AT503291A4 - Datenverarbeitungssystem zur verarbeitung von objektdaten - Google Patents

Datenverarbeitungssystem zur verarbeitung von objektdaten Download PDF

Info

Publication number
AT503291A4
AT503291A4 AT19282006A AT19282006A AT503291A4 AT 503291 A4 AT503291 A4 AT 503291A4 AT 19282006 A AT19282006 A AT 19282006A AT 19282006 A AT19282006 A AT 19282006A AT 503291 A4 AT503291 A4 AT 503291A4
Authority
AT
Austria
Prior art keywords
data
instances
standard
instance
key
Prior art date
Application number
AT19282006A
Other languages
English (en)
Other versions
AT503291B1 (de
Inventor
Bernhard Dipl Ing Riedl
Thomas Dipl Ing Neubauer
Oswald Ing Boehm
Original Assignee
Braincon Handels Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Braincon Handels Gmbh filed Critical Braincon Handels Gmbh
Priority to AT19282006A priority Critical patent/AT503291B1/de
Application granted granted Critical
Publication of AT503291B1 publication Critical patent/AT503291B1/de
Publication of AT503291A4 publication Critical patent/AT503291A4/de
Priority to PCT/AT2007/000524 priority patent/WO2008061267A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification

Landscapes

  • Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Storage Device Security (AREA)

Description


  Die Erfindung betrifft ein Datenverarbeitungssystem zur Verarbeitung von Objektdaten einer Vielzahl von Standard-Instanzen, wobei die Objektdaten Objektidentifikationsdaten und zugehörige Nutzdaten umfassen, mit einer Objektdaten-Datenbank, in welcher die Objektdaten über Zugriffseinrichtungen speicherbar und abrufbar sind.
Unter Standard-Instanz wird dabei eine Person, ein System od. dgl. verstanden, für die schützenswerte Objektdaten bestehen. Diese Objektdaten enthalten Objektidentifikationsdaten, die eine Identifizierung eines Objekts, z.B. über die Sozialversicherungsnummer einer Person, ermöglichen und Nutzdaten, die zu dem jeweiligen Objekt generiert wurden und gespeichert sind.
Da immer mehr Datenbanken, z.B. mit personenspezifischen Daten existieren oder im Entstehen sind, wird ein verstärkter Schutz von objektbezogenen, z.B. persönlichen Angaben und Daten angestrebt.

   Andererseits werden in vielen Bereichen, z.B. im Gesundheitsbereich Daten von Personen und zugehörige Messund Überwachungsdaten sowie historische Daten zu Studienzwecken und für statistische Analysen sowie für die Umsetzung von gesetzlichen Bestimmungen benötigt und daher über längere Zeit aufbewahrt, um sie einer späteren Verarbeitung zuzuführen. Dies führt zu einem verstärkten Schutzbedürfnis der gespeicherten Daten.
Es bestehen daher seit jeher Bestrebungen, einerseits die Vorteile der Verfügbarkeit von möglichst vielen Datensätzen nützen zu können, andererseits aber nicht die Privatsphäre zu verletzen.

   Aus diesen Gründen wird bei bestehenden Lösungsansätzen versucht, die Daten jeder einzelnen Person, die dem Datenschutz unterliegen, vor dem Zugriff von nichtautorisierten Benutzern zu bewahren.
Bestehende Systeme bieten jedoch keinen ausreichenden Schutz gegen eine Rückverfolgung von Daten durch Vergleich und unterbinden somit nicht die Möglichkeit, einen Rückschluss auf die Identität der Standard instanz durch Vergleich der Nutzdaten, z.B. der Krankengeschichte eines Patienten, vorzunehmen. Bei bestehenden Datenverarbeitungssystemen wird diese Zuordnung beispielsweise im System zentral durch einen Zugangskode geschützt bzw. erfolgt unter Verwendung einer Liste. Wer sich somit über diesen zentralen Zugangskode Zutritt zu den Daten verschaffen kann, dem stehen die Gesamtheit oder grosse Teile aller Datenbestände zur Verfügung.

   Dies bereitet nicht nur Probleme bei einem zentralen Hacker-Angriff auf das System, sondern wirft ganz generell die Frage auf, wer die Kontrolle über die Datenbestände im System hat und ob nicht die Gefahr der unautorisierten Datenweitergabe durch die Systemoperatoren eintreten kann.
Aufgabe der Erfindung ist es daher, ein Datenverarbeitungssystem der eingangs genannten Art zu schaffen, bei welchem erhöhte Sicherheit gegen Datenmissbrauch gegeben ist, dennoch aber bei Bedarf die Zuordnung von Personenidentifikationsdaten und Nutzdaten über längere Zeiträume möglich ist.
Weitere Aufgabe der Erfindung ist es, ein Datenverarbeitungssystem anzugeben, welches die Möglichkeit eines Zugriffes auf Nutzdaten eines Objekts ermöglicht, ohne die Objektidentifikationsdaten dieses Objekts preiszugeben.
Erfindungsgemäss wird dies dadurch erreicht,

  
- dass die Objektidentifikationsdaten und die Nutzdaten in der Objektdaten-Datenbank voneinander getrennt speicherbar und abrufbar sind, sodass allein aus den gespeicherten Datensätzen kein Zusammenhang zwischen den Objektidentifikationsdaten und den Nutzdaten ableitbar ist,
- dass zumindest eine Eingabevorrichtung vorgesehen ist, welche bei Eingabe eines von für die Standard-Instanzen vergebenen Sicherheitsschlüssel den Zugriff auf die Objektidentifikationsdaten der zugeordneten Standard-Instanz und auf die zugehörigen Nutzdaten ermöglicht, - dass gegebenenfalls für jede der Standard-Instanzen eine oder mehrere zugeordnete Wiedergewinnungs-Instanzen ausserhalb der Objektdaten-Datenbank definiert sind, über welche bei Verlust des Sicherheitsschlüssels dieser wieder erzeugt werden kann,

   und
- dass der Sicherheitsschlüssel oder ein Teil davon bei der Standard-Instanz verbleibt und gegebenenfalls zusätzlich bei der Wiedergewinnungs-Instanz und/oder bei weiteren von der Standard-Instanz bestimmten Instanzen verbleibt oder von diesen auf ihn zugegriffen werden kann.
Der Sicherheitsschlüssel kann aus verschiedenen Teilschlüsseln zusammengesetzt und in sich verschlüsselt sein. Ein Teil-Sicherheitsschlüssel kann dabei einen anderen Teil-Sicherheitsschlüssel entschlüsseln, welcher seinerseits weiteren Instanzen oder der bzw. den Wiedergewinnungs-Instanzen zugänglich gemacht ist.

   Damit ist der Schutz der Daten gewährleistet und bei Verlust des Sicherheitsschlüssels kann die Berechtigung zum Datenzugriff für die StandardInstanz wiederhergestellt werden.
Es sind somit zwei getrennte Datengruppen vorgesehen, nämlich die Objektidentifikationsdaten und die Nutzdaten, die den Standard-Instanzen zugeordnet sind.

   Letztere Nutzdaten einer bestimmten Standard-Instanz können mit den Objektidentifikationsdaten derselben nur in Verbindung gebracht werden, wenn der für die jeweilige Standard-Instanz vergebene Sicherheitsschlüssel zur Anwendung gebracht wird.
Auf diese Weise sind die Daten jeder Standard-Instanz durch einen individuellen Sicherheitsschlüssel geschützt, der vorzugsweise in Teilen dezentral bei der Standard-Instanz selbst und bei der bzw. den Wiedergewinnungs-Instanzen oder anderen Instanzen verbleibt und nicht zentral abgefragt werden kann bzw. nur unter Bekanntgabe eines Sicherheitsschlüssel.

   Im Falle eines Verlustes oder einer Zerstörung des Sicherheitsschlüssels durch die Standard-Instanz kann der Zugriff auf die Objektdaten der Standard-Instanz z.B. über die Wiedergewinnungs-Instanzen geschehen.
Gemäss einer Ausführungsform der Erfindung können mehrere voneinander unabhängige Systemoperator-Instanzen vorhanden sein, aus denen zwei oder mehrere Systemoperator-Instanzen für jeweils eine der Standard-Instanzen als die dieser zugeordneten Wiedergewinnungs-Instanz definiert sind, ohne dass den ausgewählten Systemoperator-Instanzen die Identität der jeweils anderen ausgewählten Systemoperator-Instanz(en) sowie der Standard-Instanz(en) bekannt ist,

   wobei den zumindest zwei ausgewählten Systemoperator-Instanzen ein gemeinsamer Zugriff auf die Objektdaten und die zugehörigen Nutzdaten für die jeweilige Standard-Instanz möglich ist.
Die ausgewählten Systemoperator-Instanzen sind z.B. nach einem Zufallsprinzip so ausgewählt, dass sie voneinander unabhängig, vorzugsweise räumlich getrennt sind und nicht voneinander wissen, wer für welche Standard-Instanz einen der Teilschlüssel verwahrt, die gemeinsam mit dem oder den anderen Teilschlüsseln einen Zugriff auf die Objektdaten und Nutzdaten der zugeordneten Standard-Instanz erlauben, sodass auf diese Weise ein neuer Sicherheitsschlüssel für die betroffene Standard-Instanz generiert und wieder vergeben werden kann.
Die Standard-Instanz ist jeweils Inhaberin ihrer Daten und hat die unbeschränkte Berechtigung anderen Instanzen diese Berechtigung zu verleihen.

   In weiterer Ausbildung der Erfindung können daher weitere Instanzen definiert sein, welche durch die Standard-Instanzen zum vollen oder teilweisen Datenzugriff autorisiert sind.
Weiters können gemäss einer Ausführungsform der Erfindung die weiteren Instanzen eine oder mehrere assoziierte Instanzen umfassen, die jeweils durch eine der Standard-Instanzen autorisiert sind und die gleiche Zugriffsberechtigung wie diese aufweisen sowie weitere Instanzen autorisieren können.

   
Eine solche assoziierte Instanz befindet sich in der Hierarchie unmittelbar unterhalb der Standard-Instanz, kann auf alle Daten der Standard-Instanz zugreifen und weiteren Instanzen ebenfalls diese Berechtigung ermöglichen.
Es kann auch vorgesehen sein, dass in einer weiteren Ausführungsform der Erfindung die weiteren Instanzen eine oder mehrere autorisierte Instanzen umfassen, die jeweils durch eine der Standard-Instanzen autorisiert sind, auf vorbestimmte Einträge in der Objektdaten-Datenbank zuzugreifen. Die autorisierte Instanz kann sowohl von der Standard-Instanz als auch von der assoziierten Instanz zum eingeschränkten Zugriff berechtigt werden.
Zum Zweck der Auswertung von Nutzdaten ohne Berechtigung zum Zugriff auf Objektidentifikationsdaten können die weiteren Instanzen eine oder mehrere Forschungs-Instanzen umfassen.

