EP3433778A1 - Software having control logic for secure transmission of personal data via the internet from computers to the server, with secure storage of the data on servers - Google Patents

Software having control logic for secure transmission of personal data via the internet from computers to the server, with secure storage of the data on servers

Info

Publication number
EP3433778A1
EP3433778A1 EP17712917.8A EP17712917A EP3433778A1 EP 3433778 A1 EP3433778 A1 EP 3433778A1 EP 17712917 A EP17712917 A EP 17712917A EP 3433778 A1 EP3433778 A1 EP 3433778A1
Authority
EP
European Patent Office
Prior art keywords
data
personal data
user
computer unit
personalized
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP17712917.8A
Other languages
German (de)
French (fr)
Inventor
Thomas Krech
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Publication of EP3433778A1 publication Critical patent/EP3433778A1/en
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H10/00ICT specially adapted for the handling or processing of patient-related medical or healthcare data
    • G16H10/60ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records

Definitions

  • the present invention relates to methods by means of which the security of personal data in electronic networks and on servers can be increased. This applies in particular to the collection, de-personalization, re-personalization, processing and modification of all types of data of a user, such as medical reports, findings, vital data, data in communication with banks and state and private institutions of all kinds.
  • Electronic data of a person are usually distributed in many memory locations, starting with the personal data, at the family doctor, in hospitals, at health insurance companies, on smartphones - from fitness trackers and vital data and data from devices in the sense of Internet of Things, such as water and water Electricity meters -, insurance data to bank account balances and data from Internet service providers - such as Google and Facebook.
  • Internet service providers - such as Google and Facebook.
  • EP-A-1 939 785 The aim of EP-A-1 939 785 is to cleanse patient data of personally identifiable information so that, for example, the de-personalized data from many patients and from different sources at different times can be evaluated by research institutes. Another object of EP-A-1 939 785 is that the depersonalized patient data of a particular patient can be correlated without having to resort to the personal data. This is achieved by providing the personal data originating from a person with an anonymous, encrypted connection code by means of a program installed on the computer. In the process, the personal data that can be deduced from the person is deleted from the original patient data before it is forwarded to a database.
  • EP-A-1 939 785 there is a functional relationship between the anonymous connection code and the personal data so that each data source can generate the anonymous connection code from the same, predetermined parts of the personal data.
  • the predetermined parts of the personal data are first encrypted (each by themselves) and then input in a first hash function.
  • the output from the first hash function is entered into a second hash function along with the anonymous connection code.
  • the output of the second hash function is then encrypted before the data is sent to a server.
  • the data is decrypted on the server and is then available for patient-related and other evaluations without the personal data having to be known.
  • WO 01/18631 (D1) in turn describes a method in which depersonalized patient data is stored on a server and made available to users (patient or doctor).
  • the data is provided with an identifier from which a hash value is generated and which, if appropriate, can still be encrypted.
  • US Patent Application No. 2006/0179073 (D3) describes an information management apparatus for processing data containing personal data in which the personal data is extracted from processing object data and a unique code is generated based on this data. Thereafter, the personal data of the processing object data is replaced with the unique code to generate primary conversion data. In a transmission of the primary conversion data, they are additionally encrypted with a predetermined password. The method described preserves the value of the original data for statistical evaluations, even if the personal data has been replaced by the unique code.
  • the invention has for its object to propose a personal data network (1, 28) and software with control logic for use in a personal data network (1, 28), which with respect to the security of personal data in terms of unauthorized access Third,
  • the de-personalization of personal data a user and / or a plurality of users and / or the generation of personalized personal information from de-personalized personal information.
  • Another object of the invention is that the personal data network can manage personal vital data of a user. Another goal is that the user is informed as early as possible about possible health problems.
  • a server device In a personal data network according to the invention, a server device is used.
  • This server device may be a singular server unit or a plurality of networked server units.
  • Personal information of a user is stored on the server device.
  • Such personal data is, for example, a user's vital data, such as blood pressure, body temperature, activity data, such as a distance traveled or a number of completed steps or steps, and the like.
  • the personal data network has a computer unit which is assigned to a user.
  • the computing device associated with the user may be a computer, a tablet, a mobile phone, a smartphone, a smartwatch, a wearable, or a PDA.
  • the computer unit and the server device communicate via a network to enable an exchange of personal data. This can be done on the one hand to allow the user access to his personal data via the computer unit, and on the other hand to a transfer allow personal data from the computer unit to the server device for storage on the server device.
  • the personal data on the server device is not stored as personalized personal data. This is to prevent the possibility that third parties who access the server device (authorized or unauthorized) gain knowledge of the personalized personal data.
  • the personal data on the server device be stored exclusively as depersonalized personal data.
  • de-personalized personal data means any form of personal data for which an assignment of the personal data to the person concerning this personal data is not possible.
  • the data may not have a name, categorization, or a type of "header” that includes a name of the person or any other identifiable association with the person.
  • a ZuOrdnungsvorschrift is present in the invention on the computer unit, which is assigned to the user.
  • the ZuOrdnungsvorschrift is in this case made arbitrarily, as long as this assigns a user and his personal data a label that per se for third parties do not recognize which user describes this label.
  • the identification can consist of a simple number, which is assigned individually to the user. If the personal data are marked with this number, the user or the computer unit assigned to the user who knows the identification in the form of the number about the assignment rule can identify and recognize the personal data marked with the number as his.
  • the personal data is stored on the server device both with the de-personalized personal data and with the said identification. Since personalization of the de-personalized personal data in the form of assignment of the de-personalized personal data to the associated user on the basis of existing on the server device de-personalized personal information and labeling is not possible, is still the confidentiality needs of personal information and protection against abuse.
  • the invention proposes that the computer unit which is assigned to the user has control logic, in particular software, by means of which a request to the server device that a transmission of the de-personalized personal data of this user should take place is generated. This request includes the tag associated with the user.
  • the server device may select from a variety of de-personalized personal data the de-personalized personal data associated with the tag and transmit it to the requesting computer unit, ultimately providing the user with the information associated with that user de-personalized personal data are transmitted, so that they can be provided to the user for inspection.
  • the invention further proposes that personalized personal data on the user's computer unit using the To be converted into de-personalized personal data.
  • the de-personalized personal data are transmitted with the associated label from the computer unit via the network to the server device, where this then without the possibility of inference to the Users can be saved.
  • the personal data are in personalized form only on the computer unit, but not on other parts of the personal data network. It is possible to delete this personal data after transmission on the computer unit. It is possible that an additional authentication of the user and / or the computer unit is required before a communication and a transfer of de-personalized personal data via the personal data network takes place.
  • the personal data are in personalized form only on the computer unit, but not on other parts of the personal data network. It is possible to delete this personal data after transmission on the computer unit. It is possible that an additional authentication of the user and / or the computer unit is required before a communication and a transfer of de-personalized personal data via the personal data network takes place.
  • Authentication also be assigned to the de-personalized personal data associated with the user, so that a transfer of the de-personalized personal data from the server device to the computer unit only takes place when a cumulative request is made with the de-personalized personal data associated label and the authentication specific to this de-personalized personal data is present.
  • Another aspect of the invention addresses the problem that not only the label, a file name, an I leader u. ⁇ . Allow conclusions about the assigned user. Rather, usually the data of the aforementioned kind themselves are equipped with personal information. Thus, for example, these may include the name and / or given name of the user, dates, locations, zip codes, names of visited hospitals, names of visited care facilities, accident locations, telephone numbers, signatures and the like. ⁇ . Other person-specific information.
  • the computer unit assigned to the user has control logic by means of which personal information and information relating to the person can be removed or converted into information unit data encompassed by the personalized basic data.
  • the "personalized personal data” is a comprehensive health record, while the information unit data relates to individual "sheets" or parts of this personal data file.
  • the information unit data may be an image (which is also a video-like image sequence), a text, an audio file (eg, a dictated medical report, an echo Cardiogram, etc.) u. act.
  • the personal information is manually removed by the user. Alternatively or cumulatively, it is possible that the removal of the personal information takes place automatically. It is also possible that, instead of removing the personal information, a conversion of the personal information takes place in such a way that partial information is still included, which then makes it impossible to draw any conclusions about the user or only to a reduced extent.
  • the computer unit of the user has control logic which includes a recognition logic.
  • the recognition logic personal information and information that can be inferred to the person can be automatically recognized in the information unit data.
  • the recognition logic may include an OCR recognition that converts a graphic contained in the information unit data into a text. This text can then be used with logical conditions and known educational laws for personal information and those that indicate the person, for example, searching for dates in a given date format,
  • the recognition logic leads to detected personal information, the detected personal information can be removed directly from the information unit data.
  • the recognition is based on an OCR recognition, for this purpose, the partial area of the image, which correlates with the text component according to the OCR recognition, must be permanently removed. It is also possible that prior to removing the personal information from the information unit data, a query is made to the user, who must give confirmation before removal.
  • the computer unit of the user has control logic which converts at least a portion of the recognized personal information in the information unit data into generalized personal information and information that can be inferred to the person.
  • personal information in a date may include day, month, and year. In this case, the date can become a
  • generalized personal information is converted, which only the year includes. It would also be possible, for example, for the personal information to include a place of residence or a federal state, while a conversion into a generalized personal information takes place in the form of a federal state or a country or larger territorial area.
  • the generalized personal information ensures that
  • the recognition logic includes text, image or audio recognition logic.
  • the control logic identified by matching recognized words, images or audio components with predetermined words, images, audio components or educational laws personal information and those that infer the person, including appropriate databases can be used with possible personal information.
  • the control logic then removes the personal information thus identified from the information unit data or converts it (eg, as previously mentioned) into generalized personal information.
  • the control logic then enables the user to remove personal information identified in the information unit data from the user based on the output, and to disclose personal information that may be inferred to the person.
  • the user may mark on a screen a portion of the output information which is then converted or removed. This can be done by the user based on the visual inspection of the output. It is also possible that on the basis of a automated procedure, the user successively different identified personal information and those that indicate the person can be displayed with the request of confirmation, if and possibly to what extent personal information and those that can be inferred to the person converted or removed.
  • the invention proposes that with the control logic the computer unit should be removed from the information unit data or converted personal information and those that are inferred to the person can be stored, which is preferably also done on the computer unit.
  • the deleted or converted personal information itself and the location where the deleted or converted personal information was located in the information unit data and the personal data are stored.
  • control logic of the computer unit may then receive the de-personalized personal data received from the server device over the network in which personal information and information relating to the person can be deduced from information unit data have been removed, supplemented with the stored personal information again, whereby at least partial completion and / or recovery takes place.
  • the server device In order in particular to enable the beginning of the filling of the server device for the transmission of the data of the first user to these users, at least initially, the server device with de-personalized personal data of fictitious users who have been created, for example, on the basis of random criteria, be filled.
  • supporter computer devices in particular computer units or computer subnets, are integrated in the personal data network, which supporters are assigned to the users.
  • Such supporters may be health care workers such as the doctor or a caregiver or nurse, a practice or a hospital.
  • Other supporters which may be integrated into the personal data network through an associated supporter computing device, are pharmacies, insurance companies, banks, or research institutions, to name but a few.
  • a supporter computer device is to be enabled to receive de-personalized personal data from the central server device, this can be done in two different ways: a) It is possible that the user himself transmits the personal data to the supporter Computer device transmits over another way, eg. Via a wireless or wired network. b) It would also be possible that the user transmits the ZuOrdnungsvorschrift or labeling to the supporters computer device, which then the access of the supporter computer device to the server device with the query of the depersonalized personal data belonging to the user, here the patient of the supporter , can be done. It is also possible that the personal data network has an analysis interface.
  • the personal data network can communicate with an analysis computer device in which an analysis of personal data, for example for the diagnostic evaluation of a user's personal data and / or for surveys or statistical investigations of the personal data of multiple users can.
  • the invention further proposes that the supporter computer device, the analysis computer device, the server device and / or the computer unit assigned to the user have control logic which determines findings from the de-personalized personal data of a user.
  • the server device preferably has a data collection and control logic which makes it possible to determine findings from the depersonalized personal data of a user and to approve the user accordingly to inform.
  • the information can be sent either directly to the mobile phone of the user or, for example, an intermediary server, the latter then forwards the information to the user.
  • a critical circulatory condition may be determined from vital data (eg, blood pressure and pulse) determined via a smartphone or wearable.
  • An automatic message generated may be, for example, an alert of the user or a companion of the user or a physician or other health care professional. It is also possible that as an automatic message an indication of a regular visit to the doctor (for example, about a pending vaccination after a predetermined time interval after the previous vaccination) is generated and displayed on the computer unit of the user.
  • the invention also proposes that the backer computer device, the analysis computer device, the server device and / or the computer device assigned to the user have / has a detection device.
  • Personal or de-personalized personal data may be collected via the capture device.
  • the detection device is a manual detection device, via which the user can enter personal data. This can be a keyboard.
  • the detection device as a scanner, photo device, audio recording device u. ⁇ ., By means of which the personalized or depersonalized personal data can preferably be detected via the computer unit assigned to the user.
  • an interface is provided as detection device on the computer unit, wherein the interface can be wired or wireless.
  • the transfer can, for example, of personal data from a computer of an examination facility of the doctor or the hospital or the communication with a scanner, a camera, an audio recording device u. ⁇ .
  • the computer unit assigned to the user can be connected via an interface to a vital data acquisition device, in particular a pulse chest belt, a wearable and the like.
  • a vital data acquisition device in particular a pulse chest belt, a wearable and the like.
  • a wearable a computer unit understood which is attached to the user's body or clothing during use.
  • data that has already been derived can be received via this interface, for example from Apple® HealthKit (trademark of Apple Inc.) or Withings.
  • a transmission path separating device is interposed between the computer unit assigned to the user and the server device, which receives the de-personalized personal data transmitted by the computer unit and eliminates pointers to the IP Address from which the transmission path separator has received the de-personalized personal data, then transmits the depersonalized personal data to the server device.
  • the computer unit assigns the de-personalized personal data to the server device.
  • An interruption of the transmission path may, for example, be made via a virtual private network by establishing a VPN connection to an intermediary server and using the IP address of the intermediary server in communication with the server device.
  • An intermediary server There are services on the market, such as TunnelBear VPN TM (tradename of Tunnel Bear Inc.), which provide programs for desktop computers, mobile phones, tablet computers, etc. that allow users to hide their own IP address. If the user is connected to the service, the actual IP address of the user will not be visible on the web pages they visit.
  • Another embodiment of the invention is dedicated to the registration of the user.
  • the computer unit assigned to the user has control logic which transmits a telephone number of the computer unit, in particular of the smartphone.
  • the computer unit From the unit responsible for registration, in particular the server unit, to which the Telephone number has been sent by the computer unit, then receives the computer unit code that allows authentication of the computer unit.
  • the computer unit can receive this code as an SMS when forming the same as a smartphone.
  • the computer unit takes only after receiving the code for authentication of the computer unit, the computer unit on the control logic data on the person of the user, which, for example, by name, date of birth, place of birth u. ⁇ . Can act. These data relating to the person of the user can then be stored in the computer unit, wherein these are not transmitted in particular via the network.
  • a further increase in the security of the personal data network can be brought about under certain circumstances if a new assignment rule with a new identification is determined by the control logic of the computer unit at regular intervals or for certain events. With the new identification determined, personal data that has been personalized by the computer unit can then be transmitted to the server device via the network. Under certain circumstances, the de-personalized personal data is transmitted from the server device to the computer unit with the old identification,
  • the aim may be that the user has exclusive personal access to his personal data via the computer unit. But this can be problematic u. U. in case of loss of the computer unit, powerlessness or incapacitation of the user. It is possible that the ZuOrdnungsvorschrift is transmitted to the provision of such cases by means of the control logic of the computer unit to a trusted person computer unit.
  • the trusted person is, for example, a spouse, a person authorized to make a decision in an emergency for the user, or a security person or a person with a trust function via whom access to the personal data is to be possible if the computer unit is lost.
  • the computer unit associated with the trusted person can then be allowed at least partial access to the de-personalized personal data and its conversion into personalized personal data.
  • the invention also includes embodiments in which all personal information is completely de-personalized in the personal data.
  • this may complicate a scientific or other stochastic evaluation with the aim of gaining important insights.
  • the invention proposes that the de-personalized personal data regarding the user is still the year of birth,
  • the invention also relates to a software which is equipped with control logic which is suitable for the use and the formation of a personal data network according to one of the preceding claims.
  • the software has in particular control logic, as claimed in the patent claims.
  • the subject of the present invention is furthermore a system comprising a personal data network according to one of claims 1 to 19 and a vital data acquisition device.
  • the vital data acquisition device may comprise one or more sensors for acquiring vital data. Possible sensors are sensors for recording the heart rate, blood pressure, blood sugar, pacemaker, fitness tracker, position sensors, acceleration sensors, etc.
  • Figs. 1 to 4 show different exemplary embodiments of the de-personalized
  • Fig. 5 shows highly schematized method steps of a control logic for the transmission of de-personalized data, wherein the control logic relates to a method for a first-time registration of a user.
  • Fig. 6 shows a highly schematic process steps of a control logic for the
  • control logic relates to a method for transmitting de-personalized personal data to a server device.
  • Fig. 7 shows, in a highly schematic manner, method steps of a control logic for the transmission of de-personalized data, wherein the control logic relates to a method for the de-personalization of personal data from a server device.
  • FIG. 1 shows a highly schematized data network 1 with a server device 2 and a computer unit 3 assigned to a user or patient of a plurality of further computer units communicating with the server device 2 via a network 1, 28, not shown here.
  • de-personalized personal data 4 with associated identification 5 are sent to the server device 2 by the computer unit 3 in order to store the de-personalized personal data 4 in a memory unit 6 of the server device 2 under the identifier 5.
  • the computer unit 3 it is possible for the computer unit 3 to send a request 7 to the server device 2 with the identification 5, to send the de-personalized personal data 4 associated with the identification 5 as de-personalized personal data 4 to the computer unit 3.
  • the de-personalization takes place by means of software A on the computer unit 3, the re-personalization by a software B on the computer unit 3.
  • a transmission path separating device 9 can be interposed between server device 2 and computer unit 3 according to FIG ,
  • the transmission path separating device 9 receives the request 7 with the identifier 5 from the IP address of the computer unit 3 and sends it with its own IP address without reference to the IP address of the computer unit 3 to the server device 2.
  • the 5 associated , de-personalized personal data 4 stored in the memory unit 6 are then transmitted from the server device 2 to the transmission path separator 9, which in turn transmits the de-personalized personal data 4 to the only existing IP address of the computer unit 3 According to FIG.
  • corresponding communication between the computer unit 3 and the server device 2 has the data network 1 via a back-up computer device 10 which, for example, is assigned to a practice, a hospital, a bank or an insurance company.
  • the user transmits de-personalized personal data 31 from the computer unit 3 to the supporter computer device 10. Simultaneously or at a different time, the delivery of the code 5, which is provided with the personal data, takes place. These are inserted as a header if the identifiers match the document.
  • an analysis computing device 1 may have access to the de-personalized personal data 33 of a plurality of users by communication with the server device 2. A plurality of de-personalized personal data 33 can then be analyzed in the analysis computer device 11 and the analysis result 32 of the analysis computer device 11 can be transmitted to the server device 2 or other devices.
  • de-personalized personal data is transmitted from the supporter-computer device 10 to an analysis computer device 11, with which an analysis device can then perform an analysis of this personal de-personalized data.
  • the analysis computer device 1 1 communicates with an analysis interface 27 of the server device 2.
  • the result of the analysis can then be transmitted in de-personalized form to the supporter computer device 10 or the computer unit 3 of the user for further processing.
  • FIG. 4 shows an embodiment in which (alternatively or additionally) a back-up computer device 10 or a trust-person computer unit 12 is integrated into the data network 1, 28.
  • the user transmits via the computer unit 3 an assignment rule, in particular the identification 5 assigned to the user Supporter computer device 10 and / or the trusted person computer unit 12.
  • this assignment rule and possibly other transmitted authentications or passwords can then exchange data regarding the de-personalized data associated with the user between the supporter computing device 10 and / or the trusted person computer unit 12 on the one hand and the server device 2 on the other hand done.
  • FIG. 4 shows an embodiment in which (alternatively or additionally) a back-up computer device 10 or a trust-person computer unit 12 is integrated into the data network 1, 28.
  • the computer unit 3 can also receive vital data 13 via an interface 29, which is from a wearable 14 or a vital data acquisition device 30 such as a wristband or a chest strap or an application of the computer unit 3 can originate from forming smartphones.
  • 5 shows by way of example a method for a first-time registration of a user by the computer unit 3 assigned thereto:
  • the user After loading an application, for example, onto the computer unit 3 designed as a smartphone, the user transmits his telephone number to the device carrying out the registration, in particular the server device 2, in a method step 15. It is also conceivable, however, for another server to be connected in front of the server device 2 to strictly separate the registration data of the user from the data stored on the server device 2.
  • the identifier 5 is then determined, which is transmitted back to the smartphone in a method step 17, in particular via SMS via the previously transmitted telephone number. Only then does the user then enter the personal data in a method step 18. With this registration, the smartphone or the computer unit 3 is then able to work.
  • the transmission of de-personalized data with the identification 5 or 5a to the server device 2 can then take place and / or the server device 2 can load the de-personalized data associated with the user with the reference to the identification 5 or 5a.
  • the personal data nor the association between the telephone number and the tag are stored on the server device 2. Accordingly, it is possible to proceed for the registration if the computer unit 3 is not designed as a smartphone, but, for example, as a desktop version to which the application can be loaded.
  • the computer unit 3 may inquire whether a further computer unit 3 should be registered as authorized with regard to the user.
  • the further telephone number assigned to another smartphone is then transmitted from the computer unit 3 to the server device 2, for example.
  • the information to be input to the person in step 18 includes, for example, the name, first name, date of birth, gender, ethnicity, weight, height, street, place of residence, country, e-mail address Address, the mobile phone number, an identity card number u. ä.
  • Fig. 6 shows the transmission of de-personalized personal data to the server device 2 for storage thereof:
  • the first-mentioned method steps are performed either by the computer unit 3, which can communicate with the server device 2 (FIG. 1), or the supervisor computer device 10 or the trusted person computer unit 12, which can communicate with the server device 2 (FIG. 4), carried out.
  • first personal data are obtained. This can be achieved by receiving the personal data from an examination device, from the supervisor computer device 10 or by recording a medical report u. ⁇ . About a detection device 26.
  • a subsequent method step 20 then personal information and those that can be inferred to the person from information unit data, ie, for example, the doctor's report, the X-ray u. ⁇ . removed.
  • the data packet which contains both the depersonalized data and the associated identification, is transmitted to the server device 2.
  • the server device 2 then stores the received de-personalized data in the memory unit 6 in the method step 22 under the label 5.
  • FIG. 7 shows the method for loading de-personalized data from the server device 2 into the computer unit 3 (FIG. 1) or into the supporter computer device 10 or trusted person computer unit 12 (see FIG Method step 23 transmits the computer unit 3 (or the backup computer device 10 or the trusted person computer unit 12) a request 7 with the label 5 to the server device 2.
  • the server device 2 loads in a method step 24 the de-personalized data associated with the identifier 5 from the memory unit 6.
  • the de-personalized data are then in the method step 25 to the computer unit 3 (or the supervisor computer unit 10 or the confidant Computer unit 12) transferred, where they are re-personalized by, for example, in a header (header), the data are listed to the person.
  • the server device 2 can initially store the de-personalized data of many users on the memory unit 6 according to the respective identifier 5.
  • This repository containing multiple user data is shown as 33 in the figures. Extraction of search words to enable a search function for analysis of the de-personalized data of multiple users (33) is also possible.
  • a categorization of the de-personalized data to a user can be done, for example, according to the type of information unit data. Thus, for example, a classification between examination findings, medical reports, discharge reports done. It is also possible that the aggregation of information unit data or identification of the same takes place depending on the implementing institute of the individual examinations and medical reports. Alternatively or additionally, the categorization of the information unit data depending on the disease or affected body part or medical specialty. It is possible that information unit data of different categories are provided individually to the user or a supporter.
  • An application of the computer unit 3 may include a search function to facilitate easy retrieval of information.
  • wearables 14 which can be used in the data network 1 within the scope of the invention are, for example, on the Internet site (http://www.emdt.co.uk/daily- buzz / 5-wearables-could -transform-healthcare). examples for this are
  • An integrated into the data network 1 analysis device can evaluate a variety of depersonalized data of one or more patients, with additional validation and approval can be done from a medical point of view.
  • the analysis results resulting from the analysis or the generated data extracts may in particular include the following information and data: an electronic doctor's letter (see http://www.ae fürblatt.de/archiv/167716/ Elektronischer-Arztbrief-Arztnetze-fuer-die -Erprobung-searched)
  • An application of a computer device 3 designed as a smartphone may, for example, include a menu interface which displays the menu items
  • a transmission of de-personalized data via the data network 1, 28 takes place in particular as metadata according to the standard IHE. It is possible that for re-personalization instead of (re) inserting the patient data in the document, the label 5 is inserted as a header or header in the documents, which can be linked via the ZuOrdungsvorschrift of the user with his personal data.
  • the download and upload of the de-personalized data takes place via an encrypted connection. Encryption of the de-personalized personal data may additionally be done according to the usual known encryption technologies. It is possible that an access management for third parties such as trusted persons or analysis facilities by a protocol marked "OAuth", as described in the relevant literature and at https://de.wikipedia.org/wiki/OAuth.
  • the user can individually determine based on deposited profiles and control by the application on the computer unit 3 or the server device 2. It is possible that the user when creating his profile must give the consent that a disclosure of personal data to third parties, agents or a person of trust may be released in the last instance by a fiduciary. A data access by a deputy is particularly in question when the user is unconscious, patronized, died or the computer unit 3, which contains only the ZuOrdstedsvorschrift, has been lost.
  • a document such as a medical report or an X-ray image
  • a document can first be completely “blacked out” or deleted, after which the user can "reactively” reactivate individual components of this document via a type of wiping function. Conversely, the user can not blacken even "blackened” places in his document, which suggest his person, by a wiping function itself.
  • the user uses his smartphone to retrieve his vital data from a fitness tracker, sphygmomanometer or pacemaker, e.g. via Bluetooth directly to the smartphone. It is also conceivable that the data has already been derived in another software, such as Apple Health Kit. In the latter case, the data from such a system is transferred to the smartphone. Ultimately, it is also conceivable that with the smartphone by means of a special function medical findings texts and images are scanned. In all cases, the data is depersonalized by means of automatic programs. Where this is not possible, personifying data can be removed by means of a wipe function. Importantly, the entire depersonalization process takes place on the smartphone. Only then are the data transmitted in depersonalized form to the server. Here an ongoing aggregation of the data and analysis of the data owner takes place and in case of deviations, a feedback is sent to the Smarphone of the data owner.
  • the invention relates to a personal data network 1 with a server device 2 for storing personal data of a user and a user assigned to a computer unit 3, in particular a smartphone, tablet PC or iPad and desktop PC.
  • the computer unit 3 and the server device 2 communicate via a network 1, 28 to exchange de-personalized data.
  • the personal data network is created by only passing data over the network and storing it on the network, which does not allow any direct or indirect inference to the person; These are so-called “de-personalized” data.
  • the user's personal data are already de-personalized on the computer unit 3 with a label 5 and transmitted to the server device (2), where they are stored de-personalized under the label 5.
  • the identification 5 results from an assignment rule which is stored exclusively on the computer unit 3.
  • Personalization of the de-personalized personal data 4 in the form of assignment of the de-personalized personal data to the assigned user is not possible on the basis of the de-personalized personal data 4 and the identification 5 present on the server device 2. Furthermore, an assignment during the transmission of the de-personalized data via the network is also not possible.
  • the identity of the user can be "borrowed" for a limited time or permanently in the form of a tag 7, for example to a supporter computer device 10 or a fiduciary computer unit 12, thereby de-personalized data under the borrowed tag 7 can be transmitted to the server unit.
  • a program for de-personalization of data in electronic or handwritten form is a program for de-personalization of data in electronic or handwritten form.
  • Header with the personal master data, such as name, first name, gender,
  • 3 personal computer unit (user-controlled electronic device, such as smartphone, tablet PC, desktop PC, for recording, processing, management and de-personalization of data)
  • Re-personalized personal data in the form of the original or with a header containing the personal information.
  • Supporter computer device computer device of a user supporting institution, such as hospital, doctor or bank or insurance.
  • Vital data such as weight, heart rate, blood pressure, blood sugar, etc.
  • Wearable garment, patch or accessory, such as a bracelet, with built-in sensors for measuring vital signs and events, such as taking medication or registering goods while shopping
  • Capture device Analysis interface interface between stored de-personalized data and device for processing, storage and transfer of data

