-
Die
Erfindung betrifft eine Chipkarte für ein mobiles Telekommunikationsgerät zur Verwendung als
elektronische Patientenkarte, ein mobiles Telekommunikationsgerät mit einem
Speicherbereich zur Verwendung als elektronische Patientenkarte,
ein Verfahren zur Speicherung und Abfrage von Daten, sowie entsprechende
Computerprogrammprodukte.
-
Aus
dem Stand der Technik sind so genannte Chipkarten bekannt. Einen Überblick über vorbekannte
Chipkarten gibt „Handbuch
der Chipkarten", Wolfgang
Rankl, Wolfgang Effing, Carl Hanser Verlag, 1999.
-
Chipkarten
werden im medizinischen Bereich als so genannte Patientenkarten
eingesetzt. Aufgrund der geringen Speicherkapazität von Chipkarten
ist zur Verwendung als elektronische Patientenkarte zunächst lediglich
die Speicherung weniger administrativer Daten wie Geburtsdatum,
Krankenkasse, Adresse usw. vorgesehen. Daten, welche über Angaben
zur Notfallversorgung und einer Dokumentation von eingenommenen
Medikamenten hinausgehen, sind zur Speicherung auf einem zentralen Datenserver
vorgesehen. Dies beinhaltet zum Beispiel den elektronischen Arztbrief
und die elektronische Krankenakte.
-
DE 10 2004 051 296
B3 beschreibt ein Verfahren zur Speicherung von Daten und
zur Abfrage von Daten, sowie entsprechende Computerprogrammprodukte.
Eine personalisierte Chipkarte ermöglicht die Speicherung einer
virtuellen Patientenakte auf einem Datenserver. Unter Verwendung
der Chipkarte können
Daten, wie zum Beispiel eine Patientenakte, von einem Praxis-EDV-System
einer Arztpraxis verschlüsselt
an den Datenserver übertragen werden.
Eine weitere Anwendung von Chipkarten für Patientendaten ist aus
DE 102 58 769 A1 bekannt.
-
Der
Erfindung liegt demgegenüber
die Aufgabe zugrunde, ein verbessertes Verfahren zur Speicherung
und Abfrage von Patientendaten, sowie entsprechende Computerprogrammprodukte
zu schaffen.
-
Erfindungsgemäß wird eine
Chipkarte für
ein mobiles Telekommunikationsgerät geschaffen, wobei die Chipkarte
für die
Mobilkommunikation und zur Verwendung als elektronische Patientenkarte
ausgebildet ist. Dies hat den Vorteil, dass der Patient keine separate,
als elektronische Patientenkarte ausgebildete Chipkarte benötigt, sondern
die elektronische Patientenkarte bereits in sein Mobiltelefon integriert ist.
-
Nach
einer Ausführungsform
der Erfindung weist die Chipkarte einen ersten Schlüssel und
einen ersten Zeiger auf, wobei der erste Schlüssel zur Verschlüsselung
eines zweiten Schlüssels
und eines zweiten Zeigers vorgesehen ist, und wobei der zweite Schlüssel über ein
Arztinformationssystem übermittelt
wird und der zweite Zeiger über
einen ersten Server übermittelt
wird. Der zweite Zeiger ist zur Identifika tion eines Speicherbereichs
eines ersten Servers ausgebildet und der Speicherbereich des ersten
Servers ist zur Aufnahme von Patientendaten vorgesehen. Dabei sind
die Patientendaten mit dem zweiten Schlüssel verschlüsselt. Der
erste Zeiger ist zur Speicherung des mit dem ersten Schlüssel verschlüsselten
zweiten Schlüssels
und des mit dem ersten Schlüssel
verschlüsselten
zweiten Zeigers in einem durch den ersten Zeiger identifizierten
Speicherbereich eines zweiten Servers vorgesehen.
-
Nach
einer Ausführungsform
der Erfindung sind der erste Schlüssel und der erste Zeiger als Adressbucheintrag
auf der Chipkarte des mobilen Telekommunikationsgeräts gespeichert.
Dies hat den Vorteil, dass auch ältere
Chipkarten, welche kernen speziellen Speicherbereich zur Verwendung
als elektronische Patientenkarte aufweisen, Daten speichern können, um
das mobile Telekommunikationsgerät
als elektronische Patientenkarte verwenden zu können.
-
Nach
einer Ausführungsform
der Erfindung sind auf der Chipkarte Patientendaten gespeichert. Diese
Patientendaten sind Duplikate von Patientendaten, welche auf dem
ersten Server gespeichert sind, wodurch die Chipkarte als Zwischenspeicher (Cache)
des ersten Servers für
die Patientendaten ausgebildet ist. Die auf der Chipkarte gespeicherten Patientendaten
können
z.B. Notfalldaten wie Blutgruppe, Liste eingenommener Medikamente,
nächste
Angehörige
usw. einschließen,
welche im Notfall aus dem mobilen Telekommunikationsgerät ausgelesen
werden können.
Ebenso können
die Patientendaten z.B. elektronische Rezepte einschließen, die
in einer Apotheke ausgelesen werden können. Je nach Speichergröße der Chipkarte
können
auch Speicherplatzaufwändigere
Patientendaten auf der Chipkarte zwischengespeichert werden. Dadurch
ergibt sich der Vorteil, dass Informationen über das mobile Telekommunikationsgerät sofort
verfügbar
sind, ohne dass eine aufwändige
Herstellung einer Telekommunikationsverbindung mit einem zentralen
Server notwendig ist. Ebenso kann auf der Chipkarte ein Duplikat
von zumindest einem zweiten Zeiger gespeichert sein, wodurch der
Speicherbereich als Zwischenspeicher (Cache) des zweiten Servers
für den
entsprechenden zweiten Zeiger ausgebildet ist. Dadurch entfällt bei
Abfrage von Patientendaten, welche auf dem ersten Server in einem
durch diesen zweiten Zeiger identifizierten Speicherbereich gespeichert sind,
der Aufbau einer Kommunikationsverbindung mit dem zweiten Server.
