СПОСОБ ОБРАБОТКИ ОТНОСЯЩИХСЯ К ПАЦИЕНТУ КОМПЛЕКТОВ ДАННЫХ

Изобретение относится к способу обработки относящихся к пациенту комплектов данных, которые содержат медицинские данные и доверительные данные пациента в виде открытых данных.

Актуальные разработки в области медицины нацелены на создание центральной системы обработки информации, с помощью которой медицинские данные каждого пациента собираются вместе и архивируются так, что каждый определенный пациентом медик имеет возможность простого и быстрого доступа к необходимым ему медицинским данным пациента.

Для этого медицинские данные пациента необходимо из непосредственно контролируемой отдельными медицинскими учреждениями зоны передавать в используемую совместно многими пользователями распределенную компьютерную архитектуру. При этом желательно или на основании предписаний закона часто также необходимо удалять из медицинских данных пациента так называемую защищенную информацию о здоровье (PHI), т.е. все данные, которые обеспечивают однозначную идентификацию пациента. Это относится, например, также к данным, которые выполнены в соответствии со стандартом DICOM (Digital Imaging and Communications in Medicine = цифровые изображения и связь в медицине) и содержат данные изображения, которые получены, например, при обследовании с помощью компьютерной томографии. При этом анонимность защищенной информации о здоровье может обеспечиваться, например, также посредством присвоения псевдонимов, если псевдоним известен, лишь автору данных, т.е. соответствующему медицинскому учреждению.

Для обеспечения безопасности пациента и, в частности, для предотвращения неправильных диагнозов существует дополнительно требование, что при генерировании данных изображения в рамках обследования с помощью создающей изображение медицинской системы идентичность пациента неразделимо связывается с создаваемыми данными изображения, так что максимально исключается неправильное соотнесение данных изображения с пациентом.

На основании этих двух противоречивых требований до настоящего времени в большинстве случаев отказывались от использования распределенной компьютерной архитектуры, которая применяется множеством пользователей, или же распределенная компьютерная архитектура вместе со всеми доступами размещалась в зоне, контролируемой единственным медицинским учреждением, поскольку в этом случае не требуется анонимность защищенной информации о здоровье. В другом часто применяемом решении в распределенную компьютерную архитектуру передаются лишь кодированные данные и предоставляются в ней в распоряжение, при этом декодирование данных возможно с помощью установленной локально у пользователя подчиненной системы. В зависимости от количества данных и видов кодирования соответствующее кодирование данных или декодирование данных связано с очень большими вычислительными объемами. Поскольку данные для дальнейшей обработки должны иметься, как правило, в декодированном виде, то в этом случае необходимо, кроме того, передавать весь соответствующий комплект данных. Поэтому это решение связано с недостатками, в частности, при данных изображения и/или в случае подключения пользователей, у которых имеется в распоряжении лишь относительно небольшая вычислительная мощность, и/или в сетях, в которых некоторые соединения имеют относительно небольшую ширину полосы для передачи данных.

Исходя из этого, в основу изобретения положена задача создания альтернативного и предпочтительного способа обработки относящихся к пациенту комплектов данных.

Эта задача решена согласно изобретению с помощью способа с признаками пункта 1 формулы изобретения. Зависимые пункты формулы изобретения содержат частично предпочтительные и частично сами по себе изобретательские модификации этого изобретения.

Способ служит для обработки относящихся к пациенту комплектов данных, которые содержат медицинские данные и доверительные данные пациентов в виде открытых данных. В рамках способа доверительные данные пациента подвергают обезличиванию, за счет чего создаются анонимные относящиеся к пациенту комплекты данных. Кроме того, с помощью алгоритма из соответствующих доверительных данных пациента создаются проверочные данные и включаются в соответствующий относящийся к пациенту комплект данных. Затем анонимные относящиеся к пациенту комплекты данных с проверочными данными передаются в распоряжение в распределенной компьютерной архитектуре. Дополнительно к этому в клиентский компьютер, который соединен с распределенной компьютерной архитектурой, в рамках обработки определенного относящегося к пациенту комплекта данных задаются доверительные данные выбранного пациента и с помощью алгоритма из этих заданных доверительных данных пациента создаются данные запроса. Если данные запроса выбранного пациента не совпадают с проверочными данными определенного относящегося к пациенту комплекта данных, то инициируется функция защиты. При этом выражение относящихся к пациенту комплектов данных относится, в частности, к банкам данных в соответствии со стандартом DICOM, а выражение доверительные данные пациента содержит, прежде всего, так называемую защищенную информацию о здоровье (PHI).