   Die Forschungs-Instanzen können daher nur Nutzdaten einsehen.
Um Einträge von Nutzdaten in der Objektdaten-Datenbank für eine bestimmte Standard-Instanz abrufen zu können, kann jedem Eintrag mit Nutzdaten in der Objektdaten-Datenbank eine eindeutige Nutzdaten-Identifikation zugeordnet sein.
Für die Aufbewahrung jenes Teils des Sicherheitsschlüssels einer bestimmten Standard-Instanz, der bei dieser verbleibt, bestehen verschiedenste Möglichkeiten.
Gemäss einer bevorzugten Ausführungsform der Erfindung kann der Sicherheitsschlüssel oder Teile davon auf einem Sicherheitstoken gespeichert sein, z.B. auf einer Smartcard, welche über einen PIN-Kode verfügt. Damit kann auch ein langer Sicherheitsschlüssel für den Anwender bequem eingegeben werden.

   Die Standard-Instanz meldet sich dabei über das Einziehen der Smartcard und Eingeben des PIN-Kodes im jeweiligen System an und kann auf diese Weise den auf der Smartcard gespeicherten Sicherheitsschlüssel bekanntgeben. Der Sicherheitsschlüssel verbleibt bei der Standard-Instanz und ist nicht zentral einsehbar.
In weiterer Ausbildung der Erfindung kann die Objektdaten-Datenbank durch zwei separate Datenbanken gebildet sein, wobei in der einen Datenbank Objektidentifikationsdaten und in der anderen Datenbank Nutzdaten gespeichert sind. Durch die diese räumliche Trennung der Datensätze des erfindungsgemässen System wird eine erhöhte Sicherheit erreicht.
Das Anwendungsgebiet der Erfindung ist hinsichtlich der Art der Objektdaten in keiner Weise eingeschränkt.

   Eine mögliche Anwendung besteht aber darin, dass die Objektdaten-Datenbank eine Personendaten-Datenbank ist und die Objektidentifikationsdaten Personendaten, insbesondere Patientendaten sind.
Wie bereits erwähnt, kann der Sicherheitsschlüssel zwei- oder mehrteilig ausgebildet sein, sodass ein äusserer Schlüssel bei der Standard-Instanz verbleibt und über diesen auf einen nächstinneren Schlüssel zugegriffen bzw. dieser durch Entschlüsselung zugänglich gemacht werden kann. Dieser nächstinnere Schlüssel kann wiederum auf den seinerseits nächstinneren Schlüssel zugreifen, usw. Dies hat den Vorteil, dass bei Verlust des äusseren Schlüssels durch die Standard-Instanz eine weitere Instanz berechtigt sein kann, auf den nächstinneren Schlüssel zuzugreifen bzw. diesen durch Entschlüsselung zugänglich zu machen.

   Der Datenzugriff wird durch Entschlüsselung bis zur innersten Schale oder Schicht ermöglicht, wonach wieder ein neuer äusserer Schlüssel gebildet werden kann, welcher der betroffenen Instanz zur Verfügung gestellt wird.
Eine Ausführungsform der Erfindung kann darin bestehen, dass der Sicherheitsschlüssel jeder der Standard-Instanzen aus einem inneren und einem äusseren Schlüssel sowie einem Schlüssel für den jeweiligen Nutzdaten-Datensatz gebildet ist, wobei die Nutzdaten und die Objektidentifikationsdaten der jeweiligen Standard-Instanz optional mit dem inneren Schlüssel verschlüsselt sind, wobei der äussere Schlüssel jeweils bei den Standard-Instanzen, der innere Schlüssel bei den Wiedergewinnungs-Instanzen und gegebenenfalls den assoziierten Instanzen verbleibt und der innere Schlüssel mit dem zugehörigen äusseren Schlüssel,

   sowie der innerste Schlüssel für den jeweiligen Nutzdaten-Datensatz mit dem inneren Schlüssel verschlüsselt ist. Die jeweiligen Schlüssel können für alle Instanzen gleich oder aber auch verschieden gewählt werden.
Die Erfindung betrifft weiters ein Verfahren zur Verarbeitung von Objektdaten von Standard-Instanzen, welche Objektidentifikationsdaten und zugehörige Nutzdaten umfassen, wobei in einem Speicherschritt die Objektdaten in einer ObjektdatenDatenbank gespeichert und in einem Abfrageschritt aus der Objektdaten-Datenbank auf die Objektdaten zugegriffen wird und diese abgerufen werden.
Aufgabe ist es auch hier, wie eingangs bereits erläutert, ein Verfahren anzugeben, welches erhöhte Datensicherheit und zugleich hohe Datenverwertbarkeit unter Wahrung der Anonymität der Objekte bietet.
Erfindungsgemäss wird dies dadurch erreicht,

   dass im Speicherschritt die Objektidentifikationsdaten und die Nutzdaten in der Objektdaten-Datenbank voneinander getrennt gespeichert werden, sodass sie aus der ObjektdatenDatenbank getrennt abgerufen werden können, allein aus den gespeicherten Datensätzen jedoch kein Zusammenhang zwischen den Objektidentifikationsdaten und den Nutzdaten ableitbar ist,
- dass in einem Vergabeschritt Sicherheitsschlüssel an jede der Standard-Instanzen vergeben werden, die ein Zugreifen auf die Objektidentifikationsdaten und die zugehörigen Nutzdaten für jede der jeweiligen Standard-Instanzen ermöglichen, wobei gegebenenfalls für jede der Standard-Instanzen eine WiedergewinnungsInstanz definiert wird, über welche bei Verlust des Sicherheitsschlüssels dieser wieder erzeugt werden kann,

  
- dass jede der Standard-Instanzen weiteren Instanzen den vollen oder teilweisen Datenzugriff auf ihre Objektdaten gestatten kann, - und dass in einem Abfrageschritt über eine der Standard-Instanzen oder gegebenenfalls eine Wiedergewinnungs-Instanz und/oder eine der weiteren Instanzen nach Eingabe des Sicherheitsschlüssels oder eines Teils davon auf die Objektidentifikationsdaten in Verbindung mit den zugehörigen Nutzdaten zugegriffen wird.
Allein über den Sicherheitsschlüssel ist die Zuordnung der getrennten Objektidentifikationsdaten und der Nutzdaten möglich. Dabei verbleibt der Sicherheitsschlüssel oder ein Teil davon bei der Standard-Instanz und kann bei Verlust oder Zerstörung über die Wiedergewinnungs-Instanz wiederhergestellt werden, um zu verhindern, dass die Zuordnung der Identifikationsdaten und Nutzdaten der Standard-Instanz für immer verloren sind.

   Da der Sicherheitsschlüssel bei der jeweiligen Standard-Instanz verbleibt, sind die für den Datenzugriff erforderlichen Schlüssel nicht zentral abrufbar und daher vor einer nicht-autorisierten Verwendung geschützt.
Auf weiche Weise der Sicherheitsschlüssel aufbewahrt und verwaltet wird, bleibt dem Anwender überlassen.

   Es hat sich aber bewährt, zumindest einen Teil des Sicherheitsschlüssels durch eine Verschlüsselung im System zu hinterlegen, wobei auch die Wiedergewinnungs-Instanz eine solche Verschlüsselung vornehmen, damit sie den Sicherheitsschlüssel bei Bedarf zumindest teilweise generieren kann.
Eine Möglichkeit, eine Wiedergewinnungs-Instanz auszubilden, besteht darin, dass für jede Standard-Instanz zwei oder mehrere Systemoperator-Instanzen aus mehreren, voneinander unabhängigen Systemoperator-Instanzen ausgewählt werden, ohne dass den ausgewählten Systemoperator-Instanzen die Identität der jeweils anderen ausgewählten Systemoperator-Instanz(en) bekannt ist, dass der Sicherheitsschlüssel der jeweiligen Standard-Instanz auch an die zwei oder mehreren, ausgewählten Systemoperator-Instanzen vergeben wird,

   sowie den zumindest zwei ausgewählten Systemoperator-Instanzen für den gemeinsamen Zugriff zur Verfügung steht, und gegebenenfalls im Abfrageschritt über die zwei oder mehreren Systemoperator Instanzen nach gemeinsamer Eingabe des Sicherheitsschlüssels auf die Objektidentifikationsdaten in Verbindung mit den zugehörigen Nutzdaten zugegriffen wird. Um die Sicherheit weiter zu verbessern, ist es möglich, dass die ausgewählten Systemoperator-Instanz(en) räumlich getrennt voneinander tätig sind.
Die nach dem Zufallsprinzip bestimmten, zumindest zwei Systemoperator-Instanzen besitzen jeweils z.B. über einen Sicherheitsschlüssel die Möglichkeit, gemeinsam auf den inneren Teil eines Sicherheitsschlüssels einer Standard-Instanz zuzugreifen, um die Objektidentifikationsdaten und die Nutzdaten derselben abzufragen.

   Im Bedarfsfall können die ausgewählten Systemoperator-Instanzen über diese Zugriffsberechtigung auch die Vergabe eines neuen äusseren Teils des Sicherheitsschlüssels veranlassen, damit ein verloren gegangener Sicherheitsschlüssel auf diese Weise ersetzt werden kann.
Gemäss einer weiteren Ausführungsform der Erfindung kann weiters vorgesehen sein, dass zur Erstellung des Sicherheitsschlüssels von einer Logik für die Zuordnung von Objektidentifikationsdaten und Nutzdaten einer bestimmten Standard-Instanz ein innerer Schlüssel der jeweiligen Standard-Instanz generiert wird und an diese Standard-Instanz sowie an die zumindest zwei ausgewählten SystemoperatorInstanzen weitergeleitet wird,

   und dass der innere Schlüssel von dieser StandardInstanz und von den Systemoperator-Instanzen mit jeweils einem äusseren Schlüssel verschlüsselt an die Objektdaten-Datenbank zurückgesendet und dort abgelegt wird.
Damit kann nur die Standard-Instanz oder die zumindest zwei SystemoperatorInstanzen zusammen über ihren privaten äusseren Schlüssel auf den inneren Schlüssel zugreifen, der wiederum die Entschlüsselung des Zusammenhanges zwischen Objektidentifikationsdaten und Nutzdaten der betreffenden StandardInstanz ermöglicht.