Abstract

The invention relates to a personal data network (1) having a server device (2) for storing personal data of a user, and having a computer unit (3) associated with a user, in particular a smart phone, Tablet PC or iPad, and desktop PC. The computer unit (3) and the server device (2) communicate via a network (1, 28) in order to exchange de-personalized data. The personal data network arises from the fact that only data which permit no direct or indirect conclusions to be drawn about the person is conducted via the network and stored in the network; this is so-called de-personalized data. According to the invention, the personal data of the user is already de-personalized on the computer unit (3) by means of an identifier (5) and is transmitted to the server device (2), where the personal data is stored in a de-personalized manner under the identifier (5). Here, the identifier (5) results from an allocation rule, which is stored only on the computer unit (3). Personalization of the de-personalized personal data (4) in the form of an allocation of the de-personalized personal data to the associated user is not possible on the basis of the de-personalized personal data (4) present on the server device (2) and the identifier (5). Furthermore, allocation during the transmission of the de-personalized data via the network is likewise not possible. In the form of an alias identity, the identity of the user can be "loaned out" in a time-restricted or permanent manner in the form of an identifier (7), for example to a supporter computer device (10) or to a trustee computer unit (12), in order that data accumulating there can be transmitted to the server unit in a de-personalized manner under the loaned-out identifier (7).

