用于保护医学记录的方法和设备与流程

本公开涉及保护健康信息的领域，并且更特别地涉及保护与患者相关联的医学记录的领域。

背景技术：

医学记录中的患者信息的隐私性是每一个患者的基本权利，并且保卫这样的信息具有极大的重要性。患者数据的掩蔽（mask）是在医学记录上执行的一种形式的信息清理，其中敏感的患者信息被取代、加密或移除以便维持患者的匿名。医学记录中的患者信息的掩蔽使得能够在各种平台上共享患者数据而没有隐私性丢失的担忧。因此，患者信息的掩蔽确保患者保持不可被信息的接收方识别。

当患者数据变成数字的，对于使这样的数据存储在云环境中的需要也增加。存储在云中的患者信息的安全风险增加，当它处于公共域中时。如果患者的医学记录包含在医学数字成像和通信（dicom）文件中，则根据默认配置来掩蔽患者数据，按照数据隐私性的标准要求，所述默认配置是必需的。根据默认标准隐私性配置来识别和掩蔽存在于dicom文件中的受保护的健康信息（phi）标签。医学记录中的患者信息的这样的掩蔽对于从保健服务提供者上传到云环境的所有研究而言是公共的。

然而，存在于dicom文件中的私人标签中的一些可能未被掩蔽并且因而可能揭露患者信息。dicom文件的标准掩蔽过程还不将用户特定数据隐私性配置考虑在内，所述用户特定数据隐私性配置可以由用户或患者定义以便保护他在医学记录上的隐私性。而且，还存在通知用户或患者关于当其在云环境上的医学记录与外部接收方共享时可能发生的数据隐私性的任何侵犯的需要。

因此，本发明的目的是提供根据由患者定义的隐私性配置来保护与患者相关联的医学记录的方法和系统。

技术实现要素：

公开了保护与患者相关联的医学记录的方法和系统。在一个方面中，一种方法包括从患者数据库获得与患者相关联的医学记录，其中医学记录包括患者标识符、患者信息和医学数据。所述方法还包括确定患者关于医学记录中的患者信息的隐私性的偏好。另外，所述方法包括基于所确定的偏好而掩蔽患者信息中的一个或多个数据字段。此外，所述方法包括生成包含患者信息中的经掩蔽的数据字段的医学记录。

在另一方面中，一种用于保护与患者相关联的医学记录的系统包括处理单元；耦合到处理单元的患者数据库以及耦合到处理单元的存储器。存储器包括被配置用于从患者数据库获得与患者相关联的医学记录的掩蔽模块。另外，掩蔽模块被配置用于确定患者关于医学记录中的患者信息的隐私性的偏好。此外，掩蔽模块还被配置用于基于所确定的偏好而掩蔽患者信息中的一个或多个数据字段。而且，掩蔽模块还被配置用于生成包含患者信息中的经掩蔽的数据字段的医学记录。

在又一方面中，一种非暂时性计算机可读存储介质，其中存储有机器可读指令，所述机器可读指令在由服务器执行时，使得服务器执行如以上所描述的方法步骤。

提供该发明内容来以简化的形式引入以下在随后的描述中进一步描述的概念的选择。其不意图识别所要求保护的主题的特征或必要特征。另外，所要求保护的主题不限于解决在本公开的任何部分中指出的任何或全部缺点的实现方式。

