-
HINTERGRUND
DER ERFINDUNG
-
Die
vorliegende Erfindung betrifft im Wesentlichen die Sicherstellung
von Patientenidentität
und insbesondere die De-Identifizierung (Anonymisierung) von Patientendaten
bei einer ambulanten Patientenversorgungs-(PCP – Patient Care Provider)-Stelle
zur Weitergabe an ein Data Warehouse System, und dann die Re-Identifizierung
eines Patienten bei der PCP-Stelle aus den von dem Data Warehouse
System empfangenen de-identifizierten (anonymisierten) Patientendaten.
-
Krankenhäuser verwenden
typischerweise Computersysteme für
die Verwaltung der verschiedenen Abteilungen innerhalb eines Krankenhauses, und
Daten über
jeden Patienten werden durch eine Vielfalt von Computersystemen
gesammelt. Beispielsweise kann ein Patient in das Krankenhaus für eine transthorakale
Echountersuchung (TTE) eingewiesen werden. Information über den
Patienten (z.B. Personenstandsinformation und Versicherungsinformation)
könnten
von dem Krankenhausinformationssystem (HIS – Hospital Information System)
erhalten werden und in einem Patientendatensatz gespeichert werden.
Diese Information könnte
dann an das System der Kardiologieabteilung (allgemein als das kardiovaskuläre Informationssystem
oder CVIS) bekannt) weitergegeben werden. Typischerweise ist das
CVIS ein Produkt der einen Firma, während das HIS das Produkt einer
anderen Firma ist. Demzufolge kann die Datenbank zwischen den zwei
Systemen unterschiedlich sein. Ferner können Informationssysteme unter schiedliche
Auflösungsgrade
in den Daten erfassen/speichern und senden. Sobald die Patienteninformation
durch das CVIS empfangen wurde, kann der Patient für eine TTE
in dem Echolabor eingeplant werden. Anschließend wird die TTE von der die
Sonografie durchführenden
Person ausgeführt. Bilder
und Messwerte werden aufgenommen, und an den CVIS-Server gesendet.
Der lesende Arzt (z.B. ein Echokardiografien durchführender
Arzt) sitzt an einer Betrachtungsstation und ruft sich die TTE-Untersuchung
des Patienten ab. Der Echokardiografien durchführende Arzt beginnt dann mit
der Betrachtung der Bilder und Messungen und erzeugt einen vollständigen medizinischen
Bericht über
die Untersuchung. Wenn der Echokardiografien durchführende Arzt
den medizinischen Bericht abgeschlossen hat, wird der Bericht an
den CVIS-Server gesendet, wo er gespeichert und dem Patienten über Patientenidentifikationsdaten
zugeordnet wird. Dieser abgeschlossene medizinische Bericht ist
ein Beispiel der Art eines Berichtes, der an ein Datenarchiv für öffentliche Datenanalyse
gesendet werden könnte.
Medikationsanweisungen, wie z.B. Dokumentation und/oder Verschreibung
können
ebenfalls elektronisch erzeugt und in einem Datenarchiv gesichert
werden.
-
Data
Warehousing Verfahren wurden bereits verwendet, um aus medizinischen
Abrechnungen und elektronischen medizinischen Datensätzen (EMR)
gewonnene Patienteninformation zu sammeln, zu bereinigen, zu sortieren,
wiederzugeben und zu analysieren. Patientendaten können aus mehreren
EMR-Datenbanken, die sich bei PCP-Stellen an geografisch verteilten
Orten befinden, ausgelesen werden und dann zu einem zentral angeordneten
Data Warehouse transportiert und gespeichert werden. Das zentrale
Data Warehouse kann eine Quelle von Information für Populations-basierende Profilberichte ärzt licher
Produktivität,
Vorsorge, Krankheits-Verwaltungsstatistiken und Forschung hinsichtlich
klinischer Ergebnisse sein. Das zentrale Data Warehouse kann auch
dazu genutzt werden, um die Leistungen verschiedener Versorgungsanbieter
zu bewerten. Patientendaten sind sensible und vertrauliche Daten
und daher muss spezifische identifizierende Information entfernt
werden, bevor diese von einer PCP-Stelle an ein zentrales Data Warehouse
geliefert wird. Diese Entfernung von identifizierender Information
muss aufgrund der "Health
Insurance Portability and Accountability Act" (HIPAA) Bundesvorschriften durchgeführt werden.
Alle in einer öffentlichen
Datenbank enthaltenen Daten dürfen die
Identität
der individuellen Patienten, deren medizinische Information in der
Datenbank enthalten ist, nicht aufdecken. Aufgrund dieser Anforderung
muss jede in einem medizinischen Bericht oder Datensatz enthaltene
Information, die zu der Rückverfolgung
zu einer bestimmten Person beitragen könnte, aus dem Bericht oder
dem Datensatz vor der Lieferung der Daten an ein Data Warehouse
für öffentliche
Datenanalyse (Data-Mining) entfernt werden.
-
Um
die Auswirkung eines speziellen Medikamentes oder einer Behandlung
auf einen Patienten genau zu bewerten, ist es hilfreich, alle medizinischen
Berichte bezüglich
des bestimmten Patienten zu analysieren. Die Entfernung von Daten,
die dazu genutzt werden können,
um eine Rückverfolgung
auf einen individuellen Patienten auszuführen, kann es unmöglich machen,
alle einen bestimmten Patienten betreffenden medizinischen Berichte
zu gruppieren und zu analysieren. Zusätzlich kann eines der Ziele einer
Populationsanalyse die Erstellung einer Risikogruppenpopulation
sein, die aus Personen besteht, welche Kandidaten für einen
klinischen Eingriff sein können.
Jedoch sind de-identifizierte Daten nicht sehr nützlich für die Patientenversorger, welche
die Identität
ihrer eigenen Patienten kennen müssen,
um sie zu behandeln. Zusätzlich
können
Systembenutzer die Fähigkeit
benötigen,
Patienten für
eine weitere Nachbehandlung zu re-identifizieren. Es kann sein,
dass Portalbenutzer die Patienten in einem Prozess, der nicht das
Portalsystem beinhaltet, re-identifizieren müssen, d.h., dass der Prozess
der Re-Identifikation auf dem lokalen Benutzersystem stattfindet.
