DE102007019375A1 - Systeme und Verfahren zur Re-Identifikation von Patienten - Google Patents

Systeme und Verfahren zur Re-Identifikation von Patienten Download PDF

Info

Publication number
DE102007019375A1
DE102007019375A1 DE102007019375A DE102007019375A DE102007019375A1 DE 102007019375 A1 DE102007019375 A1 DE 102007019375A1 DE 102007019375 A DE102007019375 A DE 102007019375A DE 102007019375 A DE102007019375 A DE 102007019375A DE 102007019375 A1 DE102007019375 A1 DE 102007019375A1
Authority
DE
Germany
Prior art keywords
patient
data
file
encrypted
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102007019375A
Other languages
English (en)
Inventor
Ammon Hillsboro Cookson
Stuart Lopez
Michael I. Portland Lieberman
Thomas N. Portland Ricciardi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
General Electric Co
Original Assignee
General Electric Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by General Electric Co filed Critical General Electric Co
Publication of DE102007019375A1 publication Critical patent/DE102007019375A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H10/00ICT specially adapted for the handling or processing of patient-related medical or healthcare data
    • G16H10/60ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/88Medical equipments
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Human Resources & Organizations (AREA)
  • Strategic Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Tourism & Hospitality (AREA)
  • Quality & Reliability (AREA)
  • Operations Research (AREA)
  • Marketing (AREA)
  • Economics (AREA)
  • General Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • Epidemiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Primary Health Care (AREA)
  • Public Health (AREA)
  • Medical Treatment And Welfare Office Work (AREA)
  • Storage Device Security (AREA)
  • Measuring And Recording Apparatus For Diagnosis (AREA)

Abstract

Bestimmte Ausführungsformen der vorliegenden Erfindung stellen Systeme (600) und Verfahren (500) zum Abrufen und Re-Identifizieren von Patientendaten bereit. Patientendaten können durch Abrufen einer verschlüsselten oder abstrahierten Patientenkennung re-identifiziert werden. Die Kennung wird dazu genutzt, um eine Patientenkennung in Verbindung mit Patientenidentifikationsinformation abzurufen. Die Patientenidentifikationsinformation kann in eine Datei, wie z. B. einen Bericht oder in ein anderes Dokument, bei einem lokalen Computer (610) oder einem Web-Portal (620) für einen Zugriff durch einen autorisierten Benutzer eingefügt werden. Ein System (600) enthält einen Datenspeicher (630), der Patientendaten speichert. Die Patientendaten enthalten eine codierte Patientenkennung und eine uncodierte Patientenkennung. Das System (600) enthält eine Arbeitsstation (610) oder einen anderen Prozessor (610, 620) mit einer Betrachtungsanwendung, die in der Lage ist, Patientendaten in einer Datei einschließlich der verschlüsselten Patientenkennung zu betrachten. Die Arbeitsstation (610) ruft eine Prozedur auf, um die codierte Patientenkennung in der Datei bei der Arbeitsstation (610) durch die entsprechende uncodierte Patientenkennung unter Verwendung des Datenspeichers (630) zu ersetzen.

