CH698852B1 - Verfahren zur Ermittlung, Kontrolle und Festlegung der rollenbasierten Berechtigung eines Benutzers für den Zugriff auf gesundheitsbezogene Daten. - Google Patents

Verfahren zur Ermittlung, Kontrolle und Festlegung der rollenbasierten Berechtigung eines Benutzers für den Zugriff auf gesundheitsbezogene Daten. Download PDF

Info

Publication number
CH698852B1
CH698852B1 CH00216/05A CH2162005A CH698852B1 CH 698852 B1 CH698852 B1 CH 698852B1 CH 00216/05 A CH00216/05 A CH 00216/05A CH 2162005 A CH2162005 A CH 2162005A CH 698852 B1 CH698852 B1 CH 698852B1
Authority
CH
Switzerland
Prior art keywords
clearing
data
terminals
clearing house
security context
Prior art date
Application number
CH00216/05A
Other languages
English (en)
Inventor
Christian Schaad
Original Assignee
Grama Treuhand & Verwaltungs Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Grama Treuhand & Verwaltungs Ag filed Critical Grama Treuhand & Verwaltungs Ag
Priority to CH00216/05A priority Critical patent/CH698852B1/de
Publication of CH698852B1 publication Critical patent/CH698852B1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/88Medical equipments

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Bei einem Verfahren zur Ermittlung, Kontrolle und Festlegung der rollenbasierten Berechtigung eines Benutzers für den Zugriff auf gesundheitsbezogene Daten einer Person in elektronischer Form wird mit zertifizierten Applikationen im Rahmen eines Sicherheitskontexts zwischen Terminals und einer Clearingstelle auf in einem Trustcenter zu speichernde gesundheitsbezogene Daten zum Zwecke der Bearbeitung zugegriffen. Der Sicherheitskontext wird durch den gleichzeitigen Einsatz bei einer Clearingstelle registrierter eindeutig identifizierbarer Prozessorchips für synchrone Verschlüsselung, Schlüsseln und entsprechenden Zertifikaten für asynchrone Verschlüsselung und Smartcards für die Speicherung von Personenidentifikationen, Teilen von Schlüsseln, Schlüsselzertifikaten und Prozesstoken hergestellt. Dabei sind die Prozessorchips für synchrone Verschlüsselung in die Terminals einbaubar. Ein entsprechendes medizinisches Clearingsystem zur Durchführung dieses Verfahrens umfasst Terminals, ein Trustcenter zum Speichern der gesundheitsbezogenen Daten, eine Clearingstelle, Schlüssel und entsprechende Zertifikate für asynchrone Verschlüsselung.

Description


  Technisches Gebiet

  

[0001]    Die Erfindung bezieht sich auf ein Verfahren zur Ermittlung, Kontrolle und Festlegung der rollenbasierten Berechtigung eines Benutzers für den Zugriff auf gesundheitsbezogene Daten einer Person in elektronischer Form. Sie bezieht sich weiter auf ein sogenanntes medizinisches "Clearingsystem" zur Durchführung eines solchen Verfahrens. Die Erfindung gehört damit zum Bereich der Medizininformatik.

Stand der Technik

  

[0002]    Um gesundheitsbezogene Leistungen zu erbringen ist es für den Erbringer der Leistung wichtig, die früheren gesundheitsbezogenen Daten des Leistungsempfängers zu kennen. Diese Daten müssen auch einem Leistungserbringer zugänglich sein, der die zugrundeliegende Leistung nicht selbst erbracht hat. Dabei muss einerseits aus Datenschutzgründen berücksichtigt werden, dass einem Leistungserbringer nur diejenigen Daten offengelegt werden, die ihm der Eigentümer der Daten (nach Beratung mit einer Fachperson seines Vertrauens) auch tatsächlich offenlegen will. Anderseits müssen dem Leistungserbringer zwingend diejenigen Daten offengelegt werden, deren Offenlegung gesetzlich vorgeschrieben ist oder deren Offenlegung zum fehlerfreien Erbringen der Leistung fachlich notwendig ist.

   Im Gesundheitswesen können neben den Patienten auch die Leistungserbringer Eigentümer von Daten sein, insbesondere wenn die Daten ihrem Charakter nach Kommentaren und Beobachtungen darstellen.

  

[0003]    Verschiedene existierende Speicher- und Ablagesysteme für gesundheitsbezogene Daten identifizieren Patienten anhand einer Identifikationsnummer, mit deren Hilfe die Daten aufgefunden und dem Leistungserbringer zur Verfügung gestellt werden können. Der grundlegende Nachteil dieser Systeme liegt in ihrer oftmals proprietären Natur, welche den Datenaustausch behindert oder gar verunmöglicht. Sind die Datenablagen zudem papier- oder mikrofilmbasiert, lässt sich eine Zugriffskontrolle aus praktischen Gründen nur in sehr grobem Rahmen realisieren; die Kontrolle hinunter bis auf die Ebene einzelner Daten ist technisch zu aufwendig.