-
Daher
gibt es den Wunsch nach Systemen und Verfahren zum Re-Identifizieren
von Patienten in Bezug auf medizinische Datensätze. Es gibt den Wunsch nach
Systemen und Verfahren zur sicheren Re-Identifikationen von Patientendatensätzen in Übereinstimmung
mit HIPAA.
-
KURZZUSAMMENFASSUNG
DER ERFINDUNG
-
Bestimmte
Ausführungsformen
der vorliegenden Erfindung stellen Systeme und Verfahren zum Abrufen
und Re-Identifizieren de-identifizierter oder anonymisierter Patientendaten
bereit.
-
Bestimmte
Ausführungsformen
stellen Systeme und Verfahren zum Re-Identifizieren von Patientendaten
bereit. Patientendaten können
re-identifiziert werden, indem eine verschlüsselte oder abstrahierte Patientenkennung
abgerufen wird. Die Kennung wird dazu genutzt, um eine Patientenkennung in
Verbindung mit Patientenidentifikationsinformation abzurufen. Die
Patientenidentifikationsinformation kann in einen Bericht oder in
ein anderes Dokument auf einem lokalen Computer oder einem Web-Portal für den Zugriff
durch einen autorisierten Benutzer eingefügt werden.
-
Bestimmte
Ausführungsformen
stellen ein Verfahren zur lokalisierten Re-Identifikation von Patientendaten
in einer autorisierten Umgebung bereit. Das Verfahren beinhaltet
den Abruf einer verschlüsselten
Patientenkennung aus einer Datei in einer autorisierten Umgebung.
Das Verfahren beinhaltet auch eine Lokalisierung einer Patientenkennung
in Verbindung mit Patientenidentifikationsinformation unter Verwendung
der verschlüsselten
Patientenkennung. Zusätzlich
beinhaltet das Verfahren die Einfügung einer Patientenidentifikationsinformation
in die Datei in einer autorisierten Umgebung.
-
Bestimmte
Ausführungsformen
stellen ein Patienten-Re-Identifikationssystem
bereit. Das System enthält
einen Patientendaten speichernden Datenspeicher. Die Patientendaten
enthalten eine verschlüsselte
Patientenkennung und eine Patientenkennung. Die verschlüsselte Patientenkennung
entspricht der Patientenkennung. Das System enthält ferner einen Prozessor,
der für
eine Verbindung mit dem Datenspeicher eingerichtet ist. Der Prozessor enthält eine
Betrachtungsanwendung, die in der Lage ist, Patientendaten in einer
die verschlüsselten Patientenkennung
enthaltenden Datei zu betrachten. Der Prozessor ruft eine Prozedur
zum Ersetzen der verschlüsselten
Patientenkennung in der Datei mit der entsprechenden Patientenkennung
unter Verwendung des Datenspeichers auf. Die Ersetzung der codierten
Patientendaten durch die entsprechende Patientenkennung erfolgt
mittels des Prozessors.
-
Bestimmte
Ausführungsformen
stellen wenigstens ein Computerlesbares Medium mit einem Satz von
Instruktionen zur Ausführung
auf einem Computer bereit. Der Satz von Instruk tionen enthält einen
Patienten-bezogene Daten enthaltenden Datenspeicher. Die Patienten-bezogenen
Daten enthalten wenigstens eine verschlüsselte Patientenkennung und
wenigstens eine unverschlüsselte
Patientenkennung. Die Patientenbezogenen Daten sind durch die wenigstens
eine verschlüsselte
Patientenkennung und die wenigstens eine unverschlüsselte Patientenkennung
suchbar. Der Satz von Instruktionen enthält auch eine Betrachtungsanwendung,
die dafür
eingerichtet ist, eine Patientendaten enthaltende Datei in einer
autorisierten Umgebung zu betrachten. Zusätzlich enthält der Satz von Instruktionen eine über die
Betrachtungsanwendung ausgelöste Re-Identifikationsroutine.
Die Re-Identifikationsroutine
wählt eine
verschlüsselte
Patientenkennung in der Datei aus und gleicht die verschlüsselte Patientenkennung
in der Datei mit wenigstens einer verschlüsselten Patientenkennung in
dem Datenspeicher ab. Die Re-Identifikationsroutine
lokalisiert eine unverschlüsselte
Patientenkennung, die mit der verschlüsselten Patientenkennung übereinstimmt
und fügt
die unverschlüsselte
Patientenkennung in die Datei in der autorisierten Umgebung ein.
-
KURZBESCHREIBUNG
DER VERSCHIEDENEN ANSICHTEN DER ZEICHNUNGEN
-
1 ist
ein exemplarisches System zur Sicherstellung von Patientenidentität gemäß einer
Ausführungsform
der vorliegenden Erfindung.
-
2 ist
eine Blockdarstellung einer exemplarischen Data Warehouse Architektur
gemäß einer Ausführungsform
der vorliegenden Erfindung.
-
3 stellt
einen exemplarischen Prozess zum De-Identifizieren von Patientendaten zur
Speicherung in einem Data Warehouse dar, der gemäß einer Ausführungsform
der vorliegenden Erfindung angewendet wird.
-
4 ist
eine Blockdarstellung eines exemplarischen Prozesses zum Re-Identifizieren
eines Patienten aus de-identifizierten
Patientendaten gemäß einer
Ausführungsform
der vorliegenden Erfindung.
-
5 stellt
ein Flussdiagramm für
ein Verfahren zum Re-Identifizieren eines Patienten aus de-identifizierten
Patientendaten gemäß einer
Ausführungsform
der vorliegenden Erfindung dar.
-
6 stellt
ein System zur De-Identifikation und Re-Identifikation von Patientendaten gemäß einer
Ausführungsform
der vorliegenden Erfindung dar.
-
Die
vorstehende Zusammenfassung sowie die nachfolgende detaillierte
Beschreibung bestimmter Ausführungsformen
der vorliegenden Erfindung wird besser verständlich, wenn diese in Verbindung mit
den beigefügten
Zeichnungen gelesen werden. Für
den Zweck der Darstellung der Erfindung sind bestimmte Ausführungsformen
in den Zeichnungen dargestellt. Es dürfte sich jedoch verstehen,
dass die vorliegende Erfindung nicht auf die in den beigefügten Zeichnungen
dargestellten Anordnungen und die Instrumentalität beschränkt ist.