Таким образом, в этом способе кодируют не полные относящиеся к пациенту комплекты данных, а лишь отдельные содержащиеся в них информации, а именно доверительные данные пациента. Это осуществляется, например, тем, что доверительные данные пациента, такие как фамилия пациента, его дата рождения и т.д., кодируют таким образом, при котором соответствующие открытые данные заменяются подходящими занимающими место знаками. В соответствии с этим можно подвергать дальнейшей обработке относящиеся к пациенту комплекты данных также после обезличивания доверительных данных пациента, без необходимости устранения перед этим обезличивания доверительных данных пациента. В соответствии с этим можно отдавать в распоряжение в распределенной компьютерной архитектуре анонимные относящиеся к пациенту комплекты данных и сохранять их в памяти и/или подвергать дальнейшей обработке, без присутствия доверительных данных пациента в виде открытых данных в относящихся к пациенту комплектах данных. Кроме того, доверительные данные пациента, хотя и в анонимном виде, остаются прочно вплетенными в относящиеся к пациенту комплекты данных, так что в этом способе выполняются оба указанных в начале и противоречащих друг другу требования. Доступ к относящимся к пациенту комплектам данных получают лишь авторизованные лица, в частности выбранные соответствующим пациентом медики, которым доверительные данные пациента известны в виде открытых данных и которые имеют доступ к программе пользователя, с помощью которой они из открытых данных могут создавать анонимные доверительные данные пациента, в частности занимающие место знаки, в клиентском компьютере. С помощью этого клиентского компьютера, который соединен с распределенной компьютерной архитектурой, они получают доступ к относящимся к пациенту комплектам данных. Поскольку при этом осуществляется лишь сравнение, в котором генерированные в клиентском компьютере анонимные доверительные данные пациента сравниваются с анонимными относящимися к пациенту комплектами данных, то также при обращении в распределенную компьютерную архитектуру в ней не появляются открытые данные.

Для обеспечения, возможно, более простой обработки данных, анонимные доверительные данные пациента, т.е., в частности, занимающие место знаки дополнительно привлекаются к образованию дополнительного так называемого тега, и соответствующий тег включается в соответствующий относящийся к пациенту комплект данных с целью снабжения их, по существу, обозначением для архивирования. Под тегом обычно понимается добавленная к комплекту данных дополнительная информация.

В предпочтительной модификации доверительные данные пациента каждого относящегося к пациенту комплекта данных сначала разделяют на данные кодирования и другие доверительные данные пациента, а затем все доверительные данные пациента каждого относящегося к пациенту комплекта данных обезличивают, за счет чего создают анонимные относящиеся к пациенту комплекты данных. Однако с помощью алгоритма лишь из соответствующих данных кодирования каждого относящегося к пациенту комплекта данных генерируются проверочные данные и вводятся в соответствующий относящийся к пациенту комплект данных. Затем анонимные относящиеся к пациенту комплекты данных подаются в распределенную компьютерную архитектуру. В рамках обработки определенного относящегося к пациенту комплекта данных в клиентском компьютере, который соединен с распределенной компьютерной архитектурой, задаются данные кодирования выбранного пациента и из этих заданных данных кодирования с помощью алгоритма генерируются данные запроса. Если эти данные запроса выбранного пациента не совпадают с проверочными данными определенного относящегося к пациенту комплекта данных, то вследствие этого инициируется функция защиты.

Этот вариант выполнения способа должен обеспечивать, прежде всего, простое обращение с представленным здесь решением. При этом следует учитывать, что доверительные данные пациента могут иногда содержать очень большое количество информации, в то время как уже небольшое частичное количество, как правило, является достаточным для однозначной идентификации соответствующего пациента. Таким образом, например, предусмотрено, что медику, который желает запросить медицинские данные своего пациента, с помощью прикладной программы в своем компьютере предлагается внести в окно ввода фамилию и дату рождения пациента, и затем эти данные выполняют функцию данных кодирования. Другие доверительные данные пациента, которые также часто содержаться в относящихся к пациенту комплектах данных, такие как, например, пол пациента, его адрес, его номер социального страхования и т.д., не должны быть известны медику и он не должен эту информацию вводить в окно ввода. Таким образом, остальные доверительные данные пациента не играют при идентификации относящихся к пациенту комплектов данных никакой роли, однако они также обезличиваются, прежде чем соответствующие комплекты данных поступают в распределенную компьютерную архитектуру.