附图说明

后文中参照在随附各图中示出的所图示的实施例来进一步描述本发明，其中：

图1图示了根据实施例的客户端-服务器架构的框图，所述客户端-服务器架构提供表示真实世界对象的不同部分的组件的几何建模；

图2图示了数据处理系统的框图，其中可以实现用于保护与患者相关联的医学记录的实施例；

图3是图示了根据一个实施例的保护与患者相关联的医学记录的示例性方法的流程图；

图4是图示了根据实施例的根据由患者指定的偏好而生成患者信息中的经掩蔽的数据字段的示例性方法的流程图；

图5是图示了根据实施例的根据由患者指定的偏好而掩蔽患者信息中的数据字段的示例性方法的流程图；

图6是图示了根据实施例的生成指示经掩蔽的数据字段的篡改（tamper）的警报的示例性方法的流程图；

图7是图示了根据实施例的根据与数据字段相关联的隐私性水平而掩蔽患者信息中的数据字段的示例性方法的流程图；

图8是图示了根据实施例的设定针对患者信息的默认隐私性偏好的示例性方法的流程图；

图9a图示了用于患者简档信息的图形用户接口的示例；

图9b图示了根据实施例的显示医学记录中的患者信息中的数据字段的图形用户接口的实施例；以及

图9c图示了根据实施例的在已经掩蔽患者信息中的数据字段之后显示患者的医学记录的图形用户接口。

具体实施方式

后文中，详细描述用于实施本发明的实施例。参照附图来描述各种实施例，其中相同的参考标号自始至终用于指代相同的元件。在以下描述中，出于解释的目的，阐述众多具体细节以便提供一个或多个实施例的透彻理解。可以明显的是，这样的实施例可以在没有这些具体细节的情况下实践。在其它实例中，尚未详细描述公知的材料或方法以便避免不必要地使本公开的实施例模糊。虽然本公开易受各种修改和可替换形式，但其具体实施例通过示例的方式在附图中示出，并且将在本文中进行详细描述。然而，应当理解的是，不存在将本公开限制到所公开的特定形式的意图，而是相反，本公开要覆盖落在本公开的精神和范围内的所有修改、等同方案和可替换方案。

图1提供了根据实施例的客户端-服务器架构的框图的图示，所述客户端-服务器架构是表示真实世界对象的不同部分的组件的几何建模。客户端-服务器架构100包括服务器101和多个客户端设备108a-c。客户端设备108a-c中的每一个经由网络107连接到服务器101，所述网络107例如局域网（lan）、广域网（wan）、wifi等。在一个实施例中，服务器101部署在云计算环境中。如本文所使用的，“云计算环境”是指包括可配置的计算物理和逻辑资源（例如网络、服务器、储存器、应用、服务等）以及在网络107（例如互联网）上分布的数据的处理环境。云计算环境提供对可配置的计算物理和逻辑资源的共享池的按需网络访问。服务器101可以包括医学记录数据库102，所述医学记录数据库102包括要保护的患者的医学记录。服务器101可以包括掩蔽模块103，掩蔽模块103执行包含在患者的医学记录中的患者信息的一个或多个数据字段的掩蔽。服务器101还可以包括偏好模块104，偏好模块104确定由患者定义的隐私性偏好。服务器101还可以包括患者简档信息106，患者简档信息106存储由患者定义的隐私性偏好。服务器101可以包括防篡改模块105，防篡改模块105当根据由患者定义的隐私性偏好掩蔽的数据字段被篡改时生成警报。可以通过对经掩蔽的数据字段解除掩蔽（unmask）来篡改经掩蔽的数据字段。此外，服务器101可以包括用于经由网络107与客户端设备108a-c通信的网络接口109。

客户端设备108a-c包括由用户使用的用户设备108a。在实施例中，用户设备108a可以由患者用于在患者简档信息106上定义用于掩蔽患者信息中的一个或多个数据字段的隐私性偏好。服务器101上的患者简档信息106可以由用户经由最终用户web（网络）应用的图形用户接口来访问。用于患者简档信息的图形用户接口900的实施例已经图示在图9a中。在实施例中，用户可以在患者简档信息上定义隐私性偏好并且在服务器101上保存隐私性偏好。由用户定义的隐私性偏好以xml格式保存，并且可以作为默认而应用于掩蔽患者信息中的所述一个或多个数据字段。在另一实施例中，客户端可以是保健服务提供者系统108b。保健服务提供者系统108b经由网络接口109与服务器101交互以上传服务器101上的患者的医学记录。保健服务提供者系统108b还可以用于经由图形用户接口访问经掩蔽的患者信息。保健服务提供者系统108b可以向服务器101发送请求以经由网络107与其它指定实体共享经掩蔽的患者信息。在另一实施例中，客户端设备是由从业者108c用于经由网络107访问服务器101上的患者简档信息106的设备。从业者设备108c可以向服务器101发送请求以经由网络107与其它指定实体共享经掩蔽的患者信息。