   Die Systemoperator-Instanzen, die idealerweise keine Kenntnis ihrer gegenseitigen Berechtigungen haben, können bei einer Anfrage nur feststellen, dass sie zusammen mit einer oder mehreren anderen Systemoperator-Instanzen dazu ausgewählt sind, für eine ihnen unbekannte Standard-Instanz den inneren Schlüssel durch Eingabe ihres privaten äusseren Schlüssels zu entschlüsseln und damit den Zugang zu den Objektidentifikationsdaten und den Nutzdaten für diese Standard-Instanz zu ermöglichen.
Nachfolgend wird die Erfindung anhand der in den Zeichnungen dargestellten Ausführungsbeispiele eingehend erläutert.

   Es zeigt dabei
Fig.1 ein Blockschaltbild einer Ausführungsform des erfindungsgemässen
Datenverarbeitungssystems;
Fig.2 ein Blockschaltbild einer weiteren Ausführungsform des erfindungsgemässen
Datenverarbeitungssystems;
Fig.3 eine schematische Darstellung eines Zugriffs-Schichtenmodells in
Zusammenhang mit dem Aufbau eines Sicherheitsschlüssels;
Fig.4 den schematischen Ablauf zur Vergabe eines Sicherheitsschlüssels gemäss einer Ausführungsform des erfindungsgemässen Verfahrens;
Fig.5 den schematischen Ablauf zur Herausgabe eines vorhandenen
Sicherheitsschlüssels an eine bestehende Instanz gemäss einer weiteren
Ausführungsform des erfindungsgemässen Verfahrens;
Fig.6 den schematischen Ablauf zum Hinzufügen neuer Nutzdaten gemäss einer weiteren Ausführungsform des erfindungsgemässen Verfahrens;

  
Fig.7 den schematischen Ablauf zum Lesen vorhandener Nutzdaten gemäss einer weiteren Ausführungsform des erfindungsgemässen Verfahrens;
Fig.8 den schematischen Ablauf zum Hinzufügen einer Assoziierten Instanz und
Fig.9 den schematischen Ablauf zum Hinzufügen einer Autorisierten Instanz
Fig.1 zeigt ein Datenverarbeitungssystem zur Verarbeitung von Objektdaten einer Standard-Instanz 101 , welche stellvertretend für eine Person, ein System, einen Dateninhaber od. dgl. dargestellt ist. In dem in Fig.1 gezeigten Beispiel stellt die Standard-Instanz 101 als Objektdaten Personendaten bereit oder entnimmt diese einer als Personendaten-Datenbank 20 betriebenen Objektdaten-Datenbank, in welcher die Personendaten über Zugriffseinrichtungen 70 speicherbar oder abrufbar sind.

   In der Personendaten-Datenbank 20 können Daten von einer Vielzahl von Standard-Instanzen abgelegt sein.
Die in weiterer Folge als Beispiel dienende Verarbeitung von Patientendaten ist nicht als einschränkend zu verstehen, vielmehr können im Rahmen der Erfindung auch andere Arten von Daten, beispielsweise Dokumente in einem Unternehmen, bearbeitet werden, nicht nur die von Patienten.
Die Personendaten umfassen Objektidentifizierungsdaten, nämlich Personenidentifikationsdaten 100 und zugehörige Nutzdaten 110, wobei die Personenidentifikationsdaten Daten beinhalten, die eine Person, z.B. einen Patienten identifizieren, also etwa Sozialversicherungsnummer, Name, Geburtsdatum, Wohnort, Staatsbürgerschaft usw.
Getrennt von diesen Personenidentifikationsdaten sind die Nutzdaten 110 gespeichert, welche verschiedene Einträge und aufgezeichnete Anamnese Daten umfassen können, z.B.

   Röntgenaufnahmen, Mammographie-Daten, NMR-Daten, die für Diagnosen benötigt und eine bestimmte Zeit gespeichert werden können oder müssen.
Die Zugriffseinrichtungen sind in Fig.1 als zentrale Logik 70 dargestellt, die eine Vielzahl von Eingabe- und Ausgabevorrichtungen und eine Steuereinrichtung beinhaltet und eine Schnittstelle zwischen der Personendaten-Datenbank 20 und Instanzen 101 , 60, 50 und 40 darstellt, die Personendaten speichern oder abfragen.
Erfindungsgemäss sind die Personenidentifikationsdaten 100 und die Nutzdaten 110 in der Personendaten-Datenbank 20 voneinander getrennt speicherbar und abrufbar, sodass allein aus den gespeicherten Datensätzen kein Zusammenhang zwischen den Objektidentifikationsdaten und den Nutzdaten ableitbar ist.

   Dies kann durch die 
Zugriffssteuerung (logisch) sowie durch räumlich getrenntes (physikalisch) Vorsehen von zwei Datenbanken geschehen.
Der Zugriff auf Personenidentifikationsdaten 100 in Verbindung mit den zugehörigen Nutzdaten 110 ist nur nach Eingabe eines Sicherheitsschlüssels gestattet, der für die jeweilige Standard-Instanz 101 vergeben ist, welche durch die Personenidentifikationsdaten 100 identifiziert ist.

   Wenn für eine Standard-Instanz 101 z.B. im Rahmen einer Untersuchung Daten aufgezeichnet werden, so erhält die Standard-Instanz 101 vom erfindungsgemässen Datenverarbeitungssystem einen für diese Standard-Instanz 101 vergebenen Sicherheitsschlüssel, welcher ganz oder teilweise auf einem Sicherheits-Token gespeichert ist, z.B. auf einer Smartcard mit PIN-Kode od. dgl.
Somit kann die Standard-Instanz 101 unter Eingabe des Sicherheitsschlüssels auf die eigenen Nutzdaten 110 zugreifen, während andere Standard-Instanzen vom Zugriff ausgeschlossen sind. Damit ist sichergestellt, dass die gespeicherten Nutzdaten 110, z.B.

   Krankengeschichten, durch Aussenstehende nicht mit einer konkreten Standard-Instanz 101 in Zusammenhang gebracht werden können.
Wie erwähnt können weitere Instanzen im erfindungsgemässen Datenverarbeitungssystem zugelassen werden, denen andere Berechtigungen ermöglicht werden. So kann z.B. eine Forschungs-Instanz 40 vorgesehen sein, die zum Zwecke der Analyse ausschliesslich Zugriff auf die Nutzdaten 110 hat. Dadurch kann in sinnvoller Weise auf die Nutzdaten 110 zugegriffen werden und diese für statistische Untersuchungen und Studien, z.B. zur Verbesserung der medizinischen Behandlung oder zu Diagnosezwecken, Verwendung finden ohne die Identität der Patienten preisgeben zu müssen.

   Durch die vollkommene Trennung der Personenidentifikationsdaten 100 und der Objektdaten 110 können Rückschlüsse aus den Nutzdaten 110 auf die Personenidentifikationsdaten 100 verhindert werden und die Anonymität der Standard-Instanzen bleibt gewahrt. 
Es kann vorkommen, dass die Standard-Instanz 101 ihr Sicherheits-Token mit dem darauf abgelegten Sicherheitsschlüssel verliert oder zerstört.

   Um zu verhindern, dass die gespeicherten Nutzdaten 110 der jeweiligen Standard-Instanz 101 unwiederbringlich verlorengehen, weil die Zuordnung der Personendaten der Standard-Instanz 101 zu den Nutzdaten nicht mehr vorhanden wäre, kann für jede der Standard-Instanzen eine bzw. mehrere Wiedergewinnungs-Instanzen ausserhalb der Objektdaten-Datenbank 20 definiert werden.
Im Ausführungsbeispiel gemäss Fig.1 sind als Wiedergewinnungs-Instanz mehrere voneinander unabhängige Systemoperator-Instanzen 30 vorhanden, aus denen jeweils zwei oder mehrere Systemoperator-Instanzen für eine zugeordnete StandardInstanz auswählbar sind, ohne dass den ausgewählten Systemoperator-Instanzen die Identität der jeweils anderen ausgewählten Systemoperator-Instanz(en) oder der Standard-Instanzen bekannt ist,

   wobei der an die zugeordnete Standard-Instanz 101 vergebene Sicherheitsschlüssel den zumindest zwei ausgewählten SystemoperatorInstanzen zumindest teilweise zugänglich ist, sodass ein gemeinsamer Zugriff auf die Personenidentifikationsdaten 100 in Verbindung mit den zugehörigen Nutzdaten 110 für die zugeordnete Standard-Instanz 101 ermöglicht ist.
Um die Unabhängigkeit der zumindest zwei Systemoperator-Instanzen sicherzustellen, sind diese für jede Standard-Instanz 101 an unterschiedlichen Orten vorgesehen und es wird ihnen die gegenseitige Zuordnung nicht bekanntgegeben.
Wenn einer der ausgewählten Systemoperator-Instanzen das System verlässt, kann der Sicherheitsschlüssel bzw.

   Teile des Sicherheitsschlüssels der Standard-Instanz 101 vorher erzeugt und an eine andere Systemoperator-Instanz weitergegeben werden.
Beim erfindungsgemässen Verfahren zur Verarbeitung von Objektdaten, hier Personendaten einer Standard-Instanz 101 werden in einem Speicherschritt die Personendaten in der Personendaten-Datenbank 20 gespeichert und in einem Abfrageschritt aus der Personendaten-Datenbank 20 auf die Personendaten zugegriffen.
Im Speicherschritt werden die Personenidentifikationsdaten 100 und die Nutzdaten 110 in der Personendaten-Datenbank 20 voneinander getrennt gespeichert, sodass sie aus der Personendaten-Datenbank 20 getrennt abgerufen werden können.

   Allein aus den gespeicherten Datensätzen ist jedoch - wie bereits vorstehend erwähnt kein Zusammenhang zwischen den Personenidentifikationsdaten 100 und den Nutzdaten 110 ableitbar.
Weiters werden im Vergabeschritt Sicherheitsschlüssel an jede der StandardInstanzen 101 vergeben und für jede Standard-Instanz 101 eine WiedergewinnungsInstanz definiert, indem zwei oder mehrere Systemoperator-Instanzen aus mehreren, voneinander unabhängigen Systemoperator-Instanzen 30 ausgewählt werden, ohne dass den ausgewählten Systemoperator-Instanzen die Identität der jeweils anderen ausgewählten Systemoperator-Instanz(en) sowie der Standard-Instanz 101 selbst bekannt ist, wobei der Sicherheitsschlüssel der jeweiligen Standard-Instanz 101 zumindest teilweise auch an die zwei oder mehreren,

   ausgewählten SystemoperatorInstanzen vergeben wird.
Das Vorsehen einer Wiedergewinnungs-Instanz ist nicht zwingend erforderlich, schützt aber vor dem völligen Datenverlust für eine Standard-Instanz 101 , wenn der zugehörige Sicherheitsschlüssel verloren gehen sollte.
Im Abfrageschritt wird über die Standard-Instanz nach Eingabe des Sicherheitsschlüssels auf die Personen-Identifikationsdaten 100 in Verbindung mit den zugehörigen Nutzdaten 110 zugegriffen, und gegebenenfalls wird über die zwei oder mehreren Systemoperator-Instanzen nach gemeinsamer Eingabe des Sicherheitsschlüssels auf die Personen-Identifikationsdaten 100 in Verbindung mit den zugehörigen Nutzdaten 110 zugegriffen.