  

[0004]    Neuere Datenspeichersysteme benutzen Plastikkarten mit Speicher und Prozessorchip (sogenannte "Smartcards"). Auf solchen Karten lassen sich in verschlüsselter Form Patientendaten speichern. Gängige Systeme speichern "Notfalldatensets", die einer Teilmenge des Patientendossiers entsprechen und meist unverschlüsselt sind. Andere Kartensysteme speichern anstelle der Patientendaten nur Hinweise ("Zeiger") auf den eigentlichen Speicherort der Daten innerhalb eines Netzwerks, auf das mit der Karte zugegriffen werden kann. Da die Datensets und Zeigerlisten allgemein nicht oder zu wenig standardisiert sind, und die verschiedenen Anbieter und/oder Betreiber solcher kartenbasierten Systeme unterschiedliche technische Spezifikationen verwenden, ist ein ziel- und zweckgerichteter Datenaustausch nicht gewährleistet.

  

[0005]    Daneben lassen sich auf solchen Karten aber auch elektronische Schlüsselzertifikate abspeichern. Diese bestätigen die Vergabe eines elektronischen Schlüssels für asynchrone Verschlüsselung an den Zertifikatsinhaber (sogenannte "Public Key Infrastructure"). Schlüssel und Zertifikat werden durch eine Instanz, deren Glaubwürdigkeit auf staatlicher Kontrolle beruht, sowohl für Patient und Leistungserbringer vergeben. Das Schlüsselzertifikat dient der Identifikation seines Inhabers. Sofern sich dieser gegenüber dem elektronischen System, welches das Schlüsselzertifikat verarbeitet, mit einem PIN-Code authentifiziert, kann das Zertifikat zudem als digitale Unterschrift benutzt werden. Die Programmlogik, welche den Kartenzugriff überprüft und freigibt, ist bei Karten mit Prozessorchip direkt auf der Karte selbst enthalten und wird durch den Prozessor abgearbeitet.

   Abhängig davon, ob eine solche Karte für einen Patienten ausgestellt wird oder für einen Leistungserbringer, werden die Karten sinngemäss als "Health Cards" oder als "Health Professional Cards" bezeichnet. Während die Health Card in der Regel Notfalldaten oder Zeigerlisten auf die Gesundheitsdaten des Patienten sowie dessen Schlüsselzertifikat enthält, sind auf der Health Professional Card Qualifikationsdaten des Leistungserbringers und dessen Schlüsselzertifikat gespeichert.

  

[0006]    Mit Hilfe des Schlüsselzertifikats und des PIN-Codes einer Health Card resp. einer Health Professional Card können moderne Datenverarbeitungssysteme Zugriff auf das auf einer "Health Card" gespeicherte Datenset oder in ein Netzwerk, in dem die Patientendaten gespeichert sind, gewähren. Eine Zugriffskontrolle, die ausschliesslich auf den Schlüsselzertifikaten des Dateneigentümers und einer anfragenden Person beruht, ist allerdings nicht in der Lage, hinreichend genau abgestufte Zugriffe im Sinne des Dateneigentümers und im Rahmen gesetzlicher Vorschriften effizient zu gewährleisten.

Darstellung der Erfindung

  

[0007]    Um diese Einschränkungen zu überwinden, legt die vorliegende Erfindung ein Verfahren zur Ermittlung, Kontrolle und Festlegung der rollenbasierten Berechtigung eines Benutzers für den Zugriff auf gesundheitsbezogene Daten einer Person in elektronischer Form dar, wobei mittels zertifizierten Computerapplikationen im Rahmen eines Sicherheitskontexts zwischen Terminals und einer Clearingstelle auf in einem Trustcenter zu speichernde gesundheitsbezogene Daten zum Zwecke der Bearbeitung zugegriffen wird.

   Der Sicherheitskontext wird durch den gleichzeitigen Einsatz bei einer Clearingstelle registrierter eindeutig identifizierbarer Prozessorchips für synchrone Verschlüsselung, Schlüsseln und entsprechenden Zertifikaten für asynchrone Verschlüsselung und Smartcards für die Speicherung von Personenidentifikationen, Teilen von Schlüsseln, Schlüsselzertifikaten und Prozesstoken hergestellt. Die Prozessorchips für synchrone Verschlüsselung sind in die Terminals einbaubar.

  

[0008]    Ein medizinisches Clearingsystem zur Durchführung des Verfahrens zur Ermittlung, Kontrolle und Festlegung der rollenbasierten Berechtigung eines Benutzers für den Zugriff auf gesundheitsbezogene Daten einer Person in elektronischer Form umfasst Terminals, ein Trustcenter zum Speichern der gesundheitsbezogenen Daten, eine Clearingstelle und Schlüssel und entsprechende Zertifikate für asynchrone Verschlüsselung.