-
Nach
einer Ausführungsform
der Erfindung weist die Chipkarte Mittel zur Verschlüsselung
des zweiten Schlüssels
und des zweiten Zeigers mit dem ersten Schlüssel auf. Da damit der erste
Schlüssel aus
der Chipkarte nicht ausgelesen werden kann und sämtliche Verschlüsselungsvorgänge in der
Chipkarte stattfinden, ist eine hohe Datensicherheit gewährleistet,
und die Wahrscheinlichkeit des unbefugten Ausspähung von Daten wird minimiert.
-
Nach
einer Ausführungsform
der Erfindung ist die Chipkarte personalisiert. So kann zum Beispiel bei
Vergabe der Chipkarte ein eindeutiger erster Schlüssel und
ein eindeutiger erster Zeiger auf der Chipkarte gespeichert sein,
welche in eindeutiger Weise dem Patienten mit der Chipkarte zugeordnet sind.
-
In
einem weiteren Aspekt betrifft die Erfindung die Verwendung einer
für die
mobile Telekommunikation vorgesehene Chipkarte als elektronische Patientenkarte.
Dies hat den Vorteil, dass bisher übliche, sich in mobilen Telekommunikationsgeräten befindliche
Chipkarten, als elektronische Patientenkarte verwendet werden können.
-
In
einem weiteren Aspekt betrifft die Erfindung ein mobiles Telekommunikationsgerät mit einer ersten
Schnittstelle für
ein Mobilkommunikationsnetzwerk und mit zumindest einem Speicherbereich, wobei
der Speicherbereich zur Verwendung als elektronische Patientenkarte
ausgebildet ist. Die Verwendung eines Speicherbereichs eines mobilen
Telekommunikationsgeräts
als elektronische Patientenkarte hat den Vorteil, dass eine elektronische
Patientenkarte, welche als separate Chipkarte ausgeführt ist,
nicht mehr benötigt
wird. Da Speicherbereiche in mobilen Telekommunikationsgeräten umfangreich
dimensioniert sein können,
besteht zusätzlich
die Möglichkeit, über die
typischerweise verwendeten Daten der elektronischen Patientenkarte
hinausgehende Datenmengen auf dem mobilen Telekommunikationsgerät zu speichern.
-
Nach
einer Ausführungsform
der Erfindung weist der Speicherbereich einen ersten Schlüssel und
einen ersten Zeiger auf, wobei der erste Schlüssel zur Verschlüsselung
eines zweiten Schlüssels und
eines zweiten Zeigers vorgesehen ist, wobei der zweite Schlüssel über ein
Arztinformationssystem übermittelt
wird und der zweite Zeiger über
einen ersten Server übermittelt
wird. Der zweite Zeiger ist zur Identifikation eines Speicherbereichs
eines ersten Servers ausgebildet, wobei der Speicherbereich des ersten
Servers zur Aufnahme von Patientendaten vorgesehen ist und wobei
die Patientendaten mit dem zweiten Schlüssel verschlüsselt sind.
Der erste Zeiger ist zur Speicherung des mit dem ersten Schlüssel verschlüsselten
zweiten Schlüssels
und des mit dem ersten Schlüssel
verschlüsselten
zweiten Zeigers in einem durch den ersten Zeiger identifizierten
Speicherbereich eines zweiten Servers vorgesehen.
-
Nach
einer Ausführungsform
der Erfindung sind der erste Schlüssel und der erste Zeiger als Adressbucheintrag
in dem Speicherbereich gespeichert. Dies ermöglicht die Verwendung gängiger mobiler
Telekommunikationsgeräte
als elektronische Patientenkarte.
-
Nach
einer Ausführungsform
der Erfindung ist der Speicherbereich zur Aufnahme von Chipkartenanwendungen
vorgesehen, wobei zumindest eine der Chipkartenanwendungen zur Verschlüsselung des
zweiten Schlüssels
und des zweiten Zeigers mit dem ersten Schlüssel vorgesehen ist. Dies hat
auch hier den Vorteil, dass der erste Schlüssel nie das mobile Telekommunikationsgerät verlassen
muss und sämtliche
Verschlüsselungsvorgänge in dem
mobilen Telekommunikationsgerät
stattfinden. Dadurch wird einem Missbrauch und dem unbefugten Zugriff
auf Patientendaten vorgebeugt.
-
Nach
einer Ausführungsform
der Erfindung sind in dem Speicherbereich Patientendaten gespeichert.
Diese Patientendaten sind Duplikate von Patientendaten, welche auf
dem ersten Server gespeichert sind, wodurch der Speicherbereich
als Zwischenspeicher (Cache) des ersten Servers für die Patientendaten
ausgebildet ist. Die in dem Speicherbereich gespeicherten Patientendaten
können
z.B. Notfalldaten wie Blutgruppe, Liste eingenommener Medikamente,
nächste
Angehörige
usw. einschließen,
welche im Notfall aus dem mobilen Telekommunikationsgerät ausgelesen
werden können.
Ebenso können
die Patientendaten z.B. elektronische Rezepte einschließen, die
in einer Apotheke ausgelesen werden können. Je nach Speichergröße des Speicherbereichs
können
auch Speicherplatzaufwändigere
Patientendaten in dem Speicherbereich zwischengespeichert werden.
Dadurch ergibt sich der Vorteil, dass Informationen über das
mobile Telekommunikationsgerät
sofort verfügbar
sind, ohne dass eine aufwändige
Herstellung einer Telekommunikationsverbindung mit einem zentralen
Server notwendig ist. Ebenso kann in dem Speicherbereich ein Duplikat
von zumindest einem zweiten Zeiger gespeichert sein, wodurch der
Speicherbereich als Zwischenspeicher (Cache) des zweiten Servers
für den entsprechenden
zweiten Zeiger ausgebildet ist. Dadurch entfällt bei Abfrage von Patientendaten,
welche auf dem ersten Server in einem durch diesen zweiten Zeiger
identifizierten Speicherbereich gespeichert sind, der Aufbau einer
Kommunikationsverbindung mit dem zweiten Server.
