CH713712B1

CH713712B1 - Encryption-Decryption Engine zur Handhabung sensitiver Patientendaten und entsprechendes Verfahren.

Info

Publication number: CH713712B1
Application number: CH01018/18A
Authority: CH
Inventors: Putrino Nunzio
Original assignee: Futureitcom Gmbh
Priority date: 2016-07-18
Filing date: 2017-07-18
Publication date: 2020-03-31
Also published as: CH713712A1; CH712712A2; WO2018015409A1

Abstract

Vorgeschlagen wird ein biometrischer, Fingerprint-basierter Encryption-Decryption Engine zur kontrollierten Handhabung und gesicherten Übertragung personifizierter, sensibler Daten und ein entsprechendes Verfahren. Mittels eines Mobilfunkgerätes werden biometrische Daten eines Originators und eines Confidants, insbesondere jeweils ein Set von 2 unterschiedlichen Fingerabdrücken (P-FP1/P-FP2 und M-FP1/M-FP2), erfasst. Die Fingerabdrücke (P-FP1/P-FP2) werden in einer SIM-Karte des Mobilfunkgerätes abgespeichert. Der erste Fingerprint (P-FP1/M-FP1) wird der Authentisierung und der zweite Fingerprint (P-FP2/M-FP2) der Autorisierung zugeordnet, wobei der zweite Fingerprint (P-FP2/M-FP2) zur Verschlüsselung der personifizierten, sensiblen Daten verwendet wird. Mittels einer Learning Machine des Confidants und mittels der Fingerprints werden vom Patienten übertragene, personifizierte, sensible Daten entschlüsselt, maskiert und/oder anonymisiert, und Dritten zur entsprechenden Diagnostik und/oder Festlegung der Medikamentierung bzw. Therapierung zur Verfügung gestellt.

Description

Technisches Gebiet

[0001] Die vorliegende Anmeldung betrifft einen Encryption-Decryption Engine, insbesondere einen Fingerprint-basierten Encryption-Decryption Engine, zur Handhabung sensitiver Daten, wie dem Transfer von Patientendaten, insbesondere betrifft sie die technische Handhabung von vertraulichen Patientendaten im Bereich der personifizierten, digitalisierten Medizin, sowie der technischen Art, ob und wie Privacy, Secrecy, maskierte Identität einer Person für die Rückverfolgbarkeit und der damit verbundenen Anonymität der persönlichen Daten sowie Schutz vor Missbrauch der Identität einer Person im gesamten Transfer- und Lebenszyklus der Daten ermöglicht werden kann. Auf diesem Gebiet sollen derartige Verfahren oder Methoden unabhängig von Datenhintergrund oder -verwendung angewendet werden, wenn es darum geht, sensitive oder sogar hoch-sensitive Daten und/oder Informationen von einem «Provider» oder «Producer» an einem bestimmten «Consumer» und/oder bestimmte «Consumer-Gruppe» zu senden. Der umgekehrte Weg, um also von «Consumer-Gruppe» und/oder bestimmten «Consumer» sensitive Daten zu einem «Provider» oder «Producer» zu transferieren, wird von diesen Verfahren typischerweise auch erfasst. Bei diesen Systemen dient die maskierte Identität für die Rückverfolgbarkeit eines «Producers» und der direkten involvierten, beteiligten «Consumers», um zusätzlich zur Privacy und Secrecy die Anonymität eines «Producers» und/oder der direkt involvierten beteiligten «Consumers» entlang des gesamten Lebenszyklus eines bestimmten Daten- und Informationsflusses und Transfers in beiden Richtungen geheim zu halten. Darüber hinaus betrifft es das Gebiet der Verschlüsselung von sensitiven Daten zwischen einem Originator oder Patienten und einem Confidant oder Arzt, welche die Grundsätze von Privacy, Secrecy und Anonymität der persönlichen Daten garantiert, sowie weiteren Dritten mit ausschliesslichem Zugriff auf die Inhalt-bezogenen Daten und Informationen von anonymisierten und/oder mit maskierter Identität eines Originators versehene Daten, insbesondere betreffend Fälle, bei welchen der Transfer von sensitiven Daten in beiden Richtungen streng geheim zu halten ist. Die Personen-bezogenen Daten sind von der Quelle eines Originators an streng von den Inhalt-bezogenen Daten und Informationen eines Originators getrennt. Die Inhalt-bezogenen Daten sind durch einen oder mehrere pseudo-persönlichen, zufällig generierten biometrischen Schlüssel für die Rückverfolgbarkeit und Anonymität eines Originators markiert bzw. durch die maskierte Identität gekennzeichnet und stehen stellvertretend für die Personen-bezogenen, d.h. personifizierte, Daten.

Stand der Technik

[0002] Schulmedizin oder andere Gebiete zur Heilung der Gesundheit stossen zurzeit an Grenzen, welche über die herkömmliche Diagnostik und Therapierung hinausgeht, was sich z.B. daran zeigt, dass zur Behandlung spezieller Krankheit Therapierungen und Medikamentierungen komplex und nach der Trial-and-error-Methode verschrieben werden, basierend auf der Erkenntnis bei diesen Krankheiten, dass Medikamente, welche bei Patient A Wunder wirken, bei Patient B nutzlos, wenn nicht sogar fatal, sein können. So werden Krankheitsbilder wie «Orphon Disease» meistens mit Off-label-Medikamenten oder chronisch kranke Patienten mit sporadischen, zusammenhanglosen Untersuchungen behandelt. Es fehlt bei diesen Arten von Krankheiten die ganzheitliche Erfassung aller diagnostisch relevanten Elemente eines Individuums seitens der Gesundheitsversorger und Leistungserbringer. Dies ist für die betroffenen Patienten, Ärzte, Krankenversicherer und im meist unvermeidlichen Streitfall (z.B. wenn es um Haftung für fälschlich angeordnete Therapien oder um Begleichung von Rechnungen geht, welche nicht in den Spezialitäten-Listen und/oder Ähnlichem aufgeführt werden, obwohl jedoch oft gerade Off-label-Medikamente und/oder Therapien für einen speziellen Fall wirksam sein können) einberufene Richter häufig problematisch.

[0003] Eine Möglichkeit, diese Nachteile zu umgehen und über die klassische Schulmedizin hinaus Patienten spezifisch und/oder ganzheitlich und mit der breitestmöglichen Unterstützung der Spitzenforschung in direktem und/oder indirektem Zusammenwirken von betroffenen Patienten/Patientinnen, behandeln zu können, bietet die sog. personalisierte Medizin, wonach Medikamente, Therapien, Behandlungen u.v.a.m, auf ein bestimmtes, personifiziertes Krankheitsbild abgestimmt werden. In der personalisierten Medizin (personalised medicine) wird jeder Patient unter weitgehender Einbeziehung individueller Gegebenheiten, über die funktionale Krankheitsdiagnose hinaus, behandelt. Das schliesst auch das fortlaufende, individualisierte Anpassen der Therapie an den Gesundungsfortschritt ein. Wichtigstes Einsatzgebiet der personalisierten Medizin ist zurzeit die massgeschneiderte Pharmakotherapie, welche zusätzlich zum speziellen Krankheitsbild die individuelle physiologische Konstitution und geschlechtsspezifische Wirkeigenschaften von Medikamenten berücksichtigt. Aber auch besonders in komplexen Therapien werden mit der personalisierten Medizin über die klassische Diagnostik und Therapierung der Schulmedizin hinausgehend ausserdem individuelle molekularbiologische Konstellationen berücksichtigt, die z.B. mit modernen Biomarkern ermittelt werden und unter denen zusätzlich zur individuellen genetischen Struktur (Genom) des Patienten auch die Ausgestaltung der Enzyme und/oder Proteine (Proteomics) und/oder Metabolomics eine gesonderte Rolle spielen. Beispielsweise können eineiige Zwillinge das gleiche Genom besitzen, aus der Sicht der Proteomics und/oder Metabolomics jedoch verschieden sein. Der Einfluss des Genoms, der Proteomics, der Metabolomics und der Biopsien auf die Wirkung von Arzneimitteln sowie mögliche toxikologische Auswirkungen ist Forschungsgegenstand der Pharmakogenomik als Teil der personalisierten Medizin.

[0004] Um das Ziel einer individuell abgestimmten Diagnostik, Medikamentierung und Therapierung zu erreichen, ist es unvermeidlich, persönliche Daten zu sammeln, zu untersuchen, an unterschiedliche Kompetenzzentren zu übertragen bzw. zu transferieren und unterschiedlichen Fachleuten Zugriff auf die Daten zu gewähren. Zusätzlich sind auch Daten aus dem kontinuierlichen oder periodischen Monitoring, Historie, Vererbungen und Zeitreihenanalyse eines Individuums zu berücksichtigen, um für das Personen-bezogene Krankheitsbild Informationen und Wissen zu gewinnen. Erst dieses kollektive Zusammenwirken erlaubt eine möglichst ganzheitliche Betrachtung eines Individuums, um gestützt auf medizinische Evidenz, Wirksamkeit und Wirtschaftlichkeit die optimale Medikamentierung, Therapierung und das optimale Heilungsverfahren zu ermitteln. Aber nicht nur die Kompetenzvoraussetzungen verlangen bei der personalisierten Medizin häufig einen Einbezug mehrerer verschiedener Fachleute, sondern auch die technischen Voraussetzungen. So stellt heute noch die Analyse der gewonnenen diagnostischen Daten meist eine beachtliche Herausforderung der personalisierten Medizin dar, z.B. fordern genetische Daten, gewonnen aus Verfahren wie dem Next Generation Sequencing, Daten aus der Proteomics, der Toxikologie und/oder der Metabolomics, rechenaufwendige Datenverarbeitungsschritte und sinnvolle Verknüpfungen zwischen den Daten, bevor die eigentliche Analyse der Daten erfolgen kann. Um hierbei künftig auf passende Werkzeuge zurückgreifen zu können, ist die interdisziplinäre Zusammenarbeit von Experten aus verschiedenen Gebieten erforderlich: Medizinern, klinischen Onkologen, Biologen, Softwareingenieuren, Analytikern.

[0005] Um dieser Problematik zu begegnen, gibt es verschiedene Systeme im Stand der Technik. So hat z.B. Nexus (www.nexus.ethz.ch/about.html) eine interdisziplinäre Plattform realisiert. Sie verbindet klinische Bioinformatik mit vollautomatisiertem Screening, vergleicht Resultate mit chemischen und Genom-Bibliotheken. Um die Datensicherheit zu garantieren, muss jedoch Nexus nach jeder Untersuchung die untersuchten Daten löschen (siehe www.nexus.ethz.ch/collaboration/data_retention.html: «Data from approved projects will be kept an the NEXUS servers for 6 months after the date of the joint final meeting of the corresponding project. After an expiry warning to the registered project lead, the data will be removed. Given special circumstances the data lifetime cycle can be extended. Extensions will be charged according to size of the data and storage duration.»

Technische Aufgabe

[0006] Es ist Aufgabe der Erfindung, eine technische Lösung bereitzustellen, die die oben diskutierten Nachteile nicht aufweist. Die Lösung soll es dabei erlauben, die Privacy und Secrecy der Patienten durch vollkommen maskierten, rückverfolgbaren Identitätsschutz und Anonymität individuell schützen zu können. Dabei sollen es die technischen Mittel erlauben, insbesondere die gewünschten ethischen, moralischen Prinzipien und gesetzlichen Regeln zu wahren und einzuhalten. Auf der anderen Seite soll es die Erfindung ermöglichen, die persönlichen Daten einfach in den entsprechenden Forschungs- und Entwicklungszentren zu nutzen und zu transferieren, um aus dem Krankheits-Muster personifizierte, Patient-bezogene Heilungsmöglichkeiten, Informationen und Wissen zu gewinnen. Damit soll es die Erfindung ermöglichen, schnellstmöglich, mit höchstmöglicher Treffsicherheit für die betroffene Person, die individualisierte Therapierung und Medikamentierung zu planen und die entsprechende weitgehende Diagnostik durch die dezentralisierte Verwendbarkeit der Daten zu ermöglichen.

Zusammenfassung der Erfindung

[0007] Gemäss der vorliegenden Erfindung werden die obgenannten Aufgaben insbesondere durch die Anspruchsmerkmale der unabhängigen Ansprüche erreicht. Weitere vorteilhafte Ausführungsformen können durch die abhängigen Ansprüche und die Beschreibung erhalten werden.