   Mit zertifizierten Applikationen wird im Rahmen eines Sicherheitskontexts zwischen Terminals und Clearingstelle auf die im Trustcenter zu speichernden Daten zum Zwecke der Bearbeitung zugegriffen, wobei der Sicherheitskontext durch den gleichzeitigen Einsatz bei der Clearingstelle registrierter eindeutig identifizierbarer und in die Terminals einbaubarer Prozessorchips für synchrone Verschlüsselung, der Schlüssel und entsprechender Zertifikate für asynchrone Verschlüsselung und Smartcards für die Speicherung von Personenidentifikationen, Teilen von Schlüsseln, Schlüsselzertifikaten und Prozesstoken hergestellt wird.

  

[0009]    Die Ermittlung, Kontrolle und Festlegung erfolgt von den registrierten Terminals aus mit Hilfe der identifizierbaren Prozessorchips für synchrone Verschlüsselung, Schlüsseln und entsprechenden Zertifikaten für asynchrone Verschlüsselung, sowie den Smartcards für die Speicherung von Personenidentifikationen, Teilen von Schlüsseln, Schlüsselzertifikaten und Prozesstoken. Das System wird eingesetzt zur Kontrolle der Datenzugriffe, welche Leistungserbringer, Patienten und weitere Personen mit Hilfe von Computerapplikationen auf elektronisch gespeicherte Daten über den Gesundheitszustand einer Person oder über die dafür erbrachten Leistungen durchführen wollen.

   Der Vorteil eines solchen Systems liegt in der Sichtbarmachung von Prozessen, einer präziseren, schnelleren und sichereren Abrechnung medizinischer Leistungen gegenüber dem bisherigem Stand der Technik, vor allem aber in der bis auf Ebene einzelner Daten durchsetzbaren Kontrolle der Datenschutzrechte und Verbesserung der Qualität medizinischer Dokumentation.

Ausführung der Erfindung

  

[0010]    Das Clearingsystem besteht einerseits aus Geräten für den Datenzugriff (sogenannte "Terminals"), von denen aus eine Datenabfrage mit Hilfe von Smartcards und zertifizierten Computerapplikationen initiiert werden kann. Auf den Smartcards werden die Identifikationsnummer des Besitzers, sein privater Schlüssel, das dazugehörige Schlüsselzertifikat sowie seine aktuellen Prozesstoken gespeichert.

   Anderseits besteht das Clearingsystem aus einer offiziellen Instanz (sogenannte "Clearingstelle"), die (a) asynchrone elektronische Schlüssel generiert und dazugehörige Zertifikate vergibt, (b) Computerapplikationen für den Betrieb auf Terminals und die Teilnahme am Clearingsystem zertifiziert, (c) Prozessorchips für die synchrone Verschlüsselung zum Einbau in Terminals und zur Verwendung innerhalb des Clearingsystems registriert, (d) die entsprechend der Zugriffsberechtigung eines Anfragers aus einem zum Clearingsystem gehörigen Trustcenter verschlüsselt gespeicherte Daten abruft, entschlüsselt, an den Anfrager übermittelt resp. umgekehrt Dateneingaben von diesem entgegennimmt, und im genannten Trustcenter wieder verschlüsselt ablegt.

   Schliesslich beinhaltet das Clearingsystem Datenbanken, in denen (a) fachliche Qualifikationen, (b) deren Gewichtung ("Dignität"), (c) Schlüssel und Schlüsselzertifikate (d) sowie Muster für die Identifikation und Authentifizierung der am Clearingsystem teilnehmenden Personen erfasst werden. Die Clearingstelle betreibt ausserdem Datenbanken, in denen Datenzugriffs- und Terminalbenutzungsrechte erfasst sind. Diese Rechte können vom jeweiligen Eigentümer oder einer von ihm bezeichneten Person aktualisiert werden. Die Clearingstelle protokolliert alle Vorgänge zwischen ihr und den Terminals. Letztlich gehört zum Clearingsystem ein Applikationszentrum, welches von der Clearingstelle zertifizierte Computerapplikationen für den Transfer auf Terminals bereithält, diese Applikationen aber auch zentral ausführen und weiteren Applikationen als zugrunde liegender Webservice anbieten kann.

  

[0011]    Sowohl die Clearingstelle als auch die Terminals sind mit einem Prozessorchip ausgerüstet, der sich anhand einer einmaligen Nummer eindeutig elektronisch identifizieren lässt und eine synchrone Verschlüsselung zwischen Clearingstelle und dem einzelnen Terminal gewährleistet. Die Prozessorchips werden von der Clearingstelle registriert, zertifiziert und zum Einbau in die Terminals freigegeben. Die Clearingstelle führt eine elektronische Liste, in der festgehalten wird, welcher Prozessorchip in welches Terminal eingebaut wird, welcher Institution ein Terminal gehört, und welchem Zweck ein Terminal dient.