-
In
einem weiteren Aspekt betrifft die Erfindung ein Verfahren zur Speicherung
von Daten. Nach Aufbau eines sicheren Kommunikationskanals zu einem
mobilen Telekommunikationsgerät
erfolgt das Lesen eines ersten Schlüssels und eines ersten Zeigers
von dem mobilen Telekommunikationsgerät. Vorzugsweise wird zur Kommunikation
eine Ende-zu-Ende-Verschlüsselung
verwendet. Nach Verschlüsselung
der Patientendaten mit einem zweiten Schlüssel werden die verschlüsselten
Daten an einen ersten Server versendet, von welchem als Antwort
auf die verschlüsselten
Daten ein zweiter Zeiger empfangen wird. Der zweite Zeiger identifiziert
den Speicherbereich der verschlüsselten
Daten auf dem ersten Server. Es erfolgt eine Verschlüsselung
des zweiten Schlüssels
und des zweiten Zeigers mit dem ersten Schlüssel und eine Versendung des
mit dem ersten Schlüssel
verschlüsselten
zweiten Schlüssels und
des mit dem ersten Schlüssel
verschlüsselten zweiten
Zeigers an einen zweiten Server zur Speicherung in einem durch den
ersten Zeiger identifizierten Speicherbereich des zweiten Servers.
Dies hat den Vorteil, dass die Speicherung von umfangreichen Datenmengen
mit Hilfe einer Chipkarte ermöglicht
wird, wobei gleichzeitig die Daten gegen Manipulation und/oder Ausspähung geschützt werden können.
-
Nach
einer Ausführungsform
der Erfindung werden zusätzlich
zu dem verschlüsselten
zweiten Schlüssel
und dem verschlüsselten
zweiten Zeiger Metainformationen bezüglich der Daten in dem durch den
ersten Zeiger identifizierten Speicherbereich gespeichert. Diese
Metainformationen können
deskriptive Angaben zu den einzelnen Eintragungen in der elektronischen
Patientenakte beinhalten, so dass nicht in jedem Fall die vollständige Datenmenge
heruntergeladen werden muss, sondern eine Auswahl getroffen werden
kann.
-
Nach
einer Ausführungsform
der Erfindung werden die Patientendaten mit Hilfe eines medizinischen
Gerätes
erfasst.
-
In
einem weiteren Aspekt betrifft die Erfindung ein Verfahren zur Abfrage
von Patientendaten, welche auf einem ersten Server gespeichert sind.
-
Nach
einer Ausführungsform
der Erfindung erfolgt der Aufbau des sicheren Kommunikationskanals
zu dem mobilen Telekommunikationsgerät unter Verwendung eines dritten
Servers. Der dritten Server dient der individuellen Vermittlung
von Kommunikationsverbindungen von einem Arztinformationssystem zu
dem mobilen Telekommunikationsgerät eines Patienten bzw. dem
Aufbau eines Telekommunikationskanals von einem mobilen Telekommunikationsgerät eines
Patienten zum Arztinformationssystem eines gewünschten Arztes.
-
Nach
einer Ausführungsform
der Erfindung erfolgt der Aufbau des sicheren Kommunikationskanals über einen
Push-Dienst oder über
einen Pull-Dienst. Der Push-Dienst
wird benötigt,
wenn der Aufbau des Kommunikationskanals vom Arztinformationssystem
aus erfolgt. Der Pull-Dienst hingegen wird benötigt, wenn der sichere Kommunikationskanal
durch den Patienten von dessen mobilen Telekommunikationsgerät zum Arztinformationssystem aufgebaut
wird.
-
Im
Weiteren werden bevorzugte Ausführungsformen
der Erfindung mit Bezugnahme auf die Zeichnungen näher erläutert. Es
zeigen:
-
1 ein
Blockdiagramm eines Datenverarbeitungssystems zur Speicherung und
Abfrage von Patientendaten unter Verwendung einer in einem mobilen
Telekommunikationsgerät
integrierten elektronischen Patientenkarte,
-
2 ein
Flussdiagramm einer weiteren bevorzugten Ausführungsform eines erfindungsgemäßen Verfahrens
zur Speicherung von Daten,
-
3 ein
Flussdiagramm einer bevorzugten Ausführungsform der Erfindung zur
Abfrage der Daten,
-
4 ein
Blockdiagramm einer Weiterbildung der Ausführungsform der 1,
-
5 ein
Flussdiagramm einer Darstellung einer Kommunikation zwischen einem
mobilen Telekommunikationsgerät
eines Patienten und einem Arztinformationssystem.
-
Die 1 zeigt
ein Blockdiagramm eines Datenverarbeitungssystems 100 zur
Speicherung und Abfrage von Patientendaten 112 unter Verwendung
einer in einem mobilen Telekommunikationsgerät 138 integrierten
elektronischen Patientenkarte. Das Datenverarbeitungssystem 100 weist
einen Computer 102 auf, zum Beispiel ein Arztinformationssystem,
der über
ein Netzwerk 104 mit einem Datenserver 106 und
einem Verzeichnisserver 108 verbindbar ist. Bei dem Netzwerk 104 handelt
es sich um ein drahtgebundenes oder drahtloses Telekommunikationsnetzwerk
wie zum Beispiel ein Computernetzwerk, ein Virtual Private Network
(VPN), ein Intranet, ein Extranet oder das Internet.
-
Der
Computer 102 hat einen Speicher 110, wie zum Beispiel
einen Arbeitsspeicher, zur Speicherung der Patientendaten 112.
Die Patientendaten können
zum Beispiel diagnostische Bilddaten, Rezeptdaten, Arztbriefe usw.
beinhalten. Diese Patientendaten 112 können beispielsweise von einem
behandelnden Arzt in den Computer 102 eingegeben werden.
-
Alternativ
oder zusätzlich
ist der Computer 102 mit einem Praxis-EDV-System der Arztpraxis vernetzt
und erhält
automatisch über
das Netzwerk die Patientendaten 112. So ist es beispielsweise möglich, dass
die Patientendaten mit Hilfe eines medizintechnischen Geräts erfasst
werden. Es ist ferner möglich,
dass der Computer 102 zum Beispiel in ein medizintechnisches
Gerät integriert
ist, oder unmittelbar an ein solches Gerät angeschlossen ist.
-
Der
Computer 102 hat zumindest einen Prozessor 114 zur
Ausführung
eines Programms 116, sowie eine Komponente 118 zur
Speicherung und/oder Generierung eines Datenschlüssels. Ferner verfügt der Computer 102 über Schnittstellen 120, welche
zur Kommunikation mit dem Netzwerk 104 und dem mobilen
Telekommunikationsgerät 138 dienen.
