[go: up one dir, main page]

DE102010064399A1 - Method for protecting personal data i.e. medical data, of patient in telemedicine center, involves calculating data-hash value for personal data by microprocessor, and forming total information based on hash value and source information - Google Patents

Method for protecting personal data i.e. medical data, of patient in telemedicine center, involves calculating data-hash value for personal data by microprocessor, and forming total information based on hash value and source information Download PDF

Info

Publication number
DE102010064399A1
DE102010064399A1 DE201010064399 DE102010064399A DE102010064399A1 DE 102010064399 A1 DE102010064399 A1 DE 102010064399A1 DE 201010064399 DE201010064399 DE 201010064399 DE 102010064399 A DE102010064399 A DE 102010064399A DE 102010064399 A1 DE102010064399 A1 DE 102010064399A1
Authority
DE
Germany
Prior art keywords
data
personal data
information
hash value
source information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE201010064399
Other languages
German (de)
Inventor
Jens-Uwe Busser
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Siemens Corp
Original Assignee
Siemens AG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Siemens Corp filed Critical Siemens AG
Priority to DE201010064399 priority Critical patent/DE102010064399A1/en
Publication of DE102010064399A1 publication Critical patent/DE102010064399A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/88Medical equipments

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

The method involves processing personal data compiled for a person, and processing source information e.g. serial number, device code and patient identification, for the personal data, where the person is identified with the information. A data-hash value for the personal data is calculated by a microprocessor. Total information is formed based on the data-hash value and the source information. A signature is calculated for the total information. The personal data, source information and signature are transferred to a gateway (14) of a computing center and stored in separate archives. Independent claims are also included for the following: (1) a computer-readable data carrier for storing computer program for executing a method for protecting personal data (2) a computer program processed in a computer for executing a method for protecting personal data (3) a device for protecting personal data.

Description

Für telemedizinische Anwendungen ist oft eine Erfassung von Vitalparametern eines Patienten im Heimbereich sowie eine sichere Übertragung dieser Messdaten zu einem behandelnden Arzt, welcher sich beispielsweise in einem Telemedizinzentrum befindet, notwendig. Die Messdaten dürfen hierbei bei der Übertragung nicht verändert werden, da sie für eine korrekte Diagnose relevant sein können. Weiterhin muss ihre Authentizität und Integrität im Telemedizinzentrum überprüfbar sein.For telemedical applications, it is often necessary to record vital parameters of a patient in the home area and to reliably transmit these measured data to a treating physician, who is located, for example, in a telemedicine center. The measured data must not be changed during transmission since they may be relevant for a correct diagnosis. Furthermore, their authenticity and integrity in the telemedicine center must be verifiable.

Das Bundesdatenschutzgesetz schreibt vor, ”den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird” (BDSG §1, Abs. 1). Auch das Berliner Datenschutzgesetz fordert eine Vertraulichkeit von personenbezogenen Daten. Eine wichtige Maßnahme zur Gewährleistung der Vertraulichkeit ist eine Verschlüsselung der Daten bei deren Übertragung. Zusätzlich sollte, wo immer möglich, mit Pseudonymen anstelle von Klarnamen der Patienten gearbeitet werden, um einen Personenbezug von medizinischen Daten zu erschweren. Man unterscheidet hierbei ”schwache Pseudonyme” (Pseudonyme zweiter Ordnung) von ”starken Pseudonymen” (Pseudonyme erster Ordnung). Ein schwaches Pseudonym ist beispielsweise eine gerätespezifische Kennung, welche einem Patienten über längere Zeit fest zugeordnet ist. Ein starkes Pseudonym wird demgegenüber aus einem Geheimnis kryptographisch abgeleitet.The Federal Data Protection Act stipulates "to protect the individual from being impaired by the handling of his personal data in his personal rights" (BDSG §1, para. 1). The Berlin Data Protection Act also requires the confidentiality of personal data. An important measure to ensure confidentiality is an encryption of the data during their transmission. In addition, wherever possible, patients should be treated with pseudonyms instead of clear names of patients in order to make it more difficult to personalize medical data. A distinction is made here between "weak pseudonyms" (second-order pseudonyms) and "strong pseudonyms" (first-order pseudonyms). A weak pseudonym is, for example, a device-specific identifier which is permanently assigned to a patient over a longer period of time. By contrast, a strong pseudonym is derived cryptographically from a secret.

1 zeigt eine schematische Darstellung eines Datenflusses von einer Datenerfassung in einem Heimbereich bis zu einer Archivierung der Daten, welche auf eine Person bezogen sind, in einem Telemedizinzentrum gemäß dem Stand der Technik. Ein Gerät 11 im Heimbereich erfasst die personenbezogenen Daten, z. B. medizinische Daten, direkt oder erhält sie von anderen Messgeräten über eine gesicherte Verbindung durch eine physikalisch geschützte Leitung oder einen kryptographisch gesicherten Nachrichtenkanal. Das Gerät 11 verfügt z. B. über eine eigene Gerätekennung, welche als Herkunftsinformation in Form eines schwachen Pseudonyms für die personenbezogenen Daten fungiert. Während die personenbezogenen Daten selbst keine Identifikation der Person enthalten, lässt sich die Person anhand der Herkunftsinformation identifizieren. Bei der Herkunftsinformation handelt es sich beispielsweise um eine Seriennummer des Gerätes 11, um eine MAC-Adresse eines integrierten IP-Kommunikationsmoduls oder um eine administrierte Patientenkennung. 1 shows a schematic representation of a data flow from a data acquisition in a home area to an archiving of the data related to a person in a telemedicine center according to the prior art. A machine 11 at home, the personal data, eg. As medical data, directly or receives it from other meters over a secure connection through a physically protected line or a cryptographically secured message channel. The device 11 has z. B. on its own device identifier, which acts as the source information in the form of a weak pseudonym for the personal data. While the personal data themselves contain no identification of the person, the person can be identified on the basis of the origin information. For example, the source information is a serial number of the device 11 , a MAC address of an integrated IP communication module or an administered patient ID.