  

[0012]    Das Terminal ist mit einem Lesegerät für Smartcards ausgestattet und kann von der Clearingstelle zertifizierte Computerapplikationen abarbeiten. Durch die Anmeldung eines vom Clearingsystem anerkannten Benutzers (sogenannter Anfrager) mit Hilfe seiner Smartcard wird ein Sicherheitskontext zwischen Clearingstelle und Terminal geschaffen, im Rahmen dessen der Anfrager unter Benutzung zertifizierter Computerapplikationen auf Daten zugreifen und diese verarbeiten kann. Es ist möglich, eine virtuelle Person (sogenannter "Systemaccount") für ein Terminal zu definieren, dessen Sicherheitsangaben permanent im Terminal gespeichert werden, nur dem Terminal zur Verfügung stehen und von diesem dazu benutzt werden, sich analog einer Person am Clearingsystem anzumelden.

  

[0013]    Die Herstellung dieses Sicherheitskontexts ist der erste Teil des Verfahrens zum Ermitteln, Kontrollieren und Festlegen von Zugriffsberechtigungen auf gesundheitsbezogene Daten. Dieser Teil des Verfahrens kann als Algorithmus mit folgenden Schritten dargestellt werden:
<tb>(1)<sep>Der Benutzer meldet sich an einem Terminal manuell durch Einlesen der Benutzeridentifikation von einer Smartcard oder automatisch durch Einlesen der im Terminal gespeicherten Benutzeridentifikation des Systemaccounts an.


  <tb>(2)<sep>Das Terminal baut mit Hilfe seines eindeutig identifizierbaren Prozessorchips eine synchron verschlüsselte Verbindung zur Clearingstelle auf. Ist der Prozessorchip nicht registriert, bricht die Clearingstelle den Vorgang ab.


  <tb>(3)<sep>Das Terminal übermittelt die Identifikation des Benutzers an die Clearingstelle.


  <tb>(4)<sep>Die Clearingstelle überprüft anhand der übermittelten Identifikation und der erfassten Terminalbenutzungsrechte, ob der Benutzer vom benutzten Terminal aus anfragen darf. Wird die Berechtigung verneint, bricht die Clearingstelle den Vorgang ab.


  <tb>(5)<sep>Der Benutzer muss sich mit einer Methode seiner Wahl (die Authentifizierungsmuster dazu müssen bei der Clearingstelle hinterlegt sein) authentifizieren. Gelingt dies nicht innerhalb einer begrenzten Zahl von Versuchen, bricht die Clearingstelle den Vorgang ab. Gelingt die Authentifizierung, wird der Benutzer als Anfrager akzeptiert.


  <tb>(6)<sep>Die Clearingstelle überschreibt die auf der Smartcard des Anfragers gespeicherten Schlüssel für die aktuellen Rollen des Anfragers mit den bei ihr für diese Rollen gespeicherten Schlüsseln.


  <tb>(7)<sep>Die Clearingstelle synchronisiert die bei ihr für Terminal und Rollen des Anfragers gespeicherten Prozesstoken mit denen, die im Terminal und auf der Smartcard des Anfragers gespeichert sind.


  <tb>(8)<sep>Die Clearingstelle vergleicht die für Terminal und Rollen des Anfragers gespeicherten Prozesstoken.


  <tb>(9)<sep>Die Clearingstelle gewährt dem Anfrager für übereinstimmende Prozesstoken auf dem benutzten Terminal die mit den Prozesstoken verbundenen und bei ihr gespeicherten Zugriffsrechte auf Daten.


  <tb>(10)<sep>Damit ist der Sicherheitskontext hergestellt.


  <tb>(11)<sep>Der Sicherheitskontext wird solange aufrechterhalten, bis sich der Anfrager am Terminal abmeldet. Er wird zudem durch die Clearingstelle beendet, wenn für eine vom Anfrager festlegbare Zeit keine Abfrage oder Lieferung von Daten durch eine Computerapplikation an die Clearingstelle erfolgt ist. Ebenso wird der Sicherheitskontext durch das Abschalten des Terminals und den Wechsel von Rollen des Anfragers beendet. Die Clearingstelle kann überdies aus vorbehaltenen wichtigen Gründen den Kontext beenden und eine Neuanmeldung des Benutzers verlangen. Das Entfernen der Smartcard aus dem Lesegerät stellt keine Beendigung des Sicherheitskontexts dar!