Die Kommunikation mit dem mobilen Telekommunikationsgerät 138 erfolgt
dabei direkt über
eine drahtlose oder eine drahtgebundene Schnittstelle oder indirekt über das
Netzwerk 104 über
einen Vermittlungsserver 121. Das mobile Telekommunikationsgerät 138 weist
eine Schnittstelle 140 auf. Diese dient zur indirekten
Kommunikation mit dem Computer 102 über den Vermittlungsserver 121,
wobei in diesem Fall die Verbindung vom mobilen Telekommunikationsgerät 138 zu
dem Vermittlungsserver 121 über ein zellulares Mobilfunknetzwerk,
vorzugsweise ein GSM-, GPRS- oder UMTS-Netzwerk erfolgt. Alternativ
dazu erfolgt die Kommunikation über die
Schnittstelle 142 direkt mit dem Computer 102 über eine
drahtlose oder drahtgebundene Verbindung, vorzugsweise über eine
Bluetooth-Verbindung, eine Infrarot-Verbindung, eine USB- oder eine RS232-Verbindung.
-
Der
Aufbau einer Kommunikationsverbindung zwischen dem Computer 102 und
dem mobilen Telekommunikationsgerät 138 über die
Schnittstelle 140 wird entwe der vom Computer 102 oder
dem mobilen Telekommunikationsgerät 138 aus initiiert.
Erfolgt die Initiierung vom Computer 102 aus, erfolgt in einem
ersten Schritt ein Aufbau eines Kommunikationskanals vom Computer 102 zu
dem Vermittlungsserver 121. Der Vermittlungsserver ordnet
zum Beispiel dem Namen eines Patienten „abc" die zugehörige Telefonnummer „0123-456
789" des mobilen
Telekommunikationssystems des Patienten zu und baut daraufhin eine
entsprechende Telekommunikationsverbindung zu diesem mobilen Telekommunikationssystem
auf, über
welche Daten zwischen dem Computer 102 und dem mobilen
Telekommunikationsgerät 138 ausgetauscht
werden. Erfolgt hingegen die Initiierung der Kommunikationsverbindung
ausgehend von dem mobilen Telekommunikationsgerät 138, so erfolgt
zuerst der Aufbau einer Telekommunikationsverbindung vom mobilen
Telekommunikationsgerät 138 zu
dem Vermittlungsserver 121. Der Patient gibt z.B. dem Vermittlungsserver 121 den
Namen des behandelnden Arztes „def" an. Der Vermittlungsserver 121 ordnet
daraufhin diesem Arzt „def" eine zugehörige IP-Adresse „123.456.789" dessen Computers 102 zu
und baut über
das Netzwerk 104 eine Kommunikationsverbindung zu diesem
Computer 102 auf, über
welche Daten zwischen dem Computer 102 und dem mobilen
Telekommunikationsgerät 138 ausgetauscht
werden.
-
In
einem Speicher 124 des mobilen Telekommunikationsgeräts 138 ist
ein Indexschlüssel 126 und
ein Indexzeiger 128 gespeichert. Der Indexzeiger 128 identifiziert
eine Einsprungadresse 130 des Verzeichnisservers 108 und
damit einen Speicherbereich, welcher dem Speicher 124 des
mobilen Telekommunikationsgeräts 138 zugewiesen
ist. Der Indexzeiger 128 wird bei der Registrierung des
Patienten einmal vergeben und dann in dem Speicher 124 gespeichert.
Ebenso verhält
es sich mit dem Indexschlüssel 126,
der ebenfalls bei der Registrierung des Patienten generiert und
in dem Speicher 124 gespeichert wird. Der Indexschlüssel 126 dient
zur Verschlüsselung
von Indexeinträgen
auf dem Verzeichnisserver 108.
-
Die
Speicherung des Indexschlüssels 126 und
des Indexzeigers 128 in dem Speicher 124 des mobilen
Telekommunikationsgerätes 138 kann
dabei zum Beispiel durch eine Übertragung über eine
der Schnittstellen 140 und 142 des mobilen Tele kommunikationsgeräts 138 erfolgen,
d.h. über
das zellulare Mobilfunknetzwerk oder über die drahtlose oder drahtgebundene
Schnittstelle. Ebenso möglich
ist es, den Indexschlüssel 126 und
den Indexzeiger 128 manuell als Adressbucheintrag in dem
Speicher 124 des mobilen Telekommunikationsgeräts 138 zu
speichern. Ebenso möglich
ist es, durch die geeigneten Mittel den Indexschlüssel 126 und
den Indexzeiger 128 zum Beispiel auf der SIM-Karte des
mobilen Telekommunikationsgeräts 138 zu
speichern. Dies kann auch die Vergabe einer personalisierten Chipkarte,
insbesondere einer SIM-Karte, beinhalten.
-
Der
Speicher 124 in dem mobilen Telekommunikationsgerät 138 ermöglicht die
Speicherung einer virtuellen Patientenakte auf dem Datenserver 106 bzw.
eines Index auf die elektronische Patientenakte in dem Verzeichnisserver 108,
wobei auf die elektronische Patientenakte sowohl speichernd als auch
lesend nur mit der Chipkarte 124 des mobilen Telekommunikationsgeräts 138 zugegriffen
werden kann.
-
Zur
Speicherung der Patientendaten 112 wird beispielsweise
wie folgt vorgegangen: In einem ersten Schritt erfolgt der Aufbau
eines sicheren Kommunikationskanals zwischen dem Arztinformationssystem 102 und
dem mobilen Telekommunikationsgerät 138. Dies kann entweder über eine
direkte drahtlose oder drahtgebundene Verbindung, wie zum Beispiel
eine Bluetooth-Verbindung, erfolgen oder indirekt über das
Mobilkommunikationsnetzwerk unter Verwendung des Vermittlungsservers 121.
Vorzugsweise handelt es sich bei dem sicheren Kommunikationskanal
um eine Ende-zu-Ende verschlüsselte Verbindung,
zum Beispiel über
SSL oder TLS. Die Authentisierung kann dabei zum Beispiel über eine C2C-Authentisierung
(Card-to-Card Authentisierung) erfolgen.