图2是被配置成执行如本文所描述的过程的数据处理系统的框图，其中实施例可以实现为例如保护与患者相关联的医学记录的系统。领会到，服务器101是图1中的数据处理系统的示例性实现。在图1中，数据处理系统101包括存储器201、处理器202、存储单元203、输入单元204、网络接口109和总线205。

如本文所使用的处理器202意指任何类型的计算电路，诸如但不限于微处理器、微控制器、复杂指令集计算微处理器、精简指令集计算微处理器、甚长指令字微处理器、显式并行指令计算微处理器、图形处理器、数字信号处理器或任何其它类型的处理电路。处理器202还可以包括嵌入式控制器，诸如通用或可编程逻辑设备或阵列、专用集成电路、单芯片计算机等。

存储器201可以是易失性存储器和非易失性存储器。存储器201可以被耦合以用于与处理器202通信。处理器202可以执行存储在存储器201中的指令和/或代码。各种计算机可读存储介质可以存储在存储器201中并且从存储器201访问。存储器201可以包括用于存储数据和机器可读指令的任何合适的元件，诸如只读存储器、随机存取存储器、可擦除可编程只读存储器、电可擦除可编程只读存储器、硬驱动器、用于处置压缩盘、数字视频盘、磁盒、磁带盒、存储器卡的可移除介质驱动器等。在本实施例中，存储器201包括在任何以上提到的存储介质上以机器可读指令的形式存储并且可以与处理器202通信和由处理器202执行的掩蔽模块103、偏好模块104和防篡改模块105。当由处理器202执行时，掩蔽模块103使得处理器202根据由患者定义的隐私性偏好而执行患者信息的一个或多个数据字段的掩蔽。当由处理器202执行时，偏好模块104使得处理器202设定作为用于掩蔽患者信息的默认偏好的患者关于患者信息的隐私性的偏好。当由处理器202执行时，防篡改模块105使得处理器202在患者信息的任何数据字段被篡改的情况下生成针对患者的警报。由处理器202执行以实现以上提到的功能的方法步骤在图3、4、5、6、7a和8中详细进行详细阐述。

存储单元203可以是非暂时性存储介质，其存储医学记录数据库102。医学记录数据库102是由保健服务提供者维护的与一个或多个患者相关的医学信息的储存库。输入单元204可以包括能够接收输入信号的输入部件，诸如小键盘、触敏显示器、相机（诸如接收基于姿势的输入的相机）等，所述输入信号诸如包括要掩蔽的患者信息的医学记录。总线205充当处理器202、存储器201、存储单元203、通信接口109和输入单元204之间的互连。

本领域普通技术人员将领会到，图2中描绘的硬件可以针对特定实现而变化。例如，附加于或替代于所描绘的硬件，还可以使用其它外围设备，诸如光盘驱动器等、局域网（lan）/广域网（wan）/无线（例如wifi）适配器、图形适配器、盘控制器、输入/输出（i/o）适配器。所描绘的示例仅仅出于解释的目的而提供，并且不意在暗示关于本公开的架构限制。

依照本公开的实施例的数据处理系统包括采用图形用户接口的操作系统。操作系统准许多个显示窗口同时被呈现在图形用户接口中，其中每一个显示窗口提供到不同应用或到相同应用的不同实例的接口。图形用户接口中的光标可以由用户通过定点设备来操纵。光标的位置可以改变，和/或生成诸如点击鼠标按钮之类的事件以致动期望的响应。