-
DETAILLIERTE
BESCHREIBUNG DER ERFINDUNG
-
Eine
exemplarische Ausführungsform
der vorliegenden Erfindung ist ein sicherer Prozess, um de-identifizierte
Patienteninformation von einer ambulanten Patientenversorger- (PCP)-Stelle an ein Data
Warehouse System zu senden, wo die Patientendaten analysiert und
mit einem größeren Umfang von
Patientendaten verglichen werden können. Die Begriffe "de-identifizierte Patienteninformation" und "de-identifizierte
Patientendaten",
wie sie in diesem Dokument verwendet werden, beziehen sich sowohl auf
die vollständig
de-identifizierten Daten gemäß Definition
durch HIPAA als auch beschränkte
Datensatzdaten gemäß Definition
durch HIPAA. Ein beschränkter
Datensatz besteht aus geschützter
Gesundheitsinformation für
Forschung, öffentliche
Gesundheit und Gesundheitsfürsorgemaßnahmen,
die direkte Kennungen (z.B. Name; Postadresse außer der Stadt, Staat und Zip-Code;
Sozialversicherungsnummer; medizinische Aufzeichnungsdatennummern)
ausschließt,
in welchen aber weitere Identifizierungsinformation verbleiben kann
(wie z.B. Datum der Untersuchung; Dokumentation; Diagnose; Verschreibung;
Labortestergebnisse). Dieses steht im Gegensatz zu vollständig deidentifizierten
Daten gemäß Definition
durch HIPAA, wo alle Daten, die dazu genutzt werden können, um
eine Rückverfolgung
zu einem einzelnen Patienten durchzuführen, aus dem Datensatz entfernt
werden. Über
das Data Warehouse erhaltene Information, die einzelne Patienten betrifft,
wird an die Ursprungs-PCP-Stelle über einen Gruppenbericht zurück übertragen.
Gruppenberichte werden durch Abfragen generiert, die gegenüber dem
Data Warehouse System ausgeführt
werden, um Patientensammelgruppen zu identifizieren. Die in einem
Gruppenbericht enthaltenen einzelnen Patienten werden dann an der
PCP-Stelle so re-identifiziert, dass die PCPs die Information betrachten
können, wenn
Behandlungsoptionen für
die einzelnen Patienten entschieden werden.
-
1 ist
ein exemplarisches System zur Sicherung von Patientenidentität. An verschiedenen PCP-Stellen
befindli che PCP-Systeme 108 sind mit einem Netzwerk 106 verbunden.
Die PCP-Systeme 108 senden medizinische Daten des Patienten
an ein bei einem Data Warehouse System 140 befindliches Data
Warehouse. Die PCP-Systeme 108 enthalten typischerweise
Anwendungssoftware, um Daten zusammen mit einer oder mehreren Speichervorrichtungen
auszulesen, um die elektronischen medizinischen Datensätze (EMRs)
in Verbindung mit an der PCP-Stelle behandelten Patienten zu speichern.
Zusätzlich
können
die PCP-Systeme 108 PCP-Benutzersysteme 110 enthalten,
um auf die EMR-Daten zuzugreifen, um das Auslesen von Daten zu initialisieren,
und um einen Passwort-String zur Verwendung bei der Verschlüsselung
einer Patientenkennung einzugeben. Die PCP-Benutzersysteme 110 können direkt
an dem PCP-System 108 angeschlossen sein, oder können auf
das PCP-System 108 über das
Netzwerk 106 zugreifen. Jedes PCP-Benutzersystem 110 kann unter
Verwendung eines Standardcomputers implementiert werden, der ein
Computerprogramm für
die Ausführung
der hierin beschriebenen Prozesse ausführt. Die PCP-Benutzersysteme 110 können Personal
Computer oder an einem Host angeschlossene Terminals sein. Wenn
die PCP-Benutzersysteme 110 Personal
Computer sind, kann die hierin, beschriebene Verarbeitung gemeinsam von
einem PCP-Benutzersystem 110 und einem PCP-System 108 genutzt
werden, indem ein Applet an das PCP-Benutzersystem 110 geliefert
wird.
-
Die
bei dem PCP-System 108 befindliche Speichervorrichtung
kann unter Verwendung einer Vielzahl von Vorrichtungen zur Speicherung
elektrischer Information, wie z.B. durch einen Dateiübertragungsprotokoll-(FTP)-Server
implementiert werden. Es dürfte
sich verstehen, dass die Speichervorrichtung unter Verwendung eines
in dem PCP-System 108 enthaltenen Speichers implementiert
werden kann oder dieses eine getrennte physikalische Vorrichtung
sein kann. Die Speicher vorrichtung enthält eine Vielfalt von Information
einschließlich
einer EMR-Datenbank.
-
Zusätzlich enthält das System
von 1 eines oder mehrere Data Warehouse Benutzersysteme 102, über welche
ein Endnutzer eine Anforderung für
ein Anwendungsprogramm in dem Data Warehouse System 104 stellen
kann, um auf spezielle Datensätze
zuzugreifen, die in dem Data Warehouse gespeichert sind (um z.B.
einen Gruppenbericht zu erzeugen). In einer exemplarischen Ausführungsform
der vorliegenden Erfindung können
Endnutzer PCP-Personal, Forschungsteam-Mitglieder von pharmazeutischen oder
anderen Firmen und Personal und Firmen umfassen, die medizinische
oder andere Produkte herstellen. Die Data Warehouse Benutzersysteme 102 können direkt
mit dem Data Warehouse System 104 verbunden sein, oder
sie können
mit dem Data Warehouse System 104 über das Netzwerk 106 verbunden
sein. Jedes Data Warehouse Benutzersystem 102 kann unter
Verwendung eines Standardcomputers implementiert sein, der ein Computerprogramm
zur Ausführung
der hierin beschriebenen Prozesse durchführt. Die Data Warehouse Benutzersysteme 102 können Personal
Computer, an einem Host angeschlossene Terminals, Software und/oder
andere Prozessoren sein. Wenn die Data Warehouse Benutzersysteme 102 Personal Computer
sind, kann die hierin beschriebene Verarbeitung gemeinsam von einem
Data Warehouse Benutzersystem 102 und dem Data Warehouse
System 104 genutzt werden, indem ein Applet an das Data Warehouse
Benutzersystem 102 gesendet wird.