   Der Sicherheitsschlüssel oder ein Teil davon verbleibt bei der Standard-Instanz 101 und gegebenenfalls weiteren von der Standard-Instanz 101 autorisierten Instanzen 50, 60 und steht bei dem Einsatz der Systemoperatoren als eine der optionalen Wiedergewinnungs-Instanzen den zumindest zwei ausgewählten SystemoperatorInstanzen 30 für den gemeinsamen Zugriff zur Verfügung.
In einer Weiterbildung des erfindungsgemässen Datenverarbeitungssystems können verschiedene Instanzen definiert sein, z.B. eine Standard-Instanz, eine assoziierte Instanz und eine autorisierte Instanz.
Die Standard-Instanz ist dabei die Inhaberin der Nutzdaten und hat unlimitierte Rechte, anderen Personen oder Instanzen den Zugriff auf die Nutzdaten zu gestatten.

   Die assoziierte Instanz wird durch die Standard-Instanz autorisiert und hat ebenfalls unbegrenzten Zugriff auf alle Daten der Standard-Instanz sowie die Berechtigung, weitere Instanzen zu autorisieren. Demgegenüber ist die autorisierte Instanz nur berechtigt, auf definierte Einträge der Datenbank 20 zuzugreifen, entsprechend der Autorisierung durch die Standard-Instanz oder die assoziierte Instanz. Weiters kann die assoziierte Instanz als Wiedergewinnungs-Instanz eingesetzt werden.
Im Ausführungsbeispiel gemäss Fig.2 sind die Systemkomponenten so angeordnet, dass die jeweiligen Instanzen 101 , 50, 60 sowie 40 ohne der in Fig.1 zwischengeschalteten Logik Zugriff auf die Objektdaten-Datenbank 20 hat.

   Die Logik wird somit dezentral realisiert.
Zur Erstellung des Sicherheitsschlüssels wird von der Logik 70 oder der Personendaten-Datenbank 20 für die Zuordnung von Personenidentifikationsdaten 100 und Nutzdaten 110 einer bestimmten Standard-Instanz 101 ein innerer Schlüssel der jeweiligen Standard-Instanz generiert und an diese Standard-Instanz 101 sowie optional an eine oder mehrere Wiedergewinnungs-Instanzen weitergeleitet.

   Der Sicherheitsschlüssel wird von dieser Standard-Instanz 101 und den Wiedergewinnungs-Instanzen mit jeweils einem äusseren Schlüssel verschlüsselt an die Objektdaten-Datenbank 20 zurückgesendet und dort abgelegt.
Der Sicherheitsschlüssel kann zwei- oder mehrteilig ausgebildet sein, sodass ein äusserer Schlüssel bei der Standard-Instanz verbleibt und über diesen auf einen nächstinneren Schlüssel zugegriffen bzw. dieser durch Entschlüsselung zugänglich gemacht werden kann. Dieser nächstinnere Schlüssel kann wiederum auf den seinerseits nächstinneren Schlüssel zugreifen, usw.

   Auf diese Weise können Zugriffsberechtigungen je nach Anzahl der verwendeten Schichten verschiedenartig festgelegt werden.
Bei Verlust des äusseren Schlüssels durch die Standard-Instanz kann z.B. eine weitere Instanz berechtigt sein kann, auf den nächstinneren Schlüssel zuzugreifen bzw. diesen durch Entschlüsselung zugänglich zu machen. Der Datenzugriff wird durch Entschlüsselung bis zur innersten Schicht ermöglicht, wonach wieder ein neuer äusserer Schlüssel gebildet werden kann, welcher der betroffenen Instanz zur Verfügung gestellt wird.
Fig.3 zeigt ein zur Umsetzung der Erfindung verwendbares Zugriffs-Schichtenmodell.

   Es ist eine äussere Schicht 200 und eine innere Schicht 201 ausgebildet.
Die Standard-Instanz 101 gibt den äusseren Schlüssel 90 der äusseren Schicht 200 ein und entschlüsselt damit in der inneren Schicht 201 den inneren Schlüssel Kso<"1>der Standard-Instanz 101 , der wiederum den Zugriff auf die Nutzdaten CD der Standard-Instanz 101 mit der Nutzdatenidentifikation CID ermöglicht.
Zugleich verfügt die assoziierte Instanz 60 über einen äusseren Schlüssel 91 , der seinen inneren Schlüssel KAO<"1>entschlüsselt, welcher hiermit Zugriff auf den inneren Schlüssel Kso<"1>der Standard-Instanz 101 bietet. Ändert die Standard-Instanz 101 ihre inneren Schlüssel kann sie jederzeit einen weiteren Zugriff durch die assoziierte Instanz und die Systemoperator-Instanzen verhindern.

   Der äussere Schlüssel der Standard-Instanz kann dabei aber beibehalten werden.
Die beiden Systemoperator-Instanzen 30 entschlüsseln den inneren Schlüssel Kso<"1>der Standard-Instanz 101 mit ihren jeweiligen inneren Schlüsseln Koo<"1>, der wiederum durch ihre äusseren Schlüssel 93, 94 entschlüsselt wird.
Für die autorisierte Instanz 50 liegt nur die Berechtigung für den Zugriff auf bestimmte Datensätze vor, die über den äusseren Schlüssel 92 und den inneren Schlüssel KAO<"1>realisiert wird.
Wenn im Rahmen der Erfindung von einem äusseren und einem inneren Schlüssel die Rede ist, so können diese vorzugsweise jeweils aus einem privaten und einem öffentlichen Schlüssel gebildet sein, wodurch die Flexibilität erhöht wird.
Fig.4 zeigt den Ablauf im erfindungsgemässen Datenverarbeitungssystem für das Hinzufügen einer neuen Standard-Instanz 101.

   Folgende Schritte werden dabei ausgeführt, welche in Fig.4 schematisch wiedergegeben sind:
Schritt (1): Die neue Standard-Instanz 101 identifiziert sich gegenüber der Logik 70 bzw. einer autorisierten Person.
Schritt (2): Die Personenidentifikationsdaten (SID) der Standard-Instanz 101 werden von der Logik 70 an die Datenbank 20 gesendet.
Schritt (3): Die Datenbank 20 meldet, dass die angegebene SID unbekannt ist.
Schritt (4): Die Logik 70 generiert für die hinzuzufügende Standard-Instanz einen neuen Sicherheits-Schlüssel, der ein Schlüsselpaar aus einem inneren Schlüssel sowie einem äusseren Schlüssel umfasst, und überträgt den privaten inneren Schlüssel Kso<"1>verschlüsselt mit dem äusseren öffentlichen Schlüssel Ks der Standard-Instanz 101 zur Datenbank 20.

   Schritt (5): Die Logik 70 überträgt den inneren privaten Schlüssel Kso<"1>der StandardInstanz 101 nacheinander verschlüsselt mit zwei oder mehreren äusseren öffentlichen Schlüsseln Koo der Systemoperator-Instanzen 30 zur Datenbank 20. Damit steht der innere private Schlüssel KSo<"1>der Standard-Instanz 101 den ausgewählten StandardInstanzen gemeinsam zur Verfügung, wenn diese ihre inneren privaten Schlüssel anwenden, um den inneren privaten Schlüssel Kso<"1>der Standard-Instanz 101 zu entschlüsseln.
Eine zweite Möglichkeit ist, dass der innere private Schlüssel Kso<"1>der StandardInstanz 101 aufgeteilt wird und mit den jeweiligen öffentlichen Schlüsseln Koo der Systemoperator-Instanzen 30 verschlüsselt in der Datenbank 20 gespeichert wird.
Schritt (6): Die Logik 70 überträgt den inneren öffentlichen Schlüssel Kso der Standard-Instanz 101 zur Datenbank 20.

   Auf diese Weise können Daten der Standard-Instanz 101 mit dem Schlüssel Kso verschlüsselt werden.
Schritt (7): Die Logik 70 überträgt den äusseren öffentlichen Schlüssel Ks der Standard-Instanz 101 zur Datenbank 20.
Schritt (8): Die Logik 70 überträgt die Personenidentifikationsdaten (SID) der Standard-Instanz 101 verschlüsselt mit den inneren öffentlichen Schlüsseln Koo der Systemoperatoren 30 zur Datenbank 20.
Schritt (9): Die Logik 70 übergibt den äusseren privaten Schlüssel 90 (z.B. zur Speicherung auf einer Smartcard) an die entsprechende Standard-Instanz 101. Der äussere Schlüssel 90 ist somit Teil des Sicherheitsschlüssels und wird zum Zugriff auf den inneren Schlüssel der Standard-Instanz benötigt.

   Alternativ kann die Logik 70 die Verbindung zwischen den ausgewählten Systemoperatoren 30 und der zugehörigen Standard-Instanz 101 auch selbst verschlüsseln und so geheimhalten. 
Sobald der Sicherheitsschlüssel an die Standard-Instanz 101 vergeben worden ist, bleibt er über seine gesamte Lebensdauer der Standard-Instanz im System einmalig vorhanden, oder die Standard-Instanz 101 entscheidet sich, ihn zu ändern.
Fig.5 beschreibt den Ablauf zur Herausgabe eines neuen äusseren Sicherheitsschlüssels an eine bestehende Standard-Instanz.

   Folgende Schritte werden dabei ausgeführt, welche in Fig.5 schematisch wiedergegeben sind:
Schritt (1): Die Standard-Instanz 101 identifiziert sich gegenüber der Logik 70 bzw. einer autorisierten Person.
Schritt (2): Die Standard-Instanz 101 sendet ihre Personen identifikationsdaten (SID) an die Logik 70.
Schritt (3): Die Logik 70 sendet die Personenidentifikationsdaten (SID) der StandardInstanz 101 an die Datenbank 20.
Schritt (4): Die Datenbank 20 antwortet mit der Übermittlung aller den Systemoperatoren 30 zugewiesenen Personenidentifikationsdaten (SIDs).
Schritt (5): Die Logik 70 sendet die gewünschten Personenidentifikationsdaten (SID) der Standard-Instanz 101 sowie die den Systemoperatoren 30 zugewiesenen Personenidentifikationsdaten (SIDs) verschlüsselt mit dem inneren öffentlichen Schlüssel Koo des jeweiligen Systemoperators 30 an alle Systemoperatoren 30.

