WO2003034294A2 - Datenverarbeitungssystem für patientendaten - Google Patents

Datenverarbeitungssystem für patientendaten Download PDF

Info

Publication number
WO2003034294A2
WO2003034294A2 PCT/EP2002/011305 EP0211305W WO03034294A2 WO 2003034294 A2 WO2003034294 A2 WO 2003034294A2 EP 0211305 W EP0211305 W EP 0211305W WO 03034294 A2 WO03034294 A2 WO 03034294A2
Authority
WO
WIPO (PCT)
Prior art keywords
data
patient
health
health data
processing system
Prior art date
Application number
PCT/EP2002/011305
Other languages
English (en)
French (fr)
Other versions
WO2003034294A3 (de
Inventor
Christian Thielscher
Martin GÖTTFRIED
Simon Umbreit
Frank Boegner
Jochen Haack
Nikolai Schroeders
Original Assignee
Symbasis Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from DE10209780A external-priority patent/DE10209780B4/de
Application filed by Symbasis Gmbh filed Critical Symbasis Gmbh
Priority to JP2003536953A priority Critical patent/JP2005505863A/ja
Priority to US10/492,298 priority patent/US20050043964A1/en
Priority to CA002462981A priority patent/CA2462981A1/en
Priority to EP02774694A priority patent/EP1451736A2/de
Publication of WO2003034294A2 publication Critical patent/WO2003034294A2/de
Publication of WO2003034294A3 publication Critical patent/WO2003034294A3/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H10/00ICT specially adapted for the handling or processing of patient-related medical or healthcare data
    • G16H10/60ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records
    • G16H10/65ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records stored on portable record carriers, e.g. on smartcards, RFID tags or CD