-
Das
Netzwerk 106 kann jeder Typ eines bekannten Netzwerks,
einschließlich
eines lokalen Netzwerks (LAN), eines Weitbereichsnetzwerks (WAN),
ein Intranet oder ein globales Netzwerk (z.B. Internet) sein. Ein
Data Warehouse Benutzer system 102 kann mit dem Data Warehouse
System 104 über mehrere
Netzwerke (z.B. Intranet und Internet) verbunden sein, sodass nicht
alle Data Warehouse Benutzersysteme 102 mit dem Data Warehouse
System 104 über
dasselbe Netzwerk verbunden sein müssen. In ähnlicher Weise kann ein PCP-System 108 mit
dem Datenanalyse-Hostsystem 104 über mehrere Netzwerke (z.B.
Intranet und Internet) so verbunden sein, dass nicht alle PCP-Systeme 108 mit
dem Data Warehouse System 104 über dasselbe Netzwerk verbunden
sein müssen.
Eines oder mehrere von den Data Warehouse Benutzersystemen 102, den
PCP-Systemen 108 und dem Data Warehouse System 104 können mit
dem Netzwerk 106 in einer drahtlosen Weise verbunden sein,
und das Netzwerk 106 kann ein drahtloses Netzwerk sein.
In einer exemplarischen Ausführungsform
ist das Netzwerk 106 das Internet und jedes Data Warehouse
Benutzersystem 102 führt
eine Benutzerschnittstellenanwendung aus, um eine direkte Verbindung
zu dem Data Warehouse System 104 aufzubauen. In einer weiteren
Ausführungsform
kann ein Data Warehouse Benutzersystem 102 einen Web-Browser
ausführen,
um einen Kontakt zu dem Data Warehouse System 104 über das
Netzwerk 106 herzustellen. Alternativ kann das Data Warehouse
Benutzersystem 102 unter Verwendung einer Vorrichtung implementiert
werden, welche hauptsächlich
für einen
Zugriff auf das Netzwerk 106, wie z.B. Web TV, programmiert
ist.
-
Das
Data Warehouse System 104 kann unter Verwendung eines Servers
implementiert werden, der in Reaktion auf ein Computerprogramm arbeitet, das
in einem über
den Server zugänglichen
Speichermedium gespeichert ist. Das Data Warehouse System 104 kann
als ein Netzwerk-Server (oft als ein Web-Server bezeichnet) arbeiten,
um mit den Data Warehouse Benutzersystemen 102 und den PCP-Systemen 108 zu
kommuni zieren. Das Data Warehouse System 104 verwaltet
das Senden und Empfangen von Information an die und von den Data Warehouse
Benutzersystemen 102 und PCP-Systemen 108 und
kann zugeordnete Aufgaben ausführen.
Das Data Warehouse System 104 kann auch eine Firewall enthalten,
um einen nicht autorisierten Zugriff auf das Data Warehouse System 104 zu
verhindern, und alle Einschränkungen
bezüglich
eines autorisierten Zugriffs zu verstärken. Beispielsweise kann ein
Administrator einen Zugang zu dem gesamten System und die Autorität haben,
Abschnitte des Systems zu verändern
und ein PCP-Personalmitglied kann nur einen Zugriff haben, um eine
Teilsatz der Datensätze
des Data Warehouse für
bestimmte Patienten zu betrachten. In einer exemplarischen Ausführungsform
hat der Administrator die Fähigkeit, neue
Benutzer aufzunehmen, Benutzer zu löschen und Benutzerprivilegien
zu editieren. Die Firewall kann unter Verwendung herkömmlicher
Hardware und/oder Software, wie im Fachgebiet bekannt, implementiert
werden.
-
Das
Data Warehouse System 104 arbeitet auch als ein Anwendungs-Server.
Das Data Warehouse System 104 führt ein oder mehrere Anwendungsprogramme
aus, um einen Zugriff auf das in dem Data Warehouse System befindliche
Datenarchiv bereitzustellen, sowie Anwendungsprogramme, um Patientendaten
in einen Sortierungsbereich und dann in das Data Warehouse zu importieren.
Zusätzlich
kann das Data Warehouse System 104 auch eine oder mehrere
Anwendungen ausführen,
um Patientengruppenberichte zu erzeugen und die Patientengruppenberichte
an die PCP-Systeme 108 zu senden. Die Verarbeitung kann
durch das Data Warehouse Benutzersystem 102 und das Data
Warehouse System 104 gemeinsam genutzt werden, indem eine
Anwendung (z.B. ein Java Applet) an das Data Warehouse Benutzersystem 102 geliefert
wird. Alternativ kann das Data Warehouse Benutzersystem 102 eine
allein stehende Softwareanwendung sein, um einen Teil der hierin
beschriebenen Verarbeitung auszuführen. In ähnlicher Weise kann die Verarbeitung
gemeinsam durch das PCP-System 102 und das Data Warehouse
System 104 genutzt werden, indem eine Anwendung an das
PCP-System 102 geliefert wird, und alternativ kann das
PCP-System 102 eine allein stehende Softwareanwendung enthalten,
um einen Teil der hierin beschriebenen Verarbeitung auszuführen. Es
dürfte
sich verstehen, dass getrennte Server verwendet werden können, um
die Netzwerk-Serverfunktionen
und die Anwendungs-Serverfunktionen zu implementieren. Alternativ
können
der Netzwerk-Server, die Firewall und der Anwendungs-Server durch
nur einen einzigen Server implementiert werden, der Computerprogramme
zur Durchführung
der erforderlichen Funktionen ausführt.
-
Die
bei dem Data Warehouse System 104 befindliche Speichervorrichtung
kann unter Verwendung einer Vielzahl von Vorrichtungen zur Speicherung
von elektronischer Information wie z.B. einen Dateiübertragungsprotokoll-(FTP – File Transfer
Protocol)-Server implementiert werden. Es dürfte sich verstehen, dass die
Speichervorrichtung unter Verwendung eines in dem Data Warehouse
System 104 enthaltenen Speichers implementiert werden kann, oder
dass sie eine getrennte physikalische Vorrichtung sein kann. Die
Speichervorrichtung enthält
eine Vielfalt von ein Data Warehouse beinhaltender Information,
das medizinische Daten von Patienten von einem oder mehreren PCPs
enthält.
Das Data Warehouse System 104 kann auch als ein Datenbank-Server
arbeiten und einen Zugriff auf Anwendungsdaten einschließlich in
der Speichervorrichtung gespeicherter Daten koordinieren. Das Data
Warehouse kann physikalisch als eine einzelne Datenbank mit eingeschränktem Zugriff
auf der Basis von Be nutzereigenschaften gespeichert sein, oder es
kann physikalisch in einer Vielzahl von Datenbanken einschließlich Abschnitten
der Datenbank in den Data Warehouse Benutzersystemen 102 oder
dem Data Warehouse System 104 gespeichert sein. In einer
exemplarischen Ausführungsform
ist das Datenarchiv als ein relationales Datenbanksystem implementiert,
und das Datenbanksystem liefert unterschiedliche Ansichten der Daten
an unterschiedliche Endnutzer auf der Basis von Endnutzereigenschaften.