Der Computer 102 liest den Indexschlüssel 126 und den Indexzeiger 128 aus
dem Speicher 124 des mobilen Telekommunikationsgeräts 138.
Ferner wird ein Datenschlüssel
von der Komponente 118 abgerufen. Vorzugsweise generiert
die Komponente 118 einen neuen Datenschlüssel für jeden
Abruf.
-
Mit
Hilfe des Datenschlüssels
werden die Patientendaten 112 verschlüsselt und von dem Computer 102 über die
Schnittstelle 120 und das Netzwerk 104 an den
Datenserver 106 übertragen.
Der Datenserver 106 speichert die verschlüsselten
Daten in einem freien Speicherbereich, der durch eine Einsprungadresse 132 identifiziert
ist. Vorzugsweise erfolgt die Speicherung der verschlüsselten
Patientendaten 112 auf dem Datenserver 106 so,
dass die von dem Datenserver empfangenen Daten der Reihe nach übereinander
gestapelt werden. Die Speicherung der Daten auf dem Datenserver 106 erfolgt
also unsortiert und unstrukturiert in der Reihenfolge der eingehenden
Daten.
-
Um
dennoch einen späteren
Zugriff auf die Daten zu ermöglichen,
antwortet der Datenserver 106 auf die vom ihm empfangenen
verschlüsselten Patientendaten 112 mit
dem Datenzeiger 134, der beispielsweise die Einsprungadresse 132 angibt,
um den Speicherbereich auf dem Datenserver 106, auf dem
die verschlüsselten
Patientendaten 112 gespeichert sind, zu identifizieren.
-
Der
Datenzeiger 134 und der von der Komponente 118 gelieferte
Datenschlüssel,
mit dem die Patientendaten 112 verschlüsselt worden sind, werden dann
mit dem Indexschlüssel 126 verschlüsselt. Der
verschlüsselte
Datenschlüssel
und der verschlüsselte
Datenzeiger werden dann als Indexeintragung 136 von dem
Computer 102 über
dessen Schnittstelle 120 und das Netzwerk 104 zu
dem Verzeichnisserver 108 übertragen. Die entsprechende Speicheranforderung
des Computers 102 an den Verzeichnisserver 108 zur
Speicherung der Indexeintragung 136 beinhaltet den Indexzeiger 128 als
Parameter. Damit erhält
der Verzeichnisserver 108 eine Eingabe darüber, in
welchem Speicherbereich die Indexeintragung 136 gespeichert
werden soll, d.h. in dem hier betrachteten Beispielsfall in dem
Speicherbereich mit der Einsprungadresse 130, die durch
den Indexzeiger 128 identifiziert wird.
-
Im
Ergebnis sind also die verschlüsselten Patientendaten 112 auf
dem Datenserver 106 gespeichert und die Indexeintragungen 136,
die die für den
Zugriff auf die Daten erforderliche Informationen beinhalten, auf
dem Verzeichnisserver 108. Der Zugriff auf die in den Datenserver 106 gespeicherten Patientendaten 112,
als auch auf die Indexeintragung 136 des Verzeichnisservers 108,
ist nur mit Hilfe der Patientenkarte möglich, welche als Speicher 124 in das
mobile Telekommunikationsgerät 138 des
Patienten implementiert ist.
-
Alternativ
zur Übertragung
des Indexschlüssels 126 und
des Indexzeigers 128 zu dem Computer 102 ist es
auch möglich,
den Datenzeiger 134 und den von der Komponente 118 gelieferte
Datenschlüssel
an das mobile Telekommunikationsgerät 138 zu übertragen,
um dort den Datenzeiger 134 und den von der Komponente 128 gelieferten
Datenschlüssel mit
dem Indexschlüssel 126 zu
verschlüsseln.
Die Verschlüsselung
kann dabei in dem mobilen Telekommunikationsgerät über dessen Prozessor 144 erfolgen,
welcher eine entsprechende Chipkarten-Anwendung ausführt, welche
in dem Speicher 124 gespeichert ist. Alternativ dazu kann
die Verschlüsselung
durch einen Prozessor einer Chipkarte erfolgen, zum Beispiel der
SIM-Karte des mobilen Telekommunikationsgeräts 138. Ist dabei
der Indexschlüssel 126 auf
der SIM-Karte gespeichert, hat dies den Vorteil einer erhöhten Sicherheit,
da der Indexschlüssel 126 nie
die SIM-Karte verlassen muss. Erfolgt eine Verschlüsselung
durch den Prozessor 144, können zum Beispiel entsprechende
benötigte
Chipkarten-Anwendungen zur Verschlüsselung über eine der Schnittstellen 140 oder 142 auf
das mobile Telekommunikationsgerät
geladen werden. Die Chipkartenanwendungen können auch zum Zwecke der Autorisierung
eines Zugriffs auf den Index-Schlüssel 126 und den Index-Zeiger 128 dienen.
-
Um
zu einem späteren
Zeitpunkt die Daten der Patientenakte zum Beispiel von einem anderen Computer 102 eines
anderen behandelnden Arztes eines Krankenhauses oder einer anderen
medizinischen Einrichtung wieder abzurufen, wird hierzu wie folgt
vorgegangen: Nach Aufbau eines sicheren Kommunikationskanals zwischen
dem Mobiltelefon 138 und dem Computer 102 werden
durch das Programm 116 der Indexschlüssel 126 und der Indexzeiger 128 von
der Chipkarte gelesen. Das Programm 116 generiert daraufhin
eine Anforderung an den Verzeichnisserver 108 zur Abfrage
der Indexeintragungen der Patientenakte, die in dem durch den Indexzeiger 128 identifizierten
Speicherbereich des Verzeichnisservers 108 gespei chert
sind. Hierzu verwendet das Programm 116 den von der Chipkarte
gelesenen Indexzeiger 128.
-
Der
Verzeichnisserver 108 liefert als Antwort auf die von dem
Computer 102 empfangene Anforderung die Indexeintragungen
in der Patientenakte, die in dem mit der Anforderung des Computers 102 spezifizierten
Speicherbereichs gespeichert sind, an den Computer 102.
Das Programm 116 entschlüsselt dann den oder die Indexeintragungen 136 mit
dem Indexschlüssel 126.
Dadurch erhält
das Programm 116 den Datenschlüssel und den Datenzeiger 134 aus
der Indexeintragung 136 im Klartext zurück.