[0008] Gemäss der vorliegenden Erfindung werden die obgenannten Aufgaben für einen biometrischen, Fingerprint-basierten Encryption-Decryption Engine zur kontrollierten Handhabung und gesicherten Übertragung personifizierter, sensibler Daten insbesondere dadurch gelöst, dass mittels eines Mobilfunkgerätes biometrische Daten eines Originators erfasst werden und in einer SIM-Karte des Mobilfunkgerätes abgespeichert werden, dass zwei unterschiedliche Fingerprints (P-FP1/P-FP2) von zwei verschiedenen Fingern des Originators mittels des Mobilfunkgerätes erfasst und in der SIM-Karte des Mobilfunkgerätes dem Originator zugeordnet abgespeichert werden, wobei der erste Fingerprint (P-FP1) der Autorisierung und der zweite Fingerprint (P-FP2) der Authentisierung zugeordnet wird, und wobei der zweite Fingerprint (P-FP2) zur Verschlüsselung der personifizierten, sensiblen Daten verwendet wird, dass die zwei Fingerprints (P-FP1/P-FP2) an einen zentralen Zugriffsserver (AAA) oder ein Trust Center übermittelt und dem Originator zugeordnet in einer Datenbank des Zugriffsservers abgespeichert werden, dass zwei Fingerprints (M-FP1/M-FP2) eines Confidants an den zentralen Zugriffsserver (AAA) übermittelt und dem Confidant zugeordnet in der Datenbank des Zugriffsservers abgespeichert werden, dass das Mobilfunkgerät ein Daten-Verschlüsselungs- und -Transfermodul umfasst, wobei das Daten-Verschlüsselungs- und -Transfermodul mittels des Mobilfunkgerätes für den Originator zugreifbar ist und wobei entsprechende personifizierte, sensible Daten vom Originator mittels des Daten-Verschlüsselungs- und -Transfermoduls aggregierbar und/oder validierbar und verschlüsselbar und über das Trust Center den Confidant über einen Datenübertragungskanal eines Datenübertragungsnetzwerkes transferierbar sind, dass die transferierten Daten vom Trust Center mittels einer Learning Machine und mittels des zweiten Fingerprints (P-FP2) des Originators entschlüsselt werden, wobei mittels der Learning Machine Personen-relevante Daten der transferierten personifizierten, sensiblen Daten maskiert und/oder anonymisiert werden und wobei mittels der Learning Machine die maskierten und/oder anonymisierten Daten mittels des Fingerprints (M-FP1) des Confidants verschlüsselt mindestens teilweise an den Confidant und/oder Netzwerk-Nodes Dritter transferiert werden, und dass die auf den Confidant oder die Netzwerk-Nodes Dritter transferierten, maskierten und/oder anonymisierten Daten durch den Confidant und/oder mittels der Netzwerk-Nodes der Dritten basierend auf dem Fingerprint (M-FP1) des Confidants entschlüsselt werden. Der Confidant, der Originator und das Trust Center bezeichnen dabei elektronische, automatisierte Vorrichtungen mit den entsprechend realisierten elektronischen Komponenten (Verschlüsselungs-/Entschlüsselungseinheit, Dateninterfaces, Speicher etc.), insbesondere beim Originator ein Mobilfunkgerät oder einen mobilen Netzwerk-Node und beim Confidant einen Netzwerk-Node als solchen. Als Variante können mittels eines Mobilfunkgerätes biometrische Daten eines Originators erfasst werden und in einer SIM-Karte und/oder innerhalb eines gesicherten Ordners im Filesystem des Mobilfunkgerätes und/oder End-Nutzer-Gerätes abgespeichert werden, dass zwei unterschiedliche Fingerprints (P-FP1/P-FP2) und/oder biometrische Messungen (B-MM1/B-MM2) von zwei verschiedenen Fingern und/oder Körperteilen des Originators mittels des Mobilfunkgeräfs und/oder Erfassungsgeräts für biometrische Messungen erfasst und in der SIM-Karte und/oder innerhalb eines gesicherten Ordners im Filesystem des Mobilfunkgerätes und/oder End-Nutzer-Gerätes dem Originator zugeordnet und abgespeichert werden, wobei der erste Fingerprint (P-FP1) oder die erste biometrische Messung (B-MM1) der Autorisierung und der zweite Fingerprint (P-FP2) und/oder die zweite von der ersten unabhängige biometrische Messung B-MM2 der Authentisierung zugeordnet wird, und wobei der zweite Fingerprint (P-FP2) zur Verschlüsselung der personifizierten, sensiblen Daten verwendet wird, dass die zwei Fingerprints (P-FP1/P-FP2 bzw. B-MM1/B-MM2) an einen, zentralen Zugriffsserver (Authentication, Autorisation, Accounting [AAA]) übermittelt und dem Originator zugeordnet in einer Datenbank des Zugriffsservers abgespeichert werden, dass zwei Fingerprints (M-FP1/M-FP2) eines Confidants an den zentralen Zugriffsserver (AAA) übermittelt und dem Confidant zugeordnet in der Datenbank des Zugriffsservers (mittels des im Folgenden beschriebenen Regelwerkes) abgespeichert werden, dass das Mobilfunkgerät ein Daten-Verschlüsselungs- und Transfermodul umfasst, wobei das Verschlüsselungs- und Transfermodul mittels des Mobilfunkgerätes für den Originator zugreifbar ist und wobei entsprechende personifizierte, sensible Daten vom Originator mittels des Verschlüsselungs- und -Transfermodul aggregierbar und/oder validierbar, verifizierbar und verschlüsselbar und an den Confidant über einen sicheren, verschlüsselten Datenübertragungskanal eines Datenübertragungsnetzwerkes (wie z.B. einem Virtual Private Network [VPN]) transferierbar sind, dass die transferierten Daten vom Confidant mittels einer Learning Machine und mittels des zweiten Fingerprints (P-FP2) des Originators entschlüsselt werden, wobei mittels der Learning Machine und/oder Deep Learning Machine und/oder künstlichen Intelligenzmodule Personen-relevanten Daten der dazugehörigen, eineindeutigen, Inhalt-bezogenen, transferierten, personifizierten, sensiblen Daten (nach Verifizierung und Validierung der sowohl in den Personen-bezogenen als auch in den eineindeutigen, zugehörigen Inhalt-bezogenen Daten vorhandenen und mittels der identischen in beiden Datenarten eingebetteten Autorisierungsschlüssel übereinstimmend zusammengefügten Daten) maskiert und/oder anonymisiert werden und wobei mittels der Learning Machine und/oder Deep Learning Machine und/oder künstlichen Intelligenzmodule die maskierten und/oder anonymisierten Daten mittels des Fingerprints (M-FP1) des Confidants (der Confidant bildet für das darauffolgende Transfer der sensiblen Daten auch Originator) verschlüsselt mindestens teilweise an Netzwerk-Nodes Dritter transferiert werden, und dass die auf die Netzwerk-Nodes Dritter transferierten, maskierten und/oder anonymisierten Daten mittels der Netzwerk-Nodes basierend auf dem Fingerprint (-M/CFP2) des Originators (M)/(C) entschlüsselt werden. Der erfindungsgemässe biometrische Encryption-Decryption Engine hat u.a. die Vorteile, dass einerseits die Privacy, Secrecy und maskierte Identität und Anonymity der Patienten nach ethischen, moralischen Prinzipien und gesetzlichen Regeln einfach gewahrt werden können. Anderseits können die Daten mit maskierter Identität oder die anonymen, verschlüsselten Daten von den Quellen zu den Forschungs- und Entwicklungszentren problemlos genutzt werden (entweder mit der maskierten Identität für die Rückverfolgbarkeit oder absolut anonym, mit Verlust der Rückverfolgbarkeit), wobei insbesondere aus den Krankheits-Muster Patienten-bezogene Heilungsmöglichkeiten, Informationen und Wissen gewonnen werden kann. Die mit dem biometrlschen Marker eines Originators als auch des zugehörigen Confidants maskierten Identitäten und verschlüsselten Daten sind für ein spezielles Individuum somit rückverfolgbar. Damit ist es möglich schnellstens, mit höchstmöglicher Treffsicherheit für die betroffene Person die entsprechende personifizierte Medikamentierung und Therapierung zu planen, wobei sich diese aufgrund eines kontinuierlichen Monitorings einer betroffenen Person insbesondere dynamisch und zeitabhängig ändern und/oder anpassen lassen, wenn die entsprechenden, individuell eingestellten Parameter technisch mittels Learning Machine getriggerte oder anderweitig überwachte Schwellwerte erreichen. Damit lassen sich auch Konstellationen automatisiert abfangen, die für Patienten toxikologische oder die Fortsetzung der Medikamentierung und/oder Therapierung für die betroffene Person fatale Folgen haben können.

[0009] Die Erfindung erlaubt z.B. heutige mobile Geräte für diese Zwecke sinnvoll zu nutzen, meist ohne weitere Modifikation. In Fig. 1 wird am konkreten Beispiel mit FPC-Sensoren https://www.fingerprints.com/technoIogy/hardware/fpc 1020/ und in Fig. 2 mit einem konkreten Fall gezeigt, wie ein mobiles Gerät für das Vorhaben sinnvoll modifiziert werden kann, dies gilt ebenso für hochwertige Sensoren, wie für Gesichtserkennung, z.B. http://eu.mouser.com/new/Omran-Electronics/omron-b5t-hvc-sensor/ oder Iris-, Retina-Scanning, Spracherkennung, Erkennung der Handflächen-Geometrie, usw. Nachfolgend wird gezeigt, wie mit wenigem Aufwand Erfassungsgeräte für biometrischen Messungen modifiziert und/oder erweitert werden können, um diese Systeme und Verfahren einzubetten. Der Confidant, insbesondere als Vertrauensarzt, kann mittels der Erfindung einerseits ad hoc und/oder on demand, orts- und zeitunabhängig alle oder spezifische Teile der persönlichen Daten und/oder die elektronischen, dezentralisierten Patientendossiers sicher, schnell und zuverlässig zusammenfügen, um ein ganzheitliches Bild der behandelten Person zu haben. Anderseits kann der Confidant zusammen mit anderen von der behandelten Person zuvor zugestimmten Confidants ad hoc und/oder on demand, orts- und zeitunabhängig alle oder spezifische Teile der persönlichen Daten und/oder die elektronischen, dezentralisierten Patientendossiers sicher, schnell und zuverlässig zusammenfügen, um ein ganzheitliches Bild der behandelten Person zu haben, um selber die Inhalt-spezifischen Daten der behandelten Person an weitere Spezialisten/Confidant(s) zu übermitteln und/oder die vielfältigen, dezentralisierten Patientendossiers zu einem einzigen anonymisierten und/oder verschlüsselten Patientendossier zu erfassen. Die Erfindung ist nicht beschränkt auf Fingerprints als biometrische Kenndaten. Für die Autorisierung der Personen-bezogenen Daten und für die Authentisierung für die Verschlüsselung der Inhalt-bezogenen Daten eines bestimmten Patienten bieten allgemein biometrische Erkennungen, wie Fingerprint, Gesichtserkennung oder Ausmessen/Erfassen der Iris usw. eine grosse Vielfalt an Möglichkeiten, welche in Zusammenhang mit dem erfindungsgemässen Engine anwendbar sind. Allerdings ist aus diesen Möglichkeiten die Fingerprint-Erkennung diejenige, welche sich im Markt am deutlichsten durchgesetzt hat und z.B. in den moderneren Smartphones bereits integriert ist. Ein Vorteil der Erfindung liegt deshalb auch darin, etablierte, technische, mehrfach erprobte, standardisierte Lösungen integrieren zu können, um mit geringem Aufwand eine verlässliche, sichere End-to-End-Lösung vorzuschlagen, die den Anforderungen an Datensicherheit und der Ethikkommission genügt. Die Gewähr der Privacy, Secrecy und Anonymity der persönlichen Daten beginnt deshalb schon beim Originator und/oder dem Patienten.

[0010] Insbesondere kann das erfindungsgemässe System basierend auf allen Arten von persönlichen, biometrisch gewonnenen Messungen realisiert sein, denn es ist Kern der Erfindung, zwei unabhängige zufällig generierte, pseudo-persönliche Schlüssel zu bestimmen, womit alle Arten von Daten, wie z.B. Video, Sprachaufzeichnungen, Bilder, Texte u.v.a.m, mit (a) einem persönlichen, biometrischen Schlüssel zu verschlüsseln und (b) die Daten mit dem zweiten, unabhängig vom ersten Schlüssel generierten, persönlichen Schlüssel zu markieren, ohne die wahren biometrischen Schlüssel je in Umlauf zu bringen und/oder die Identität eines Individuums direkt oder indirekt zu gefährden. Somit lassen sich die erfindungsgemässen Systeme auch länderspezifisch oder weltweit eins-zu-eins einsetzen, in dem in einer entsprechenden Applikation, kurz APP, das System oder Verfahren die jeweiligen landesspezifischen Anpassungen, wie Sprache, Zeitzone, landesspezifische Kenn-IDs, usw. vornimmt. Erfindungsgemäss lässt sich z.B. auch ein End-Nutzer-Gerät, welches die persönlichen, biometrischen Messungen erfasst, zusätzlich als «Dolmetscher» verwenden, in welchem bei der Kommunikation die gängigen, gewünschten Welt-Sprachen-Übersetzer ausgewählt und eingebunden werden. So ist es z.B. möglich, jemanden um Hilfe oder in einer Notsituation dem helfenden Arzt die eigenen Patienteninformationen aus dem Ursprungsland anzuzeigen, die entsprechende, fachspezifische, automatische Übersetzung des jeweiligen Gastlandes auszuwählen und/oder mit dem Hausarzt, Spezialist oder spezialisierten Spital im Ursprungsland zu verbinden, um auch an entfernten Weltteilen mittels Telemedizin von lokalen Gesundheitsfachpersonen die optimale, medizinische Versorgung zu erhalten. Diese können dann eventuelle, weitere Schritte einleiten, z.B. für die Repatriierung in das Ursprungsland.

[0011] Sämtliche Aufzeichnungen, wie Sprache (insb. Originalsprache), Video, Texte, Bilder usw. können mittels des erfindungsgemässen Systems vom End-Nutzer-Gerät ad hoc erfasst und z.B. verschlüsselt in das persönliche, elektronische Patientendossier im Ursprungsland gespeichert werden. End-Nutzer sind mit diesem System und Verfahren vor Missbrauch der persönlichen, biometrischen Messungen geschützt, was zum Beispiel insbesondere bei autoritären Staaten, illegalen Polizeikorps, Diktatoren etc. wichtig sein kann, welche mit illegalen Mitteln sich der AA-Agencies oder des End-Nutzer-Gerätes bemächtigen, und so für illegale Zwecke missbrauchen können, aber auch in Bezug auf Hacker-Gemeinden, welche z.B. Lösegelder erpressen. Der Identitätsschutz eines End-Nutzers, der wie erwähnt ein zentrales Element der Erfindung darstellt, ist gewährleistet, weil nur geheime, zufällig generierte, pseudo-biometrische, persönliche Messungen aus den echten, persönlichen, biometrischen Messungen generiert und verwendet werden, und somit an AA-Agenturen transferiert und in AA-Agenturen gespeichert werden. Der Autorisierungsschlüssel, welcher persönliche, biometrische Messungen enthält, wird erfindungsgemäss geheim generiert und wird in die personifizierten Daten bzw. elektronischen Akten (Patienten-, Buchhaltung-, Ledger-, ...) automatisch vom System und Verfahren eingebettet. Der Autorisierungsschlüssel repräsentiert und bildet dabei einen geheimen Platzhalter innerhalb aller Inhalt-bezogenen Daten, welche einen echten Sachverhalt beschreiben, wie z.B. klinische Patientendaten, Finanz- oder Versicherungs- oder Forschungs-, oder Intelligence-Daten u.v.a.m., für die Personen-bezogenen Daten. Die persönlichen, biometrischen Messungen des Authentifizierungsschlüssels betreffen Körperteile, welche verschieden sind von anderen biometrischen Messungen, wobei der Authentifizierungsschlüssel, wie erwähnt, geheim und/oder geschützt generiert wird, welcher für die Verschlüsselung der Daten verwendet wird. Die beiden verschiedenen, echten, persönlichen, biometrischen Messungen, z.B. aus zwei verschiedenen Fingerprints, bleiben immer und ausnahmslos im Device/Gerät eines End-Nutzers erhalten und geschützt gegen Eindringlinge oder Dritte aufbewahrt, indem jedweder externe Zugriff verhindert wird. Die echten, persönlichen, biometrischen Messungen (Finger, Gesicht, Iris, ...) werden dabei vom erfindungsgemässen System, nie über das Netz gesendet und schon gar nicht irgendwo, ausser im eigenen End-Nutzer-Gerät, wie bereits beschrieben, gespeichert. Wichtig zu bemerken ist, dass das erfindungsgemässe System im Umgang mit sensitiven oder hoch-sensitiven Daten nur beispielshaft am konkreten Beispiel von Patientendaten aufgezeichnet ist. Das erfindungsgemässe System lässt sich auch ohne tiefgreifende Anpassungen direkt auf Datentransfer und -Schutz in der Finanz-, Versicherungs-, Intelligence- und Forschungstechnologie übertragen. Weiter ist anzumerken, dass erfindungsgemäss die AA-Agenturen als Master-Master-hochverfügbare-Replikationsserver und nach den strengen Kriterien eines Kredit-Karten-Zentrums aufgebaut, gesichert, zertifiziert und betrieben sind.