Description

SOFTWARE MIT STEUERLOGIK ZUR SICHEREN ÜBERMITTLUNG PERSÖNLICHER DATEN ÜBER DAS INTERNET VON COMPUTERN AUF DEN SERVER MIT SICHERER LAGERUNG DER DATEN AUF SERVERN  TAX LOGISTICS SOFTWARE FOR SAFE PASSING OF PERSONAL DATA THROUGH THE INTERNET OF COMPUTERS TO THE SERVER WITH SAFE STORAGE OF THE DATA ON SERVER
TECHNISCHES GEBIET DER ERFINDUNG TECHNICAL FIELD OF THE INVENTION
Die vorliegende Erfindung betrifft Verfahren, mittels derer die Sicherheit persönlicher Daten in elektronischen Netzen und auf Servern erhöht werden kann. Dies betrifft insbesondere die Erfassung, De-Personalisierung, Re-Personalisierung, Aufbereitung und Modifikation von Daten aller Art eines Nutzers, wie Arztberichte, Befunde, Vitaldaten, Daten im Verkehr mit Banken und staatlichen sowie privaten Institutionen aller Art. The present invention relates to methods by means of which the security of personal data in electronic networks and on servers can be increased. This applies in particular to the collection, de-personalization, re-personalization, processing and modification of all types of data of a user, such as medical reports, findings, vital data, data in communication with banks and state and private institutions of all kinds.
STAND DER TECHNIK STATE OF THE ART
Elektronische Daten einer Person sind üblicherweise auf viele Speicherorte verteilt, angefangen von den persönlichen Daten, die beim Hausarzt, in Krankenhäusern, bei Krankenkassen, auf Smartphones - von Fitnesstrackern und Vitaldaten sowie Daten von Geräten im Sinne von Internet of things, wie beispielsweise Wasser- und Stromzählern - , über Versicherungsdaten bis hin zu Bankkontoständen und Daten bei Internet-Dienstleistern - wie Google und Facebook. Es besteht ein zunehmendes Interesse, diese Daten zusammenzuführen und zum Vorteil des Nutzers und der Allgemeinheit auszuwerten und weiterzuleiten. Die Daten eines Nutzers werden oftmals Personen oder Einrichtungen in personalisierter Form zu Verfügung gestellt und bei diesen belassen, ohne dass dies erforderlich ist. Electronic data of a person are usually distributed in many memory locations, starting with the personal data, at the family doctor, in hospitals, at health insurance companies, on smartphones - from fitness trackers and vital data and data from devices in the sense of Internet of Things, such as water and water Electricity meters -, insurance data to bank account balances and data from Internet service providers - such as Google and Facebook. There is an increasing interest in bringing this data together and evaluating and sharing it for the benefit of the user and the general public. A user's data is often provided to and kept in a personalized form to people or institutions without this being necessary.
Bei den Nutzern sowie auch von Seiten des Gesetzgebers besteht ein steigendes Interesse an der De-Personalisierung der persönlichen Daten, um einen Missbrauch der persönlichen Daten zu vermeiden. Die Bedeutung der De-Personalisierung der persönlichen Daten erhöht sich, wenn nicht nur einzelne persönliche Daten vorliegen, sondern eine Zusammenführung sämtlicher persönlicher Daten eines Nutzers erfolgt und u. U. derartige zusammengefasste persönliche Daten zentral gespeichert werden.  Users as well as legislators are increasingly interested in de-personalizing personal information in order to avoid misuse of personal information. The importance of the de-personalization of personal data increases, if not only individual personal data is available, but a combination of all personal data of a user takes place and u. U. such summarized personal data are stored centrally.
Die Idee der Sammlung von persönlichen Daten zwecks Bereitstellung einer patienteneigenen mobilen Akte reift besonders in den USA immer mehr und findet beispielsweise in der iPhone - Applikation Health Chron ihren Niederschlag (vgl. https://www.linkedin.com/pulse/why-you- should-own-your-health-data-loc-pham). Eine Datensammler-Plattform wird in den USA unter der Kennzeichnung "Physi-IQ" entwickelt (http://www.physiq.com/markets/). Diese Datensammler-Plattform sammelt kontinuierlich Vitaldaten eines Nutzers und stellt diese dann Ärzten zur Verfügung, damit diese dann auf Grundlage der Vitaldaten proaktiv handein zu können. Das die Datensammler-Plattform entwickelnde Unternehmen ist eine Verbindung mit dem Unternehmen Samsung eingegangen, um eine von Samsung entwickelte Datenaustausch-Plattform mit der Kennzeichnung "SAMI" zwecks Übertragung von Sensordaten in die Cloud zu nutzen (vgl. https://developer.samsungsami.io/sami/sami-documentation/). The idea of collecting personal data to provide a patient 's mobile file is maturing, especially in the US, and is reflected in the iPhone application Health Chron (https://www.linkedin.com/pulse/why-you - should-own-your-health-data-loc-pham). A data collector platform is under development in the US under the designation "Physi-IQ" (http://www.physiq.com/markets/). This data collector platform continuously collects vital data from a user and then makes it available to doctors so that they can proactively handle it based on the vital data. The company, which is developing the data collector platform, has contacted Samsung to use a Samsung-developed SAMI data exchange platform to transfer sensor data to the cloud (see https://developer.samsungsami.com). io / sami / sami-documentation /).
In Ländern wie Dänemark oder den Niederlanden werden bereits annähernd alle Patientenakten elektronisch geführt. Der Prozess der Einführung einer Digitalisierung von Patientendaten kommt hingegen bspw. in der Schweiz oder in Deutschland (http://www.healthbytes.de/eu-studie-ehealth-durchdringung-allgemeinÄrzte-deutschland- potenzial/) nur langsam voran. Von der EU wurde die Pilot-Studie epsos (http://www.epsos.eu/home/download-area/information-on-healthcare-and-ehealth.html) lanciert mit dem Ziel, für EU-Bürger eine grenzübergreifende medizinische Versorgung auf Grundlage elektronisch gespeicherter persönliche Daten zu erproben. In der Schweiz kümmert sich innerhalb eHealth-Suisse eine interdisziplinäre Arbeitsgruppe IPAG EPD um die Strukturierung einer elektronischen Patientenakte (http://www.saez.ch/aktuelle-ausgabe/details/ipag-epd-nach- der-etappe-ist-vor-der-etappe.html). Die rechtlichen Aspekte werden in der Schweiz im Bundesgesetz über das elektronische Patientendossier geregelt (EPDG). In countries like Denmark or the Netherlands, nearly all patient records are already electronically managed. In contrast, the process of introducing a digitization of patient data, for example, is progressing slowly in Switzerland or Germany (http://www.healthbytes.de/eu-studie-health-durchdringung-allgemeinÄrzte-deutschland-potenzial /). The EU launched the pilot study EPSOS (http://www.epsos.eu/home/download-area/information-on-healthcare-and-ehealth.html) with the aim of providing cross-border medical care for EU citizens Supply based on electronically stored personal data. In Switzerland, an interdisciplinary working group IPAG EPD is taking care of the structuring of an electronic patient file (http://www.saez.ch/aktuelle-ausgabe/details/ipag-epd-nach- der-stappe-ist-vor.) Within eHealth-Suisse -the-etappe.html). The legal aspects are regulated in Switzerland in the federal law on the electronic patient dossier (EPDG).
Die EP-A-1 939 785 setzt sich nämlich zum Ziel, Patientendaten von personenidentifizierenden Informationen zu säubern, damit beispielsweise die von vielen Patienten und aus verschiedenen Quellen zu verschiedenen Zeiten stammenden, entpersonalisierten Daten von Forschungsinstituten ausgewertet werden können. Ein weiteres Ziel der EP-A-1 939 785 ist, dass die entpersonalisierten Patientendaten eines bestimmten Patienten korreliert werden können, ohne dass auf die Personendaten zurückgegriffen werden muss. Dies gelingt dadurch, dass den von einer Person stammenden Patientendaten mittels eines auf dem Rechner installierten Programms mit einem anonymen, verschlüsselten Verbindungscode versehen werden. Dabei werden die Personendaten, die auf die Person rückschliessen lassen, in den ursprünglichen Patientendaten gelöscht, bevor diese an eine Datenbank weitergeleitet werden. Gemäss der EP-A-1 939 785 besteht eine funktionelle Beziehung zwischen dem anonymen Verbindungscode und den Personendaten, sodass jede Datenquelle den anonymen Verbindungscode aus denselben, vorbestimmten Teilen der Personendaten erzeugen kann. Die vorbestimmten Teile der Personendaten werden (jeder für sich) zuerst verschlüsselt und dann in einer ersten Hashfunktion eingegeben. Der Output aus der ersten Hashfunktion wird zusammen mit dem anonymen Verbindungscode in eine zweite Hashfunktion eingegeben. Der Output der zweiten Hashfunktion wird dann verschlüsselt, bevor die Daten an einen Server übermittelt werden. Auf dem Server werden die Daten entschlüsselt und stehen dann für patientenbezogene und andere Auswertungen zur Verfügung, ohne dass die Personendaten bekannt sein müssen. The aim of EP-A-1 939 785 is to cleanse patient data of personally identifiable information so that, for example, the de-personalized data from many patients and from different sources at different times can be evaluated by research institutes. Another object of EP-A-1 939 785 is that the depersonalized patient data of a particular patient can be correlated without having to resort to the personal data. This is achieved by providing the personal data originating from a person with an anonymous, encrypted connection code by means of a program installed on the computer. In the process, the personal data that can be deduced from the person is deleted from the original patient data before it is forwarded to a database. According to EP-A-1 939 785, there is a functional relationship between the anonymous connection code and the personal data so that each data source can generate the anonymous connection code from the same, predetermined parts of the personal data. The predetermined parts of the personal data are first encrypted (each by themselves) and then input in a first hash function. The output from the first hash function is entered into a second hash function along with the anonymous connection code. The output of the second hash function is then encrypted before the data is sent to a server. The data is decrypted on the server and is then available for patient-related and other evaluations without the personal data having to be known.
Die WO 01/18631 (D1 ) wiederum beschreibt ein Verfahren, bei dem entpersonalisierte Patientendaten auf einem Server gespeichert und Nutzern (Patient oder Arzt) zur Verfügung gestellt werden. Dabei werden die Daten mit einem Identifikator versehen, aus dem ein Hashwert erzeugt wird und der gegebenenfalls noch verschlüsselt werden kann. WO 01/18631 (D1) in turn describes a method in which depersonalized patient data is stored on a server and made available to users (patient or doctor). In this case, the data is provided with an identifier from which a hash value is generated and which, if appropriate, can still be encrypted.
Die amerikanische Patentanmeldung Nr. 2006/0179073 (D3) beschreibt eine Informationsverwaltungsvorrichtung zum Verarbeiten von Daten, die personenbezogene Daten enthalten, bei der die persönlichen Daten aus Verarbeitungsobjektdaten extrahiert werden und auf Basis dieser Daten ein eindeutiger Code erzeugt wird. Danach werden die persönlichen Daten der Verarbeitungsobjektdaten mit dem eindeutigen Code ersetzt, um primäre Umwandlungsdaten zu erzeugen. Bei einer Übertragung der primären Umwandlungsdaten werden dieselben zusätzlich mit einem vorbestimmten Passwort verschlüsselt. Durch das beschriebene Verfahren bleibt der Wert der ursprünglichen Daten für statistische Auswertungen erhalten, auch wenn die personenbezogenen Daten durch den eindeutigen Code ersetzt wurden. US Patent Application No. 2006/0179073 (D3) describes an information management apparatus for processing data containing personal data in which the personal data is extracted from processing object data and a unique code is generated based on this data. Thereafter, the personal data of the processing object data is replaced with the unique code to generate primary conversion data. In a transmission of the primary conversion data, they are additionally encrypted with a predetermined password. The method described preserves the value of the original data for statistical evaluations, even if the personal data has been replaced by the unique code.
AUFGABE DER ERFINDUNG OBJECT OF THE INVENTION
Der Erfindung liegt die Aufgabe zugrunde, ein persönliches Daten-Netzwerk (1 ,28) sowie eine Software mit Steuerlogik für den Einsatz in einem persönlichen Daten-Netzwerk (1 ,28) vorzuschlagen, welches hinsichtlich der Sicherheit der persönlichen Daten hinsichtlich eines unberechtigten Zugriffs durch Dritte, The invention has for its object to propose a personal data network (1, 28) and software with control logic for use in a personal data network (1, 28), which with respect to the security of personal data in terms of unauthorized access Third,
der De-Personalisierung von persönlichen Daten, eines Nutzers und/oder einer Vielzahl von Nutzern und/oder der Erzeugung personalisierter persönlicher Daten aus de-personalisierten persönlichen Daten verbessert ist. Ein weiteres Ziel der Erfindung besteht darin, dass das persönliche Daten- Netzwerk persönliche Vital-Daten eines Nutzers verwalten kann. Ein weiteres Ziel besteht darin, dass der Nutzer möglichst frühzeitig über mögliche gesundheitliche Störungen unterrichtet ist. the de-personalization of personal data, a user and / or a plurality of users and / or the generation of personalized personal information from de-personalized personal information. Another object of the invention is that the personal data network can manage personal vital data of a user. Another goal is that the user is informed as early as possible about possible health problems.
LÖSUNG SOLUTION
Die Aufgabe der Erfindung wird erfindungsgemäß mit den Merkmalen der unabhängigen Patentansprüche gelöst. Weitere bevorzugte erfindungsgemäße Ausgestaltungen sind den abhängigen Patentansprüchen zu entnehmen. The object of the invention is achieved with the features of the independent claims. Further preferred embodiments according to the invention can be found in the dependent claims.
BESCHREIBUNG DER ERFINDUNG DESCRIPTION OF THE INVENTION
In einem erfindungsgemäßen persönlichen Daten-Netzwerk findet eine Servereinrichtung Einsatz. Bei dieser Servereinrichtung kann es sich um eine singuläre Servereinheit oder mehrere miteinander vernetzte Servereinheiten handeln. Auf der Servereinrichtung sind persönliche Daten eines Nutzers gespeichert. Bei derartigen persönlichen Daten handelt es sich bspw. um Vitaldaten eines Nutzers, wie Blutdruck, Körpertemperatur, Aktivitätsdaten, wie beispielsweise eine zurückgelegte Strecke oder eine Zahl von absolvierten Schritten oder Stufen u. ä., wobei diese Vitaldaten bspw. von sogenannten Wearables wie Armbändern (http://www.aerzteblatt.de/nachrichten/62732), einer Smartphone-Fitness-Applikation (wie bspw. unter der Kennzeichnung "Endomondo" oder wie der Health Kit von Apple oder S Health von Samsung, vertrieben), aus einer Haustechnik oder persönlichen Gebrauchsgegenständen wie einer elektrischen Zahnbürste, einem Auto oder mobilen Diagnosegeräten (http://www.aerzteblatt.de/nachrichten/62729) abgeleitet sein können. Alternativ oder kumulativ möglich ist, dass es sich bei den persönlichen Daten um Patientendaten wie bspw. Kranken- und Behandlungshistorien, Arztberichte, Überweisungsberichte, Untersuchungsbefunde wie Röntgenbilder, EKG, Laborbefunde, histologische Befunde, Bilder und Videos von Patienten (insbesondere betreffend Ergebnisse von Untersuchungsverfahren, Hautveränderungen, Schleimhautveränderungen, Wunden), Daten zur Diagnose und zur Beurteilung des Heilungsverlaufs, von Kranken- und Intensivstationen übernommene Daten, genetische Daten u. ä. handelt. Des Weiteren verfügt das erfindungsgemäße persönliche Daten-Netzwerk über eine Rechnereinheit, die einem Nutzer zugeordnet ist. Um diesbezüglich einige nicht beschränkende Beispiele zu nennen, kann es sich bei der dem Nutzer zugeordneten Rechnereinheit um einen Computer, ein Tablet, ein Mobiltelefon, ein Smartphone, eine Smartwatch, ein Wearable oder einen PDA handeln. In a personal data network according to the invention, a server device is used. This server device may be a singular server unit or a plurality of networked server units. Personal information of a user is stored on the server device. Such personal data is, for example, a user's vital data, such as blood pressure, body temperature, activity data, such as a distance traveled or a number of completed steps or steps, and the like. Ä., These vital data, for example, of so-called wearables such as bracelets (http://www.aerzteblatt.de/nachrichten/62732), a smartphone fitness application (such as under the label "Endomondo" or as the Health Kit Apple or S Health of Samsung, distributed), may be derived from a building services or personal belongings such as an electric toothbrush, a car or mobile diagnostic devices (http://www.aerzteblatt.de/nachrichten/62729). Alternatively or cumulatively it is possible that personal data are patient data such as, for example, medical and treatment histories, doctor reports, referral reports, examination findings such as X-ray images, ECG, laboratory findings, histological findings, images and videos of patients (in particular concerning results of examination procedures). Skin changes, mucous membrane changes, wounds), data on the diagnosis and assessment of the course of healing, data taken from the sick and intensive care units, genetic data and the like. Ä. acts. Furthermore, the personal data network according to the invention has a computer unit which is assigned to a user. To indicate some non-limiting examples in this regard, the computing device associated with the user may be a computer, a tablet, a mobile phone, a smartphone, a smartwatch, a wearable, or a PDA.
Im Rahmen der Erfindung kommunizieren die Rechnereinheit und die Servereinrichtung über ein Netzwerk, um einen Austausch der persönlichen Daten zu ermöglichen, Dies kann einerseits erfolgen, um dem Nutzer einen Zugriff auf seine persönlichen Daten über die Rechnereinheit zu ermöglichen, und andererseits erfolgen, um eine Übertragung von persönlichen Daten von der Rechnereinheit zu der Servereinrichtung zwecks Abspeicherung auf der Servereinrichtung zu ermöglichen. In the context of the invention, the computer unit and the server device communicate via a network to enable an exchange of personal data. This can be done on the one hand to allow the user access to his personal data via the computer unit, and on the other hand to a transfer allow personal data from the computer unit to the server device for storage on the server device.
Erfindungsgemäß wird vorgeschlagen, dass die persönlichen Daten auf der Servereinrichtung nicht als personalisierte persönliche Daten gespeichert werden. Hierdurch soll ausgeschlossen werden, dass Dritte, welche (berechtigt oder unberechtigt) auf die Servereinrichtung zugreifen, Kenntnisse über die personalisierten persönlichen Daten erlangen. Erfindungsgemäß wird vorgeschlagen, dass die persönlichen Daten auf der Servereinrichtung ausschließlich als depersonalisierte persönliche Daten gespeichert werden. Hierbei wird unter "de-personalisierten persönlichen Daten" jede Form der persönlichen Daten verstanden, für welche eine Zuordnung der persönlichen Daten zu der Person, welche diese persönlichen Daten betreffen, nicht möglich ist. Um diesbezüglich lediglich einige nicht beschränkende Beispiele zu nennen, können die Daten keine Bezeichnung, Kategorisierung oder eine Art "Header" besitzen, welche einen Namen der Person oder eine sonstige für Dritte erkennbare Zuordnung zu der Person beinhaltet. Alternativ oder zusätzlich möglich ist, dass in den persönlichen Daten selbst (bspw. in einem Arztbericht oder in einem anderweitigen Dokument, einem Bild o. ä. ) sämtliche persönlichen Informationen beseitigt sind. According to the invention, it is proposed that the personal data on the server device is not stored as personalized personal data. This is to prevent the possibility that third parties who access the server device (authorized or unauthorized) gain knowledge of the personalized personal data. According to the invention, it is proposed that the personal data on the server device be stored exclusively as depersonalized personal data. In this case, "de-personalized personal data" means any form of personal data for which an assignment of the personal data to the person concerning this personal data is not possible. In this regard, to mention but a few non-limiting examples, the data may not have a name, categorization, or a type of "header" that includes a name of the person or any other identifiable association with the person. Alternatively or additionally, it is possible that in the personal data itself (for example in a medical report or in another document, a picture or the like) all personal information is eliminated.
Allerdings wäre ohne weitere erfindungsgemäße Maßnahmen ein Zugriff des Nutzers auf die persönlichen Daten nicht möglich, da ein Auffinden der de-personalisierten persönlichen Daten und deren Zuordnung zu dem Nutzer nicht mehr möglich wäre, womit die de-personalisierten persönlichen Daten "verloren" wären. Um dies zu vermeiden, ist im Rahmen der Erfindung auf der Rechnereinheit, die dem Nutzer zugeordnet ist, eine ZuOrdnungsvorschrift vorhanden. Die ZuOrdnungsvorschrift ist hierbei an sich beliebig gestaltet, so lange diese einem Nutzer und dessen persönliche Daten eine Kennzeichnung zuweist, welche per se für Dritte nicht erkennen lässt, welchen Nutzer diese Kennzeichnung beschreibt. Um lediglich ein einfaches, die Erfindung nicht beschränkendes Beispiel zu nennen, kann die Kennzeichnung in einer einfachen Nummer bestehen, welche individuell dem Nutzer zugeordnet ist. Sind die persönlichen Daten mit dieser Nummer gekennzeichnet, kann der Nutzer bzw. die dem Nutzer zugeordnete Rechnereinheit, der oder die die Kennzeichnung in Form der Nummer über die ZuOrdnungsvorschrift kennt, die mit der Nummer gekennzeichneten persönlichen Daten als die seinen kennzeichnen und erkennen. However, without further measures according to the invention an access of the user to the personal data would not be possible since a finding of the de-personalized personal data and their assignment to the user would no longer be possible, with which the de-personalized personal data would be "lost". To avoid this, a ZuOrdnungsvorschrift is present in the invention on the computer unit, which is assigned to the user. The ZuOrdnungsvorschrift is in this case made arbitrarily, as long as this assigns a user and his personal data a label that per se for third parties do not recognize which user describes this label. In order to name only a simple example, which does not limit the invention, the identification can consist of a simple number, which is assigned individually to the user. If the personal data are marked with this number, the user or the computer unit assigned to the user who knows the identification in the form of the number about the assignment rule can identify and recognize the personal data marked with the number as his.