Anschließend signiert das Gerät 11 die personenbezogenen Daten mit einem integrierten privaten Schlüssel, hängt ein dazugehöriges digitales Zertifikat bei Bedarf an (falls dieses im Telemedizinzentrum noch nicht bekannt ist) und überträgt in einem ersten Schritt 1 den so gebildeten Datensatz (vgl. auch 2) über ein Transportnetzwerk 12 an ein Gateway 14 des Telemedizinzentrums, welches in 1 als Rechenzentrum 100 eingezeichnet ist. Das Rechenzentrum 100 ist durch eine Firewall 13 geschützt und verfügt über ein sicheres internes Netzwerk. Sofern die Übertragung verschlüsselt wird, kann hierfür auch ein unsicheres, öffentliches Transportnetzwerk 12 wie das Internet verwendet werden.Then the device signs 11 the personal data with an integrated private key, attaches an associated digital certificate if necessary (if this is not yet known in the telemedicine center) and transmits in a first step 1 the data set thus formed (see also 2 ) via a transport network 12 to a gateway 14 of the telemedicine center, which is located in 1 as a data center 100 is drawn. The data center 100 is through a firewall 13 protected and has a secure internal network. If the transmission is encrypted, this can also be an insecure public transport network 12 how the internet is used.

Das Gateway 14 überprüft beim Empfang die Signatur des erhaltenen Datensatzes. Als Berechnungsvorschrift für die Signatur des Gerätes 11 dient die Formel: SIG_alt = sign(hash(Herkunftsinformation||personenbezogene Daten)). The gateway 14 checks on reception the signature of the received data record. As a calculation rule for the signature of the device 11 serves the formula: SIG_alt = sign (hash (source information || personal data)).

Sofern die Signatur verifiziert werden kann, wird der Datensatz in einem zweiten Schritt 2 an einen De-Pseudonymisierer 15 weitergeleitet. Der De-Pseudonmysierer 15 ordnet dem Datensatz anhand der Herkunftsinformation eine richtige Patientenidentität, z. B. den Klarnamen der Person, zu. Anschließend kann der Datensatz in einem dritten Schritt 3 in einer Datenbank 16 in einer Akte für die jeweilige Person gespeichert werden. Weiterhin ist in einem vierten Schritt 4 von einem Bildschirmarbeitsplatz 19 ein Zugriff durch einen Mitarbeiter des Rechenzentrums 100 bzw. durch einen autorisierten Arzt über den Klarnamen oder das Pseudonym der Person auf den Datensatz möglich. Die tatsächliche Abfolge kann von der Nummerierung dieser Schritte natürlich variieren, denn sie bezeichnen eher Zugriffswege als eine Abfolge von Ereignissen. Externe Dienstleister 101, welche beispielsweise eine Abrechnung für Privatpatienten bereitstellen, können in einem fünften Schritt 5 wie zuvor beschrieben auf den Datensatz zugreifen. Der Inhalt der Datenbank 16 wird in einem sechsten Schritt 6 regelmäßig in einem ersten Archiv 17 archiviert. So kann ein Auditor 18 im Rahmen eines Audits auch nach längeren Zeiträumen noch den Datensatz in einem siebten Schritt überprüfen.If the signature can be verified, the record will be in a second step 2 to a de-pseudonymizer 15 forwarded. The de-pseudonymizer 15 assigns the record a correct patient identity based on the origin information, e.g. B. the name of the person to. Subsequently, the record in a third step 3 in a database 16 be stored in a file for each person. Furthermore, in a fourth step 4 from a computer workstation 19 an access by a data center employee 100 or by an authorized physician on the clear name or the pseudonym of the person on the record possible. The actual sequence may, of course, vary from the numbering of these steps, because they are more likely to designate access paths than a sequence of events. external serviceprovider 101 , which provide, for example, a billing for private patients, can in a fifth step 5 access the record as described above. The content of the database 16 will be in a sixth step 6 regularly in a first archive 17 archived. So can an auditor 18 as part of an audit, even after a long period of time to check the record in a seventh step.

2 zeigt einen Datensatz 21, der wie in 1 beschrieben vom Gerät 11 zum Gateway 14 übertragen wird. Der Datensatz 21 beinhaltet eine Herkunftsinformation 22 und personenbezogene Daten 23. Er ist mit einer Signatur 24 signiert. Die Signatur 24 ist die vom Gerät 11 aus 1 berechnete Signatur. Die Herkunftsinformation 22 hat beispielsweise den Inhalt ”GID = 1234, Patient = 3”. Die personenbezogenen Daten 23 sind etwa von der Form ”Zeit = 13.02.2010, 08:00 Uhr, Blutdruck = 120/70”. Weiterhin zeigt 2 ein Zertifikat 25 des aus 1 bekannten Gerätes 11. Das Zertifikat 25 umfasst einen Zertifikatsinhalt 26, beispielsweise ”GID = 1234, öffentlicher Schlüssel (des Gerätes 11), Seriennummer des Zertifikates (des Gerätes 11), Name der Zertifizierungsstelle”, und eine Signatur einer Zertifizierungsstelle 27. 2 shows a record 21 who like in 1 described by the device 11 to the gateway 14 is transmitted. The record 21 includes an origin information 22 and personal data 23 , He is with a signature 24 signed. The signature 24 is the one from the device 11 out 1 calculated signature. The source information 22 for example, has the content "GID = 1234, patient = 3". The personal data 23 are of the form "time = 13.02.2010, 08:00 clock, blood pressure = 120/70". Further shows 2 a certificate 25 of the 1 known device 11 , The certificate 25 includes a certificate content 26 For example, "GID = 1234, public key (of the device 11 ) Serial number of the certificate (of the device 11 ), Name of the certification authority ", and a signature of a certification authority 27 ,