   Diese entschlüsseln ihre zugewiesenen Personenidentifikationsdaten (SIDs) mit ihrem inneren privaten Schlüssel Koo<"1>und stellen durch Vergleich mit den gewünschten Personenidentifikationsdaten (SID) der Standard-Instanz 101 fest, ob sie für die jeweilige Standard-Instanz 101 zuständig sind.
Optional können die zugewiesenen Personenidentifikationsdaten (SIDs) zusätzlich mit dem öffentlichen Schlüssel K o der Logik verschlüsselt sein. In diesem Fall können die Systemoperatoren 30 nicht feststellen, ob sie einer Standard-Instanz 101 zugeordnet sind.

   Es folgt daher die Übermittlung der einfach entschlüsselten zugewiesenen Personenidentifikationsdaten (SIDs) an die Logik 70.
Schritt (6): Die Systemoperatoren 30 benachrichtigen die Logik 70 über ihre Zuständigkeit betreffend der Standard-Instanz 101.
Optional können die Systemoperatoren 30 der Logik 70 auch die mit dem jeweiligen Systemoperator-Schlüssel entschlüsselten, aber noch mit dem öffentlichen Schlüssel KLO der Logik 70 verschlüsselten SIDs übermitteln.

   In diesem Fall entschlüsselt die Logik 70 die SIDs mit dem privaten Schlüssel K o<"1>der Logik 70 und stellt durch Vergleich mit den gewünschten Personenidentifikationsdaten (SID) der Standard Instanz 101 fest, welche Systemoperator-Instanzen 30 welcher Standard-Instanz 101 zugeordnet sind.
Schritt (7): Die Logik 70 sendet die Liste der zuständigen Systemoperatoren 30 an die Datenbank 20.
Schritt (8): Die Datenbank 20 übermittelt den inneren privaten Schlüssel Kso<"1>der Standard-Instanz 101 nacheinander verschlüsselt mit zwei oder mehreren öffentlichen Systemoperator-Instanz 30-Schlüsseln Koo zur Logik 70.
Eine zweite Möglichkeit ist, dass der innere private Schlüssel Kso<"1>der StandardInstanz 101 aufgeteilt wurde und mit den jeweiligen öffentlichen Schlüsseln Koo der Systemoperator-Instanzen 30 verschlüsselt übertragen wird.
Schritt 9):

   Die Logik 70 überträgt den inneren privaten Schlüssel Kso<"1>der StandardInstanz 101 nacheinander verschlüsselt mit zwei oder mehreren öffentlichen Schlüsseln Koo der Systemoperatoren-Instanzen 30 zu den jeweilig zuständigen Systemoperatoren-Instanzen 30. Eine zweite Möglichkeit ist, dass der Schlüssel Kso<"1>der Standard-Instanz 101 aufgeteilt wurde und mit den jeweiligen öffentlichen Schlüsseln Koo der Systemoperator-Instanzen 30 verschlüsselt übertragen wird.
Schritt (10): Die Logik 70 sendet den neuen äusseren öffentlichen Schlüssel Ks' der Standard-Instanz 101 an die jeweilig zuständigen Systemoperator-Instanzen 30.
Schritt (11):

   Die jeweilig zuständigen Systemoperator-Instanzen 30 entschlüsseln nacheinander den inneren privaten Schlüssel KSo<"1>der Standard-Instanz 101 mit ihren jeweiligen inneren privaten Schlüsseln K0o<"1>und verschlüsseln den inneren privaten Schlüssel KSo<"1>der Standard-Instanz 101 mit dem äusseren öffentlichen Schlüssel Ks' der Standard-Instanz 101 und übertragen diesen an die Logik 70.

   Optional ist es hier möglich, dass zusätzlich eine Verschlüsselung mit dem Schlüssel KLO der Logik 70 vorgenommen wird, um die Schlüssel auch vor den Systemoperator-Instanzen geheim zu halten.
Eine zweite Möglichkeit ist, dass der Schlüssel Kso<"1>der Standard-Instanz 101 aufgeteilt wird und mit den jeweiligen öffentlichen Schlüssel K0o der SystemoperatorInstanzen 30 verschlüsselt in der Datenbank 20 gespeichert wird
Schritt (12): Die Logik 70 übergibt den mit dem neuen äusseren öffentlichen Schlüssel Ks' der Standard-Instanz 101 verschlüsselten inneren privaten Schlüssel Kso<"1>der Standard-Instanz 101 an die Datenbank 20.
Schritt (13): Die Logik 70 ersetzt den bisher gültigen äusseren öffentlichen Schlüssel Ks der Standard-Instanz 101 durch den neuen äusseren öffentlichen Schlüssel Ksder Standard-Instanz 101.
Schritt (14):

   Die Logik 70 übergibt den äusseren privaten Sicherheitsschlüssel 90 (z.B. Smartcard) an die entsprechende Standard-Instanz 101. Für die Eintragung von Nutzdaten 110 in der Personendaten-Datenbank 20 werden weitere Sicherheitsschlüssel generiert, die mit dem inneren öffentlichen Schlüssel der Standard-Instanz verschlüsselt werden, wobei gegebenenfalls die weiteren Sicherheitsschlüssel mit dem inneren öffentlichen Schlüssel der autorisierten Instanz verschlüsselt werden.
Auf diese Weise kann kein direkter Zusammenhang zwischen den Nutzdaten 110 und der Standard-Instanz 101 hergestellt werden, indem über bestimmte Eigenschaften der Standard-Instanz 101, z.B. über den Verlauf einer Krankheit, Rückschlüsse gezogen werden. Damit wird das Erstellen von Profilen über die Standard-Instanzen wirkungsvoll verhindert.

   Der weitere Sicherheitsschlüssel wird vorzugsweise von Zeit zu Zeit oder nach einer bestimmten Anzahl an NutzdatenEinträgen verändert.
Fig.6 beschreibt den Ablauf zum Hinzufügen neuer Nutzdaten. Folgende Schritte werden dabei ausgeführt, welche in Fig.6 schematisch wiedergegeben sind:
Schritt (1): Die Standard-Instanz 101 meldet sich im System durch Eingabe des Sicherheitsschlüssels an, indem z.B. ein PIN-Code eingegeben wird, um sich gegenüber einer Smartcard 90 zu authentifizieren.
Schritt (2): Die Standard-Instanz 101 übermittelt ihre Personenidentifikationsdaten (SID) an die Logik 70.

   Im gleichen Schritt wird der Standard-Instanz 101 auch der öffentliche Schlüssel der Logik 70 KLObekannt gegeben.
Schritt (3): Die Standard-Instanz 101 übermittelt neue Nutzdaten (CD) an die Logik 70.
Schritt (4): Die Standard-Instanz 101 übermittelt eine indizierende Kennzeichnung ID (z.B. Suchbegriffe, Datum, etc.) verschlüsselt mit dem öffentlichen Schlüssel der Logik K O an die Logik 70.

   Schritt (5): Die Logik überträgt die Personenidentifikationsdaten (SID) der StandardInstanz 101 an die Datenbank 20.
Schritt (6): Falls ein neuer Schlüssel erzeugt werden muss, informiert die Datenbank 20 die Logik 70.
Schritt (7): Die Logik 70 erzeugt einen neuen Nutzdaten-Schlüssel Ksi und verschlüsselt diesen mit dem inneren öffentlichen Schlüssel Kso der Standard-Instanz 101 und übermittelt diesen an die Datenbank 20.
Schritt (8): Danach verschlüsselt die Logik 70 die Personenidentifikationsdaten (SID) der Standard-Instanz 101 mit dem Nutzdaten-Schlüssel Ksi und überträgt sie zur Datenbank 20. Dieses Merkmal wird als Nutzdaten-Identifikationscode (CID) bezeichnet.
Schritt (9): Danach entschlüsselt die Logik 70 die gewählte indizierende Kennzeichnung (z.B.

   Suchbegriffe, Datum, etc.) der Standard-Instanz 101 mit dem privaten Schlüssel der Logik KLO<"1>und verschlüsselt die Kennzeichnung (ID) mit dem inneren öffentlichen Schlüssel Kso der Standard-Instanz 101.
Schritt (10): Abschliessend überträgt die Logik 70 die Nutzdaten (CD) zur Datenbank 20 und bindet sie an die zuvor gebildeten Identifikationsdaten.
Fig.7 beschreibt den Ablauf zum Lesen vorhandener Nutzdaten. Folgende Schritte werden dabei ausgeführt, welche in Fig.7 schematisch wiedergegeben sind:
Schritt (1): Die Standard-Instanz 101 meldet sich im System durch Eingabe des Sicherheitsschlüssels an, indem z.B. ein PIN-Code eingegeben wird, um sich gegenüber einer Smartcard 90 zu authentifizieren.

   Schritt (2): Die Standard-Instanz 101 übermittelt ihre Personenidentifikationsdaten (SID) an die Logik 70.
Schritt (3): Die Logik 70 übermittelt die Personenidentifikationsdaten (SID) der Standard-Instanz 101 an die Datenbank 20.
Schritt (4): Die Datenbank 20 übermittelt alle indizierenden Kennzeichnungen (CIDs) verschlüsselt mit dem inneren öffentlichen Schlüssel Kso der Standard-Instanz 101 an die Logik 70.
Schritt (5): Die Logik 70 übermittelt alle indizierenden Kennzeichnungen (CIDs) verschlüsselt mit dem inneren öffentlichen Schlüssel Kso der Standard-Instanz an die Standard-Instanz 101.
Schritt (6): Die Standard-Instanz 101 entschlüsselt ihren inneren privaten Schlüssel Kso<"1>mit ihrem äusseren privaten Schlüssel Ks<"1>.

   Anschliessend benutzt sie den inneren privaten Schlüssel Kso<"1>, um die verschlüsselten indizierenden Kennzeichnungen (CIDs) zu entschlüsseln und eine Kennzeichnung (ID) sowie einen zugehörigen Nutzdaten-Schlüssel Ksi auszuwählen. Danach verschlüsselt sie ihre Personenidentifikationsdaten (SID) mit dem zur entsprechenden indizierten Kennzeichnung assoziierten Nutzdaten-Schlüssel Ksi und übermittelt den daraus resultierende Nutzdaten-Identifikationscode (CID) an die Logik 70.
Schritt (7): Die Logik 70 sendet den Nutzdaten-Identifikationscode an die Datenbank 20.
Schritt (8): Die Datenbank 20 sendet die Nutzdaten an die Logik 70.
Schritt (9): Die Logik übermittelt die Nutzdaten an die Standard-Instanz 101. Fig.8 beschreibt den Ablauf zum Hinzufügen einer assoziierten Instanz.