Im Rahmen der Erfindung werden die persönlichen Daten auf der Servereinrichtung sowohl mit den de-personalisierten persönlichen Daten als auch mit der genannten Kennzeichnung gespeichert. Da eine Personalisierung der de-personalisierten persönlichen Daten in Form einer Zuordnung der de-personalisierten persönlichen Daten zu dem zugeordneten Nutzer auf Grundlage der auf der Servereinrichtung vorhandenen de-personalisierten persönlichen Daten und der Kennzeichnung nicht möglich ist, ist weiterhin dem Geheimhaltungsbedürfnis der persönlichen Daten und dem Schutz gegenüber einem Missbrauch Rechnung getragen. Die Erfindung schlägt vor, dass die Rechnereinheit, die dem Nutzer zugeordnet ist, über eine Steuerlogik, insbesondere eine Software, verfügt, mittels welcher eine Anforderung an die Servereinrichtung, dass eine Übermittlung der de-personalisierten persönlichen Daten dieses Nutzers erfolgen soll, erzeugt wird. Diese Anforderung beinhaltet die dem Nutzer zugeordnete Kennzeichnung. Empfängt die Servereinrichtung eine derartige Anforderung mit der Kennzeichnung, kann die Servereinrichtung aus vielfältigen de-personalisierten persönlichen Daten die de-personalisierten persönlichen Daten auswählen, welche der Kennzeichnung zugeordnet sind, und diese an die anfordernde Rechnereinheit übertragen, womit letztendlich dem Nutzer die diesem Nutzer zugeordneten de-personalisierten persönlichen Daten übermittelt werden, womit diese dem Nutzer zur Einsichtnahme bereitgestellt werden können. Um die Übermittlung und das Speichern einer Vielzahl von de-personalisierten persönlichen Daten mit der Kennzeichnung, aber gleichzeitig ohne Möglichkeit des Rückschlusses auf die zugeordnete Person zu ermöglichen, schlägt die Erfindung des Weiteren vor, dass personalisierte persönliche Daten auf der Rechnereinheit des Nutzers unter Verwendung der ZuOrdnungsvorschrift in de-personalisierte persönliche Daten umgewandelt werden. Mit der Steuerlogik der Rechnereinheit werden dann die de-personalisierten persönlichen Daten mit der zugeordneten Kennzeichnung von der Rechnereinheit über das Netzwerk an die Servereinrichtung übermittelt, wo diese dann ohne Möglichkeit des Rückschlusses auf den Nutzer abgespeichert werden können. Somit liegen erfindungsgemäß die persönlichen Daten in personalisierter Form lediglich auf der Rechnereinheit, aber nicht auf anderen Teilen des persönlichen Daten-Netzwerks vor. Möglich ist, diese persönlichen Daten nach der Übermittlung auf der Rechnereinheit zu löschen. Möglich ist, dass ergänzend eine Authentifizierung des Nutzers und/oder der Rechnereinheit erforderlich ist, bevor eine Kommunikation und eine Übertragung der de-personalisierten persönlichen Daten über das persönliche Daten-Netzwerk erfolgt. Hierbei kann die Within the scope of the invention, the personal data is stored on the server device both with the de-personalized personal data and with the said identification. Since personalization of the de-personalized personal data in the form of assignment of the de-personalized personal data to the associated user on the basis of existing on the server device de-personalized personal information and labeling is not possible, is still the confidentiality needs of personal information and protection against abuse. The invention proposes that the computer unit which is assigned to the user has control logic, in particular software, by means of which a request to the server device that a transmission of the de-personalized personal data of this user should take place is generated. This request includes the tag associated with the user. When the server device receives such a request with the tag, the server device may select from a variety of de-personalized personal data the de-personalized personal data associated with the tag and transmit it to the requesting computer unit, ultimately providing the user with the information associated with that user de-personalized personal data are transmitted, so that they can be provided to the user for inspection. In order to enable the transmission and storage of a plurality of de-personalized personal data with the identification, but at the same time without the possibility of inference to the assigned person, the invention further proposes that personalized personal data on the user's computer unit using the To be converted into de-personalized personal data. With the control logic of the computer unit then the de-personalized personal data are transmitted with the associated label from the computer unit via the network to the server device, where this then without the possibility of inference to the Users can be saved. Thus, according to the invention, the personal data are in personalized form only on the computer unit, but not on other parts of the personal data network. It is possible to delete this personal data after transmission on the computer unit. It is possible that an additional authentication of the user and / or the computer unit is required before a communication and a transfer of de-personalized personal data via the personal data network takes place. Here, the
Authentifizierung auch den dem Nutzer zugeordneten de-personalisierten persönlichen Daten zugeordnet sein, so dass eine Übertragung der de-personalisierten persönlichen Daten von der Servereinrichtung zu der Rechnereinheit nur dann erfolgt, wenn kumulativ eine Anforderung mit der den de-personalisierten persönlichen Daten zugeordneten Kennzeichnung erfolgt und die für diese de-personalisierten persönlichen Daten spezifische Authentifizierung vorliegt. Zur Erhöhung der Sicherheit kann es auch sein, dass zur Authentifizierung der Schlüssel einer weiteren Person notwendig ist. Dies ist beispielsweise auch dann der Fall, wenn eine Authentication also be assigned to the de-personalized personal data associated with the user, so that a transfer of the de-personalized personal data from the server device to the computer unit only takes place when a cumulative request is made with the de-personalized personal data associated label and the authentication specific to this de-personalized personal data is present. To increase security, it may also be necessary to authenticate the key of another person. This is the case, for example, even if one
Drittperson Zugriff auf die Daten oder Teile der Daten des Nutzers erhalten soll. Third party access to the data or parts of the data of the user should receive.
Ein weiterer Aspekt der Erfindung widmet sich der Problematik, dass nicht lediglich die Kennzeichnung, eine Dateibezeichnung, ein I leader u. ä. einen Rückschluss auf den zugeordneten Nutzer zulassen. Vielmehr sind üblicherweise die Daten der zuvor erwähnten Art selber mit persönlichen Informationen ausgestattet. So können diese bspw. den Namen und/oder Vornamen des Nutzers, Datumsangaben, Ortsangaben, Postleitzahlen, Namen aufgesuchter Krankenhäuser, Namen von aufgesuchten Pflegeeinrichtungen, Unfallorte, Telefonnummern, Unterschriften u. ä. sonstige personenspezifische Informationen beinhalten. In weiterer Ausgestaltung der Erfindung wird vorgeschlagen, dass die dem Nutzer zugeordnete Rechnereinheit über eine Steuerlogik verfügt, mittels welcher in von den personalisierten Grunddaten umfassten Informationseinheit-Daten persönliche Informationen und solche, die auf die Person rückschliessen lassen entfernt oder umgewandelt werden können. Möglich ist hierbei, dass es sich bei den "personalisierten persönlichen Daten" um eine umfassende Gesundheitsakte handelt, während die Informationseinheit-Daten einzelne "Blätter" oder Teile dieser persönlichen Daten- Akte betreffen. Um lediglich einige nicht beschränkende Beispiele zu nennen, kann es sich bei den Informationseinheit-Daten um ein Bild (worunter auch eine Bildfolge in Form eines Videos verstanden wird), einen Text, eine Audio-Datei (bspw. mit einem diktierten Arztbericht, einem Echo-Kardiogramm usw.) u. ä. handeln. Möglich ist hierbei, dass die persönlichen Informationen manuell von dem Nutzer entfernt werden. Alternativ oder kumulativ möglich ist, dass die Entfernung der persönlichen Informationen automatisch erfolgt. Ebenfalls möglich ist, dass anstelle der Entfernung der persönlichen I nformation eine Umwandlung der persönlichen Information derart erfolgt, dass noch eine Teilinformation enthalten ist, welche dann aber einen Rückschluss auf den Nutzer nicht mehr oder nur in reduziertem Ausmaß ermöglicht. Für eine automatische Identifikation der persönlichen I nformationen zwecks Entfernung oder Umwandlung derselben gibt es vielfältige Möglichkeiten. Für einen Vorschlag der Erfindung verfügt die Rechnereinheit des Nutzers über Steuerlogik, welche eine Erkennungslogik beinhaltet. Mit der Erkennungslogik können automatisch persönliche I nformationen und solche, die auf die Person rückschliessen lassen in den Informationseinheit-Daten erkannt werden. Beispielsweise kann die Erkennungslogik eine OCR-Erkennung beinhalten, welche eine in den Informationseinheit-Daten enthaltene Grafik in einen Text umwandelt. Dieser Text kann dann mit log ischen Bedingungen und bekannten Bildungsgesetzen für persönliche I nformationen und solche, die auf die Person rückschliessen lassen, bspw. mit der Suche nach Datumsangaben in vorgegebenem Datumsformat, Another aspect of the invention addresses the problem that not only the label, a file name, an I leader u. Ä. Allow conclusions about the assigned user. Rather, usually the data of the aforementioned kind themselves are equipped with personal information. Thus, for example, these may include the name and / or given name of the user, dates, locations, zip codes, names of visited hospitals, names of visited care facilities, accident locations, telephone numbers, signatures and the like. Ä. Other person-specific information. In a further embodiment of the invention, it is proposed that the computer unit assigned to the user has control logic by means of which personal information and information relating to the person can be removed or converted into information unit data encompassed by the personalized basic data. It is possible that the "personalized personal data" is a comprehensive health record, while the information unit data relates to individual "sheets" or parts of this personal data file. To name just a few non-limiting examples, the information unit data may be an image (which is also a video-like image sequence), a text, an audio file (eg, a dictated medical report, an echo Cardiogram, etc.) u. act. It is possible here that the personal information is manually removed by the user. Alternatively or cumulatively, it is possible that the removal of the personal information takes place automatically. It is also possible that, instead of removing the personal information, a conversion of the personal information takes place in such a way that partial information is still included, which then makes it impossible to draw any conclusions about the user or only to a reduced extent. For the automatic identification of the personal information for the purpose of removing or converting it, there are many possibilities. For a proposal of the invention, the computer unit of the user has control logic which includes a recognition logic. With the recognition logic, personal information and information that can be inferred to the person can be automatically recognized in the information unit data. For example, the recognition logic may include an OCR recognition that converts a graphic contained in the information unit data into a text. This text can then be used with logical conditions and known educational laws for personal information and those that indicate the person, for example, searching for dates in a given date format,
- mit der Suche nach Textbestandteilen, welche Namen entsprechen, wobei hinsichtlich zu berücksichtigender Namen auch auf eine diesbezügliche Datenbank zurückgegriffen werden kann u. ä. , durchsucht werden . Führt die Erkennungslogik auf detektierte persönliche I nformation , kann die detektierte persönliche I nformation unmittelbar aus den Informationseinheit-Daten entfernt werden. Für den Fall, dass die Erkennung auf einer OCR-Erkennung basiert, muss zu diesem Zweck der Teilbereich des Bildes, welcher mit dem Textbestandteil entsprechend der OCR- Erkennung korreliert, dauerhaft entfernt werden. Möglich ist auch, dass vor einem Entfernen der persönlichen I nformationen aus den Informationseinheit-Daten eine Rückfrage an den Nutzer erfolgt, welcher vor dem Entfernen eine Bestätigung geben muss. - with the search for text components, which correspond to names, whereby with regard to names to be taken into account a related database can also be used u. Ä., Are searched. If the recognition logic leads to detected personal information, the detected personal information can be removed directly from the information unit data. In the case that the recognition is based on an OCR recognition, for this purpose, the partial area of the image, which correlates with the text component according to the OCR recognition, must be permanently removed. It is also possible that prior to removing the personal information from the information unit data, a query is made to the user, who must give confirmation before removal.
Für ein erfindungsgemäßes persönliches Daten-Netzwerk besitzt die Rechnereinheit des Nutzers Steuerlogik, welche zumindest einen Teil der erkannten persönlichen I nformationen in den Informationseinheit-Daten in verallgemeinerte persönliche I nformationen und solche, die auf die Person rückschliessen lassen umwandelt. Um diesbezüglich lediglich ein nicht beschränkendes Beispiel zu nennen, kann eine persönliche Information in einer Datumsangabe mit Tag , Monat und Jahr bestehen . In diesem Fall kann die Datumsangabe zu einer For a personal data network according to the invention, the computer unit of the user has control logic which converts at least a portion of the recognized personal information in the information unit data into generalized personal information and information that can be inferred to the person. As a non-limiting example in this regard, personal information in a date may include day, month, and year. In this case, the date can become a
verallgemeinerten persönlichen I nformation umgewandelt wird, welche nur noch das Jahr beinhaltet. Möglich wäre bspw. auch, dass die persönliche Information einen Wohnort oder ein Bundesland beinhaltet, während eine Umwandlung in eine verallgemeinerte persönliche Information in Form eines Bundeslands oder eines Landes oder größeren territorialen Gebiets erfolgt. Die verallgemeinerten persönlichen Informationen gewährleisten das generalized personal information is converted, which only the year includes. It would also be possible, for example, for the personal information to include a place of residence or a federal state, while a conversion into a generalized personal information takes place in the form of a federal state or a country or larger territorial area. The generalized personal information ensures that
Geheimhaltungsbedürfnis hinsichtlich der persönlichen Daten. Andererseits sind bspw. Secrecy needs regarding personal data. On the other hand, for example.
Analysen der persönlichen Daten wie die Untersuchung einer Entwicklung einer Krankheit über viele Jahre trotz Beseitigung des Tags und des Monats im Rahmen der Umwandlung möglich oder es können statistische Untersuchungen zu Krankheitshäufigkeiten unter Berücksichtigung regionaler Besonderheiten auf Grundlage der verallgemeinerten persönlichen Informationen in Form des Bundeslandes, Landes oder territorialen Gebiets vorgenommen werden. Eine weitere Möglichkeit wäre, dass eine Steuerlogik die Abstände von durch Datum gekennzeichneten Ereignissen in Zeitintervalle umwandelt. Also beispielsweise "Erkrankungsbeginn am  Analyzes of personal data such as the investigation of disease development over many years, despite elimination of the day and month in the context of the conversion possible or statistical studies on disease incidence taking into account regional specifics based on the generalized personal information in the form of the state, country or territorial area. Another possibility would be that a control logic converts the intervals of events marked by dates into time intervals. So for example "onset of illness on
soundsovielten im Jahre soundsoviel und Einlieferung in die Klinik am soundsovielten im Jahre soundsoviel" umgewandelt in "Einlieferung in die Klinik 10 Tage nach Erkrankungsbeginn". in the same time in the year so many and hospitalization on the second night in the so-called "converted to" hospitalization 10 days after onset of illness ".
Für einen weiteren erfindungsgemäßen Vorschlag beinhaltet die Erkennungslogik eine Text-, Bild- oder Audioerkennungslogik. Die Steuerlogik identifiziert durch einen Abgleich erkannter Wörter, Bilder oder Audiobestandteile mit vorbestimmten Wörtern, Bildern, Audiobestandteilen oder Bildungsgesetzen persönliche Informationen und solche, die auf die Person rückschliessen lassen, wozu auch entsprechende Datenbanken mit möglichen persönlichen Informationen herangezogen werden können. Die Steuerlogik entfernt dann die derart identifizierten persönlichen Informationen aus den Informationseinheit-Daten oder wandelt diese (bspw. wie zuvor erwähnt) in verallgemeinerte persönliche Information, um. For a further inventive proposal, the recognition logic includes text, image or audio recognition logic. The control logic identified by matching recognized words, images or audio components with predetermined words, images, audio components or educational laws personal information and those that infer the person, including appropriate databases can be used with possible personal information. The control logic then removes the personal information thus identified from the information unit data or converts it (eg, as previously mentioned) into generalized personal information.
Soll der Nutzer an der Umwandlung oder Entfernung persönlicher Informationen beteiligt werden, so kann dies für einen weiteren Vorschlag der Erfindung dadurch erfolgen, dass die Steuerlogik der Rechnereinheit des Nutzers Informationseinheit-Daten auf einer Ausgabe der Rechnereinheit, insbesondere einem Bildschirm oder einem Lautsprecher, ausgibt. Die Steuerlogik ermöglicht dann dem Nutzer, in den Informationseinheit-Daten von dem Nutzer auf Grundlage der Ausgabe identifizierte persönliche Informationen und solche, die auf die Person rückschliessen lassen zu entfernen. Um lediglich ein nicht beschränkendes Beispiel zu nennen, kann der Nutzer an einem Bildschirm einen Teilbereich der ausgegebenen Information kennzeichnen, welcher dann umgewandelt oder entfernt wird. Dies kann der Nutzer auf Grundlage der Sichtprüfung der Ausgabe vornehmen. Möglich ist auch, dass anhand eines automatisierten Verfahrens dem Benutzer nacheinander unterschiedliche identifizierte persönliche Informationen und solche, die auf die Person rückschliessen lassen angezeigt werden mit Aufforderung der Bestätigung, ob und ggf. in welchem Umfang persönliche Informationen und solche, die auf die Person rückschliessen lassen umgewandelt oder entfernt werden sollen. If the user is to be involved in the conversion or removal of personal information, this can be done for a further proposal of the invention in that the control logic of the computer unit of the user information unit data on an output of the computer unit, in particular a screen or a speaker outputs. The control logic then enables the user to remove personal information identified in the information unit data from the user based on the output, and to disclose personal information that may be inferred to the person. As a mere non-limiting example, the user may mark on a screen a portion of the output information which is then converted or removed. This can be done by the user based on the visual inspection of the output. It is also possible that on the basis of a automated procedure, the user successively different identified personal information and those that indicate the person can be displayed with the request of confirmation, if and possibly to what extent personal information and those that can be inferred to the person converted or removed.
Möglich ist, dass eine umgewandelte oder entfernte Information in den persönlichen Daten für immer verloren ist. Soll hingegen ermöglicht werden, dass (insbesondere nur) durch den Nutzer zu einem späteren Zeitpunkt eine Rekonstruktion der vollständigen persönlichen Daten einschl. der umgewandelten oder entfernten Information erfolgen kann, schlägt die Erfindung vor, dass mit der Steuerlogik der Rechnereinheit aus den Informationseinheit-Daten entfernte oder umgewandelte persönliche Informationen und solche, die auf die Person rückschliessen lassen gespeichert werden, was vorzugsweise ebenfalls auf der Rechnereinheit erfolgt. Vorzugsweise wird hierbei sowohl die gelöschte oder umgewandelte persönliche Information selbst als auch der Ort, an welchem sich die gelöschte oder umgewandelte persönliche Information in den Informationseinheit-Daten bzw. den persönlichen Daten befunden hat, gespeichert. Für eine zumindest teilweise Rekonstruktion der ursprünglichen persönlichen Daten oder Informationseinheit-Daten kann dann die Steuerlogik der Rechnereinheit die von der Servereinrichtung über das Netzwerk empfangenen de-personalisierten persönlichen Daten, in welchen aus Informationseinheit-Daten persönliche Informationen und solche, die auf die Person rückschliessen lassen entfernt worden sind, mit dem gespeicherten persönlichen Informationen wieder ergänzen, womit eine zumindest teilweise Vervollständigung und/oder Wiederherstellung erfolgt. It is possible that a converted or removed information in the personal data is lost forever. If, on the other hand, it is to be made possible (especially only) for the user to reconstruct the complete personal data including the converted or removed information at a later time, the invention proposes that with the control logic the computer unit should be removed from the information unit data or converted personal information and those that are inferred to the person can be stored, which is preferably also done on the computer unit. Preferably, both the deleted or converted personal information itself and the location where the deleted or converted personal information was located in the information unit data and the personal data are stored. For at least partial reconstruction of the original personal data or information unit data, the control logic of the computer unit may then receive the de-personalized personal data received from the server device over the network in which personal information and information relating to the person can be deduced from information unit data have been removed, supplemented with the stored personal information again, whereby at least partial completion and / or recovery takes place.
Durchaus möglich ist, dass in dem persönlichen Daten-Netzwerk ausschließlich mehrere jeweils einem Nutzer zugeordnete Rechnereinheiten mit der Servereinrichtung kommunizieren. Je größer die Zahl der Nutzer und der zugeordneten Rechnereinheiten ist, desto weniger ist eine Zuordnung der de-personalisierten persönlichen Daten zu den Nutzern und Rechnereinheiten möglich. Um insbesondere zum Beginn der Befüllung der Servereinrichtung für die Übermittlung der Daten der ersten Nutzer eine Zuordnung zu diesen Nutzern zu ermöglichen, kann zumindest anfänglich die Servereinrichtung auch mit de-personalisierten persönlichen Daten von fiktiven Nutzern, welche bspw. anhand von Zufallskriterien erstellt worden sind, befüllt sein. It is entirely possible that in the personal data network only a plurality of respective computer units assigned to a user communicate with the server device. The larger the number of users and the assigned computer units, the less the assignment of the de-personalized personal data to the users and computer units is possible. In order in particular to enable the beginning of the filling of the server device for the transmission of the data of the first user to these users, at least initially, the server device with de-personalized personal data of fictitious users who have been created, for example, on the basis of random criteria, be filled.
Möglich ist im Rahmen der Erfindung aber auch, dass in das persönliche Daten-Netzwerk weitere Einrichtungen eingebunden sind: Für einen Vorschlag der Erfindung sind in das persönliche Daten-Netzwerk Unterstützer- Rechnereinrichtungen, insbesondere Rechnereinheiten oder Rechner-Teilnetze, integriert, welche Unterstützer für die Nutzer zugeordnet sind. Bei derartigen Unterstützern kann es sich um Gesundheitspersonal wie den Arzt oder eine behandelnde oder pflegende Person, eine Praxis oder ein Krankenhaus handeln. Andere Unterstützer, welche durch eine zugeordnete Unterstützer-Rechnereinrichtung in das persönliche Daten-Netzwerk eingebunden sein können, sind Apotheken, Versicherungen, Banken oder Forschungseinrichtungen, um nur einige zu nennen. It is also possible within the scope of the invention, however, that further facilities are integrated into the personal data network: For a proposal of the invention, supporter computer devices, in particular computer units or computer subnets, are integrated in the personal data network, which supporters are assigned to the users. Such supporters may be health care workers such as the doctor or a caregiver or nurse, a practice or a hospital. Other supporters, which may be integrated into the personal data network through an associated supporter computing device, are pharmacies, insurance companies, banks, or research institutions, to name but a few.