[0012] Die vorliegende Erfindung erlaubt eine einfache Erweiterung der Algorithmen und der Fingerprint-Recognition-Technologie des Standes der Technik. Anderseits können gleichzeitig Plattformdienste und -Technologien, wie oben am Beispiel von Nexus beschrieben, integriert und realisiert werden.

[0013] Die Erfindung erlaubt, persönliche Patientendaten vom Patienten verschlüsselt zu Vertrauensärzten (oder anderen Confidants) zu übermitteln und weiter mittels rückverfolgbarer, maskierter Identität zu dritten Forschern oder Personen zu übermitteln. Aufgrund der maskierten Identität können in der Folge die Daten an Dritte (z.B. Forschungs-, und Entwicklungseinheiten) verschlüsselt und zu einem bestimmten Krankheitsbild eines bestimmten Patienten als passende Antworten zurück an die jeweiligen Vertrauensärzte/Confidants und von diesen an Patient/Originator transferiert werden. Dennoch können die korrelierenden Krankheitsbilder zu den Behandlungen in einer sicheren, relationalen, schnellen Datenbank und/oder NoSQL-Datenbank und/oder Graphendatenbank aufbewahrt werden. Learning Machines oder Deep Learning Machines oder Artificial-Intelligence-basierte Module und/oder business-intelligence-basierte Module verarbeiten die anonymisierten und/oder die mit maskierter Identität versehenen, persönlichen Daten zu Informationen und Wissen, bewerten mit hoher Treffsicherheit individuelle Krankheits-Muster mit Medikamenten, Heilungs-Verfahren und Therapien und untersuchen die möglichen toxischen Nebenwirkungen für einen speziellen Patienten. Die vorbereiteten Informationen ermöglichen, dass bei neuen Anfragen die Antworten treffsicherer und schneller gegeben werden können. Mittels Vergleich aus anderen ähnlichen Fällen können insbesondere individuelle Medikamente, Heilungs-Verfahren und Therapien an Confidant(s) treffsicher empfohlen werden.

[0014] In einer Ausführungsvariante ist der Originator ein medizinischer Patient, wobei die sensiblen, personifizierten Daten automatisiert von einer Learning Machine oder Deep Learning Machine oder Artificial Intelligence-basiertem Modul als Confidant und/oder Vertrauensarzt mittels einer Learning Machine Dritten zur weiteren Diagnostik und/oder Therapierung zur Verfügung gestellt werden. Das Mobilfunkgerät des Originators kann z.B. mindestens einen Sensor zum Erfassen von biometrischen Daten umfassen. Das Mobilfunkgerät des Originators kann durch weitere Applikationen/Programme ad hoc auch als «Dolmetscher» und «Aufzeichnungsgerät» verwendet, erweitert werden, und die so generierten neuen Daten verschlüsselt im elektronischen Patientendossier integrieren oder anreichern oder sogar ein neues elektronisches Patientendossier anlegen. Mittels des mindestens einen Sensors zum Erfassen von biometrischen Daten können z.B. Fingerprints als biometrische Schlüssel erfasst werden. Der zentrale Zugriffsserver (AAA) kann z.B. einer Authentisierungs- und Autorisierungs-(AA)-Agency zugeordnet sein. Der Confidant kann z.B. zur Entschlüsselung der personifizierten, sensiblen Daten mittels der Learning Machine auf die entsprechenden Fingerprints (P-FP1/P-FP2) des Originators auf dem zentralen Zugriffsserver (AAA) zugreifen und auf die Learning Machine übertragen. Die Netzwerk-Nodes Dritter können z.B. zur Entschlüsselung der maskierten und/oder anonymisierten Daten auf die entsprechenden Fingerprints (M-FP1/M-FP2) des Confidants auf den zentralen Zugriffsserver (AAA) zugreifen und auf sich übertragen.

[0015] Mittels der Learning Machine oder Deep Learning Machine oder Artificial Intelligence-basiertem Modul können z.B. die entschlüsselten sensiblen, personifizierten, inhaltlichen Daten auf Daten-Konsistenz und Daten-Qualität überprüfbar werden. Mittels der Learning Machine oder Deep Learning Machine oder Artificial Intelligence-basiertem Modul kann z.B. automatisiert oder durch den Confidant feingranulare Aktivierungsstufen detektiert und dem Originator zugeordnet werden, wobei basierend auf den Aktivierungsstufen die Daten den Netzwerk-Nodes Dritter zugänglich gemacht werden. Die Aktivierungsstufen können z.B. mindestens die Triggerelemente «kein Handlungsbedarf» und/oder «Warnung» und/oder «Alarmzustand» umfassen. Es steht allerdings nichts im Weg, mittels feingranularer Triggerelemente und/oder feingranularer Steuerung für die Verabreichung von Medikamenten oder Erinnerungsfunktionen an Originator eine bestimmte Therapie durchzuführen und/oder ein bestimmtes Medikament einzunehmen usw. im Gegenzug Messwerte und/oder Parameter von Organen, Körperflüssigkeiten und/oder aus Scanning von Körperteilen, wie Haut, direkt von den Messgeräten mittels des eingebetteten Systems und Verfahrens, die in dieser Lösung beschrieben sind, an Confidant(s) zu senden.

[0016] Wichtig ist, dass die erwähnten Netzwerk-Nodes Dritter, insbesondere entsprechende Forschungs- und Entwicklungsinstitute (F&E), einem genau bestimmten Confidant/Vertrauensarzt pharmako-relevante Medikamente, Therapien u.v.a.m. für ein spezielles Patienten-bezogenes Krankheitsbild übermitteln. Der Confidant oder die Learning Machine beim Confidant/Vertrauensarzt alleine ist in der Lage, die mit maskierter Identität markierten, anonymisierten und encrypted Daten genau einem bestimmten Patienten zuzuweisen. Typischerweise ist es ausschliesslich der Vertrauensarzt und nicht die Learning Machine oder Deep Learning Machine oder Artificial Intelligence-basiertes Modul, die nach Überprüfung der vorgeschlagenen pharmako-relevante Medikamente, Therapien aufgrund des Autorisierungs-Schlüssels P(FP1) gekoppelt an den Authentifizierungs-Schlüssel P(FP2) auf den echten Patienten schliessen kann und diesen in der Folge fachgerecht benachrichtigen kann. Andere Ausführungsvarianten sind aber ebenfalls vorstellbar.

[0017] Zusammenfassend lassen sich folgende Elemente und Schritte als Kern der Erfindung festhalten: <tb>(1)<SEP>Die Grundstruktur für die mit individualisiertem, biometrischem Schlüssel verschlüsselte Kommunikation von Informationen und/oder Daten und/oder Dokumenten besteht aus Producer-Einheit, Trusted-Einheit oder Trusted Center und Consumer-Einheit. Die Kommunikation ist bidirektional und immer mit dem Schlüssel des/der empfangenden Consumer(s) verschlüsselt. Jede Consumer-Einheit kann seinerseits selber Producer von einem weiteren Consumer oder von weiteren Consumers sein. <tb>(2)<SEP>Mit einem End-Nutzer-Gerät erzeugen unabhängig voneinander Producers und Consumers je zwei unabhängige, individualisierte, biometrische Messungen von beliebigen Körperteilen, z.B. zwei verschiedene Fingerprints, Gesichtserkennung, Iris, usw. Die zwei unabhängigen biometrischen Messungen werden je in einen entsprechenden biometrischen Schlüssel transformiert, wobei die biometrischen Schlüssel mindestens teilweise basierend auf den biometrischen Messungen transformiert werden, z.B. mittels eines entsprechenden Transformations-Moduls oder Kryptosystems. Mindestens teilweise kann die Transformation jedoch auch auf zusätzlichen Transformations-Verknüpfungen basieren, z.B. zufälliger Permutationsalgorithmen oder symmetrischer oder asymmetrischer Verschlüsselungsalgorithmen, wie z.B. dem Data Encryption Standard (DES), Advanced Encryption Standard (AES), International Data Encryption Algorithm (IDEA), Public-Key-Verschlüsselungsverfahren, Public-Key-Authentifizierung und/oder digitale Signaturen. Die erfindungsgemässe Transformation erlaubt eine einzigartige Zuordnung von biometrischer Messung in einen digitalen biometrischen Schlüssel, z.B. einen 256-bit- oder 512-bit-Schlüssel. Der erste biometrische Schlüssel dient der eineindeutigen Identifikation eines Producers. Der zweite, unabhängige, biometrische Schlüssel dient der Verschlüsselung von Daten-Content, i.e. Informationen und/oder Daten und/oder Dokumente, die dem Producer bzw. der Producer-Einheit zugeordnet sind. <tb>(3)<SEP>Producers und Consumers senden unabhängig voneinander dem Trust-Center die individualisierten, geheimen, biometrischen Schlüssel. Ein Schlüssel für die eindeutige Zuordnung der Identität eines Producers und der zweite Schlüssel für die eindeutige Verschlüsselung eines Daten-Contents wie Informationen, Daten, Dokumente des urhebenden Producers. <tb>(4)<SEP>Die Zuordnung bzw. Freigabe von Content-Daten an einen oder mehrere Consumer kann nur über die Producer-Einheit bzw. den Producer erfolgen, ohne dass die bidirektionale, verschlüsselte Kommunikation zwischen Producer-Consumer oder Producer-Consumers aufgegeben wird. Insbesondere kann die Freigabe über das Trusted Center erfolgen. Über das Trusted Center oder über die Producer-Einheit werden die Content-Daten wie Informationen, Daten oder Dokumente eines Producers mit einem Schlüssel des freigegebenen Consumers verschlüsselt. <tb>(5)<SEP>Eine der beiden biometrischen Schlüssel dient ausschliesslich für die Verschlüsselung der Informationen und/oder Daten und/oder Dokumente. Dieser biometrische Schlüssel bleibt immer im Trusted Center gespeichert und wird nie (abgesehen vom ersten Mal zwischen Producer und Trusted Center) über das Netz gesendet. <tb>(6)<SEP>Im Datentransferverfahren ermöglichen die Content-Daten nie einen eindeutigen Rückschluss über den erhebenden Producer, i.e. dessen Identität, und/oder Consumer, der seinerseits selber gegenüber einem weiteren Consumer als urhebender Producer wirkt, Informationen und/oder Daten, welche Rückschlüsse auf die Identität eines Producers ermöglichen. Das Trusted Center wirkt als Drehscheibe, mit den Aufgaben, Producer mit bestimmten vom Producer beglaubigten Consumer oder Consumers zuzuordnen, die Content-Daten mit dem zweiten Schlüssel des urhebenden Producers zu entschlüsseln, um sofort nachfolgend mit einem Schlüssel eines zugeordneten und vom Producer freigegebenen Consumers zu verschlüsseln und entweder die verschlüsselten Content-Daten an den entsprechenden Consumer zu transferieren oder den genauen Speicherort der Content-Daten und nach Bedarf des urhebenden Producers die Verwendung bzw. den Access zu ermöglichen. <tb>(7)<SEP>Content-Daten, i.e. Informationen, Dokumente und/oder Daten, eines urhebenden Producers enthalten nie Informationen, mittels welchen der Producer identifiziert werden könnte. Falls ein Dokument Identifikations-Daten und/oder Informationen enthält, dann werden diese Informationen und/oder Daten vollständig mit dem zweiten, individualisierten, biometrischen Schlüssel ersetzt. Der zweite individualisierte, biometrische Schlüssel eines urhebenden Producers dient als eindeutiger Marker eines Producers von Content-Daten. <tb>(8)<SEP>Der Ausschluss von persönlichen Identifikations-Daten eines urhebenden Producers erfolgt entweder beim End-Gerät des Producers und/oder beim Consumer, wenn dieser gegenüber weiteren Consumers die Rolle eines Producers annimmt oder im zentralen, voll automatisierten Trusted Center. Der individualisierte, biometrische Marker dient insbesondere zur eineindeutigen Zuordnung zwischen Producer/Consumer. Damit ist die Identität eines Producers oder Identitäten von mehreren Producern (wenn Consumer zu Producern mutieren) vollkommen maskiert, wobei die korrekte beglaubigte Zuordnung von Producer und Consumer allein dem Trusted Center bekannt ist. <tb>(9)<SEP>Im erfindungsgemässen System können Producer mit einem End-Nutzer-Gerät auf alle eigene, urheberrechtliche Content-Daten (Dokumente, Informationen, Daten) jederzeit und ortsunabhängig zugreifen. Producers verwalten vollkommen unabhängig die Granularität, d.h. die Hierarchien, der Zugriffsrechte für jeden einzelnen beglaubigten und vom Producer zugeordneten Consumer sowohl auf ein gesamtes Dokument und/oder Informationen und/oder Daten oder Teile davon. <tb>(10)<SEP>Ein Producer kann erfindungsgemäss zu eigenen Content-Daten (Dokumente, Informationen und/oder Daten) einem oder mehreren Consumer ganz oder teilweise Zugriffe und Rechte, wie schreiben, lesen, abfragen, gleichzeitig oder einzeln gewähren. Content-Daten eines Producers können somit einen und/oder sogar mehrere individualisierte, biometrische Schlüssel vom Consumer enthalten, welche nur dem Trusted Zentrum bekannt sind und im Trusted Zentrum verwaltet werden. Nur Producer und/oder solche Consumer, welche zu Producern mutieren, dürfen die Identität eines Producers mit dem zweiten Individualisten biometrischen Schlüssel ersetzen und in die Content-Daten einbetten. <tb>(11)<SEP>Ein Producer kann die Hierarchie bzw. Granularität der Zugriffe auf ein Dokument oder Teile davon jederzeit ändern ohne die beteiligten Consumer zu benachrichtigen. Umgekehrt, falls ein beglaubigter, zugeordneter Consumer eines Dokumentes, d.h. von Content-Daten, eines urhebenden Producers diese in irgendeiner Weise ändert, abfragt, liest, öffnet oder wie auch immer manipuliert, kann der entsprechende Producer als Erfindungsvariante sofort benachrichtigt werden. Einträge in Dokumente und/oder Informationen und/oder Daten dürfen nur die Urheber eines Dokumentes und/oder Informationen und/oder Daten logisch löschen. Für Consumer mit den expliziten Rechten, ein Dokument zu ändern, einzufügen oder zu schreiben, werden sämtliche Änderungen stets markiert und vom System getraced. Als Variante kann eine besondere SOS- und/oder Alarm-Funktion Dritten erlauben, Dokumente bzw. Content-Daten für den Producer zu erstellen.

