kann abhängig von der Funktion variieren, für deren Ausführung das Computersystem 702 programmiert ist. In dem in 7 dargestellten Beispiel werden beispielhafte Speicherinhalte dargestellt, die Routinen und Daten für Ausführungsformen der oben beschriebenen Prozesse darstellen. Ein Fachmann würde jedoch erkennen, dass diese Routinen zusammen mit den Speicherinhalten, die mit diesen Routinen in Zusammenhang stehen, möglicherweise nicht in einem System oder einer Einheit enthalten sind, sondern vielmehr auf Grundlage allgemein bekannter technischer Überlegungen auf eine Mehrzahl von Systemen oder Einheiten verteilt sein können. Die vorliegenden Datenübertragungssysteme und -verfahren können sämtliche derartigen Anordnungen enthalten.
-
In dem in 7 dargestellten Beispiel kann der Speicher 708 ein Zweck- und Richtlinien-Repository 712, einen Einwilligungskollektor 714, eine Einwilligungs- und Konsensdurchsetzung 716, Einwilligungsberichte 718, ein Repository 720 für personenbezogene Daten und ein Betriebssystem 722 enthalten. Der Datenkatalog 712 kann Software-Routinen und Daten zum Durchführen von Datenkatalogfunktionen enthalten, zum Beispiel ein Speichern von personenbezogenen Datenelementen, Informationen, die sich auf die Zwecke der personenbezogenen Datenelemente beziehen, und Richtlinien oder Konsensanforderungen. Der Einwilligungskollektor 714 kann Software-Routinen und Daten enthalten, um eine Erfassung von Einwilligungs- und Konsensinformationen und eine Speicherung der Einwilligungs- und Konsensergebnissen durchzuführen. Die Einwilligungs- und Konsensdurchsetzung 716 kann Software-Routinen und Daten enthalten, um eine Durchsetzung von Einwilligungsanforderungen angesichts der erfassten Konsensergebnisse durchzuführen. Die Einwilligungsberichte 718 können Software-Routinen und Daten enthalten, um Einwilligungs- und Konsensstatistiken auf Grundlage der erfassten Konsensergebnisse durchzuführen. Das Repository 720 für personenbezogene Daten kann Informationen speichern, die sich auf Betroffene, Personen, Entitäten usw. beziehen. Das Betriebssystem 722 kann die Gesamtsystemfunktionalität bereitstellen.
-
Wie in 7 dargestellt, können die vorliegenden Datenübertragungssysteme und -verfahren eine Implementierung in einem System oder in Systemen, die Mehrprozessor-, Multitasking-, Mehrprozess- und/oder Multi-Thread-Datenverarbeitung bereitstellen, sowie eine Implementierung in Systemen enthalten, die nur Einprozessor- und Einzel-Thread-Datenverarbeitung bereitstellen. Die Mehrprozessor-Datenverarbeitung enthält ein Durchführen einer Datenverarbeitung mithilfe von mehr als einem Prozessor. Die Multitasking-Datenverarbeitung enthält ein Durchführen einer Datenverarbeitung mithilfe von mehr als einer Betriebssystemaufgabe. Eine Aufgabe ist ein Betriebssystemkonzept, das sich auf die Kombination aus einem Programm, das ausgeführt wird, und aus durch das Betriebssystem verwendeten Buchhaltungsinformationen bezieht. Jedes Mal, wenn ein Programm ausgeführt wird, erstellt das Betriebssystem eine neue Aufgabe dafür. Die Aufgabe ist insofern wie ein Umschlag für das Programm, als sie das Programm mit einer Aufgabennummer erkennt und sonstige Buchhaltungsinformationen damit verknüpft. Zahlreiche Betriebssysteme, darunter Linux, UNIX®, OS/2® und Windows®, sind in der Lage, viele Aufgaben gleichzeitig auszuführen, und werden als Multitasking-Betriebssysteme bezeichnet. Multitasking ist die Fähigkeit eines Betriebssystems, mehr als eine ausführbare Funktion gleichzeitig auszuführen. Jede ausführbare Funktion wird in ihrem eigenen Adressraum ausgeführt, was bedeutet, dass die ausführbaren Funktionen keine Möglichkeit haben, ihren Speicher zu teilen. Dies hat Vorteile, denn es ist unmöglich, dass ein Programm die Ausführung eines der sonstigen in dem System ausgeführten Programme beeinträchtigt. Die Programme haben jedoch keine Möglichkeit, Informationen auszutauschen, außer durch das Betriebssystem (oder durch Lesen von in dem Dateisystem gespeicherten Dateien). Mehrprozess-Datenverarbeitung ähnelt der Multitasking-Datenverarbeitung, da die Begriffe Aufgabe und Prozess häufig austauschbar verwendet werden, obwohl einige Betriebssysteme zwischen den beiden unterscheiden.