-
2 ist
eine Blockdarstellung einer exemplarischen Data Warehouse Architektur.
Patientendaten werden von bei den PCP-Systemen 108 befindlichen
EMR-Datenbanken ausgelesen. In einer exemplarischen Ausführungsform
der vorliegenden Erfindung enthält
ein Datensatz einer EMR-Datenbank Daten wie z.B.: Patientenname
und Adresse, Medikation, Allergien, Beobachtungen, Diagnosen und Gesundheitsversicherungsinformation.
Die PCP-Systeme 108 enthalten Anwendungssoftware zum Auslesen
von Patientendaten aus der EMR-Datenbank.
Die Daten werden dann de-identifiziert und über ein Netzwerk 106 (beispielsweise über das
Hypertext Transfer Protocol (HTTPS) zu dem Data Warehouse System 104 transportiert.
Das Data Warehouse System 104 enthält Anwendungssoftware, um eine
Datenimportfunktion 206 auszuführen. Die Datenimportfunktion
sammelt und bereinigt die deidentifizierten Patientendaten von mehreren
Stellen und speichert dann die Daten in einem Sortierungsbereich 208.
Die von den mehreren PCP-Systemen 108 empfangenen Daten
werden normiert, auf Gültigkeit
und Vollständigkeit überprüft und entweder korrigiert
oder als defekt gekennzeichnet. Daten von mehreren PCP-Systemen 108 werden
dann miteinander in einer relationalen Datenbank kombiniert. Das
Sammeln, Bereinigen und Sortieren von Daten in der be schriebenen
Weise erlaubt eine sinnvolle und effiziente Abfrage von Daten entweder
als nur eine Einheit oder für
jede individuelle PCP-Stelle 108 spezifisch. Die de-identifizierten
Patientendaten werden dann in ein Data Warehouse 210 einsortiert,
wo sie zur Abfrage zur Verfügung
stehen.
-
Patientengruppenberichte 212 werden
durch eine Anwendungssoftware generiert, die sich in dem Data Warehouse
System 104 befindet und an die PCP-Systeme 108 durch
die Hauptversorger bei der Behandlung individueller Patienten zurückgesendet. Patientengruppenberichte 212 können automatisch durch
Ausführung
einer Standardabfrage auf einer periodischen Basis automatisch generiert
werden. PCP-Personalmitglieder, Forschungsteammitglieder pharmazeutischer
und anderer Firmen und Personal von Firmen, welche medizinische
oder andere Produkte herstellen, können jeweils Patientengruppenberichte 212 ablaufen
lassen. Zusätzlich
können
Patientengruppenberichte 212 durch einen Endbenutzer erzeugt
werden, der auf ein Data Warehouse Benutzersystem 102 zugreift,
um spezifische Berichte zu erzeugen, oder den Ablauf von Standardberichten zu
initiieren. Ferner können
Patientengruppenberichte 212 automatisch als Reaktion auf
die Anwendungssoftware generiert werden, die sich in dem Data Warehouse
System 104 befindet, indem ermittelt wird, dass spezielle
Kombinationen von Daten für einen
Patienten in dem Data Warehouse gespeichert sind. Ein exemplarischer
Patientengruppenbericht 212 enthält alle Patienten mit einer
bestimmten Erkrankung, die mit einer bestimmten Medikation behandelt
wurde. Ein anderer exemplarischer Patientengruppenbericht 212 enthält Patienten
eines bestimmten Alters und Geschlechts, welche bestimmte Testergebnisse
zeigen. Beispielsweise kann ein Patientengruppenbericht 212 alle
Frauen mit Herzerkrankung auflisten, welche ein Hor monersatz-Therapiemedikament
einnehmen. Der Patientengruppenbericht 212 würde alle
Patienten mit Datensätzen
in dem Data Warehouse 210, die diese Kriterien erfüllen, zusammen
mit einer Warnung über
mögliche
Nebeneffekte und die Wahrscheinlichkeit des Auftretens von Nebeneffekten
auflisten. In einer exemplarischen Ausführungsform erhält jede
PCP-Stelle den gesamten
Bericht, in einer weiteren Ausführungsform
empfängt
jede PCP-Stelle den Bericht nur für Patienten, die bei der PCP-Stelle
behandelt werden.
-
In
einer exemplarischen Ausführungsform der
vorliegenden Erfindung wird die Fähigkeit, Patientengruppenberichte 212 auf
der Basis einer Abfrage longitudinaler Patientendaten durch die
Fähigkeit unterstützt, alle
einen einzelnen Patienten betreffenden Datensätze in dem Data Warehouse 210 zu
verbinden. Dieses erfordert, dass jedem Patientendatensatz, der
an das Data Warehouse 210 übertragen wird, eine eindeutige
Kennung zugeordnet ist. Die eindeutige Kennung darf durch auf das
Data Warehouse 210 zugreifende Endnutzer nicht auf den
einzelnen Patienten zurückverfolgbar
sein. Jedoch können
einzelne PCPs sich die Möglichkeit
erhalten wollen, einen Patienten auf der Basis der eindeutigen Kennung
zu re-identifizieren, so dass das an der PCP-Stelle befindliche
medizinische Personal den Patienten als Antwort auf in den Patientengruppenberichten 212 enthaltene
Information weiterverfolgen kann. 3 stellt
einen exemplarischen Prozess zum De-Identifizieren von Patientendaten
zur Speicherung in einem bei dem Data Warehouse System 104 befindlichen
Data Warehouse 210 dar, und 4 stellt
einen exemplarischen Prozess zum Re-Identifizieren eines Patienten
aus den in einem Patientengruppenbericht 212 enthaltenen
de-identifizierten Patientendaten dar.
-
3 ist
eine Blockdarstellung eines exemplarischen Prozesses zum De-Identifizieren
von Patientendaten während
des Auslesens von Daten zur Übertragung
an ein Data Warehouse System 104. Der De-Identifikationsprozess
entfernt Information, die einen Patienten identifiziert, während gleichzeitig klinisch
brauchbare Information über
den Patienten erhalten bleibt. Die Patientendaten werden aus der EMR-Datenbank 302 ausgelesen
und Identifizierungsinformation entfernt, was zu de-identifizierten Patientendaten
führt.