Description

  • HINTERGRUND DER ERFINDUNG
  • Die vorliegende Erfindung betrifft im Wesentlichen die Sicherstellung von Patientenidentität und insbesondere die De-Identifizierung (Anonymisierung) von Patientendaten bei einer ambulanten Patientenversorgungs-(PCP – Patient Care Provider)-Stelle zur Weitergabe an ein Data Warehouse System, und dann die Re-Identifizierung eines Patienten bei der PCP-Stelle aus den von dem Data Warehouse System empfangenen de-identifizierten (anonymisierten) Patientendaten.
  • Krankenhäuser verwenden typischerweise Computersysteme für die Verwaltung der verschiedenen Abteilungen innerhalb eines Krankenhauses, und Daten über jeden Patienten werden durch eine Vielfalt von Computersystemen gesammelt. Beispielsweise kann ein Patient in das Krankenhaus für eine transthorakale Echountersuchung (TTE) eingewiesen werden. Information über den Patienten (z.B. Personenstandsinformation und Versicherungsinformation) könnten von dem Krankenhausinformationssystem (HIS – Hospital Information System) erhalten werden und in einem Patientendatensatz gespeichert werden. Diese Information könnte dann an das System der Kardiologieabteilung (allgemein als das kardiovaskuläre Informationssystem oder CVIS) bekannt) weitergegeben werden. Typischerweise ist das CVIS ein Produkt der einen Firma, während das HIS das Produkt einer anderen Firma ist. Demzufolge kann die Datenbank zwischen den zwei Systemen unterschiedlich sein. Ferner können Informationssysteme unter schiedliche Auflösungsgrade in den Daten erfassen/speichern und senden. Sobald die Patienteninformation durch das CVIS empfangen wurde, kann der Patient für eine TTE in dem Echolabor eingeplant werden. Anschließend wird die TTE von der die Sonografie durchführenden Person ausgeführt. Bilder und Messwerte werden aufgenommen, und an den CVIS-Server gesendet. Der lesende Arzt (z.B. ein Echokardiografien durchführender Arzt) sitzt an einer Betrachtungsstation und ruft sich die TTE-Untersuchung des Patienten ab. Der Echokardiografien durchführende Arzt beginnt dann mit der Betrachtung der Bilder und Messungen und erzeugt einen vollständigen medizinischen Bericht über die Untersuchung. Wenn der Echokardiografien durchführende Arzt den medizinischen Bericht abgeschlossen hat, wird der Bericht an den CVIS-Server gesendet, wo er gespeichert und dem Patienten über Patientenidentifikationsdaten zugeordnet wird. Dieser abgeschlossene medizinische Bericht ist ein Beispiel der Art eines Berichtes, der an ein Datenarchiv für öffentliche Datenanalyse gesendet werden könnte. Medikationsanweisungen, wie z.B. Dokumentation und/oder Verschreibung können ebenfalls elektronisch erzeugt und in einem Datenarchiv gesichert werden.
  • Data Warehousing Verfahren wurden bereits verwendet, um aus medizinischen Abrechnungen und elektronischen medizinischen Datensätzen (EMR) gewonnene Patienteninformation zu sammeln, zu bereinigen, zu sortieren, wiederzugeben und zu analysieren. Patientendaten können aus mehreren EMR-Datenbanken, die sich bei PCP-Stellen an geografisch verteilten Orten befinden, ausgelesen werden und dann zu einem zentral angeordneten Data Warehouse transportiert und gespeichert werden. Das zentrale Data Warehouse kann eine Quelle von Information für Populations-basierende Profilberichte ärzt licher Produktivität, Vorsorge, Krankheits-Verwaltungsstatistiken und Forschung hinsichtlich klinischer Ergebnisse sein. Das zentrale Data Warehouse kann auch dazu genutzt werden, um die Leistungen verschiedener Versorgungsanbieter zu bewerten. Patientendaten sind sensible und vertrauliche Daten und daher muss spezifische identifizierende Information entfernt werden, bevor diese von einer PCP-Stelle an ein zentrales Data Warehouse geliefert wird. Diese Entfernung von identifizierender Information muss aufgrund der "Health Insurance Portability and Accountability Act" (HIPAA) Bundesvorschriften durchgeführt werden. Alle in einer öffentlichen Datenbank enthaltenen Daten dürfen die Identität der individuellen Patienten, deren medizinische Information in der Datenbank enthalten ist, nicht aufdecken. Aufgrund dieser Anforderung muss jede in einem medizinischen Bericht oder Datensatz enthaltene Information, die zu der Rückverfolgung zu einer bestimmten Person beitragen könnte, aus dem Bericht oder dem Datensatz vor der Lieferung der Daten an ein Data Warehouse für öffentliche Datenanalyse (Data-Mining) entfernt werden.
  • Um die Auswirkung eines speziellen Medikamentes oder einer Behandlung auf einen Patienten genau zu bewerten, ist es hilfreich, alle medizinischen Berichte bezüglich des bestimmten Patienten zu analysieren. Die Entfernung von Daten, die dazu genutzt werden können, um eine Rückverfolgung auf einen individuellen Patienten auszuführen, kann es unmöglich machen, alle einen bestimmten Patienten betreffenden medizinischen Berichte zu gruppieren und zu analysieren. Zusätzlich kann eines der Ziele einer Populationsanalyse die Erstellung einer Risikogruppenpopulation sein, die aus Personen besteht, welche Kandidaten für einen klinischen Eingriff sein können. Jedoch sind de-identifizierte Daten nicht sehr nützlich für die Patientenversorger, welche die Identität ihrer eigenen Patienten kennen müssen, um sie zu behandeln. Zusätzlich können Systembenutzer die Fähigkeit benötigen, Patienten für eine weitere Nachbehandlung zu re-identifizieren. Es kann sein, dass Portalbenutzer die Patienten in einem Prozess, der nicht das Portalsystem beinhaltet, re-identifizieren müssen, d.h., dass der Prozess der Re-Identifikation auf dem lokalen Benutzersystem stattfindet.
  • Daher gibt es den Wunsch nach Systemen und Verfahren zum Re-Identifizieren von Patienten in Bezug auf medizinische Datensätze. Es gibt den Wunsch nach Systemen und Verfahren zur sicheren Re-Identifikationen von Patientendatensätzen in Übereinstimmung mit HIPAA.
  • KURZZUSAMMENFASSUNG DER ERFINDUNG
  • Bestimmte Ausführungsformen der vorliegenden Erfindung stellen Systeme und Verfahren zum Abrufen und Re-Identifizieren de-identifizierter oder anonymisierter Patientendaten bereit.
  • Bestimmte Ausführungsformen stellen Systeme und Verfahren zum Re-Identifizieren von Patientendaten bereit. Patientendaten können re-identifiziert werden, indem eine verschlüsselte oder abstrahierte Patientenkennung abgerufen wird. Die Kennung wird dazu genutzt, um eine Patientenkennung in Verbindung mit Patientenidentifikationsinformation abzurufen. Die Patientenidentifikationsinformation kann in einen Bericht oder in ein anderes Dokument auf einem lokalen Computer oder einem Web-Portal für den Zugriff durch einen autorisierten Benutzer eingefügt werden.
  • Bestimmte Ausführungsformen stellen ein Verfahren zur lokalisierten Re-Identifikation von Patientendaten in einer autorisierten Umgebung bereit. Das Verfahren beinhaltet den Abruf einer verschlüsselten Patientenkennung aus einer Datei in einer autorisierten Umgebung. Das Verfahren beinhaltet auch eine Lokalisierung einer Patientenkennung in Verbindung mit Patientenidentifikationsinformation unter Verwendung der verschlüsselten Patientenkennung. Zusätzlich beinhaltet das Verfahren die Einfügung einer Patientenidentifikationsinformation in die Datei in einer autorisierten Umgebung.
  • Bestimmte Ausführungsformen stellen ein Patienten-Re-Identifikationssystem bereit. Das System enthält einen Patientendaten speichernden Datenspeicher. Die Patientendaten enthalten eine verschlüsselte Patientenkennung und eine Patientenkennung. Die verschlüsselte Patientenkennung entspricht der Patientenkennung. Das System enthält ferner einen Prozessor, der für eine Verbindung mit dem Datenspeicher eingerichtet ist. Der Prozessor enthält eine Betrachtungsanwendung, die in der Lage ist, Patientendaten in einer die verschlüsselten Patientenkennung enthaltenden Datei zu betrachten. Der Prozessor ruft eine Prozedur zum Ersetzen der verschlüsselten Patientenkennung in der Datei mit der entsprechenden Patientenkennung unter Verwendung des Datenspeichers auf. Die Ersetzung der codierten Patientendaten durch die entsprechende Patientenkennung erfolgt mittels des Prozessors.
  • Bestimmte Ausführungsformen stellen wenigstens ein Computerlesbares Medium mit einem Satz von Instruktionen zur Ausführung auf einem Computer bereit. Der Satz von Instruk tionen enthält einen Patienten-bezogene Daten enthaltenden Datenspeicher. Die Patienten-bezogenen Daten enthalten wenigstens eine verschlüsselte Patientenkennung und wenigstens eine unverschlüsselte Patientenkennung. Die Patientenbezogenen Daten sind durch die wenigstens eine verschlüsselte Patientenkennung und die wenigstens eine unverschlüsselte Patientenkennung suchbar. Der Satz von Instruktionen enthält auch eine Betrachtungsanwendung, die dafür eingerichtet ist, eine Patientendaten enthaltende Datei in einer autorisierten Umgebung zu betrachten. Zusätzlich enthält der Satz von Instruktionen eine über die Betrachtungsanwendung ausgelöste Re-Identifikationsroutine. Die Re-Identifikationsroutine wählt eine verschlüsselte Patientenkennung in der Datei aus und gleicht die verschlüsselte Patientenkennung in der Datei mit wenigstens einer verschlüsselten Patientenkennung in dem Datenspeicher ab. Die Re-Identifikationsroutine lokalisiert eine unverschlüsselte Patientenkennung, die mit der verschlüsselten Patientenkennung übereinstimmt und fügt die unverschlüsselte Patientenkennung in die Datei in der autorisierten Umgebung ein.
  • KURZBESCHREIBUNG DER VERSCHIEDENEN ANSICHTEN DER ZEICHNUNGEN
  • 1 ist ein exemplarisches System zur Sicherstellung von Patientenidentität gemäß einer Ausführungsform der vorliegenden Erfindung.
  • 2 ist eine Blockdarstellung einer exemplarischen Data Warehouse Architektur gemäß einer Ausführungsform der vorliegenden Erfindung.
  • 3 stellt einen exemplarischen Prozess zum De-Identifizieren von Patientendaten zur Speicherung in einem Data Warehouse dar, der gemäß einer Ausführungsform der vorliegenden Erfindung angewendet wird.
  • 4 ist eine Blockdarstellung eines exemplarischen Prozesses zum Re-Identifizieren eines Patienten aus de-identifizierten Patientendaten gemäß einer Ausführungsform der vorliegenden Erfindung.
  • 5 stellt ein Flussdiagramm für ein Verfahren zum Re-Identifizieren eines Patienten aus de-identifizierten Patientendaten gemäß einer Ausführungsform der vorliegenden Erfindung dar.
  • 6 stellt ein System zur De-Identifikation und Re-Identifikation von Patientendaten gemäß einer Ausführungsform der vorliegenden Erfindung dar.
  • Die vorstehende Zusammenfassung sowie die nachfolgende detaillierte Beschreibung bestimmter Ausführungsformen der vorliegenden Erfindung wird besser verständlich, wenn diese in Verbindung mit den beigefügten Zeichnungen gelesen werden. Für den Zweck der Darstellung der Erfindung sind bestimmte Ausführungsformen in den Zeichnungen dargestellt. Es dürfte sich jedoch verstehen, dass die vorliegende Erfindung nicht auf die in den beigefügten Zeichnungen dargestellten Anordnungen und die Instrumentalität beschränkt ist.
  • DETAILLIERTE BESCHREIBUNG DER ERFINDUNG
