Zum Inhalt springen

Experte gesucht zum Thema Datenverschlüsselung und Datenversendung

R3ap3r

Von R3ap3r
in Offtopic

 Teilen

Empfohlene Beiträge

R3ap3r

R3ap3r

Geschrieben
Geschrieben

Hi, 

bei der Gründung eines Labors haben wir folgende Aufgabe zu bewerkstelligen was Patientendaten angeht. Diese sind bekanntlich die Königsdisziplin in Sachen DSGVO. 

Der Ablauf ist wie folgt: 

Die Praxis macht eine Abstrich beim Patienten und schickt diesen zu uns ins Labor. Die Probe wird von uns erfasst und Analysiert. Nach der Analyse wir der Praxis das Ergebnis mitgeteilt.

Problemstellung: Wir als Labor, benötigen keine Patientendaten (Namen, Anschrift etc) - wir benötigen höchstens das Geburtsdatum und ggf. Essgewohnheiten. Wir möchten uns daher soweit es geht aus der Schusslinie der DSGVO bringen. Die Herausforderung der wir uns allerdings stellen müssen ist die letztlich die Zuordnung der Analyse in der Praxis. Das heißt, wenn wir mit kryptischen Zeichen arbeiten wollen, muss für die Praxis klar sein das mit unserer Internen Nummer 21DY12 - Max Mustermann gemeint ist.

Das ganze muss zudem automatisiert werden. D.h. die nach Eingang der Probe und nach vorliegen der Ergebnisse, muss der Befund automatisch an die richtige Praxis übermittelt werden. 

Da das Thema gänzlich neu für mich ist, frage ich euch, ob es entsprechende Umsetzungstipps von Profis gibt oder eine Idee, wo ich mich dazu schlau machen könnte.

Besten Dank :)    

Link zu diesem Kommentar
Auf anderen Seiten teilen
Chantal Krüger

Chantal Krüger

Geschrieben
Geschrieben (bearbeitet)
52 minutes ago, R3ap3r said:

Hi, 

bei der Gründung eines Labors haben wir folgende Aufgabe zu bewerkstelligen was Patientendaten angeht. Diese sind bekanntlich die Königsdisziplin in Sachen DSGVO. 

Der Ablauf ist wie folgt: 

Die Praxis macht eine Abstrich beim Patienten und schickt diesen zu uns ins Labor. Die Probe wird von uns erfasst und Analysiert. Nach der Analyse wir der Praxis das Ergebnis mitgeteilt.

Problemstellung: Wir als Labor, benötigen keine Patientendaten (Namen, Anschrift etc) - wir benötigen höchstens das Geburtsdatum und ggf. Essgewohnheiten. Wir möchten uns daher soweit es geht aus der Schusslinie der DSGVO bringen. Die Herausforderung der wir uns allerdings stellen müssen ist die letztlich die Zuordnung der Analyse in der Praxis. Das heißt, wenn wir mit kryptischen Zeichen arbeiten wollen, muss für die Praxis klar sein das mit unserer Internen Nummer 21DY12 - Max Mustermann gemeint ist.

Das ganze muss zudem automatisiert werden. D.h. die nach Eingang der Probe und nach vorliegen der Ergebnisse, muss der Befund automatisch an die richtige Praxis übermittelt werden. 

Da das Thema gänzlich neu für mich ist, frage ich euch, ob es entsprechende Umsetzungstipps von Profis gibt oder eine Idee, wo ich mich dazu schlau machen könnte.

Besten Dank :)   

Mach das doch einfach so.

Der Kunde bestellt bei Dir via Web/App eine Dienstleistung. KLick KLick Klack, dann stellst Du dem einen Labeldrucker hin, druckst einen Strichcode drauf, den er auf die Probe kleben kann oder er kann das selber drucken und raufkleben (aber Labeldrucker ist einfacher).  Via Strichkode kann der Kunde dann seine Proben nachverfolgen, ähnlich wie ein Packettracker. Es gibt fertige Lösungen, die das z.B. können als Teil eines elektronischen Patientensystems. 

DSVGO betrifft Euch nicht, wenn der Strichkode (ID) von Euch nicht aufzulösen ist, ich würde aber die Resultate noch verschlüsseln, z.B. de Strichcode als Public Key nehmen.