In einer exemplarischen Ausführungsform
der vorliegenden Erfindung enthält eine
EMR-Datenbank 302 die nachstehenden einen Patienten identifizierenden
demografischen Daten: Namen; geografische Kennungen, einschließlich Adresse;
Daten in direktem Bezug zu einer Person, einschließlich Geburtsdatum,
Einweisungsdatum, Entlassungsdatum und Todesdatum; Telefon- und Faxnummern;
E-Mail-Adressen, Sozialversicherungsnummer; Nummer des medizinischen
Datensatzes; Gesundheitsplan-Nutznießer; Kontonummer; Zertifikats-
oder Lizenznummern; Fahrzeugkennungen und Seriennummern einschließlich Nummernschilder;
Gerätekennungen
und Seriennummern, Netzverweis-(URLs) und Internetprotokoll (IP)-Adressnummern; biometrische
Kennungen einschließlich
Fingerabdruck und Sonogramm; Frontalgesichtsfotografien und vergleichbare
Bilder; weitere eindeutige Identifizierungsnummern, Eigenschaften und
von der PCP oder durch das EMR-System
für Verwaltungszwecke
vergebene Codes, einschließlich
einer Patientenkennung (PID – Patient
Identifier) 304. Die EMR-Datenbank 302 enthält auch
Information über:
die Patientendiagnose oder -problem; eingenommene oder verschriebene
Medikationen; Beobachtungen, diagnostische Labortests und Vitalzeichen;
subjektive und objektive Befundungen, Bewertungen, Anweisungen,
Pläne und
von Gesundheitspersonal dokumentierte Anmerkungen. Die EMR-Datenbank 302 enthält auch
Audit-Information, welche das Datum, die Zeit und Identität von Personen
aufzeichnet, welche Information erzeugt, gelesen, aktualisiert oder
aus dem Patientendatensatz gelöscht haben.
Der Datensatz der EMR-Datenbank 302 für jeden Patienten enthält auch
einen als die PID 304 bekannten numerischen Schlüssel, welcher
dazu verwendet werden kann, eindeutig einen individuellen Patienten
zu identifizieren. Die PID 304 wird als ein Teil des De-Identifikationsprozesses
codiert, um eine codierte Patientenkennung (EPID) 308 zu
erzeugen. Die EPID 308 wird zusammen mit den de-identifizierten
Patientendaten an das Data Warehouse System 104 gesendet.
-
Der
Ausleseprozess wird durch eine in dem PCP-System 108 befindliche
Anwendungssoftware durchgeführt
und kann im Hintergrund auf einer periodischen Basis (z.B. um 2
Uhr morgens jede Nacht, 2 Uhr morgens jeden Samstag) ausgeführt werden. Auf
diese Weise stört
der Ausleseprozess weniger wahrscheinlich weitere auf dem PCP-System 108 vorhandene
Software. Der Ausleseprozess kann durch ein entfernt angeordnetes
System (z.B. das Data Warehouse System 104) initiiert werden
und kann vollständige
oder inkrementelle Sicherungsverfahren beinhalten. In einer exemplarischen
Ausführungsform
der vorliegenden Erfindung werden die nachstehenden Kennungen entfernt
oder transformiert, um de-identifizierte Daten zu erhalten, die
unter der HIPAA-Definition als voll de-identifizierte Daten klassifiziert
würden:
Name, geografische Unterteilungen kleiner als ein Staat, einschließlich Straßenadresse,
Stadt, Verwaltungsbezirk, Stadtviertel, Zip-Code (bis zu den letzten
drei Ziffern), direkt auf eine Person bezogene Daten (z.B. Geburtsdatum), Telefon-
und Faxnummern, E-Mail-Adressen, Gesundheitsplannummer, Kontonummer,
Zertifikat/Lizenz-Nummer, Vorrich tungskennung und Seriennummern,
Netzverweisnummer (URL), Internetprotokoll-(IP)-Adresse, biometrische
Kennungen, Vollgesichtsfotografie und weitere eindeutig identifizierende Nummern,
Eigenschaften oder Codes.
-
In
einer alternativen exemplarischen Ausführungsform der vorliegenden
Erfindung werden die nachstehenden Kennungen entfernt oder transformiert,
um de-identifizierte Daten zu erzeugen, die unter der HIPAA-Definition
als eingeschränkte
Datensatzinformation klassifiziert würden: direkte Kennungen, wie
z.B. Name, Postadresse (außer
Stadt, Staat und Zip-Code), Sozialversicherungsnummer und Nummern
medizinischer Datensätze.
In der Implementation der vorliegenden Erfindung mit eingeschränkter Datensatzinformation
kann gewisse Identifikationsinformation verbleiben, wie z.B. Datum
einer Untersuchung, Dokumentation, Diagnose, Verschreibung und Labortestergebnisse.
-
Eine
neue EPID 308 wird jedem Patienten auf der Basis der PID 304 in
Verbindung mit dem Patienten und einem von dem PCP eingegebenen Passwort
zugewiesen. Die PID 304/EPID 308-Zuordnung wird
nicht dauerhaft aufbewahrt. Wie in der in 3 dargestellten
exemplarischen Ausführungsform
dargestellt, wird ein Passwort-String 312 durch den PCP über eine
Passwortverschlüsselungs-Benutzerschnittstelle 310 in
dem PCP-Benutzersystem 110 geliefert. Dieser Passwort-String 312 ist
nur dem PCP bekannt, und ist erforderlich, um die EPID 308 in
eine PID 304 zu decodieren. Der Benutzer an der PCP-Stelle
muss den Passwort-String 312 haben, um die PID 304 zu
erhalten und dieser Passwort-String 312 muss jedes Mal
wieder eingegeben werden, wenn ein Patient zu re-identifizieren ist. Die Passwortverschlüsselungs-Benutzerschnittstelle 310 kann
eine grafische Benutzerschnittstelle sein. In einer exemplarischen
Ausführungsform
der vorliegenden Erfindung wird der von Benutzern eingegebene Passwort-String 312 unter
Verwendung des Zwei-Fische-Algorithmus codiert. Der Zwei-Fische-Algorithmus
ist, wie im Fachgebiet bekannt, ein Geheimschlüssel-Blockziffern-Verschlüsselungsalgorithmus,
der hoch sicher und hoch flexibel ausgelegt ist. Er verwendet nur
einzigen Schlüssel
sowohl für
die Verschlüsselung
als auch Entschlüsselung
und wird oft als symmetrische Verschlüsselung bezeichnet. Die Codierung
wird durch eine in dem PCP-System 108 befindliche Codierungssoftware 306 ausgeführt. Die
Patientenkennungs-Codierungssoftware 306 führt auch
eine Hash-Codierung an dem codierten Passwort-String aus, um eine
Zahl wie z.B. eine 16-stellige
Zahl zu erzeugen. Diese 16-stellige Zahl wird numerisch der PID 304 hinzugefügt, um die EPID 308 zu
erzeugen. Weitere Verfahren zum Erzeugen der EPID 308 aus
der PID 304 können
mit einer exemplarischen Ausführungsform
der vorliegenden Erfindung verwendet werden (z.B. Rivest, Shamir
and Adelman, oder RSA) solange die EPID nur an der PCP-Stelle verschlüsselt bleibt.