  • Eine exemplarische Ausführungsform der vorliegenden Erfindung ist ein sicherer Prozess, um de-identifizierte Patienteninformation von einer ambulanten Patientenversorger- (PCP)-Stelle an ein Data Warehouse System zu senden, wo die Patientendaten analysiert und mit einem größeren Umfang von Patientendaten verglichen werden können. Die Begriffe "de-identifizierte Patienteninformation" und "de-identifizierte Patientendaten", wie sie in diesem Dokument verwendet werden, beziehen sich sowohl auf die vollständig de-identifizierten Daten gemäß Definition durch HIPAA als auch beschränkte Datensatzdaten gemäß Definition durch HIPAA. Ein beschränkter Datensatz besteht aus geschützter Gesundheitsinformation für Forschung, öffentliche Gesundheit und Gesundheitsfürsorgemaßnahmen, die direkte Kennungen (z.B. Name; Postadresse außer der Stadt, Staat und Zip-Code; Sozialversicherungsnummer; medizinische Aufzeichnungsdatennummern) ausschließt, in welchen aber weitere Identifizierungsinformation verbleiben kann (wie z.B. Datum der Untersuchung; Dokumentation; Diagnose; Verschreibung; Labortestergebnisse). Dieses steht im Gegensatz zu vollständig deidentifizierten Daten gemäß Definition durch HIPAA, wo alle Daten, die dazu genutzt werden können, um eine Rückverfolgung zu einem einzelnen Patienten durchzuführen, aus dem Datensatz entfernt werden. Über das Data Warehouse erhaltene Information, die einzelne Patienten betrifft, wird an die Ursprungs-PCP-Stelle über einen Gruppenbericht zurück übertragen. Gruppenberichte werden durch Abfragen generiert, die gegenüber dem Data Warehouse System ausgeführt werden, um Patientensammelgruppen zu identifizieren. Die in einem Gruppenbericht enthaltenen einzelnen Patienten werden dann an der PCP-Stelle so re-identifiziert, dass die PCPs die Information betrachten können, wenn Behandlungsoptionen für die einzelnen Patienten entschieden werden.
  • 1 ist ein exemplarisches System zur Sicherung von Patientenidentität. An verschiedenen PCP-Stellen befindli che PCP-Systeme 108 sind mit einem Netzwerk 106 verbunden. Die PCP-Systeme 108 senden medizinische Daten des Patienten an ein bei einem Data Warehouse System 140 befindliches Data Warehouse. Die PCP-Systeme 108 enthalten typischerweise Anwendungssoftware, um Daten zusammen mit einer oder mehreren Speichervorrichtungen auszulesen, um die elektronischen medizinischen Datensätze (EMRs) in Verbindung mit an der PCP-Stelle behandelten Patienten zu speichern. Zusätzlich können die PCP-Systeme 108 PCP-Benutzersysteme 110 enthalten, um auf die EMR-Daten zuzugreifen, um das Auslesen von Daten zu initialisieren, und um einen Passwort-String zur Verwendung bei der Verschlüsselung einer Patientenkennung einzugeben. Die PCP-Benutzersysteme 110 können direkt an dem PCP-System 108 angeschlossen sein, oder können auf das PCP-System 108 über das Netzwerk 106 zugreifen. Jedes PCP-Benutzersystem 110 kann unter Verwendung eines Standardcomputers implementiert werden, der ein Computerprogramm für die Ausführung der hierin beschriebenen Prozesse ausführt. Die PCP-Benutzersysteme 110 können Personal Computer oder an einem Host angeschlossene Terminals sein. Wenn die PCP-Benutzersysteme 110 Personal Computer sind, kann die hierin, beschriebene Verarbeitung gemeinsam von einem PCP-Benutzersystem 110 und einem PCP-System 108 genutzt werden, indem ein Applet an das PCP-Benutzersystem 110 geliefert wird.
  • Die bei dem PCP-System 108 befindliche Speichervorrichtung kann unter Verwendung einer Vielzahl von Vorrichtungen zur Speicherung elektrischer Information, wie z.B. durch einen Dateiübertragungsprotokoll-(FTP)-Server implementiert werden. Es dürfte sich verstehen, dass die Speichervorrichtung unter Verwendung eines in dem PCP-System 108 enthaltenen Speichers implementiert werden kann oder dieses eine getrennte physikalische Vorrichtung sein kann. Die Speicher vorrichtung enthält eine Vielfalt von Information einschließlich einer EMR-Datenbank.
  • Zusätzlich enthält das System von 1 eines oder mehrere Data Warehouse Benutzersysteme 102, über welche ein Endnutzer eine Anforderung für ein Anwendungsprogramm in dem Data Warehouse System 104 stellen kann, um auf spezielle Datensätze zuzugreifen, die in dem Data Warehouse gespeichert sind (um z.B. einen Gruppenbericht zu erzeugen). In einer exemplarischen Ausführungsform der vorliegenden Erfindung können Endnutzer PCP-Personal, Forschungsteam-Mitglieder von pharmazeutischen oder anderen Firmen und Personal und Firmen umfassen, die medizinische oder andere Produkte herstellen. Die Data Warehouse Benutzersysteme 102 können direkt mit dem Data Warehouse System 104 verbunden sein, oder sie können mit dem Data Warehouse System 104 über das Netzwerk 106 verbunden sein. Jedes Data Warehouse Benutzersystem 102 kann unter Verwendung eines Standardcomputers implementiert sein, der ein Computerprogramm zur Ausführung der hierin beschriebenen Prozesse durchführt. Die Data Warehouse Benutzersysteme 102 können Personal Computer, an einem Host angeschlossene Terminals, Software und/oder andere Prozessoren sein. Wenn die Data Warehouse Benutzersysteme 102 Personal Computer sind, kann die hierin beschriebene Verarbeitung gemeinsam von einem Data Warehouse Benutzersystem 102 und dem Data Warehouse System 104 genutzt werden, indem ein Applet an das Data Warehouse Benutzersystem 102 gesendet wird.
  • Das Netzwerk 106 kann jeder Typ eines bekannten Netzwerks, einschließlich eines lokalen Netzwerks (LAN), eines Weitbereichsnetzwerks (WAN), ein Intranet oder ein globales Netzwerk (z.B. Internet) sein. Ein Data Warehouse Benutzer system 102 kann mit dem Data Warehouse System 104 über mehrere Netzwerke (z.B. Intranet und Internet) verbunden sein, sodass nicht alle Data Warehouse Benutzersysteme 102 mit dem Data Warehouse System 104 über dasselbe Netzwerk verbunden sein müssen. In ähnlicher Weise kann ein PCP-System 108 mit dem Datenanalyse-Hostsystem 104 über mehrere Netzwerke (z.B. Intranet und Internet) so verbunden sein, dass nicht alle PCP-Systeme 108 mit dem Data Warehouse System 104 über dasselbe Netzwerk verbunden sein müssen. Eines oder mehrere von den Data Warehouse Benutzersystemen 102, den PCP-Systemen 108 und dem Data Warehouse System 104 können mit dem Netzwerk 106 in einer drahtlosen Weise verbunden sein, und das Netzwerk 106 kann ein drahtloses Netzwerk sein. In einer exemplarischen Ausführungsform ist das Netzwerk 106 das Internet und jedes Data Warehouse Benutzersystem 102 führt eine Benutzerschnittstellenanwendung aus, um eine direkte Verbindung zu dem Data Warehouse System 104 aufzubauen. In einer weiteren Ausführungsform kann ein Data Warehouse Benutzersystem 102 einen Web-Browser ausführen, um einen Kontakt zu dem Data Warehouse System 104 über das Netzwerk 106 herzustellen. Alternativ kann das Data Warehouse Benutzersystem 102 unter Verwendung einer Vorrichtung implementiert werden, welche hauptsächlich für einen Zugriff auf das Netzwerk 106, wie z.B. Web TV, programmiert ist.
  • Das Data Warehouse System 104 kann unter Verwendung eines Servers implementiert werden, der in Reaktion auf ein Computerprogramm arbeitet, das in einem über den Server zugänglichen Speichermedium gespeichert ist. Das Data Warehouse System 104 kann als ein Netzwerk-Server (oft als ein Web-Server bezeichnet) arbeiten, um mit den Data Warehouse Benutzersystemen 102 und den PCP-Systemen 108 zu kommuni zieren. Das Data Warehouse System 104 verwaltet das Senden und Empfangen von Information an die und von den Data Warehouse Benutzersystemen 102 und PCP-Systemen 108 und kann zugeordnete Aufgaben ausführen. Das Data Warehouse System 104 kann auch eine Firewall enthalten, um einen nicht autorisierten Zugriff auf das Data Warehouse System 104 zu verhindern, und alle Einschränkungen bezüglich eines autorisierten Zugriffs zu verstärken. Beispielsweise kann ein Administrator einen Zugang zu dem gesamten System und die Autorität haben, Abschnitte des Systems zu verändern und ein PCP-Personalmitglied kann nur einen Zugriff haben, um eine Teilsatz der Datensätze des Data Warehouse für bestimmte Patienten zu betrachten. In einer exemplarischen Ausführungsform hat der Administrator die Fähigkeit, neue Benutzer aufzunehmen, Benutzer zu löschen und Benutzerprivilegien zu editieren. Die Firewall kann unter Verwendung herkömmlicher Hardware und/oder Software, wie im Fachgebiet bekannt, implementiert werden.
  • Das Data Warehouse System 104 arbeitet auch als ein Anwendungs-Server. Das Data Warehouse System 104 führt ein oder mehrere Anwendungsprogramme aus, um einen Zugriff auf das in dem Data Warehouse System befindliche Datenarchiv bereitzustellen, sowie Anwendungsprogramme, um Patientendaten in einen Sortierungsbereich und dann in das Data Warehouse zu importieren. Zusätzlich kann das Data Warehouse System 104 auch eine oder mehrere Anwendungen ausführen, um Patientengruppenberichte zu erzeugen und die Patientengruppenberichte an die PCP-Systeme 108 zu senden. Die Verarbeitung kann durch das Data Warehouse Benutzersystem 102 und das Data Warehouse System 104 gemeinsam genutzt werden, indem eine Anwendung (z.B. ein Java Applet) an das Data Warehouse Benutzersystem 102 geliefert wird. Alternativ kann das Data Warehouse Benutzersystem 102 eine allein stehende Softwareanwendung sein, um einen Teil der hierin beschriebenen Verarbeitung auszuführen. In ähnlicher Weise kann die Verarbeitung gemeinsam durch das PCP-System 102 und das Data Warehouse System 104 genutzt werden, indem eine Anwendung an das PCP-System 102 geliefert wird, und alternativ kann das PCP-System 102 eine allein stehende Softwareanwendung enthalten, um einen Teil der hierin beschriebenen Verarbeitung auszuführen. Es dürfte sich verstehen, dass getrennte Server verwendet werden können, um die Netzwerk-Serverfunktionen und die Anwendungs-Serverfunktionen zu implementieren. Alternativ können der Netzwerk-Server, die Firewall und der Anwendungs-Server durch nur einen einzigen Server implementiert werden, der Computerprogramme zur Durchführung der erforderlichen Funktionen ausführt.
  • Die bei dem Data Warehouse System 104 befindliche Speichervorrichtung kann unter Verwendung einer Vielzahl von Vorrichtungen zur Speicherung von elektronischer Information wie z.B. einen Dateiübertragungsprotokoll-(FTP – File Transfer Protocol)-Server implementiert werden. Es dürfte sich verstehen, dass die Speichervorrichtung unter Verwendung eines in dem Data Warehouse System 104 enthaltenen Speichers implementiert werden kann, oder dass sie eine getrennte physikalische Vorrichtung sein kann. Die Speichervorrichtung enthält eine Vielfalt von ein Data Warehouse beinhaltender Information, das medizinische Daten von Patienten von einem oder mehreren PCPs enthält. Das Data Warehouse System 104 kann auch als ein Datenbank-Server arbeiten und einen Zugriff auf Anwendungsdaten einschließlich in der Speichervorrichtung gespeicherter Daten koordinieren. Das Data Warehouse kann physikalisch als eine einzelne Datenbank mit eingeschränktem Zugriff auf der Basis von Be nutzereigenschaften gespeichert sein, oder es kann physikalisch in einer Vielzahl von Datenbanken einschließlich Abschnitten der Datenbank in den Data Warehouse Benutzersystemen 102 oder dem Data Warehouse System 104 gespeichert sein. In einer exemplarischen Ausführungsform ist das Datenarchiv als ein relationales Datenbanksystem implementiert, und das Datenbanksystem liefert unterschiedliche Ansichten der Daten an unterschiedliche Endnutzer auf der Basis von Endnutzereigenschaften.
  • 2 ist eine Blockdarstellung einer exemplarischen Data Warehouse Architektur. Patientendaten werden von bei den PCP-Systemen 108 befindlichen EMR-Datenbanken ausgelesen. In einer exemplarischen Ausführungsform der vorliegenden Erfindung enthält ein Datensatz einer EMR-Datenbank Daten wie z.B.: Patientenname und Adresse, Medikation, Allergien, Beobachtungen, Diagnosen und Gesundheitsversicherungsinformation. Die PCP-Systeme 108 enthalten Anwendungssoftware zum Auslesen von Patientendaten aus der EMR-Datenbank. Die Daten werden dann de-identifiziert und über ein Netzwerk 106 (beispielsweise über das Hypertext Transfer Protocol (HTTPS) zu dem Data Warehouse System 104 transportiert. Das Data Warehouse System 104 enthält Anwendungssoftware, um eine Datenimportfunktion 206 auszuführen. Die Datenimportfunktion sammelt und bereinigt die deidentifizierten Patientendaten von mehreren Stellen und speichert dann die Daten in einem Sortierungsbereich 208. Die von den mehreren PCP-Systemen 108 empfangenen Daten werden normiert, auf Gültigkeit und Vollständigkeit überprüft und entweder korrigiert oder als defekt gekennzeichnet. Daten von mehreren PCP-Systemen 108 werden dann miteinander in einer relationalen Datenbank kombiniert. Das Sammeln, Bereinigen und Sortieren von Daten in der be schriebenen Weise erlaubt eine sinnvolle und effiziente Abfrage von Daten entweder als nur eine Einheit oder für jede individuelle PCP-Stelle 108 spezifisch. Die de-identifizierten Patientendaten werden dann in ein Data Warehouse 210 einsortiert, wo sie zur Abfrage zur Verfügung stehen.