3 zeigt einen Datensatz 21, wie er von dem aus 1 bekannten De-Pseudonymisierer 15 in der Datenbank 16 abgelegt wird. In diesem Datensatz 21 ist die Herkunftsinformation 22 aus 2 entfernt worden. Anstelle der Herkunftsinformation 22 findet sich im Datensatz 21 ein Name 32, d. h. der Klarname der Person. Außerdem beinhaltet der Datensatz 21 noch die personenbezogenen Daten 23. 3 shows a record 21 as he from the 1 known de-pseudonymizer 15 in the database 16 is filed. In this record 21 is the source information 22 out 2 been removed. Instead of the origin information 22 can be found in the dataset 21 a name 32 ie the name of the person. In addition, the record includes 21 still the personal data 23 ,

Nachteilig wirkt sich hierbei aus, dass die Herkunft des Datensatzes 21 in dieser Form nicht mehr ununterbrochen nachweisbar ist. Würde die Herkunftsinformation 22 jedoch nicht abgetrennt, so lägen zumindest in der Datenbank 16 Pseudonyme und Klarnamen des Patienten zusammen vor. Mit einem solchen signierten Datensatz wäre es daher einfach möglich, die Separierung zwischen Klarnamen und Pseudonym für die betroffene Person und das zugehörige Gerät 11 wieder aufzuheben. Pseudonyme und Klarnamen sollten nicht gemeinsam aufbewahrt oder übertragen werden. Eine gemeinsame Aufbewahrung ist lediglich in einem entsprechend gut gesicherten De-Pseudonymisierer zulässig.The disadvantage here is that the origin of the record 21 in this form is no longer continuously detectable. Would the source information 22 but not separated, so at least in the database 16 Pseudonyms and clear names of the patient together. With such a signed record, it would therefore be easily possible to separate between the clear name and the pseudonym for the person concerned and the associated device 11 to pick up again. Pseudonyms and common names should not be kept or transmitted together. A common storage is permitted only in a well secured de-pseudonymizer.

Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren und ein Gerät zum Schutz personenbezogener Daten anzugeben, welche die Nachweisbarkeit der Herkunft der personenbezogenen Daten bei einem Audit verbessern.The invention is therefore based on the object of specifying a method and a device for protecting personal data, which improve the verifiability of the origin of the personal data during an audit.

Diese Aufgabe wird erfindungsgemäß dadurch gelöst, dass personenbezogene Daten, insbesondere medizinische Daten, verarbeitet werden, welche für eine Person erhoben werden, aber keine Identifikation der Person enthalten. Eine Herkunftsinformation für die personenbezogenen Daten wird ebenfalls verarbeitet, mit der die Person identifizierbar ist. Eine Gesamtinformation wird in Abhängigkeit von den personenbezogenen Daten und der Herkunftsinformation gebildet. Für die Gesamtinformation wird eine Signatur berechnet. Das Verfahren ist dadurch gekennzeichnet, dass ein Mikroprozessor einen Daten-Hashwert ausschließlich für die personenbezogenen Daten berechnet und die Gesamtinformation in Abhängigkeit von dem Daten-Hashwert und der Herkunftsinformation bildet.This object is achieved according to the invention by processing personal data, in particular medical data, which are collected for a person but do not contain an identification of the person. An origin information for the personal data is also processed, with which the person is identifiable. Overall information is formed depending on the personal data and the origin information. For the total information, a signature is calculated. The method is characterized in that a microprocessor calculates a data hash value exclusively for the personal data and forms the total information in dependence on the data hash value and the origin information.

Das Gerät zum Schutz personenbezogener Daten weist eine Schnittstelle zur Erfassung personenbezogener Daten, insbesondere medizinischer Daten, auf. Die personenbezogenen Daten werden für eine Person erhoben, enthalten aber keine Identifikation der Person. Weiterhin beinhaltet das Gerät einen Speicher, in dem eine Herkunftsinformation für die personenbezogenen Daten speicherbar ist, mit der die Person identifizierbar ist. Außerdem enthält das Gerät einen Mikroprozessor, welcher zur Bildung einer Gesamtinformation in Abhängigkeit von den personenbezogenen Daten und der Herkunftsinformation sowie zur Berechnung einer Signatur für die Gesamtinformation programmiert ist. Das Gerät ist dadurch gekennzeichnet, dass der Mikroprozessor zur Berechnung eines Daten-Hashwerts ausschließlich für die personenbezogenen Daten und zur Bildung der Gesamtinformation in Abhängigkeit von dem Daten-Hashwert und der Herkunftsinformation programmiert ist.The personal data protection device has an interface for collecting personal data, in particular medical data. The personal data are collected for one person, but do not contain any identification of the person. Furthermore, the device includes a memory in which an origin information for the personal data can be stored, with which the person is identifiable. In addition, the device includes a microprocessor, which is programmed to form a total information depending on the personal data and the origin information and to calculate a signature for the total information. The device is characterized in that the microprocessor is programmed to calculate a data hash value exclusively for the personal data and for forming the total information in dependence on the data hash value and the origin information.

Auf dem computerlesbaren Datenträger ist ein Computerprogramm gespeichert, welches das Verfahren ausführt, wenn es in einem Computer abgearbeitet wird.The computer-readable medium stores a computer program which executes the procedure when it is executed in a computer.

Das Computerprogramm wird in einem Computer abgearbeitet und führt dabei das Verfahren aus.The computer program is processed in a computer and executes the procedure.