Soll eine Unterstützer-Rechnereinrichtung in die Lage versetzt werden, von der zentralen Servereinrichtung de-personalisierte persönlichen Daten zu erhalten, kann dies auf zwei unterschiedliche Weisen erfolgen: a) Möglich ist, dass der Nutzer von der Rechnereinheit selbst die persönlichen Daten an die Unterstützer-Rechnereinrichtung über einen anderen Weg überträgt, bspw. über ein drahtloses oder kabelgebundenes Netzwerk. b) Möglich wäre aber auch, dass der Nutzer die ZuOrdnungsvorschrift oder Kennzeichnung an die Unterstützer-Rechnereinrichtung übermittelt, womit dann der Zugriff der Unterstützer-Rechnereinrichtung auf die Servereinrichtung mit der Abfrage der depersonalisierten persönlichen Daten, die dem Nutzer, hier dem Patienten des Unterstützers gehören, erfolgen kann. Möglich ist auch, dass das persönliche Daten-Netzwerk eine Analyse-Schnittstelle aufweist. Über die Analyse-Schnittstelle kann das persönliche Daten-Netzwerk mit einer Analyse- Rechnereinrichtung kommunizieren, in welcher eine Analyse von persönlichen Daten, bspw. zur diagnostischen Auswertung der persönlichen Daten eines Nutzers und/oder für Erhebungen oder statistische Untersuchungen der persönlichen Daten mehrerer Nutzer erfolgen kann. Die Erfindung schlägt des Weiteren vor, dass die Unterstützer-Rechnereinrichtung, die Anaiyse- Rechnereinrichtung, die Servereinrichtung und/oder die dem Nutzer zugeordnete Rechnereinheit über Steuerlogik verfügt, welche aus den de-personalisierten persönlichen Daten eines Nutzer Befunde ermittelt. Vorzugsweise verfügt die Servereinrichtung über eine Datensammlung und eine Steuerlogik, die es ermöglicht, aus den entpersonalisierten persönlichen Daten eines Nutzer Befunde zu ermitteln und den Nutzer entsprechend zu informieren. Die Information kann dabei entweder direkt auf das Mobiltelefon des Nutzers oder beispielsweise einen zwischengeschalteten Server gesandt werden, wobei letzterer dann die Informationen an den Nutzer weiterleitet. If a supporter computer device is to be enabled to receive de-personalized personal data from the central server device, this can be done in two different ways: a) It is possible that the user himself transmits the personal data to the supporter Computer device transmits over another way, eg. Via a wireless or wired network. b) It would also be possible that the user transmits the ZuOrdnungsvorschrift or labeling to the supporters computer device, which then the access of the supporter computer device to the server device with the query of the depersonalized personal data belonging to the user, here the patient of the supporter , can be done. It is also possible that the personal data network has an analysis interface. Via the analysis interface, the personal data network can communicate with an analysis computer device in which an analysis of personal data, for example for the diagnostic evaluation of a user's personal data and / or for surveys or statistical investigations of the personal data of multiple users can. The invention further proposes that the supporter computer device, the analysis computer device, the server device and / or the computer unit assigned to the user have control logic which determines findings from the de-personalized personal data of a user. The server device preferably has a data collection and control logic which makes it possible to determine findings from the depersonalized personal data of a user and to approve the user accordingly to inform. The information can be sent either directly to the mobile phone of the user or, for example, an intermediary server, the latter then forwards the information to the user.
Alternativ oder kumulativ möglich ist, dass die Steuerlogik automatische Nachrichten erzeugt. Um lediglich einige nicht beschränkende Beispiele zu nennen, kann aus Vitaldaten (bspw. dem Blutdruck und Puls), welche über ein Smartphone oder ein Wearable ermittelt worden sind, ein kritischer Kreislaufzustand ermittelt werden. Eine erzeugte automatische Nachricht kann bspw. eine Alarmierung des Nutzers oder einer Begleitperson des Nutzers oder eines Arztes oder eines anderweitigen Gesundheitspersonals sein. Möglich ist auch, dass als automatische Nachricht ein Hinweis auf einen turnusmäßigen Arztbesuch (bspw. über eine anstehende Impfung nach einem vorbestimmten Zeitintervall nach der vorangegangenen Impfung) erzeugt und an der Rechnereinheit des Nutzers zur Anzeige gebracht wird. Alternatively or cumulatively, it is possible for the control logic to generate automatic messages. To name just a few non-limiting examples, a critical circulatory condition may be determined from vital data (eg, blood pressure and pulse) determined via a smartphone or wearable. An automatic message generated may be, for example, an alert of the user or a companion of the user or a physician or other health care professional. It is also possible that as an automatic message an indication of a regular visit to the doctor (for example, about a pending vaccination after a predetermined time interval after the previous vaccination) is generated and displayed on the computer unit of the user.
Die Erfindung schlägt auch vor, dass die Unterstützer-Rechnereinrichtung, die Analyse- Rechnereinrichtung, die Servereinrichtung und/oder die dem Nutzer zugeordnete Rechnereinrichtung über eine Erfassungseinrichtung verfügen/verfügt. Über die Erfassungseinrichtung können personalisierte oder de-personalisierte persönliche Daten erfasst werden. Möglich ist, dass die Erfassungseinrichtung eine manuelle Erfassungseinrichtung ist, über die der Nutzer persönliche Daten eingeben kann. Hierbei kann es sich um eine Tastatur handeln. Vorzugsweise ist aber die Erfassungseinrichtung als Scanner, Fotoeinrichtung, Audio- Aufnahmeeinrichtung u. ä. ausgebildet, über welche die personalisierten oder depersonalisierten persönlichen Daten vorzugsweise über die dem Nutzer zugeordnete Rechnereinheit erfasst werden können. The invention also proposes that the backer computer device, the analysis computer device, the server device and / or the computer device assigned to the user have / has a detection device. Personal or de-personalized personal data may be collected via the capture device. It is possible that the detection device is a manual detection device, via which the user can enter personal data. This can be a keyboard. Preferably, however, the detection device as a scanner, photo device, audio recording device u. Ä., By means of which the personalized or depersonalized personal data can preferably be detected via the computer unit assigned to the user.
Ebenfalls möglich ist, dass als Erfassungseinrichtung an der Rechnereinheit eine Schnittstelle vorgesehen ist, wobei die Schnittstelle kabelgebunden oder kabellos ausgebildet sein kann. Über diese Schnittstelle kann die Übertragung bspw. von persönlichen Daten von einem Rechner einer Untersuchungseinrichtung des Arztes oder des Krankenhauses erfolgen oder die Kommunikation mit einem Scanner, einem Fotoapparat, einer Audio-Aufnahmeeinrichtung u. ä. erfolgen. It is also possible that an interface is provided as detection device on the computer unit, wherein the interface can be wired or wireless. About this interface, the transfer can, for example, of personal data from a computer of an examination facility of the doctor or the hospital or the communication with a scanner, a camera, an audio recording device u. Ä.
Alternativ oder zusätzlich kann die dem Nutzer zugeordnete Rechnereinheit über eine Schnittstelle zu einer Vitaldaten-Erfassungseinrichtung, insbesondere einem Puls-Brustgurt, einem Wearable u. ä. verfügen. Hierbei wird unter einem "Wearable" eine Rechnereinheit verstanden, welche während der Anwendung am Körper des Nutzers oder seiner Kleidung befestigt ist. Alternativ können über diese Schnittstelle bereits abgeleitete Daten empfangen werden, beispielsweise vom Apple® HealthKit (Marke der Apple Inc.) oder Withings. Alternatively or additionally, the computer unit assigned to the user can be connected via an interface to a vital data acquisition device, in particular a pulse chest belt, a wearable and the like. Ä. Have. This is under a "wearable" a computer unit understood which is attached to the user's body or clothing during use. Alternatively, data that has already been derived can be received via this interface, for example from Apple® HealthKit (trademark of Apple Inc.) or Withings.
Problematisch kann bei dem persönlichen Daten-Netzwerk sein, dass zwar die persönlichen Daten zwischen der Rechnereinheit und der Servereinrichtung de-personalisiert übertragen werden, so dass aus diesen selbst unter Umständen die Zuordnung der persönlichen Daten zu dem Nutzer nicht möglich ist. Allerdings kann u. U. aus dem Übertragungspfad der depersonalisierten persönlichen Daten eine IP-Adresse, von welcher die Rechnereinheit die depersonalisierten persönlichen Daten abgesendet hat, ermittelt werden, womit letztendlich ein Rückschluss auf den Nutzer oder zumindest einen Umgebungsbereich des Nutzers möglich wäre. Soll dies vermieden werden, ist in weiterer Ausgestaltung des erfindungsgemäßen persönlichen Daten-Netzwerks zwischen die dem Nutzer zugeordnete Rechnereinheit und der Servereinrichtung eine Übertragungspfad-Trenneinrichtung zwischengeschaltet, welche die von der Rechnereinheit übertragenen de-personalisierten persönlichen Daten empfängt und unter Beseitigung von Hinweisen auf die IP-Adresse, von welcher die Übertragungspfad- Trenneinrichtung die de-personalisierten persönlichen Daten empfangen hat, dann die depersonalisierten persönlichen Daten an die Servereinrichtung überträgt. Auf diese Weise kann ein Rückschluss von den de-personalisierten persönlichen Daten auf der Servereinrichtung auf den Übertragungspfad von der Rechnereinheit unmöglich gemacht werden, womit den Geheimhaltungsinteressen des Nutzers und dem Schutz gegenüber einem Zugriff von Dritten auf die persönlichen Daten noch weiter Rechnung getragen ist. Eine Unterbrechung des Übertragungspfades kann beispielsweise über ein virtuelles privates Netzwerk erfolgen, indem eine VPN-Verbindung zu einem zwischengeschalteten Server aufgebaut und im Verkehr mit der Servereinrichtung die IP-Adresse des zwischengeschalteten Servers verwendet wird. Auf dem Markt gibt es Dienste, z.B. TunnelBear VPN™ (tradename of TunnelBear Inc.), die Programme für Desktop-Computer, Mobiltelefone, Tablet-Computer etc. zur Verfügung stellen, die es Nutzern ermöglicht, die eigene IP-Adresse zu verbergen. Ist der Nutzer mit dem Dienst verbunden, ist die tatsächliche IP-Adresse des Nutzers auf den Webseiten, die er besucht, nicht ersichtlich. Eine weitere Ausgestaltung der Erfindung widmet sich der Registrierung des Nutzers. Gemäß einem Vorschlag verfügt die dem Nutzer zugeordnete Rechnereinheit über Steuerlogik, die eine Telefonnummer der Rechnereinheit, insbesondere des Smartphones, aussendet. Von der für die Registrierung zuständigen Einheit, insbesondere der Servereinheit, an welche die Telefonnummer von der Rechnereinheit ausgesendet worden ist, empfängt dann die Rechnereinheit einen Code, welcher eine Authentifizierung der Rechnereinheit ermöglicht. Beispielsweise kann die Rechnereinheit bei Ausbildung derselben als Smartphone diesen Code als SMS empfangen. Erfindungsgemäß nimmt erst nach dem Empfang des Codes zur Authentifizierung der Rechnereinheit die Rechnereinheit über die Steuerlogik Daten zur Person des Nutzers auf, bei welchen es sich bspw. um Name, Geburtsdatum, Geburtsort u. ä. handeln kann. Diese Daten zur Person des Nutzers können dann in der Rechnereinheit gespeichert werden, wobei diese insbesondere nicht über das Netzwerk übertragen werden. It can be problematic in the personal data network that, although the personal data between the computer unit and the server device are de-personalized transmitted, so that even under certain circumstances, the assignment of personal data to the user is not possible. However, u. U. from the transmission path of depersonalized personal data, an IP address from which the computer unit has sent the depersonalized personal data are determined, which would ultimately be a conclusion to the user or at least a surrounding area of the user possible. If this is to be avoided, in a further refinement of the personal data network according to the invention, a transmission path separating device is interposed between the computer unit assigned to the user and the server device, which receives the de-personalized personal data transmitted by the computer unit and eliminates pointers to the IP Address from which the transmission path separator has received the de-personalized personal data, then transmits the depersonalized personal data to the server device. In this way, a deduction of the de-personalized personal data on the server device to the transmission path can be made impossible by the computer unit, which still further takes into account the privacy interests of the user and the protection against access by third parties to the personal data. An interruption of the transmission path may, for example, be made via a virtual private network by establishing a VPN connection to an intermediary server and using the IP address of the intermediary server in communication with the server device. There are services on the market, such as TunnelBear VPN ™ (tradename of Tunnel Bear Inc.), which provide programs for desktop computers, mobile phones, tablet computers, etc. that allow users to hide their own IP address. If the user is connected to the service, the actual IP address of the user will not be visible on the web pages they visit. Another embodiment of the invention is dedicated to the registration of the user. According to one proposal, the computer unit assigned to the user has control logic which transmits a telephone number of the computer unit, in particular of the smartphone. From the unit responsible for registration, in particular the server unit, to which the Telephone number has been sent by the computer unit, then receives the computer unit code that allows authentication of the computer unit. For example, the computer unit can receive this code as an SMS when forming the same as a smartphone. According to the invention takes only after receiving the code for authentication of the computer unit, the computer unit on the control logic data on the person of the user, which, for example, by name, date of birth, place of birth u. Ä. Can act. These data relating to the person of the user can then be stored in the computer unit, wherein these are not transmitted in particular via the network.
Grundsätzlich möglich ist, dass eine ZuOrdnungsvorschrift und die durch diese einem Nutzer zugeordnete Kennzeichnung sich nicht verändert. Eine weitere Erhöhung der Sicherheit des persönlichen Daten-Netzwerks kann unter Umständen herbeigeführt werden, wenn turnusgemäß oder zu bestimmten Ereignissen eine neue ZuOrdnungsvorschrift mit einer neuen Kennzeichnung von der Steuerlogik der Rechnereinheit ermittelt wird. Mit der ermittelten neuen Kennzeichnung können dann anschließend von der Rechnereinheit über das Netzwerk de- personalisierte persönliche Daten an die Servereinrichtung übermittelt werden. Unter Umständen erfolgt hierbei das Übertragen der de-personalisierten persönliche Daten von der Servereinrichtung an die Rechnereinheit mit der alten Kennzeichnung, In principle, it is possible that a ZuOrdnungsvorschrift and the associated by this a user label does not change. A further increase in the security of the personal data network can be brought about under certain circumstances if a new assignment rule with a new identification is determined by the control logic of the computer unit at regular intervals or for certain events. With the new identification determined, personal data that has been personalized by the computer unit can then be transmitted to the server device via the network. Under certain circumstances, the de-personalized personal data is transmitted from the server device to the computer unit with the old identification,
die Ermittlung der neuen ZuOrdnungsvorschrift und der neuen Kennzeichnung durch die Rechnereinheit,  the determination of the new assignment rule and the new identification by the computer unit,
das Löschen der de-personalisierten persönliche Daten mit der alten Kennzeichnung auf der Servereinrichtung und  deleting the de-personalized personal information with the old identifier on the server device and
die RückÜbertragung der de-personalisierten persönlichen Daten mit der neuen Kennzeichnung an die Servereinrichtung.  the re-transmission of the de-personalized personal data with the new tag to the server device.
Bei den zuvor genannten Ereignissen, zu denen eine neue ZuOrdnungsvorschrift mit einer neuen Kennzeichnung von der Steuerlogik der Rechnereinheit ermittelt wird, kann es sich bspw. um jeden Vorgang einer Übertragung der de-personalisierten persönlichen Daten mit der (alten) Kennung von der Servereinrichtung an die Rechnereinheit und/oder die Unterstützungseinrichtung handeln. Alternativ oder zusätzlich kann als Ereignis verwendet werden, dass eine Übermittlung der ZuOrdnungsvorschrift an eine Unterstützungseinrichtung erfolgt ist. Vorstellbar ist auch, dass das beschriebene Verfahren, mit dem der Nutzer den alieinigen Schlüssel zum Zugang seiner Daten hat, durch alternative Verfahren, wie Wechselcodegeräte, Papiercode oder persönliche Merkmale, wie Iriserkennung, Videosequenzen des Lidschlages, etc. oder DNA -Sequenzen ergänzt oder ersetzt werden kann. Angestrebt sein kann, dass der Nutzer über die Rechnereinheit alleinigen personalisierten Zugriff auf seine persönlichen Daten hat. Problematisch kann dies aber u. U. bei Verlust der Rechnereinheit, Ohnmacht oder Handlungsunfähigkeit des Nutzers sein. Möglich ist, dass für die Vorsorge für derartige Fälle mittels der Steuerlogik der Rechnereinheit die ZuOrdnungsvorschrift an eine einer Vertrauensperson zugeordnete Rechnereinheit übermittelt wird. Bei der Vertrauensperson handelt es sich bspw. um einen Ehepartner, einen für den Nutzer im Notfall zur Entscheidung bevollmächtige Person oder eine Sicherheitsperson oder eine Person mit Treuhandfunktion, über welche bei Verlust der Rechnereinheit ein Zugriff auf die persönlichen Daten möglich bleiben soll. Der der Vertrauensperson zugeordneten Rechnereinheit kann dann ein zumindest teilweiser Zugriff auf die de-personalisierten persönlichen Daten und deren Umwandlung in personalisierte persönlichen Daten ermöglicht sein. In the aforementioned events, for which a new ZuOrdnungsvorschrift with a new label is determined by the control logic of the computer unit, it may, for example. Each process of transfer of de-personalized personal data with the (old) identifier from the server device to the Computing unit and / or the support device act. Alternatively or additionally, it can be used as an event that a transmission of the ZuOrdnungsvorschrift has been done to a support facility. It is also conceivable that the method described, with which the user has the alien key to access his data, supplemented or replaced by alternative methods, such as change code devices, paper code or personal features such as iris recognition, video sequences of the eyelid, etc. or DNA sequences can be. The aim may be that the user has exclusive personal access to his personal data via the computer unit. But this can be problematic u. U. in case of loss of the computer unit, powerlessness or incapacitation of the user. It is possible that the ZuOrdnungsvorschrift is transmitted to the provision of such cases by means of the control logic of the computer unit to a trusted person computer unit. The trusted person is, for example, a spouse, a person authorized to make a decision in an emergency for the user, or a security person or a person with a trust function via whom access to the personal data is to be possible if the computer unit is lost. The computer unit associated with the trusted person can then be allowed at least partial access to the de-personalized personal data and its conversion into personalized personal data.
Grundsätzlich umfasst die Erfindung auch Ausgestaltungen, bei welchen in den persönlichen Daten sämtliche persönlichen Informationen vollständig de-personalisiert sind. Dies erschwert aber dann unter Umständen eine wissenschaftliche oder anderweitige stochastische Auswertung mit dem Ziel der Gewinnung wichtiger Erkenntnisse. Die Erfindung schlägt für eine besondere Ausgestaltung der Erfindung vor, dass die de-personalisierten persönlichen Daten hinsichtlich des Nutzers noch das Geburtsjahr, Basically, the invention also includes embodiments in which all personal information is completely de-personalized in the personal data. However, this may complicate a scientific or other stochastic evaluation with the aim of gaining important insights. For a particular embodiment of the invention, the invention proposes that the de-personalized personal data regarding the user is still the year of birth,
das Geschlecht des Nutzers,  the gender of the user,
- die ethnische Zugehörigkeit, - the ethnicity,
die Zugehörigkeit zu dem Bundesland oder Kanton des Wohnorts oder dem Land des Wohnorts beinhalten. Diese Daten können dann für eine weitergehende Auswertung der persönlichen Daten, bspw. durch wissenschaftliche Analyseinstitute, Versicherungen u. ä. genutzt werden. Neben dem persönlichen Daten-Netzwerk hat die Erfindung auch eine Software zum Gegenstand, welche mit Steuerlogik ausgestattet ist, die geeignet ist für den Einsatz und die Ausbildung eines persönlichen Daten-Netzwerks nach einem der vorhergehenden Ansprüche. Hierzu besitzt die Software insbesondere Steuerlogik, wie diese in den Patentansprüchen beansprucht ist. belong to the state or canton of the place of residence or the country of residence. These data can then be used for further evaluation of personal data, for example by scientific analysis institutes, insurance companies and the like. Ä. be used. In addition to the personal data network, the invention also relates to a software which is equipped with control logic which is suitable for the use and the formation of a personal data network according to one of the preceding claims. For this purpose, the software has in particular control logic, as claimed in the patent claims.
Gegenstand der vorliegenden Erfindung ist ferner ein System umfassend ein persönliches Daten-Netzwerk nach einem der Ansprüche 1 bis 19 und eine Vitaldaten- Erfassungseinrichtung. Dabei kann die Vitaldaten-Erfassungseinrichtung einen oder mehrere Sensoren zur Erfassung von Vitaldaten umfassen. Mögliche Sensoren sind Sensoren zur Erfassung der Herzfrequenz, des Blutdrucks, des Blutzuckers, Herzschrittmacher, Fitnesstracker, Lagesensoren, Beschleunigungssensoren etc. The subject of the present invention is furthermore a system comprising a personal data network according to one of claims 1 to 19 and a vital data acquisition device. In this case, the vital data acquisition device may comprise one or more sensors for acquiring vital data. Possible sensors are sensors for recording the heart rate, blood pressure, blood sugar, pacemaker, fitness tracker, position sensors, acceleration sensors, etc.
Vorteilhafte Weiterbildungen der Erfindung ergeben sich aus den Patentansprüchen, der Beschreibung und den Zeichnungen. Die in der Beschreibung genannten Vorteile von Merkmalen und von Kombinationen mehrerer Merkmale sind lediglich beispielhaft und können alternativ oder kumulativ zur Wirkung kommen, ohne dass die Vorteile zwingend von erfindungsgemäßen Ausführungsformen erzielt werden müssen. Ohne dass hierdurch der Gegenstand der beigefügten Patentansprüche verändert wird, gilt hinsichtlich des Offenbarungsgehalts der ursprünglichen Anmeldungsunterlagen und des Patents Folgendes: weitere Merkmale sind den Zeichnungen - insbesondere den dargestellten Geometrien und den relativen Abmessungen mehrerer Bauteile zueinander sowie deren relativer Anordnung und Wirkverbindung - zu entnehmen. Die Kombination von Merkmalen unterschiedlicher Ausführungsformen der Erfindung oder von Merkmalen unterschiedlicher Patentansprüche ist ebenfalls abweichend von den gewählten Rückbeziehungen der Patentansprüche möglich und wird hiermit angeregt. Dies betrifft auch solche Merkmale, die in separaten Zeichnungen dargestellt sind oder bei deren Beschreibung genannt werden. Diese Merkmale können auch mit Merkmalen unterschiedlicher Patentansprüche kombiniert werden. Ebenso können in den Patentansprüchen aufgeführte Merkmale für weitere Ausführungsformen der Erfindung entfallen. Advantageous developments of the invention will become apparent from the claims, the description and the drawings. The advantages of features and of combinations of several features mentioned in the description are merely exemplary and can take effect alternatively or cumulatively, without the advantages having to be achieved by embodiments according to the invention. Without thereby altering the subject matter of the appended claims, as regards the disclosure of the original application documents and the patent, further features can be found in the drawings, in particular the illustrated geometries and the relative dimensions of several components and their relative arrangement and operative connection. The combination of features of different embodiments of the invention or of features of different claims is also possible deviating from the chosen relationships of the claims and is hereby stimulated. This also applies to those features which are shown in separate drawings or are mentioned in their description. These features can also be combined with features of different claims. Likewise, in the claims listed features for further embodiments of the invention can be omitted.