Kurze Beschreibung der Zeichnungen

[0018] Die vorliegende Erfindung wird detaillierter erklärt durch die folgenden Beispiele mit Referenzierung zu den Zeichnungen, wobei: <tb>Fig. 1<SEP>zeigt schematisch den Prozessschritt 1 an einem moderneren iPhone als Mobilfunkgerät. Das kommerzielle iPhone lässt sich z.B. mittels einer Karte FPC1268 (Fingerprint-Card 1268), welche unabhängig von der Plattform unter dem Deckglas eines Smartphones montiert werden kann, für die Erfindung einrichten. Dazu können zwei Sensoren (www.fingerprinfs.com/praducts/fpc 1080a-swipe/; www.fingerprints.com/praducfs/productsarea-sensor/) im mobilen Endgerät eingebaut werden. <tb>Fig. 2<SEP>zeigt schematisch den Prozessschritt 3. Falls die Infrastruktur des Vertrauensarztes die Sicherheitskriterien erfüllt, können die P(FP1) und P(FP2) sicher in der IT-Umgebung gespeichert werden. Ansonsten können die P(FP1) und P(FP2) bei einer AA-Agency gespeichert werden. Der Vertrauensarzt muss danach bei einer vertrauenswürdigen AA-Agency (Autorisierung-Authentisierungs-Agentur) den Schlüssel P(FP2) anfordern, um die Patientendaten zu entschlüsseln. Ein Algorithmus sorgt dafür, dass beim Schliessen des elektronischen Patientendossiers (i) automatisch die Patientendaten mit dem Schlüssel des Patienten P(FP2) verschlüsselt abgelegt werden und (ii) der vom Vertrauensarzt von der AA-Agency angeforderte Schlüssel P(FP2) (Patientenschlüssel) vom lokalen IT-System des Vertrauensarztes gelöscht wird. <tb>Fig. 3<SEP>zeigt schematisch den Prozessschritt 4. Prozessschritt 4 umfasst (i) Learning Machine, maskiert alle Patienten-relevanten Daten (Namen, Vornamen, Geburtsdatum, Geschlecht, …); Daten nur mit P(FP1), Autorisierungsschlüssel versehen; (ii) Anonymisierte Patientendaten mit Schlüssel des Vertrauensarztes M(FP2) verschlüsseln E(Pat-Daten; M[FP2]); (iii) Senden der verschlüsselten Daten E(Pat-Daten; M[FP2]) an ein Forschungs-, Entwicklungszentrum, z.B. Nexus. <tb>Fig. 4<SEP>zeigt schematisch den Prozessschrift 6. Prozessschritt 6 umfasst (i) Forschungs-, und Entwicklungszentrum (F&E) fordert von der AA-Agency Schlüssel M(FP1), d.h. Medical Fingerprint für Authentifizierung, an. Die Autorisierung erfolgt mit dem Schlüssel M(FP2), d.h. Autorisierung mittels Medical Fingerprint; (ii) AA-Agency übermittelt an (F&E) den Schlüssel M(FP1). In F&E werden die verschlüsselten Patienten-Daten E(Pat-Daten; M(FP2); mit dem M(FP2) entschlüsselt D(E(Pat-Daten; M[FP2]) = (Pat-Daten; M[FP2]) In den Patienten-Daten ist auch der P(FP1), Autorisierungsschlüssel, des Patienten enthalten. Die Learning Machine kann dabei einen Beitrag leisten, um den Match «Krankheits-Muster» eines Patienten mit möglichen Medikamenten, Therapien zu finden. <tb>Fig. 5<SEP>zeigt schematisch die erfindungsgemässe Relation zwischen Vertrauensarzt/Patienten. <tb>Fig. 6<SEP>zeigt ein Flussdiagramm für Benachrichtigung vom F&E zum Patienten. <tb>Fig. 7 – 21<SEP>zeigen eine Erweiterung und Verbesserung des erfindungsgemässen Systems nach Fig. 1 – 6 für jede Art von individuellen, biometrisch gewonnenen Messungen, anwendbar auf sensitiven oder hoch-sensitiven Datentransfer jeglicher Art und Weise, wobei unter Daten Video, Sprachaufzeichnungen, Bilder, Texte u.v.a.m. zu verstehen sind. <tb>Fig. 7<SEP>illustriert einen Protokoll-Aufbau der gesendeten hoch-sensitiven Daten. <tb>Fig. 8a / 8b<SEP>illustrieren, wie eine Applikation oder APP verschiedene Funktionalitäten enthalten kann, Personen-bezogene Daten nach Sensitivität trennen kann, Liste von Referenzen, Prozesse, Informationsfluss und Administration der Zugriffsrechte für die referenzierten Verbraucher. Die App kann z.B. skalierbar für End-Nutzer-spezifische Erweiterungen ausgebildet sein. <tb>Fig. 9<SEP>zeigt ein Beispiel für CRUD-Zugriff angewendet auf die Content-Daten Dokument 1 und 2. MED 1 kann z.B. leserecht (R) für Dokument 1 und nachführrecht (U= update) auf Dokument 2 erhalten. MED 2 kann z.B. Erstellrecht (C = create) für Dokument 2 erhalten, d.h. kein Zugriffsrecht für Dokument 1 usw. <tb>Fig. 10<SEP>zeigt ein Beispiel für zwei verschiedene Fingerprints, welche verschieden lang sein können als Repräsentant für zwei unabhängige, beliebige, zufällig generierte biometrische Schlüssel. <tb>Fig. 11<SEP>illustriert ein Verfahren zur Erzeugung des pseudo-persönlichen Codes. <tb>Fig. 12<SEP>zeigt Feldnamen und minimale Anzahl der Felder für Personen-bezogene Informationen. <tb>Fig. 13<SEP>zeigt den Binary Code für jeden Text-Code aus Fig. 4 . <tb>Fig. 14<SEP>zeigt, wie ein End-Nutzer je eine zufällige Folge eingibt, z.B. [4, 9, 0, 7, 6, 5, 2, 1, 8, 3], für jede unabhängig abgegriffene, biometrische Messung. <tb>Fig. 15<SEP>zeigt einen Algorithmus für das Erstellen von zwei unabhängigen, Random-generierten, pseudo-persönlichen biometrischen Schlüsseln. <tb>Fig. 16<SEP>zeigt am Beispiel eine Abbildung zwischen Patienten, zugeordnetem Arzt oder Ärzten und Dokumenten in der AA-Agentur. Die MED_ID verbindet Patient–Arzt. <tb>Fig. 17<SEP>zeigt beispielhaft drei Schritte, um bestehende elektronische Patientendaten mit FEDE zu betreiben. <tb>Fig. 18<SEP>zeigt die Registrierung der MEDJD beim erstmaligen Arztbesuch. <tb>Fig. 19<SEP>illustriert den Prozess beim Arzt/Spital/Klinik, um Fragen an R&Ds zu stellen unter Wahrung von Privacy, Secrecy und Anonymity. <tb>Fig. 20<SEP>illustriert die Metadaten zu den Dokumenten PD_[1…m], die in Form von URL oder URI[1...q] in der AA-Agentur gespeichert sind, genau mit Patienten-Autorisationsschlüssel P[1…r](FP1) markiert und P[1…r](FP2) verschlüsselt und genau einem Leistungserbringer MED:_ID[1...t] zugewiesen. Die Dokumente können in eine Cloud, bevorzugt in eine private Cloud gespeichert werden. Die URI eines Dokumentes ist dabei eineindeutig. <tb>Fig. 21<SEP>zeigt den Zusammenhang und Abbildung zwischen MEDJD, Fragen von Ärzte an R&Ds und die Einbettung der Autorisation-Schlüssel von Patienten und Ärzten in die Fragen an R&Ds <tb>Fig. 22<SEP>zeigt einen Decryption-Encryption-Decryption-Mechanismus zur Wahrung von Privacy, Secrecy, Anonymity, um Fragen von Ärzten über bestimmte Patienten rückverfolgbar, jedoch mit maskieren Identitäten sowohl von Patienten als auch von Ärzten an bei der AA-Agency akkreditierte Research und Development Laboratories zu senden. <tb>Fig. 23<SEP>zeigt eine Struktur für DaaS (Data as a Service) anhand von Patientendaten. Das Modell ist übertragbar auf Finanz-, Versicherungs-, und andere Industriezweige, für welche Muster und Mustererkennung als Basis für Prädiktion brauchen und verwenden. <tb>Fig. 24<SEP>zeigt, wie basierend auf der Zustimmung von Patienten und/oder basierend auf der Registrierung von Patienten, Ärzte und R&Ds beim Trust Center/AA-Agentur, die Content-Daten (z.B. prä-, klinische und Forschungsdaten und Resultate) entweder mit maskierten Identitäten rückverfolgbar für Patienten verwendet oder durch Entfernen der biometrischen Marker vollkommen anonym genutzt werden können. <tb>Fig. 25<SEP>zeigt das FEDE-Verfahren und System, das die Zusammenarbeit zwischen Ärzten und Spitzenforschung unter Wahrung von Privacy, Secrecy und Anonymity für personifizierte Medizin ermöglicht und vereinfacht. <tb>Fig. 26<SEP>zeigt den Datenfluss und Prozess für den Aufbau von DaaS (Data as a Service) im Gesundheitswesen. <tb>Fig. 27<SEP>zeigt eine beispielhafte Aufteilung des erwirtschafteten Gewinnes pro Datensatz unter den Beteiligten und Rückfluss eines Teils des Gewinns als Vergütung an Patienten und Datenlieferanten.

Detaillierte Beschreibung einer bevorzugten Ausführungsvariante

[0019] Fig. 1 illustriert schematisch eine Architektur für eine mögliche Realisierung einer Ausführungsvariante des biometrischen, insbesondere Fingerprint-basierten, Encryption-Decryption Engine zur kontrollierten Handhabung und gesicherten Übertragung personifizierter, sensibler Daten, falls dafür ein mobiles Gerät modifiziert werden muss. Anfälligen gesetzlichen Vorschriften zur Privacy und Secrecy der Patientendaten lassen sich z.B. dadurch begegnen, dass ein Patient/Consumer/Originator entweder mit der Unterschrift seine (Patienten-)Zustimmung gibt und/oder Registrieren der Consumer-IDs, im konkreten Beispiel die MEDJD, mit welchem Confidant und/oder Gruppe von Personen, wie z.B. Research & Development, Finanz-, Versicherungswesen, Intelligence, Anwälte, usw. sensiblen Daten austauscht und zur Verfügung gibt, d.h., z.B. zwei verschiedene Abdrücke von je einem Finger aus je einer Hand elektronisch erfassen lässt. Ein Fingerabdruck der einen Hand gilt für die Authentifizierung. Der zweite Fingerabdruck wird für die Autorisierung verwendet.

[0020] An der Quelle respektive Quellen und im ganzen Lebens- und Transportzyklus der sensiblen Daten sind die Personen-bezogenen Daten von den Daten, welche den Inhalt der Mitteilung beschreiben, also prä-, klinischen, Labor-, Finanz-Versicherungs-, Intelligence-Daten strikt getrennt. Das erfindungsgemässe System kann auf alle Arten von persönlichen, biometrisch gewonnenen Messungen angewendet werden, denn als Core der Erfindung werden zwei unabhängige zufällig generierten, persönlichen Schlüssel bestimmt, womit alle Arten von Daten, wie z.B. Video, Sprachaufzeichnungen, Bilder, Texte u.v.a.m, mit (a) einem persönlichen, biometrischen Schlüssel verschlüsselt werden und (b) die Daten mit dem zweiten, unabhängig vorn ersten Schlüssel, zufällig generierten, persönlichen Schlüssel markiert werden.

[0021] Die Applikation oder APP (siehe Fig. 1 ) enthält verschiedene Funktionalitäten, trennt Daten nach Sensitivität, Bezug, Prozessen und Informationsfluss. Das erfindungsgemässe System ist skalierbar für End-Nutzer-spezifische Erweiterungen, responsive und besteht aus mindestens folgenden Teilen, damit das erfindungsgemässe System wirken kann: <tb>1.<SEP>Personen-bezogene Informationen sind immer streng vom Inhalt der Daten getrennt. <tb>2.<SEP>Erste-Hilfe-Informationen oder bestimmte Informationen und/oder Massnahmen zu einem Geschäftsfall mit hoch-sensitivem Datentransfer. <tb>3,<SEP>Liste der Referenz-Personen z.B. Arzt, Apotheker, aber auch Treuhänder, Anwalt, für die respektive für den die Daten bestimmt sind. <tb>4.<SEP>Ein SQS-Symbol, im Fall von Patienten, womit die SOS-Prozedur ausgelöst wird. <tb>5.<SEP>CRUD-Right-Administration, womit Eigentümer eines End-Nutzer-Gerätes und der Daten, die Hoheit aller dezentral gespeicherten Daten besitzen und die Zugriffsrechte auf Content-Daten und personenspezifische Daten (Dokumente/Daten) für die Referenz-Personen zeit- und ortsunabhängig eigenständig bestimmen und verwalten.