Das Gerät und das Verfahren verbessern den Schutz personenbezogener Daten durch Separierung der personenbezogenen Daten von der Herkunftsinformation. Die Herkunftsinformation ist hierbei eine personenbeziehbare Authentifizierungsinformation. Das Verfahren und das Gerät gestalten die Signatur des Geräts im Heimbereich um. Erst die Berechnung eines Daten-Hashwerts ausschließlich für die personenbezogenen Daten erlaubt es, in einem Rechenzentrum die Signatur und die Herkunftsinformation in einem separaten zweiten Archiv zu sichern, welches bei einem Audit herangezogen werden kann. Dies erlaubt eine unterbrechungsfreie Nachweisbarkeit der Herkunft der personenbezogenen Daten. Eine Speicherung von Pseudonymen (Herkunftsinformationen) zusammen mit Klarnamen in der Datenbank ist nicht mehr erforderlich. Denn durch die Berechnung eines Daten-Hashwerts ausschließlich für die personenbezogenen Daten wird es möglich, auch ohne Kenntnis der personenbezogenen Daten die Signatur zu verifizieren, wenn man nur den Daten-Hashwert der personenbezogenen Daten sowie die Herkunftsinformation 22 kennt. So können die personenbezogenen Daten abgetrennt werden und die Herkunftsinformation, die Signatur und gegebenenfalls ein Zertifikat des Geräts gesondert in einem zweiten Archiv abgelegt werden. Über den Daten-Hashwert ist bei Bedarf im Falle eines Audits eine Zuordnung der personenbezogenen Daten zur Signatur im zweiten Archiv möglich, und damit der Nachweis, dass die personenbezogenen Daten tatsächlich im Heimbereich ermittelt wurden. Entscheidend ist somit, dass für die personenbezogenen Daten ein separater Daten-Hashwert berechnet wird. Die Herkunftsinformation (ein Pseudonym) kann aus der Datenbank für die personenbezogenen Daten herausgehalten werden. Dennoch ist eine lückenlose Nachweisbarkeit der Herkunft der personenbezogenen Daten betreffend deren Integrität und Authentizität gewährleist.The device and the method improve the protection of personal data by separating the personal data from the source information. The origin information here is a personal authentication information. The method and the device transform the signature of the device in the home area. Only the calculation of a data hash value exclusively for the personal data makes it possible to secure the signature and the source information in a separate data center in a data center, which can be used in an audit. This allows an uninterrupted verifiability of the origin of the personal data. Storing pseudonyms (source information) together with plain names in the database is no longer required. Because the calculation of a data hash value exclusively for the personal data makes it possible to verify the signature even without knowledge of the personal data, if only the data hash value of the personal data and the source information 22 knows. Thus, the personal data can be separated and the source information, the signature and, where appropriate, a certificate of the device are stored separately in a second archive. If necessary, the data hash value can be used to assign the personal data to the signature in the second archive in the case of an audit, thus proving that the personal data was actually collected at home. The decisive factor is therefore that a separate data hash value is calculated for the personal data. The source information (a pseudonym) can be kept out of the personal data base. Nevertheless, a complete traceability of the origin of the personal data regarding their integrity and authenticity is guaranteed.

Gemäß einer Weiterbildung werden die personenbezogenen Daten, die Herkunftsinformation und die Signatur an ein Rechenzentrum übertragen. Im Rechenzentrum werden die personenbezogenen Daten und die Herkunftsinformation in getrennten Archiven abgelegt. According to a further development, the personal data, the origin information and the signature are transmitted to a computer center. In the data center, the personal data and the source information are stored in separate archives.

Hierdurch entfällt eine Speicherung der Herkunftsinformation gemeinsam mit den personenbezogenen Daten, ohne dass die Nachweisbarkeit der Herkunft der personenbezogenen Daten unterbrochen wird. Über den Daten-Hashwert ist bei Bedarf im Fall eines Audits eine Zuordnung möglich. Die Nachweisbarkeit des Ursprungs der personenbezogenen Daten ist somit gewährleistet.This eliminates storage of the source information together with the personal data, without the traceability of the origin of the personal data is interrupted. If necessary, an assignment can be made using the data hash value in the case of an audit. The verifiability of the origin of the personal data is thus guaranteed.

Gemäß einer Ausführungsform des Verfahrens werden die personenbezogenen Daten, die Herkunftsinformation und die Signatur an ein Gateway des Rechenzentrum übertragen. Das Gateway verifiziert die Signatur. Weiterhin legt das Gateway den Daten-Hashwert, die Herkunftsinformation und die Signatur, aber nicht die personenbezogenen Daten in einem zweiten Archiv ab. Außerdem signiert das Gateway die personenbezogenen Daten und leitet diese zusammen mit der Herkunftsinformation an einen De-Pseudonymisierer weiter. Der De-Pseudonymisierer ordnet die personenbezogenen Daten anhand der Herkunftsinformation der Person zu. Außerdem entfernt er die Herkunftsinformation. Abschließend legt er die personenbezogenen Daten in einem ersten Archiv oder in einer Datenbank in einer Akte für die Person, insbesondere einer Patientenakte, ab. Dies hat den Vorteil, dass über den Daten-Hashwert bei Bedarf für ein Audit ein Zugriff auf die Herkunftsinformation im zweiten ARchiv möglich ist. Dadurch kann jederzeit der Nachweis geführt werden, dass die personenbezogenen Daten tatsächlich vom Gerät im Heimbereich übermittelt wurden.According to one embodiment of the method, the personal data, the source information and the signature are transmitted to a gateway of the data center. The gateway verifies the signature. Furthermore, the gateway stores the data hash value, the source information and the signature but not the personal data in a second archive. In addition, the gateway signs the personal data and forwards it along with the source information to a de-pseudonymizer. The de-pseudonymizer assigns the personal data based on the person's source information. He also removes the source information. Finally, he stores the personal data in a first archive or in a database in a file for the person, in particular a patient file. This has the advantage that access to the source information in the second ARchiv is possible via the data hash value if necessary for an audit. As a result, proof can be provided at any time that the personal data was actually transmitted by the device in the home area.