如果经适当修改，则可以采用各种商用操作系统中的一个，诸如一个版本的microsoftwindows^tm，位于华盛顿州雷德蒙德的微软公司的产品。依照如所描述的本公开来修改或创建操作系统。

所公开的实施例提供用于保护与患者相关联的医学记录的系统和方法。特别地，该系统和方法可以根据由患者定义的隐私性偏好而执行患者信息中的一个或多个数据字段的掩蔽。

图3图示了保护与患者相关联的医学记录的示例性方法300的流程图。在步骤301处，从医学记录数据库102获得与患者相关联的医学记录。如本文所使用的。“医学记录”可以是指特定于患者的健康的数据，并且可以包括患者标识符、患者信息和医学数据。医学记录数据库可以存储在服务器101上。在步骤302处，确定患者关于医学记录中的患者信息的隐私性的偏好。针对患者信息的隐私性的偏好可以存储在服务器101上的患者简档信息106中。在可替换的实施例中，患者简档信息106还可以存储在云计算环境中。患者简档信息106可以包括诸如患者人口统计学信息、医疗历史等之类的信息。患者简档信息106还可以包括关于医学记录中的患者信息的隐私性偏好。患者可以被允许配置关于包含在医学记录中的患者信息的隐私性的偏好。关于患者信息的隐私性的所定义的偏好存储在患者简档信息106中。在步骤303处，基于关于患者信息的隐私性的所确定的偏好而掩蔽患者信息中的一个或多个数据字段。如本文所使用的，“掩蔽”是指隐藏或匿名化与患者信息相关的一个或多个数据字段，使得与患者相关的机密信息不向另一实体公开。掩蔽可以包括移除、修改或取代包含在患者信息的所述一个或多个数据字段中的信息。在步骤304处，生成包含患者信息中的经掩蔽的数据字段的医学记录。

图4图示了根据由患者关于隐私性所定义的偏好而生成包含患者信息中的经掩蔽的数据字段的医学记录的示例性方法400的流程图。在步骤402处，一旦从医学记录数据库102获得医学记录，患者简档信息106被访问以确定是否任何隐私性偏好由患者指定。在实施例中，关于包含在医学记录中的患者信息的隐私性的偏好可以由患者在患者简档信息106中指定。如果关于患者信息的隐私性的任何偏好由患者在患者简档信息106中指定，在步骤404处，则基于所指定的偏好而掩蔽患者信息中的所述一个或多个数据字段。在实施例中，如果没有关于患者信息的隐私性的偏好由患者指定，在步骤403处，则向患者做出提供隐私性偏好的请求。患者简档信息106可以由患者经由图形用户接口来访问。用于患者简档信息的图形用户接口在图9a中图示。图形用户接口可以由患者用于在患者简档信息中指定偏好。用于患者简档信息106的图形用户接口可以包括与可以由患者选择为被掩蔽的一个或多个数据字段相关的信息。患者可以例如通过在选项上点击鼠标按钮来选择患者信息中的要掩蔽的一个或多个数据字段。在一个实施例中，鼠标按钮的点击可以在检查或不检查图形用户接口上的患者信息的数据字段中进行。如果偏好由患者提供，在步骤404处，则基于所确定的偏好而掩蔽患者信息中的所述一个或多个数据字段。在步骤405处，基于由患者指定的隐私性偏好而生成包含患者信息中的经掩蔽的数据字段的医学记录。在步骤406处，包含经掩蔽的数据字段的所生成的医学记录被保存到服务器101。经掩蔽的医学记录可以由患者或保健服务提供者从服务器101访问。在步骤407处，包含经掩蔽的患者信息的医学记录可以与指定实体共享。在实施例中，可以由服务器101通过网络接口109从指定实体接收用于共享医学记录的请求。如果接收到用于共享经掩蔽的医学记录的请求，则将经掩蔽的医学记录与指定实体共享。在可替换的实施例中，具有经掩蔽的数据字段的医学记录可以保存在云计算环境中。