Definitions

  • the invention relates to a data processing system for processing patient data, which comprise person-identifying personal data of a respective patient and associated health data, the system containing one or more central points, each with a database storing the health data and terminal devices connected to the database, via the health data can be read by patients from the database and / or read into the same.
  • the invention is therefore based on the technical problem of providing a new type of data processing system for processing patient data, in which the health data are stored in the central database with high protection against unauthorized access.
  • the invention solves this problem by providing a data processing system with the features of claim 1.
  • the health data are stored in the respective central database without being assigned to personal data, so that unauthorized persons cannot read the health data from the database is to assign them to specific people.
  • the authorized retrieval of a patient's health data requires the entry of a data record identification code assigned to him.
  • this code can be used to selectively read an associated health data record from the central database, this code is decoupled from personal data, ie an assignment of the read data record to a specific person is not possible using this code alone. In this way it can be achieved that the assignment of read-out health data to a specific person is not possible without the participation or consent of the person concerned.
  • appropriate authorization means can be made available to the patient, with which they can enable a practitioner, for example, to read the desired health data from the central database with the aid of the associated data record identification code.
  • the data record identification code required for calling up a respective health data record includes a patient card code stored on an electronic patient card and a patient identification code to be entered by the patient.
  • a data retrieval therefore requires both the provision of the electronic patient card by the patient and the input of his patient identification code, i.e. the data retrieval is dependent on the patient's double participation.
  • the data record identification code includes a patient card code stored on an electronic patient card and a practitioner identification code which identifies the querying practitioner. Since the retrieval of health data also requires the entry of the practitioner identification code in this way, the system can monitor which practitioner requested health data and when.
  • an encrypted transmission of the data record identification code and / or an encrypted transmission of the health data retrieved from the central database is provided.
  • This counteracts an unauthorized interception of the data record identification code or the health data retrieved from the database and thus further increases data security.
  • a system developed according to claim 5 gives the terminal user, in particular a treating doctor, a time-limited authorization to read new or updated health data of a patient into the central database following a registration or readout procedure recognized as authorized on the basis of the data record identification code, on the latter Implementation the patient has to participate. This measure enables the practitioner to enter new health data in the central database within a certain period of time, for example a few weeks or months after a treatment appointment, without the patient having to be present for this.
  • the electronic patient card contains a person-identifying picture. The practitioner can compare this image with the person presenting the card to him, which counteracts misuse of the card.
  • a pseudonymization computer is provided in the central location, physically separate from the central database, ie without an online connection to it.
  • the pseudonymization computer contains an allocation table of person-identifying data on the one hand and data record identification codes on the other hand.
  • these, together with person-identifying data are preferably transmitted in encrypted form to the pseudonymization computer of the central office, which then exchanges the person-identifying data for the associated data record identification code and the latter together with the received health data for offline transmission to the provides a central database where they can then be stored and retrieved.
  • the physical separation of the pseudonymization computer and the database makes it possible for unauthorized persons to Chen break in the database of the database impossible to access the health data assigned to certain people.
  • an input computer that is physically separate from the pseudonymization computer is provided in the central office.
  • the end devices on the user side are connected to this via an online connection.
  • the input computer preferably receives encrypted from the terminals and e.g. with the above-mentioned, time-limited read-in authorization sent health data to be stored in the central database together with the associated person-identifying data and makes this available on the output side for offline forwarding to the pseudonymization computer.
  • the pseudonymization computer is completely physically separated from the user-side end devices and the associated data network, so that the assignment table of person-identifying data to data set identification codes stored in it is absolutely secured against unauthorized online access.
  • a certain part of the health data belonging to the patient and stored in the central database is stored on the patient data card so that it can be called up directly on the patient data card. This gives a practitioner e.g. in an emergency, the option of using the card to obtain knowledge of this data about the patient's state of health if the patient's involvement required to query the central database is not possible at that moment.
  • an emergency call center is available according to claim 10, which is authorized to request and read out to the central office in order to carry out emergency readout processes with which health data of a patient can be made available to a practitioner in emergency situations if the patient is unable to perform normal data retrieval with the practitioner.
  • the practitioner must identify himself as authorized to the emergency call center using appropriate authentication means.
  • Fig. 1 is a schematic block diagram of the for reading
  • Fig. 2 is a schematic block diagram for a variant of the system of Fig. 1 and
  • Fig. 3 is a schematic block diagram of the for reading
  • FIG. 1 schematically illustrates the components of a data processing system relevant for reading data, for processing patient data, and a data reading process carried out with them.
  • the system includes a data network which comprises a plurality of end devices, typically a plurality of end devices, of which only one end device 1 in the form of a PC is shown in FIG. 1, which are connected to a central office 3 via a respective online connection 2 ,
  • the latter contains an output computer 4, which functions as a central health database.
  • the health data of a respective patient are stored in the health database 4 as a health data record, each of which can be called up together with a respectively assigned data record identification code.
  • the health data can be electronic prescriptions, medical reports, laboratory data, X-rays, etc.
  • the data record identification code is selected in such a way that from its knowledge alone no conclusions can be drawn about the patient's identity. This ensures that it is not possible for an unauthorized person to gain knowledge of the persons for whom health data are stored and which health data belong to a particular person by unauthorized reading of data from the central database 4.
  • the system includes an electronic patient card 5 for each patient, on which a patient card code 5a is stored, which can also be referred to as a card number.
  • a patient card code 5a is stored, which can also be referred to as a card number.
  • every patient as a system user receives a personal identification number (PIN) known only to him, which ensures that the health data retrieved refer to him, i.e. an unauthorized possession of the patient card 5 does not yet enable access to health data.
  • PIN personal identification number
  • another person-specific code can alternatively be used, e.g. one that contains a specific biometric personal characteristic.
  • the card number 5a and the PIN together form the data record identification code DIC, with which the relevant health data record is stored in the central database 4 and which is to be transmitted for successful data retrieval.
  • the patient card 5 is on a terminal 1, for example in a treating Doctor stands, inserted to read card number 5a, and the patient also enters his PIN.
  • the terminal 1 transmits the card number 5a and the PIN as the data record identification code DIC to the central station 3 in order to request the return of the associated health data record.
  • the central office 3 uses its database output computer 4 to check the transmitted DIC for agreement with one of the stored DICs and, if the agreement is found, sends the associated health data record GD (DIC) to the requesting terminal 1. Even if this data transmission were intercepted by an unauthorized person, it would be the latter is unable to assign the intercepted data GD (DIC) to a specific person since it does not contain any personally identifying information. Even an unauthorized interception of the transmission of the DIC would at most enable an unauthorized person to read the associated health data record GD (DIC) from the central database 4, but he would have no information as to which person it belongs to.
  • the patient card 5 can be issued, for example, by a so-called trust center, ie a facility that is authorized to issue safety-critical certificates, by a health insurance company or a public facility. Overall, this consequently implements a data processing system for processing patient data that is adequately secured against unauthorized data access. Depending on requirements, further security enhancing measures can be implemented, some of which are described below. It can be provided as a security-increasing option that the patient card 5 contains a person-identifying image 5b of the patient, so that the practitioner can check whether the card 5 handed over to him by the patient is actually his own, which prevents misuse and confusion.
  • FIG. 2 illustrates a variant of the system from FIG. 1, which additionally comprises an electronic doctor card 6 with a doctor identification code 6a stored thereon for the respective doctor, such as a doctor.
  • a request for health data of a patient from the central database 4 takes place as in the case of FIG. 1, with the exception that the practitioner must also insert his card 6 into the terminal 1, which then reads the practitioner identification code 6a and in addition to the patient identification code 5a and the patient's PIN to the central office 3.
  • This measure enables the system to determine which doctor or other system user, such as a pharmacist or a cost accounting office, accessed soft data at what point in time.
  • the data transmission on the online connection 2 is preferably, although not necessarily, in encrypted form, and preferably both the transmission of the requesting code data 5a, PIN, 6a and the transmitted health data GD.
  • Conventional cryptographic methods can be used for this.
  • a particularly favorable implementation with a very high level of data security for the present application provides for the implementation of an encryption algorithm 5c in the electronic patient card 5, as indicated by the dashed line in FIG. 2 as an option.
  • the patient card 5 is designed such that after it has been plugged into the terminal 1, it reads in the PIN entered by the patient and, if present, the dentist identification code 6a.
  • the encryption algorithm 5c generates, for example, using a random code
  • This is an encrypted piece of information which contains the patient card number 5a, the PIN and the practitioner identification code 6a, for example a patient card number, in encrypted form and which is then transmitted from the terminal 1 to the central point 3.
  • An associated decryption algorithm is implemented there, which decrypts the transmitted information.
  • This system solution has the advantage that the patient card number 5a cannot be read out and can therefore be implemented in the patient card 5 in a manner that remains completely secret. Thus, the patient card number 5a cannot be read by the card reader of the terminal 1, and an improper interception of the patient card number 5a on the terminal 1 is impossible.
  • the central station 3 transmits the health data GD encrypted with the non-secret code key to the requesting terminal 1, which decrypts it with the secret code key, which is e.g. is composed of the secret code keys of the patient card 5 and, if applicable, the treatment card 6, according to which the health data GD can be displayed or evaluated.
  • FIG. 3 illustrates the components of a system solution that is particularly advantageous in terms of high data security for reading new health data from a respective terminal 1 into the central database 4 of the central office 3.
  • a pseudonymization computer 7 also anonymization, called computer, and an input computer 8 is provided.
  • the pseudonymization computer 7 is physically separated both from the input computer 8 and from the output computer 4.
  • Data is transferred from the input computer 8 to the pseudonymization computer 7 or from the pseudonymization computer 7 to the output computer 4 solely via a respective offline connection 10, 11, which are implemented, for example, by a conventional batch or batch operation. This prevents any unauthorized online access to the pseudonymization computer 7.
  • the pseudonymization computer 7 has the main task of exchanging incoming data, which includes person-identifying data and associated health data, for the person-identifying data against the associated data record identification code of the patient and thus on the output side completely pseudonymized or anonymized health data for storage in the central database 4 to provide.
  • the health data can then be assigned to a respective patient again on the basis of the data record identification code stored with them after an authorized data call.
  • new health data of a patient together with personal data identifying him are transmitted by the practitioner via his terminal 1 and an online connection 9 to the central office 3.
  • the online connection 9 can be the online connection 2, which is also used for data retrieval, or another data transmission connection of the network.
  • the input computer 8 receives the incoming personal and health data and makes them available on the output side for offline transmission to the pseudonymization computer 7.
  • the pseudonymization computer 7 receives the patient data transmitted offline and, as already briefly explained above, replaces the personal data contained therein with the data record identification code belonging to the patient concerned, in order to provide the health data together with the associated data record identification code on the output side.
  • an assignment or translation table is implemented in the pseudonymization computer 7, which assigns the personal data of a patient, such as name and date of birth, to the corresponding data record identification code of this patient.
  • the data is transmitted in a format that allows this automatic deletion of the personal data and replacement by the data record identification code.
  • the health data with the code are then fed to the central database 4 via the associated offline connection 11 and read in there, ie stored.
  • the health data for a specific patient can then be called up from the central database 4 by means of an authorized query process which includes the transmission of the correct data record identification code DIC, as described above with reference to FIGS. 1 and 2.
  • the system is designed in a security-enhanced variant in such a way that the central unit 3 together with the health data GD, which the practitioner provides for a Session with the patient during his or her presence, transmits a time-limited read-in authorization code, preferably in encrypted form. It remains valid for a predeterminable period of time of, for example, a few weeks or months, and during this period gives the practitioner the option of transferring health data to the central database 4 in the manner described above for FIG. This procedure differs from the above-described read-in method according to the basic variant of FIG.
  • the read-in authorization code belonging to the patient in question is transmitted from the terminal 1 to the input computer 8 and from there offline to the pseudonymization computer 7 , Using an assignment table stored in it, the latter then replaces the time-limited read-in authorization code with the patient's data record identification code. If the practitioner wants to read health data into the central database after the authorization period has expired, this must be done in another secured form, for example by transmission by post and subsequent electronic processing in the central office 3 or by another, highly secure electronic data transmission.
  • the procedure described for FIG. 3 can be modified in order to achieve increased data security in such a way that the data transmission on the online connection 9 is encrypted, e.g. with one of the encryption algorithms explained above for FIGS. 1 and 2.
  • the system design described so far enables data to be retrieved from the central database 4 only while the patient is at the clinician's.
  • the system comprises one or more suitable emergency measures.
  • a first emergency measure provides for a part of the health data of a patient that is usually required for emergency treatment to be stored and retrievably stored directly on the electronic patient card 5, such as data about the blood group, allergies, currently used medications, emergency-relevant diagnoses, etc. In an emergency, the practitioner can then access the relevant data using the patient card alone.
  • the system can include an emergency call center in the manner of a so-called call center, which has the authorization to access at least one emergency-relevant part of the health data of each patient stored in the central database 4.
  • the practitioner has to authenticate himself to this emergency call center, for which every practitioner receives a corresponding authentication code. After authentication, he then receives the required emergency health data from her. To ensure adequate data security, the patient must expediently agree to this emergency access authorization for his health data and be informed about each such access afterwards.
  • the card holder can block the card in a conventional, e.g. can be initiated to block credit cards in a known manner, for example by calling the central office, which then appropriately checks the authorization of the caller, e.g. by calling back and / or querying security information known only to the card owner.

Abstract

Die Erfindung bezieht sich auf ein Datenverarbeitungssystem zur Verarbeitung von Patientendaten, die personenidentifizierende Daten eines jeweiligen Patienten und zugehörige Gesundheitsdaten (GD) umfassen, mit einer Zentralstelle (3), die eine die Gesundheitsdaten speichernde Datenbank (4) beinhaltet, und mit Endgeräten (1), die mit der Zentralstelle zum Abrufen von Gesundheitsdaten aus der Datenbank und/oder zum Einlesen von Gesundheitsdaten in die zentrale Datenbank verbunden sind. Erfindungsgemäss sind die Gesundheitsdaten in der zentralen Datenbank ohne Zuordnung zu Personendaten gespeichert, wobei dem Gesundheitsdatensatz eines jeweiligen Patienten ein Datensatzidentifikationscode (DIC) zugeordnet ist, dessen Ein-gabe zum Abruf des Gesundheitsdatensatzes notwendig ist. Verwendung z.B. für ein System mit elektronischen Patientenak-ten.