Кроме того, предпочтительной является вариант выполнения способа, в котором алгоритм задан однонаправленной хеш-функцией, называемой также хеш-алгоритмом или функцией управляющего значения. Дополнительно к этому для обезличивания доверительных данных пациента и для генерирования проверочных данных используется тот же алгоритм, в частности та же однонаправленная хеш-функция. Пригодные для криптографии однонаправленные хеш-функции хорошо известны специалистам в данной области техники, так что без проблем можно найти однонаправленную хеш-функцию с подходящими свойствами. При этом предпочтительными являются, в частности, однонаправленные хеш-функции типа MD5, SHA1 или SHA2.

Кроме того, целесообразным является вариант выполнения способа, в котором множество анонимных относящихся к пациенту комплектов данных содержат с проверочными данными из распределенной компьютерной архитектуры данные индикации для отображения в клиентском компьютере. Целесообразным является также вариант выполнения способа, в котором множество относящихся к пациенту комплектов данных содержат данные изображения и в котором из данных изображения одного из этих относящихся к пациенту комплектов данных в распределенной компьютерной архитектуре создаются данные индикации для отображения на клиентском компьютере. Это означает, что, например, данные, которые создаются в компьютерном томографе в рамках обследования пациента, поступают в распоряжение каждого медика, который имеет доступ через компьютер к поставляемым через распределенную компьютерную архитектуру собранным медицинским данным своего пациента. При этом, в частности, предусмотрено, что обработка данных изображения осуществляется с помощью высокопроизводительных ресурсов внутри распределенной компьютерной архитектуры и что в компьютер клиента, т.е. компьютер медика передаются лишь данные индикации, которые затем без дополнительной обработки отображаются на устройстве отображения, т.е., например, мониторе. Таким образом, в компьютер медика передаются, по существу, готовые изображения, которые затем лишь отображаются. В противоположность этому требующая большого объема вычислений подготовка создаваемых компьютерным томографом данных и, в частности, вычисление трехмерных изображений осуществляется в распределенной компьютерной архитектуре. Дополнительно к этому объем данных таких готовых изображений, которые затем передаются в компьютер медика, является относительно небольшим. В то время как в распределенной компьютерной архитектуре осуществляется, например, так называемая объемная визуализация, т.е., например, обработка созданных компьютерным томографом данных всего обследованного объема пациента, в компьютер медика передается лишь готовое изображение в одной единственной, выбранной им проекции объема или изображение отдельного среза. Поэтому для передачи этих данных и тем самым для включения в сеть компьютера медика достаточна относительно небольшая полоса пропускания.

Кроме того, предпочтительным является вариант выполнения способа, в котором данные индикации и проверочные данные определенного относящегося к пациенту комплекта данных сначала поступают в распоряжение в клиентском компьютере, в котором затем эти проверочные данные сравниваются с данными запроса и в котором инициируется функция защиты, когда проверочные данные не совпадают с данными запроса. Сравнение данных или процесс проверки происходит тем самым предпочтительно полностью на месте в клиентском компьютере. При этом этот процесс проверки осуществляется предпочтительно с помощью отдельной и тем самым полностью не связанной с обработкой относящихся к пациенту комплектов данных прикладной программы, так что за счет этого обеспечивается желательное строгое отделение анонимных относящихся к пациенту комплектов данных от открытых данных.

Кроме того, предпочтительным является вариант выполнения способа, в котором проверочные данные включены в данные индикации графически и более предпочтительно в виде двухмерного штрихкода. Таким образом, если, например, через распределенную компьютерную архитектуру предоставляется в распоряжение рентгеновский снимок пациента, который лишь отображается на мониторе компьютера медика, то, например, в заданной зоне отображаемого изображения, например, в правом верхнем углу, отображается изображение штрихкода или кода QR, которые представляют анонимные доверительные данные пациента и, в частности, данные кодирования. В этом случае пригодный процесс запроса, который является частью способа, осуществляется затем следующим образом. Сначала медик вводит фамилию и дату рождения своего пациента в окно ввода, после чего с помощью заданной однонаправленной хеш-функции на основании фамилии и даты рождения генерируется код QR. Дополнительно к этому, с помощью второй однонаправленной хеш-функции генерируется числовой код. После этого в распределенной компьютерной архитектуре вызывается банк данных, в котором тот же числовой код имеется в виде тега. После этого подвергаются обработке данные из этого банка данных, так что за счет этого генерируется комплект данных индикации. Затем данные индикации передаются в компьютер медика, при этом эти данные индикации также содержат код QR. После этого запускается процесс проверки, в котором код QR из данных индикации и генерированный в компьютере медика код QR предпочтительно на основе программного обеспечения, по существу оптически сравниваются друг с другом. Если оба кода QR совпадают, то данные индикации отображаются в виде изображения на мониторе компьютера медика. На это изображение затем накладывается предпочтительно в зоне отображенного кода QR второе изображение, которое представлено с помощью кода QR, т.е. фамилия и дата рождения пациента. Таким образом, медик видит не рентгеновский снимок, в верхнем правом углу которого отображен код QR, а рентгеновский снимок, в верхнем правом углу которого видны фамилия и дата рождения пациента. В противоположность этому, если оба кода QR не совпадают друг с другом, то инициируется функция защиты, и указывается, например, сигнал ошибки.