-
4 ist
eine Blockdarstellung eines exemplarischen Prozesses zur Re-Identifizierung
eines Patienten aus deidentifizierten Patientendaten. Wie vorstehend
beschrieben, werden Populationsgruppenberichte 212 von
Risikopatienten erzeugt, indem Abfragen in dem Data Warehouse 210 ausgeführt werden.
Die identifizierten Personen können
in longitudinaler Richtung verfolgt werden und als Mitglieder anonymer
Bevölkerungsgruppen
auf der Basis von klinischen Auswahlkriterien abgefragt werden.
Das in dem Gruppenbericht 212 enthaltene Abfrageergebnis
ist eine Liste von EPIDs 308. Eine Liste mit Patienten-EPIDs 308 in
einem patientengruppenbericht 212 wird bei dem PCP-System 108 empfangen.
-
Die
EPIDs 308 werden in die Patientenkennungs-Decodierungssoftware 402 eingelesen,
die sich auf dem PCP-System befindet, und die ursprüngliche
PID 304 wieder erzeugt. Die PID 304 kann als ein
Schlüssel
zum Nachsehen zusätzlicher Identifizierungsinformation
aus der EMR-Datenbank 302 verwendet werden. Angestellte
des PCP können die
Patientenspezifische Information aus der EMR-Datenbank 302 nutzen,
um den Patienten zu beraten und um Behandlungsalternativen zu entscheiden.
-
Eine
Ausführungsform
der vorliegenden Erfindung ermöglicht
ambulanten PCPs Patientendaten in ein Data Warehouse zu senden,
das Patientendaten von anderen ambulanten PCPs enthält. Auf
diese Weise können
Patientendaten analysiert und mit einer größeren Patientenpopulation verglichen
werden. Die de-identifizierten Patientendaten enthalten eine EPID 308,
die bei der Erzeugung von longitudinalen Berichten nützlich sein
kann, die mehr als nur einen einzigen Datensatz für einen
bestimmten Patienten analysieren. Die Auswirkungen bestimmter Medikamente
und Behandlungen auf Patientengruppen kann analysiert werden und
kann zur Verbesserung in der Anwendung oder der Zusammensetzung der
Medikamente und Behandlungen führen.
Zusätzlich
ermöglicht
eine Ausführungsform
der vorliegenden Erfindung dem PCP Gruppenberichte 212 auf der
Basis von in dem Data Warehouse enthaltenen Daten zu empfangen.
Diese Patientengruppenberichte 212 enthalten eine EPID 308 für jeden
Patienten. Die EPID 308 kann an der PCP-Stelle decodiert werden,
die die EPID 308 erzeugte und zum Identifizieren eines
bestimmten Patienten verwendet werden. Auf diese Weise kann ein
PCP, durch Berücksichtigung
der in dem Gruppenbericht enthaltenen Information in der Lage sein,
dem Patienten eine bessere Behandlung zu bieten. Diese Fähigkeit,
nützliche
Infor mation auf eine Patientenebene zurückzuliefern, kann auch mehr
PCPs dazu veranlassen, an dem Senden von Patientendaten an ein Data
Warehouse teilzunehmen. Mehr Daten in dem Data Warehouse können mehr
nützliche
Information für
diese dritten Parteien, wie z.B. pharmazeutische Firmen, Medizingerätefirmen
und Ärzte über die
Auswirkungen und Risiken spezieller Behandlungen liefern, während gleichzeitig
das Risiko einer Aufdeckung von Patienten-identifizierender Information
an dritte Parteien minimiert wird. Dieses kann zur Verbesserungen
in der Vorsorge sowie anderen Arten medizinischer Versorgung führen.
-
Gemäß vorstehender
Beschreibung können die
Ausführungsformen
der Erfindung in der Form Computer-implementierter Prozesse und
Vorrichtungen zur Durchführung
dieser Prozesse verkörpert sein.
Ausführungsformen
der Erfindung können
auch in der Form eines Computerprogrammcodes verkörpert sein,
der Instruktionen enthält,
die in einem berührbaren
Medium, wie z.B. Floppy-Disketten, CD-ROMs, Festplatten oder irgendeinem
anderen Computer-lesbaren Speichermedium verkörpert sind, wobei, wenn der
Computerprogrammcode in einem Computer geladen und/oder durch diesen
ausgeführt
wird, der Computer zu einer Vorrichtung zur Ausführung der Erfindung wird. Eine
Ausführungsform
der vorliegenden Erfindung kann auch in der Form eines Computerprogrammcodes
verkörpert sein,
das entweder in einem Speichermedium gespeichert ist, in einen Computer
geladen und/oder davon ausgeführt
wird, oder über
irgendein Übertragungsmedium,
wie z.B. eine elektrische Verdrahtung oder Verkabelung, über Faseroptik,
oder über
elektromagnetische Strahlung übertragen
wird, wobei, wenn der Computerprogrammcode in einen Computer geladen
und ausgeführt
wird, der Computer zu einer Vorrichtung zur Ausführung der Erfindung wird. Wenn sie
auf einem Standard-Mikroprozessor implementiert werden, konfigurieren
die Programmcodesegmente den Mikroprozessor, dass er spezifische logische
Schaltungen erzeugt.