Gemäß einer weiteren Ausführungsform beinhaltet die Herkunftsinformation eine Seriennummer, eine Gerätekennung, eine MAC-Adresse, eine Patientenkennung oder eine Mehrzahl dieser Informationen. Die Gesamtinformation wird aus einer Konkatenation des Daten-Hashwerts mit der Herkunftsinformation, aus einer Konkatenation des Daten-Hashwerts mit einem Hashwert der Herkunftsinformation oder aus einem Hashwert einer dieser Konkatenationen gebildet.According to another embodiment, the origin information includes a serial number, a device identifier, a MAC address, a patient identifier, or a plurality of these information. The total information is formed from a concatenation of the data hash value with the source information, from a concatenation of the data hash value with a hash value of the source information or from a hash value of one of these concatenations.

In einer Weiterbildung werden als personenbezogenen Daten Messdaten von Vitalparametern der Person von mindestens einem Gerät in einem Heimbereich erfasst.In one development, measured data of vital parameters of the person of at least one device in a home area are recorded as personal data.

Im Folgenden werden Ausführungsbeispiele der Erfindung anhand von Figuren näher erläutert.In the following, embodiments of the invention will be explained in more detail with reference to figures.

Es zeigen:Show it:

1 eine schematische Darstellung eines Datenflusses gemäß dem Stand der Technik; 1 a schematic representation of a data flow according to the prior art;

2 einen Datensatz mit einer Signatur eines Geräts und einem Zertifikat des Geräts gemäß dem Stand der Technik; 2 a record with a signature of a device and a certificate of the device according to the prior art;

3 einen Datensatz mit einem Klarnamen, wie er gemäß dem Stand der Technik in einer Patientendatenbank gespeichert wird; 3 a record having a clear name as stored in a patient database according to the prior art;

4 einen schematische Darstellung eines Datenflusses zum Schutz personenbezogenen Daten; 4 a schematic representation of a data flow for the protection of personal data;

5 Modifizierte Datensätze zum Schutz personenbezogenen Daten. 5 Modified records for the protection of personal data.

Die 1 bis 3 wurden bereits in der Beschreibungseinleitung erläutert.The 1 to 3 were already explained in the introduction to the description.

4 zeigt einen schematische Darstellung eines Datenflusses zum Schutz personenbezogener Daten. Gezeigt sind erneut (vgl. 1) ein Gerät 11, ein Transportnetzwerk 12, eine Firewall 13, ein Gateway 14, ein De-Pseudonymisierer 15, eine Datenbank 16, ein erstes Archiv 17, ein Auditor 18, ein Bildschirmarbeitsplatz 19 und ein externer Dienstleister 101. Weiterhin ist eingezeichnet, welche Komponenten zu einem Rechenzentrum 100 mit einem sicheren internen Netzwerk gehören. 4 shows a schematic representation of a data flow for the protection of personal data. Shown again are (cf. 1 ) a machine 11 , a transport network 12 , a firewall 13 , a gateway 14 , a de-pseudonymizer 15 , a database 16 , a first archive 17 , an auditor 18 , a computer workstation 19 and an external service provider 101 , Furthermore, it is shown which components to a data center 100 with a secure internal network.

Abweichend von dem bei 1 beschriebenen Verfahren werden nun die personenbezogenen Daten und die Herkunftsinformation separiert und in getrennten Archiven gespeichert. Während die personenbezogenen Daten weiterhin im ersten Archiv 17 abgelegt werden, wird die Herkunftsinformation in einem achten Schritt 8 in einem zweiten Archiv 40 abgelegt. Dies ermöglicht dem Auditor 18 in einem neunten Schritt 9, die Herkunftsinformation aus dem zweiten Archiv 40 abzurufen.Deviating from the case of 1 The personal data and the information of origin are now separated and stored in separate archives. While the personal data continues in the first archive 17 be filed, the source information in an eighth step 8th in a second archive 40 stored. This allows the auditor 18 in a ninth step 9 , the source information from the second archive 40 retrieve.

Da die Herkunftsinformation aus dem Datensatz vor der Ablage im ersten Archiv 17 abgetrennt werden muss, wird die vom Gerät 11 erstellte Signatur zwangsweise ungültig, da sich der Hashwert des Datensatzes ändert. Deshalb ist es erforderlich, für die personenbezogenen Daten und die Herkunftsinformation jeweils einen getrennten Hashwert zu berechnen. Weiterhin wird eine Signatur gebildet, deren Überprüfung sowohl die Herkunftsinformation als auch die personenbezogenen Daten erfordert. Die Signatur des Gerätes 11 wird hierbei wahlweise durch eine der beiden folgenden Formeln berechnet: SIG_neu = sign(hash(hash(personenbezogene Daten)||Herkunftsinformation))) oder alternativ SIG_neu = sign(hash(hash(personenbezogene Daten)||hash(Herkunftsinformation)))) Because the source information from the record before filing in the first archive 17 must be disconnected from the device 11 created signature forcibly invalid, since the hash value of the record changes. It is therefore necessary to calculate a separate hash value for the personal data and the source information. Furthermore, a signature is formed whose verification requires both the source information and the personal data. The signature of the device 11 is calculated here optionally by one of the following two formulas: SIG_neu = sign (hash (hash (personal data) || source information))) or alternatively SIG_neu = sign (hash (hash (personal data) || hash (source information))))

Hierdurch wird es möglich, auch ohne Kenntnis der personenbezogenen Daten die Signatur zu verifizieren, wenn lediglich der Daten-Hashwert, welcher für die personenbezogenen Daten berechnet wird, sowie die Herkunftsinformation bekannt ist. Deshalb kann das Gateway 14 die personenbezogenen Daten abtrennen und die Herkunftsinformation, die Signatur sowie gegebenenfalls ein Zertifikat des Geräts 11 gesondert im achten Schritt 8 im zweiten Archiv 40 ablegen.This makes it possible, even without knowledge of personal data to verify the signature, if only the data hash value, which is calculated for the personal data, and the source information is known. That's why the gateway can 14 separating the personal data and the source information, the signature and, if applicable, a certificate of the device 11 separately in the eighth step 8th in the second archive 40 lay down.