-
Mit
dem Datenzeiger 134 greift das Programm 116 dann über die
Schnittstelle 120 und das Netzwerk 104 auf den
Datenserver 106 zu. Der Datenserver 106 liefert
daraufhin die in dem, durch den Datenzeiger 134 identifizierten
Speicherbereich gespeicherten verschlüsselten Patientendaten 112 an den
Computer 102 über
das Netzwerk 104 zurück. Das
Programm 116 entschlüsselt
dann die verschlüsselten
Patientendaten 112 mit dem Datenschlüssel aus der Indexeintragung 136.
Die entschlüsselten Patientendaten 112 werden
von dem Programm 116 in dem Speicher 110 gespeichert
und beispielsweise auf einem Bildschirm angezeigt.
-
Alternativ
ist es auch hier wieder möglich,
anstatt den Indexschlüssel 126 aus
dem Speicher 124 des mobilen Telekommunikationsgeräts 138 auszulesen
und an den Computer 102 zu übertragen, um dort die Indexeintragungen 136 mit
dem Indexschlüssel 126 zu
entschlüsseln,
den Entschlüsselungsvorgang
durch den Prozessor 144 des mobilen Telekommunikationsgeräts 138 durchzuführen oder
durch einen Mikroprozessor, welcher in dem als SIM-Karte ausgeführten Speicher 124 integrierbar
ist. Der Indexschlüssel 126 muss
damit nicht aus dem Speicher 124 ausgelesen werden, wodurch
der Indexschlüssel 126 gegen
Missbrauch geschützt
ist.
-
Vorzugsweise
ist zusätzlich
zu dem verschlüsselten
Teil der Indexeintragung 136 unverschlüsselte Metainformation zu der
Indexeintragung 136 gespeichert. Die Metainformation gibt
beispielsweise an, auf welche Kategorie von Patientendaten 112 die
Indexeintragung 136 verweist. Beispielsweise gibt die Metainformation
bei einer Indexeintragung 136 an, ob es sich um zahnmedizinische,
urologische oder facharztspezifische Daten handelt. Ferner kann die
Metainformation angeben, ob es sich beispielsweise um Rezeptdaten,
Diagnosedaten oder Bilddaten handelt.
-
Die
Metainformationen ermöglichen
es vor dem Herunterladen der verschlüsselten Daten von dem Datenserver 106 eine
Auswahl der interessierten Daten zu treffen. Beispielsweise würden in
einer Zahnarztpraxis typischerweise nur die Indexeintragungen 136,
die als Metainformation die Angabe „zahnmedizinische Daten" haben, zum Herunterladen
von dem Datenserver 106 gewählt.
-
Ferner
können
auch Zugriffsberechtigungen in oder zu einer Indexeintragung 136 gespeichert werden.
Vorzugsweise erfolgt die Abspeicherung von Zugriffsberechtigungen
in den verschlüsselten
Teil der Indexeintragung 136.
-
Die 2 zeigt
ein Flussdiagramm einer weiteren Ausführungsform eines erfindungsgemäßen Verfahrens
zur Speicherung von Daten. In dem Schritt 200 werden die
Patientendaten entweder in das Arztinformationssystem eingegeben
oder in dem Arztinformationssystem erzeugt. In dem Schritt 202 wird
der Datenschlüssel
zur Verschlüsselung
der in dem Schritt 200 erzeugten oder eingegebenen Patientendaten
abgefragt oder generiert. Vorzugsweise handelt es sich bei dem Datenschlüssel um
einen symmetrischen Schlüssel.
Es kann sich jedoch auch um ein asymmetrisches Schlüsselpaar
handeln. In dem Schritt 204 werden die Patientendaten mit
dem Datenschlüssel
verschlüsselt.
Für den
Fall, dass ein asymmetrisches Verschlüsselungsverfahren eingesetzt
wird, erfolgt die Verschlüsselung
der Daten mit dem öffentlichen
Schlüssel
des asymmetrischen Schlüsselpaars.
-
In
dem Schritt 206 werden die verschlüsselten Daten an den Datenserver
geschickt. Daraufhin empfängt
das Arztinformationssystem einen Datenzeiger von dem Datenserver,
der den Speicherbereich, in dem die Patientendaten auf dem Datenserver
gespeichert worden sind, identifiziert (Schritt 208). In
Schritt 209 erfolgt der Aufbau eines sicheren Kommunikationskanals
zwischen dem Arztinformationssystem und dem mobilen Telekommunikationsgerät des Patienten,
in welches die elektronische Patientenkarte integriert ist. In dem
Schritt 210 werden ein Indexschlüssel und ein Indexzeiger aus
dem Speicher des mobilen Telekommunikationsgeräts ausgelesen und an das Arztinformationssystem übertragen.
Bei dem Indexschlüssel
handelt es sich vorzugsweise um einen symmetrischen Schlüssel. Es
kann sich jedoch auch um ein Schlüsselpaar eines asymmetrischen
Verschlüsselungsverfahrens handeln.
In dem Schritt 212 erfolgt die Verschlüsselung des Datenschlüssels und
des Datenzeigers mit dem Indexschlüssel. Falls ein asymmetrisches
Verschlüsselungsverfahren
zum Einsatz kommt, erfolgt die Verschlüsselung mit dem öffentlichen
Schlüssel des
Schlüsselpaars.
-
Durch
die Verschlüsselung
des Datenschlüssels
und des Datenzeigers wird ein Indexeintrag generiert. Der Indexeintrag
wird an einen Indexserver gesendet, um den Indexeintrag in einem
Speicherbereich des Indexservers zu speichern, der durch den Indexzeiger
identifiziert wird. In dem Schritt 216 erfolgt die Speicherung
der Indexeintragung auf dem Indexserver.
-
Die 3 zeigt
ein Flussdiagramm einer bevorzugten Ausführungsform der Erfindung zur
Abfrage von Patientendaten. In Schritt 300 erfolgt ein
Aufbau eines sicheren Kommunikationskanals zwischen einem Arztinformationssystem
und dem mobilen Telekommunikationsgerät des Patienten. In dem Schritt 301 liest
das Arztinformationssystem dann zumindest den Indexzeiger oder sowohl
den Indexzeiger und den Indexschlüssel aus dem Speicher des mobilen
Telekommunikationsgeräts.