Sowas macht mein Arzt auch mit seinem Labor, druckt ID Label, klebt das auf die Blutprobe und das Labor sendet die Daten elektronisch zurück. Ok, das ist dann Teil seines Elektronischen Patientensystems. Ich nehme mal an, ihr verwendet noch Fax und Briefpost ...

Wenn noch Fragen sind, PM an mich.

Aber ich würde aber auf keinen Fall eine Lösung selber basteln, sondern auf der Medica oder so nach fertigen Lösungen suchen. Die gibt es.

Bearbeitet von Chantal Krüger
  • Thanks 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
iliabel

iliabel

Geschrieben
Geschrieben
vor einer Stunde schrieb R3ap3r:

Hi, 

bei der Gründung eines Labors haben wir folgende Aufgabe zu bewerkstelligen was Patientendaten angeht. Diese sind bekanntlich die Königsdisziplin in Sachen DSGVO. 

Der Ablauf ist wie folgt: 

Die Praxis macht eine Abstrich beim Patienten und schickt diesen zu uns ins Labor. Die Probe wird von uns erfasst und Analysiert. Nach der Analyse wir der Praxis das Ergebnis mitgeteilt.

Problemstellung: Wir als Labor, benötigen keine Patientendaten (Namen, Anschrift etc) - wir benötigen höchstens das Geburtsdatum und ggf. Essgewohnheiten. Wir möchten uns daher soweit es geht aus der Schusslinie der DSGVO bringen. Die Herausforderung der wir uns allerdings stellen müssen ist die letztlich die Zuordnung der Analyse in der Praxis. Das heißt, wenn wir mit kryptischen Zeichen arbeiten wollen, muss für die Praxis klar sein das mit unserer Internen Nummer 21DY12 - Max Mustermann gemeint ist.

Das ganze muss zudem automatisiert werden. D.h. die nach Eingang der Probe und nach vorliegen der Ergebnisse, muss der Befund automatisch an die richtige Praxis übermittelt werden. 

Da das Thema gänzlich neu für mich ist, frage ich euch, ob es entsprechende Umsetzungstipps von Profis gibt oder eine Idee, wo ich mich dazu schlau machen könnte.

Besten Dank :)   

Die günstige Variante ist es einen QR-Code oder ähnliches zu nutzen. Die extrem teuere Variante ist die Blockchain Technologie.

  • Thanks 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
Chantal Krüger

Chantal Krüger

Geschrieben
Geschrieben (bearbeitet)
17 minutes ago, iliabel said:

Die günstige Variante ist es einen QR-Code oder ähnliches zu nutzen. Die extrem teuere Variante ist die Blockchain Technologie.

Ich würde ein bestehendes Produkt nehmen, es sei denn dieses Labor hat die Grösse, selber was zu machen. Aber da kommt eins zum anderen, bis die Kosten explodieren, hat aber den Vorteil, man bindet seine Kunden. Fertige Lösungen haben den Vorteil, dass man sich um all diesen Scheiss mit DSVGO, Encrypting etc. nicht kümmern muss und notfalls den Hersteller in die Haft nimmt.

QR Code, Strichcode oder wie auch immer ist da egal, ist ne Frage der Kosten für den Operativen Bereich eines Labors. Bevor ich selber was anfangen würde, hätte ich eine komplette Martanalyse gemacht und dann Kosten/Nutzen überlegt.

Bearbeitet von Chantal Krüger
  • Thanks 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
iliabel

iliabel

Geschrieben
Geschrieben
vor 24 Minuten schrieb Chantal Krüger:

Ich würde ein bestehendes Produkt nehmen, es sei denn dieses Labor hat die Grösse, selber was zu machen. Aber da kommt eins zum anderen, bis die Kosten explodieren, hat aber den Vorteil, man bindet seine Kunden. Fertige Lösungen haben den Vorteil, dass man sich um all diesen Scheiss mit DSVGO, Encrypting etc. nicht kümmern muss und notfalls den Hersteller in die Haft nimmt.

QR Code, Strichcode oder wie auch immer ist da egal, ist ne Frage der Kosten für den Operativen Bereich eines Labors. Bevor ich selber was anfangen würde, hätte ich eine komplette Martanalyse gemacht und dann Kosten/Nutzen überlegt.

Ich würde auch zuerst eine günstige Variante nutzen und Erfahrungen sammeln. Ein eigenes Produkt sollte erst eventuell im 2. Schritt erfolgen.