  

[0014]    In diesem Kontext gestartete zertifizierte Computerapplikationen werden von der Clearingstelle mit Daten entsprechend den Zugriffsrechten den Rollen des Anfragers bedient und können ebenfalls diesen Rechten entsprechend Daten zur Speicherung zurückliefern an die Clearingstelle. Alle an die Clearingstelle gelieferten Daten werden mit Hilfe des Schlüsselzertifikates, welches der Rolle des Anfragers mit den höchsten Zugriffsberechtigungen entspricht, digital signiert. Eine zertifizierte Computerapplikation kann auf einem dafür reservierten Terminal so installiert werden, dass es ausschliesslich der Datenverarbeitung durch diese spezifische Computerapplikation zur Verfügung steht. Damit kann ein Terminal unbedient und dennoch kontrolliert auf Daten zugreifen und diese automatisch verarbeiten.

  

[0015]    Durch die Definition von Prozessen lasen sich Daten, die dem Leistungserbringer gehören (sog. "Prozessdaten"), von Daten, die dem Patienten gehören (sog. "Grunddaten"), unterscheiden und mit verschiedenen Zugriffsberechtigungen versehen. Indem einer Rolle eines Anfragers Zugriff auf einen Prozess erteilt wird (sogenannte "Prozessberechtigung"), erhält sie indirekt auch Zugriff auf die für den Prozess freigegebenen Grunddaten. Diejenige Rolle, die einen Prozess definiert, ist Eigentümerin dieses Prozesses. Sie kann weitere Unterprozesse definieren, anderen Rollen und Terminals Prozessberechtigungen für den Prozess und/oder untergeordnete Prozesse erteilen, automatisch erteilen lassen, oder diese Kompetenz auf weitere Rollen übertragen (eine Rolle hat grundsätzlich Prozessberechtigung an den ihrem eigentlichen Prozess untergeordneten weiteren Prozessen).

   Werden die bei der ursprünglichen Prozessdefinition festgelegten Datenzugriffsrechte durch einen solchen Vorgang erweitert, oder wird ein neuer Prozess definiert, benötigt dies immer auch das Einverständnis des Eigentümers der betroffenen Grunddaten.

  

[0016]    Benötigt ein Anfrager Zugriff auf weitere Grund- oder Prozessdaten, so muss er seinen Sicherheitskontext erweitern. Dies geschieht entweder durch Erlangen existierender Prozesstoken zuhanden einer der Rollen des Anfragers (wobei der Anfrager die Rolle selbst wählen kann), oder durch Definition eines neuen Prozesses mit Hilfe einer mit entsprechenden Rechten ausgestatteten Rolle des Anfragers.

  

[0017]    Die Erweiterung des Sicherheitskontexts ist der zweite Teil des Verfahrens zum Ermitteln, Kontrollieren und Festlegen von Zugriffsberechtigungen auf gesundheitsbezogene Daten. Voraussetzung ist die vorgängige Herstellung eines Sicherheitskontexts wie oben beschrieben, innerhalb dessen der nachfolgende Verfahrensteil ablaufen kann. Dieser zweite Teil des Verfahrens kann als Algorithmus mit folgenden Schritten dargestellt werden:
<tb>(1)<sep>Die Smartcard des Anfragers wird aus dem Lesegerät des Terminals entfernt, sofern der Sicherheitskontext mit Hilfe einer Smartcard gestartet wurde.


  <tb>(2)<sep>Die Smartcard einer anderen Person wird in das Lesegerät des Terminals eingeführt und die darauf abgespeicherte Identifikation eingelesen.


  <tb>(3)<sep>Das Terminal teilt der Clearingstelle mit, dass der Sicherheitskontext des Anfragers erweitert werden soll.


  <tb>(4)<sep>Die Clearingstelle prüft anhand der Prozessoridentifikation des Terminals und der dafür erfassten Rechte, ob die gewünschte Operation auf dem benutzten Terminal zulässig ist. Wenn das Terminal nicht für die verlangte Operation vorgesehen ist, bricht die Clearingstelle den Vorgang ab.


  <tb>(5)<sep>Das Terminal übermittelt die eingelesene Identifikation an die Clearingstelle.


  <tb>(6)<sep>Die Clearingstelle ermittelt die mit der Identifikation verbundenen aktuell gültigen Prozesstoken.


  <tb>(7)<sep>Die Clearingstelle vergleicht die Prozesstoken mit denjenigen der Rollen des Anfragers.


  <tb>(8)<sep>Die Clearingstelle ermittelt die Prozessrechte des Anfragers für übereinstimmende Prozesstoken.


  <tb>(9)<sep>Die Clearingstelle übermittelt die mit der eingelesenen Identifikation verbundenen Prozesstoken, Prozessbeschreibungen und allfällige Prozessrechte des Anfragers an das Terminal.


  <tb>(10)<sep>Das Terminal zeigt diese Angaben dem Anfrager.