  • Patientengruppenberichte 212 werden durch eine Anwendungssoftware generiert, die sich in dem Data Warehouse System 104 befindet und an die PCP-Systeme 108 durch die Hauptversorger bei der Behandlung individueller Patienten zurückgesendet. Patientengruppenberichte 212 können automatisch durch Ausführung einer Standardabfrage auf einer periodischen Basis automatisch generiert werden. PCP-Personalmitglieder, Forschungsteammitglieder pharmazeutischer und anderer Firmen und Personal von Firmen, welche medizinische oder andere Produkte herstellen, können jeweils Patientengruppenberichte 212 ablaufen lassen. Zusätzlich können Patientengruppenberichte 212 durch einen Endbenutzer erzeugt werden, der auf ein Data Warehouse Benutzersystem 102 zugreift, um spezifische Berichte zu erzeugen, oder den Ablauf von Standardberichten zu initiieren. Ferner können Patientengruppenberichte 212 automatisch als Reaktion auf die Anwendungssoftware generiert werden, die sich in dem Data Warehouse System 104 befindet, indem ermittelt wird, dass spezielle Kombinationen von Daten für einen Patienten in dem Data Warehouse gespeichert sind. Ein exemplarischer Patientengruppenbericht 212 enthält alle Patienten mit einer bestimmten Erkrankung, die mit einer bestimmten Medikation behandelt wurde. Ein anderer exemplarischer Patientengruppenbericht 212 enthält Patienten eines bestimmten Alters und Geschlechts, welche bestimmte Testergebnisse zeigen. Beispielsweise kann ein Patientengruppenbericht 212 alle Frauen mit Herzerkrankung auflisten, welche ein Hor monersatz-Therapiemedikament einnehmen. Der Patientengruppenbericht 212 würde alle Patienten mit Datensätzen in dem Data Warehouse 210, die diese Kriterien erfüllen, zusammen mit einer Warnung über mögliche Nebeneffekte und die Wahrscheinlichkeit des Auftretens von Nebeneffekten auflisten. In einer exemplarischen Ausführungsform erhält jede PCP-Stelle den gesamten Bericht, in einer weiteren Ausführungsform empfängt jede PCP-Stelle den Bericht nur für Patienten, die bei der PCP-Stelle behandelt werden.
  • In einer exemplarischen Ausführungsform der vorliegenden Erfindung wird die Fähigkeit, Patientengruppenberichte 212 auf der Basis einer Abfrage longitudinaler Patientendaten durch die Fähigkeit unterstützt, alle einen einzelnen Patienten betreffenden Datensätze in dem Data Warehouse 210 zu verbinden. Dieses erfordert, dass jedem Patientendatensatz, der an das Data Warehouse 210 übertragen wird, eine eindeutige Kennung zugeordnet ist. Die eindeutige Kennung darf durch auf das Data Warehouse 210 zugreifende Endnutzer nicht auf den einzelnen Patienten zurückverfolgbar sein. Jedoch können einzelne PCPs sich die Möglichkeit erhalten wollen, einen Patienten auf der Basis der eindeutigen Kennung zu re-identifizieren, so dass das an der PCP-Stelle befindliche medizinische Personal den Patienten als Antwort auf in den Patientengruppenberichten 212 enthaltene Information weiterverfolgen kann. 3 stellt einen exemplarischen Prozess zum De-Identifizieren von Patientendaten zur Speicherung in einem bei dem Data Warehouse System 104 befindlichen Data Warehouse 210 dar, und 4 stellt einen exemplarischen Prozess zum Re-Identifizieren eines Patienten aus den in einem Patientengruppenbericht 212 enthaltenen de-identifizierten Patientendaten dar.
  • 3 ist eine Blockdarstellung eines exemplarischen Prozesses zum De-Identifizieren von Patientendaten während des Auslesens von Daten zur Übertragung an ein Data Warehouse System 104. Der De-Identifikationsprozess entfernt Information, die einen Patienten identifiziert, während gleichzeitig klinisch brauchbare Information über den Patienten erhalten bleibt. Die Patientendaten werden aus der EMR-Datenbank 302 ausgelesen und Identifizierungsinformation entfernt, was zu de-identifizierten Patientendaten führt. In einer exemplarischen Ausführungsform der vorliegenden Erfindung enthält eine EMR-Datenbank 302 die nachstehenden einen Patienten identifizierenden demografischen Daten: Namen; geografische Kennungen, einschließlich Adresse; Daten in direktem Bezug zu einer Person, einschließlich Geburtsdatum, Einweisungsdatum, Entlassungsdatum und Todesdatum; Telefon- und Faxnummern; E-Mail-Adressen, Sozialversicherungsnummer; Nummer des medizinischen Datensatzes; Gesundheitsplan-Nutznießer; Kontonummer; Zertifikats- oder Lizenznummern; Fahrzeugkennungen und Seriennummern einschließlich Nummernschilder; Gerätekennungen und Seriennummern, Netzverweis-(URLs) und Internetprotokoll (IP)-Adressnummern; biometrische Kennungen einschließlich Fingerabdruck und Sonogramm; Frontalgesichtsfotografien und vergleichbare Bilder; weitere eindeutige Identifizierungsnummern, Eigenschaften und von der PCP oder durch das EMR-System für Verwaltungszwecke vergebene Codes, einschließlich einer Patientenkennung (PID – Patient Identifier) 304. Die EMR-Datenbank 302 enthält auch Information über: die Patientendiagnose oder -problem; eingenommene oder verschriebene Medikationen; Beobachtungen, diagnostische Labortests und Vitalzeichen; subjektive und objektive Befundungen, Bewertungen, Anweisungen, Pläne und von Gesundheitspersonal dokumentierte Anmerkungen. Die EMR-Datenbank 302 enthält auch Audit-Information, welche das Datum, die Zeit und Identität von Personen aufzeichnet, welche Information erzeugt, gelesen, aktualisiert oder aus dem Patientendatensatz gelöscht haben. Der Datensatz der EMR-Datenbank 302 für jeden Patienten enthält auch einen als die PID 304 bekannten numerischen Schlüssel, welcher dazu verwendet werden kann, eindeutig einen individuellen Patienten zu identifizieren. Die PID 304 wird als ein Teil des De-Identifikationsprozesses codiert, um eine codierte Patientenkennung (EPID) 308 zu erzeugen. Die EPID 308 wird zusammen mit den de-identifizierten Patientendaten an das Data Warehouse System 104 gesendet.
  • Der Ausleseprozess wird durch eine in dem PCP-System 108 befindliche Anwendungssoftware durchgeführt und kann im Hintergrund auf einer periodischen Basis (z.B. um 2 Uhr morgens jede Nacht, 2 Uhr morgens jeden Samstag) ausgeführt werden. Auf diese Weise stört der Ausleseprozess weniger wahrscheinlich weitere auf dem PCP-System 108 vorhandene Software. Der Ausleseprozess kann durch ein entfernt angeordnetes System (z.B. das Data Warehouse System 104) initiiert werden und kann vollständige oder inkrementelle Sicherungsverfahren beinhalten. In einer exemplarischen Ausführungsform der vorliegenden Erfindung werden die nachstehenden Kennungen entfernt oder transformiert, um de-identifizierte Daten zu erhalten, die unter der HIPAA-Definition als voll de-identifizierte Daten klassifiziert würden: Name, geografische Unterteilungen kleiner als ein Staat, einschließlich Straßenadresse, Stadt, Verwaltungsbezirk, Stadtviertel, Zip-Code (bis zu den letzten drei Ziffern), direkt auf eine Person bezogene Daten (z.B. Geburtsdatum), Telefon- und Faxnummern, E-Mail-Adressen, Gesundheitsplannummer, Kontonummer, Zertifikat/Lizenz-Nummer, Vorrich tungskennung und Seriennummern, Netzverweisnummer (URL), Internetprotokoll-(IP)-Adresse, biometrische Kennungen, Vollgesichtsfotografie und weitere eindeutig identifizierende Nummern, Eigenschaften oder Codes.
  • In einer alternativen exemplarischen Ausführungsform der vorliegenden Erfindung werden die nachstehenden Kennungen entfernt oder transformiert, um de-identifizierte Daten zu erzeugen, die unter der HIPAA-Definition als eingeschränkte Datensatzinformation klassifiziert würden: direkte Kennungen, wie z.B. Name, Postadresse (außer Stadt, Staat und Zip-Code), Sozialversicherungsnummer und Nummern medizinischer Datensätze. In der Implementation der vorliegenden Erfindung mit eingeschränkter Datensatzinformation kann gewisse Identifikationsinformation verbleiben, wie z.B. Datum einer Untersuchung, Dokumentation, Diagnose, Verschreibung und Labortestergebnisse.
  • Eine neue EPID 308 wird jedem Patienten auf der Basis der PID 304 in Verbindung mit dem Patienten und einem von dem PCP eingegebenen Passwort zugewiesen. Die PID 304/EPID 308-Zuordnung wird nicht dauerhaft aufbewahrt. Wie in der in 3 dargestellten exemplarischen Ausführungsform dargestellt, wird ein Passwort-String 312 durch den PCP über eine Passwortverschlüsselungs-Benutzerschnittstelle 310 in dem PCP-Benutzersystem 110 geliefert. Dieser Passwort-String 312 ist nur dem PCP bekannt, und ist erforderlich, um die EPID 308 in eine PID 304 zu decodieren. Der Benutzer an der PCP-Stelle muss den Passwort-String 312 haben, um die PID 304 zu erhalten und dieser Passwort-String 312 muss jedes Mal wieder eingegeben werden, wenn ein Patient zu re-identifizieren ist. Die Passwortverschlüsselungs-Benutzerschnittstelle 310 kann eine grafische Benutzerschnittstelle sein. In einer exemplarischen Ausführungsform der vorliegenden Erfindung wird der von Benutzern eingegebene Passwort-String 312 unter Verwendung des Zwei-Fische-Algorithmus codiert. Der Zwei-Fische-Algorithmus ist, wie im Fachgebiet bekannt, ein Geheimschlüssel-Blockziffern-Verschlüsselungsalgorithmus, der hoch sicher und hoch flexibel ausgelegt ist. Er verwendet nur einzigen Schlüssel sowohl für die Verschlüsselung als auch Entschlüsselung und wird oft als symmetrische Verschlüsselung bezeichnet. Die Codierung wird durch eine in dem PCP-System 108 befindliche Codierungssoftware 306 ausgeführt. Die Patientenkennungs-Codierungssoftware 306 führt auch eine Hash-Codierung an dem codierten Passwort-String aus, um eine Zahl wie z.B. eine 16-stellige Zahl zu erzeugen. Diese 16-stellige Zahl wird numerisch der PID 304 hinzugefügt, um die EPID 308 zu erzeugen. Weitere Verfahren zum Erzeugen der EPID 308 aus der PID 304 können mit einer exemplarischen Ausführungsform der vorliegenden Erfindung verwendet werden (z.B. Rivest, Shamir and Adelman, oder RSA) solange die EPID nur an der PCP-Stelle verschlüsselt bleibt.
  • 4 ist eine Blockdarstellung eines exemplarischen Prozesses zur Re-Identifizierung eines Patienten aus deidentifizierten Patientendaten. Wie vorstehend beschrieben, werden Populationsgruppenberichte 212 von Risikopatienten erzeugt, indem Abfragen in dem Data Warehouse 210 ausgeführt werden. Die identifizierten Personen können in longitudinaler Richtung verfolgt werden und als Mitglieder anonymer Bevölkerungsgruppen auf der Basis von klinischen Auswahlkriterien abgefragt werden. Das in dem Gruppenbericht 212 enthaltene Abfrageergebnis ist eine Liste von EPIDs 308. Eine Liste mit Patienten-EPIDs 308 in einem patientengruppenbericht 212 wird bei dem PCP-System 108 empfangen.
  • Die EPIDs 308 werden in die Patientenkennungs-Decodierungssoftware 402 eingelesen, die sich auf dem PCP-System befindet, und die ursprüngliche PID 304 wieder erzeugt. Die PID 304 kann als ein Schlüssel zum Nachsehen zusätzlicher Identifizierungsinformation aus der EMR-Datenbank 302 verwendet werden. Angestellte des PCP können die Patientenspezifische Information aus der EMR-Datenbank 302 nutzen, um den Patienten zu beraten und um Behandlungsalternativen zu entscheiden.