-
Bei der vorliegenden Erfindung kann es sich um ein System, ein Verfahren und/oder ein Computerprogrammprodukt mit einem beliebigen Integrationsgrad technischer Details handeln. Das Computerprogrammprodukt kann (ein) durch einen Computer lesbare(s) Speichermedium (oder -medien) enthalten, auf dem/denen durch einen Computer lesbare Programmanweisungen gespeichert ist/sind, um einen Prozessor dazu zu veranlassen, Aspekte der vorliegenden Erfindung auszuführen. Bei dem durch einen Computer lesbaren Speichermedium kann es sich um eine physische Einheit handeln, die Anweisungen zur Verwendung durch eine Einheit zur Ausführung von Anweisungen behalten und speichern kann.
-
Bei dem durch einen Computer lesbaren Speichermedium kann es sich zum Beispiel um eine elektronische Speichereinheit, eine magnetische Speichereinheit, eine optische Speichereinheit, eine elektromagnetische Speichereinheit, eine Halbleiterspeichereinheit oder jede geeignete Kombination daraus handeln, ohne auf diese beschränkt zu sein. Zu einer nicht erschöpfenden Liste spezifischerer Beispiele des durch einen Computer lesbaren Speichermediums gehören die Folgenden: eine tragbare Computerdiskette, eine Festplatte, ein Direktzugriffsspeicher (RAM), ein Festwertspeicher (ROM), ein löschbarer programmierbarer Festwertspeicher (EPROM bzw. Flash-Speicher), ein statischer Direktzugriffsspeicher (SRAM), ein tragbarer Kompaktspeicherplatten-Festwertspeicher (CD-ROM), eine DVD (digital versatile disc), ein Speicher-Stick, eine Diskette, eine mechanisch codierte Einheit wie zum Beispiel Lochkarten oder erhabene Strukturen in einer Rille, auf denen Anweisungen gespeichert sind, und jede geeignete Kombination daraus. Ein durch einen Computer lesbares Speichermedium soll in der Verwendung hierin nicht als flüchtige Signale an sich aufgefasst werden, wie zum Beispiel Funkwellen oder andere sich frei ausbreitende elektromagnetische Wellen, elektromagnetische Wellen, die sich durch einen Wellenleiter oder ein anderes Übertragungsmedium ausbreiten (z.B. durch ein Glasfaserkabel geleitete Lichtimpulse) oder durch einen Draht übertragene elektrische Signale.
-
Hierin beschriebene, durch einen Computer lesbare Programmanweisungen können von einem durch einen Computer lesbaren Speichermedium auf jeweilige Datenverarbeitungs-/Verarbeitungseinheiten oder über ein Netzwerk wie zum Beispiel das Internet, ein lokales Netzwerk, ein Weitverkehrsnetz und/oder ein drahtloses Netzwerk auf einen externen Computer oder eine externe Speichereinheit heruntergeladen werden. Das Netzwerk kann Kupferübertragungskabel, Lichtwellenübertragungsleiter, drahtlose Übertragungssysteme, Router, Firewalls, Switches, Gateway-Computer und/oder Edge-Server aufweisen. Eine Netzwerkadapterkarte oder Netzwerkschnittstelle in jeder Datenverarbeitungs-/Verarbeitungseinheit empfängt durch einen Computer lesbare Programmanweisungen aus dem Netzwerk und leitet die durch einen Computer lesbaren Programmanweisungen zur Speicherung in einem durch einen Computer lesbaren Speichermedium innerhalb der entsprechenden Datenverarbeitungs-/Verarbeitungseinheit weiter.
-
Bei durch einen Computer lesbaren Programmanweisungen zum Ausführen von Arbeitsschritten der vorliegenden Erfindung kann es sich um Assembler-Anweisungen, ISA-Anweisungen (Instruction-Set-Architecture), Maschinenanweisungen, maschinenabhängige Anweisungen, Mikrocode, Firmware-Anweisungen, zustandssetzende Daten, Konfigurationsdaten für integrierte Schaltungen oder entweder Quellcode oder Objektcode handeln, die in einer beliebigen Kombination aus einer oder mehreren Programmiersprachen geschrieben werden, darunter objektorientierte Programmiersprachen wie Smalltalk, C++ o.ä. sowie prozedurale Programmiersprachen wie die Programmiersprache C oder ähnliche Programmiersprachen. Die durch einen Computer lesbaren Programmanweisungen können vollständig auf dem Computer des Benutzers, teilweise auf dem Computer des Benutzers, als eigenständiges Software-Paket, teilweise auf dem Computer des Benutzers und teilweise auf einem entfernt angeordneten Computer oder vollständig auf dem entfernt angeordneten Computer oder Server ausgeführt werden. In letzterem Fall kann der entfernt angeordnete Computer mit dem Computer des Benutzers durch eine beliebige Art Netzwerk verbunden sein, darunter ein lokales Netzwerk (LAN) oder ein Weitverkehrsnetz (WAN), oder die Verbindung kann mit einem externen Computer hergestellt werden (zum Beispiel über das Internet unter Verwenden eines Internet-Dienstanbieters). In einigen Ausführungsformen können elektronische Schaltungen, darunter zum Beispiel programmierbare Logikschaltungen, feldprogrammierbare Gate-Arrays (FPGA) oder programmierbare Logik-Arrays (PLA) die durch einen Computer lesbaren Programmanweisungen ausführen, indem sie Zustandsdaten der durch einen Computer lesbaren Programmanweisungen nutzen, um die elektronischen Schaltungen zu personalisieren, um Aspekte der vorliegenden Erfindung durchzuführen.