  <tb>(11)<sep>Der Anfrager gibt an, ob er ein existierendes Prozesstoken erlangen (weiter mit Schritt 12) oder einen neuen Prozess definieren will (weiter mit Schritt 25).


  <tb>(12)<sep>Der Anfrager gibt an, für welche seiner Rollen der Sicherheitskontext erweitert werden soll.


  <tb>(13)<sep>Das Terminal übermittelt die Angabe an die Clearingstelle.


  <tb>(14)<sep>Die Clearingstelle ermittelt die möglichen Prozessrechte des Anfragers und übermittelt diese an das Terminal.


  <tb>(15)<sep>Das Terminal zeigt diese dem Anfrager an.


  <tb>(16)<sep>Der Anfrager gibt an, ob er die Prozessrechte wie vom Terminal präsentiert oder in einer anderen Form beantragt.


  <tb>(17)<sep>Das Terminal formuliert einen Antrag und übermittelt diesen an die Clearingstelle.


  <tb>(18)<sep>Die Clearingstelle speichert den Antrag, bis sich der Prozesseigentümer am Clearingsystem anmeldet.


  <tb>(19)<sep>Die Clearingstelle sendet den Antrag an das Terminal, an welchem der Prozesseigentümer angemeldet ist.


  <tb>(20)<sep>Das Terminal, an welchem der Prozesseigentümer angemeldet ist, zeigt diesem den Antrag.


  <tb>(21)<sep>Der Prozesseigentümer bestätigt den Antrag uneingeschränkt, mit Korrekturen, oder lehnt ihn ab.


  <tb>(22)<sep>Das Terminal, an welchem der Prozesseigentümer angemeldet ist, sendet dessen Reaktion an die Clearingstelle.


  <tb>(23)<sep>Abhängig von der Rückmeldung des Prozesseigentümers erweitert die Clearingstelle den Sicherheitskontext des Anfragers. Dazu wird ein allfällig neu erlangtes Prozesstoken in die Tokenliste der vom Anfrager gewählten Rolle eingetragen, die neu erteilten Prozessrechte des Anfragers mit dem Prozesstoken verknüpft. Die Clearingstelle speichert das Prozesstoken auf dem Terminal des Anfragers.


  <tb>(24)<sep>Das Terminal des Anfragers fordert diesen auf, seine Smartcard in das Lesegerät einzulegen und speichert das Prozesstoken auf der Smartcard des Anfragers. Weiter mit Schritt 34.


  <tb>(25)<sep>Der Anfrager definiert einen neuen Prozess, indem er dem Prozess Terminals und Rollen, die Prozessrechte besitzen sollen, zuweist und deren Zugriffsrecht auf die Grunddaten der zweiten Smartcard festlegt.


  <tb>(26)<sep>Das Terminal formuliert einen Antrag und übermittelt diesen an die Clearingstelle.


  <tb>(27)<sep>Die Clearingstelle speichert den Antrag, bis sich der Eigentümer der zweiten Smartcard erfolgreich am Clearingsystem anmeldet.


  <tb>(28)<sep>Die Clearingstelle sendet den Antrag an das Terminal, an welchem der Eigentümer der zweiten Smartcard angemeldet ist.


  <tb>(29)<sep>Das Terminal, an welchem der Eigentümer der zweiten Smartcard angemeldet ist, zeigt diesem den Antrag.


  <tb>(30)<sep>Der Eigentümer der zweiten Smartcard bestätigt den Antrag uneingeschränkt, mit Korrekturen, oder lehnt ihn ab.


  <tb>(31)<sep>Das Terminal, an welchem der Eigentümer der zweiten Smartcard angemeldet ist, sendet dessen Reaktion an die Clearingstelle.


  <tb>(32)<sep>Abhängig von der Rückmeldung des Eigentümers der zweiten Smartcard erweitert die Clearingstelle den Sicherheitskontext des Anfragers. Sie generiert ein eineindeutiges Prozesstoken. Das Token wird zusammengesetzt aus Datum, Zeit, Identifikationsnummer des Prozessorchips des vom Anfrager benutzten Terminals, sowie den Identifikationsnummern von Anfrager und Eigentümer der zweiten Smartcard. Das Prozesstoken ist nur für eine beschränkte Zeit gültig, die vom Prozesseigentümer (der Anfrager oder eine von ihm bezeichnete Rolle) bestimmt und allenfalls verlängert werden kann - beides allerdings nur mit Zustimmung des Eigentümers der Grunddaten. Das Prozesstoken wird in die Tokenliste der vom Anfrager gewählten Rolle eingetragen, ebenso in die Tokenliste des Eigentümers der zweiten Smartcard.

   Die neu definierten Prozessrechte des Anfragers werden mit dem Prozesstoken verknüpft. Die Clearingstelle speichert das Prozesstoken auf dem oder den Terminals, an denen sich der Anfrager resp. der Eigentümer der zweiten Smartcard angemeldet hat.