[0022] Wie die Fig. 8 a/b illustrieren, kann die Applikation oder APP verschiedene Funktionalitäten enthalten, insbesondere kann sie die Daten nach Sensitivität, Bezug, Prozessen und Informationsfluss trennen. Die App kann z.B. skalierbar für End-Nutzer-spezifische Erweiterungen realisiert sein. Die Personen-bezogenen Informationen enthalten Felder, wie Namen, Vornamen usw. (vgl. Fig. 12 ). Teile dieser Felder oder alle Felder werden genutzt, um die beiden pseudo-persönlichen, biometrischen Schlüssel Autorisierungsschlüssel und Authentifizierungsschlüssel zu bilden. Diese Felder oder Teile davon können insbesondere dazu verwendet werden, über die gängigen, elektronischen Übermittlungsarten, wie Bluetooth, infrared, Scanning, elektronische Visitenkarte an «Consumer», zu übertragen. Der damit generierte pseudo-persönliche Autorisierungs-Schlüssel kann vom Gerät-End-Nutzer auch als elektronische, authentische Unterschrift verwendet werden. Die Liste für «Erste Hilfe oder Informationen über zu treffenden Massnahmen» kann in Zusammenhang mit der «SOS-Funktionalität» wichtig sein, wenn ein End-Nutzer eines Gerätes bewusstlos ist. Helfer/Notarzt können z.B. damit lebenswichtige Informationen zur bewusstlosen Person erhalten, wie z.B. Allergien, wichtige Medikamente und ihre Verabreichung, zu benachrichtigende Person, u.v.a.m. Für andere Fälle, wie Finanz- und/oder Versicherungs- und/oder Fälle, wo die Sensitivität der Daten hoch ist, lassen sich in diesen Felder auch z.B. Instruktionen technisch erfassen, wie Benachrichtigung, Umgang mit den Daten, Alert-Auslöser, z.B. im Fall von Intelligence.

[0023] Die Liste referenzierter Personen kann z.B. umfassen (a) im Fall von Patientendaten die Felder MED[1,2,…]-ID, Apotheker[1,2]-ID, allgemein die Bezugsperson-ID eines Gesundheits-Leistungserbringers und/oder die R_D_-ID (ID von Research and Development, Labors, …). Für andere Fälle, wie z.B. Finanz- und/oder Versicherungs- und/oder Fälle, wo die Sensitivität der Daten hoch ist, umfasst sie die genaue Referenz-ID der Person, für welche die Daten bestimmt sind. Als persönliche Erweiterungsmöglichkeifen kann z.B. dem Eigentümer des End-Nutzer-Gerätes die Möglichkeit angeboten werden, das erfindungsgemässe System für die Autorisierung/Authentisierung mittels pseudo-persönlichen, biometrischen Messungen Zugriff auch auf anderen, sensitiven Daten anzuwenden, z.B, um online Finanztransaktionen zu tätigen u.v.a.m. Das erfindungsgemässe System lässt sich in beliebigen technischen Gebieten anwenden, weil die kleinste Einheit, d.h. die im Transfer der hoch-sensitiven Daten einbezogene Subjekte, immer aus «Producer-Eigentümer-Sender»–«Consumer-Berechtigter-Receiver» und der AA-Agency besteht, welche als unabhängige Drehscheibe, im Sinne einer Trust-Plattform, zwischen den beteiligten Subjekten «Producer-Eigentümer-Sender»–«Consumer-Berechtigten-Receiver» wirkt.

[0024] Für die AA-Agencies kann es z.B. vorteilhaft sein, eine Domain-Name-Konvention einzuführen, womit die AA-Agencies untereinander sicher kommunizieren können. Beispielsweise kann die Nomenklatur für Domain-Name wie folgt definiert ein: <frei_wählbare_Bezeichnung>, <landesspezische_grobe_unterteilung>, <land>, also zum Beispiel <frei_wählbare_Bezeichnung> – meineAA-AgenturNPU; <landesspezische_grobe_unterteilung> – bs; <land> – ch, oder <frei_wählbare_Bezeichnung> – monAA-Service; <landesspezische_grobe_unterteilung> – Alsace; <land> – fr. Die AA-Agency kann z.B. für jedes Individuum Metadaten, Schlüssel, Zugriffsrechte, URIs, Verfahren, Regeln, Regelwerke speichern und verwalten, und ob und wie Daten zwischen den beteiligten Subjekten «Producer-Eigentümer-Sender»–«Consumer-Berechtigten-Receiver» ausgetauscht werden müssen respektive dürfen, «Producer-Consumer» müssen vorgängig dem Austausch zustimmen oder der «Consumer» vom «Producer-Eigentümer-Sender» vorgängig bestimmt werden. Der «Producer-Eigentümer-Sender» kann z.B. für die berechtigten, zugeordneten registrierten «Consumer(s)-Berechtigte(n)-Receiver(s)» aktiv die Granularität der Zugriffe für jedes Dokument und für jeden «Consumer-Berechtigten-Receiver» bestimmen müssen, einstellen, verwalten und/oder gewähren müssen.

[0025] In der Ausführungsvariante mit der SOS- oder Alarm-Funktion kann ein Helfer, der Zugriff auf Content-Daten des Gerätes eines Bewusstlosen braucht, lebenswichtige Informationen zum bewusstlosen Eigentümer des End-Nutzer-Gerätes erhalten. Mit dem Betätigen der SOS- oder Alarm-Funktion ist das End-Nutzer-Gerät automatisch und per sofort mit einer offiziellen, beglaubigten Alarmzentrale im jeweiligen Aufenthaltsland verbunden, welche die SOS-Alarm-Funktionalität automatisch anfordert und in der APP anbindet. Der Zugriff auf die persönlichen Daten, die verschlüsselt lokal auf dem Benutzergerät gespeichert sind, ist Dritten, welche die SOS-Funktion betätigen, nur dann möglich, wenn diese Dritten von der Alarmzentrale authentifiziert worden sind. Die Alarmzentrale gewährt Zugriff auf das End-Nutzer-Gerät der bewusstlosen Person und schaltet die entsprechenden Content-Daten zur bewusstlosen Person frei. Die Verbindung zwischen Alarmzentrale und End-Gerät der bewusstlosen Person kann z.B. mit dem Betätigen der SOS-Funktion automatisch erstellt werden. Dritte können die eingeleiteten Massnahmen, Entscheide u.v.a.m. erfassen. Beim Senden der Daten bettet sich der biometrisch generierte Autorisierungsschlüssel der bewusstlosen Person zusammen mit den Daten des Helfers im Daten-Paket ein und wird mit dem zweiten biometrischen Schlüssel der bewusstlosen Person verschlüsselt. Das Trusted Center kann dabei z.B. die Notfall-Prozedur und sämtliche Content-Daten aufgrund des Autorisierungsschlüssels der bewusstlosen Person erfassen, Notärzte, Gesundheitsfachpersonen oder solche, welche ein End-Nutzer-Gerät mit derselben APP besitzen, können das eigene Gerät für die Identifikation gegenüber dem Trusted Center z.B. mittels gängiger Verfahren (z.B. Bluetooth, infrared, Scanning, Wi-Fi, etc.) die Notfall-Prozedur vom Gerät der bewusstlosen Person anstossen, um auf die Content-Daten der bewusstlosen Person zugreifen zu können und die angewendeten Massnahmen, Entscheide in das Notfall-Dossier der betroffenen Person einzutragen zu können. Das Gerät der bewusstlosen Person bettet den biometrischen, pseudo-persönlichen Autorisierungsschlüssel sowohl der betroffenen, bewusstlosen Person als auch der helfenden Dritten/Notarzt/Gesundheitsfachperson in die Notfall-Record-Daten ein und verknüpft die persönlichen Daten des Notarztes/Gesundheitsfachperson/... mit denen des bewusstlosen Eigentümers des End-Gerätes.

[0026] Die Datenhoheit verwalten Eigentümer eines End-Nutz-Gerätes und Dateneigentümer mit den CRUD(C[reate], R[ead], U[pdate], D[elete])-Rechten lokal auf dem End-Nutzer-Gerät. Nur ein Gerät- und Daten-Eigentümer darf die CRUD-Zugriffsrechte auf die Dokumente an «Consumer-Berechtigen-Receiver», wie z.B. MED_[1,2,...], zeit- und/oder ortsunabhängig vergeben, verwalten und darüber verfügen. Fig. 9 zeigt ein Beispiel für CRUD-Zugriff angewendet auf Dokument 1 und 2. MED 1, welche z.B. Leserecht (R) für Dokument 1 und Nachführrecht (U = update) auf Dokument 2 erhalten. MED 2 kann z.B. erstellrecht (C = create) Recht für Dokument 2 erhalten, d.h. kein Zugriffsrecht für Dokument 1 usw. Die Bezeichnung MED_[1,2,...] soll als konkretes Beispiel für den Fall von Patientendaten stellvertretend für alle mit einer eindeutigen ID gekennzeichneten und nur genau auf die Person bezogene, eindeutige Kennzeichnung dienen. Mit der ID-Kennzeichnung, z.B. MED[1], bildet ein End-Nutzer und Eigentümer «Producer» eines Gerätes und von Daten eine direkte Verbindung zum «Consumer» und Inhaber der ID-Kennzeichnung, im Beispiel MED[1].

[0027] Die Dokument[1,2,...]-Namen können z.B. in der Maske der Applikation eines End-Nutzers-Gerätes im Klartext dargestellt werden. Der Dokumentname kann dabei ein Teil der gesamten, absoluten Adressierung, somit des physikalischen Speicherortes eines Dokumentes, sein. Dieser kann z.B. mittels URI (Unique Resource Identifyer) eines jeden Dokumentes eineindeutig festgelegt sein, also die direkte Adressierung des Speicherortes eines Dokumentes, im Sinne von RFC 3986. Speicherort und Dokumentnamen und die dazugehörigen Ressourcen (Content-Daten) sind als Metadata (a) dem «Producer-Eigentümer-Sender» eindeutig zugeordnet und (b) als Metadata in der AA-Agentur, d.h. dem Trust-Center, mit dem pseudo-persönlichen, biometrischen Authentifizierungs-Schlüssel verschlüsselt, gespeichert. Dokumente und/oder URIs (Uniform Resource Identifier) werden in der AA-Agency vor dem Senden an den «Consumer» mit dem Authentifizierungs-Schlüssel des Producers entschlüsselt und dann mit dem zweiten, pseudo-persönlichen, biometrischen Authentifizierungs-Schlüssel des «Consumers» verschlüsselt. Wie gezeigt, ist die Kenn-ID wie MED_[1,2,...] durch andere ebenso eindeutige Kenn-IDs ersetzbar. Verfahren und System dieser Lösung können auf andere technische Gebiete, wie Finanz-, Versicherungswesen, Intelligence-Technologie u.v.a.m, angewendet werden, wenn es darum geht, hoch-sensitiven Daten an Dritte und/oder von Dritten an Gruppen zu senden, und/oder Maschine-zu-Maschine, automatische Mustererkennungen durch künstliche Intelligenz, machine oder deep learning zu senden. Sensitive Daten können so von der Identität des Urhebers maskiert analysiert oder verarbeitet werden, wobei jedoch die Identität des betroffenen Individuums oder der zugeordneten Referenz-Person geschützt/geheim bleibt, und so Privacy, Secrecy und Anonymity des Individuums oder der Referenz-Person erhalten bleibt.

[0028] Mit FPC-Sensoren und entsprechender Integration beim mobilen Gerät können z.B. persönliche Fingerprints erfasst werden, FPC (Fingerprint Cards) können die volle Breite von biometrischen Technologien erfassen, insbesondere Fingerprint Sensors, biometrische Processoren (basierend auf spezialisierten Algorithmen) und Fingerprint Sensor Moduls (Sensor integriert in den Processor). Im Stand der Technik gibt es hochwertige Sensoren für Gesichtserkennung oder Iris, Retina-Scanning, Spracherkennung, Erkennung der Handfläche-Geometrie usw. Wichtig ist, dass jede biometrische Messung (Fingerprint, Gesichtserkennung oder Teile des Gesichtes, Iris, ...) auf Sensor-Ebene eine Bit-Sequenz von «1» und «0» ergibt. Prozesse und intelligente Softwares rekonstruieren aus den Bitfolgen «1» und «0» eineindeutig Fingerprints, Gesichter oder Teile davon usw. Erfindungsgemäss kann die Bit-Folge (Repräsentation) der persönlichen, biometrischen Eigenschaften von Körperteilen selbst vor dem Eigentümer eines End-Gerätes geschützt bleiben, indem die erzeugten, pseudo-persönlichen Schlüssel geschützt und verborgen erzeugt werden. Die echten Bitsequenzen von gescannten Körperteilen werden zusätzlich innerhalb des Gerätes separat und zugriffssicher gespeichert. Die persönlichen, zufällig generierten, biometrischen Schlüssel werden vom automatisierten Trust-Center oder Trust-Einheit verwendet, um die Identität eines End-Nutzers zu validieren und verifizieren. Beispiel für eine Bit-Sequenz für den Abgriff der beiden Fingerprints wird in Fig. 10 gezeigt, im Speziellen für zwei verschiedene Fingerprints, welche verschieden lang sein können. Z.B. stellen «Touch ID»-fähige Geräte automatisch fest, ob ein Sensor vorhanden ist, um die persönliche, biometrische Messung zu erfassen. Fig. 11 zeigt weiter ein mögliches Verfahren zur Erzeugung der pseudo-persönlichen-Codes.

[0029] Für die Lösungsvariante sind höchstens zwei Fehler bei der Anmeldung erlaubt. Bei Fehler wird die Funktionalität der Applikation im End-Nutzer-Gerät für die Übertragung von sensitiven Daten blockiert. Dadurch können mehrfache Trial-and-error-Versuche verhindert werden, z.B., um den Zugriff auf die Applikation im End-Gerät zu hacken.