Description

Daten verarbeitungssvstem für Patientendaten
Die Erfindung bezieht sich auf ein Datenverarbeitungssystem zur Verar- beitung von Patientendaten, die personenidentifizierende Personendaten eines jeweiligen Patienten und zugehörige Gesundheitsdaten umfassen, wobei das System eine oder mehrere Zentralstellen jeweils mit einer die Gesundheitsdaten speichernden Datenbank und mit der Datenbank verbundene Endgeräte beinhaltet, über die Gesundheitsdaten von Patienten aus der Datenbank ausgelesen und/oder in selbige eingelesen werden können.
In jüngerer Zeit nehmen Bestrebungen im Gesundheitswesen zu, die Behandlung von Patienten durch eine optimierte Verarbeitung der Ge- sundheitsdaten, d.h. der den Gesundheitszustand des jeweiligen Patienten beschreibenden Daten, kosteneffizient zu verbessern. Hierzu erweist sich ein vernetztes Datenverarbeitungssystem als vorteilhaft, durch das verschiedene Behandler, wie Ärzte, sowie Apotheker und Kostenträger, wie Krankenkassen, effizienteren Zugriff auf benötigte Gesundheitsdaten erhalten können. Solche Systeme sind derzeit unter dem Stichwort „elektronische Patientenakte" im Gespräch. Gesundheitsdaten sind allerdings hochsensibel und daher einem sehr strengen Datenschutz zu unterstellen, um zu vermeiden, dass nicht autorisierte Behandler oder andere Personen Zugriff auf gespeicherte Gesundheitsdaten erhalten können.
Der Erfindung liegt daher als technisches Problem die Bereitstellung eines neuartigen Datenverarbeitungssystems zur Verarbeitung von Patientendaten zugrunde, bei dem die Gesundheitsdaten in der zentralen Datenbank mit hohem Schutz vor nicht autorisiertem Zugriff abgespei- chert sind.
Die Erfindung löst dieses Problem durch die Bereitstellung eines Datenverarbeitungssystems mit den Merkmalen des Anspruchs 1. Bei diesem System sind die Gesundheitsdaten in der jeweiligen zentralen Daten- bank ohne Zuordnung zu Personendaten gespeichert, so dass es Unbefugten selbst bei Auslesen der Gesundheitsdaten aus der Datenbank nicht möglich ist, diese bestimmten Personen zuzuordnen.
Das berechtigte Abrufen von Gesundheitsdaten eines jeweiligen Patien- ten erfordert die Eingabe eines ihm zugeordneten Datensatzidentifikationscodes. Durch diesen Code kann zwar gezielt ein zugehöriger Gesundheitsdatensatz aus der zentralen Datenbank ausgelesen werden, jedoch ist dieser Code von Personendaten entkoppelt, d.h. eine Zuordnung des ausgelesenen Datensatzes zu einer bestimmten Person ist anhand dieses Codes allein nicht möglich. Auf diese Weise lässt sich erreichen, dass die Zuordnung von ausgelesenen Gesundheitsdaten zu einer bestimmten Person nicht ohne Mitwirkung bzw. Zustimmung der betreffenden Person möglich ist. Dazu können den Patienten entsprechende Autorisierungsmittel zur Verfügung gestellt werden, mit denen sie z.B. einen Behandler in die Lage versetzen können, die gewünschten Gesundheitsdaten unter Zuhilfenahme des zugehörigen Datensatzidentifikationscodes aus der zentralen Datenbank auszulesen. Erfin- dungsgemäß wird somit eine effiziente, zentralisierte Gesundheitsdatenhaltung realisiert, die andererseits einen sehr hohen Schutz davor bietet, dass Unberechtigte Zugang zu personenbezogenen Gesundheitsdaten erhalten.
In einer Weiterbildung der Erfindung nach Anspruch 2 beinhaltet der zum Abrufen eines jeweiligen Gesundheitsdatensatzes erforderliche Datensatzidentifikationscode einen auf einer elektronischen Patientenkarte gespeicherten Patientenkartencode und einen vom Patienten einzuge- benden Patientenidentifikationscode. Ein Datenabruf erfordert daher sowohl die Bereitstellung der elektronischen Patientenkarte durch den Patienten als auch dessen Eingabe seines Patientenidentifikationscodes, d.h. der Datenabruf ist von einer doppelt gesicherten Mitwirkung des Patienten abhängig.
In einer Weiterbildung der Erfindung nach Anspruch 3 beinhaltet der Datensatzidentifikationscode einen auf einer elektronischen Patientenkarte gespeicherten Patientenkartencode und einen Behandleridentifikations- code, der den abfragenden Behandler identifiziert. Indem auf diese Wei- se das Abrufen von Gesundheitsdaten auch die Eingabe des Behandler- identifikationscodes erfordert, kann das System überwachen, welcher Behandler wann Gesundheitsdaten abgefragt hat.
In einer weiteren Ausgestaltung der Erfindung ist gemäß Anspruch 4 ei- ne verschlüsselte Übertragung des Datensatzidentifikationscodes und/oder eine verschlüsselte Übertragung der aus der zentralen Datenbank abgerufenen Gesundheitsdaten vorgesehen. Dies wirkt einem unberechtigten Abfangen des Datensatzidentifikationscodes bzw. der aus der Datenbank abgerufenen Gesundheitsdaten entgegen und erhöht somit weiter die Datensicherheit. Ein nach Anspruch 5 weitergebildetes System gibt dem Endgerätenutzer, insbesondere einem behandelnden Arzt, eine zeitbegrenzte Berechtigung zum Einlesen neuer bzw. aktualisierter Gesundheitsdaten eines Patienten in die zentrale Datenbank im Anschluss an eine anhand des Datensatzidentifikationscodes, als berechtigt erkannte Anmelde- bzw. Ausleseprozedur, an dessen Durchführung der Patient mitzuwirken hat. Diese Maßnahme ermöglicht es dem Behandler, neue Gesundheitsdaten innerhalb eines gewissen Zeitraums von z.B. wenigen Wochen oder Monaten nach einem Behandlungstermin in die zentrale Datenbank ein- zugeben, ohne dass hierfür der Patient anwesend sein muss.
In einer Weiterbildung der Erfindung nach Anspruch 6 enthält die elektronische Patientenkarte ein personenidentifizierendes Bild. Der Behandler kann dieses Bild mit der ihm die Karte überreichenden Person auf Identität abgleichen, was einem Missbrauch der Karte entgegenwirkt.
Bei einem nach Anspruch 7 weitergebildeten System ist in der Zentralstelle ein Pseudonymisierungsrechner physikalisch getrennt von der zentralen Datenbank vorgesehen, d.h. ohne eine online-Verbindung mit dieser. Der Pseudonymisierungsrechner beinhaltet eine Zuordnungstabelle von personenidentifizierenden Daten einerseits und Datensatzidentifikationscodes andererseits. Zum Einlesen von Gesundheitsdaten eines jeweiligen Patienten in die zentrale Datenbank werden diese zusammen mit personenidentifizierenden Daten vorzugsweise verschlüs- seit zum Pseudonymisierungsrechner der Zentralstelle übertragen, der daraufhin die personenidentifizierenden Daten gegen den zugehörigen Datensatzidentifikationscode austauscht und letzteren zusammen mit den empfangenen Gesundheitsdaten zur offline-Übertragung an die zentrale Datenbank bereitstellt, wo sie anschließend abrufbar abgespei- chert werden. Die physikalische Trennung von Pseudonymisierungsrechner und Datenbank macht es Ungefugten selbst bei einem erfolgrei- chen Einbruch in den Datenbestand der Datenbank unmöglich, an die Gesundheitsdaten zugeordnet zu bestimmten Personen zu gelangen.
In einer weiteren Ausgestaltung der Erfindung ist nach Anspruch 8 in der Zentralstelle ein vom Pseudonymisierungsrechner physikalisch getrennter Eingangsrechner vorgesehen. An diesen sind die nutzerseitigen Endgeräte über eine online-Verbindung angeschlossen. Der Eingangsrechner empfängt von den Endgeräten vorzugsweise verschlüsselt und z.B. mit der oben erwähnten, zeitbegrenzten Einleseberechtigung ge- schickte, in der zentralen Datenbank abzuspeichernde Gesundheitsdaten zusammen mit den zugehörigen personenidentifizierenden Daten und stellt diese ausgangsseitig zur offline-Weiterleitung an den Pseudonymisierungsrechner bereit. Auf diese Wiese ist der Pseudonymisierungsrechner von den nutzerseitigen Endgeräten und dem zugehörigen Datennetz vollständig physikalisch getrennt, so dass die in ihm abgelegte Zuordnungstabelle von personenidentifizierenden Daten zu Datensatzidentifizierungscodes vor missbräuchlichen online-Zugriffen absolut gesichert ist.
In einer Weiterbildung der Erfindung nach Anspruch 9 ist auf der Patientendatenkarte ein gewisser Teil der zu dem Patienten gehörigen, in der zentralen Datenbank gespeicherten Gesundheitsdaten direkt auf der Patientendatenkarte abrufbar gespeichert. Dies gibt einem Behandler z.B. in einem Notfall die Möglichkeit, anhand der Karte Kenntnis dieser Da- ten über den Gesundheitszustand des Patienten zu erhalten, wenn die zum Abfragen der zentralen Datenbank erforderliche Mitwirkung des Patienten in diesem Moment nicht möglich ist.