  • Eine Ausführungsform der vorliegenden Erfindung ermöglicht ambulanten PCPs Patientendaten in ein Data Warehouse zu senden, das Patientendaten von anderen ambulanten PCPs enthält. Auf diese Weise können Patientendaten analysiert und mit einer größeren Patientenpopulation verglichen werden. Die de-identifizierten Patientendaten enthalten eine EPID 308, die bei der Erzeugung von longitudinalen Berichten nützlich sein kann, die mehr als nur einen einzigen Datensatz für einen bestimmten Patienten analysieren. Die Auswirkungen bestimmter Medikamente und Behandlungen auf Patientengruppen kann analysiert werden und kann zur Verbesserung in der Anwendung oder der Zusammensetzung der Medikamente und Behandlungen führen. Zusätzlich ermöglicht eine Ausführungsform der vorliegenden Erfindung dem PCP Gruppenberichte 212 auf der Basis von in dem Data Warehouse enthaltenen Daten zu empfangen. Diese Patientengruppenberichte 212 enthalten eine EPID 308 für jeden Patienten. Die EPID 308 kann an der PCP-Stelle decodiert werden, die die EPID 308 erzeugte und zum Identifizieren eines bestimmten Patienten verwendet werden. Auf diese Weise kann ein PCP, durch Berücksichtigung der in dem Gruppenbericht enthaltenen Information in der Lage sein, dem Patienten eine bessere Behandlung zu bieten. Diese Fähigkeit, nützliche Infor mation auf eine Patientenebene zurückzuliefern, kann auch mehr PCPs dazu veranlassen, an dem Senden von Patientendaten an ein Data Warehouse teilzunehmen. Mehr Daten in dem Data Warehouse können mehr nützliche Information für diese dritten Parteien, wie z.B. pharmazeutische Firmen, Medizingerätefirmen und Ärzte über die Auswirkungen und Risiken spezieller Behandlungen liefern, während gleichzeitig das Risiko einer Aufdeckung von Patienten-identifizierender Information an dritte Parteien minimiert wird. Dieses kann zur Verbesserungen in der Vorsorge sowie anderen Arten medizinischer Versorgung führen.
  • Gemäß vorstehender Beschreibung können die Ausführungsformen der Erfindung in der Form Computer-implementierter Prozesse und Vorrichtungen zur Durchführung dieser Prozesse verkörpert sein. Ausführungsformen der Erfindung können auch in der Form eines Computerprogrammcodes verkörpert sein, der Instruktionen enthält, die in einem berührbaren Medium, wie z.B. Floppy-Disketten, CD-ROMs, Festplatten oder irgendeinem anderen Computer-lesbaren Speichermedium verkörpert sind, wobei, wenn der Computerprogrammcode in einem Computer geladen und/oder durch diesen ausgeführt wird, der Computer zu einer Vorrichtung zur Ausführung der Erfindung wird. Eine Ausführungsform der vorliegenden Erfindung kann auch in der Form eines Computerprogrammcodes verkörpert sein, das entweder in einem Speichermedium gespeichert ist, in einen Computer geladen und/oder davon ausgeführt wird, oder über irgendein Übertragungsmedium, wie z.B. eine elektrische Verdrahtung oder Verkabelung, über Faseroptik, oder über elektromagnetische Strahlung übertragen wird, wobei, wenn der Computerprogrammcode in einen Computer geladen und ausgeführt wird, der Computer zu einer Vorrichtung zur Ausführung der Erfindung wird. Wenn sie auf einem Standard-Mikroprozessor implementiert werden, konfigurieren die Programmcodesegmente den Mikroprozessor, dass er spezifische logische Schaltungen erzeugt.
  • 5 stellt ein Flussdiagramm für ein Verfahren 500 zur Re-Identifizierung eines Patienten aus de-identifizierten Patientendaten gemäß einer Ausführungsform der vorliegenden Erfindung dar. Zuerst werden bei dem Schritt 505 die de-identifizierten Patienten in einer Datei, wie z.B. einem Bericht, einem Web-basierenden Bericht, oder in irgendeiner anderen Liste oder Dokument aufgeführt oder anderweitig aufgelistet. Beispielsweise kann ein im Gesundheitswesen tätiger praktischer Arzt einen oder mehrere de-identifizierte Patientendatensätze aus einer Patientenliste oder einen Web-basierenden Patientenbericht über eine Schnittstelle, wie z.B. ein Web-basierendes Portal oder andere Software-basierende Benutzerschnittstelle auswählen. Ein Benutzer kann einen Bericht oder eine Liste von Patienten, die ein bestimmtes Kriterium (z.B. Diabetes, Herzerkrankung, Alter, Geschlecht, usw.) erfüllen, auswählen und/oder generieren. Bei dem Schritt 510 wird der Web-Bericht in eine lokale Datei heruntergeladen. Beispielsweise können die über das Web-basierende oder ein anderes Netzwerkportal abgerufenen Daten manuell oder automatisch von der Netzwerkquelle in eine lokale Datei in dem Benutzercomputer, einem lokalen Netzwerksystem, Software und/oder einem anderen Prozessor in einer autorisierten Umgebung heruntergeladen werden. Eine autorisierte Umgebung ist ein System oder eine andere autorisierte Betriebsumgebung, um Patientenidentifikationsdaten zu betrachten und/oder zu manipulieren, wie z.B. eine HIPAA entsprechende Praxis eines praktischen Arztes.
  • Bei dem Schritt 515 ruft der Benutzer ein Betrachtungsprogramm, wie z.B. Microsoft Excel® oder eine andere Tabellenkalkulations- oder Berichtssoftware auf. Alternativ kann das Betrachtungssystem automatisch bei dem Herunterladen der Patienten-bezogenen Daten gestartet werden. Bei dem Schritt 520 wird der Benutzer innerhalb des Betrachtungsprogramms gegenüber einem EMR-System autorisiert, um sicherzustellen, dass der Benutzer die korrekte Autorisierung hat, Patientenunterlageninformation zu betrachten. Beispielsweise können ein Benutzerpasswort, eine Unterschrift und/oder biometrische Identifikation verifiziert werden, um den Zugriff auf Patientendaten zu autorisieren. Ohne Benutzerauthentisierung ist ein Benutzer nicht in der Lage, gespeicherte EMR-Prozeduren auszuführen. Beispielsweise kann ein in einem EMR-Hostsystem befindlicher Authentisierungsmechanismus für Benutzername und Passwort, sowie zum Verifizieren eines Privilegierungswert aufgerufen werden.
  • Bei dem Schritt 525 wählt der Benutzer oder aktiviert anderweitig eine Re-Identifikationsfunktion in Bezug auf die de-identifizierten Patientendaten. Beispielsweise kann ein Icon, eine Taste, eine Menüoption und/oder ein Befehl dem Betrachtungsprogramm hinzugefügt sein, um die Ausführung der Re-Identifikationsfunktion für alle angezeigten Patientendateneinträge oder einen ausgewählten Teilsatz der Einträge zu aktivieren oder auszulösen. Bei dem Schritt 530 sucht das Betrachtungsprogramm, wie z.B. Excel, Spaltenüberschriften oder andere Felder des Berichts nach einer Spalte und/oder einem Feld ab, das eine verschlüsselte Kennung, wie z.B. eine EPID enthält. Es dürfte sich verstehen, dass, "verschlüsselt" hierin verwendet wird, um anzuzeigen, dass die Kennung oder Patienteninformation codiert ist, deidentifiziert, abstrahiert, anonym oder anderweitig ver schlüsselt ist, um die Patientenvertraulichkeit zu schützen. Beispielsweise kann eine Datei, wie z.B. ein Arbeitsblatt, Tabellenkalkulation, Tabelle oder ein anderes Dokument nach einer Spaltenüberschrift oder einem anderen Feld abgescannt werden, das eine geeignete Spalte oder Reihenfolge von zu re-identifizierenden Daten enthält.
  • Sobald die Spalte lokalisiert ist, sammelt das Programm bei dem Schritt 535 den Satz der EPIDs und sendet diesen an ein EMR-System und/oder eine Datenbank oder ein Data Warehouse über eine Datenverbindungskommunikation, wie z.B. eine Datenverbindung (z.B. Open DataBase Connectivity (ODBC)) oder eine Object Linking and Embedding Data Base (OLE DB) Verbindung. Beispielsweise kann das Dateidokument abgescannt werden, um zu identifizieren, welche von den Spaltenüberschriften oder anderen Feldkennungen einer Patientenspalte oder ähnlichen Struktur entspricht. Daten werden beispielsweise die Sätze der EPIDs aus dem Patientenbericht an ein Data Warehouse für elektronische medizinische Datensätze über eine entsprechende Verbindung gesendet. Die in der Patientenspalte gefundenen ausgewählten oder identifizierten EPIDs können beispielsweise in einem Array oder in irgendeiner anderen Datenstruktur organisiert sein.
  • Bei dem Schritt 540 wird eine gespeicherte Prozedur in der EMR-Datenbank aufgerufen, um die EPIDs mit Patientenidentifizierungsinformation wie z.B. einer Patientenkennung (z.B. einer PID), Patientenvorname, Patientennachname usw. zu erweitern. Die EMR-Datenbank kann beispielsweise eine HIPAA entsprechende Datenbank, Data Warehouse und/oder anderer Datenspeicher sein. Bei dem Schritt 545 werden das Array oder eine andere Struktur der EPIDs abgescannt und für jede aus der Patientenspalte entnommene EPID ein Daten satz oder andere Daten über eine Datenverbindung (z.B. ODBC oder OLE DB) an die EMR-Datenbasis gesendet und eine gespeicherte Re-Identifikationsprozedur aufgerufen, um einen sich ergebenden Vornamen, Nachnamen, usw. zu entnehmen. Beispielsweise kann die gespeicherte Prozedur einen in der Datenbank befindlichen Algorithmus aufrufen, welcher eine interne Kennung an die Prozedur weitergibt. In bestimmten Ausführungsformen wird eine Hash-Funktion verwendet, um beispielsweise eine PID aus der EPID zu erzeugen. Alternativ können ein Verschiebungswert, ein auf den Patientennamen, Alter und Sozialversicherungsnummer basierender Algorithmus und/oder ein anderer Algorithmus verwendet werden, um beispielsweise eine interne Kennung für einen Patientendatensatz zu erzeugen. Die interne Kennung wird als ein Parameter für eine Abfrage weitergegeben, welche wiederum Name und/oder andere einem EPID-Datensatz entsprechende Identifikationsinformation zurückgibt. Beispielsweise kann die PID oder eine andere Kennung verwendet werden, um Datensätze in der Datenbank zum Identifizieren geeigneter Datensätze zu indexieren oder zu suchen.
  • Bei dem Schritt 550 wird dann die Identifikationsinformation zu der Betrachtungsanwendung wie z.B. MicrosoftTM Excel oder ein anderes Tabellenkalkulations- oder Datenbankprogramm gesendet. Bei dem Schritt 555 werden Spalten und/oder andere Felder in der Datei, wie z.B. einer Tabellenkalkulation oder einem anderen Dokument, für die Patientenidentifikationsinformation (z.B. Patienten ID, Vorname, Nachname, usw.) eingefügt und/oder ersetzt. Beispielsweise können PID- und/oder Patientennamen-Spalten und/oder Felder zu einer Datei hinzugefügt werden und/oder können EPID- und/oder andere Spalten oder Felder in der Datei überschreiben.
  • Einer oder mehrere von den Schritten des Verfahrens 500 können beispielsweise alleine oder in Kombination in Hardware, Firmware und/oder als ein Satz von Instruktionen in Software ausgeführt werden. Bestimmte Ausführungsformen können als ein Satz von Instruktionen bereitgestellt werden, die sich auf einem Computer-lesbaren Medium, wie z.B. einem Speicher, einer Festplatte, DVD oder CD zur Ausführung auf einem Standardcomputer oder einer anderen Verarbeitungsvorrichtung befinden.
  • Einige Ausführungsformen der vorliegenden Erfindung können einen oder mehrere von diesen Schritten weglassen und/oder die Schritte in einer anderen Reihenfolge als der angegebenen Reihenfolge ausführen. Beispielsweise können einige Schritte in bestimmten Ausführungsformen der vorliegenden Erfindung nicht ausgeführt werden. Als ein weiteres Beispiel können bestimmte Schritte in einer anderen zeitlichen Reihenfolge einschließlich einer gleichzeitigen wie die vorstehend aufgelistete durchgeführt werden.
  • In bestimmten Ausführungsformen kann, sobald Patienteninformation re-identifiziert ist, der Benutzer die entsprechende Liste von Patienten in dem EMR als eine Anfrage für eine weitere Analyse, Manipulation usw. senden. Ein re-identifizierter Patientendatensatz kann modifiziert, verglichen und/oder anderweitig durch den autorisierten Benutzer manipuliert und lokal und/oder in einer EMR-Datenbank oder einem anderen Speicher gespeichert werden. Ein modifizierter Datensatz kann beispielsweise de-identifiziert werden, bevor er gespeichert wird.