Weiterhin signiert das Gateway 14 die personenbezogenen Daten mit einer eigenen Gateway-Signatur und leitet diese zunächst noch zusammen mit der Herkunftsinformation an den De-Pseudonymisierer 15 weiter. Dieser ordnet den personenbezogenen Daten basierend auf der Herkunftsinformation den Klarnamen der jeweiligen Person (d. h. im medizinischen Kontext dem jeweiligen Patienten) zu, und entfernt anschließend die Herkunftsinformation. Die vom Gateway 14 signierten personenbezogenen Daten werden daraufhin in einer Patientenakte in der Datenbank 16 gespeichert und regelmäßig im ersten Archiv 17 archiviert. Über den Daten-Hashwert, welcher jederzeit für die personenbezogenen Daten im ersten Archiv 17 neu berechnet werden kann, ist bei Bedarf im Fall eines Audits eine Zuordnung zur Signatur des Gerätes 11, welche im zweiten Archiv 40 vorliegt, möglich. Somit kann jederzeit der Nachweis geführt werden, dass die personenbezogenen Daten tatsächlich vom Gerät 11 übermittelt wurden.Furthermore, the gateway signs 14 the personal data with its own gateway signature and forwards this together with the source information to the de-pseudonymizer 15 further. The latter assigns the personal data based on the origin information to the clear name of the respective person (ie in the medical context to the respective patient), and subsequently removes the origin information. The from the gateway 14 Signed personal data will then be in a patient record in the database 16 saved and regularly in the first archive 17 archived. About the data hash value, which at any time for the personal data in the first archive 17 can be recalculated, if necessary, in the case of an audit, an assignment to the signature of the device 11 , which in the second archive 40 present, possible. Thus, at any time proof can be provided that the personal data is actually from the device 11 were transmitted.

5 zeigt entsprechend modifizierte Datensätze zum Schutz personenbezogener Daten, wie sie im ersten Archiv 17 und im zweiten Archiv 40 aus 4 abgelegt werden. Ein Originaldatensatz 51 wird vom Gerät 11 (vgl. 4) zunächst an das Gateway 14 übermittelt. Er besteht aus einem Datensatz 21, welcher eine Herkunftsinformation 22, personenbezogene Daten 23 sowie eine Signatur 24 des Gerätes 11 beinhaltet. Die Signatur 24 wird hierbei wie zuletzt beschrieben berechnet. Weiterhin enthält der Originaldatensatz 51 ein Zertifikat 25, welches einen Zertifikatsinhalt 26 sowie eine Signatur einer Zertifizierungsstelle 27 enthält. 5 shows accordingly modified records for the protection of personal data, as in the first archive 17 and in the second archive 40 out 4 be filed. An original data set 51 gets from the device 11 (see. 4 ) first to the gateway 14 transmitted. It consists of a data record 21 , which is a source information 22 , personal data 23 as well as a signature 24 of the device 11 includes. The signature 24 is calculated as described last. Furthermore, the original data set contains 51 a certificate 25 which contains a certificate content 26 and a signature of a certification authority 27 contains.

Ein archivierter Datensatz ohne personenbezogene Daten 52 wird im in 4 gezeigten zweiten Archiv 40 abgelegt. Er enthält einen Datensatz 21, welcher anstelle der personenbezogenen Daten 23 lediglich deren Daten-Hashwert 55 enthält. Weiterhin beinhaltet er die Herkunftsinformation 22 sowie die Signatur 24 des Gerätes 11. Aufgrund der zuletzt beschriebenen Berechnungsvorschrift für die Signatur des Gerätes 11 ist die Signatur 24 für diesen Datensatz 21 verifizierbar. Außerdem enthält der archivierte Datensatz ohne personenbezogene Daten 52 das Zertifikat 25 im gleichen Umfang wie der Original-Datensatz 51.An archived record without personal data 52 will be in 4 shown second archive 40 stored. It contains a record 21 , which instead of the personal data 23 only their data hash value 55 contains. Furthermore, it contains the source information 22 as well as the signature 24 of the device 11 , Based on the last-mentioned calculation rule for the signature of the device 11 is the signature 24 for this record 21 verifiable. In addition, the archived record contains no personal information 52 the certificate 25 to the same extent as the original record 51 ,

Im ersten Archiv 40 bzw. in der Datenbank 16 wird hingegen ein archivierter Datensatz mit personenbezogenen Daten 53, aber ohne Herkunftsinformation, in einer Patientenakte 50 abgelegt. Dieser beinhaltet Stammdaten 54 des jeweiligen Patienten, weiterhin einen Datensatz 21, welcher lediglich die personenbezogenen Daten 23 enthält, und eine Gateway-Signatur 56, welche das Gateway 14 berechnet hat. Die Patientenakte 50 kann noch weitere Datensätze 57 zu diesem Patienten beinhalten. Wie oben beschrieben kann im Fall eines Audits durch Berechnung des Daten-Hashwerts 55 für die personenbezogenen Daten 23 in der Patientenakte 50 eine Zuordnung 58 zu der zugehörigen Herkunftsinformation im zweiten Archiv 40 vorgenommen werden.In the first archive 40 or in the database 16 On the other hand, an archived data record with personal data is created 53 but without origin information, in a patient file 50 stored. This contains master data 54 of each patient, continue to have a record 21 which only contains the personal data 23 contains, and a gateway signature 56 which the gateway 14 calculated. The patient file 50 can have more records 57 to include this patient. As described above, in the case of an audit, by calculating the data hash value 55 for the personal data 23 in the patient file 50 an assignment 58 to the associated source information in the second archive 40 be made.