In einer weiteren, für Notfälle relevanten Weiterbildung der Erfindung ist nach Anspruch 10 eine Notfallrufzentrale vorhanden, die der Zentralstelle gegenüber anfrage- und ausleseberechtigt ist, um Notfall-Auslesevorgänge durchzuführen, mit denen Gesundheitsdaten eines Patienten einem Behandler in Notfallsituationen zur Verfügung gestellt werden können, wenn der Patient nicht in der Lage ist, mit dem Behandler einen normalen Datenabruf vorzunehmen. Der Behandler hat sich für diese Fälle unter Verwendung entsprechender Authentikationsmittel gegen- über der Notfallrufzentrale als berechtigt auszuweisen.
Vorteilhafte Ausführungsformen der Erfindung sind in den Zeichnungen dargestellt und werden nachfolgend beschrieben. Hierbei zeigen:
Fig. 1 ein schematisches Blockschaltbild der zum Auslesen von
Daten relevanten Komponenten eines Datenverarbeitungssystems zur Verarbeitung von Patientendaten,
Fig. 2 ein schematisches Blockdiagramm für eine Variante des Systems von Fig. 1 und
Fig. 3 ein schematisches Blockdiagramm der zum Einlesen von
Daten relevanten Komponenten der Systeme von Fig. 1 bzw. Fig. 2.
Fig. 1 veranschaulicht schematisch die zum Auslesen von Daten relevanten Komponenten eines Daten Verarbeitungssystems zur Verarbeitung von Patientendaten und einen mit diesen durchgeführten Datenauslesevorgang. Das System beinhaltet ein Datennetz, das mehrere Endgeräte, typischerweise eine Vielzahl von Endgeräten, von denen in Fig. 1 nur stellvertretend ein Endgerät 1 in Form eines PC dargestellt ist, umfasst, die über eine jeweilige online-Verbindung 2 mit einer Zentralstelle 3 verbunden sind. Letztere enthält einen Ausgangsrechner 4, der als zentrale Gesundheitsdatenbank fungiert. Je nach Bedarf können auch mehrere solcher Zentralstellen mit jeweiliger Datenbank in einer Realisierung als verteiltes System vorgesehen sein. In der Gesundheitsdatenbank 4 sind die Gesundheitsdaten eines jeweiligen Patienten als Gesundheitsdatensatz zusammen mit je einem eigens zugeordneten Datensatzidentifizierungscode abrufbar abgelegt. Die Gesundheitsdaten können elektronische Rezepte, Arztbriefe, Labor- daten, Röntgenbilder usw. sein. Der Datensatzidentifizierungscode ist so gewählt, dass aus dessen Kenntnis allein keinerlei Rückschluss auf die Identität des Patienten möglich ist. Damit ist sichergestellt, dass es einem Unbefugten nicht möglich ist, durch unberechtigtes Auslesen von Daten aus der zentralen Datenbank 4 Kenntnis darüber zu erhalten, für welche Personen Gesundheitsdaten gespeichert sind und welche Gesundheitsdaten zu einer jeweiligen Person gehören.
Diese Zuordnung ausgelesener Gesundheitsdaten zu bestimmten Personen erfordert vielmehr, abgesehen von weiter unten beschriebenen Notfällen, eine aktive Mitwirkung des Patienten, wozu das System entsprechend ausgelegt ist. In der in Fig. 1 gezeigten Grundvariante um- fasst das System zu diesem Zweck für jeden Patienten eine elektronische Patientenkarte 5, auf der ein Patientenkartencode 5a gespeichert ist, der auch als Kartennummer bezeichnet werden kann. Zur weiteren Sicherheitserhöhung erhält jeder Patient als Systemnutzer eine nur ihm bekannte Personenidentifikationsnummer (PIN), mit der sichergestellt wird, dass die abgerufenen Gesundheitsdaten sich auf ihn beziehen, d.h. ein unbefugter Besitz der Patientenkarte 5 ermöglicht noch keinen Gesundheitsdatenabruf. Statt einer solchen PIN kann alternativ auch ein anderer personenspezifischer Code verwendet werden, z.B. ein solcher, der ein spezifisches biometrisches Personenmerkmal beinhaltet.
Die Kartennummer 5a und die PIN bilden zusammen den Datensatzidentifikationscode DIC, mit dem zusammen der betreffende Gesund- heitsdatensatz in der zentralen Datenbank 4 abgespeichert ist und der für einen erfolgreichen Datenabruf zu übermitteln ist. Dazu wird die Patientenkarte 5 an einem Endgerät 1 , das z.B. bei einem behandelnden Arzt steht, zum Auslesen der Kartennummer 5a eingesteckt, und zusätzlich gibt der Patient seine PIN ein. Das Endgerät 1 übermittelt die Kartennummer 5a und die PIN als den Datensatzidentifizierungscode DIC an die Zentralstelle 3, um die Rückübermittlung des zugehörigen Ge- sundheitsdatensatzes anzufordern.
Die Zentralstelle 3 überprüft mit ihrem Datenbank-Ausgangsrechner 4 den übermittelten DIC auf Übereinstimmung mit einem der abgespeicherten DICs und sendet bei festgestellter Übereinstimmung den zuge- hörigen Gesundheitsdatensatz GD(DIC) zum anfragenden Endgerät 1. Selbst wenn diese Datenübertragung von einem Unbefugten abgehört würde, wäre dieser nicht in der Lage, die abgehörten Daten GD(DIC) einer bestimmten Person zuzuordnen, da sie keinerlei personenidentifizierende Information enthalten. Auch ein unbefugtes Abfangen der Ü- bertragung des DICs würde es einem Unbefugten höchstens ermöglichen, den zugehörigen Gesundheitsdatensatz GD(DIC) aus der zentralen Datenbank 4 auszulesen, er hätte aber keine Information darüber, zu welcher Person selbiger gehört.
Einem Unberechtigten ist es auch durch Eindringen in das Endgerätesystem 1 des Behandlers nicht möglich, die Anonymität der Daten zu durchbrechen, da dem Behandler und dessen Endgerät 1 weder die Patientenkartennummer 5a, noch die PIN des Patienten bekannt ist. Die Patienten karte 5 kann z.B. von einem sogenannten Trustcenter, d.h. ei- ner zur Ausgabe von sicherheitskritischen Zertifikaten zugelassenen Einrichtung, von einer Krankenkasse oder einer öffentlichen Einrichtung auf Antrag ausgegeben werden. Insgesamt realisiert dies folglich ein Datenverarbeitungssystem zur Verarbeitung von Patientendaten, das ausreichend gegen unbefugte Datenzugriffe gesichert ist. Je nach Bedarf sind weitere Sicherheitserhöhende Maßnahmen realisierbar, von denen einige nachfolgend beschrieben werden. So kann als eine Sicherheitserhöhende Option vorgesehen sein, dass die Patientenkarte 5 ein personenidentifizierendes Bild 5b des Patienten enthält, so dass der Behandler daran überprüfen kann, ob die ihm vom Patienten überreichte Karte 5 auch tatsächlich seine eigene ist, was Missbrauch und Verwechslungen vorbeugt.
Fig. 2 veranschaulicht eine Variante des Systems von Fig. 1 , die zusätzlich für den jeweiligen Behandler, wie einen Arzt, eine elektronische Behandlerkarte 6 mit darauf gespeichertem Behandleridentifikationscode 6a umfasst. Ein Anfragevorgang nach Gesundheitsdaten eines Patienten aus der zentralen Datenbank 4 läuft wie im Fall von Fig. 1 ab, mit der Ausnahme, dass zusätzlich der Behandler seine Karte 6 in das Endgerät 1 einzustecken hat, das daraufhin den Behandleridentifikationscode 6a liest und zusätzlich zum Patientenidentifikationscode 5a und der PIN des Patienten an die Zentralstelle 3 übermittelt. Durch diese Maßnahme kann über das System festgestellt werden, welcher Arzt oder andere Systemnutzer, wie ein Apotheker oder eine Kostenabrechnungsstelle, zu welchem Zeitpunkt auf weiche Daten zugegriffen hat.
In beiden gezeigten Systembeispielen erfolgt die Datenübertragung auf der online-Verbindung 2 vorzugsweise, wenngleich nicht zwingend, in verschlüsselter Form, und zwar bevorzugt sowohl die Übertragung der anfragenden Codedaten 5a, PIN, 6a als auch der übermittelten Gesundheitsdaten GD. Hierfür können herkömmliche kryptografische Methoden genutzt werden. Eine für den vorliegenden Anwendungsfall besonders günstige Realisierung mit sehr hoher Datensicherheit sieht die Implementierung eines Verschlüsselungsalgorithmus 5c in der elektronischen Patientenkarte 5 vor, wie in Fig. 2 als Option gestrichelt angedeutet. Die Patientenkarte 5 ist in diesem Fall so ausgelegt, dass sie nach Einste- cken in das Endgerät 1 die vom Patienten eingegebene PIN und, wenn vorhanden, den Behandleridentifikationscode 6a einliest. Der Verschlüsselungsalgorithmus 5c generiert z.B. unter Verwendung eines Zufallsco- des eine verschlüsselte Information, welche die Patientenkartennummer 5a, die PIN und den Behandleridentifikationscode 6a, z.B. eine Behand- lerkartennummer, in verschlüsselter Form enthält und die anschließend vom Endgerät 1 zur Zentralstelle 3 übermittelt wird. Dort ist ein zugehö- riger Entschlüsselungsalgorithmus implementiert, der die übermittelte Information entschlüsselt. Diese Systemlösung hat den Vorteil, dass die Patientenkartennummer 5a nicht auslesbar und damit vollständig geheim bleibend in die Patienten karte 5 implementiert werden kann. Somit kann die Patientenkartennummer 5a vom Kartenleser des Endgerätes 1 nicht ausgelesen werden, und ein missbräuchliches Abfangen der Patientenkartennummer 5a am Endgerät 1 ist unmöglich.