  • In bestimmten Ausführungsformen werden EMR-Aktualisierungen "gezogen", "gedrückt" oder anderweitig an eine Datenbank, ein Data Warehouse und/oder anderen Datenspeicher auf einer periodischen Basis (z.B. in der Nacht, wöchentlich, usw.) übertragen. In bestimmten Ausführungsformen werden lokal an re-identifizierten Patientendatensätzen ausgeführte Änderungen de-identifiziert und an das EMR-System und/oder eine Datenbank zur Speicherung übertragen.
  • In bestimmten Ausführungsformen kann ein Benutzer nach einem oder mehreren Patientendatensätzen innerhalb der EMR suchen, indem er einen "Finde"-Dialog oder eine Suchfunktion aufruft. Der Benutzer kann beispielsweise mittels der EPID suchen und eine EPID-Nummer zum Aktivieren einer Suche eingeben oder auswählen. Die entsprechende Patientenaufzeichnung kann abgerufen und angezeigt werden. Somit kann ein Patient für einen autorisierten Gesundheitsfürsorge-Anbieter, welcher identifiziert und verifiziert wurde, reidentifiziert werden.
  • Somit ist die Re-Identifikation ein Mechanismus oder ein Muster, das es ermöglicht, verschlüsselte und wieder entschlüsselte Daten physikalisch in getrennten Systemen gemeinsam zu bearbeiten. Während das verschlüsselte System Information auf Patientenebene, die HIPAA entspricht, beherbergen und Merkmale bereitstellen kann, die von einem Gesichtspunkt der Verschlüsselung nützlich sind (z.B. Datenansichten einem größeren Publikum bieten kann, usw.) besteht ein Bedarf, die Information aus dem verschlüsselten System zu erweitern und die Information für diejenigen Interessierten zu re-identifizieren, welche von dem verschlüsselten System physikalisch getrennt sind, welche aber die Autorisierung haben, Patientenidentifikationsinformati on zu betrachten (z.B. eine autorisierte Umgebung). Der Prozess der Re-Identifizierung der Patienten ist ein Prozess, der beispielsweise auf dem lokalen System erfolgt.
  • In bestimmten Ausführungsformen ermöglicht eine Trennung von de-identifizierten und identifizierten Patientendaten eine breitere Analyse von Patientenpopulationen ohne gegen die Sicherheit des einzelnen Patienten zu verstoßen. Populationsbasierende Analysen können sicher unter Aufrechterhaltung der Patientenvertraulichkeit durchgeführt werden. Die Re-Identifikation kann auf der Ebene des lokalen Systems erfolgen, um einem Gesundheitsfürsorge-Anbieter des Patienten zu ermöglichen, diesen zu diagnostizieren, zu behandeln und/oder weitere Dienste für den Patienten bereitstellen.
  • Somit kann eine umfassendere Analyse von Patienteninformation zugelassen werden, während gleichzeitig die Vertraulichkeit des Patienten respektiert wird. Gemeinschaften von Gesundheitsfürsorge-Anbietern können Patientenpopulationen bewerten und vergleichen, ohne die Vertraulichkeit des, Patienten zu beeinträchtigen. Gleichzeitig kann ein Patienten-Bereitsteller Patienten aus Patientenpopulationen auf der lokalen Ebene re-identifizieren, die von der verschlüsselten Stelle gespeichert/präsentiert werden. Re-Identifikationsalgorithmen können beispielsweise lokal auf der Ebene der Gesundheitsfürsorgeanbieter gespeichert sein. Diese physikalische Trennung kann ein potentielles Risiko begrenzen, das andere Bereitsteller, die de-identifizierte Daten in einem Portal betrachten, Patientenidentifikationsinformation betrachten.
  • Bestimmte Ausführungsformen ermöglichen eine gemeinsame Nutzung der Patienteninformation mit interessierten Parteien, ohne die Vertraulichkeit des Patienten zu beeinträchtigen. In einem breiteren Gesundheitsfürsorgerahmen gibt es Anwendungen, in welchen Forscher, Regierungsstellen, Praxisgemeinschaften, Patientenpopulationen untersuchen möchten, die aber wie derzeit begrenzt sind, da kein guter Mechanismus vorliegt, um mit Quellendatenanbietern bei der De-Identifikation und Re-Identifikation von Patienten zu arbeiten. Bestimmte Ausführungsformen ermöglichen eine solche Wechselwirkung. Beispielsweise kann entschlüsselte Information re-identifiziert und dann verbraucht werden oder in Patientenanbieter-System innerhalb einer MicrosoftTM Excel, Centricity Physician Office EMR-Anwendung und/oder andere Anwendung importiert werden. Weitere Instanzen wie z.B. Forscher und Behörden können die verschlüsselten oder de-identifizierten Daten mit reduziertem Risiko einer Beeinträchtigung der Patientenvertraulichkeit betrachten und/oder manipulieren.
  • 6 stellt ein System 600 zur De-Identifikation und Re-Identifikation von Patientendaten gemäß einer Ausführungsform der vorliegenden Erfindung dar. Das System 600 enthält eine oder mehrere Benutzerarbeitsstationen 610, ein Web-Portal 620, einen Datenspeicher 630 und eine Datenverbindung 640. Das System 600 kann beispielsweise auch eine Anzeige 650 und/oder einen Daten-Server 660 enthalten. Das System 600 kann beispielsweise einen oder mehrere Softwareprozesse, Computer und/oder andere Prozessoren anstelle von und/oder zusätzlich zu der bzw. den Arbeitsstationen 610 enthalten. Das System 600 kann beispielsweise einen oder mehrere Web-Dienste anstelle von und/oder zusätzlich zu dem Web-Portal 620 enthalten.
  • Die Komponenten des Systems 600 können alleine oder in Kombination in Hardware, Firmware, und/oder beispielsweise als ein Satz von Instruktionen in Software implementiert werden. Bestimmte Ausführungsformen können als ein Satz von Instruktionen, die sich auf einem Computer-lesbaren Medium, wie z.B. einem Speicher, einer Festplatte, DVD oder CD befinden, zur Ausführung in einem Standardcomputer oder in einer anderen Verarbeitungsvorrichtung vorgesehen sein. Bestimmte Komponenten können in verschiedenen Formen integriert sein, und/oder können als Software und/oder als Funktionalität in einer Berechnungsvorrichtung, wie z.B. einem Computer, vorgesehen sein. Bestimmte Ausführungsformen können eine oder mehrere von den Komponenten des Systems 600 weglassen, um die Funktionen der Re-Identifikation und/oder De-Identifikation auszuführen, und um Daten zwischen einem lokalen Benutzer und einem Datenspeicher zu übertragen.
  • Im Betrieb kann die Arbeitsstation 610 oder ein anderer Prozessor Daten über das Web-Portal 620 oder einen anderen Web-Dienst anfordern. Beispielsweise fordert ein Benutzer bei der Arbeitsstation 610 Patienten-bezogene Daten über einen Web-Browser an, der auf das Web-Portal 620 zugreift. Das. Web-Portal 620 kommuniziert mit dem Datenspeicher 630 über einen Datenverbindung 640. Beispielsweise fordert das Web-Portal 620 die Daten aus dem Datenspeicher 630, wie z.B. einem EMR-Datenmarkt, über ein Netzwerk, wie z.B. das Internet oder ein privates Netzwerk ab. Der Datenspeicher 630 gibt dann die angeforderten Daten an die Arbeitsstation 610 über das Web-Portal 620 zurück. Die Daten können beispielsweise nicht-HIPAA-geschützte Daten, de-identifizierte/verschlüsselte Patientendaten, re-identifizierte Patientendaten und/oder andere Daten umfassen.
  • Die Benutzerarbeitsstation 610 kann mit der Anzeige 650 kommunizieren, um aus dem Datenspeicher 630 übertragene Daten anzuzeigen. Die Daten können beispielsweise auch gedruckt und/oder zum Erzeugen einer Datei verwendet werden. Die Arbeitsstation 610 kann auch mit dem Daten-Server 660 kommunizieren, um beispielsweise die Daten und/oder andere Aktualisierungen zu übertragen.
  • In bestimmten Ausführungsformen wird ein de-identifizierter Patientenbericht an die Arbeitsstation 610 aus dem Datenspeicher 630 über das Web-Portal 620 als Antwort auf eine Anforderung aus der Arbeitsstation 610 übertragen. Die Arbeitsstation 610 führt eine Re-Identifikation der deidentifizierten Patientendaten lokal bei der Arbeitsstation 610 aus. Die Re-Identifikation kann beispielsweise mittels Nachschlagen einer EPID zum Ermitteln einer entsprechenden PID oder einer anderen ähnlichen Technik durchgeführt werden. Die Re-Identifikationsfunktionalität kann beispielsweise in ein Dokumenten-Betrachtungs/Editions-Programm, wie z.B. Microsoft Excel, Microsoft Word und/oder andere Software integriert sein. Die Re-Identifikationsfunktion kann auf Daten in einer externen Quelle, wie z.B. dem Datenspeicher 630 und/oder dem Daten-Server 660, zugreifen, um die EPID mit der PID abzugleichen. In bestimmten Ausführungsformen wird die EPID durch die PID und/oder durch eine andere Patientenidentifizierungsinformation (z.B. dem Patientennamen) in einem Dokument an der Arbeitsstation 610 ersetzt.
  • In bestimmten Ausführungsformen kann die Arbeitsstation 610 beispielsweise zuerst ein Privileg oder Zugriffsrecht über den Server 660 authentisieren, bevor die Patientenda ten re-identifiziert werden. Die Arbeitsstation 610 kann beispielsweise auch Patienten- und/oder andere Anbieterattribute über den Server 660 und/oder Datenspeicher 630 nachschlagen.
  • Bestimmte Ausführungsformen der vorliegenden Erfindung stellen Systeme 600 und Verfahren 500 zum Abrufen und Re-Identifizieren von Patientendaten bereit. Patientendaten können durch Abrufen einer verschlüsselten oder abstrahierten Patientenkennung re-identifiziert werden. Die Kennung wird dazu genutzt, um eine Patientenkennung in Verbindung mit Patientenidentifikationsinformation abzurufen. Die Patientenidentifikationsinformation kann in eine Datei, wie z.B. einen Bericht oder in ein anderes Dokument, bei einem lokalen Computer 610, oder einem Web-Portal 620 für einen Zugriff durch einen autorisierten Benutzer eingefügt werden. Ein System 600 enthält einen Datenspeicher 630, der Patientendaten speichert. Die Patientendaten enthalten eine codierte Patientenkennung und eine uncodierte Patientenkennung. Das System 600 enthält eine Arbeitsstation 610 oder einen anderen Prozessor 610, 620 mit einer Betrachtungsanwendung, die in der Lage ist, Patientendaten in einer Datei einschließlich der verschlüsselten Patientenkennung zu betrachten. Die Arbeitsstation 610 ruft eine Prozedur auf, um die codierte Patientenkennung in der Datei bei der Arbeitsstation 610 durch die entsprechende uncodierte Patientenkennung unter Verwendung des Datenspeichers 630 zu ersetzen.
  • Obwohl die Erfindung unter Bezugnahme auf exemplarische Ausführungsformen beschrieben wurde, dürfte es sich für den Fachmann auf diesem Gebiet verstehen, dass verschiedene Änderungen durchgeführt und Äquivalente Elemente davon erset zen können, ohne von dem Schutzumfang der Erfindung abzuweichen. Zusätzlich können viele Modifikationen zur Anpassung einer speziellen Situation oder eines Materials an die Lehren der Erfindung ohne Abweichung von deren wesentlichem Schutzumfang ausgeführt werden. Daher ist es gewünscht, dass die Erfindung nicht auf die offenbarte spezielle Ausführungsform, die als beste Art zur Ausführung dieser Erfindung betrachtet wird, beschränkt ist, sondern dass die Erfindung alle Ausführungsformen umfasst, die in den Schutzumfang der beigefügten Ansprüche fallen. Ferner bezeichnet die Verwendung der Ausdrücke "erster, zweiter usw." keinerlei Reihenfolge oder Wichtigkeit, sondern die Ausdrücke "erster, zweiter, usw." werden nur zur Unterscheidung eines Elementes von einem anderen verwendet.
    • 102
    Dato Warehouse Benutzersystem
    104
    Data Warehouse System
    106
    Netzwerk
    108
    PCP-System
    110
    PCP-Benutzersystem
    206
    Datenimportfunktion
    208
    Sortierbereich
    210
    Data Warehouse
    212
    Patientengruppenbericht
    302
    EMR-Datenbank
    304
    Patientenkennung
    308
    Codierte Patientenkennung
    312
    Passwort-String
    402
    Patientenkennungs-Decodierungssoftware 5 Flussdiagramm
    600
    System
    610
    Benutzerarbeitsstation
    620
    Web-Portal
    630
    Datenspeicher
    640
    Datenverbindung
    650
    Anzeige
    660
    Daten-Server