[0030] Fig. 12 zeigt beispielhaft die Feldnamen und minimale Anzahl der Felder für Standard-Informationen. Zu den Pflichtfeldern können die weltweit eindeutige Pass- oder ID-Nummer und eine länderspezifische ID oder in der Schweiz die AHV-Nummer zählen. Ein Verfahren übersetzt den Wert eines Textes in Binary-Repräsentation um, eine Folge von «1» und «0», womit eine individuelle, biometrische Messung auch randomisiert werden kann. Fig. 13 zeigt den Binary-Code für jeden Text-Code aus Fig. 10 . Beispielsweise entspricht «Nunzio» dem Binary-Code «010011100111010101101110 0111101001101001 01101111» oder Pass-ID «AA3480011» entspricht dem Binary-Code «0100000101000001 0011001100110100 0011100000110000 001100000011000 1 00110001» usw. Ein Verfahren («generatePseudoPersonalizedKeyOne») kann z.B. eindeutige, individualisierte, randomized Schlüssel erzeugen, z.B. indem ein End-Nutzer des Gerätes aufgefordert wird, eine Sequenz von Zahlen zwischen null und neun (0…9) in beliebiger Reihenfolge ohne Wiederholung zu tippen. Wenn ein End-Nutzer eine der Zahlen (0...9) eintippt, welche bereits verwendet ist, fordert der Algorithmus ihn auf, stattdessen eine neue Zahl anzugeben oder schlägt als Wahl eine Zahl aus der Liste der noch nicht verwendeten Ziffern vor. Kontinuierlich stetig aufsteigende, also null bis neun, oder kontinuierlich stetig absteigende, also neun bis null, Ziffer-Folgen verwirft der Algorithmus und gibt dem End-Nutzer Vorschläge an. Fig. 14 illustriert die Eingabe eines End-Nutzers mit einer zufälligen Folge [4, 9, 0, 7, 6, 5, 2, 1, 8, 3]. Damit werden den Werten in der Spalte «Feld-Namen» die Bit-Sequenzen aus den zufällig zugewiesenen Feldern zugeordnet: (0,4), (1,9), ... (9,3). Im Beispiel «Nunzio» erhält die Bit-Sequenz der Pass-ID «0100000101000001 0011001 1 0011010000111000 0011000000110000 0011000100110001». Die Nationalität «It» erhält die Bit-Sequenz des Geburtstages «0011000100110010 001011100011011100101110 00110001 0011100100110101 00111001» usw. Alle zehn Bit-Sequenz-Felder und die erste echte, persönliche biometrische Messung.

[0031] Um die zwei persönlichen, randomized Schlüssel zu erzeugen, kann die Zielfunktion z.B. zufällig Bit-Operationen (Addition, Subtraktion, Division, Multiplikation) oder boolesche Operationen (AND, OR, XOR) auf die Bit-Sequenz-Folgen anwenden. Der damit erzeugte Schlüssel kann z.B. mindestens aus 512 Bits bestehen. Die temporär gespeicherte Zahlenfolge [4, 9, 0, 7, 6, 5, 2, 1, 8, 3] kann z.B. mit dem generierten Autorisierungs- Schlüssel encrypted werden, im End-Gerät gespeichert und die im Klartext gespeicherte Sequenz [4, 9, 0, 7, 6, 5, 2, 1, 8, 3] zu einem späteren Zeitpunkt gelöscht werden. Bei Bedarf lässt sich die ursprüngliche Zahlenfolge ermitteln. Dieser erste Schlüssel, als Autorisierungsschlüssel, wird hier als FPI referenziert, um am Beispiel der Fingerprints das erfindungsgemässe System zu illustrieren. Der Schlüssel FPI kann aus der Verknüpfung einer persönlichen, biometrischen Messung, in diesem Fall Fingerprint eins, und einer Vertauschung, der als Binary-Code dargestellten Werte der Feld-Namen, erzeugt werden.

[0032] Implementierte Verfahrensschritte (im Folgenden «startDialogForFingerPrintTwo») können z.B. den Dialog mit einem End-Nutzer durchführen, um, im Beispiel mit Patientendaten, den zweiten Fingerprint für die Verschlüsselung der Content-Daten (Informationen, Daten, Dokument) zu verwenden. Dieser zweite Schlüssel wird also als zweite Bitsequenz der persönlichen, biometrischen Messung erfasst und erzeugt, mittels welchem die Inhalt-bezogenen Daten (anonymisierte und/oder maskierte Content-Daten) verschlüsselt werden (hier als Autorisierungsschlüssel/Autorisierung referenziert). Der erste Schlüssel (Authentisierungsschlüssel) wird zur Verschlüsselung der personen-spezifischen Daten (Authentisierung) verwendet, welche den mit dem zweiten Schlüssel verschlüsselten anonymisierten und/oder maskierten Content-Daten zugeordnet sind. Zu den bereits in den Paragraphen zur Generierung des ersten Schlüssels erläuterten Schrittfolgen können die Verfahrensschritte «generatePseudoPersonalizedKeyTwo» vom End-Nutzer eine zweite Zahl-Folge, z.B. [5, 9, 1, 8, 3, 4, 6, 2, 7, 3], verlangen. Diese sollte verschieden sein von der ersten Zahlenfolge [4, 9, 0, 7, 6, 5, 2, 1, 8, 3], welche für die erste biometrische Messung, z.B. Fingerprint eins, verwendet wurde. Zusätzlich kann das Verfahren verifizieren und validieren, ob der zweite, zufällig generierte, pseudo-persönliche Schlüssel (FP2) vom ersten Schlüssel FP1 verschieden ist und z.B. nicht aus 000...000 oder 1111... 1111 Folge-Bits besteht. Die zweite Zahlenfolge [5, 9, 1, 8, 3, 4, 6, 2, 7, 3] wird mit dem Authentifizierungsschlüssel FP2 verschlüsselt im End-Nutzer-Gerät gespeichert. In der Folge können die beiden im Klartext gespeicherten Zahlenfolgen [4, 9, 0, 7, 6, 5, 2, 1, 8, 3] und [5, 9, 1, 8, 3, 4, 6, 2, 7, 3] gelöscht werden.

[0033] Mit dem erfindungsgemässen System kann somit: (1) aus den Bit-Sequenzen der persönlichen, biometrischen Messungen von Körperteilen zufällig erzeugte pseudo-persönliche Schlüssel erzeugen; (2) Privacy, Secrecy und Anonymity eines Individuums gewährleisten, weil die echten persönlichen, biometrischen Messungen nur im Gerät des Eigentümers sicher gespeichert werden und nicht aus dem Gerät gesendet werden; (3) eines der zwei unabhängig, zufällig generierte, pseudo-persönlicher Schlüssel verwenden, um die Identität eines End-Nutzers mit dem Autorisierungsschlüssel zu maskieren. Der Autorisierungsschlüssel dient als Marker und wird in Dokumente, Informationen aller Daten automatisch eingebettet. Der zweite unabhängig, zufällig generierte, pseudo-persönliche Schlüssel, der Authentifikationsschlüssel, dient, um die sensitiven Daten (referenziert als Content-Daten) aller Art zu encrypten und zu decrypten; (4) Für die Encryption-Decryption werden zwei verschiedene der bereits etablierten Algorithmen eingesetzt. Erforderlich kann sein, dass die verwendeten Algorithmen für jede der beiden Aufgaben verschieden, robust, schnell und unbreakable sind; (5) für jeden ausgewählten Algorithmus genau einer der beiden zufällig generierten, persönlichen Pseudo-Schlüssel verwendet werden. (6) Der Confidant/Arzt/Research-Verantwortliche usw., der vom Producer/Originator in der Applikation aufgeführt ist, z.B. MED_[1], darf, aber muss nicht unbedingt in der gleichen AA-Agency/Trust Center registriert sein, denn aufgrund der Abbildung zwischen Originator–Confidant wird in der AA-Agency, wo der Originator/Producer registriert ist, sowohl die Kenn_ID als auch der Link, wo der Consumer/Confidant registriert ist – also als Ressource – mit dem Autorisationsschlüssel des Originators/Producers gespeichert. Weil die AA-Agencies über Domain-Namen verbunden sind, können die AA-Agencies, solange z.B. technische Randbedingungen von Kredit-Karten-Zentren erfüllt sind, auch weltweit verteilt sein.

[0034] Fig. 15 illustriert einen Algorithmus für das Erstellen von zwei unabhängigen, Random-generierten, pseudo-persönlichen Schlüsseln. Als Variante kann ein Selbst-Zerstör-Mechanismus den End-Nutzer vor Angriffen schützen. Falls z.B. Hersteller von Geräten die wahren Bit-Folgen aus den echten, persönlichen, biometrischen Messungen, z.B. Fingerprints, nicht an zwei verschiedenen Speicherorten im Device/Gerät eines End-Nutzers speichert, kann das Verfahren die getrennte Speicherung der beiden echten, persönlichen, biometrischen Messungen vornehmen. Das Verfahren und System kann z.B. garantieren, dass, falls ein Eindringling versucht, in eines der beiden oder beide Speicherorte, wo im Device die biometrischen Messungen und/oder einer der beiden Speicherorte im End-Nutzer-Device und wo die zufällig generierten pseudo-persönlichen Schlüssel aufbewahrt sind, einzudringen, ein Selbst-Zerstör-Mechanismus eingreift, welcher beide zufällig generierte pseudo-persönliche Schlüssel löscht, im Beispiel FP1 und FP2, und die Funktionalität der Applikation im End-Nutzer-Gerät für den Datentransfer blockiert. Um erneut das System benutzen zu können, muss ein End-Nutzer dann die Schritte zur Generierung der beiden Schlüssel, also Autorisierungsschlüssel und Authentifizierungsschlüssel (FP1/FP2), wiederholen. Die Wiederherstellung der beiden Schlüssel, also Autorisierungsschlüssel und Authentifizierungsschlüssel, kann z.B. als Variante nur dann möglich sein, um die AA-Agencies vor Angriffen zu schützen, wenn ein End-Nutzer sich bei einer beglaubigten Person ausweist. Ein End-Nutzer muss sich z.B. mit einem amtlich anerkannten Dokument, Pass oder ID, bei der beglaubigten Person ausweisen. Die beglaubigte Person kann sich beim Trust-Center, i.e. der AA-Agency, mit seinem zufällig generierten pseudo-persönlichen Autorisierungsschlüssel (FP1) anmelden, und Autorisierungsschlüssel und Authentifizierungsschlüssel des verifizierten End-Nutzers terminieren (FP1/FP2), welcher die Autorisierungsschlüssel und Authentifizierungsschlüssel neu erstellen muss. Die im Trust Center bzw. in der AA-Agency terminierten Schlüssel können z.B. nur logisch terminiert werden, jedoch nie physikalisch gelöscht werden. Damit ist im Haftungsfall die Historie der Schlüssel aus den Zeitstempeln und Aktivitäten auf die Schlüssel (z.B. gelöscht, weil Gerät kompromittiert, am Tag … Monat … Jahr ... um ... Uhr ... Minuten …; neu erstellt ... beglaubigte Person FP1 der beglaubigten Person) erhalten und lückenlos rückverfolgbar.

[0035] Der Autorisation-Authentication-Mechanismus kann z.B. auf zwei Arten geschützt werden: <tb>(1)<SEP>Cross-Over-Mechanismus: Bei einem Refresh-, Wiederbestimmungsprozess eines End-Nutzers werden im Zweifelsfall die Authentisierung und die Autorisierung eines End-Nutzers verifiziert und validiert. Dieser Fall kann z.B. dann eintreten, wenn mit einem Hackerangriff, wie MITM (man-in-the-middle), session-hijaking, session-reroufing, XSS (cross-site-scripting), sql-injection und/oder andere, weitere Hacker-Angriffe, Gefahr besteht, dass Eindringlinge die End-Nutzer-Identität stehlen könnten. Diese Lösung wirkt präventiv, daher wird ein Cross-Over- und Refresh-Mechanismus eingesetzt. In unvorhersehbaren, zeitlichen Abständen wird ein End-Nutzer-Gerät aufgefordert, die Identität mit der AA-Agency zu verifizieren und zu validieren. Das Trust Center erfragt von einem End-Nutzer, den Fingerprint für die Autorisierung zu transferieren. In der Trust-Center(AA-Agency)-Datenbank wird der erfragte Fingerprint mit dem Authentifizierungs-Fingerprint verglichen. Mutatis mutandis gilt es dies für den zweiten Fingerprint, deshalb «cross-over». Das Testverfahren dient dazu, zu einem nicht vorhersagbaren Zeitpunkt die pseudo-persönlichen Schlüssel in End-Nutzer-Gerät und in der AA-Agency zu vergleichen. Der Ad-hoc-Abgriff der persönlichen, biometrischen Daten (Fingerprints, Gesichtserkennung, …) dient lediglich als Auslöser, um auf dem End-Nutzer-Gerät mit den anfänglich bereits gespeicherten, echten, persönlichen biometrischen Bit-Sequenzen und die Bit-Sequenzen der mit den Random-generierten Zahl-Folgen die beiden Schlüssel zu überprüfen. Ein Vorteil ist dabei, dass, falls ein Eindringling sich eines End-Nutzer-Gerätes ermächtigt und sich den Zugang zur Datentransfer-Applikation verschafft hat, er bei der Ad-hoc-Erzeugung der beiden zufällig generierten, pseudo-persönlichen Schlüssel fehlschlagen wird. Somit kann der AA-Agency-Server mit hoher Sicherheit schliessen, ob es sich um den echten End-Nutzer des Gerätes oder um einen Eindringling handelt. Im zweiten Fall kann z.B. das Trust Center die Session schliessen und die Funktionalität des Datentransfers auf dem End-Gerät unmittelbar blockieren. <tb>(2)<SEP>Schliess-Mechanismus; Jedes Mal, wenn der Pseudo-Fingerprint lokal im End-Nutzer-Gerät «on the fly» oder ad hoc generiert wird, wird die Netz-Verbindung unterbrochen. Der Zeitunterbruch ist minim und nur solange, bis der jeweilige Schlüssel, also Autorisierungsschlüssel und/oder Authentisierungsschlüssel, erzeugt wurde. Danach verbindet und synchronisiert sich das End-Nutzer-Gerät automatisch mit dem Netz. Mit dieser Massnahme kann z.B. eingeschleuste Malware bei der Erzeugung der Schlüssel umgangen werden, weil das Verfahren, welche auf die lokal auf dem End-Nutzer-Gerät gespeicherten Daten zugreift, nur auf die Felder zugreifen kann, die vorgängig bestimmt wurden.