Die beschriebenen Ausführungsformen und Weiterbildungen lassen sich frei miteinander kombinieren.The described embodiments and developments can be freely combined.

Claims (8)

Verfahren zum Schutz personenbezogener Daten (23), – bei dem personenbezogene Daten (23), insbesondere medizinische Daten, verarbeitet werden, welche für eine Person erhoben werden, aber keine Identifikation der Person enthalten, – bei dem eine Herkunftsinformation (22) für die personenbezogenen Daten (23) verarbeitet wird, mit der die Person identifizierbar ist, – bei dem eine Gesamtinformation in Abhängigkeit von den personenbezogenen Daten (23) und der Herkunftsinformation (22) gebildet wird, und – bei dem für die Gesamtinformation eine Signatur (24) berechnet wird, dadurch gekennzeichnet, dass ein Mikroprozessor – einen Daten-Hashwert (55) ausschließlich für die personenbezogenen Daten (23) berechnet, und – die Gesamtinformation in Abhängigkeit von dem Daten-Hashwert (55) und der Herkunftsinformation (22) bildet.Procedure for the protection of personal data ( 23 ), - the personal data ( 23 ), in particular medical data, which are collected for a person but do not contain an identification of the person, - in which an origin information ( 22 ) for the personal data ( 23 ), with which the person is identifiable, - in which a total information depending on the personal data ( 23 ) and the source information ( 22 ) is formed, and - in which for the overall information a signature ( 24 ), characterized in that a microprocessor - a data hash value ( 55 ) exclusively for the personal data ( 23 ), and - the total information as a function of the data hash value ( 55 ) and the source information ( 22 ). Verfahren nach Anspruch 1, – bei dem die personenbezogenen Daten (23), die Herkunftsinformation (22) und die Signatur (24) an ein Rechenzentrum (100) übertragen werden, und – bei dem im Rechenzentrum (100) die personenbezogenen Daten (23) und die Herkunftsinformation (22) in getrennten Archiven abgelegt werden.Method according to Claim 1, - in which the personal data ( 23 ), the source information ( 22 ) and the signature ( 24 ) to a data center ( 100 ), and - in the data center ( 100 ) the personal data ( 23 ) and the source information ( 22 ) are stored in separate archives. Verfahren nach Anspruch 2, – bei dem die personenbezogenen Daten (23), die Herkunftsinformation (22) und die Signatur (24) an ein Gateway (14) des Rechenzentrums (100) übertragen werden, – bei dem das Gateway (14) die Signatur (24) verifiziert, – bei dem das Gateway (14) den Daten-Hashwert (55), die Herkunftsinformation (22) und die Signatur (24), aber nicht die personenbezogenen Daten (23) in einem zweiten Archiv (40) ablegt, – bei dem das Gateway (14) die personenbezogenen Daten (23) mit einer Gateway-Signatur (56) signiert und zusammen mit der Herkunftsinformation (22) an einen De-Pseudonymisierer (15) weiterleitet, – bei dem der De-Pseudonymisierer (15) die personenbezogenen Daten (23) anhand der Herkunftsinformation (22) der Person zuordnet, die Herkunftsinformation (22) entfernt und die personenbezogenen Daten (23) in einer Datenbank (16) und/oder in einem ersten Archiv (17) in einer Akte für die Person, insbesondere einer Patientenakte (50), ablegt.Method according to claim 2, - in which the personal data ( 23 ), the source information ( 22 ) and the signature ( 24 ) to a gateway ( 14 ) of the data center ( 100 ) be transmitted, - where the gateway ( 14 ) the signature ( 24 ), - where the gateway ( 14 ) the data hash value ( 55 ), the source information ( 22 ) and the signature ( 24 ), but not the personal data ( 23 ) in a second archive ( 40 ), - where the gateway ( 14 ) the personal data ( 23 ) with a gateway signature ( 56 ) and together with the source information ( 22 ) to a de-pseudonymizer ( 15 ), - in which the de-pseudonymizer ( 15 ) the personal data ( 23 ) on the basis of the source information ( 22 ), the source information ( 22 ) and the personal data ( 23 ) in a database ( 16 ) and / or in a first archive ( 17 ) in a file for the person, in particular a patient record ( 50 ). Verfahren nach einem der vorangegangenen Ansprüche, – bei dem die Herkunftsinformation (22) eine Seriennummer, eine Gerätekennung, eine MAC-Adresse, eine Patientenkennung oder eine Mehrzahl dieser Informationen beinhaltet, und – bei dem die Gesamtinformation aus einer Konkatenation des Daten-Hashwerts (55) mit der Herkunftsinformation (22), aus einer Konkatenation des Daten-Hashwerts (55) mit einem Hashwert der Herkunftsinformation (22), oder aus einem Hashwert einer dieser Konkatenationen gebildet wird.Method according to one of the preceding claims, - in which the origin information ( 22 ) contains a serial number, a device identifier, a MAC address, a patient identifier or a plurality of this information, and - in which the total information from a concatenation of the data hash value ( 55 ) with the source information ( 22 ), from a concatenation of the data hash value ( 55 ) with a hash value of the source information ( 22 ), or is formed from a hash value of one of these concatenations. Verfahren nach einem der vorangegangenen Ansprüche, – bei dem als personenbezogene Daten (23) Messdaten von Vitalparametern der Person von mindestens einem Gerät (11) in einem Heimbereich erfasst werden.Method according to one of the preceding claims, - in which as personal data ( 23 ) Measurements of vital parameters of the person of at least one device ( 11 ) in a home area. Computerlesbarer Datenträger, – auf dem ein Computerprogramm gespeichert ist, welches das Verfahren nach einem der vorangegangenen Ansprüche ausführt, wenn es in einem Computer abgearbeitet wird.Computer readable medium, - On which a computer program is stored, which executes the method according to any one of the preceding claims, when it is processed in a computer. Computerprogramm, – welches in einem Computer abgearbeitet wird und dabei das Verfahren nach einem der Ansprüche 1 bis 5 ausführt.Computer program - Which is processed in a computer while doing the method according to one of claims 1 to 5. Gerät (11) zum Schutz personenbezogener Daten, – mit einer Schnittstelle zur Erfassung personenbezogener Daten (23), insbesondere medizinischer Daten, welche für eine Person erhoben werden, aber keine Identifikation der Person enthalten, – mit einem Speicher, in dem eine Herkunftsinformation (22) für die personenbezogenen Daten (23) speicherbar ist, mit der die Person identifizierbar ist, – mit einem Mikroprozessor, programmiert zur – Bildung einer Gesamtinformation in Abhängigkeit von den personenbezogenen Daten (23) und der Herkunftsinformation (22) und – zur Berechnung einer Signatur (24) für die Gesamtinformation, dadurch gekennzeichnet, dass der Mikroprozessor programmiert ist zur – Berechnung eines Daten-Hashwerts (55) ausschließlich für die personenbezogenen Daten (23), und zur – Bildung der Gesamtinformation in Abhängigkeit von dem Daten-Hashwert (55) und der Herkunftsinformation (22).Device ( 11 ) for the protection of personal data, - with an interface for the collection of personal data ( 23 ), in particular medical data, which are collected for a person but do not contain an identification of the person, with a memory in which an origin information ( 22 ) for the personal data ( 23 ), with which the person is identifiable, - with a microprocessor, programmed to - generating a total information in relation to the personal data ( 23 ) and the source information ( 22 ) and - to calculate a signature ( 24 ) for the overall information, characterized in that the microprocessor is programmed to - calculate a data hash value ( 55 ) exclusively for the personal data ( 23 ), and for - forming the total information in dependence on the data hash value ( 55 ) and the source information ( 22 ).
DE201010064399 2010-12-30 2010-12-30 Method for protecting personal data i.e. medical data, of patient in telemedicine center, involves calculating data-hash value for personal data by microprocessor, and forming total information based on hash value and source information Withdrawn DE102010064399A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE201010064399 DE102010064399A1 (en) 2010-12-30 2010-12-30 Method for protecting personal data i.e. medical data, of patient in telemedicine center, involves calculating data-hash value for personal data by microprocessor, and forming total information based on hash value and source information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201010064399 DE102010064399A1 (en) 2010-12-30 2010-12-30 Method for protecting personal data i.e. medical data, of patient in telemedicine center, involves calculating data-hash value for personal data by microprocessor, and forming total information based on hash value and source information