  • Thanks 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
Chantal Krüger

Chantal Krüger

Geschrieben
Geschrieben
5 minutes ago, iliabel said:

Ich würde auch zuerst eine günstige Variante nutzen und Erfahrungen sammeln. Ein eigenes Produkt sollte erst eventuell im 2. Schritt erfolgen.

Das sind Speziallösungen, die sind nie günstig. Da muss man sich vorher Gedanken machen und ein Pflichtenheft aufmachen. Alles andere kostet irrsinnig viel Lehrgeld. 

  • Thanks 1
  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
Theseus

Theseus

Geschrieben
Geschrieben

Für ne Entwicklung brauchst du min 3 Entwickler, sonst ist Qualität so ne Sache (ok, bestimmte einzelne können auch, aber die machen dann andere Sachen.)
Lass die mal ein paar Monate arbeiten und schon hast du nen ordentlichen Posten unter "Löhne/Gehälter".

 

Wie oben schon geschrieben: Am einfachsten einen Zufallswert (Probenschlüssel) verwenden, um die Probe zu identifizieren / tracken.
Die Zuordnung Probenschlüssel:Patient geschieht in der Praxis. Damit hat das Labor zunächst keine direkt personenbezogenen Daten.

Kritisch kann es dennoch sein, wenn z.b. Genomanalyse stattfindet und ganz bestimmte Kombinationen seltener Marker-Werte auftauchen. Dann ist ggf. doch ein Personenbezug verstellbar. Geht es aber nur um so Sachen wie Blutwerte, kann der Personenbezug im Labor ausgeschlossen werden.

Die Zuordnung Probenschlüssel:Praxis lässt sich mit etwas Umstand auch anonymisieren, wenn man es "perfekt" machen will.

 

Bei all der Komplexität rate ich dringend dazu, noch eine(n) sachkundige(n) Datenschutzbeauftragte(n) mit ins Boot zu holen.

 

 

  • Thanks 1
  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
skunk

skunk

Geschrieben
Geschrieben
vor 3 Stunden schrieb R3ap3r:

Problemstellung: Wir als Labor, benötigen keine Patientendaten (Namen, Anschrift etc) - wir benötigen höchstens das Geburtsdatum und ggf. Essgewohnheiten. Wir möchten uns daher soweit es geht aus der Schusslinie der DSGVO bringen.

Ich würde den Spaß einfach zweifach verschlüsseln. Deine Kunden generieren sich anfangs ein Schlüsselpaar. Am besten ein 24 Wort Seed, den man recht einfach irgendwo abheften kann und bei bedarf neu eintippen. Für jeden Auftrag muss dann von dem 24 Wort Seed ein neues Schlüsselpaar abgeleitet werden. Den gleichen Schlüssel für mehrere Aufträge zu benutzen wäre ein Risiko.

Mit diesem Schlüsselpaar kann der Kunde erstmal alle Daten verschlüsseln, die ihr nicht lesen können sollt. Die Daten, die ihr lesen sollt, bleiben in diesem Schritt noch unverschlüsselt.

Jetzt könnte der Kunde euch diesen Datensatz per Email zukommen lassen aber dann würde Google immer noch das Geburtsdatum und die Essgewohnheiten abgreifen können. Das lässt sich auch ganz einfach lösen. Einmal den kompletten Datensatz mit eurem Public Key verschlüsseln sodass nur noch ihr ihn mit eurem Private Key entschlüsseln könnt. Zur Sicherheit würde ich auch hier jedes mal ein neues Schlüsselpaar nehmen. Die Blockchain macht solche Spielchen mit HD Wallets im Schlaf. Diese Technologie kann man auch ohne Blockchain anwenden.

Nach erhalt des Datensatz, könnt ihr den äußeren Umschlag zwar entschlüsseln aber die Patientendaten bleiben euch verborgen. Die sind im Inneren weiterhin verschlüsselt mit einem euch unbekannten Key. Ihr macht euren Job und schickt den Datensatz mit euren Resultaten verschlüsselt zurück an den Kunden. Der kann dann sowohl euer Ergebnis als auch die Patientendaten entschlüsseln.