  <tb>(33)<sep>Die genannten Terminals fordern den Anfrager resp. Eigentümer der zweiten Smartcard auf, die jeweilige Smartcard in das Lesegerät einzulegen und speichern das Prozesstoken auf der jeweiligen Smartcard ab.


  <tb>(34)<sep>Damit ist der Sicherheitskontext erweitert und der Erweiterungsvorgang beendet.

  

[0018]    Das Verfahren zum Ermitteln, Kontrollieren und Festlegen der Zugriffsberechtigung beruht somit auf der Definition von Prozessen, dem Vergleich von Prozesstoken und den damit verknüpften Prozessrechten.

Claims (10)

1. Verfahren zur Ermittlung, Kontrolle und Festlegung der rollenbasierten Berechtigung eines Benutzers für den Zugriff auf gesundheitsbezogene Daten einer Person in elektronischer Form, dadurch gekennzeichnet, dass mit zertifizierten Applikationen im Rahmen eines Sicherheitskontexts zwischen Terminals und einer Clearingstelle auf in einem Trustcenter zu speichernde gesundheitsbezogene Daten zum Zwecke der Bearbeitung zugegriffen wird, wobei der Sicherheitskontext durch den gleichzeitigen Einsatz bei einer Clearingstelle registrierter eindeutig identifizierbarer Prozessorchips für synchrone Verschlüsselung, Schlüsseln und entsprechenden Zertifikaten für asynchrone Verschlüsselung und Smartcards für die Speicherung von Personenidentifikationen, Teilen von Schlüsseln, Schlüsselzertifikaten und Prozesstoken hergestellt wird,
wobei die Prozessorchips für synchrone Verschlüsselung in die Terminals einbaubar sind.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass ein Sicherheitskontext zwischen Clearingstelle und Terminal geschaffen wird, indem ein vom Clearingsystem anerkannter Benutzer sich mit Hilfe seiner Smartcard anmeldet.
3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass ein erweiterter Sicherheitskontext geschaffen wird, indem eine zweite Smartcard einer zweiten Person eingelesen wird.
4. Medizinisches Clearingsystem zur Durchführung des Verfahrens nach Anspruch 1 zur Ermittlung, Kontrolle und Festlegung der rollenbasierten Berechtigung eines Benutzers für den Zugriff auf gesundheitsbezogene Daten einer Person in elektronischer Form, umfassend Terminals, ein Trustcenter zum Speichern der gesundheitsbezogenen Daten, eine Clearingstelle, Schlüssel und entsprechende Zertifikate für asynchrone Verschlüsselung, dadurch gekennzeichnet, dass mit zertifizierten Applikationen im Rahmen eines Sicherheitskontexts zwischen Terminals und Clearingstelle die im Trustcenter zu speichernden Daten zum Zwecke der Bearbeitung zugreifbar sind, wobei der Sicherheitskontext durch den gleichzeitigen Einsatz bei der Clearingstelle registrierter eindeutig identifizierbarer und in die Terminals einbaubarer Prozessorchips für synchrone Verschlüsselung,
der Schlüssel und entsprechender Zertifikate für asynchrone Verschlüsselung und Smartcards für die Speicherung von Personenidentifikationen, Teilen von Schlüsseln, Schlüsselzertifikaten und Prozesstoken herstellbar ist.
5. Medizinisches Clearingsystem nach Anspruch 4, dadurch gekennzeichnet, dass Zugriffsrechte auf Daten von Patienten an Prozesse vergebbar sind, auf welche den Benutzern durch die Clearingstelle rollenbasiert Zugriff gewährbar ist.
6. Medizinisches Clearingsystem nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass für Prozesse durch die Clearingstelle eindeutige, zeitlich begrenzt gültige Prozesstoken generierbar sind, mit Hilfe derer die Clearingstelle die Zugriffsberechtigung eines Benutzers an einem bestimmten registrierten Terminal ermitteln und kontrollieren kann.
7. Medizinisches Clearingsystem nach einem der Ansprüche 4 bis 6, dadurch gekennzeichnet, dass Computerapplikationen Daten über medizinische Standardkommunikationsprotokolle von der Clearingstelle zum Lesen beziehen und zum Schreiben an diese liefern können.
8. Medizinisches Clearingsystem nach einem der Ansprüche 4 bis 7, dadurch gekennzeichnet, dass das Clearingsystem Datenbanken umfasst, in welche folgende Daten erfassbar sind:
a. fachliche Qualifikationen, deren Gewichtung;
b. Schlüssel und Schlüsselzertifikate;
c. Muster für die Identifikation und Authentifizierung der am Clearingsystem teilnehmenden Personen;
d. Datenzugriffs- und Terminalbenutzungsrechte.
9. Medizinisches Clearingsystem nach einem der Ansprüche 4 bis 8, gekennzeichnet durch ein Applikationszentrum, welches von der Clearingstelle zertifizierte Computerapplikationen für den Transfer auf Terminals bereithält.
10. Medizinisches Clearingsystem nach Anspruch 9, dadurch gekennzeichnet, dass das Applikationszentrum Applikationen zentral ausführen und weiteren Applikationen als zugrunde liegender Webservice anbieten kann.
CH00216/05A 2005-02-09 2005-02-09 Verfahren zur Ermittlung, Kontrolle und Festlegung der rollenbasierten Berechtigung eines Benutzers für den Zugriff auf gesundheitsbezogene Daten. CH698852B1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CH00216/05A CH698852B1 (de) 2005-02-09 2005-02-09 Verfahren zur Ermittlung, Kontrolle und Festlegung der rollenbasierten Berechtigung eines Benutzers für den Zugriff auf gesundheitsbezogene Daten.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CH00216/05A CH698852B1 (de) 2005-02-09 2005-02-09 Verfahren zur Ermittlung, Kontrolle und Festlegung der rollenbasierten Berechtigung eines Benutzers für den Zugriff auf gesundheitsbezogene Daten.