Publications (1)

Publication Number Publication Date
DE102010064399A1 true DE102010064399A1 (en) 2012-07-05

Family

ID=46509256

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201010064399 Withdrawn DE102010064399A1 (en) 2010-12-30 2010-12-30 Method for protecting personal data i.e. medical data, of patient in telemedicine center, involves calculating data-hash value for personal data by microprocessor, and forming total information based on hash value and source information

Country Status (1)

Country Link
DE (1) DE102010064399A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020064055A1 (en) * 2018-09-24 2020-04-02 Akarion Ag Database and method for data deletion

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090234672A1 (en) * 2006-10-24 2009-09-17 Kent Dicks Systems and methods for remote patient monitoring and storage and forwarding of patient information

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090234672A1 (en) * 2006-10-24 2009-09-17 Kent Dicks Systems and methods for remote patient monitoring and storage and forwarding of patient information

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020064055A1 (en) * 2018-09-24 2020-04-02 Akarion Ag Database and method for data deletion

Similar Documents

Publication Publication Date Title
EP3488555B1 (en) Secure processing of an authorisation verification request
EP2870565B1 (en) Testing integrity of property data of a device using a testing device
DE102016215914A1 (en) Securing a device usage information of a device
DE102010033232A1 (en) Method and device for providing a one-time password
DE102012206341A1 (en) Shared encryption of data
EP3637345A1 (en) Linking of identities in a distributed database
DE102012215167A1 (en) Authentication of a first device by an exchange
WO2018202550A1 (en) Method for accessing data in a secure manner
EP3935808B1 (en) Cryptographically protected provision of a digital certificate
EP3556071B1 (en) Method, device, and computer-readable storage medium comprising instructions for signing measurement values of a sensor
DE102014201234A1 (en) Method, management device and device for certificate-based authentication of communication partners in a device
DE102014210282A1 (en) Generate a cryptographic key
DE102017204250A1 (en) Method and device for securing a tachometer level of a vehicle and device for verifying a tachometer level of a vehicle
DE102016224533A1 (en) Bidirectionally linked blockchain structure
EP3671599A1 (en) Distributed database system, industry automation system and method for operating a distributed database system
DE102010064399A1 (en) Method for protecting personal data i.e. medical data, of patient in telemedicine center, involves calculating data-hash value for personal data by microprocessor, and forming total information based on hash value and source information
DE202021100647U1 (en) Personal data anonymization system (PDAS) with customer-specific token
DE102020118716A1 (en) Procedure for the secure implementation of a remote signature and security system
EP3046044A1 (en) System and method for recording person-related data
DE102014213454A1 (en) Method and system for detecting a manipulation of data records
EP3339994A1 (en) Method for verifying a client allocation, computer program product and device
DE102006053450A1 (en) signature expansion
DE102011000112A1 (en) Method for verifying personal data in customer traffic
EP3276879A1 (en) Method for operating an assembly comprising a substation and at least one terminal connected thereto
EP3252990A1 (en) Method and device for providing a secret for authenticating a system and/or components of the system

Legal Events

Date Code Title Description
R016 Response to examination communication
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20140701