Claims (10)

  1. Verfahren (100) für lokalisierte Re-Identifikation von Patientendaten in einer autorisierten Umgebung, wobei das Verfahren (500) die Schritte umfasst: Abrufen, innerhalb einer autorisierten Umgebung, einer verschlüsselten Patientenkennung aus einer Datei (530); Lokalisieren einer Patientenkennung in Verbindung mit Patientenidentifikationsinformation unter Verwendung der verschlüsselten Patientenkennung (540, 545); und Einfügen, innerhalb einer autorisierten Umgebung, der Patientenidentifikationsinformation in die Datei (555).
  2. Verfahren (500) nach Anspruch 1, wobei der Lokalisierungsschritt ferner eine Lokalisierung der Patientenkennung in Verbindung mit Patientenidentifikationsinformation in einer Datenbank unter Verwendung der verschlüsselten Patientenkennung aufweist.
  3. Verfahren (500) nach Anspruch 1, wobei die Datei einen Bericht von ein Kriterium erfüllenden Patienten aufweist, wobei die Patienten in dem Bericht anonym sind.
  4. Verfahren (500) nach Anspruch 1, ferner mit den Schritten: Modifizieren der Datei; und automatisches Hochladen der Datei aus der autorisierten Umgebung zu einem Data Warehouse zu einem vorbestimmten Termin.
  5. Verfahren (500) nach Anspruch 1, ferner mit den Schritten: Modifizieren des Dokumentes mit der eingefügten Patientenidentifikationsinformation; Ersetzen der Patientenidentifikationsinformation durch die verschlüsselte Patientenkennung; und Speichern der Datei in einer Datenbank.
  6. Verfahren (500) nach Anspruch 1, ferner mit dem Schritt der Authentisierung eines Benutzers zum Re-Identifizieren der Patientendaten (520).
  7. Patienten-Re-Identifikations-System (600), wobei das System (600) aufweist: einen Patientendaten speichernden Datenspeicher (630), wobei die Patientendaten eine verschlüsselte Patientenkennung und eine Patientenkennung enthalten, wobei die verschlüsselte Patientenkennung der Patientenkennung entspricht; und einen Prozessor (610, 620), der für eine Verbindung mit dem Datenspeicher (630) konfiguriert ist, wobei der Prozessor (610, 620) eine Betrachtungsanwendung enthält, die in der Lage ist, Patientendaten in einer Datei ein schließlich der verschlüsselten Patientenkennung zu betrachten; wobei der Prozessor (610, 620) eine Prozedur aufruft, um die verschlüsselte Patientenkennung in der Datei durch die entsprechende Patientenkennung unter Verwendung des Datenspeichers (630) zu ersetzen, und wobei die Ersetzung der codierten Patientendaten durch die entsprechende Patientenkennung über den Prozessor (610, 620) erfolgt.
  8. System (600) nach Anspruch 7, wobei die Datei einen Bericht von Kriterien erfüllenden Patienten aufweist, wobei die Patienten in dem Bericht anonym sind.
  9. System (600) nach Anspruch 7, wobei die Datei unter Verwendung des Prozessors (610, 620) modifiziert wird und automatisch unter Verwendung des Prozessors in dem Datenspeicher (630) zu einem vorbestimmten Termin hochgeladen wird.
  10. System (600) nach Anspruch 7, wobei die Prozedur in einer unter Verwendung des Prozessors (610, 620) ausgeführten Betrachtungsanwendung enthalten ist, wobei die Betrachtungsanwendung für die Betrachtung der Datei konfiguriert ist, während die Prozedur eine Schnittstelle zwischen der Betrachtungsanwendung und dem Datenspeicher (630) bildet.
DE102007019375A 2006-04-27 2007-04-23 Systeme und Verfahren zur Re-Identifikation von Patienten Withdrawn DE102007019375A1 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US79545306P 2006-04-27 2006-04-27
US60/795,453 2006-04-27
US11/469,747 US20070192139A1 (en) 2003-04-22 2006-09-01 Systems and methods for patient re-identification
US11/469,747 2006-09-01