In dem Schritt 302 fragt das Arztinformationssystem den
oder die Indexeintragungen, die auf dem Verzeichnisserver für den betreffenden
Patienten gespeichert sind, mit Hilfe des Indexzeigers ab. In dem
Schritt 304 erfolgt die Entschlüsselung des oder der Indexeintragungen
mit Hilfe des Indexschlüssels.
Diese Entschlüsselung
erfolgt je nach Ausführungsform
entweder in dem mobilen Telekommunikationsgerät oder durch das Arztinformationssystem.
-
Durch
die Entschlüsselung
erhält
das Arztinformationssystem den Datenschlüssel und den Datenzeiger auf
die verschlüsselt
auf dem Datenserver gespeicherten Pa tientendaten, auf welche die
Indexeintragung verweist. Diese Patientendaten werden mit Hilfe
des Datenzeigers in dem Schritt 306 von dem Datenserver
abgefragt. Das Arztinformationssystem erhält daraufhin die verschlüsselten
Patientendaten von dem Datenserver. Diese werden mit Hilfe des Datenschlüssels entschlüsselt (Schritt 308) und
in dem Schritt 310 beispielsweise auf einem Bildschirm
des Arztinformationssystems ausgegeben.
-
Die 4 zeigt
ein Blockdiagramm einer Weiterbildung der Ausführungsform der 1.
In der Ausführungsform
des Datenverarbeitungssystems 400 der 4 können zwei
verschiedene Arten von Patientendaten verwendet werden, welche in
ein mobiles Telekommunikationssystem implementiert sind:
Der
Speicher 424 in dem mobilen Telekommunikationssystem 438 hat
ein relativ kleines Speichervermögen,
welches zur Speicherung des Indexschlüssels 426 und des
Indexzeigers 428 ausreicht. Dagegen hat der Speicher 424' des Mobiltelefons 438' eines anderen
Patienten einen größeren Speicherbereich,
der es ermöglicht,
sowohl den Indexschlüssel 426', den Indexzeiger 428' und die Indexeintragung 436 bzw.
mehrere Indexeintragungen der elektronischen Patientenakte in dem
Speicher 424' zu
speichern. Ebenso ermöglicht
es der Speicher 424' des Mobiltelefons 438', zusätzlich Patientendaten
in dem Speicher 424' zu
speichern. Beispielsweise erfolgt die Speicherung von Indexeintragungen
und/oder Patientendaten in dem Speicher 424', bis der Speicherplatz 424' erschöpft ist.
Der Speicher 424' dient damit
als Cache, um einen schnelleren Zugriff auf z.B. häufig verwendete
Daten zu ermöglichen.
Die Indexeintragungen und Patientendaten in dem Speicher 424' sind dabei
Duplikate von Indexeintragungen bzw. Patientendaten, welche auf
dem Verzeichnisserver 108 bzw. dem Daten-Server 106 gespeichert
sind.
-
In
dem hier betrachteten Ausführungsbeispiel
hat auch der Benutzer des Arztinformationssystems 402,
d.h. zum Beispiel der behandelnde Arzt, eine Chipkarte 450 mit
einem Speicher 425. Der Speicher 425 dient zur
Speicherung eines geheimen Schlüssels 448,
zu dem ein öffentlicher
Schlüssel 446 gehört. Der öffentliche
Schlüssel 446 ist
beispielsweise auf einem Anmeldeserver 444 gespeichert.
Der Anmeldeserver 444 stellt ein so genanntes Directory
für die
Abfrage von öffentlichen
Schlüsseln der
registrierten Benutzer zur Verfügung,
sowie weitere Dienste für
die Authentifizierung der registrierten Benutzern und der registrierten
Patienten bzw. der Chipkarten.
-
Zusätzlich können die
Speicher 424, 424' und/oder 425 durch
eine PIN oder ein biometrisches Merkmal geschützt sein. Die Zugriffssicherung
mittels einer PIN erfolgt im Falle des Patienten über die Tastatur
des mobilen Telekommunikationsgerätes 438 bzw. 438'. Im Falle einer
Chipkarte 450 des behandelnden Arztes erfolgt die Zugriffssicherung
mittels einer PIN, welche über
ein so genanntes PIN-Pad eingegeben werden kann, welche an das Arztinformationssystem 402 angeschlossen
ist.
-
Beim
Betrieb des Datenverarbeitungssystems 400 erfolgt zuerst
ein Aufbau einer sicheren Kommunikationsverbindung zwischen dem
Arztinformationssystem 402 und dem mobilen Telekommunikationsgerät 438 bzw. 438' des Patienten.
Das Programm 116 versucht dann, entsprechende Indexeintragungen 436 aus
dem Speicher 424 bzw. 424' auszulesen. Da es sich bei dem
Speicher 424 um einen Speicher mit geringer Speicherkapazität handelt, schlägt der Zugriffsversuch
auf die Indexeintragung 436 fehl, da diese nicht in dem
Speicher 424 des mobilen Telekommunikationsgeräts 438 gespeichert
ist. In diesem Fall greift das Programm 116 auf den Verzeichnisserver 108 zu,
um die Indexeintragung 436 zu lesen. Alternativ zum Leseversuch
von Indexeintragungen 436 kann das Arztinformationssystem 402 auch
versuchen, direkt Patientendaten von dem mobilen Telekommunikationsgerät 438 bzw. 438' des Patienten
zu lesen. Allerdings schlägt
dieser Leseversuch im Falle des Speichers 424 fehl, da
es sich bei dem Speicher 424 um einen Speicher mit geringer
Speicherkapazität
handelt und entsprechende Patientendaten nicht in dem Speicher 424 des
mobilen Telekommunikationsgeräts 438 zwischengespeichert
sind.
-
Im
Falle des Patienten mit dem mobilen Telekommunikationsgerät 438', welches einen
größeren Speicherplatz 424' aufweist, kann
das Programm 116 den oder die Indexeintragungen 436 unmittelbar
aus dem Speicher 424' auslesen.
Sind in dem größeren Speicherplatz 424' des mobilen
Telekommunikationsgeräts 438' auch entsprechende
Patientendaten gespeichert, kann das Programm 116 diese
Patientendaten auch direkt aus dem Speicher 424' des mobilen
Telekommunikationsgeräts 438' auslesen.
-
Die
in dem Speicherbereich 424' gespeicherten
Indexeintragungen 436 können
vorzugsweise die verschlüsselten
Teile der Indexeintragung 436 beinhalten. Ebenso liegen
die in dem Speicherbereich 424' gespeicherten Patientendaten vorzugsweise
in verschlüsselter
Form vor. Vorzugsweise werden bei der Ausführungsform der 4 die
Patientendaten 112 vor dem Hochladen auf den Datenserver 106 und/oder
die Indexeintragung 436 vor dem Hochladen auf den Verzeichnisserver 108 von
dem Benutzer des Computers, d.h. beispielsweise des behandelnden
Arztes, digital signiert. Dies erfolgt unter Verwendung des auf
der Chipkarte 450 des Arztes gespeicherten geheimen Schlüssels. In
diesem Fall werden die von dem Datenserver 106 zu einem
späteren
Zeitpunkt geladenen Daten und/oder die von dem Verzeichnisserver
geladenen Indexeintragungen 436 mit Hilfe des auf dem Anmeldeserver 444 gespeicherten öffentlichen
Schlüssels 446 verifiziert.
-
Die 5 zeigt
ein Flussdiagramm einer Darstellung einer Kommunikation zwischen
einem mobilen Telekommunikationsgerät eines Patienten und einem
Arztinformationssystem. In Schritt 500 wird der Typ der
Verbindung festgelegt, mit welcher das mobile Telekommunikationsgerät mit dem
Arztinformationssystem in Kontakt tritt. Hierfür gibt es drei Möglichkeiten.
Zum einen handelt es sich um den Aufbau einer Telekommunikationsverbindung
ausgehend vom mobilen Telekommunikationsgerätes des Patienten zum Arztinformationssystem.
Zum zweiten handelt es sich um eine direkte drahtlose oder drahtgebundene
Verbindung zwischen dem mobilen Telekommunikationsgerät des Patienten
und dem Arztinformationssystem, wobei die Verbindung vorzugsweise über Bluetooth
oder Infrarot aufgebaut wird. Dabei kann diese Verbindung entweder
vom mobilen Telekommunikationsgerät, als auch vom Arztinformationssystem
initiiert werden. Als dritte Möglichkeit wird
eine Telekommunikationsverbindung vom Arztinformationssystem zum
mobilen Telekommunikationsgerät
des Patienten aufgebaut.
-
Im
Falle dessen, dass eine Telekommunikationsverbindung vom mobilen
Telekommunikationsgerät
des Patienten zum Arztinformationssystem über eine Mobilfunkverbindung
aufgebaut wird, erfolgt in Schritt 501 zuerst ein Aufbau
eines Kommunikationskanals vom mobilen Telekommunikationsgerät zu einem
Vermittlungsserver. Der Vermittlungsserver ordnet zum Beispiel einer
durch den Patienten angegebene Arztkennung einer IP-Adresse zu,
unter welcher das Arztinformationssystem an das Internet und damit
an den Vermittlungsserver angekoppelt ist (Schritt 503).
Der Datenaustausch erfolgt in diesem Fall über einen Pull-Dienst in Schritt 505,
d.h. die Datenübertragung
wird vom mobilen Telekommunikationsgerät aus initiiert.
-
Im
Falle dessen, dass das Arztinformationssystem eine Telekommunikationsverbindung
zum mobilen Telekommunikationsgerät herstellt, erfolgt zuerst
in Schritt 502 ein Aufbau eines Kommunikationskanals zu
dem Vermittlungsserver. Der Vermittlungsserver stellt daraufhin
in Schritt 504 über
eine zum Beispiel dem Patientennamen zugeordnete Telefonnummer eine
Telekommunikationsverbindung zum mobilen Telekommunikationsgerät des Patienten
her. Der Datentransfer wird in Schritt 506 über einen
Push-Dienst initiiert.
-
Im
Falle z.B. einer direkten Bluetooth-Verbindung zwischen dem Arztinformationssystem
und dem mobilen Telekommunikationsgerät erfolgt in Schritt 507 der
Aufbau eines Bluetooth-Kommunikationskanals zwischen dem mobilen
Telekommunikationsgerät
und dem Arztinformationssystem. In Schritt 508 wird ein
Push-Dienst initiiert.
-
Folgend
auf entweder den Pull-Dienst 505 oder die Push-Dienste 506 und 508 erfolgt
in Schritt 510 z.B. der Leseversuch eines Indexeintrages
aus dem Speicher des mobilen Telekommunikationsgerätes. Wenn
der Leseversuch erfolgreich verläuft (Schritt 512),
werden in dem Schritt 516 die Patientendaten von dem Datenserver
mit Hilfe des Datenzeigers bzw. des Datenschlüssels aus der Indexeintra gung
angefordert bzw. entschlüsselt.
War der Leseversuch hingegen nicht erfolgreich, so wird in dem Schritt 514 zunächst auf
den Indexserver zugegriffen, um die Indexeintragungen zu lesen.
-
- 100
- Datenverarbeitungssystem
- 102
- Arztinformationssystem
- 104
- Netzwerk
- 106
- Datenserver
- 108
- Verzeichnisserver
- 110
- Speicher
- 112
- Patientendaten
- 114
- Prozessor
- 116
- Programm
- 118
- Datenschlüssel
- 120
- Schnittstelle
- 121
- Vermittlungsserver
- 124
- Speicher
- 126
- Indexschlüssel
- 128
- Indexzeiger
- 130
- Einsprungadresse
- 132
- Einsprungadresse
- 134
- Datenzeiger
- 136
- Indexeintragung
- 138
- mobiles
Telekommunikationsgerät
- 140
- Schnittstelle
- 142
- Schnittstelle
- 144
- Prozessor
- 400
- Datenverarbeitungssystem
- 402
- Arztinformationssystem
- 424
- Speicher
- 425
- Speicher
- 426
- Indexschlüssel
- 428
- Indexzeiger
- 436
- Indexeintragung
- 444
- Anmeldeserver
- 446
- öffentlicher
Schlüssel
- 448
- geheimer
Schlüssel
- 450
- Chipkarte