Ob es sich lohn das alles zu programmieren ist eine andere Frage. Die Low Tech Lösung mit einem Strichcode Drucker ist vielleicht kostengünstiger. Ich habe jetzt einfach nur eine Mögliche Lösung für das Problem aufgezeigt. Beide Kommunikationspartner brauchen nur einen 24 Wort Seed und die Software kann dann daraus eine unbegrenzte Menge an einmal Passwörtern generieren und die Daten damit so verschlüsseln, dass genau definiert ist wer die Daten entschlüsseln kann.

  • Thanks 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
Chantal Krüger

Chantal Krüger

Geschrieben
Geschrieben
3 hours ago, skunk said:

Ich würde den Spaß einfach zweifach verschlüsseln. Deine Kunden generieren sich anfangs ein Schlüsselpaar. Am besten ein 24 Wort Seed, den man recht einfach irgendwo abheften kann und bei bedarf neu eintippen. Für jeden Auftrag muss dann von dem 24 Wort Seed ein neues Schlüsselpaar abgeleitet werden. Den gleichen Schlüssel für mehrere Aufträge zu benutzen wäre ein Risiko.

Mit diesem Schlüsselpaar kann der Kunde erstmal alle Daten verschlüsseln, die ihr nicht lesen können sollt. Die Daten, die ihr lesen sollt, bleiben in diesem Schritt noch unverschlüsselt.

Jetzt könnte der Kunde euch diesen Datensatz per Email zukommen lassen aber dann würde Google immer noch das Geburtsdatum und die Essgewohnheiten abgreifen können. Das lässt sich auch ganz einfach lösen. Einmal den kompletten Datensatz mit eurem Public Key verschlüsseln sodass nur noch ihr ihn mit eurem Private Key entschlüsseln könnt. Zur Sicherheit würde ich auch hier jedes mal ein neues Schlüsselpaar nehmen. Die Blockchain macht solche Spielchen mit HD Wallets im Schlaf. Diese Technologie kann man auch ohne Blockchain anwenden.

Nach erhalt des Datensatz, könnt ihr den äußeren Umschlag zwar entschlüsseln aber die Patientendaten bleiben euch verborgen. Die sind im Inneren weiterhin verschlüsselt mit einem euch unbekannten Key. Ihr macht euren Job und schickt den Datensatz mit euren Resultaten verschlüsselt zurück an den Kunden. Der kann dann sowohl euer Ergebnis als auch die Patientendaten entschlüsseln.

Ob es sich lohn das alles zu programmieren ist eine andere Frage. Die Low Tech Lösung mit einem Strichcode Drucker ist vielleicht kostengünstiger. Ich habe jetzt einfach nur eine Mögliche Lösung für das Problem aufgezeigt. Beide Kommunikationspartner brauchen nur einen 24 Wort Seed und die Software kann dann daraus eine unbegrenzte Menge an einmal Passwörtern generieren und die Daten damit so verschlüsseln, dass genau definiert ist wer die Daten entschlüsseln kann.

Du musst das mit dem Strichcode haben, um z.B. eine Blutprobe (physikalische Welt) mit der Datenbank zu koppeln. Also Aufkleber auf die Ampulle. So machen die das bei meinem Arzt auch, der schickt das dann ein.

Ich würde niemals bei solchen operativen Lösungen eine eigene Lösung basteln, es sei denn, das Business erlaubt das.

 

  • Thanks 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
R3ap3r

R3ap3r

Geschrieben
  • Autor
Geschrieben

Vielen Dank für euren Input und das Brainstorming. 

Über unser Portal lassen sich kostenlose Test-Kits bestellen. Drin enthalten sind 4 Tubes für die Proben (Diese könnten wir z.b. labeln.) D.h. nach Eingang der Probe würden wir die Tubes Scannen und der EAN o. Q-Code zuordnen ohne Namen etc. 

Die Arztpraxis hat dann "nur" die Aufgabe den Zahlencode auf den Tubes einem einzigen Patienten zuzuordnen. Die Schwierigkeit an der Sache und vielleicht auch das unmögliche ist, dem Patienten eine feste Nummer zuzuweisen. Z.b. wenn die Praxis vom selben Patienten nach 2 Monaten nochmal eine Probe schickt. 

Die Idee ist, dass die Praxis die zugewiesene Nummer (entnimmt er von den Tubes) auf der Datenbank eingibt und zu dieser Nummer die Proben der letzten 3 Jahre abrufen kann. 

Welche Firmen sind mit solchen Umsetzungen vertraut und spezialisiert - ggf. auch im Labor/Praxis Bereich? 