Zur Rückübermittlung der angeforderten Gesundheitsdaten kann z.B. eine Verschlüsselung nach einem herkömmlichen Verfahren benutzt werden, bei dem nur nutzerseitig ein geheimer Codeschlüssel ("private key") vorhanden ist, während zentralenseitig ein nicht-geheimer Codeschlüssel ("public key") genügt. Dazu sind in der Zentralstelle 3 die nichtgeheimen Codeschlüssel aller berechtigten Endgeräte 1 bzw. Behandler und der Datensatzidentifikationscodes als Pseudonym vorhanden. Die Zentralstelle 3 übermittelt die Gesundheitsdaten GD verschlüsselt mit dem nicht-geheimen Codeschlüssel an das anfordernde Endgerät 1 , das sie mit dem geheimen Codeschlüssel entschlüsselt, der sich z.B. aus den geheimen Codeschlüsseln der Patientenkarte 5 und ggf. der Behandlerkarte 6 zusammensetzt, wonach die Gesundheitsdaten GD an- gezeigt bzw. ausgewertet werden können.
Fig. 3 veranschaulicht die zum Einlesen neuer Gesundheitsdaten von einem jeweiligen Endgerät 1 in die zentrale Datenbank 4 der Zentralstelle 3 relevanten Komponenten einer bezüglich hoher Datensicherheit be- sonders vorteilhaften Systemlösung. Bei dieser Ausführungsform sind in der Zentralstelle 3 zusätzlich zum die Datenbank bildenden Ausgangsrechner 4 ein Pseudonymisierungsrechner 7, auch Anonymisierungs- rechner genannt, und ein Eingangsrechner 8 vorgesehen. Charakteristischerweise ist der Pseudonymisierungsrechner 7 physikalisch sowohl vom Eingangsrechner 8 als auch vom Ausgangsrechner 4 getrennt. Datenübertragungen erfolgen vom Eingangsrechner 8 zum Pseudonymisie- rungsrechner 7 bzw. vom Pseudonymisierungsrechner 7 zum Ausgangsrechner 4 allein über eine jeweilige offline- Verbindung 10, 11 , die z.B. durch einen herkömmlichen Batch- oder Stapelbetrieb realisiert sind. Dies verhindert jeglichen unbefugten online-Zugriff auf den Pseudonymisierungsrechner 7.
Der Pseudonymisierungsrechner 7 hat die hauptsächliche Aufgabe, von eingehenden Daten, die personenidentifizierende Daten und zugehörige Gesundheitsdaten umfassen, die personenidentifizierenden Daten gegen den jeweils zugehörigen Datensatzidentifizierungscode des Patien- ten auszutauschen und somit ausgangsseitig vollständig pseudonymi- sierte bzw. anonymisierte Gesundheitsdaten zur Abspeicherung in der zentralen Datenbank 4 bereitzustellen. Die Gesundheitsdaten können dann anhand des mit ihnen abgespeicherten Datensatzidentifizierungscodes nach einem berechtigten Datenabruf wieder einem jeweiligen Pa- tienten zugeordnet werden.
In einer Grundvariante des Systems werden neue Gesundheitsdaten eines Patienten zusammen mit ihn identifizierenden Personendaten vom Behandler über dessen Endgerät 1 und eine online-Verbindung 9 zur Zentralstelle 3 übermittelt. Bei der online-Verbindung 9 kann es sich um die auch zur Datenabfrage genutzte online-Verbindung 2 oder eine andere Datenübertragungsverbindung des Netzwerks handeln. Der Eingangsrechner 8 empfängt die eingehenden Personen- und Gesundheitsdaten und stellt sie ausgangsseitig zur offline-Übertragung an den Pseudonymisierungsrechner 7 bereit. Der Pseudonymisierungsrechner 7 empfängt die offline übertragenen Patientendaten und ersetzt, wie oben schon kurz erläutert, die darin enthaltenen Personendaten durch den zu dem betreffenden Patienten gehörigen Datensatzidentifikationscode, um ausgangsseitig die Gesund- heitsdaten zusammen mit dem zugehörigen Datensatzidentifikationscode bereitzustellen. Hierzu ist im Pseudonymisierungsrechner 7 eine Zu- ordnungs- bzw. Übersetzungstabelle implementiert, die den Personendaten eines Patienten, wie Name und Geburtsdatum, den entsprechenden Datensatzidentifizierungscode dieses Patienten zuordnet. Die Daten werden in einem Format übermittelt, das dieses automatische Löschen der Personendaten und Ersetzen durch den Datensatzidentifizierungscode zulässt. Anschließend werden die Gesundheitsdaten mit dem Code über die zugehörige offline-Verbindung 11 der zentralen Datenbank 4 zugeführt und dort eingelesen, d.h. gespeichert. Aus der zentralen Da- tenbank 4 können dann die Gesundheitsdaten für einen bestimmten Patienten durch einen berechtigten Abfragevorgang, der eine Übermittlung des richtigen Datensatzidentifikationscodes DIC beinhaltet, nach Bedarf abgerufen werden, wie oben anhand der Fig. 1 und Fig. 2 beschrieben.
Um einem Behandler nur für eine gewisse Zeit nach einer Untersuchung des Patienten ein Einlesen von Gesundheitsdaten in die zentrale Datenbank 4 zu ermöglichen, ist das System in einer sicherheitserhöhten Variante so ausgelegt, dass die Zentralstelle 3 zusammen mit den Gesundheitsdaten GD, die der Behandler für eine Sitzung mit dem Patien- ten während dessen Anwesenheit abruft, einen zeitlich begrenzten Ein- leseberechtigungscode übermittelt, vorzugsweise in verschlüsselter Form. Er bleibt für eine vorgebbare Zeitdauer von z.B. wenigen Wochen oder Monaten gültig und gibt in diesem Zeitraum dem Behandler die Möglichkeit, Gesundheitsdaten in der oben zu Fig. 3 geschilderten Wei- se an die zentrale Datenbank 4 zu übertragen und dort abzuspeichern. Vom oben geschilderten Einleseverfahren gemäß der Grundvariante von Fig. 3 unterscheidet sich diese Vorgehensweise dadurch, dass zusammen mit den Gesundheitsdaten statt den zugehörigen Personendaten der zum betreffenden Patient gehörige Einleseberechtigungscode vom Endgerät 1 an den Eingangsrechner 8 und von dort offline zum Pseudo- nomisierungsrechner 7 übermittelt wird. Dieser ersetzt dann unter Anwendung einer in ihm entsprechend abgelegten Zuordnungstabelle den zeitlich begrenzten Einleseberechtigungscode durch den Datensatzidentifizierungscode des Patienten. Will der Behandler nach Ablauf des Be- rechtigungszeitraums noch Gesundheitsdaten in die zentrale Datenbank einlesen, muss dies in anderer gesicherter Form erfolgen, z.B. durch Übermittlung per Post und anschließende elektronische Aufbereitung in der Zentralstelle 3 oder durch eine andere, hochsichere elektronische Datenübermittlung.
Alternativ oder zusätzlich zu dieser zeitlichen Begrenzung des Einlesens neuer Gesundheitsdaten in die zentrale Datenbank 4 kann die zu Fig. 3 geschilderte Vorgehensweise zur Erzielung einer erhöhten Datensicherheit dahingehend modifiziert werden, dass die Datenübertragung auf der online-Verbindung 9 verschlüsselt erfolgt, z.B. mit einem der zu den Fig. 1 und Fig. 2 oben erläuterten Verschlüsselungsalgorithmen.
Die bisher beschriebene Systemauslegung ermöglicht einen Datenabruf aus der zentralen Datenbank 4 nur während der Anwesenheit des Pati- enten beim Behandler. Um in einem Notfall jederzeit die erforderlichen Gesundheitsdaten für einen Patienten einem Behandler zur Verfügung stellen zu können, umfasst das System eine oder mehrere geeignete Notfallmaßnahmen. Eine erste Notfallmaßnahme sieht vor, einen für Notfallbehandlungen üblicherweise benötigten Teil der Gesundheitsda- ten eines Patienten direkt auf der elektronischen Patientenkarte 5 abrufbar gespeichert zu halten, wie z.B. Daten über die Blutgruppe, Allergien, aktuell verwendete Medikamente, notfallrelevante Diagnosen etc. Ein Behandler kann dann allein mittels der Patienten karte im Notfall auf die betreffenden Daten zugreifen.
Als weitere Notfallmaßnahme kann das System eine Notfallrufzentrale nach Art eines sogenannten Call-Centers beinhalten, welche die Berechtigung zum Zugriff auf wenigstens einen notfallrelevanten Teil der in der zentralen Datenbank 4 abgespeicherten Gesundheitsdaten jedes Patienten hat. Im Notfall hat sich der Behandler dieser Notfallrufzentrale gegenüber zu authentifizieren, wozu jeder Behandler einen entspre- chenden Authentikationscode erhält. Nach Authentifizierung erhält er dann von ihr die benötigten Notfall-Gesundheitsdaten. Zur ausreichenden Datensicherheit muss zweckmäßigerweise der Patient vorab dieser Notfall-Zugangsberechtigung auf seine Gesundheitsdaten zustimmen und über jeden solchen Zugriff im Nachhinein informiert werden.
Es versteht sich, dass für den Fall eines Verlustes der Patientenkarte oder der Arztkarte eine Kartensperrung vom Karteneigentümer in einer herkömmlichen, z.B. zur Sperrung von Kreditkarten bekannten Weise initiiert werden kann, beispielsweise durch Anruf in der Zentralstelle, die dann die Berechtigung des Anrufers geeignet überprüft, z.B. durch Rückruf und/oder Abfragen von nur dem Karteneigentümer bekannten Sicherheitsinformationen.
Die oben erläuterten Ausführungsformen machen deutlich, dass die Er- findung ein Datenverarbeitungssystem zur Verarbeitung von Patientendaten mit sogenannten elektronischen Patientenakten in einer praktikablen Form bereitstellt, das darüber hinaus einen hohen, für solche Daten geforderten Datensicherheitsstandard erfüllt.