Die in den Patentansprüchen und der Beschreibung genannten Merkmale sind bezüglich ihrer Anzahl so zu verstehen, dass genau diese Anzahl oder eine größere Anzahl als die genannte Anzahl vorhanden ist, ohne dass es einer expliziten Verwendung des Adverbs "mindestens" bedarf. Wenn also beispielsweise von einem Element die Rede ist, ist dies so zu verstehen, dass genau ein Element, zwei Elemente oder mehr Elemente vorhanden sind. Diese Merkmale können durch andere Merkmale ergänzt werden oder die einzigen Merkmale sein, aus denen das jeweilige Erzeugnis besteht. The features mentioned in the patent claims and the description are to be understood in terms of their number that exactly this number or a greater number than the said number is present, without requiring an explicit use of the adverb "at least". So, for example, when talking about an element, this is to be understood as that there is exactly one element, two elements or more elements. These features may be supplemented by other features or be the only characteristics that make up the product in question.
Die in den Patentansprüchen enthaltenen Bezugszeichen stellen keine Beschränkung des Umfangs der durch die Patentansprüche geschützten Gegenstände dar. Sie dienen lediglich dem Zweck, die Patentansprüche leichter verständlich zu machen. The reference numerals contained in the claims do not limit the scope of the objects protected by the claims. They are for the sole purpose of making the claims easier to understand.
KURZBESCHREIBUNG DER FIGUREN BRIEF DESCRIPTION OF THE FIGURES
Im Folgenden wird die Erfindung anhand in den Figuren dargestellter bevorzugter Ausführungsbeispiele weiter erläutert und beschrieben. In the following the invention will be further explained and described with reference to preferred embodiments shown in the figures.
Fig. 1 bis 4 zeigen unterschiedliche beispielhafte Ausgestaltungen der de-personalisierten Figs. 1 to 4 show different exemplary embodiments of the de-personalized
Übertragung von sensiblen Daten über ein Netzwerk, in der Regel das Internet. Dieses Netzwerk kann zusätzlich durch technische Massnahmen so ausgestaltet sein, dass geschlossene A nach B Verbindungen entstehen, z.B. als Virtual private Netzwerk (VPN) oder durch Tunnelierung. Fig. 5 zeigt stark schematisiert Verfahrensschritte einer Steuerlogik für die Übertragung de-personalisierter Daten, wobei die Steuerlogik ein Verfahren für eine erstmalige Registrierung eines Nutzers betrifft.  Transmission of sensitive data over a network, usually the Internet. In addition, this network may be designed by technical means to create closed A to B connections, e.g. as a virtual private network (VPN) or through tunneling. Fig. 5 shows highly schematized method steps of a control logic for the transmission of de-personalized data, wherein the control logic relates to a method for a first-time registration of a user.
Fig. 6 zeigt stark schematisiert Verfahrensschritte einer Steuerlogik für für die Fig. 6 shows a highly schematic process steps of a control logic for the
Übertragung de-personalisierter Daten, wobei die Steuerlogik ein Verfahren für eine Übermittlung von de-personalisierten persönlichen Daten an eine Servereinrichtung betrifft.  Transmitting de-personalized data, wherein the control logic relates to a method for transmitting de-personalized personal data to a server device.
Fig. 7 zeigt stark schematisiert Verfahrensschritte einer Steuerlogik für die Übertragung de-personalisierter Daten, wobei die Steuerlogik ein Verfahren für die De- Personalisierung von persönliche Daten von einer Servereinrichtung betrifft. FIGURENBESCHREIBUNG Fig. 7 shows, in a highly schematic manner, method steps of a control logic for the transmission of de-personalized data, wherein the control logic relates to a method for the de-personalization of personal data from a server device. DESCRIPTION OF THE FIGURES
Fig. 1 zeigt stark schematisiert ein Daten-Netzwerk 1 mit einer Servereinrichtung 2 und einer einem Nutzer oder Patienten zugeordneten Rechnereinheit 3 von einer Vielzahl von mit der Servereinrichtung 2 über ein Netzwerk 1 ,28 kommunizierenden, hier nicht dargestellten weiteren Rechnereinheiten. Von der Rechnereinheit 3 werden einerseits de-personalisierte persönliche Daten 4 mit zugeordneter Kennzeichnung 5 an die Servereinrichtung 2 gesendet, um unter der Kennzeichnung 5 die de-personalisierten persönlichen Daten 4 in einer Speichereinheit 6 der Servereinrichtung 2 abzuspeichern. Andererseits ist möglich, dass von der Rechnereinheit 3 eine Anforderung 7 an die Servereinrichtung 2 mit der Kennzeichnung 5 gesendet wird, die der Kennzeichnung 5 zugeordneten de-personalisierten persönlichen Daten 4 als de-personalisierte persönliche Daten 4 an die Rechnereinheit 3 zu senden. Die De- personalisierung findet durch eine Software A auf der Rechnereinheit 3 statt, die Re- personalisierung durch eine Software B auf der Rechnereinheit 3. FIG. 1 shows a highly schematized data network 1 with a server device 2 and a computer unit 3 assigned to a user or patient of a plurality of further computer units communicating with the server device 2 via a network 1, 28, not shown here. On the one hand de-personalized personal data 4 with associated identification 5 are sent to the server device 2 by the computer unit 3 in order to store the de-personalized personal data 4 in a memory unit 6 of the server device 2 under the identifier 5. On the other hand, it is possible for the computer unit 3 to send a request 7 to the server device 2 with the identification 5, to send the de-personalized personal data 4 associated with the identification 5 as de-personalized personal data 4 to the computer unit 3. The de-personalization takes place by means of software A on the computer unit 3, the re-personalization by a software B on the computer unit 3.
Um zu vermeiden, dass in der Servereinrichtung 2 über eine anfordernde IP-Adresse der Rechnereinheit 3 bereits eine Zuordnung der gespeicherten de-personalisierten persönlichen Daten 4 möglich ist, kann zwischen Servereinrichtung 2 und Rechnereinheit 3 gemäß Fig. 2 eine Übertragungspfad-Trenneinrichtung 9 zwischengeschaltet sein. Die Übertragungspfad- Trenneinrichtung 9 empfängt die Anforderung 7 mit der Kennzeichnung 5 von der IP-Adresse der Rechnereinheit 3 und sendet diese mit der eigenen IP-Adresse ohne Hinweis auf die IP- Adresse der Rechnereinheit 3 an die Servereinrichtung 2. Die der Kennzeichnung 5 zugeordneten, in der Speichereinheit 6 gespeicherten de-personalisierten persönlichen Daten 4 werden dann von der Servereinrichtung 2 an die Übertragungspfad-Trenneinrichtung 9 übermittelt, welche dann wiederum an die nur dort vorhandene IP-Adresse der Rechnereinheit 3 die de-personalisierten persönlichen Daten 4 überträgt Bei ansonsten Fig. 1 entsprechender Kommunikation zwischen der Rechnereinheit 3 und der Servereinrichtung 2 verfügt gemäß Fig. 3 das Daten-Netzwerk 1 über eine Unterstützer- Rechnereinrichtung 10, die bspw. einer Praxis, einem Krankenhaus, einer Bank oder einer Versicherung zugeordnet ist. Um dort einen Zugriff auf die persönlichen Daten zu ermöglichen, überträgt der Nutzer von der Rechnereinheit 3 de-personalisierte persönliche Daten 31 an die Unterstützer-Rechnereinrichtung 10. Gleichzeitig oder zeitlich versetzt erfolgt die Zustellung der Kennzeichnung 5, die mit den Personalien versehen ist. Diese werden bei Übereinstimmung der Kennzeichen in das Dokument als Kopfzeile eingefügt. Sofern von dem Unterstützer weitere persönliche Daten erhoben werden, kann eine RückÜbertragung dieser persönlichen Daten als de-personalisierte persönliche Daten 4 mit einer zufallsgenerierten Nummer versehen (Kennzeichnung 5a) an die Rechnereinheit 3 erfolgen, womit dann auch die Übertragung dieser persönlichen Daten als de-personalisierte persönliche Daten 4 mit der zugeordneten Kennzeichnung 5a zwecks zusätzlicher Speicherung in der Servereinrichtung 2 erfolgen kann. Alternativ oder zusätzlich zu der Unterstützer-Rechnereinrichtung 10 kann eine Analyse- Rechnereinrichtung 1 Zugriff auf die de-personalisierten persönlichen Daten 33 einer Mehrzahl von Nutzern durch Kommunikation mit der Servereinrichtung 2 haben. In der Analyse- Rechnereinrichtung 1 1 kann dann eine Vielzahl von de-personalisierten persönlichen Daten 33 analysiert werden und das Analyseergebnis 32 der Analyse-Rechnereinrichtung 1 1 kann an die Servereinrichtung 2 oder andere Einrichtungen übertragen werden. Möglich ist durchaus auch, dass de-personalisierte persönliche Daten von der Unterstützer-Rechnereinrichtung 10 an eine Analyse-Rechnereinrichtung 1 1 übermittelt werden, womit dann von einer Analyseeinrichtung eine Analyse dieser persönlichen de-personalisierten Daten erfolgen kann. Die Analyse- Rechnereinrichtung 1 1 kommuniziert hierbei mit einer Analyseschnittstelle 27 der Servereinrichtung 2. Das Ergebnis der Analyse kann dann in de-personalisierter Form an die Unterstützer-Rechnereinrichtung 10 oder die Rechnereinheit 3 des Nutzers zur weiteren Verarbeitung übertragen werden. In order to avoid that an assignment of the stored de-personalized personal data 4 is already possible in the server device 2 via a requesting IP address of the computer unit 3, a transmission path separating device 9 can be interposed between server device 2 and computer unit 3 according to FIG , The transmission path separating device 9 receives the request 7 with the identifier 5 from the IP address of the computer unit 3 and sends it with its own IP address without reference to the IP address of the computer unit 3 to the server device 2. The 5 associated , de-personalized personal data 4 stored in the memory unit 6 are then transmitted from the server device 2 to the transmission path separator 9, which in turn transmits the de-personalized personal data 4 to the only existing IP address of the computer unit 3 According to FIG. 1, corresponding communication between the computer unit 3 and the server device 2 has the data network 1 via a back-up computer device 10 which, for example, is assigned to a practice, a hospital, a bank or an insurance company. In order to allow access to the personal data there, the user transmits de-personalized personal data 31 from the computer unit 3 to the supporter computer device 10. Simultaneously or at a different time, the delivery of the code 5, which is provided with the personal data, takes place. These are inserted as a header if the identifiers match the document. If the supporter collects further personal data, the return of such personal data may be considered as de-personalized personal data 4 provided with a random number (identification 5a) to the computer unit 3, whereby then the transmission of this personal data as de-personalized personal data 4 with the associated label 5a for additional storage in the server device 2 can be done , Alternatively or in addition to the supporter computing device 10, an analysis computing device 1 may have access to the de-personalized personal data 33 of a plurality of users by communication with the server device 2. A plurality of de-personalized personal data 33 can then be analyzed in the analysis computer device 11 and the analysis result 32 of the analysis computer device 11 can be transmitted to the server device 2 or other devices. It is also entirely possible that de-personalized personal data is transmitted from the supporter-computer device 10 to an analysis computer device 11, with which an analysis device can then perform an analysis of this personal de-personalized data. The analysis computer device 1 1 communicates with an analysis interface 27 of the server device 2. The result of the analysis can then be transmitted in de-personalized form to the supporter computer device 10 or the computer unit 3 of the user for further processing.
Fig. 4 zeigt eine Ausführungsform, bei welcher (alternativ oder zusätzlich) in das Daten- Netzwerk 1 ,28 eine Unterstützer-Rechnereinrichtung 10 oder eine Vertrauensperson- Rechnereinheit 12 integriert ist. Um einen Austausch der dem Nutzer zugeordneten persönlichen Daten zwischen der Servereinrichtung 2 und der Unterstützer-Rechnereinrichtung 10 und/oder der Vertrauensperson-Rechnereinheit 12 zu ermöglichen, übermittelt der Nutzer über die Rechnereinheit 3 eine Zuordnungsvorschrift, insbesondere die dem Nutzer zugeordnete Kennzeichnung 5, an die Unterstützer-Rechnereinrichtung 10 und/oder die Vertrauensperson-Rechnereinheit 12. Mit dieser Zuordnungsvorschrift und ggf. weiteren übermittelten Authentifizierungen oder Passwörtern kann dann ein Datenaustausch hinsichtlich der dem Nutzer zugeordneten de-personalisierten Daten zwischen der Unterstützer- Rechnereinrichtung 10 und/oder der Vertrauensperson-Rechnereinheit 12 einerseits und der Servereinrichtung 2 andererseits erfolgen. Als optionale weitere Möglichkeit ist in Fig. 4 dargestellt, dass die Rechnereinheit 3 über eine Schnittstelle 29 auch Vitaldaten 13 empfangen kann, welche von einem Wearable 14 oder einer Vitaldaten-Erfassungseinrichtung 30 wie einem Armband, oder einem Brustgurt oder einer Applikation des die Rechnereinheit 3 bildenden Smartphones entstammen können. Fig. 5 zeigt beispielhaft ein Verfahren für eine erstmalige Registrierung eines Nutzers durch die diesem zugeordnete Rechnereinheit 3: FIG. 4 shows an embodiment in which (alternatively or additionally) a back-up computer device 10 or a trust-person computer unit 12 is integrated into the data network 1, 28. In order to enable an exchange of the personal data assigned to the user between the server device 2 and the backer computer device 10 and / or the trusted person computer unit 12, the user transmits via the computer unit 3 an assignment rule, in particular the identification 5 assigned to the user Supporter computer device 10 and / or the trusted person computer unit 12. With this assignment rule and possibly other transmitted authentications or passwords can then exchange data regarding the de-personalized data associated with the user between the supporter computing device 10 and / or the trusted person computer unit 12 on the one hand and the server device 2 on the other hand done. As an optional further option, it is shown in FIG. 4 that the computer unit 3 can also receive vital data 13 via an interface 29, which is from a wearable 14 or a vital data acquisition device 30 such as a wristband or a chest strap or an application of the computer unit 3 can originate from forming smartphones. 5 shows by way of example a method for a first-time registration of a user by the computer unit 3 assigned thereto:
Nach dem Laden einer Applikation bspw. auf die als Smartphone ausgebildete Rechnereinheit 3 übermittelt der Nutzer in einem Verfahrensschritt 15 seine Telefonnummer an die die Registrierung durchführende Einrichtung, insbesondere die Servereinrichtung 2. Denkbar ist jedoch auch, dass ein weiterer Server vor die Servereinrichtung 2 geschaltet ist, um die Registrierungsdaten des Nutzers von den auf der Servereinrichtung 2 gespeicherten Daten strikte zu trennen. In einem Verfahrensschritt 16 wird dann die Kennzeichnung 5 ermittelt, die in einem Verfahrensschritt 17 insbesondere per SMS über die zuvor übermittelte Telefonnummer an das Smartphone zurückübermittelt wird. Erst hieran anschließend erfolgt dann vom Benutzer in einem Verfahrensschritt 18 die Eingabe der persönlichen Daten. Mit dieser Registrierung ist dann das Smartphone bzw. die Rechnereinheit 3 arbeitsfähig. Insbesondere kann dann die Übertragung von de-personalisierten Daten mit der Kennzeichnung 5 oder 5a an die Servereinrichtung 2 erfolgen und/oder von der Servereinrichtung 2 können mit dem Hinweis auf die Kennzeichnung 5 oder 5a die dem Nutzer zugeordneten de-personalisierte Daten geladen werden. Weder die persönlichen Daten noch die Zuordnung zwischen der Telefonnummer und der Kennzeichnung werden auf der Servereinrichtung 2 gespeichert. Entsprechend kann verfahren werden für die Registrierung, wenn die Rechnereinheit 3 nicht als Smartphone, sondern bspw. als Desktop-Version ausgebildet ist, auf welche die Applikation geladen werden kann. After loading an application, for example, onto the computer unit 3 designed as a smartphone, the user transmits his telephone number to the device carrying out the registration, in particular the server device 2, in a method step 15. It is also conceivable, however, for another server to be connected in front of the server device 2 to strictly separate the registration data of the user from the data stored on the server device 2. In a method step 16, the identifier 5 is then determined, which is transmitted back to the smartphone in a method step 17, in particular via SMS via the previously transmitted telephone number. Only then does the user then enter the personal data in a method step 18. With this registration, the smartphone or the computer unit 3 is then able to work. In particular, the transmission of de-personalized data with the identification 5 or 5a to the server device 2 can then take place and / or the server device 2 can load the de-personalized data associated with the user with the reference to the identification 5 or 5a. Neither the personal data nor the association between the telephone number and the tag are stored on the server device 2. Accordingly, it is possible to proceed for the registration if the computer unit 3 is not designed as a smartphone, but, for example, as a desktop version to which the application can be loaded.
Optional kann in einem weiteren Verfahrensschritt bei der Rechnereinheit 3 angefragt werden, ob eine weitere Rechnereinheit 3 als berechtigt hinsichtlich des Nutzers registriert werden soll. Für diesen Fall wird dann die bspw. einem weiteren Smartphone zugeordnete weitere Telefonnummer von der Rechnereinheit 3 an die Servereinrichtung 2 übermittelt. Bei den zur Person im Verfahrensschritt 18 einzugebenden Informationen handelt es sich bspw. um den Namen, Vornamen, das Geburtsdatum, das Geschlecht, die ethnische Zugehörigkeit, das Gewicht, die Größe, die Straße, den Wohnort, das Land, die E-Mail-Adresse, die Mobiltelefonnummer, eine Personalausweisnummer u. ä. Optionally, in a further method step, the computer unit 3 may inquire whether a further computer unit 3 should be registered as authorized with regard to the user. In this case, the further telephone number assigned to another smartphone is then transmitted from the computer unit 3 to the server device 2, for example. The information to be input to the person in step 18 includes, for example, the name, first name, date of birth, gender, ethnicity, weight, height, street, place of residence, country, e-mail address Address, the mobile phone number, an identity card number u. ä.
Unter Umständen kann in einem zusätzlichen Verfahrensschritt geprüft werden, ob es sich bei dem Anmelder um eine natürliche Person handelt. Weiterhin kann eine Verifizierung der Angaben zur Person durch Zugriff auf eine entsprechende Datenbank erfolgen. Es ist auch möglich, dass während der Registrierung eine Einverständniserklärung mit den AGB gefordert wird. Hierbei können die AGB auch beinhalten, dass der Nutzer zustimmt, dass die depersonalisierten Daten des Patienten wissenschaftlich ausgewertet und/oder finanziell verwertet werden. Fig. 6 zeigt die Übermittlung von de-personalisierten persönlichen Daten an die Servereinrichtung 2 zwecks Speicherung derselben: Under certain circumstances, it may be examined in an additional procedural step whether the applicant is a natural person. Furthermore, a verification of the personal information can be done by accessing a corresponding database. It is also possible that during the registration a declaration of consent with the terms and conditions is required. Here, the terms and conditions may also include that the user agrees that the depersonalized data of the patient are scientifically evaluated and / or used financially. Fig. 6 shows the transmission of de-personalized personal data to the server device 2 for storage thereof:
Die zunächst genannten Verfahrensschritte werden entweder von der Rechnereinheit 3, welche mit der Servereinrichtung 2 kommunizieren kann (Fig. 1 ), oder der Unterstützer- Rechnereinrichtung 10 oder der Vertrauensperson-Rechnereinheit 12, welche mit der Servereinrichtung 2 kommunizieren kann (Fig. 4), durchgeführt. The first-mentioned method steps are performed either by the computer unit 3, which can communicate with the server device 2 (FIG. 1), or the supervisor computer device 10 or the trusted person computer unit 12, which can communicate with the server device 2 (FIG. 4), carried out.
In einem Verfahrensschritt 19 werden zunächst persönliche Daten gewonnen. Dies kann durch Empfangen der persönlichen Daten von einem Untersuchungsgerät, von der Unterstützer- Rechnereinrichtung 10 oder durch Erfassung eines Arztberichts u. ä. über eine Erfassungseinrichtung 26 erfolgen. In einem anschließenden Verfahrensschritt 20 werden dann persönliche Informationen und solche, die auf die Person rückschliessen lassen, aus Informationseinheit-Daten, also bspw. dem Arztbericht, dem Röntgenbild u. ä. entfernt. Hieran anschließend wird im Verfahrensschritt 21 das Datenpaket, welches sowohl die depersonalisierten Daten als auch die zugehörige Kennzeichnung beinhaltet, an die Servereinrichtung 2 übermittelt. Die Servereinrichtung 2 speichert dann im Verfahrensschritt 22 unter der Kennzeichnung 5 die empfangenen de-personalisierten Daten in der Speichereinheit 6 ab. In a method step 19, first personal data are obtained. This can be achieved by receiving the personal data from an examination device, from the supervisor computer device 10 or by recording a medical report u. Ä. About a detection device 26. In a subsequent method step 20 then personal information and those that can be inferred to the person from information unit data, ie, for example, the doctor's report, the X-ray u. Ä. removed. Following this, in method step 21, the data packet, which contains both the depersonalized data and the associated identification, is transmitted to the server device 2. The server device 2 then stores the received de-personalized data in the memory unit 6 in the method step 22 under the label 5.
Fig. 7 zeigt das Verfahren für das Laden von de-personalisierten Daten von der Servereinrichtung 2 in die Rechnereinheit 3 (Fig. 1 ) bzw. in die Unterstützer-Rechnereinrichtung 10 oder Vertrauensperson-Rechnereinheit 12 (vgl. Fig. 4): In einem Verfahrensschritt 23 übermittelt die Rechnereinheit 3 (bzw. die Unterstützer- Rechnereinrichtung 10 oder die Vertrauensperson-Rechnereinheit 12) eine Anforderung 7 mit der Kennzeichnung 5 an die Servereinrichtung 2. Die Servereinrichtung 2 lädt in einem Verfahrensschritt 24 die der Kennzeichnung 5 zugeordneten de-personalisierten Daten aus der Speichereinheit 6. Die de-personalisierten Daten werden dann in dem Verfahrensschritt 25 an die Rechnereinheit 3 (bzw. die Unterstützer-Rechnereinheit 10 oder die Vertrauensperson- Rechnereinheit 12) übertragen, wo sie re-personalisiert werden, indem z.B. in einer Kopfzeile (Header) die Daten zur Person aufgeführt werden. 7 shows the method for loading de-personalized data from the server device 2 into the computer unit 3 (FIG. 1) or into the supporter computer device 10 or trusted person computer unit 12 (see FIG Method step 23 transmits the computer unit 3 (or the backup computer device 10 or the trusted person computer unit 12) a request 7 with the label 5 to the server device 2. The server device 2 loads in a method step 24 the de-personalized data associated with the identifier 5 from the memory unit 6. The de-personalized data are then in the method step 25 to the computer unit 3 (or the supervisor computer unit 10 or the confidant Computer unit 12) transferred, where they are re-personalized by, for example, in a header (header), the data are listed to the person.