Publications (1)

Publication Number Publication Date
CH698852B1 true CH698852B1 (de) 2009-11-13

Family

ID=41350767

Family Applications (1)

Application Number Title Priority Date Filing Date
CH00216/05A CH698852B1 (de) 2005-02-09 2005-02-09 Verfahren zur Ermittlung, Kontrolle und Festlegung der rollenbasierten Berechtigung eines Benutzers für den Zugriff auf gesundheitsbezogene Daten.

Country Status (1)

Country Link
CH (1) CH698852B1 (de)

Similar Documents

Publication Publication Date Title
DE60306844T2 (de) Methode und System zur Datenaktualisierung
DE69815575T2 (de) Verfahren und Vorrichtung zur Speicherung von Daten und Steuerung des Zugriffs dazu
EP3731119B1 (de) Computerimplementiertes verfahren zur zugriffskontrolle
DE69832145T2 (de) Fernbeglaubigungssystem
EP2585963B1 (de) Verfahren zur erzeugung eines zertifikats
EP2338255B1 (de) Verfahren, computerprogrammprodukt und system zur authentifizierung eines benutzers eines telekommunikationsnetzwerkes
WO2018073071A1 (de) Bereitstellung und prüfung der gültigkeit eines virtuellen dokuments
WO2003034294A2 (de) Datenverarbeitungssystem für patientendaten
EP3336735B1 (de) Erstellen einer datenbank für eine dynamische multifaktorauthentifizierung
EP1084465B1 (de) Verfahren zum abgesicherten zugriff auf daten in einem netzwerk
DE112013000511T5 (de) Zugriff auf vertrauliche Daten über eine Website eines sozialen Netzwerks
DE102010010760B4 (de) Verfahren zur Vergabe eines Schlüssels an ein einem drahtlosen Sensor-Aktor-Netz neu hinzuzufügendes Teilnehmergerät
DE10156877B4 (de) Verfahren und System zum gesicherten Speichern und Auslesen von Nutzdaten
EP3254432B1 (de) Verfahren zur berechtigungsverwaltung in einer anordnung mit mehreren rechensystemen
DE112020003476T5 (de) Computer-implementiertes Verfahren zum Steuern eines Zugriffs in einem Netz
DE10307996B4 (de) Verfahren zum Ver- und Entschlüsseln von Daten durch verschiedene Nutzer
CH698852B1 (de) Verfahren zur Ermittlung, Kontrolle und Festlegung der rollenbasierten Berechtigung eines Benutzers für den Zugriff auf gesundheitsbezogene Daten.
EP3117359B1 (de) Id-provider-computersystem, id-token und verfahren zur bestätigung einer digitalen identität
EP2137705B1 (de) Verfahren zur übertragung von daten einer person an eine kontrolleinrichtung
DE102020207034A1 (de) Geteiltes widerrufsprotokoll für datenzugriffskontrolle
DE10209780B4 (de) Datenverarbeitungssystem für Patientendaten
DE112020003479T5 (de) Computer-implementiertes Verfahren zum Bereitstellen sicherer Interaktionen zwischen Benutzern in einem Netz
EP3232640B1 (de) Gültigkeitsprüfung und sperrung von zertifikaten
WO2020126675A1 (de) Abwicklungssystem
DE102018202676A1 (de) Verfahren zum Authentifizieren eines Benutzers

Legal Events

Date Code Title Description
PCAR Change of the address of the representative

Free format text: NEW ADDRESS: EIGERSTRASSE 2 POSTFACH, 3000 BERN 14 (CH)

PL Patent ceased