Claims

Patentansprüche
Datenverarbeitungssystem zur Verarbeitung von Patientendaten, die personenidentifizierende Personendaten eines jeweiligen Patienten und zugehörige Gesundheitsdaten umfassen, mit
- einer oder mehreren Zentralstellen (3) jeweils mit einer die Gesundheitsdaten enthaltenden Datenbank (4) und
- mit der Datenbank verbundene Endgeräte (1 ) zum Auslesen von Gesundheitsdaten aus der zentralen Datenbank und/oder zum Einlesen von Gesundheitsdaten in die zentrale Datenbank (4), dadurch gekennzeichnet, dass
- in der zentralen Datenbank (4) die Gesundheitsdaten ohne Zuordnung zu Personendaten gespeichert sind, wobei dem Gesundheitsdatensatz (GD) eines jeweiligen Patienten ein Datensatzidentifikationscode (DIC) zugeordnet ist, dessen Eingabe zum Abruf des Gesundheitsdatensatzes notwendig ist.
Daten Verarbeitungssystem nach Anspruch 1 , weiter dadurch gekennzeichnet, dass der Datenidentifikationscode einen auf einer elektronischen Patientenkarte (5) gespeicherten Patientenkartencode (5a) und einen vom Patienten einzugebenden Patientenidentifikationscode (PIN) umfasst.
Datenverarbeitungssystem nach Anspruch 1 oder 2, weiter dadurch gekennzeichnet, dass der Datenidentifikationscode einen auf einer elektronischen Patienten karte (5) gespeicherten Patientenkartencode (5a) und einen Behandleridentifikationscode (6a) umfasst.
4. Daten Verarbeitungssystem nach Anspruch 2 oder 3, weiter gekennzeichnet durch Mittel zur verschlüsselten Übertragung des Datensatzidentifikationscodes und/oder Mittel zur verschlüsselten Übertragung der aus der zentralen Datenbank abgerufenen Gesundheitsdaten.
5. Datenverarbeitungssystem nach einem der Ansprüche 1 bis 4, weiter gekennzeichnet durch einen zeitbegrenzten Einleseberechtigungscode, der bei einem Abruf von Gesundheitsdaten von der Zentralstelle zusammen mit den Gesundheitsdaten an das abrufende Endgerät übermittelt wird und dem abrufenden Endgerät für einen vorgebbaren anschließenden Zeitraum eine Berechtigung zum Einlesen von Gesundheitsdaten in die zentrale Datenbank verleiht.
6. Daten Verarbeitungssystem nach einem der Ansprüche 2 bis 5, weiter dadurch gekennzeichnet, dass die Patientendatenkarte ein patientenidentifizierendes Bild (5b) enthält.
7. Datenverarbeitungssystem nach einem der Ansprüche 1 bis 6, weiter dadurch gekennzeichnet, dass die Zentralstelle einen von der zentralen Datenbank (4) physikalisch getrennten Pseudonymisierungsrechner (7) aufweist, in dem eine Zuordnungstabelle von personenidentifizierenden Daten einerseits und den zugehörigen Datensatzidentifikationscodes andererseits abgelegt ist und der eingangsseitig eingegebene Gesundheitsdaten zusammen mit zugehörigen personenidentifizierenden Daten empfängt, die personenidentifizierenden Daten durch den zugehörigen Datensatzidentifikationscode ersetzt und ausgangsseitig die Gesundheitsdaten zusammen mit dem zugehörigen Datensatzidentifikationscode zur Abspeicherung in der zentralen Datenbank abgibt.
8. Datenverarbeitungssystem nach Anspruch 7, weiter dadurch gekennzeichnet, dass die Zentralstelle einen vom Pseudonymisierungsrechner (7) physikalisch getrennten Eingangsrechner (8) aufweist, an den die Endgeräte über eine online-Verbindung (9) angeschlossen sind und der die von diesen übertragenen Daten ausgangsseitig zur offline-Weiterleitung an den Pseudonymisierungsrechner (7) bereitstellt.
9. Daten Verarbeitungssystem nach einem der Ansprüche 2 bis 8, weiter dadurch gekennzeichnet, dass auf der Patientenkarte ein vorgebbarer Teil der zu den Patienten gehörigen Gesundheitsdaten direkt abrufbar gespeichert ist.
10. Datenverarbeitungssystem nach einem der Ansprüche 1 bis 9, weiter gekennzeichnet durch eine Notfallrufzentrale, die mit der Zentralstelle zum Auslesen wenigstens eines notfallrelevanten Teils der Gesundheitsdaten eines jeden Patienten berechtigt verbunden ist, wobei Authentikationsmittel zur Authentikation eines Behandlers gegenüber der Notfallrufzentrale vorgesehen sind, um einen Notfall-Auslesevorgang berechtigt anzufordern.
PCT/EP2002/011305 2001-10-11 2002-10-09 Datenverarbeitungssystem für patientendaten WO2003034294A2 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2003536953A JP2005505863A (ja) 2001-10-11 2002-10-09 患者データのデータ処理システム
US10/492,298 US20050043964A1 (en) 2001-10-11 2002-10-09 Data processing system for patent data
CA002462981A CA2462981A1 (en) 2001-10-11 2002-10-09 Data processing system for patient data
EP02774694A EP1451736A2 (de) 2001-10-11 2002-10-09 Datenverarbeitungssystem für patientendaten