Die Servereinrichtung 2 kann auf der Speichereinheit 6 die de-personalisierten Daten vieler Nutzer zunächst nach der jeweiligen Kennzeichnung 5 ablegen. Diese mehrere Nutzer-Daten umfassende Ablage ist in den Abbildungen als 33 dargestellt. Eine Extrahierung von Suchwörtern zur Ermöglichung einer Suchfunktion für eine Analyse der de-personalisierten Daten mehrerer Nutzer (33) ist ebenfalls möglich. Eine Kategorisierung der de-personalisierten Daten zu einem Nutzer kann bspw. nach Art der Informationseinheit-Daten erfolgen. So kann bspw. eine Klassifizierung zwischen Untersuchungsbefunden, Arztbriefen, Entlassungsberichten erfolgen. Ebenfalls möglich ist, dass die Zusammenfassung von Informationseinheit-Daten oder Kennzeichnung derselben je nach durchführendem Institut der einzelnen Untersuchungen und Arztberichte erfolgt. Alternativ oder zusätzlich möglich ist die Kategorisierung der Informationseinheit-Daten je nach Erkrankung oder betroffenem Körperteil oder dem medizinischen Fachgebiet. Möglich ist, dass Informationseinheit-Daten unterschiedlicher Kategorien einzeln dem Nutzer oder einem Unterstützer bereitgestellt werden. The server device 2 can initially store the de-personalized data of many users on the memory unit 6 according to the respective identifier 5. This repository containing multiple user data is shown as 33 in the figures. Extraction of search words to enable a search function for analysis of the de-personalized data of multiple users (33) is also possible. A categorization of the de-personalized data to a user can be done, for example, according to the type of information unit data. Thus, for example, a classification between examination findings, medical reports, discharge reports done. It is also possible that the aggregation of information unit data or identification of the same takes place depending on the implementing institute of the individual examinations and medical reports. Alternatively or additionally, the categorization of the information unit data depending on the disease or affected body part or medical specialty. It is possible that information unit data of different categories are provided individually to the user or a supporter.
Eine Applikation der Rechnereinheit 3 kann eine Suchfunktion beinhalten, um ein einfaches Wiederauffinden von Informationen zu ermöglichen. An application of the computer unit 3 may include a search function to facilitate easy retrieval of information.
Beispiele für Wearables 14, welche im Rahmen der Erfindung in dem Daten-Netzwerk 1 eingesetzt werden können, sind bspw. Auf der Internet-Seite (http://www.emdt.co.uk/ daily- buzz/5-wearables-could-transform-healthcare) angeführt. Beispiele hierfür sind Examples of wearables 14 which can be used in the data network 1 within the scope of the invention are, for example, on the Internet site (http://www.emdt.co.uk/daily- buzz / 5-wearables-could -transform-healthcare). examples for this are
"Google lens" für eine Biutzuckermessung, "Google lens" for a biotoxin measurement,
"WearSens" für die Messung der Nahrungsaufnahme (vgl. http://www.medicaldaily.com/ucla-engineers-develop-wearsens-food-diary-you-can- wear-around-your-neck-324508),  "WearSens" for measuring food intake (see http://www.medicaldaily.com/ucla-engineers-develop-wearsens-food-diary-you-can- wear-around-your-neck-324508),
- Google smart pill, um Krebs zu entdecken (vgl. http://mobihealthnews.com/37730/google-x-developing-cancer-scanning-pill-that- transmits-to-a-wearable-sensor/), - Google smart pill to detect cancer (http://mobihealthnews.com/37730/google-x-developing-cancer-scanning-pill-that- transmits-to-a-wearable-sensor /),
Wearable-Sensoren für die kontinuierliche Messung von Körperflüssigkeiten (vgl. http://www.emdt.co.uk/daily-buzz/higher-powered-wearable-sensors) sowie  Wearable sensors for the continuous measurement of body fluids (see http://www.emdt.co.uk/daily-buzz/higher-powered-wearable-sensors) and
- Sensoren für eine kontinuierliche EKG-Messung (vgl. http://internetmedicine.com/ irhythm/). Eine in das Daten-Netzwerk 1 integrierte Analyseeinrichtung kann eine Vielzahl von depersonalisierten Daten eines Patienten oder mehrerer Patienten auswerten, wobei eine zusätzliche Validierung und Freigabe unter ärztlichen Gesichtspunkten erfolgen kann. Die aus der Analyse resultierenden Analyseergebnisse oder die generierten Daten-Extrakte können insbesondere die folgenden Informationen und Daten beinhalten: einen elektronischen Arztbrief (vgl. http://www.aerzteblatt.de/archiv/167716/ Elektronischer-Arztbrief-Arztnetze-fuer-die-Erprobung-gesucht), - Sensors for continuous ECG measurement (see http://internetmedicine.com/irhythm/). An integrated into the data network 1 analysis device can evaluate a variety of depersonalized data of one or more patients, with additional validation and approval can be done from a medical point of view. The analysis results resulting from the analysis or the generated data extracts may in particular include the following information and data: an electronic doctor's letter (see http://www.aerzteblatt.de/archiv/167716/ Elektronischer-Arztbrief-Arztnetze-fuer-die -Erprobung-searched)
Austrittsberichte, Kontoauszüge  Outgoing reports, bank statements
Diagnoselisten, Ausgabenlisten nach Kategorien als Bank-Kontoauszüge  Diagnostic lists, expense lists by categories as bank statements
Überweisungsberichte, Zahlungstransfers, Schaden-Rapporte  Remittance reports, payment transfers, damage reports
Risikoanalysen,  Risk analysis,
Zusammenfassungen zu bestimmten Fragestellungen,  Summaries on specific questions,
Erinnerungen und Aufforderungen zum Arztbesuch, zur Impfung, zur Krebsvorsorgeuntersuchung, zur Tabletteneinnahme etc., zu Daueraufträgen im Bank- Zahlungsverkehr  Reminders and requests for visits to the doctor, for vaccination, cancer screening, tablet intake, etc., on standing orders in bank payments
Auswertungen und Beurteilungen von medizinischen Bildern (Röntgenbilder, Blutbilder, Hautveränderungen),  Evaluations and assessments of medical images (X-rays, blood pictures, skin changes),
Alarmierung des Gesundheitspersonals bei kritischen Vitaldaten bei Patienten auf der Intensivstation, auf der Abteilung, im Pflegeheim oder zu Hause beim betreuten Wohnen sowie  Alert health care professionals to critical vital data for intensive care, ward, nursing or home care assisted living patients
Auswertungen für die pharmazeutische Industrie, für Versicherungen und zu wissenschaflichen Zwecken. Auf der Rechnereinheit 3 erfolgt, insbesondere mittels einer Smartphone-Applikation, die Registrierung, die temporäre Speicherung der persönlichen Daten, die Beschaffung und das Einlesen neuer persönlicher Daten, die De-personalisierung der persönlichen Daten, die Generierung von Kennzeichnungen zur Verwendung mit de-personalisierten Datenpaketen und die Herstellung der Verbindung zur Servereinrichtung 2 mit dem dann folgenden Upload. Hingegen erfolgt auf der Servereinrichtung 2 die Verwaltung der de-personalisierten persönlichen Daten mit der zugeordneten Kennzeichnung und die Zugriffsverwaltung für die Nutzer sowie Analyseeinrichtungen u. ä. Eine Applikation einer als Smartphone ausgebildeten Rechnereinrichtung 3 kann bspw. eine Menüoberfläche beinhalten, welche die Menüpunkte Evaluations for the pharmaceutical industry, for insurance and for scientific purposes. On the computer unit 3 takes place, in particular by means of a smartphone application, the registration, the temporary storage of personal data, the procurement and reading new personal data, the de-personalization of personal data, the generation of labels for use with de-personalized Data packets and the connection to the server device 2 with the subsequent upload. On the other hand, on the server device 2, the management of the de-personalized personal data with the associated identifier and the access management for the users and analysis facilities u. ä. An application of a computer device 3 designed as a smartphone may, for example, include a menu interface which displays the menu items
Login zur Ermöglichung des Logins mit einer Benutzerkennung und einem Passwort,Login to enable the login with a user ID and password,
"meine persönlichen Daten online", "my personal information online",
- "meine nächsten Termine", - "my next appointments",
"Persönliche Daten scannen",  "Scan personal data",
"Persönliche Daten importieren",  "Import personal data",
"Persönliche Daten aufbereiten",  "Processing personal data",
"Rezept anfordern",  "Request recipe",
- "Laboruntersuchung durchführen", - "carry out laboratory examination",
"Arzttermin buchen",  Book a doctor's appointment,
"Chat",  "Chat"
"Einstellungen" und/oder  "Settings" and / or
"Favoriten verwalten" beinhaltet, und die zugeordneten Funktionen ausführen.  "Manage Favorites" and perform the assigned functions.
Eine Übersendung von de-personalisierter Daten über das Daten-Netzwerk 1 ,28 erfolgt insbesondere als Metadaten nach dem Standard IHE. Möglich ist, dass zur Re-Personalisierung anstelle des (Wieder-)Einsetzen der Patientendaten in das Dokument die Kennzeichnung 5 als Kopfzeile oder Header in die Dokumente eingefügt wird, welche sich über die ZuOrdnungsvorschrift von dem Nutzer mit dessen Personal-Daten verknüpfen lässt. Der Download und der Upload der de-personalisierten Daten erfolgt über eine verschlüsselte Verbindung. Eine Verschlüsselung der de-personalisierten persönlichen Daten kann zusätzlich entsprechend den üblichen bekannten Verschlüsselungstechnologien erfolgen. Möglich ist, dass eine Zugriffsverwaltung für Dritte wie Vertrauenspersonen oder Analyseeinrichtungen durch ein Protokoll mit der Kennzeichnung "OAuth" erfolgt, wie dieses in der einschlägigen Fachliteratur und unter https://de.wikipedia.org/wiki/OAuth beschrieben ist. Auf welche Bestandteile der de-personalisierten Daten Dritte zugreifen können, kann der Nutzer individuell aufgrund hinterlegter Profile bestimmen und durch die Applikation auf der Rechnereinheit 3 oder der Servereinrichtung 2 steuern. Möglich ist, dass der Nutzer beim Anlegen seines Profils das Einverständnis geben muss, dass eine Weitergabe der persönlichen Daten an Dritte, Bevollmächtigte oder eine Vertrauensperson unter Umständen in letzter Instanz von einer Treuhandstelle freigegeben werden kann. Ein Datenzugriff durch einen Stellvertreter kommt insbesondere dann in Frage, wenn der Nutzer bewusstlos ist, bevormundet wird, verstorben ist oder die Rechnereinheit 3, welche ausschließlich die ZuOrdnungsvorschrift beinhaltet, verlorengegangen ist. A transmission of de-personalized data via the data network 1, 28 takes place in particular as metadata according to the standard IHE. It is possible that for re-personalization instead of (re) inserting the patient data in the document, the label 5 is inserted as a header or header in the documents, which can be linked via the ZuOrdungsvorschrift of the user with his personal data. The download and upload of the de-personalized data takes place via an encrypted connection. Encryption of the de-personalized personal data may additionally be done according to the usual known encryption technologies. It is possible that an access management for third parties such as trusted persons or analysis facilities by a protocol marked "OAuth", as described in the relevant literature and at https://de.wikipedia.org/wiki/OAuth. On which components of the de-personalized data third parties can access, the user can individually determine based on deposited profiles and control by the application on the computer unit 3 or the server device 2. It is possible that the user when creating his profile must give the consent that a disclosure of personal data to third parties, agents or a person of trust may be released in the last instance by a fiduciary. A data access by a deputy is particularly in question when the user is unconscious, patronized, died or the computer unit 3, which contains only the ZuOrdnungsvorschrift, has been lost.
Möglich ist, dass im Rahmen der Erfindung ein auf der Internet-Seite https://validic.com/api beschriebenes Verfahren Einsatz findet. It is possible that within the scope of the invention a method described on the Internet page https://validic.com/api is used.
Für die Beseitigung persönlicher Informationen kann ein Dokument, wie ein Arztbrief oder ein Röntgenbild, zunächst vollständig "geschwärzt" oder gelöscht werden, wonach dann der Benutzer über eine Art Wischfunktion "selektiv" einzelne Bestandteile dieses Dokuments wieder reaktivieren kann. Umgekehrt kann der Nutzer noch nicht „geschwärzte" Stellen in seinem Dokument, die auf seine Person schliessen lassen, durch eine Wischfunktion selbst schwärzen. For the elimination of personal information, a document, such as a medical report or an X-ray image, can first be completely "blacked out" or deleted, after which the user can "reactively" reactivate individual components of this document via a type of wiping function. Conversely, the user can not blacken even "blackened" places in his document, which suggest his person, by a wiping function itself.
BEISPIELHAFTER FUNKTIONSABLAUF EXEMPLARY FUNCTIONAL PROCESS
Der Benutzer setzt sein Smartphone ein, um seine Vitaldaten, die von einem Fitnesstracker, einem Blutdruckmessgerät oder einer Herzschrittmacher z.B. über Bluetooth direkt an das Smartphone weiterzugeben. Vorstellbar ist auch, dass die Daten bereits in eine andere Software abgeleitet wurden, wie beispielsweise Apple-Health-Kit. In letzterem Falle werden die Daten aus einem solchen System auf das Smartphone übernommen. Letztlich ist auch vorstellbar, dass mit dem Smartphone mittels einer speziellen Funktion ärztliche Befundtexte und Bilder eingescannt werden. In sämtlichen Fällen werden die Daten mittels automatischer Programme depersonalisiert. Wo dies nicht möglich ist, können personifizierende Daten mittels einer Wischfunktion entfernt werden. Von Bedeutung ist nun, dass der ganze Depersonalisierungsvorgang auf dem Smartphone stattfindet. Erst anschliessend werden die Daten in depersonalisierter Form an den Server übermittelt. Hier findet eine laufende Aggregation der Daten und Analyse des Dateninhabers statt und bei Abweichungen wird eine Rückmeldung auf das Smarphone des Datenbesitzers abgesetzt. The user uses his smartphone to retrieve his vital data from a fitness tracker, sphygmomanometer or pacemaker, e.g. via Bluetooth directly to the smartphone. It is also conceivable that the data has already been derived in another software, such as Apple Health Kit. In the latter case, the data from such a system is transferred to the smartphone. Ultimately, it is also conceivable that with the smartphone by means of a special function medical findings texts and images are scanned. In all cases, the data is depersonalized by means of automatic programs. Where this is not possible, personifying data can be removed by means of a wipe function. Importantly, the entire depersonalization process takes place on the smartphone. Only then are the data transmitted in depersonalized form to the server. Here an ongoing aggregation of the data and analysis of the data owner takes place and in case of deviations, a feedback is sent to the Smarphone of the data owner.
Die Erfindung betrifft ein persönliches Daten-Netzwerk 1 mit einer Servereinrichtung 2 zur Speicherung von persönlichen Daten eines Nutzers sowie einer einem Nutzer zugeordneten Rechnereinheit 3, insbesondere einem Smartphone, Tablet-PC oder iPad sowie Desktop-PC. Die Rechnereinheit 3 und die Servereinrichtung 2 kommunizieren über ein Netzwerk 1 ,28, um de-personalisierte Daten auszutauschen. The invention relates to a personal data network 1 with a server device 2 for storing personal data of a user and a user assigned to a computer unit 3, in particular a smartphone, tablet PC or iPad and desktop PC. The computer unit 3 and the server device 2 communicate via a network 1, 28 to exchange de-personalized data.
Das persönliche Daten-Netzwerk entsteht dadurch, dass nur Daten über das Netzwerk geleitet und im Netzwerk gespeichert werden, die keinen direkten oder indirekten Rückschluss auf die Person zulassen; es handelt sich um sog.„de-personalisierte" Daten. The personal data network is created by only passing data over the network and storing it on the network, which does not allow any direct or indirect inference to the person; These are so-called "de-personalized" data.
Erfindungsgemäß werden die persönlichen Daten des Nutzers bereits auf der Rechnereinheit 3 de-personalisiert mit einer Kennzeichnung 5 und an die Servereinrichtung (2) übermittelt, wo sie de-personalisiert unter der Kennzeichnung 5 gespeichert werden. Hierbei resultiert die Kennzeichnung 5 aus einer Zuordnungsvorschrift, welche ausschließlich auf der Rechnereinheit 3 abgelegt ist. Eine Personalisierung der de-personalisierten persönlichen Daten 4 in Form einer Zuordnung der de-personalisierten persönlichen Daten zu dem zugeordneten Nutzer ist auf Grundlage der auf der Servereinrichtung 2 vorhandenen de-personalisierten persönlichen Daten 4 und der Kennzeichnung 5 nicht möglich. Ferner ist eine Zuordnung während der Übermittlung der de-personalisierten Daten über das Netzwerk ebenfalls nicht möglich. In Form einer Alias-Identität kann die Identität des Nutzers zeitlich beschränkt oder dauerhaft in Form einer Kennzeichnung 7 „ausgeliehen" werden, beispielsweise an eine Unterstützer- Rechnereinrichtung 10 oder eine treuhänderische Rechnereinheit 12, damit dort anfallende Daten de-personalisiert unter der ausgeliehenen Kennzeichnung 7 an die Servereinheit übermittelt werden können. According to the user's personal data are already de-personalized on the computer unit 3 with a label 5 and transmitted to the server device (2), where they are stored de-personalized under the label 5. In this case, the identification 5 results from an assignment rule which is stored exclusively on the computer unit 3. Personalization of the de-personalized personal data 4 in the form of assignment of the de-personalized personal data to the assigned user is not possible on the basis of the de-personalized personal data 4 and the identification 5 present on the server device 2. Furthermore, an assignment during the transmission of the de-personalized data via the network is also not possible. In the form of an alias identity, the identity of the user can be "borrowed" for a limited time or permanently in the form of a tag 7, for example to a supporter computer device 10 or a fiduciary computer unit 12, thereby de-personalized data under the borrowed tag 7 can be transmitted to the server unit.
BEZUGSZEICHENLISTE LIST OF REFERENCE NUMBERS
A Programm zur De-Personalisierung (De-Identifikation) der Daten in elektronischer oder handgeschriebener Form. A program for de-personalization of data in electronic or handwritten form.
B Programm zur Re-Personalisierung (Re-Identifikation) der Daten durchB Program for re-personalization (re-identification) of the data
Wiederherstellung des Originaldokumentes oder durch Einfügen einer MarkierungRestore the original document or insert a marker
(Header) mit den Personen-Stammdaten, wie Name, Vorname, Geschlecht,(Header) with the personal master data, such as name, first name, gender,
Geburtsdatum. Date of birth.
C Programm(e) zur Datenanalyse C program (s) for data analysis
1 Persönliches geschlossenes Datennetzwerk, z.B. tunneliert oder VPN, über welches sensible Daten aller Art - beispielsweise Gesundheitsdaten und Bankdaten - in personalisierter oder de-personalisierter Form ausgetauscht werden können.  1 personal closed data network, e.g. tunneled or VPN, via which sensitive data of all kinds - eg health data and bank data - can be exchanged in personalized or de-personalized form.
2 Servereinrichtung (vom Nutzer entfernt und über ein Netzwerk verbundene Einrichtung zur Speicherung und Verwaltung von Daten)  2 server device (user-remote and network-connected device for storing and managing data)
3 Persönliche Rechnereinheit (vom Nutzer kontrollierte elektronische Einrichtung, wie z.B. Smartphone, Tablett-PC, Desktop-PC, zur Aufnahme, Verarbeitung, Verwaltung und De-Personalisierung von Daten)  3 personal computer unit (user-controlled electronic device, such as smartphone, tablet PC, desktop PC, for recording, processing, management and de-personalization of data)
4 De-personalisierte persönliche Daten (Daten, die ohne Schlüssel nicht mehr einer Person zugeordnet werden können).  4 De-personalized personal data (data that can no longer be assigned to a person without a key).
5 Kennzeichnung (der de-personalisierten Daten, die nur mit einem Schlüssel wieder einer Person zugeordnet werden können). 5 Labeling (the de-personalized data that can only be assigned to one person with one key).
a Zufallsgenerierte Kennzeichnung a Random identification
6 Speichereinheit (technische Einrichtung zur Speicherung de-personalisierter Daten) 6 storage unit (technical facility for storing de-personalized data)
7 Anforderung (elektronische Anfrage bzw. elektronischer Auftrag) 7 request (electronic request or electronic order)
8 personalisierte persönliche Daten in elektronischer Form oder anderer Form, wie z.B. auf Papier. 8 personalized personal data in electronic or other form, e.g. on paper.
a Re-personalisierte persönliche Daten in Form des Originals oder mit einem Kopf (Header) versehen, der die Angaben zur Person enthält. a Re-personalized personal data in the form of the original or with a header containing the personal information.
9 Übertragungspfad-Trenneinrichtung (Einrichtung, die eine Rückverfolgung der Daten zur Verschlüsselung verunmöglicht). 9 transmission path separator (means that makes it impossible to trace back the data for encryption).
0 Unterstützer-Rechnereinrichtung (Rechnereinrichtung einer den Nutzer unterstützenden Institution, wie beispielsweise Krankenhaus, Arzt oder Bank bzw. Versicherung).0 Supporter computer device (computer device of a user supporting institution, such as hospital, doctor or bank or insurance).
1 Analyse-Rechnereinrichtung (Rechnereinrichtung zur Analyse und Auswertung von Daten, wie Vitaldaten, Bankdaten, Gesundheitsdaten etc. mit dem primären Ziel, die Auswertungen und Erkenntnisse dem Nutzer zur Kenntnis zu bringen und dem sekundären Ziel, neue Kenntnisse von allgemeinem Interesse zu gewinnen). Vertrauensperson-Rechnereinheit (Rechnereinheit einer Person mit treuh 1 analysis computer device (computer device for analyzing and evaluating data, such as vital data, banking data, health data, etc. with the primary aim of bringing the evaluations and findings to the attention of the user and the secondary objective of gaining new knowledge of general interest). Trust person computer unit (computer unit of a person with trust
Funktion) Function)
Vitaldaten (Messdaten, wie Gewicht, Puls, Blutdruck, Blutzucker, etc.) Vital data (measurement data such as weight, heart rate, blood pressure, blood sugar, etc.)
Wearable (Kleidungsstück, Patch oder Accessoire, wie z.B. Armband, mit eingebauten Sensoren zur Messung von Vitaldaten und Ereignissen, wie z.B. Medikamenten- Einnahme oder Registrierung von Waren beim Einkaufen) Wearable (garment, patch or accessory, such as a bracelet, with built-in sensors for measuring vital signs and events, such as taking medication or registering goods while shopping)
Verfahrensschritt step
Verfahrensschritt step
Verfahrensschritt step
Verfahrensschritt step
Verfahrensschritt step
Verfahrensschritt step
Verfahrensschritt step
Verfahrensschritt step
Verfahrensschritt step
Verfahrensschritt step
Verfahrensschritt step
Erfassungseinrichtung Analyseschnittstelle (Schnittstelle zwischen gespeicherten de-personalisierten Daten und Einrichtung zur Verarbeitung, Speicherung und Weitergabe von Daten) Capture device Analysis interface (interface between stored de-personalized data and device for processing, storage and transfer of data)
Persönliches öffentliches Netzwerk, Internet Personal public network, Internet
Schnittstelle interface
Erfassungseinrichtung von Daten aus Wearables, Handheids, Waagen, elektronischen Einrichtungen in Fahrzeugen, wie Steuerrad und Kameras sowie in Immobilien, wie Strom- und Wasserzählern. Collection of data from wearables, handhelds, scales, electronic equipment in vehicles, such as steering wheel and cameras, as well as in real estate, such as electricity and water meters.
personalisierte persönliche Daten personalized personal information
Analyseergebnis analysis result
De-personalisierte Daten einer Vielzahl von Nutzern De-personalized data of a variety of users