   Folgende Schritte werden dabei ausgeführt, welche in Fig.8 schematisch wiedergegeben sind:
Schritt (1a. 1b): Die Standard-Instanz 101 und die assoziierte Instanz 60 melden sich im System durch Eingabe des Sicherheitsschlüssels an, indem z.B. ein PIN-Code eingegeben wird, um sich gegenüber einer Smartcard 90 zu authentifizieren.
Schritt (2): Die Personenidentifikationsdaten (SID) der Standard-Instanz 101 werden von der Standard-Instanz 101 an die Logik 70 übermittelt.
Schritt (3): Die Logik 70 sendet die Personenidentifikationsdaten (SID) der StandardInstanz 101 an die Datenbank 20.
Schritt (4): Die assoziierte Instanz 60 übermittelt ihre Personenidentifikationsdaten (AID) an die Logik 70.
Schritt (5): Die Logik 70 übermittelt die Personenidentifikationsdaten (AID) der assoziierten Instanz 60 an die Datenbank 20.
Schritt (6):

   Die Datenbank 20 übermittelt den inneren öffentlichen Schlüssel KSo der Standard-Instanz 101 an die Logik 70.
Schritt (7): Die Datenbank 20 übermittelt den inneren öffentlichen Schlüssel KAO der assoziierten Instanz 60 an die Logik 70.
Schritt (8): Die Datenbank 20 sendet den inneren privaten Schlüssel Kso<"1>der Standard-Instanz 101 verschlüsselt mit dem äusseren öffentlichen Schlüssel Ks der Standard-Instanz 101 an die Logik 70.
Schritt (9): Die Logik 70 sendet den inneren privaten Schlüssel Kso<"1>der StandardInstanz 101 verschlüsselt mit dem äusseren öffentlichen Schlüssel Ks der StandardInstanz 101 an die Standard-Instanz 101. 
Schritt (10): Die Logik 70 sendet den inneren öffentlichen Schlüssel KAo der assoziierten Instanz 60 an die Standard-Instanz 101.
Schritt (11):

   Die Standard-Instanz 101 entschlüsselt ihren inneren privaten Schlüssel Kso<"1>mit ihrem äusseren privaten Schlüssel Ks<"1>und verschlüsselt ihren inneren privaten Schlüssel Kso<"1>mit dem inneren öffentlichen Schlüssel KAO der assoziierten Instanz 60 und übermittelt diesen an die Logik 70.
Schritt (12): Die Logik 70 sendet den inneren privaten Schlüssel Kso<"1>verschlüsselt mit dem inneren öffentlichen Schlüssel KAO der assoziierten Instanz 60 an die Datenbank 20.
Schritt (13): Die Logik 70 sendet die Personenidentifikationsdaten (SID) der Standard-Instanz 101 verschlüsselt mit dem inneren öffentlichen Schlüssel KAO der assoziierten Instanz 60 an die Datenbank 20.
Schritt (14):

   Die Logik 70 sendet die Personenidentifikationsdaten (AID) der assoziierten Instanz 60 verschlüsselt mit dem inneren öffentlichen Schlüssel Kso der Standard-Instanz 101 an die Datenbank 20.
Fig.9 beschreibt den Ablauf zum Hinzufügen einer autorisierten Instanz 50. Folgende Schritte werden dabei ausgeführt, welche in Fig.9 schematisch wiedergegeben sind:
Schritt (1): Die Standard-Instanz 101 und die autorisierte Instanz 50 melden sich im System durch Eingabe des Sicherheits-Tokens an, indem z.B. ein PIN-Code eingegeben wird, um sich gegenüber einer Smartcard 90 zu authentifizieren. Im gleichen Schritt wird der Standard-Instanz 101 auch der öffentliche Schlüssel der Logik K O bekanntgegeben.

   Schritt (2): Die Personenidentifikationsdaten (SID) der Standard-Instanz 101 werden von der Standard-Instanz an die Logik 70 übermittelt.
Schritt (3): Die Logik 70 sendet die Personenidentifikationsdaten (SID) der StandardInstanz 101 an die Datenbank 20.
Schritt (4): Die autorisierte Instanz 50 übermittelt ihre Personenidentifikationsdaten (BID) an die Logik 70.
Schritt (5): Die Logik übermittelt die Personenidentifikationsdaten (BID) der autorisierten Instanz 50 an die Datenbank 20.
Schritt (6): Falls ein neuer Schlüssel erzeugt werden muss, informiert die Datenbank 20 die Logik 70.
Schritt (7): Die Datenbank 20 übermittelt den inneren öffentlichen Schlüssel KSo der Standard-Instanz 101 an die Logik 70.
Schritt (8): Die Datenbank 20 übermittelt den inneren öffentlichen Schlüssel KBo der autorisierten Instanz 50 an die Logik 70.
Schritt (9):

   Die Datenbank 20 übermittelt alle indizierenden Kennzeichnungen (CIDs) verschlüsselt mit dem inneren öffentlichen Schlüssel Kso der Standard-Instanz 101 an die Logik 70.
Schritt (10): Die Logik 70 übermittelt alle indizierenden Kennzeichnungen (CIDs) verschlüsselt mit dem inneren öffentlichen Schlüssel Kso der Standard-Instanz 101 an die Standard-Instanz 101.
Schritt (11): Die Standard-Instanz 101 übermittelt eine indizierende Kennzeichnung inklusive zugehörigem Nutzdaten-Schlüssel Ksi (z.B. Suchbegriffe, Datum, etc.) verschlüsselt mit dem öffentlichen Schlüssel KLO an die Logik 70. Schritt (12): Danach entschlüsselt die Logik 70 die gewählte indizierende Kennzeichnung (z.B.

   Suchbegriffe, Datum, etc.) der Standard-Instanz 101 mit dem privaten Schlüssel der Logik K o<"1>und verschlüsselt die Kennzeichnung mit dem inneren öffentlichen Schlüssel KBO der autorisierten Instanz 50 und überträgt diese zur Datenbank 20.
Schritt (13): Anschliessend verschlüsselt die Logik 70 den gewählten NutzdatenSchlüssel Ksi mit dem inneren öffentlichen Schlüssel KBO der autorisierten Instanz 60 und überträgt diesen zur Datenbank 20.
Schritt (14): Die Logik 70 sendet die Personenidentifikationsdaten (SID) der Standard-Instanz 101 verschlüsselt mit dem inneren öffentlichen Schlüssel KBOder autorisierten Instanz 50 an die Datenbank 20.
Schritt (15): Die Logik 70 sendet die Personenidentifikationsdaten (BID) der autorisierten Instanz 50 verschlüsselt mit dem inneren öffentlichen Schlüssel Kso der Standard-Instanz 101 an die Datenbank 20.

Claims (5)