[0036] Der Sende-Mechanismus kann am Beispiel von sensitiven Patientendaten illustriert werden; (1) Alle Personen-bezogenen Daten aus «Personen-bezogene Information» (vgl. Fig. 8a / 8b ), können z.B. mit dem Verfahren automatisch durch den pseudo-persönlichen Schlüssel, wie z.B. Fingerprint PFP(1) (Autorisierungsschlüssel), ersetzt werden. Die Personen-bezogene Information und/oder weitere definierbare individiumsrelevanten Daten oder Daten, die es erlauben, exakt auf die Identität einer Person zu schliessen, werden beim eigentlichen Datentransfer nicht übermittelt oder mit den Daten (Content-Daten), welche Inhalte beschreiben, vermischt; (2) Der erzeugte PFF(1) (Pseudo-Fingerprint) markiert die Inhalt-bezogenen Daten, wie prä-, Klinische, Labordaten, Bilder, usw. im gesamten Lebenszyklus eines Transfers der Daten, welche frei sind von Personen-bezogenen Daten, in welche das Verfahren den Autorisierungsschlüssel einbindet und einbettet; (3) Die MED-IDs der Bezugsperson (MED1, ... MEDs) werden mit dem Autorisierungsschlüssel PFP(*i) (Pseudo-Fingerprint) verschlüsselt; (4) Das versandbereite Protokoll an die AA-Agentur kann somit enthalten: (I) den Random-erzeugte pseudo-persönlichen Schlüssel PFP(1), (ii) mit PFP(1) verschlüsselte Referenz-Peron, z.B. MED-IDn, (iii) mit PFP(2) ≠ PFP(1) verschlüsselte Daten/Dokumente aller Art. (5) Im Trust-Center/AA-Agency werden Autorisierungs-, und Authentifizierungs-Schlüssel der beteiligten, dem Sender zugeordneten Medical-, und/oder R-D-IDs (Research and Development, Labors, ...) und die mit den jeweiligen Schlüssel verschlüsselten URIs (Uniform Resource Identifier [absolute Links zu den Dokumenten und Ressourcen]) der jeweiligen Patienten-Dossiers verwaltet. (6) Die eigentlichem elektronischen Patienten-Dossiers befinden sich physisch an verteilten, dezentralen Speicherorten (vgl. Fig. 16 ), wo dieselben mit dem Authentifikationsschlüssel eines Patienten verschlüsselt sind; (7) Die URIs der Content-Daten (i.e. Dokumente), also die Metadaten der elektronischen Content-Daten, sind encrypted und enthalten in der encrypted URI den persönlichen Autorisations-Schlüssel PFP(1) eines Patienten. Sobald ein Patienten-Dokument durch Dritte geöffnet, verändert oder irgendwelche Aktivität damit vorgenommen wird, erhält ein Patient vom System automatisch eine Meldung. Jeder Schritt wird in der AA-Agency im Logbuch registriert und protokolliert. On demand und/oder ad hoc übermittelt das Trust Center die URIs von anderen elektronischen Dossiers bzw. Content-Daten von Patienten, basierend auf den vorgängig vergebenen CRUD-Rechten, an berechtigte Ärzte. So lässt sich on demand und ad hoc entweder das gesamte elektronische Patienten-Dossier (entspricht alle zu Consumer/Producer zugeordneten Content-Daten) oder ausgewählte Teile des elektronischen Patienten-Dossiers zusammenfügen. Das elektronische Patienten-Dossier und die zugehörige Identität eines Patienten kann im Klar-Text nur von einem, durch den Patienten berechtigten Arzt gelesen werden. Mit dieser Methode kann die lokal beim Arzt installierte Software ebenfalls lokal beim Arzt die zwei asynchron erfassten Datenpakete, d.h. sowohl die Content-Daten (i.e. Dokument mit den klinischen Daten) als auch das Dokument mit der Identität eines Patienten (Authentisierung), zusammengefügt werden. Das System und Verfahren überprüft zuerst lokal beim Arzt, dass die separat gesendeten Autorisationsschlüssel PFP(1) eines Patienten, einmal angehängt an das Paket mit den klinischen Daten, ein zweites Mal angehängt an das Paket mit den Personen-bezogenen Daten, identisch sind. Bei Übereinstimmung der beiden separat und asynchron gesendeten Autorisierungsschlüssel PFP(1) eines/r Patienten/Patientin entschlüsselt das Verfahren mit dem Authentifizierungsschlüssel MPFP(2) des Arztes beide Dokumente, welche streng getrennte Daten-Sorten (Personen-bezogen/klinische Daten) beinhalten. Im Fehlerfall, d.h. falls mindestens einer der beiden Autorisierungsschlüssel PFP(1) eines Patienten mit mindestens einem der separat gesendeten Autorisierungsschlüssel PFP(1) eines Patienten nicht übereinstimmt, dann bleiben beide Dokumente, also Personen-bezogenes Datendokument und Dokument mit klinischen Daten, verschlüsselt. Das System und Verfahren vernichtet automatisch die beiden Dokumente. Der Teil der persönlichen Daten erscheint somit nur bei den berechtigten Ärzten. Selbst, wenn ein Eindringling das Klar-Text-Dokument mit den klinischen Daten stehlen würde, würde er lediglich über die klinischen Daten und den biometrischen Marker PFP(1) eines Patienten verfügen. Umgekehrt verhält es sich gleich mit möglicherweise gestohlenen Personen-bezogenen Daten, denn darin ist kein Schlüssel irgendwelcher Art eingebettet. Ein Eindringling kann, beim Stehlen der klinischen Daten, nicht auf die exakte Person schliessen. Umgekehrt, beim Stehlen der Personen-bezogenen Daten kann ein Eindringling keine exakten, klinischen Daten zuordnen, weil die Abbildung zwischen dem Autorisationsschlüssel, der als Biomarker PFP(1) in den Daten eingebettet ist, und den realen Personen-bezogenen Informationen ausschliesslich im Trust Center/AA-Agentur stattfindet. Ein potentieller Hacker müsste für jedes Individuum die verschiedenen VPN-, Speicher-, und geheimen Encryption-ID-Schlüssel erfolgreich hacken. Selbst bei Erfolg hätte dann aber der potentielle Hacker entweder nur die klinischen Daten (Content-Daten) ohne Bezug zur Person oder nur die Personen-bezogenen Daten, aber keine zur Person eindeutig zugeordneten, klinischen Daten (Content-Daten). Fig. 16 illustriert ein Beispiel einer Abbildung zwischen Patienten, zugeordnetem Arzt oder Ärzten und Dokumenten; (8) Das Trust Center/AA-Agentur dient bezüglich der Verschlüsselung der Daten wie eine «Relais- und Switch-Vorrichtung». Die jeweiligen zu übertragenden Daten und/oder Ressourcen-URIs werden mit dem Authentifikationsschlüssel eines Senders/Producers/Eigentümers in der AA-Agentur entschlüsselt, dann unmittelbar mit dem Authentifikationsschlüssel des Receivers/Berechtigten/Consumers verschlüsselt. (9) Patienten haben zeit- und ortsunabhängig Zugriff auf alle elektronischen Dossiers, welche eine eindeutige, verschlüsselte URI besitzen und Im Trust Center gespeichert sind. (10) Das erfindungsgemässe System und Verfahren mit Encryption-Decryption von Content-Daten, hier klinischen Daten, welche Ärzte an verschiedenste in der ganzen Welt verteilte Research-and-Development (R & D)-Unternehmen senden können, entspricht als Variante ebenfalls dem erfindungsgemässen System wie zwischen Patienten/Ärzten, jedoch mit dem wesentlichen Unterschied, dass das System und Verfahren den Ärzten nicht ermöglicht, die Personen-bezogenen Daten sowohl von Patienten als auch der Ärzte selbst in die an R & D gesendeten Fragen einzubetten. In dem Verfahren ist das Sende-Protokoll so ausgebildet, dass das an ein oder mehrere beim Trust Center/AA-Agentur angemeldeten und akkreditierten R & Ds usw. gesendete Fragen, den Autorisationsschlüssel eines Patienten PFP(1) und den Autorisationsschlüssel des zugehörigen Arztes MPFP(1) enthalten/einbetten und die Fragen mit dem Authentifizierungsschlüssel R_D_i(FP2) verschlüsselt umfasst. Die Daten zu den Fragen an R & Ds sind mutatis mutandis mit dem gleichen Verfahren wie zwischen Patient/Arzt mit dem Authentifizierungsschlüssel R_D_i(FP2) des jeweiligen Verantwortlichen respektive der jeweiligen Verantwortlichen bei den verschiedenen R & Ds verschlüsselt. (11) Sobald die Fragen bei den R & Ds mit dem eigenen lokal gespeicherten Authentifizierungsschlüssel R_D_i(FP2) des jeweiligen Verantwortlichen (dieses Verfahren eignet sich insbesondere für Machine-to-machine-Kommunikation, weil die Strings lediglich auf Identität verglichen werden müssen) entschlüsselt sind, kann der jeweilige Verantwortliche die Problemstellung z.B. an mehrere Mitarbeiter übertragen. Die Identitäten sowohl des Patienten als auch des auftraggebenden Arztes bleiben in jedem Fall verborgen und maskiert/anonym und in Paar dem Autorisationsschlüssel des Patienten zugeordnet und dem Autorisationsschlüssel Arzt eindeutig, aber eben maskiert, enthalten. (12) Die Antworten an den jeweiligen Arzt werden mit dem jeweiligen Authentifizierungsschlüssel R_D_i(FP2) verschlüsselt. Das Verfahren fügt im Sende-Protokoll zur AA-Agentur jeweils die Autorisationsschlüssel des Patienten PFP(1) und des Arztes MPFP(1) ein, welche der eindeutig gestellten Frage zugeordnet ist. In der AA-Agentur ermittelt das Verfahren den zum Arzt, also zu MPFP(1), zugehörigen Authentifizierungsschlüssel MPFP(2) und die URIs, wo R & Ds physisch die Antworten für den Arzt gespeichert haben. Danach setzt das Verfahren den umgekehrten Prozess an, um die Antwort eines Arztes an den betreffenden Patienten zu übermitteln.

[0037] Fig. 17 illustriert drei Schritte, um bestehende elektronische Patientendaten mit FEDE zu betreiben. Falls ein Patient beim ersten Arztbesuch keine MED_ID besitzt, dann registriert der Patient/die Patientin die MED_ID in die Applikation. Fig. 18 illustriert die Registrierung der MED_ID beim erstmaligen Arztbesuch. Fig. 19 illustriert den Prozess beim Arzt/Spital/Klinik, um Fragen an R & Ds unter Wahrung von Privacy, Secrecy und Anonymity zu stellen. Fig. 20 illustriert, dass die Metadaten zu den Dokumenten PD_[1…m] in Form von URL oder URI[1…q] im Trust Center/AA-Agentur gespeichert sind, genau mit Patienten-Autorisationsschlüssel P[1…r](FP1) markiert und P[1…r](FP2) verschlüsselt und genau einem Leistungserbringer MED_ID[1…t] zugewiesen. Die Dokumente können in eine Cloud, am besten in eine private Cloud gespeichert werden. Die URI eines Dokumentes ist eineindeutig.

[0038] Schliesslich wird die Identifikation bei R & Ds, Labors oder Gruppen von Beteiligten mit den folgenden Zeichnungen illustriert, insbesondere mit Fig. 21 , die dem Zusammenhang und der Abbildung zwischen MED_ID, Fragen von Ärzten an R & Ds und die Einbettung der Autorisation-Schlüssel von Patienten und Ärzten in die Fragen an R & Ds zeigt; Fig. 22 , die die Decryption-Encryption-Decryption-Mechanismen zur Wahrung von Privacy, Secrecy, Anonymity illustriert, um Fragen von Ärzten über bestimmte Patienten rückverfolgbar jedoch mit maskieren Identitäten der Patienten und Ärzten an beim Trust-Center/AA-Agency akkreditierten Research und Development Laboratories zu senden; Fig. 24 , die basierend auf der Zustimmung von Patienten, die Registrierung von Patienten, Ärzten und R & Ds an die AA-Agentur illustriert, wobei die prä-, klinischen und Forschungsdaten und Resultate entweder mit maskierten Identitäten rückverfolgbar für Patienten verwendet oder durch Entfernen der biometrischen Marker vollkommen anonym genutzt werden können; und Fig. 25 , die das FEDE-Verfahren ermöglicht, wobei die Zusammenarbeit zwischen Ärzten und Spitzenforschung unter Wahrung von Privacy, Secrecy und Anonymity für personifizierte Medizin vereinfacht wird.