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
DE10150008.4 2001-10-11
DE10150008 2001-10-11
DE10209780.1 2002-02-27
DE10209780A DE10209780B4 (de) 2001-10-11 2002-02-27 Datenverarbeitungssystem für Patientendaten

Publications (2)

Publication Number Publication Date
WO2003034294A2 true WO2003034294A2 (de) 2003-04-24
WO2003034294A3 WO2003034294A3 (de) 2004-06-03

Family

ID=26010338

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2002/011305 WO2003034294A2 (de) 2001-10-11 2002-10-09 Datenverarbeitungssystem für patientendaten

Country Status (7)

Country Link
US (1) US20050043964A1 (de)
EP (1) EP1451736A2 (de)
JP (1) JP2005505863A (de)
CN (1) CN1602495A (de)
CA (1) CA2462981A1 (de)
TW (1) TWI254233B (de)
WO (1) WO2003034294A2 (de)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004051296B3 (de) * 2004-10-20 2006-05-11 Compugroup Health Services Gmbh Computersystem und Verfahren zur Speicherung von Daten
WO2007090466A1 (de) * 2006-02-08 2007-08-16 Vita-X Ag Computersystem und verfahren zur speicherung von daten
EP1603070A3 (de) * 2004-06-01 2007-09-05 Kabushiki Kaisha Toshiba Medizinische Bildspeicherungsvorrichtung mit Personaldatenschutz
AT503291B1 (de) * 2006-11-21 2007-09-15 Braincon Handels Gmbh Datenverarbeitungssystem zur verarbeitung von objektdaten
DE102007018403A1 (de) 2007-04-17 2008-10-23 Vita-X Ag Computersystem und Verfahren zur Speicherung von Daten
US7949545B1 (en) 2004-05-03 2011-05-24 The Medical RecordBank, Inc. Method and apparatus for providing a centralized medical record system
FR2982052A1 (fr) * 2011-10-31 2013-05-03 Novatec Procede et dispostif pour le stockage en base de donnees et la consultation de donnees confidentielles
US11616825B2 (en) * 2015-12-18 2023-03-28 Aetna Inc. System and method of aggregating and interpreting data from connected devices

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030233256A1 (en) * 2002-06-13 2003-12-18 Rodolfo Cardenas Secure medical prescription
DE10347431B4 (de) * 2003-10-13 2012-03-22 Siemens Ag Fernwartungssystem unter Zugriff auf autorisierungsbedürftige Daten
US20050101844A1 (en) * 2003-11-07 2005-05-12 Duckert David W. System and method for linking patient monitoring data to patient identification
EP1743294A4 (de) * 2004-05-05 2009-08-05 Ims Software Services Ltd Mehrquellen-longitudinal-datenverschlüsselungsprozess auf patientenniveau
US8000979B2 (en) * 2004-11-24 2011-08-16 Blom Michael G Automated patient management system
US20070179812A1 (en) * 2006-01-27 2007-08-02 Joseph Chapman Health history formatting method and system for the same
DE102006012311A1 (de) * 2006-03-17 2007-09-20 Deutsche Telekom Ag Verfahren und Vorrichtung zur Pseudonymisierung von digitalen Daten
CN104867012A (zh) * 2006-08-01 2015-08-26 Q佩控股有限公司 交易授权系统和方法以及远程支付系统
US20080071577A1 (en) * 2006-09-14 2008-03-20 Highley Robert D Dual-access security system for medical records
US20080114689A1 (en) * 2006-11-03 2008-05-15 Kevin Psynik Patient information management method
US8037052B2 (en) * 2006-11-22 2011-10-11 General Electric Company Systems and methods for free text searching of electronic medical record data
CA2673283A1 (en) * 2006-12-20 2008-07-03 Nextgen Healthcare Information Systems, Inc. Methods and apparatus for responding to request for clinical information
GB2446624A (en) * 2007-02-13 2008-08-20 Ali Guryel Secure network used in educational establishments
DE102007017291A1 (de) * 2007-04-12 2008-10-16 Quasi-Niere Ggmbh Vorrichtung zum Depseudonymisieren von pseudonymen Patientendaten
US8407112B2 (en) * 2007-08-01 2013-03-26 Qpay Holdings Limited Transaction authorisation system and method
US20090077024A1 (en) * 2007-09-14 2009-03-19 Klaus Abraham-Fuchs Search system for searching a secured medical server
EP2229650A1 (de) * 2007-12-28 2010-09-22 Koninklijke Philips Electronics N.V. Informationsaustauschsystem und -vorrichtung
US8353018B2 (en) * 2008-11-13 2013-01-08 Yahoo! Inc. Automatic local listing owner authentication system
US20110314561A1 (en) * 2010-06-21 2011-12-22 Roland Brill Server implemented method and system for securing data
US20120029938A1 (en) * 2010-07-27 2012-02-02 Microsoft Corporation Anonymous Healthcare and Records System
US8616438B2 (en) 2011-03-30 2013-12-31 Hill-Rom Services, Inc. Optical detector at point of care
US20120296674A1 (en) * 2011-05-20 2012-11-22 Cerner Innovation, Inc. Medical record card and integration of health care
US20130006867A1 (en) * 2011-06-30 2013-01-03 Microsoft Corporation Secure patient information handling
US8844820B2 (en) 2011-08-24 2014-09-30 Hill-Rom Services, Inc. Multi-directional optical reader for a patient support
KR101300475B1 (ko) * 2011-12-27 2013-09-02 서울대학교산학협력단 유전자 정보 관리 장치 및 방법
TWI493496B (zh) * 2012-07-11 2015-07-21 Mackay Memorial Hospital 醫療資訊交換管理系統
US20160292453A1 (en) * 2015-03-31 2016-10-06 Mckesson Corporation Health care information system and method for securely storing and controlling access to health care data
WO2016161137A1 (en) * 2015-04-01 2016-10-06 Abbvie Inc. Systems and methods for generating longitudinal data profiles from multiple data sources
SI25850A (sl) * 2019-05-22 2020-11-30 Univerza V Mariboru Metoda in naprava za shranjevanje, nadzor nad vpogledom in pridobitev podatkov iz trajno nespremenljive porazdeljene in decentralizirane shrambe

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5787428A (en) * 1994-02-16 1998-07-28 British Telecommunications Public Limited Company Control of database access using security/user tag correspondence table
EP0990972A1 (de) * 1998-10-02 2000-04-05 Ncr International Inc. System und Verfahren zur Verwaltung von Datenschutz in einem Datenverwaltungssystem
WO2001006468A1 (en) * 1999-07-19 2001-01-25 Datacard Corporation System and method for storing, managing, and retrieving healthcare information on a smart card
DE19951070A1 (de) * 1999-10-22 2001-04-26 Systemform Mediacard Gmbh & Co Verifikationseinrichtung, Verifikationssystem und Verifikationsverfahren für Krankenversichertenkarten
WO2001042883A2 (en) * 1999-12-10 2001-06-14 Arcanvs, Inc. Anonymously linking a plurality of data records