P A T E N T A N S P R Ü C H E
1. Datenverarbeitungssystem zur Verarbeitung von Objektdaten einer Vielzahl von Standard-Instanzen (101), wobei die Objektdaten Objektidentifikationsdaten (100) und zugehörige Nutzdaten (110) umfassen, mit einer Objektdaten-Datenbank (20), in welcher die Objektdaten über Zugriffseinrichtungen speicherbar und abrufbar sind, dadurch gekennzeichnet,
dass die Objektidentifikationsdaten (100) und die Nutzdaten (110) in der ObjektdatenDatenbank (20) voneinander getrennt speicherbar und abrufbar sind, sodass allein aus den gespeicherten Datensätzen kein Zusammenhang zwischen den Objektidentifikationsdaten (100) und den Nutzdaten (110) ableitbar ist,
dass zumindest eine Eingabevorrichtung vorgesehen ist, welche bei Eingabe eines von für die Standard-Instanzen (101) vergebenen Sicherheitsschlüssel den Zugriff auf die Objektidentifikationsdaten (100) der zugeordneten Standard-Instanz und auf die zugehörigen Nutzdaten (110) ermöglicht,
dass gegebenenfalls für jede der Standard-Instanzen (101) zumindest eine zugeordnete Wiedergewinnungs-Instanz ausserhalb der Objektdaten-Datenbank (20) definiert ist, über welche bei Verlust des Sicherheitsschlüssels dieser wieder erzeugt werden kann, und
dass der Sicherheitsschlüssel oder ein Teil davon bei der Standard-Instanz (101) und gegebenenfalls zusätzlich bei der zugeordneten Wiedergewinnungs-Instanz und/oder bei weiteren von der Standard-Instanz bestimmten Instanzen (50, 60) verbleibt oder von diesen auf ihn zugegriffen werden kann.
1. Datenverarbeitungssystem zur Verarbeitung von Objektdaten einer Vielzahl von Standard-Instanzen (101), wobei die Objektdaten Objektidentifikationsdaten (100) und zugehörige Nutzdaten (110) umfassen, mit einer Objektdaten-Datenbank (20), in welcher die Objektdaten über Zugriffseinrichtungen speicherbar und abrufbar sind, dadurch gekennzeichnet,
dass die Objektidentifikationsdaten (100) und die Nutzdaten (110) in der ObjektdatenDatenbank (20) voneinander getrennt speicherbar und abrufbar sind, sodass allein aus den gespeicherten Datensätzen kein Zusammenhang zwischen den Objektidentifikationsdaten (100) und den Nutzdaten (110) ableitbar ist,
dass zumindest eine Eingabevorrichtung vorgesehen ist, welche bei Eingabe eines von für die Standard-Instanzen (101) vergebenen Sicherheitsschlüssel den Zugriff auf die Objektidentifikationsdaten (100) der zugeordneten Standard-Instanz und auf die zugehörigen Nutzdaten (110) ermöglicht,
dass gegebenenfalls für jede der Standard-Instanzen (101) zumindest eine zugeordnete Wiedergewinnungs-Instanz ausserhalb der Objektdaten-Datenbank (20) definiert ist, über welche bei Verlust des Sicherheitsschlüssels dieser wieder erzeugt werden kann, und
dass der Sicherheitsschlüssel oder ein Teil davon bei der Standard-Instanz (101) und gegebenenfalls zusätzlich bei der zugeordneten Wiedergewinnungs-Instanz und/oder bei weiteren von der Standard-Instanz bestimmten Instanzen (50, 60) verbleibt oder von diesen auf ihn zugegriffen werden kann.
2
7. Datenverarbeitungssystem nach Anspruch 4, 5 oder 6, dadurch gekennzeichnet, dass die weiteren Instanzen eine oder mehrere ForschungsInstanzen (40) umfassen, die zum Zwecke der Analyse ausschliesslich Zugriff auf die Nutzdaten (110) haben.
8. Datenverarbeitungssystem nach einem Ansprüche 1 bis 7, dadurch gekennzeichnet, dass jedem Eintrag mit Nutzdaten in der Objektdaten-Datenbank (20) eine Nutzdaten-Identifikation zugeordnet ist.
9. Datenverarbeitungssystem nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass der Sicherheitsschlüssel oder Teile davon auf einem Sicherheitstoken gespeichert ist, z.B. auf einer Smartcard (90), welche über einen PIN-Kode verfügt.
10. Datenverarbeitungssystem nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass die Objektdaten-Datenbank (20) durch zwei separate Datenbanken gebildet ist, wobei in der einen Datenbank Objektidentifikationsdaten und in der anderen Datenbank Nutzdaten gespeichert sind.
11. Datenverarbeitungssystem nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, dass die Objektdaten-Datenbank eine Personendaten-Datenbank ist und die Objektidentifikationsdaten (100) Personendaten, insbesondere Patientendaten sind.
12. Datenverarbeitungssystem nach einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, dass der Sicherheitsschlüssel jeder der Standard-Instanzen (101) aus einem oder mehreren inneren und einem oder mehreren äusseren Schlüssel gebildet ist, wobei die Verbindung der Nutzdaten mit den Objektidentifikationsdaten der jeweiligen Standard-Instanz dadurch erreicht wird, dass es einen innersten Schlüssel gibt, mit dem die Objektidentifikationsdaten verschlüsselt werden, wobei der äussere Schlüssel jeweils bei den Standard-Instanzen (101) verbleibt und die Möglichkeit des Zugriffs auf den inneren Schlüssel bietet, und wobei der innere Schlüssel als Zugriffsmöglichkeit auf die innersten Schlüssel dient.
13. Verfahren zur Verarbeitung von Objektdaten von Standard-Instanzen, welche Objektidentifikationsdaten (100) und zugehörige Nutzdaten (110) umfassen, wobei in einem Speicherschritt die Objektdaten in einer Objektdaten-Datenbank (20) gespeichert und in einem Abfrageschritt aus der Objektdaten-Datenbank auf die Objektdaten zugegriffen wird und diese abgerufen werden, dadurch gekennzeichnet,
dass im Speicherschritt die Objektidentifikationsdaten (100) und die Nutzdaten (110) in der Objektdaten-Datenbank (20) voneinander getrennt gespeichert werden, sodass sie aus der Objektdaten-Datenbank (20) getrennt abgerufen werden können, allein aus den gespeicherten Datensätzen jedoch kein Zusammenhang zwischen den Objektidentifikationsdaten (100) und den Nutzdaten (110) ableitbar ist,
dass in einem Vergabeschritt Sicherheitsschlüssel an jede der Standard-Instanzen (101) vergeben werden, die ein Zugreifen auf die Objektidentifikationsdaten und die zugehörigen Nutzdaten für jede der Standard-Instanzen ermöglichen, wobei gegebenenfalls für jede der Standard-Instanzen eine Wiedergewinnungs-Instanz definiert wird, über welche bei Verlust des Sicherheitsschlüssels dieser wieder erzeugt werden kann,
dass jede der Standard-Instanzen weiteren Instanzen (60, 50) den vollen oder teilweisen Datenzugriff auf ihre Objektdaten gestatten kann,
und dass in einem Abfrageschritt über eine der Standard-Instanzen oder gegebenenfalls eine Wiedergewinnungs-Instanz und/oder eine der weiteren Instanzen (60, 50) nach Eingabe des Sicherheitsschlüssels oder eines Teils davon auf die Objektidentifikationsdaten (100) in Verbindung mit den zugehörigen Nutzdaten (110) zugegriffen wird.
14. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass für jede Standard-Instanz (101) zwei oder mehrere Systemoperator-Instanzen aus mehreren, voneinander unabhängigen Systemoperator-Instanzen (30) ausgewählt werden, ohne dass den ausgewählten Systemoperator-Instanzen die Identität der jeweils anderen ausgewählten Systemoperator-Instanz(en) bekannt ist, dass der Sicherheitsschlüssel der jeweiligen Standard-Instanz (101) auch an die zwei oder mehreren, ausgewählten Systemoperator-Instanzen vergeben wird, sowie den zumindest zwei ausgewählten Systemoperator-Instanzen für den gemeinsamen Zugriff zur Verfügung steht,
und gegebenenfalls im Abfrageschritt über die zwei oder mehreren SystemoperatorInstanzen nach gemeinsamer Eingabe des Sicherheitsschlüssels auf die Objektidentifikationsdaten in Verbindung mit den zugehörigen Nutzdaten zugegriffen wird.
15. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass eine der weiteren Instanzen als Wiedergewinnungs-Instanz definiert ist, und bei Verlust des Sicherheitsschlüssels dieser über diese weitere Instanz erzeugt wird.
16. Verfahren nach Anspruch 14, dadurch gekennzeichnet, dass zur Erstellung des Sicherheitsschlüssels von einer Logik (70) für die Zuordnung von Objektidentifikationsdaten (100) und Nutzdaten (110) einer bestimmten StandardInstanz (101) ein innerer Schlüssel der jeweiligen Standard-Instanz generiert wird und an diese Standard-Instanz (101) sowie an die zumindest zwei ausgewählten Systemoperator-Instanzen weitergeleitet wird, und dass der innere Schlüssel von dieser Standard-Instanz (101) und von den Systemoperator-Instanzen mit jeweils einem inneren Schlüssel verschlüsselt an die Objektdaten-Datenbank (20) zurückgesendet und dort abgelegt wird.
17. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass für die Eintragung von Nutzdaten (110) in der Objektdaten-Datenbank (20) ein weiterer Sicherheitsschlüssel generiert wird, der mit einem Sicherheitsschlüssel der Standard-
2. Datenverarbeitungssystem nach Anspruch 1 , dadurch gekennzeichnet, dass mehrere voneinander unabhängige Systemoperator-Instanzen (30) vorhanden sind, aus denen zwei oder mehrere Systemoperator-Instanzen für eine der StandardInstanzen (101) als die dieser zugeordneten Wiedergewinnungs-Instanz definiert sind, ohne dass den ausgewählten Systemoperator-Instanzen die Identität der jeweils anderen ausgewählten Systemoperator-Instanz(en) sowie der Standard-Instanz(en) bekannt ist, wobei den zumindest zwei ausgewählten Systemoperator-Instanzen ein gemeinsamer Zugriff auf die Objektidentifikationsdaten in Verbindung mit den zugehörigen Nutzdaten für die jeweilige Standard-Instanz möglich ist.
2. Datenverarbeitungssystem nach Anspruch 1 , dadurch gekennzeichnet, dass mehrere voneinander unabhängige Systemoperator-Instanzen (30) vorhanden sind,
30 aus denen zwei oder mehrere Systemoperator-Instanzen für eine der StandardInstanzen (101) als die dieser zugeordneten Wiedergewinnungs-Instanz definiert sind, ohne dass den ausgewählten Systemoperator-Instanzen die Identität der jeweils anderen ausgewählten Systemoperator-Instanz(en) sowie der Standard-Instanz(en) bekannt ist, wobei den zumindest zwei ausgewählten Systemoperator-Instanzen ein gemeinsamer Zugriff auf die Objektidentifikationsdaten in Verbindung mit den zugehörigen Nutzdaten für die jeweilige Standard-Instanz möglich ist.
3. Datenverarbeitungssystem nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass weitere Instanzen (60, 50) definiert sind, welche durch die Standard-Instanzen (101) zum vollen oder teilweisen Datenzugriff autorisiert sind.
3. Datenverarbeitungssystem nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass weitere Instanzen (60, 50) definiert sind, welche durch die Standard-Instanzen (101) zum vollen oder teilweisen Datenzugriff autorisiert sind.
4. Datenverarbeitungssystem nach Anspruch 3, dadurch gekennzeichnet, dass die weiteren Instanzen eine oder mehrere assoziierte Instanzen (60) umfassen, die jeweils durch eine der Standard-Instanzen (101) autorisiert sind und die gleiche Zugriffsberechtigung wie diese aufweisen sowie weitere Instanzen autorisieren können.
5. Datenverarbeitungssystem nach Anspruch 4, dadurch gekennzeichnet, dass die assoziierten Instanzen (60) als Wiedergewinnungs-Instanzen definiert sind.
6. Datenverarbeitungssystem nach einem der Ansprüche 4 oder 5, dadurch gekennzeichnet, dass die weiteren Instanzen eine oder mehrere autorisierte Instanzen (50) umfassen, die jeweils durch eine der Standard-Instanzen (101) autorisiert sind, auf vorbestimmte Einträge, die der jeweiligen Standard-Instanz zugeordnet sind, z.B. bestimmte Patienten- oder Gesundheitsdaten, in der Objektdaten-Datenbank (20) zuzugreifen.
4. Datenverarbeitungssystem nach Anspruch 3, dadurch gekennzeichnet, dass die weiteren Instanzen eine oder mehrere assoziierte Instanzen (60) umfassen, die jeweils durch eine der Standard-Instanzen (101) autorisiert sind und die gleiche Zugriffsberechtigung wie diese aufweisen sowie weitere Instanzen autorisieren können.
5. Datenverarbeitungssystem nach Anspruch 4, dadurch gekennzeichnet, dass die assoziierten Instanzen (60) als Wiedergewinnungs-Instanzen definiert sind.
6. Datenverarbeitungssystem nach einem der Ansprüche 4 oder 5, dadurch gekennzeichnet, dass die weiteren Instanzen eine oder mehrere autorisierte Instanzen (50) umfassen, die jeweils durch eine der Standard-Instanzen (101) autorisiert sind, auf vorbestimmte Einträge in der Objektdaten-Datenbank (20) zuzugreifen.
7. Datenverarbeitungssystem nach Anspruch 4, 5 oder 6, dadurch gekennzeichnet, dass die weiteren Instanzen eine oder mehrere ForschungsInstanzen (40) umfassen, die zum Zwecke der Analyse ausschliesslich Zugriff auf die Nutzdaten (110) haben.
31
8. Datenverarbeitungssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass jedem Eintrag mit Nutzdaten in der ObjektdatenDatenbank (20) eine Nutzdaten-Identifikation zugeordnet ist.
9. Datenverarbeitungssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Sicherheitsschlüssel oder Teile davon auf einem Sicherheitstoken gespeichert ist, z.B. auf einer Smartcard (90), welche über einen PIN-Kode verfügt.
10. Datenverarbeitungssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Objektdaten-Datenbank (20) durch zwei separate Datenbanken gebildet ist, wobei in der einen Datenbank Objektidentifikationsdaten und in der anderen Datenbank Nutzdaten gespeichert sind.
11. Datenverarbeitungssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Objektdaten-Datenbank eine PersonendatenDatenbank ist und die Objektidentifikationsdaten (100) Personendaten, insbesondere Patientendaten sind.
12. Datenverarbeitungssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Sicherheitsschlüssel jeder der StandardInstanzen (101) aus einem oder mehreren inneren und einem oder mehreren äusseren Schlüssel gebildet ist, wobei die Verbindung der Nutzdaten mit den Objektidentifikationsdaten der jeweiligen Standard-Instanz dadurch erreicht wird, dass es einen innersten Schlüssel gibt, mit dem die Objektidentifikationsdaten verschlüsselt werden. Der äussere Schlüssel verbleibt jeweils bei den StandardInstanzen (101) und bietet die Möglichkeit des Zugriffs auf den inneren Schlüssel. Der innere Schlüssel dient als Zugriffsmöglichkeit auf die innersten Schlüssel.
13. Verfahren zur Verarbeitung von Objektdaten von Standard-Instanzen, welche Objektidentifikationsdaten (100) und zugehörige Nutzdaten (110) umfassen, wobei in einem Speicherschritt die Objektdaten in einer Objektdaten-Datenbank (20)
32 gespeichert und in einem Abfrageschritt aus der Objektdaten-Datenbank auf die Objektdaten zugegriffen wird und diese abgerufen werden, dadurch gekennzeichnet,
dass im Speicherschritt die Objektidentifikationsdaten (100) und die Nutzdaten (110) in der Objektdaten-Datenbank (20) voneinander getrennt gespeichert werden, sodass sie aus der Objektdaten-Datenbank (20) getrennt abgerufen werden können, allein aus den gespeicherten Datensätzen jedoch kein Zusammenhang zwischen den Objektidentifikationsdaten (100) und den Nutzdaten (110) ableitbar ist,
dass in einem Vergabeschritt Sicherheitsschlüssel an jede der Standard-Instanzen (101) vergeben werden, die ein Zugreifen auf die Objektidentifikationsdaten und die zugehörigen Nutzdaten für jede der Standard-Instanzen ermöglichen, wobei gegebenenfalls für jede der Standard-Instanzen eine Wiedergewinnungs-Instanz definiert wird, über welche bei Verlust des Sicherheitsschlüssels dieser wieder erzeugt werden kann,
dass jede der Standard-Instanzen weiteren Instanzen (60, 50) den vollen oder teilweisen Datenzugriff auf ihre Objektdaten gestatten kann,
und dass in einem Abfrageschritt über eine der Standard-Instanzen oder gegebenenfalls eine Wiedergewinnungs-Instanz und/oder eine der weiteren Instanzen (60, 50) nach Eingabe des Sicherheitsschlüssels oder eines Teils davon auf die Objektidentifikationsdaten (100) in Verbindung mit den zugehörigen Nutzdaten (110) zugegriffen wird.
14. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass für jede Standard-Instanz (101) zwei oder mehrere Systemoperator-Instanzen aus mehreren, voneinander unabhängigen Systemoperator-Instanzen (30) ausgewählt werden, ohne dass den ausgewählten Systemoperator-Instanzen die Identität der jeweils anderen ausgewählten Systemoperator-Instanz(en) bekannt ist, dass der Sicherheitsschlüssel der jeweiligen Standard-Instanz (101) auch an die zwei oder
33 mehreren, ausgewählten.Systemoperator-Instanzen vergeben wird, sowie den zumindest zwei ausgewählten Systemoperator-Instanzen für den gemeinsamen Zugriff zur Verfügung steht,
und gegebenenfalls im Abfrageschritt über die zwei oder mehreren SystemoperatorInstanzen nach gemeinsamer Eingabe des Sicherheitsschlüssels auf die Objektidentifikationsdaten in Verbindung mit den zugehörigen Nutzdaten zugegriffen wird.
15. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass eine der weiteren Instanzen als Wiedergewinnungs-Instanz definiert ist, und bei Verlust des Sicherheitsschlüssels dieser über diese weitere Instanz erzeugt wird.
16. Verfahren nach Anspruch 14, dadurch gekennzeichnet, dass zur Erstellung des Sicherheitsschlüssels von einer Logik (70) für die Zuordnung von Objektidentifikationsdaten (100) und Nutzdaten (110) einer bestimmten StandardInstanz (101) ein innerer Schlüssel der jeweiligen Standard-Instanz generiert wird und an diese Standard-Instanz (101) sowie an die zumindest zwei ausgewählten Systemoperator-Instanzen weitergeleitet wird, und dass der innere Schlüssel von dieser Standard-Instanz (101) und von den Systemoperator-Instanzen mit jeweils einem inneren Schlüssel verschlüsselt an die Objektdaten-Datenbank (20) zurückgesendet und dort abgelegt wird.
17. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass für die Eintragung von Nutzdaten (110) in der Objektdaten-Datenbank (20) ein weiterer Sicherheitsschlüssel generiert wird, der mit einem Sicherheitsschlüssel der StandardInstanz und einem Sicherheitsschlüssel der ausgewählten Systemoperator-Instanzen verschlüsselt wird, wobei gegebenenfalls der weitere Sicherheitsschlüssel mit dem inneren Schlüssel der autorisierten und/oder assoziierten Instanz verschlüsselt wird. Wien, am 21. November 2006 Braincon Handels-GmbH
HÄUPL & ELLMEYER KEG PATENTÄKJVÄLTSKANZLEI
PATENT WALTSK^ZLEI ^^ HÄUF ELLMEYER KEG I
Ä?ÄS[deg.] ' ^SSE50(KIRCHENGASSE t) ' A.1070 WIEN - TEL S231601
- 34 A-1070WIEN TEL 523160/
111495 - Braincon Handels-GmbH
A 1928/2006 Kl. G 06 F
NEUE PATENTANSPRÜCHE
5
Instanz und einem Sicherheitsschlüssel der ausgewählten Systemoperator-Instanzen verschlüsselt wird, wobei gegebenenfalls der weitere Sicherheitsschlüssel mit dem inneren Schlüssel der autorisierten und/oder assoziierten Instanz verschlüsselt wird.
Wien, am J 0, Mdj 2007 Braincon Handels-GmbH durch:
HÄUPL & ELLMEYER KEG
AT19282006A 2006-11-21 2006-11-21 Datenverarbeitungssystem zur verarbeitung von objektdaten AT503291B1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
AT19282006A AT503291B1 (de) 2006-11-21 2006-11-21 Datenverarbeitungssystem zur verarbeitung von objektdaten
PCT/AT2007/000524 WO2008061267A1 (de) 2006-11-21 2007-11-21 Datenverarbeitungssystem zur verarbeitung von objektdaten