图5图示了根据实施例的根据由患者指定的偏好而掩蔽医学记录中的患者信息中的数据字段的示例性方法500的流程图。在步骤501处，确定包括在医学记录中的患者信息中的已经由保健服务提供者掩蔽的数据字段。在实施例中，保健服务提供者可以根据针对医学记录的数据隐私性的标准要求而掩蔽患者信息中的数据字段。因此，可以根据与医学记录相关联的标准隐私性偏好而修改或移除患者信息中的数据字段。保健服务提供者可以手动掩蔽数据字段，或者掩蔽可以作为自动化批量过程而执行，其中掩蔽针对一个或多个医学记录同时执行。在步骤502处，访问患者简档信息106以确定是否关于患者信息的隐私性的任何偏好由患者指定。如果没有偏好由患者在患者简档信息106中指定，在步骤503处，则请求患者指定偏好。在实施例中，所生成的请求可以在图形用户接口中作为通知而指示，所述通知可以出现在由患者使用的用户设备108a的显示单元上。在步骤504处，当已经指定关于患者信息中的数据字段的隐私性偏好时，将经掩蔽的数据字段与由患者指定的一个或多个数据字段比较。比较由保健服务提供者针对数据字段中的每一个指定的隐私性偏好以确定数据字段的隐私性偏好是否与由患者指定的隐私性偏好匹配。在步骤505处，根据由患者指定的偏好而确定要被掩蔽的数据字段和不要被掩蔽的数据字段。患者信息中的数据字段的隐私性偏好确定针对该数据字段的隐私性配置。隐私性配置可以根据与患者信息中的数据字段的内容相关联的隐私性的严格性而变化。在步骤506处，确定数据字段是否根据患者的偏好而被掩蔽。比较而言，如果患者信息中的一个或多个数据字段的隐私性配置不与根据由患者指定的偏好定义的隐私性配置匹配，在步骤507处，则尚未被保健服务提供者掩蔽的数据字段根据患者偏好而被掩蔽，并且根据患者偏好不被掩蔽但是已经被保健提供者掩蔽的数据字段被解除掩蔽。具有根据患者的隐私性偏好的患者信息中的经掩蔽的数据字段的医学记录在步骤508处生成并且可以保存在服务器101上。在另一实施例中，具有经掩蔽的数据字段的所生成的医学记录还可以存储在云计算环境中。

图6提供了根据实施例的生成指示经掩蔽的数据字段的篡改的警报的示例性方法600的流程图的图示。包含患者信息中的经掩蔽的数据字段的医学记录可以保存在服务器101上或在云计算环境中。在步骤602处，访问所保存的医学记录以确定是否经掩蔽的数据字段中的任何一个已经被篡改。通过对经掩蔽的数据字段解除掩蔽来篡改经掩蔽的数据字段。可以例如由保健服务提供者经由网络接口109从服务器101访问具有经掩蔽的数据字段的医学记录。保健服务提供者可以对患者信息中的根据关于患者信息的隐私性的患者偏好而被掩蔽的数据字段解除掩蔽。保健服务提供者还可以掩蔽根据患者的隐私性偏好尚未被掩蔽的某些数据字段。在步骤603处，可以针对患者而生成针对患者信息中的数据字段的这样的掩蔽/解除掩蔽（其可能与患者所指定的隐私性偏好不一致）的警报。警报经由网络接口109在用户设备108a上接收，并且可以作为通知而显示在由患者使用的用户设备108a的显示单元上。通知可以作为用户设备108a的显示单元上的弹出窗口而出现，并且可以包含关于患者信息中的数据字段的篡改的信息。用户设备108a还可以被配置成当经由网络接口109在用户设备108a上接收到通知时生成声音警报。