Дополнительно к этому предпочтительным является вариант выполнения способа, в котором отображение данных индикации воспрещается, когда инициирована функция защиты. Таким образом, если проверочные данные и данные запроса не совпадают друг с другом, то у медика данные индикации не отображаются и тем самым не видны. Таким образом, если, например, рентгеновский снимок пациента в распределенной компьютерной архитектуре внесен, по существу, в папку другого пациента, и если медик попытается просмотреть медицинские данные в этой папке пациента, то он при попытке просмотра этого рентгеновского снимка получит сообщение предупреждения, что рентгеновский снимок не является рентгеновским снимком его пациента, и что рентгеновский снимок не будет показан.

Ниже приводится более подробное пояснение примеров выполнения изобретения со ссылками на прилагаемый чертеж, на котором схематично изображено:

фиг. 1 - блок-схема выполнения способа обработки относящихся к пациенту комплектов данных.

Вариант выполнения изобретения, описание которого приведено ниже в качестве примера, позволяет размещать архив медицинских данных вне зоны непосредственного контроля медицинского учреждения, в данном случае клиники. При этом этот архив распределен в нескольких серверах PACS (Picture Archiving and Communication System = система архивирования и передачи изображений), которые являются частью распределенной компьютерной архитектуры 2.

Если, например, пациент должен пройти обследование в клинике с помощью компьютерного томографа 4, то перед обследованием во время стадии 6 ввода способа сначала в память компьютерного томографа 4 вводят доверительные данные пациента, такие как фамилия пациента и его дата рождения. Затем осуществляют собственно обследование пациента, в котором с помощью компьютерного томографа 4 во время стадии 8 сканирования способа генерируются исходные данные. При завершении этой стадии 8 сканирования из исходных данных создают относящийся к пациенту комплект данных, в котором в рамках стадии 10 включения способа включаются доверительные данные пациента, которые были введены в стадии 6 ввода. Кроме того, эти доверительные данные пациента дополняются другими доверительными данными пациента, которые характеризуют и однозначно обозначают проведенное с помощью компьютерного томографа 4 обследование. Это, например, дата и время обследования, режим обследования, доза облучения, которую получил пациент, и т.д. Этот относящийся к пациенту комплект данных затем передается в серверный участок 12 внутри зоны непосредственного контроля клиники.

В серверном участке 12 исходные данные относящегося к пациенту комплекта данных подвергаются дальнейшей обработке и во время стадии 14 изображения преобразуются в данные изображения, точнее в так называемые поперечные срезы. Затем обработанный так относящийся к пациенту комплект данных запоминается в виде копии в серверном участке 12 и дополнительно подготавливается для запоминания в архиве медицинских данных вне зоны непосредственного контроля клиники, т.е. в распределенной компьютерной архитектуре 2.

Для этого в относящийся к пациенту комплект данных вводится для обозначения дополнительный тег, который содержит последовательность цифр или знаков в качестве проверочных данных. Эти проверочные данные представляют анонимные данные кодирования, при этом данные кодирования в свою очередь однозначно соотносят относящийся к пациенту комплект данных с пациентом. В примере выполнения в рамках стадии 16 выбора способа из доверительных данных пациента выбирается фамилия пациента и его день рождения в качестве данных кодирования. Затем из этих данных кодирования с помощью однонаправленной хеш-функции, в данном случае последовательности цифр или знаков генерируются проверочные данные и с помощью дополнительного тега вводятся в относящийся к пациенту комплект данных для его обозначения. Дополнительно на стадии 20 обезличивания все содержащиеся в относящемся к пациенту комплекте данных доверительные данные пациента обезличиваются с помощью той же самой однонаправленной хеш-функции и заменяются последовательностью цифр или знаков в качестве проверочных данных. Кроме того, данные кодирования в качестве проверочных данных в виде кода QR вводятся в каждый поперечный срез, так что этот код QR при изображении соответствующего поперечного среза на мониторе всегда отображается на правом верхнем крае изображения. При этом соответствующий код QR генерируется с помощью другого хеш-алгоритма, хеш-алгоритма двухмерного штрихкода из данных кодирования.