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
AT19282006A AT503291B1 (de) 2006-11-21 2006-11-21 Datenverarbeitungssystem zur verarbeitung von objektdaten

Publications (2)

Publication Number Publication Date
AT503291B1 AT503291B1 (de) 2007-09-15
AT503291A4 true AT503291A4 (de) 2007-09-15

Family

ID=38474507

Family Applications (1)

Application Number Title Priority Date Filing Date
AT19282006A AT503291B1 (de) 2006-11-21 2006-11-21 Datenverarbeitungssystem zur verarbeitung von objektdaten

Country Status (2)

Country Link
AT (1) AT503291B1 (de)
WO (1) WO2008061267A1 (de)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19925910B4 (de) * 1999-06-07 2005-04-28 Siemens Ag Verfahren zum Be- oder Verarbeiten von Daten
WO2003034294A2 (de) * 2001-10-11 2003-04-24 Symbasis Gmbh Datenverarbeitungssystem für patientendaten
US20030074564A1 (en) * 2001-10-11 2003-04-17 Peterson Robert L. Encryption system for allowing immediate universal access to medical records while maintaining complete patient control over privacy
US8139770B2 (en) * 2003-12-23 2012-03-20 Wells Fargo Bank, N.A. Cryptographic key backup and escrow system
AU2004201058B1 (en) * 2004-03-15 2004-09-09 Lockstep Consulting Pty Ltd Means and method of issuing Anonymous Public Key Certificates for indexing electronic record systems
WO2005098736A2 (en) * 2004-03-26 2005-10-20 Convergence Ct System and method for controlling access and use of patient medical data records

Also Published As

Publication number Publication date
AT503291B1 (de) 2007-09-15
WO2008061267A1 (de) 2008-05-29

Similar Documents

Publication Publication Date Title
DE69731338T2 (de) Verfahren und System zum sicheren Übertragen und Speichern von geschützter Information
EP1290530B1 (de) Verschlüsseln von abzuspeichernden daten in einem iv-system
DE19925910A1 (de) Verfahren zum Be- oder Verarbeiten von Daten
DE60117757T2 (de) Schlüssel- und schliesseinrichtung
EP2595341B1 (de) Benutzerrechteverwaltung und Zugangskontrollsystem mit Zeitbeschränkung
EP2122588B1 (de) Chipkarte mit einer erstnutzerfunktion, verfahren zur wahl einer kennung und computersystem
EP3103057A1 (de) Verfahren zum zugang zu einem physisch abgesicherten rack sowie computernetz-infrastruktur
EP1084465B1 (de) Verfahren zum abgesicherten zugriff auf daten in einem netzwerk
EP3471068A1 (de) Verteiltes system zum verwalten von personenbezogenen daten, verfahren und computerprogrammprodukt
EP3619638B1 (de) Verfahren zum gesicherten zugriff auf daten
EP1184801B1 (de) Telemedizin-System
EP3009992B1 (de) Verfahren und vorrichtung zum verwalten von zutrittsberechtigungen
DE10156877B4 (de) Verfahren und System zum gesicherten Speichern und Auslesen von Nutzdaten
DE102015118627A1 (de) Codeschloss
AT503291B1 (de) Datenverarbeitungssystem zur verarbeitung von objektdaten
DE10307996B4 (de) Verfahren zum Ver- und Entschlüsseln von Daten durch verschiedene Nutzer
DE102010037326A1 (de) Verfahren zum anonymen Zusammenführen von vertraulichen Daten und zugehörigen Identifizierungsdaten
DE4436605A1 (de) Verfahren zur sicheren Ver- und Entriegelung von Schlössern mit einer Authentisierung
DE102017000514B3 (de) Vorrichtungen, systeme und verfahren zum entriegeln eines schlosses eines schloss-systems
DE10209780B4 (de) Datenverarbeitungssystem für Patientendaten
EP3723339B1 (de) Sichere freigabe einer geschützten funktion
WO2007076840A1 (de) Datenobjektverarbeitungssystem und verfahren zur bearbeitung von elektronischen datenobjekten
DE102013109045A1 (de) Hotelmanagementsystem
EP1566945A1 (de) Altersverifikation durch ein Mobilfunknetz
DE102009016419B4 (de) Verfahren zum sicheren Speichern von Datensätzen, die vertrauliche Daten und zugehörige Identifizierungsdaten enthalten

Legal Events

Date Code Title Description
MM01 Lapse because of not paying annual fees

Effective date: 20181121