Ich gebe euch recht, eine selbst zusammengebaute Lösung, die uns um die Ohren fliegt, wollen wir nicht :)

 

Link zu diesem Kommentar
Auf anderen Seiten teilen
Chantal Krüger

Chantal Krüger

Geschrieben
Geschrieben (bearbeitet)
1 hour ago, R3ap3r said:

Vielen Dank für euren Input und das Brainstorming. 

Über unser Portal lassen sich kostenlose Test-Kits bestellen. Drin enthalten sind 4 Tubes für die Proben (Diese könnten wir z.b. labeln.) D.h. nach Eingang der Probe würden wir die Tubes Scannen und der EAN o. Q-Code zuordnen ohne Namen etc. 

Die Arztpraxis hat dann "nur" die Aufgabe den Zahlencode auf den Tubes einem einzigen Patienten zuzuordnen. Die Schwierigkeit an der Sache und vielleicht auch das unmögliche ist, dem Patienten eine feste Nummer zuzuweisen. Z.b. wenn die Praxis vom selben Patienten nach 2 Monaten nochmal eine Probe schickt. 

Die Idee ist, dass die Praxis die zugewiesene Nummer (entnimmt er von den Tubes) auf der Datenbank eingibt und zu dieser Nummer die Proben der letzten 3 Jahre abrufen kann. 

Welche Firmen sind mit solchen Umsetzungen vertraut und spezialisiert - ggf. auch im Labor/Praxis Bereich? 

Ich gebe euch recht, eine selbst zusammengebaute Lösung, die uns um die Ohren fliegt, wollen wir nicht :)

 

Du musst nur die ID mit einem Datum erweitern, dann hast Du ein Alleinstellungsmerkmal pro Probe in der Datenbank.

Sowas ist Teil von elektronischen Patientensystemen oder elektronischen Laborsystemen, die generieren die Nummern von alleine. Ich weiss nicht, in wieweit Arztpraxen die Digitalisierung eingeführt haben.

Ich würde mir die Ausstellerliste der Medica (Düsseldorf) ansehen und da anfangen. Dann Ideen sammeln, Pflichtenheft vom Prozess erstellen und sehen, wie man das Kostengünstig realisiert. Evtl. schenkt ihr dem Arzt einem Labeldrucken, der nur mit Eurer Software arbeiten, um eine Kundenbindung zu erreichen. Digitale Plattformen bedeuten auch langfristige Kundenbindung, wenn man das richtig macht aber auch den Ruin, wenn man das versemmelt.

Mit Software machen ist es allein nicht getan. Du musst die verbessern, erweitern, pflegen updaten und updates verteilen, irgendwann wird das einfach teurer als einkaufen und Du kommst nicht mit den updates hinterher, weil zu teuer. Besondes wenn es Vorort Probleme gibt, kann gut sein, dass ihr die gesammte Kette dann liefern müsst.

Hier die Messe : 

https://www.medica.de

 

Es macht Evetl. auch Sinn, im Ausland anzurufen, besonders in Skandinavien sind die wesentlich weiter, um zu fragenm wie die das gelösst haben.

Bearbeitet von Chantal Krüger
  • Thanks 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
R3ap3r

R3ap3r

Geschrieben
  • Autor
Geschrieben

Danke für deinen Input. Die Medica wäre sogar für einen Besuch direkt interessant. 

Deine Konzeptansatz verstehe ich, ist vermutlich aber zu kompliziert gedacht. Es geht im Prinzip um ein schnelle und anonyme Abarbeitung der Analysen die für die Praxen so einfach wie möglich gestaltet werden soll. Die Praxen müssen für sich selbst nur sicherstellen, dass sie die Proben wieder zuordnen können. Da Bedarf es Fleißarbeit von der Praxis selbst - hier muss halt versucht werden die Fehlerquote so gering wie möglich zu halten. 

Ich versuche mal verschieden Firmen zu inspizieren und an ein best practice zu kommen.  

Link zu diesem Kommentar
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
 Teilen
Zur Themenübersicht
×
×
  • Neu erstellen...

Wichtige Information

Wir haben Cookies auf Deinem Gerät platziert. Das hilft uns diese Webseite zu verbessern. Du kannst die Cookie-Einstellungen anpassen, andernfalls gehen wir davon aus, dass Du damit einverstanden bist, weiterzumachen.