-
Aspekte der vorliegenden Erfindung sind hierin unter Bezugnahme auf Ablaufpläne und/oder Blockschaubilder von Verfahren, Vorrichtungen (Systemen) und Computerprogrammprodukten gemäß Ausführungsformen der Erfindung beschrieben. Es wird darauf hingewiesen, dass jeder Block der Ablaufpläne und/oder der Blockschaubilder sowie Kombinationen von Blöcken in den Ablaufplänen und/oder den Blockschaubildern mittels durch einen Computer lesbare Programmanweisungen implementiert werden können.
-
Diese durch einen Computer lesbaren Programmanweisungen können einem Prozessor eines Universalcomputers, eines Spezialcomputers oder einer anderen programmierbaren Datenverarbeitungsvorrichtung bereitgestellt werden, um eine Maschine zu erzeugen, so dass die über den Prozessor des Computers bzw. der anderen programmierbaren Datenverarbeitungsvorrichtung ausgeführten Anweisungen Mittel zum Implementieren der in dem Block bzw. den Blöcken des Ablaufplans und/oder des Blockschaubildes festgelegten Funktionen/Schritte erzeugen. Diese durch einen Computer lesbaren Programmanweisungen können auch auf einem durch einen Computer lesbaren Speichermedium gespeichert sein, das einen Computer, eine programmierbare Datenverarbeitungsvorrichtung und/oder andere Einheiten so steuern kann, dass sie auf eine bestimmte Art funktionieren, so dass das durch einen Computer lesbare Speichermedium, auf dem Anweisungen gespeichert sind, ein Herstellungsprodukt aufweist, darunter Anweisungen, welche Aspekte der/des in dem Block bzw. den Blöcken des Ablaufplans und/oder des Blockschaubildes angegebenen Funktion/Schritts implementieren.
-
Die durch einen Computer lesbaren Programmanweisungen können auch auf einen Computer, eine andere programmierbare Datenverarbeitungsvorrichtung oder eine andere Einheit geladen werden, um das Ausführen einer Reihe von Prozessschritten auf dem Computer bzw. der anderen programmierbaren Vorrichtung oder anderen Einheit zu verursachen, um einen auf einem Computer ausgeführten Prozess zu erzeugen, so dass die auf dem Computer, einer anderen programmierbaren Vorrichtung oder einer anderen Einheit ausgeführten Anweisungen die in dem Block bzw. den Blöcken des Ablaufplans und/oder des Blockschaubildes festgelegten Funktionen/Schritte umsetzen.
-
Der Ablaufplan und die Blockschaubilder in den Figuren veranschaulichen die Architektur, die Funktionalität und den Betrieb möglicher Implementierungen von Systemen, Verfahren und Computerprogrammprodukten gemäß verschiedenen Ausführungsformen der vorliegenden Erfindung. In diesem Zusammenhang kann jeder Block in dem Ablaufplan oder den Blockschaubildern ein Modul, ein Segment oder einen Teil von Anweisungen darstellen, die eine oder mehrere ausführbare Anweisungen zum Implementieren der bestimmten logischen Funktion(en) aufweisen. In einigen alternativen Implementierungen können die in den Blöcken angegebenen Funktionen in einer anderen Reihenfolge als in den Figuren gezeigt stattfinden. Zwei nacheinander gezeigte Blöcke können zum Beispiel in Wirklichkeit im Wesentlichen gleichzeitig ausgeführt werden, oder die Blöcke können manchmal je nach entsprechender Funktionalität in umgekehrter Reihenfolge ausgeführt werden. Es ist ferner anzumerken, dass jeder Block der Blockschaubilder und/oder des Ablaufplans sowie Kombinationen aus Blöcken in den Blockschaubildern und/oder dem Ablaufplan durch spezielle auf Hardware beruhende Systeme implementiert werden können, welche die festgelegten Funktionen oder Schritte durchführen, oder Kombinationen aus Spezial-Hardware und Computeranweisungen ausführen.
-
Obwohl spezifische Ausführungsformen der vorliegenden Erfindung beschrieben worden sind, ist Fachleuten verständlich, dass sonstige Ausführungsformen vorhanden sind, die den beschriebenen Ausführungsformen gleichwertig sind. Dementsprechend versteht es sich, dass die Erfindung nicht durch die spezifischen veranschaulichten Ausführungsformen, sondern nur durch den Umfang der beigefügten Ansprüche eingeschränkt werden soll.