Обезличенный так относящийся к пациенту комплект данных затем передается из зоны непосредственного контроля клиники в распределенную компьютерную архитектуру 2 и там в ходе стадии 22 запоминания способа заносится в архив медицинских данных. Если это - первый анонимный относящийся к пациенту комплект данных пациента, то сначала в архиве создается папка нового пациента, которая обозначается проверочными данными, т.е. соответствующей последовательностью цифр или знаков. Затем анонимный относящийся к пациенту комплект данных заносится в созданную новую папку пациента. Если уже имелась папка пациента с соответствующими проверочными данными, то создание новой папки пациента не выполняется, и анонимный относящийся к пациенту комплект данных вносится в папку пациента с проверочными данными анонимного относящегося к пациенту комплекта данных.

Если теперь медик получает от пациента поручение оценить с целью диагностики выполненное в клинике с помощью компьютерного томографа 4 обследование, то он имеет возможность получения доступа к архиву медицинских данных через клиентский компьютер 24, который соединен с распределенной компьютерной архитектурой 2. Для этого медик запускает имеющуюся на месте в компьютере 24 клиента прикладную программу, которая требует от него ввести данные кодирования пациента, т.е. его фамилию и дату рождения, в окно ввода компьютера 24 клиента. С помощью той же однонаправленной хеш-функции, которая использовалась для обезличивания относящегося к пациенту комплекта данных в серверном участке 12 клиники, в рамках стадии 26 запроса способа в компьютере 24 клиента с помощью прикладной программы генерируются данные запроса, т.е. снова последовательность цифр или знаков. После этого в архиве медицинских данных в распределенной компьютерной архитектуре 2 осуществляется поиск комплектов данных, проверочные данные которых совпадают с данными запроса соответственно, последовательность цифр или знаков которых совпадает с созданной в компьютере 24 клиента последовательностью цифр или знаков. При нахождении соответствующих комплектов данных медик запрашивает о виде изображения, т.е., например, изображения среза со специально выбранной плоскостью среза или трехмерного изображения выбранной части тела. После этого найденный анонимный относящийся к пациенту комплект данных в рамках стадии 28 обработки способа обрабатывается в распределенной компьютерной архитектуре 2, за счет чего генерируются данные индикации для отображения на мониторе. Такая обработка является, например, мультипланарным реформатированием (MRT), называемым также мультипланарной реконструкцией, в которой из поперечных срезов вычисляются изображения срезов с произвольно выбранной плоскостью среза, обработкой изображения по принципу MIP (Maximum Intensity Protection), или же так называемым способом Raycasting. В любом случае в данные индикации вводится также код QR, который содержится в каждом поперечном срезе.

Затем данные индикации передаются в компьютер 24 клиента и там в ходе стадии 30 сравнения способа проверяются. Для этого заданные медиком в компьютере 24 клиента данные кодирования с помощью указанного выше хеш-алгоритма двухмерного штрихкода преобразуются в код QR, и генерированный так код QR сравнивается с кодом QR из распределенной компьютерной архитектуры 2. Если оба кода QR не совпадают, то инициируется функция защиты, вследствие чего данные индикации блокируются в компьютере 24 клиента, и на мониторе компьютера 24 клиента появляется сообщение об ошибке, которое обращает внимание медика на то, что данные индикации относятся к незнакомому пациенту. Если коды QR совпадают, то данные индикации в рамках стадии 32 выдачи способа деблокируются и в виде изображения выводятся на монитор компьютера 24 клиента. Кроме того, с помощью запускаемой на месте медиком в компьютере 24 клиента прикладной программы, в рамках стадии 34 наложения способа создается дополнительное изображение, которое накладывается на основанное на данных индикации изображение. За счет этого медик видит на мониторе компьютера 24 клиента не желаемый рентгеновский снимок, в котором вверху справа указан код QR, а желаемый рентгеновский снимок, в котором вверху справа данные кодирования показаны в виде открытого текста, т.е. вверху справа можно прочитать фамилию и дату рождения пациента.

Изобретение не ограничивается примером выполнения, описание которого приведено выше. Из него специалисты в данной области техники могут выводить также другие варианты выполнения изобретения, без выхода за пределы предмета изобретения. В частности, дополнительно к этому все указанные в связи с примером выполнения отдельные признаки можно комбинировать друг с другом другим образом, без отхода от идеи изобретения.