Publications (1)

Publication Number Publication Date
DE102007019375A1 true DE102007019375A1 (de) 2007-10-31

Family

ID=38135269

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102007019375A Withdrawn DE102007019375A1 (de) 2006-04-27 2007-04-23 Systeme und Verfahren zur Re-Identifikation von Patienten

Country Status (5)

Country Link
US (1) US20070192139A1 (de)
JP (1) JP5008003B2 (de)
CA (1) CA2585678A1 (de)
DE (1) DE102007019375A1 (de)
GB (1) GB0707816D0 (de)

Families Citing this family (81)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7309001B2 (en) * 2005-05-31 2007-12-18 Catalina Marketing Corporation System to provide specific messages to patients
JP5662158B2 (ja) * 2007-12-28 2015-01-28 コーニンクレッカ フィリップス エヌ ヴェ 情報交換システム及び装置
JP5018541B2 (ja) * 2008-02-19 2012-09-05 富士ゼロックス株式会社 情報処理装置および履歴情報管理プログラム
JP5088201B2 (ja) * 2008-03-27 2012-12-05 日本電気株式会社 緊急時の該当者検索システム、その方法及びプログラム
US8024273B2 (en) * 2008-06-27 2011-09-20 Microsoft Corporation Establishing patient consent on behalf of a third party
EP2166484A1 (de) * 2008-09-19 2010-03-24 SCP Asclépios Zugriffsverfahren auf personenbezogene Daten, wie etwa einem persönlichen medizinischen Datenblatt, mit Hilfe eines lokalen Generierungsagenten
US8316054B2 (en) * 2008-09-22 2012-11-20 University Of Ottawa Re-identification risk in de-identified databases containing personal information
US8554579B2 (en) 2008-10-13 2013-10-08 Fht, Inc. Management, reporting and benchmarking of medication preparation
US20100114607A1 (en) * 2008-11-04 2010-05-06 Sdi Health Llc Method and system for providing reports and segmentation of physician activities
EP2199907A1 (de) * 2008-12-22 2010-06-23 Koninklijke Philips Electronics N.V. Verfahren zum Austauschen von Daten
WO2010119553A1 (ja) * 2009-04-16 2010-10-21 リプレックス株式会社 サービスシステム
CA2690788C (en) * 2009-06-25 2018-04-24 University Of Ottawa System and method for optimizing the de-identification of datasets
JP2011065606A (ja) * 2009-09-18 2011-03-31 Terumo Corp 医療情報管理システム
US11871901B2 (en) 2012-05-20 2024-01-16 Cilag Gmbh International Method for situational awareness for surgical network or surgical network connected device capable of adjusting function based on a sensed situation or usage
CA2889352C (en) 2012-10-26 2021-12-07 Baxter Corporation Englewood Improved work station for medical dose preparation system
KR20200018728A (ko) 2012-10-26 2020-02-19 백스터 코포레이션 잉글우드 의료 투여분 조제 시스템을 위한 개선된 이미지 취득
WO2014075836A1 (en) * 2012-11-16 2014-05-22 Deutsches Krebsforschungszentrum Stiftung des öffentlichen Rechts Pseudonymisation and re-identification of identifiers
JP6563812B2 (ja) * 2012-12-10 2019-08-21 コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. マルチサイトパフォーマンス測定を匿名にし、匿名データの処理及び再識別を制御する方法及びシステム
DE102013202825A1 (de) * 2013-02-21 2014-08-21 Siemens Aktiengesellschaft Verfahren und System zur Darstellung medizinischer Inhalte
AU2015275323B2 (en) * 2013-11-27 2017-09-14 Accenture Global Services Limited System for anonymizing and aggregating protected health information
US10607726B2 (en) * 2013-11-27 2020-03-31 Accenture Global Services Limited System for anonymizing and aggregating protected health information
EP3161778A4 (de) * 2014-06-30 2018-03-14 Baxter Corporation Englewood Verwalteter austausch medizinischer informationen
US9799096B1 (en) * 2014-07-08 2017-10-24 Carnegie Mellon University System and method for processing video to provide facial de-identification
US11107574B2 (en) 2014-09-30 2021-08-31 Baxter Corporation Englewood Management of medication preparation with formulary management
US20160147945A1 (en) * 2014-11-26 2016-05-26 Ims Health Incorporated System and Method for Providing Secure Check of Patient Records
US10289868B2 (en) * 2014-11-27 2019-05-14 Siemens Aktiengesellschaft Transmitting medical datasets
CA2969451A1 (en) 2014-12-05 2016-06-09 Baxter Corporation Englewood Dose preparation data analytics
EP3265989A4 (de) 2015-03-03 2018-10-24 Baxter Corporation Englewood Pharmaziearbeitsflussverwaltung mit integrierten alarmen
JP6146748B2 (ja) * 2015-03-04 2017-06-14 Nl技研株式会社 通信機器
US10600506B2 (en) * 2015-05-13 2020-03-24 Iqvia Inc. System and method for creation of persistent patient identification
US9824236B2 (en) 2015-05-19 2017-11-21 Accenture Global Services Limited System for anonymizing and aggregating protected information
US10205708B1 (en) * 2015-08-21 2019-02-12 Teletracking Technologies, Inc. Systems and methods for digital content protection and security in multi-computer networks
US9916446B2 (en) * 2016-04-14 2018-03-13 Airwatch Llc Anonymized application scanning for mobile devices
JP6880656B2 (ja) * 2016-07-26 2021-06-02 富士通株式会社 情報処理装置、情報処理システム、プログラム、及び情報処理方法
WO2018151788A1 (en) * 2017-02-14 2018-08-23 Genomsys Sa Method and systems for the efficient compression of genomic sequence reads
US11574707B2 (en) * 2017-04-04 2023-02-07 Iqvia Inc. System and method for phenotype vector manipulation of medical data
CN111201574B (zh) 2017-10-11 2024-04-19 克里克疗法有限公司 确保使用数字疗法的疾病和障碍的治疗中的数据安全性的系统和方法
US11911045B2 (en) 2017-10-30 2024-02-27 Cllag GmbH International Method for operating a powered articulating multi-clip applier
US11801098B2 (en) 2017-10-30 2023-10-31 Cilag Gmbh International Method of hub communication with surgical instrument systems
US20190125320A1 (en) 2017-10-30 2019-05-02 Ethicon Llc Control system arrangements for a modular surgical instrument
US11744604B2 (en) 2017-12-28 2023-09-05 Cilag Gmbh International Surgical instrument with a hardware-only control circuit
US11844579B2 (en) 2017-12-28 2023-12-19 Cilag Gmbh International Adjustments based on airborne particle properties
US11818052B2 (en) 2017-12-28 2023-11-14 Cilag Gmbh International Surgical network determination of prioritization of communication, interaction, or processing based on system or device needs
US11864728B2 (en) 2017-12-28 2024-01-09 Cilag Gmbh International Characterization of tissue irregularities through the use of mono-chromatic light refractivity
US11903601B2 (en) 2017-12-28 2024-02-20 Cilag Gmbh International Surgical instrument comprising a plurality of drive systems
US11132462B2 (en) 2017-12-28 2021-09-28 Cilag Gmbh International Data stripping method to interrogate patient records and create anonymized record
US11166772B2 (en) 2017-12-28 2021-11-09 Cilag Gmbh International Surgical hub coordination of control and communication of operating room devices
US11832899B2 (en) 2017-12-28 2023-12-05 Cilag Gmbh International Surgical systems with autonomously adjustable control programs
US11109866B2 (en) 2017-12-28 2021-09-07 Cilag Gmbh International Method for circular stapler control algorithm adjustment based on situational awareness
US20190205567A1 (en) * 2017-12-28 2019-07-04 Ethicon Llc Data pairing to interconnect a device measured parameter with an outcome
US11666331B2 (en) 2017-12-28 2023-06-06 Cilag Gmbh International Systems for detecting proximity of surgical end effector to cancerous tissue
US11786251B2 (en) 2017-12-28 2023-10-17 Cilag Gmbh International Method for adaptive control schemes for surgical network control and interaction
US11633237B2 (en) 2017-12-28 2023-04-25 Cilag Gmbh International Usage and technique analysis of surgeon / staff performance against a baseline to optimize device utilization and performance for both current and future procedures
US11678881B2 (en) 2017-12-28 2023-06-20 Cilag Gmbh International Spatial awareness of surgical hubs in operating rooms
US10892995B2 (en) 2017-12-28 2021-01-12 Ethicon Llc Surgical network determination of prioritization of communication, interaction, or processing based on system or device needs
US11696760B2 (en) 2017-12-28 2023-07-11 Cilag Gmbh International Safety systems for smart powered surgical stapling
US11969142B2 (en) 2017-12-28 2024-04-30 Cilag Gmbh International Method of compressing tissue within a stapling device and simultaneously displaying the location of the tissue within the jaws
US11857152B2 (en) 2017-12-28 2024-01-02 Cilag Gmbh International Surgical hub spatial awareness to determine devices in operating theater
US11026751B2 (en) 2017-12-28 2021-06-08 Cilag Gmbh International Display of alignment of staple cartridge to prior linear staple line
US11969216B2 (en) 2017-12-28 2024-04-30 Cilag Gmbh International Surgical network recommendations from real time analysis of procedure variables against a baseline highlighting differences from the optimal solution
US11896443B2 (en) 2017-12-28 2024-02-13 Cilag Gmbh International Control of a surgical system through a surgical barrier
US10758310B2 (en) 2017-12-28 2020-09-01 Ethicon Llc Wireless pairing of a surgical device with another device within a sterile surgical field based on the usage and situational awareness of devices
US20190201113A1 (en) 2017-12-28 2019-07-04 Ethicon Llc Controls for robot-assisted surgical platforms
US11771487B2 (en) 2017-12-28 2023-10-03 Cilag Gmbh International Mechanisms for controlling different electromechanical systems of an electrosurgical instrument
US11896322B2 (en) 2017-12-28 2024-02-13 Cilag Gmbh International Sensing the patient position and contact utilizing the mono-polar return pad electrode to provide situational awareness to the hub
US11786245B2 (en) 2017-12-28 2023-10-17 Cilag Gmbh International Surgical systems with prioritized data transmission capabilities
US11389164B2 (en) 2017-12-28 2022-07-19 Cilag Gmbh International Method of using reinforced flexible circuits with multiple sensors to optimize performance of radio frequency devices
US11937769B2 (en) 2017-12-28 2024-03-26 Cilag Gmbh International Method of hub communication, processing, storage and display
US11659023B2 (en) 2017-12-28 2023-05-23 Cilag Gmbh International Method of hub communication
US11202570B2 (en) 2017-12-28 2021-12-21 Cilag Gmbh International Communication hub and storage device for storing parameters and status of a surgical device to be shared with cloud based analytics systems
US11259830B2 (en) 2018-03-08 2022-03-01 Cilag Gmbh International Methods for controlling temperature in ultrasonic device
US11298148B2 (en) 2018-03-08 2022-04-12 Cilag Gmbh International Live time tissue classification using electrical parameters
US11986233B2 (en) 2018-03-08 2024-05-21 Cilag Gmbh International Adjustment of complex impedance to compensate for lost power in an articulating ultrasonic device
US11589865B2 (en) 2018-03-28 2023-02-28 Cilag Gmbh International Methods for controlling a powered surgical stapler that has separate rotary closure and firing systems
US11090047B2 (en) 2018-03-28 2021-08-17 Cilag Gmbh International Surgical instrument comprising an adaptive control system
US11464511B2 (en) 2019-02-19 2022-10-11 Cilag Gmbh International Surgical staple cartridges with movable authentication key arrangements
US11291445B2 (en) 2019-02-19 2022-04-05 Cilag Gmbh International Surgical staple cartridges with integral authentication keys
PT115479B (pt) * 2019-04-29 2021-09-15 Mediceus Dados De Saude Sa Sistema de computador e método de operação para gerir dados pessoais anonimizados
EP3968591B1 (de) * 2020-09-10 2023-06-07 Siemens Healthcare GmbH Verfahren zum sicheren speichern und abrufen von medizinischen daten
US20230179577A1 (en) * 2021-12-06 2023-06-08 Here Global B.V. Method and apparatus for managing user requests related to pseudonymous or anonymous data
KR102489574B1 (ko) * 2022-02-09 2023-01-18 (주)큐브더모먼트 가명정보 파일을 판별하기 위한 정보집합물 내에 삽입된 서명을 포함하는 가명정보 파일의 생성 및 판별 방법, 장치 및 컴퓨터프로그램

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7149773B2 (en) * 1999-07-07 2006-12-12 Medtronic, Inc. System and method of automated invoicing for communications between an implantable medical device and a remote computer system or health care provider
US6397224B1 (en) * 1999-12-10 2002-05-28 Gordon W. Romney Anonymously linking a plurality of data records
US6734886B1 (en) * 1999-12-21 2004-05-11 Personalpath Systems, Inc. Method of customizing a browsing experience on a world-wide-web site
US6874085B1 (en) * 2000-05-15 2005-03-29 Imedica Corp. Medical records data security system
US20030039362A1 (en) * 2001-08-24 2003-02-27 Andrea Califano Methods for indexing and storing genetic data
US20030074564A1 (en) * 2001-10-11 2003-04-17 Peterson Robert L. Encryption system for allowing immediate universal access to medical records while maintaining complete patient control over privacy
US20040128163A1 (en) * 2002-06-05 2004-07-01 Goodman Philip Holden Health care information management apparatus, system and method of use and doing business
US20040172293A1 (en) * 2003-01-21 2004-09-02 Paul Bruschi Method for identifying and communicating with potential clinical trial participants
US7519591B2 (en) * 2003-03-12 2009-04-14 Siemens Medical Solutions Usa, Inc. Systems and methods for encryption-based de-identification of protected health information
US7543149B2 (en) * 2003-04-22 2009-06-02 Ge Medical Systems Information Technologies Inc. Method, system and computer product for securing patient identity

Also Published As

Publication number Publication date
JP2007299396A (ja) 2007-11-15
JP5008003B2 (ja) 2012-08-22
CA2585678A1 (en) 2007-10-27
GB0707816D0 (en) 2007-05-30
US20070192139A1 (en) 2007-08-16

Similar Documents

Publication Publication Date Title
DE102007019375A1 (de) Systeme und Verfahren zur Re-Identifikation von Patienten
US7543149B2 (en) Method, system and computer product for securing patient identity
US8037052B2 (en) Systems and methods for free text searching of electronic medical record data
US8032545B2 (en) Systems and methods for refining identification of clinical study candidates
US8180654B2 (en) Method and system for creating, assembling, managing, utilizing, and securely storing portable personal medical records
US20070294111A1 (en) Systems and methods for identification of clinical study candidates
US20070294112A1 (en) Systems and methods for identification and/or evaluation of potential safety concerns associated with a medical therapy
DE102008002920A1 (de) Systeme und Verfahren für klinische Analyseintegrationsdienste
Noumeir et al. Pseudonymization of radiology data for research purposes
US20100332260A1 (en) Personal record system with centralized data storage and distributed record generation and access
WO2012129265A1 (en) Encrypted portable electronic medical record system
US20140058756A1 (en) Methods and apparatus for responding to request for clinical information
US20110125646A1 (en) Methods and systems for managing personal health records by individuals
US8019620B2 (en) System and method for medical privacy management
US20100114781A1 (en) Personal record system with centralized data storage and distributed record generation and access
WO2021062310A1 (en) Utilizing a user's health data stored over a health care network for disease prevention
US20210005293A1 (en) System and method for providing access of a user's health information to third parties
Vinaykumar et al. Security and privacy of electronic medical records
Jamal et al. Digitalizing health care system using Aadhar card
Deutsch Using Unique Identifiers Within Syringe Service Programs
DE102019113070A1 (de) Techniken zum begrenzen von risiken bei der elektronischen übermittlung von patienteninformationen
Srinivasan et al. Medical Records, Computers in

Legal Events

Date Code Title Description
R005 Application deemed withdrawn due to failure to request examination

Effective date: 20140424