Claims

PATENTANSPRÜCHE
Daten-Netzwerk (1 ,28) mit Data network (1, 28) with
einer Servereinrichtung (2), auf welcher persönliche, sensible Daten eines Nutzers gespeichert sind, und a server device (2) on which personal, sensitive data of a user are stored, and
einer einem Nutzer zugeordneten Rechnereinheit (3), wobei a computer unit (3) assigned to a user, wherein
die Rechnereinheit (3) und die Servereinrichtung (2) über ein Netzwerk (1 ,28) zum Austausch der persönlichen Daten miteinander kommunizieren, the computer unit (3) and the server device (2) communicate with one another via a network (1, 28) for exchanging the personal data,
auf der dem Nutzer zugeordneten Rechnereinheit (3) eine ZuOrdnungsvorschrift vorhanden ist, welche dem Nutzer und dessen de-personalisierten persönlichen Daten eine Kennzeichnung (5) zuweist, an assignment rule is present on the computer unit (3) assigned to the user, which assigns an identification (5) to the user and his de-personalized personal data,
die persönlichen Daten auf der Servereinrichtung (2) ausschließlich als depersonalisierte persönliche Daten (4) mit der Kennzeichnung gespeichert sind, wobei eine Personalisierung der de-personalisierten persönlichen Daten (4) in Form einer Zuordnung der de-personalisierten persönlichen Daten zu dem zugeordneten Nutzer auf Grundlage der auf der Servereinrichtung (2) vorhandenen de-personalisierten persönlichen Daten (4) und der Kennzeichnung (5) nicht möglich ist, und the personal data on the server device (2) is stored exclusively as depersonalized personal data (4) with the tag, wherein personalization of the de-personalized personal data (4) takes place in the form of an association of the de-personalized personal data with the assigned user Based on the server device (2) existing de-personalized personal data (4) and the label (5) is not possible, and
die dem Nutzer zugeordnete Rechnereinheit (3) über Steuerlogik verfügt, mittels welcher a) eine Anforderung (7) an die Servereinrichtung (2) hinsichtlich der Übermittlung der de-personalisierten persönlichen Daten (4) erzeugt wird, wobei die Anforderung die dem Nutzer zugeordnete Kennzeichnung (5) beinhaltet, und die auf die Anforderung von der Servereinrichtung (2) über das Netzwerk (28) an die Rechnereinheit (3) übermittelten de-personalisierten persönlichen Daten (4), welchen die Kennzeichnung (5) zugeordnet ist, empfangen werden und/oder b) personalisierte persönliche Daten auf der Rechnereinheit (3) unter Verwendung der Zuordnungsvorschrift in de-personalisierte persönliche Daten (4) mit zugeordneter Kennzeichnung (5) umwandelt werden und dann die depersonalisierten persönlichen Daten (4) mit der zugeordneten Kennzeichnung (5) von der Rechnereinheit (3) über das Netzwerk (1 ,28) an die Servereinrichtung (2) übermittelt werden, the computer unit (3) assigned to the user has control logic by means of which a) a request (7) is generated to the server device (2) with respect to the transmission of the de-personalized personal data (4), wherein the request is the identification associated with the user (5), and the de-personalized personal data (4) transmitted to the request from the server device (2) via the network (28) to the computer unit (3) to which the tag (5) is assigned, and / or b) converting personalized personal data on the computer unit (3) using the assignment rule into de-personalized personal data (4) with associated identification (5) and then the depersonalized personal data (4) with the associated identifier (5) from the computer unit (3) via the network (1, 28) are transmitted to the server device (2),
dadurch gekennzeichnet, characterized,
dass die dem Nutzer zugeordnete Rechnereinheit (3) über eine Schnittstelle (29) zu einer Vitaldaten-Erfassungseinrichtung (30) verfügt, und h) dass die dem Nutzer zugeordnete Rechnereinheit (3) über Steuerlogik ve that the computer unit (3) assigned to the user has an interface (29) for a vital data acquisition device (30), and h) that the user assigned to the computer unit (3) via control logic ve
welcher in von den personalisierten persönlichen Daten umfassten Informationseinheit- Daten persönliche Informationen und solche, die auf die Person rückschliessen lassen, a) automatisch und/oder  which in personal information contained in the personal information personal data and those that can be inferred to the person, a) automatically and / or
b) manuell von dem Nutzer  b) manually by the user
entfernt oder umgewandelt werden können.  removed or converted.
2. Daten-Netzwerk (1 ,28) nach Anspruch 1 , dadurch gekennzeichnet, dass die dem Nutzer zugeordnete Rechnereinheit (3) ein Computer, ein Tablet, ein Mobiltelefon, ein Smartphone, eine Smartwatch, ein Wearable oder ein PDA ist. 2. Data network (1, 28) according to claim 1, characterized in that the user assigned to the computer unit (3) is a computer, a tablet, a mobile phone, a smartphone, a smartwatch, a wearable or a PDA.
3. Daten-Netzwerk ( 1 ,28) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die dem Nutzer zugeordnete Rechnereinheit (3) über eine Steuerlogik verfügt, welche eine Erkennungslogik beinhaltet, mittels welcher automatisch persönliche Informationen und solche, die auf die Person rückschliessen lassen, in den Informationseinheit-Daten erkannt und aus den Informationseinheit-Daten entfernt werden können. 3. data network (1, 28) according to claim 1 or 2, characterized in that the user assigned to the computer unit (3) has a control logic which includes a recognition logic, by means of which automatically personal information and those on the person can be in the information unit data recognized and removed from the information unit data can be.
4. Daten-Netzwerk ( 1 ,28) nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die dem Nutzer zugeordnete Rechnereinheit (3) über eine Steuerlogik verfügt, welche persönliche Informationen und solche, die auf die Person rückschliessen lassen, in verallgemeinerte persönliche Informationen und solche, die auf die Person rückschliessen lassen umwandelt. 4. Data network (1, 28) according to one of claims 1 to 3, characterized in that the user assigned to the computer unit (3) has a control logic, which general information and personal information that can be inferred to the person in general personal information and information that converts to the person.
5. Persönliches Daten-Netzwerk (1 ,28) nach Anspruch 3 oder 4, dadurch gekennzeichnet, dass 5. Personal data network (1, 28) according to claim 3 or 4, characterized in that
a) die Erkennungslogik eine Text-, Bild- oder Audioerkennungslogik beinhaltet, a) the recognition logic includes text, image or audio recognition logic,
b) die Steuerlogik durch einen Abgleich erkannter Wörter, Bilder oder Audiobestandteile mit vorbestimmten Wörtern, Bildern, Audiobestandteilen oder Bildungsgesetzen persönliche Informationen und solche, die auf die Person rückschliessen lassen identifiziert und c) die Steuerlogik die identifizierten persönlichen Informationen aus den Informationseinheit-Daten entfernt oder in verallgemeinerte persönliche Informationen und solche, die auf die Person rückschliessen lassen, umwandelt. b) the control logic identifies personal information and those indicative of the person by matching recognized words, images or audio components with predetermined words, images, audio components or educational laws; and c) the control logic removes the identified personal information from the information unit data or into generalized personal information and those that make the person infer convert.
6. Persönliches Daten-Netzwerk nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass die dem Nutzer zugeordnete Rechnereinheit (3) über eine Steuerlogik verfügt, a) mittels welcher Informationseinheit-Daten auf einer Ausgabe der Rechne 6. personal data network according to one of claims 1 to 5, characterized in that the user assigned to the computer unit (3) has a control logic, a) by means of which information unit data on an output of the computer
ausgegeben werden, und  be issued, and
b) welche es dem Nutzer ermöglicht, in den Informationseinheit-Daten auf Grundlage der Ausgabe identifizierte persönliche Informationen und solche, die auf die Person rückschliessen lassen, zu entfernen oder in verallgemeinerte persönliche Informationen und solche, die auf die Person rückschliessen lassen, umzuwandeln. b) which allows the user to remove personal information identified in the information unit data based on the issue, and those that make the person infer, or to convert it into generalized personal information and information that may be inferred to the person.
7. Persönliches Daten-Netzwerk (1 ,28) nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die dem Nutzer zugeordnete Rechnereinheit (3) über Steuerlogik verfügt, 7. personal data network (1, 28) according to one of claims 1 to 6, characterized in that the user assigned to the computer unit (3) has control logic,
a) mittels welcher aus den Informationseinheit-Daten entfernte oder in verallgemeinerte persönliche Informationen und solche, die auf die Person rückschliessen lassen umgewandelte persönliche Informationen und solche, die auf die Person rückschliessen lassen gespeichert werden und a) by means of which personal information removed from the information unit data or into generalized personal information and those which allow the person to be inferred, and personal information which can be inferred from the person, and
b) welche aus b) which off
ba) den von der Servereinrichtung (2) über das Netzwerk (1 ,28) empfangenen depersonalisierten persönlichen Daten (4), in welchen aus Informationseinheit- Daten persönliche Informationen und solche, die auf die Person rückschliessen lassen entfernt oder in verallgemeinerte persönliche Informationen und solche, die auf die Person rückschliessen lassen umgewandelt worden sind, und bb) den gespeicherten persönlichen Informationen  ba) the depersonalized personal data (4) received from the server device (2) via the network (1, 28) in which personal information and information relating to the person is deduced from information unit data or into generalized personal information and such who have been converted to the person's inferred and bb) personal information stored
eine zumindest teilweise Rekonstruktion der ursprünglichen Informationseinheit-Daten mit den persönlichen Informationen vornimmt.  undertake an at least partial reconstruction of the original information unit data with the personal information.
8. Persönliches Daten-Netzwerk (1 ,28) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die dem Nutzer zugeordnete Rechnereinheit (3) über Steuerlogik verfügt, welche 8. Personal data network (1, 28) according to any one of the preceding claims, characterized in that the user assigned to the computer unit (3) has control logic which
a) eine Übermittlung personalisierter persönlicher Daten (31 ) und/oder (a) the transmission of personalized personal data (31) and / or
b) eine Übermittlung der ZuOrdnungsvorschrift b) a transmission of the ZuOrdungsvorschrift
an eine Unterstützer-Rechnereinrichtung (10) ermöglicht.  to a supporter computing device (10).
9. Persönliches Daten-Netzwerk (1 ,28) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eine Analyse-Schnittstelle (27) des persönlichen Daten- Netzwerkes ( 1 ,28) mit einer Analyse-Rechnereinrichtung (11 ) verbunden ist. 9. personal data network (1, 28) according to any one of the preceding claims, characterized in that an analysis interface (27) of the personal data network (1, 28) with an analysis computer device (11) is connected.
10. Persönliches Daten-Netzwerk (1 ,28) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Unterstützer-Rechnereinrichtung (12), die Analyse- Rechnereinrichtung (1 1 ), die Servereinrichtung (2) und/oder die dem Nutzer Rechnereinheit (3) über Steuerlogik verfügt, welche aus den de-personalisierte persönliche Daten (4) eines Nutzers Befunde ermittelt und/oder automatische Nachrichten erzeugt. 10. Personal data network (1, 28) according to any one of the preceding claims, characterized in that the supporter computing device (12), the analysis Computer device (1 1), the server device (2) and / or the user computer unit (3) has control logic which determines findings from the de-personalized personal data (4) of a user and / or generates automatic messages.
1 1. Persönliches Daten-Netzwerk (1 ,28) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Unterstützer-Rechnereinrichtung (10), die Analyse- Rechnereinrichtung (1 ), die Servereinrichtung (2) und/oder die dem Nutzer zugeordnete Rechnereinheit (3) über eine Erfassungseinrichtung (26) verfügt, über welche personalisierte oder de-personalisierte persönliche Daten erfasst werden können. 1 1. Personal data network (1, 28) according to any one of the preceding claims, characterized in that the supporter-computing device (10), the analysis computer device (1), the server device (2) and / or the user assigned Computer unit (3) via a detection device (26), via which personalized or de-personalized personal data can be detected.
12. Persönliches Daten-Netzwerk (1 ,28) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zwischen die dem Nutzer zugeordnete Rechnereinheit (3) und der Servereinrichtung (2) eine Übertragungspfad-Trenneinrichtung (9) zwischengeschaltet, welche die von der Rechnereinheit (3) übertragenen de-personalisierten persönlichen Daten (4) an die Servereinrichtung (2) überträgt und einen Rückschluss von de-personalisierten persönlichen Daten (4) auf der Servereinrichtung (2) auf den Übertragungspfad von der Rechnereinheit (3) unmöglich macht. 12. Personal data network (1, 28) according to any one of the preceding claims, characterized in that between the user assigned to the computer unit (3) and the server device (2) a transmission path separating device (9) interposed, which the from the computer unit (3) transmits transmitted de-personalized personal data (4) to the server device (2) and makes it impossible to draw de-personalized personal data (4) on the server device (2) onto the transmission path from the computer unit (3).
13. Persönliches Daten-Netzwerk (1 ,28) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass für eine Registrierung des Nutzers die dem Nutzer zugeordnete Rechnereinheit (3) über Steuerlogik verfügt, welche 13. Personal data network (1, 28) according to any one of the preceding claims, characterized in that for a registration of the user assigned to the user computer unit (3) has control logic which
a) eine Telefonnummer der Rechnereinheit (3) aussendet, a) sends out a telephone number of the computer unit (3),
b) einen Code zur Authentifizierung der Rechnereinheit (3) empfängt und b) receives a code for authentication of the computer unit (3) and
c) erst nach dem Empfang des Codes zur Authentifizierung der Rechnereinheit (3) Daten zur Person des Nutzers aufnimmt, welche dann in der Rechnereinheit (3) gespeichert werden. c) only after receiving the code for authentication of the computer unit (3) receives data on the person of the user, which are then stored in the computer unit (3).
14. Das persönliche Daten-Netzwerk (1 ,28) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die dem Nutzer zugeordnete Rechnereinheit (3) über Steuerlogik verfügt, 14. The personal data network (1, 28) according to any one of the preceding claims, characterized in that the user assigned to the computer unit (3) has control logic,
a) welche a) which
aa) nach dem Übertragen der de-personalisierten persönlichen Daten (4) von der Servereinrichtung (2) an die Rechnereinheit (3) und/oder die Unterstützer- Rechnereinrichtung (10) und/oder  aa) after transferring the de-personalized personal data (4) from the server device (2) to the computer unit (3) and / or the backup computer device (10) and / or
ab) nach einer Übermittlung der ZuOrdnungsvorschrift oder Kennzeichnung (5) an eine Unterstützer-Rechnereinrichtung (10)  ab) after a transmission of the ZuOrdnungsvorschrift or label (5) to a supporter computing device (10)
eine neue ZuOrdnungsvorschrift mit einer neuen Kennzeichnung ermittelt, c) welche dann die de-personalisierten persönlichen Daten (4) mitdetermines a new assignment rule with a new identifier, c) which then the de-personalized personal information (4) with
Kennzeichnung (5) von der Rechnereinheit (3) über das Netzwerk (1 ,28) an die Servereinrichtung (2) übermittelt. Label (5) from the computer unit (3) via the network (1, 28) to the server device (2) transmitted.
15. Daten-Netzwerk (1 ,28) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die ZuOrdnungsvorschrift an eine einer Vertrauensperson zugeordnete Vertrauensperson-Rechnereinheit (12) übermittelt wird und der Vertrauensperson- Rechnereinheit (12) ein zumindest teilweiser Zugriff auf die de-personalisierten persönlichen Daten und deren Umwandlung in personalisierte persönliche Daten ermöglicht wird. 15. Data network (1, 28) according to one of the preceding claims, characterized in that the ZuOrdnungsvorschrift is transmitted to a trusted person trust person computer unit (12) and the trusted person computer unit (12) an at least partial access to the de -personalized personal data and their transformation into personalized personal data.
16. Persönliches Daten-Netzwerk (1 ,28) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die de-personalisierten persönlichen Daten (4) hinsichtlich des Nutzers 16. personal data network (1, 28) according to any one of the preceding claims, characterized in that the de-personalized personal data (4) in terms of the user
a) das Geburtsjahr, a) the year of birth,
b) das Geschlecht, b) the gender,
c) die ethnische Zugehörigkeit c) Ethnicity
d) die Zugehörigkeit zu einer Rasse und/oder d) belonging to a race and / or
e) das Land des Wohnorts e) the country of residence
beinhalten. include.
17. Persönliches Daten-Netzwerk (1 ,28) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Rechnereinheit (3) eine tragbare Rechnereinheit und vorzugsweise ein Smartphone oder Tablet-Computer ist. 17. Personal data network (1, 28) according to one of the preceding claims, characterized in that the computer unit (3) is a portable computer unit and preferably a smartphone or tablet computer.
18. Persönliches Daten-Netzwerk (1 ,28) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Steuerlogik der Servereinrichtung ausgelegt ist, um aus den übermittelten, de-personalisierten Daten automatische Nachrichten an den Nutzer oder einer anderweitigen, vorher bestimmten Person, z.B. Arzt oder Gesundheitspersonal, zu erzeugen. A personal data network (1, 28) according to any one of the preceding claims, characterized in that the control logic of the server means is adapted to automatically send messages from the transmitted, de-personalized data to the user or other predetermined person, eg Doctor or health care staff to produce.
19. System umfassend ein persönliches Daten-Netzwerk (1 ,28) nach einem der Ansprüche 1 bis 18 und eine Vitaldaten-Erfassungseinrichtung (30). 19. System comprising a personal data network (1, 28) according to one of claims 1 to 18 and a vital data acquisition device (30).
20. System nach Anspruch 19, dadurch gekennzeichnet, dass die Vitaldaten- Erfassungseinrichtung (30) einen oder mehrere Sensoren zur Erfassung von Vitaldaten umfasst. 20. System according to claim 19, characterized in that the vital data detection device (30) comprises one or more sensors for acquiring vital data.
21 . System nach Anspruch 20, dadurch gekennzeichnet, dass die Sensor mehrere aus der Gruppe der Sensoren zur Erfassung der Herzfrequenz, des Blutdrucks, des21. A system according to claim 20, characterized in that the sensor comprises a plurality of sensors for detecting the heart rate, the blood pressure, the
Blutzuckers, Herzschrittmacher, Fitnesstracker, Lagesensoren, Beschleunigungssensoren sind. Blood sugar, pacemakers, fitness trackers, position sensors, acceleration sensors are.
EP17712917.8A 2016-03-21 2017-03-21 Software having control logic for secure transmission of personal data via the internet from computers to the server, with secure storage of the data on servers Pending EP3433778A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CH00389/16A CH712285B1 (en) 2016-03-21 2016-03-21 Data network for converting personalized personal data into de-personalized personal data and transmission of the de-personalized data to a server.
PCT/CH2017/000030 WO2017161464A1 (en) 2016-03-21 2017-03-21 Software having control logic for secure transmission of personal data via the internet from computers to the server, with secure storage of the data on servers

Publications (1)

Publication Number Publication Date
EP3433778A1 true EP3433778A1 (en) 2019-01-30

Family

ID=56958695

Family Applications (1)

Application Number Title Priority Date Filing Date
EP17712917.8A Pending EP3433778A1 (en) 2016-03-21 2017-03-21 Software having control logic for secure transmission of personal data via the internet from computers to the server, with secure storage of the data on servers

Country Status (4)

Country Link
US (1) US20200272761A1 (en)
EP (1) EP3433778A1 (en)
CH (1) CH712285B1 (en)
WO (1) WO2017161464A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230177190A1 (en) * 2021-12-03 2023-06-08 Dell Products L.P. Systems and methods for transferring information handling systems
CN115499283A (en) * 2022-07-29 2022-12-20 天翼云科技有限公司 Editable intelligent Internet of things system

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9920644D0 (en) * 1999-09-02 1999-11-03 Medical Data Service Gmbh Novel method
US20020194378A1 (en) * 2001-04-05 2002-12-19 George Foti System and method of hiding an internet protocol (IP) address of an IP terminal during a multimedia session
CN100465977C (en) * 2003-03-20 2009-03-04 株式会社日本医疗数据中心 Information management system
US8380542B2 (en) * 2005-10-24 2013-02-19 CellTrak Technologies, Inc. System and method for facilitating outcome-based health care
US9355273B2 (en) * 2006-12-18 2016-05-31 Bank Of America, N.A., As Collateral Agent System and method for the protection and de-identification of health care data
WO2011035136A1 (en) * 2009-09-18 2011-03-24 Telesocial, Inc. Telecommunication service employing an electronic information repository storing social network user, developer, and mobile network operator information
WO2014050027A1 (en) * 2012-09-28 2014-04-03 パナソニック株式会社 Information management method and information management system
US20150127382A1 (en) * 2013-11-04 2015-05-07 NxTec Corporation Systems and methods for implementation of a virtual education hospital
US9942232B2 (en) * 2014-07-08 2018-04-10 Verily Life Sciences Llc User control of data de-identification
US20160147945A1 (en) * 2014-11-26 2016-05-26 Ims Health Incorporated System and Method for Providing Secure Check of Patient Records

Also Published As

Publication number Publication date
CH712285B1 (en) 2020-04-30
CH712285A1 (en) 2017-09-29
WO2017161464A1 (en) 2017-09-28
US20200272761A1 (en) 2020-08-27

Similar Documents

Publication Publication Date Title
US20230306425A1 (en) Data usage method, system, and program thereof employing blockchain network (bcn)
JP2022166318A (en) Medical information processing system
Baraybar When DNA is not available, can we still identify people? Recommendations for best practice
DE112012002514T5 (en) Procedures and systems to ensure compliance
DE112005000926T5 (en) Image data and data processing system for clinical trials
DE102008002920A1 (en) Systems and methods for clinical analysis integration services
EP3433778A1 (en) Software having control logic for secure transmission of personal data via the internet from computers to the server, with secure storage of the data on servers
DE112019002930T5 (en) DEVICE, METHOD AND PROGRAM TO ASSIST PATIENT QUESTIONNAIRE CREATION
EP1854041B1 (en) Chip card for a communications device, communications device and method for managing user-specific data
Keyes et al. Human Decedent Identification Unit: identifying the deceased at a South African medico-legal mortuary
US20130290632A1 (en) Portable device for secure storage of user provided data
DE202023101305U1 (en) An intelligent health and fitness data management system using artificial intelligence with IoT devices
Heidari et al. Planning for future provision of dental services in prison: an international proposal of two systems
Murray et al. The history and use of the National Missing and Unidentified Persons System (NamUs) in the identification of unknown persons
CH709951B1 (en) A computer-implemented patient data system and method which makes use thereof.
JP7100058B2 (en) Methods performed by computer systems for first or second category of human biometrics
DE102017217161B4 (en) Medical-technical system and method for automatically performing a medical-technical measurement as well as a combination of medical-technical systems, a computer program product and a computer-readable medium
Bogdanov et al. Modern Medicine: Issues And Prospects
DE10256094B4 (en) Device and method for detecting in particular patient-specific data
DE202021001536U1 (en) Secured communication and assistance system
DE102021002201A1 (en) Secured communication and assistance system
DE19951070A1 (en) Verification device for health insurance cards, uses remote transfer connection for receiving the health insurance identity stored on a health insurance card
DE202021102197U1 (en) Test device and test system for performing a self-test and computer program product therefor
DE102018005746A1 (en) Medical emergency data access arrangement
Rosemberg et al. MonDossierMedical. ch: An Efficient Tool for Sharing Medical Data Between Patients and Doctors

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20180921

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

RIC1 Information provided on ipc code assigned before grant

Ipc: G06F 19/00 20180101AFI20170929BHEP

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

17Q First examination report despatched

Effective date: 20200722

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS