Nachfolgend möchten wir unser Datenschutzkonzept erläutern, das in unserer Software angwendet wird (die Grafik ist eine sehr vereinfachte Darstellung dieses Prozesses).
Prinzipiell muß festgehalten werden, dass an physikalisch unterschiedlichen Orten sowohl datenverarbeitende als auch datenspeichernde Systeme zum Einsatz kommen. Wir unterscheiden hier die Datenquellen, also handelsübliche PC-Systeme für die Dateneingabe und Datendarstellung, den zentralen Pseudonymisierungsdienst (einen Webserver) und den Anwendungsserver, auf dem die medizinischen Daten abgelegt werden (ein weiterer unabhängiger Server).
Der Pseudonymisierungsserver ist dem Anwendungsserver vorgeschaltet, so dass der Browser sensible Daten nur noch über den Pseudonymisierungsserver anfordern kann. HTML-Formulare ohne sensible Daten werden hingegen direkt vom Anwendungsserver angefordert, um größtmögliche Verarbeitungsgeschwindigkeit des Gesamtsystems zu erzielen.
Anhand eines Beispiels aus der Medizin sei der grundsätzliche Ablauf wie folgt erklärt:
Die erste Pseudonymisierung erfolgt im dokumentierenden Zentrum anhand einer Patientenliste. In dieser Liste wird eine für den zu pseudonymisierenden Patienten eindeutige, zentrumsspezifische Patienten-ID (PID) mit den patientenidentifizierenden Daten (IDAT) abgelegt. Diese PID wiederum wird in der Datenbank zusammen mit den medizinischen Daten (MDAT) dokumentiert.
Vor Speicherung der Daten wird dann durch die browserbasierte Applikation zunächst eine zufällige Zeichenkette generiert, mittels eines öffentlichen Schlüssels verschlüsselt, an den Datenbankserver semdet und mit Hilfe des dort vorhandenen privaten Schlüssels entschlüsselt.
Diese Zeichenkette dient nun clientseitig dazu, den medizinischen Datensatz synchron zu verschlüsseln – es entsteht ein cryptifizierter medizinischer Datensatz (MDATcr) für den zu speichernden Patienten. Dieser MDATcr wird – mit der zugehörigen PID versehen – an einen zentralen Pseudonymisierungsserver übermittelt, der – wiederum synchron – die Umschlüsselung der PID zum Pseudonym (PSN) vornimmt. MDATcr und PSN werden danach an den zentralen Datenbankserver weiter geleitet. Dieser entschlüsselt mit Hilfe der vorher übersandten, zufällig generierten Zeichenkette den MDATcr und speichert die entschlüsselten medizinischen Daten in Verbindung mit dem PSN.
Die Darstellung der zentral gespeicherten medizinischen Daten findet durch einfaches „Zurücklaufen“ des Verschlüsselungsweges statt. Bei Aufruf eines Patienten durch Eingabe der PID in der browserbasierten Applikation wird die PID durch den Pseudonymisierungsdienst zunächst in ein PSN umgeschlüsselt. Anhand dieses PSN werden dann die medizinischen Daten in der zentralen Datenbank identifiziert, zusammengestellt, verschlüsselt und zurück an den Pseudonymisierungsdienst gesendet, der das PSN zur PID, nicht aber den medizinischen Datensatz entschlüsselt. Dieser wird lokal im Zentrum in ein lesbares Format umgewandelt und dargestellt.