[0039] Mit DaaS (Data as a Service) können z.B. Patienten-Daten, welche von Ärzten mit der Zustimmung der Patienten an verschiedene Research-&-Development-Unternehmen/Labors/Pharma gesendet wurden, um aus Krankheitsbildern, Mustern, Therapien usw. die für ein spezielles Individuum und für ein spezielles Krankheits-Bild optimale Therapie aus den grossen Datenmengen zu eruieren, sinnvoll verwendet werden, um Datenbanken und Entscheidungssysteme zu bauen, und einem Krankheitsbild eine oder mehrere angewendete Therapien, Nebeneffekte, toxikologische Untersuchungen/Auswirkungen usw., zuzuordnen. Somit muss für Folgefälle von ähnlichen Krankheitsbildern, und -mustern nur eine Feinabstimmung auf bestimmte vorher mit Sicherheit eingegrenzte Muster durchgeführt werden. Für die zur Forschung und Entwicklung, Qualitätssicherung und weitere Zwecke verwendeten Datensätze kann z.B. eine Geldwerteinheit pro gelieferten Datensatz ausgehandelt werden. Fig. 27 illustriert eine Struktur für DaaS (Data as a Service) anhand von Patientendaten. Das Modell ist übertragbar auf Finanz-, Versicherungs- und andere Industriezweige, welche Muster und Mustererkennung als Basis für Prädiktion brauchen und verwenden. Mit dieser Struktur können mehrere Erfordernisse unter Wahrung von Privacy, Secrecy und Anonymity erfüllt und realisiert werden: (1) Gesunde Individuen: Tagtäglich werden mittels elektronischen Geräten Personen-spezifische Daten über die Funktionsweise von menschlichen Organen erfasst. Mit den beschriebenen Verfahren und Methoden können diese Daten entweder rückverfolgbar d.h. der Autorisierungsschlüssel PFP(1) der Daten-Sender, der z.B. mit dem Autorisierungsschlüssel MPF(1) eines zugeordneten Arztes unter Zustimmung eines Senders gekoppelt werden, können aber auch an Research-und-Development-Zentren gesendet werden, z.B. für Präventiv-Medizin, Epidemie-Vorbeugungen, Früherkennung, Korrelation von Mutationen auch in Funktion von Umweltfaktoren, Essgewohnheiten u.v.a.m. oder vollkommen anonym, d.h. die Autorisierungsschlüssel PFP(1) der Daten-Sender und/oder der z.B. persönliche Daten, die mit dem Autorisierungsschlüssel MPF(1) eines zugeordneten Arztes unter Zustimmung eines Senders gekoppelt sind, werden aus den Datensätzen gelöscht; (2) Chronisch Kranke und Individuen mit seltenen Krankheiten: Das erfindungsgemässe System eignet sich insbesondere für chronisch kranke Individuen und/oder Individuen mit seltenen Krankheiten. Die Daten, welche mittels elektronischen Geräten und/oder kontinuierlichem Monitoring (Schriftzähler, Puls, Herz, Diabetes, ...,) mit elektronischen Geräten erfasst werden, können direkt dem Arzt gesendet werden. Verfahren wie deep learning/artificial intelligence können aufgrund der kontinuierlich aus dem Monitoring erhaltenen Messdaten, Zeitreihenanalysen, Vergleichen, Muster erkennen und Veränderungen und/oder Mutationen von Mustern im Krankheitsbild aus den fast zeitnah (real-time) und synchron gesendeten Daten erkennen und je nach den individuell in der jeweiligen Applikation eingestellten Parametern, Warnungen oder Alarm auslösen. Fig. 24 zeigt, wie basierend auf der Zustimmung von Patienten und die Registrierung von Patienten, Ärzten und R & Ds im Trust Center/AA-Agentur, die prä-, klinischen und Forschungsdaten und Resultate entweder mit maskierten Identitäten rückverfolgbar für Patienten verwendet werden können oder durch Entfernen der biometrischen Marker vollkommen anonym genutzt werden können. Fig. 25 illustriert, dass das FEDE-Verfahren die Zusammenarbeit zwischen Ärzten und Spitzenforschung unter Wahrung von Privacy, Secrecy und Anonymity für personifizierte Medizin auf eine neue Art ermöglicht und vereinfacht. Fig. 26 zeigt beispielhaft den Datenfluss und Prozesse für den Aufbau von DaaS (Data as a Service) im Gesundheitswesen zu Gunsten der personifizierten Medizin; (3) Der Anreiz für Individuen, Daten zu liefern, kann z.B. darin bestehen, dass für jeden an Pharma, Research and Development oder Institutionen gelieferten Datensatz ein Geldwertbetrag, im Sinne von Angebot und Nachfrage, definiert wird, im Sinne einer Art-balanced-Datenbörse (vgl. Fig. 20 , die eine Aufteilung des erwirtschafteten Gewinns pro Datensatz unter den assoziierten Beteiligten sowie einen möglichen Rückfluss eines Teils des Gewinns als Vergütung an Patienten und Datenlieferanten illustriert.)

[0040] Es ist noch einmal darauf hinzuweisen, dass die Verschlüsselung der persönlichen Daten erfindungsgemäss bereits an der Quelle erfolgt, also bevor die Daten transferiert werden. Eine AA-Agency (Autorisierungs-Authentifizierungs- Agency), wie z.B. Nexus, verwaltet beide biometrischen Schlüssel in einem dafür aufgesetzten Zugriffsserver. Die Daten können in diesem speziellen Zugriffsserver «transparent encrypted» gespeichert sein, sodass selbst die Administratoren des Servers keine Möglichkeit haben, auf diese Daten in irgendeiner Weise zu gelangen. Wie bereits erwähnt, wird eine AA-Agency (Autorisierungs-Authentifizierungs-Agency) bevorzugt nach strengen Kriterien wie ein Kredit-Karten-Zentrum, wie z.B. Nexus, verwaltet werden. Alle gespeicherten Daten werden zusätzlich mit einem Schlüssel encrypted, der verschieden ist vom Autorisierungs- und Authentifizierungsschlüssel des jeweiligen verwalteten Individuums. Diese zusätzlichen sog. «transparent encrypted» Massnahmen mit einem weiteren unabhängigen Schlüssel für bereits encrypted Ressourcen stellt einen weiteren Schutz für End-Nutzer dar, sodass selbst Administratoren des Servers keine Möglichkeit haben, auf die mit pseudo-persönlichen verschlüsselten Daten in irgendeiner Weise zuzugreifen.

[0041] Die Umrüstung eines Mobile-Gerätes für das erfindungsgemässe System kann z.B. in 6 Prozessschritten erfolgen:

[0042] Schritt 1: Umrüsten eines Mobilfunkgerätes, z.B. eines kommerziellen iPhones, zu einem persönlichen Smartphone für Originatoren, insbesondere Patienten, sodass es möglich ist, die Fingerprints von zwei verschiedenen Fingern z.B. von je einer Hand in der lokalen iPhone-Card, wie beschrieben, zu registrieren. Ein Fingerprint P(FP1) wird für die Autorisierung, der zweite Fingerprint P(FP2) für die Authentifizierung P(FP2) verwendet. Der Fingerprint P(FP2) gilt als Verschlüsselung der Patientendaten. Beide Fingerprints sind bei einer AA-Agency hinterlegt (vgl. Fig. 1 ).

[0043] Schritt 2: Ein entsprechendes Modul, z.B. eine APP, führt Patienten durch alle notwendigen Schritte: Zusammenstellung, Validierung, Verschlüsselung und Transfer der Daten zum Vertrauensarzt (vgl. Fig. 2 ), wie beschrieben.

[0044] Schrift 3: Der Confidant, insbesondere ein Vertrauensarzt und/oder eine Learning Machine, entschlüsselt, wie beschrieben, die erhaltenen, reinen Patientendaten ohne Personen-bezogene Daten mittels der Learning Machine und/oder Deep Learning Machine und/oder Al (Artificial Intelligence/künstliche Intelligenz)-Module auf ein Individuum spezifisch festgelegten Parameter und überprüft die erhaltenen Daten auf Konsistenz und Qualität.

[0045] Als Ausführungsvariante können z.B. drei Triggerstufen detektiert werden: Grün, kein Handlungsbedarf; Gelb, Warnung; Rot, Alarmzustand (vgl. Fig. 4 ), Automatisch erstellt die Learning Machine auf Speichermedien, die vom Aussennetz unzugänglich sind, ein Backup des Patientendossiers. Während des Backups trennt die Learning Machine den Arbeitsrechner des Vertrauensarztes vom Aussen-Netz. Sobald der Backup beendet ist, fügt die Learning Machine den Arbeitsrechner dem Netz wieder ein. Bei betrügerischem Datenzugriff, z.B. mit darauffolgender, möglicher Erpressung, sind die gestohlenen Daten für Hacker wertlos, weil die Zusammenhänge zwischen Personen-bezogenen Daten und den Inhalt-beschreibenden Daten eines Individuums immer streng getrennt und gespeichert, zusätzlich verschieden verschlüsselt sind. Falls Hacker die verschlüsselten Patientendaten mit einem Hacker-Schlüssel sperren, kann der Vertrauensarzt jederzeit bis auf die zuletzt gespeicherten Daten vom Backup und/oder Ausfallsystem eine identische Kopie auf dem Hauptrechner installieren (lassen) und die von den Hackern verschlüsselten Daten bedenkenlos löschen.

[0046] Schritt 4; Der Confidant resp. der Vertrauensarzt hinterlegt seine beiden Fingerprints M(FP1) zur Autorisierung zur und M(FP2) zur Authentifizierung ebenfalls bei einer vertrauenswürdigen AA-Agency (Authentifizierungs-und-Autorisierungs-Agency). Die maskierten, anonymisierten Patientendaten transferiert die Learning Machine oder der Confidant oder Vertrauensarzt mit dem erfindungsgemäss erweiterten System.

[0047] Schritt 5: Nur der Confidant bzw. Vertrauensarzt ist in der Lage, die mit maskierten Identitäten verschlüsselten Patientendaten genau einem Patienten zuzuweisen und hat die volle Einsicht im Patientendossier, wie im Verfahren beschrieben.

[0048] Schritt 6: Forschungs- und Entwicklungszentren verwenden die biometrisch maskierten Identitäten und verschlüsselten Patientendaten für die Korrelation von Krankheits-Mustern mit möglichen Medikamenten, Therapien, Impfungen und für die Prävention von Epidemien. Als Rückmeldung erhalten nur Confidants, d.h. Vertrauensärzte, zu einem Krankheits-Muster die entsprechenden Empfehlungen verschlüsselt und Originator(Patient)-bezogen, weil die Autorisierungs-Fingerprints M(FP1) und P(FP1) für ein Forschungs- und Entwicklungszentrum zwar bekannt, jedoch anonym sind (vgl. Fig. 5 und 6 ).

Claims

1. Biometrischer, Fingerprint-basierter Encryption-Decryption Engine zur kontrollierten Handhabung und gesicherten Übertragung personifizierter Daten, wobei mittels eines vom Engine umfassten Mobilfunkgerätes biometrische Daten eines Originators erfassbar sind und in einer SIM-Karte des Mobilfunkgerätes abspeicherbar sind, dadurch gekennzeichnet, dass zwei unterschiedliche Fingerprints (P-FP1/P-FP2) von zwei verschiedenen Fingern des Originators mittels des Mobilfunkgerätes erfassbar und in der SIM-Karte des Mobilfunkgerätes dem Originator zugeordnet abspeicherbar sind, wobei der erste Fingerprint (P-FP1) der Autorisierung und der zweite Fingerprint (P-FP2) der Authentisierung zuordenbar sind, und wobei der zweite Fingerprint (P-FP2) zur Verschlüsselung der personifizierten Daten verwendbar ist, dass die zwei Fingerprints (P-FP1/P-FP2) an einen zentralen Zugriffsserver (AAA) übermittelt und dem Originator zugeordnet in einer Datenbank des Zugriffsservers abspeicherbar sind, dass zwei Fingerprints (M-FP1/M-FP2) eines Confidants an den zentralen Zugriffsserver (AAA) übermittelbar und dem Confidant zugeordnet in der Datenbank des Zugriffsservers (AAA) abspeicherbar sind, dass das Mobilfunkgerät ein Daten-Verschlüsselungs- und -Transfermodul umfasst, wobei das Daten-Verschlüsselungs- und -Transfermodul mittels des Mobilfunkgerätes für den Originator zugreifbar ist und wobei die personifizierten Daten vom Originator mittels des Daten-Verschlüsselungs- und -Transfermoduls aggregierbar und/oder validierbar und verschlüsselbar und über den zentralen Zugriffsserver (AAA) an den Confidant über einen Datenübertragungskanal eines Datenübertragungsnetzwerkes transferierbar sind, dass transferierte verschlüsselte personifizierte Daten vom zentralen Zugriffsserver (AAA) mittels einer Learning Machine und mittels des zweiten Fingerprints (P-FP2) des Originators entschlüsselbar sind, wobei mittels der Learning Machine Personen-relevante Daten der transferierten personifizierten Daten maskierbar und/oder anonymisierbar sind, wobei mittels der Learning Machine maskierte und/oder anonymisierte personifizierte Daten mittels eines der Fingerprints (M-FP1) des Confidants verschlüsselbar mindestens teilweise an den Confidant und/oder Netzwerk-Nodes Dritter transferierbar sind, und wobei die entsprechenden Fingerprints (P-FP1/P-FP2) des Originators auf dem zentralen Zugriffsserver (AAA) für den Confidant mittels der Learning Machine zugreifbar und auf die Learning Machine übertragbar sind, und dass auf den Confidant oder die Netzwerk-Nodes Dritter transferierte, maskierte und/oder anonymisierte verschlüsselte, personifizierte Daten durch den Confidant und/oder mittels der Netzwerk-Nodes Dritter basierend auf dem einen Fingerprint (M-FP1) des Confidants entschlüsselbar sind, wobei für die Netzwerk-Nodes Dritter zur Entschlüsselung der transferierten maskierten und/oder anonymisierten verschlüsselten, personifizierten Daten die entsprechenden Fingerprints (M-FP1/M-FP2) des Confidants auf dem zentralen Zugriffsserver (AAA) zugreifbar und auf sich übertragbar sind.

2. Biometrischer, Fingerprint-basierter Encryption-Decryption Engine nach Anspruch 1, dadurch gekennzeichnet, dass der Originator ein medizinischer Patient ist, wobei die personifizierten Daten automatisiert von der Learning Machine als dem Confidant und/oder Vertrauensarzt mittels der Learning Machine Dritten zur weiteren Diagnostik und/oder Therapierung zur Verfügung stellbar sind.

3. Biometrischer, Fingerprint-basierter Encryption-Decryption Engine nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, dass das Mobilfunkgerät des Originators mindestens einen Sensor zum Erfassen von biometrischen Daten umfasst.

4. Biometrischer, Fingerprint-basierter Encryption-Decryption Engine nach Anspruch 3, dadurch gekennzeichnet, dass mittels des mindestens einen Sensor zum Erfassen von biometrischen Daten Fingerprints erfassbar sind.

5. Biometrischer, Fingerprint-basierter Encryption-Decryption Engine nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass der zentrale Zugriffsserver (AAA) einer Authentisierungs-und-Autorisierungs(AA)-Agency zugeordnet ist.

6. Biometrischer, Fingerprint-basierter Encryption-Decryption Engine nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass dem Confidant zur Entschlüsselung der personifizierten Daten mittels der Learning Machine die entsprechenden Fingerprints (P-FP1/P-FP2) des Originators auf dem zentralen Zugriffsserver (AAA) zugreifbar und auf die Learning Machine übertragbar sind.

7. Biometrischer, Fingerprint-basierter Encryption-Decryption Engine nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass mittels der Learning Machine die entschlüsselten, personifizierten Daten auf Daten-Konsistenz und Daten-Qualität überprüfbar sind.

8. Biometrischer, Fingerprint-basierter Encryption-Decryption Engine nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass mittels der Learning Machine automatisiert oder durch den Confidant zwei oder mehr Aktivierungsstufen detektierbar und dem Originator zuordenbar sind, wobei basierend auf den Aktivierungsstufen die Daten den Netzwerk-Nodes Dritter zugänglich machbar sind.

9. Biometrischer, Fingerprint-basierter Encryption-Decryption Engine nach Anspruch 8, dadurch gekennzeichnet, dass die Aktivierungsstufen mindestens das Triggerelement «kein Handlungsbedarf» und/oder «Warnung» und/oder «Alarmzustand» umfassen.