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5065315A (en) * 1989-10-24 1991-11-12 Garcia Angela M System and method for scheduling and reporting patient related services including prioritizing services
US6283761B1 (en) * 1992-09-08 2001-09-04 Raymond Anthony Joao Apparatus and method for processing and/or for providing healthcare information and/or healthcare-related information
US5659741A (en) * 1995-03-29 1997-08-19 Stuart S. Bowie Computer system and method for storing medical histories using a carrying size card
US5924074A (en) * 1996-09-27 1999-07-13 Azron Incorporated Electronic medical records system
US20020116227A1 (en) * 2000-06-19 2002-08-22 Dick Richard S. Method and apparatus for requesting, retrieving, and obtaining de-identified medical informatiion
US7587368B2 (en) * 2000-07-06 2009-09-08 David Paul Felsher Information record infrastructure, system and method
AU2001276991A1 (en) * 2000-07-20 2002-02-05 J. Alexander Marchosky Patient-controlled automated medical record, diagnosis, and treatment system andmethod
US8150710B2 (en) * 2002-02-08 2012-04-03 Panasonic Corporation Medical information system
DE10247153A1 (de) * 2002-10-09 2004-04-22 Siemens Ag Anonymer e-Health Commerce

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5787428A (en) * 1994-02-16 1998-07-28 British Telecommunications Public Limited Company Control of database access using security/user tag correspondence table
EP0990972A1 (de) * 1998-10-02 2000-04-05 Ncr International Inc. System und Verfahren zur Verwaltung von Datenschutz in einem Datenverwaltungssystem
WO2001006468A1 (en) * 1999-07-19 2001-01-25 Datacard Corporation System and method for storing, managing, and retrieving healthcare information on a smart card
DE19951070A1 (de) * 1999-10-22 2001-04-26 Systemform Mediacard Gmbh & Co Verifikationseinrichtung, Verifikationssystem und Verifikationsverfahren für Krankenversichertenkarten
WO2001042883A2 (en) * 1999-12-10 2001-06-14 Arcanvs, Inc. Anonymously linking a plurality of data records

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7949545B1 (en) 2004-05-03 2011-05-24 The Medical RecordBank, Inc. Method and apparatus for providing a centralized medical record system
EP1603070A3 (de) * 2004-06-01 2007-09-05 Kabushiki Kaisha Toshiba Medizinische Bildspeicherungsvorrichtung mit Personaldatenschutz
DE102004051296B3 (de) * 2004-10-20 2006-05-11 Compugroup Health Services Gmbh Computersystem und Verfahren zur Speicherung von Daten
WO2007090466A1 (de) * 2006-02-08 2007-08-16 Vita-X Ag Computersystem und verfahren zur speicherung von daten
AT503291B1 (de) * 2006-11-21 2007-09-15 Braincon Handels Gmbh Datenverarbeitungssystem zur verarbeitung von objektdaten
DE102007018403A1 (de) 2007-04-17 2008-10-23 Vita-X Ag Computersystem und Verfahren zur Speicherung von Daten
US8452977B2 (en) 2007-04-17 2013-05-28 Vita-X Ag Computer system and method for storing data
FR2982052A1 (fr) * 2011-10-31 2013-05-03 Novatec Procede et dispostif pour le stockage en base de donnees et la consultation de donnees confidentielles
WO2013064565A3 (fr) * 2011-10-31 2013-09-06 Novatec Procédé et dispositif pour le stockage en base de données et la consultation de données confidentielles
US11616825B2 (en) * 2015-12-18 2023-03-28 Aetna Inc. System and method of aggregating and interpreting data from connected devices

Also Published As

Publication number Publication date
EP1451736A2 (de) 2004-09-01
CN1602495A (zh) 2005-03-30
WO2003034294A3 (de) 2004-06-03
JP2005505863A (ja) 2005-02-24
TWI254233B (en) 2006-05-01
US20050043964A1 (en) 2005-02-24
CA2462981A1 (en) 2003-04-24

Similar Documents

Publication Publication Date Title
WO2003034294A2 (de) Datenverarbeitungssystem für patientendaten
DE69815575T2 (de) Verfahren und Vorrichtung zur Speicherung von Daten und Steuerung des Zugriffs dazu
DE69731338T2 (de) Verfahren und System zum sicheren Übertragen und Speichern von geschützter Information
EP1862936B1 (de) Verfahren zur identifikation eines patienten zum späteren zugriff auf eine elektronische patientenakte des patienten mittels einer kommunikationseinrichtung einer anfragenden person
EP1084465B1 (de) Verfahren zum abgesicherten zugriff auf daten in einem netzwerk
DE102017123931A1 (de) Verteiltes System zum Verwalten von personenbezogenen Daten, Verfahren und Computerprogrammprodukt
EP1262855A2 (de) Sabotagesichere und zensurresistente persönliche elektronische Gesundheitsakte
DE10156877B4 (de) Verfahren und System zum gesicherten Speichern und Auslesen von Nutzdaten
DE10209780B4 (de) Datenverarbeitungssystem für Patientendaten
EP2263215B1 (de) Kommunikationsverfahren einer elektronischen gesundheitskarte mit einem lesegerät
DE10307996B4 (de) Verfahren zum Ver- und Entschlüsseln von Daten durch verschiedene Nutzer
DE102008011882B4 (de) Vorrichtung und Verfahren zum kontrollierten Datenaustausch zwischen mindestens zwei Datenträgern
WO2020126675A1 (de) Abwicklungssystem
DE10307995B4 (de) Verfahren zum Signieren von Daten
WO2005050418A1 (de) Verfahren zum zugriff auf eine datenverarbeitungsanlage
DE202021100647U1 (de) Personendatenanonymisierungssystem (PDAS) mit kundenspezifischem Token
EP1468393A2 (de) Verfahren und vorrichtung zur sicherung von patientendaten
DE102007020759B3 (de) Medizinische Systemarchitektur
DE102022106241A1 (de) Kontaktlose Identifizierung und Authentifizierung einer Person
DE19951070A1 (de) Verifikationseinrichtung, Verifikationssystem und Verifikationsverfahren für Krankenversichertenkarten
DE19840005A1 (de) Kommunikationssystem
AT503291B1 (de) Datenverarbeitungssystem zur verarbeitung von objektdaten
WO2008014828A1 (de) Verfahren zur anonymen analyse authentifizierender identitäts-codes eines benutzers oder eines objekts
WO2003003273A2 (de) Expertensystem zur aufdeckung von kontraindikationen bei begrenztem zugriffsrecht auf patientendaten
EP1389751A2 (de) Verfahren und System zur Auswertung sensibler Daten

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A2

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BY BZ CA CH CN CO CR CU CZ DE DM DZ EC EE ES FI GB GD GE GH HR HU ID IL IN IS JP KE KG KP KR LC LK LR LS LT LU LV MA MD MG MN MW MX MZ NO NZ OM PH PL PT RU SD SE SG SI SK SL TJ TM TN TR TZ UA UG US UZ VC VN YU ZA ZM

AL Designated countries for regional patents

Kind code of ref document: A2

Designated state(s): GH GM KE LS MW MZ SD SL SZ UG ZM ZW AM AZ BY KG KZ RU TJ TM AT BE BG CH CY CZ DK EE ES FI FR GB GR IE IT LU MC PT SE SK TR BF BJ CF CG CI GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 2462981

Country of ref document: CA

WWE Wipo information: entry into national phase

Ref document number: 469/KOLNP/2004

Country of ref document: IN

WWE Wipo information: entry into national phase

Ref document number: 2003536953

Country of ref document: JP

WWE Wipo information: entry into national phase

Ref document number: 2002774694

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2002340979

Country of ref document: AU

WWE Wipo information: entry into national phase

Ref document number: 20028245547

Country of ref document: CN

REG Reference to national code

Ref country code: DE

Ref legal event code: 8642

WWP Wipo information: published in national office

Ref document number: 2002774694

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 10492298

Country of ref document: US