图7a图示了根据实施例的根据与数据字段相关联的隐私性水平而掩蔽患者信息中的数据字段的示例性方法700的流程图。患者信息中的数据字段的掩蔽根据由患者在患者简档信息106中指定的隐私性偏好来执行。在步骤701处，基于由患者指定的隐私性偏好而确定与患者信息中的数据字段中的每一个相关联的隐私性水平。如本文所使用的，“隐私性水平”是指可以与患者信息中的数据字段相关联的隐私性的严格性。隐私性密钥与数据字段中的每一个相关联，其确定患者信息中的数据字段的隐私性水平。基于隐私性的严格性，与数据字段相关联的隐私性密钥可以改变。图7b提供了图示可以与患者信息中的数据字段相关联的隐私性密钥的示例的表710。标准隐私性参数定义针对与患者信息相关联的数据字段的标准隐私性配置。在实施例中，保健服务提供者可以参照标准隐私性参数来掩蔽患者信息中的数据字段。隐私性密钥中的每一个定义如何执行数据字段的内容的掩蔽。例如，隐私性密钥“d”以可以是虚拟（dummy）值的非零长度值取代数据字段的内容。因此，基于与数据字段相关联的隐私性密钥，在步骤702处，数据字段的内容可以被取代、移除或保持不变。

图8图示了根据实施例的设定用于患者信息的默认隐私性偏好的示例性方法800的流程图。根据由患者在患者简档信息106中指定的隐私性偏好而掩蔽患者信息中的数据字段。如果隐私性偏好没有被患者指定，在步骤803处，则向患者做出指定关于患者信息的隐私性偏好的请求。一旦隐私性偏好由患者指定，隐私性偏好可以保存在服务器101上的患者简档信息106中。用于患者简档信息的图形用户接口可以包含保存由患者在患者简档信息中指定的隐私性偏好的选项。在实施例中，如果患者选择保存所指定的隐私性偏好的选项，则保存由患者指定的隐私性偏好。图9a图示了用于患者简档信息的图形用户接口900的示例。如图9a中图示的图形用户接口900包括针对可以被患者选择为掩蔽的一个或多个数据字段的一个或多个选项。在实施例中，图形用户接口900还包括针对数据字段的选项的一个或多个无线电按钮，其可以使用鼠标按钮来点击以选择掩蔽偏好。在实施例中，图形用户接口900包括保存由患者针对患者信息中的数据字段指定的隐私性偏好的选项。在实施例中，保存的选项可以以可以由鼠标在其上点击以便触发用于在患者简档信息中保存偏好的动作的按钮的形式包括在图形用户接口中。如果保存由患者指定的隐私性偏好，在步骤805处，则偏好作为默认应用于掩蔽与患者相关联的所有即将到来的医学记录。图形用户接口900提供可以由患者选择他/她是否意图使用所指定的隐私性偏好作为用于与他/她相关联的所有后续医学记录的默认偏好的无线电按钮。患者可以利用鼠标点击而在所指派的无线电按钮上点击以便触发用于将隐私性偏好应用为默认偏好的动作。患者可以访问患者简档信息106以修改隐私性偏好。经修改的隐私性偏好可以仅适用于与患者相关联的医学记录的后续掩蔽。

图9b图示了根据实施例的显示医学记录中的患者信息中的数据字段的图形用户接口910的实施例。患者信息中的数据字段中的每一个与用于识别信息的类型的标签相关联。在图形用户接口910中，与数据字段相关联的值不被掩蔽，并且因而表示如可以存在于患者的医学记录中的实际值。图9c图示了根据实施例的在已经掩蔽患者信息中的数据字段之后显示患者的医学记录的图形用户接口920。在图形用户接口920中，根据由患者在患者简档信息106中指定的隐私性偏好来掩蔽患者信息中的一个或多个数据字段。例如，患者的姓名已经被非零值取代，并且患者的出生日期已经被隐藏或移除。