-
5 stellt
ein Flussdiagramm für
ein Verfahren 500 zur Re-Identifizierung eines Patienten
aus de-identifizierten Patientendaten gemäß einer Ausführungsform
der vorliegenden Erfindung dar. Zuerst werden bei dem Schritt 505 die
de-identifizierten Patienten in einer Datei, wie z.B. einem Bericht,
einem Web-basierenden Bericht, oder in irgendeiner anderen Liste
oder Dokument aufgeführt
oder anderweitig aufgelistet. Beispielsweise kann ein im Gesundheitswesen
tätiger
praktischer Arzt einen oder mehrere de-identifizierte Patientendatensätze aus
einer Patientenliste oder einen Web-basierenden Patientenbericht über eine
Schnittstelle, wie z.B. ein Web-basierendes Portal oder andere Software-basierende
Benutzerschnittstelle auswählen.
Ein Benutzer kann einen Bericht oder eine Liste von Patienten, die
ein bestimmtes Kriterium (z.B. Diabetes, Herzerkrankung, Alter,
Geschlecht, usw.) erfüllen,
auswählen
und/oder generieren. Bei dem Schritt 510 wird der Web-Bericht in
eine lokale Datei heruntergeladen. Beispielsweise können die über das
Web-basierende oder ein anderes Netzwerkportal abgerufenen Daten
manuell oder automatisch von der Netzwerkquelle in eine lokale Datei
in dem Benutzercomputer, einem lokalen Netzwerksystem, Software
und/oder einem anderen Prozessor in einer autorisierten Umgebung
heruntergeladen werden. Eine autorisierte Umgebung ist ein System
oder eine andere autorisierte Betriebsumgebung, um Patientenidentifikationsdaten
zu betrachten und/oder zu manipulieren, wie z.B. eine HIPAA entsprechende
Praxis eines praktischen Arztes.
-
Bei
dem Schritt 515 ruft der Benutzer ein Betrachtungsprogramm,
wie z.B. Microsoft Excel® oder eine andere Tabellenkalkulations-
oder Berichtssoftware auf. Alternativ kann das Betrachtungssystem automatisch
bei dem Herunterladen der Patienten-bezogenen Daten gestartet werden.
Bei dem Schritt 520 wird der Benutzer innerhalb des Betrachtungsprogramms
gegenüber
einem EMR-System autorisiert, um sicherzustellen, dass der Benutzer
die korrekte Autorisierung hat, Patientenunterlageninformation zu
betrachten. Beispielsweise können
ein Benutzerpasswort, eine Unterschrift und/oder biometrische Identifikation
verifiziert werden, um den Zugriff auf Patientendaten zu autorisieren.
Ohne Benutzerauthentisierung ist ein Benutzer nicht in der Lage, gespeicherte
EMR-Prozeduren auszuführen.
Beispielsweise kann ein in einem EMR-Hostsystem befindlicher Authentisierungsmechanismus
für Benutzername
und Passwort, sowie zum Verifizieren eines Privilegierungswert aufgerufen
werden.
-
Bei
dem Schritt 525 wählt
der Benutzer oder aktiviert anderweitig eine Re-Identifikationsfunktion in
Bezug auf die de-identifizierten Patientendaten. Beispielsweise
kann ein Icon, eine Taste, eine Menüoption und/oder ein Befehl
dem Betrachtungsprogramm hinzugefügt sein, um die Ausführung der Re-Identifikationsfunktion
für alle
angezeigten Patientendateneinträge
oder einen ausgewählten
Teilsatz der Einträge
zu aktivieren oder auszulösen.
Bei dem Schritt 530 sucht das Betrachtungsprogramm, wie
z.B. Excel, Spaltenüberschriften
oder andere Felder des Berichts nach einer Spalte und/oder einem Feld
ab, das eine verschlüsselte
Kennung, wie z.B. eine EPID enthält.
Es dürfte
sich verstehen, dass, "verschlüsselt" hierin verwendet
wird, um anzuzeigen, dass die Kennung oder Patienteninformation
codiert ist, deidentifiziert, abstrahiert, anonym oder anderweitig
ver schlüsselt
ist, um die Patientenvertraulichkeit zu schützen. Beispielsweise kann eine
Datei, wie z.B. ein Arbeitsblatt, Tabellenkalkulation, Tabelle oder
ein anderes Dokument nach einer Spaltenüberschrift oder einem anderen
Feld abgescannt werden, das eine geeignete Spalte oder Reihenfolge
von zu re-identifizierenden Daten enthält.
-
Sobald
die Spalte lokalisiert ist, sammelt das Programm bei dem Schritt 535 den
Satz der EPIDs und sendet diesen an ein EMR-System und/oder eine Datenbank
oder ein Data Warehouse über
eine Datenverbindungskommunikation, wie z.B. eine Datenverbindung
(z.B. Open DataBase Connectivity (ODBC)) oder eine Object Linking
and Embedding Data Base (OLE DB) Verbindung. Beispielsweise kann das
Dateidokument abgescannt werden, um zu identifizieren, welche von
den Spaltenüberschriften
oder anderen Feldkennungen einer Patientenspalte oder ähnlichen
Struktur entspricht. Daten werden beispielsweise die Sätze der
EPIDs aus dem Patientenbericht an ein Data Warehouse für elektronische
medizinische Datensätze über eine
entsprechende Verbindung gesendet. Die in der Patientenspalte gefundenen
ausgewählten
oder identifizierten EPIDs können
beispielsweise in einem Array oder in irgendeiner anderen Datenstruktur
organisiert sein.
-
Bei
dem Schritt 540 wird eine gespeicherte Prozedur in der
EMR-Datenbank aufgerufen, um die EPIDs mit Patientenidentifizierungsinformation
wie z.B. einer Patientenkennung (z.B. einer PID), Patientenvorname,
Patientennachname usw. zu erweitern. Die EMR-Datenbank kann beispielsweise
eine HIPAA entsprechende Datenbank, Data Warehouse und/oder anderer
Datenspeicher sein. Bei dem Schritt 545 werden das Array
oder eine andere Struktur der EPIDs abgescannt und für jede aus
der Patientenspalte entnommene EPID ein Daten satz oder andere Daten über eine
Datenverbindung (z.B. ODBC oder OLE DB) an die EMR-Datenbasis gesendet
und eine gespeicherte Re-Identifikationsprozedur aufgerufen, um
einen sich ergebenden Vornamen, Nachnamen, usw. zu entnehmen. Beispielsweise kann
die gespeicherte Prozedur einen in der Datenbank befindlichen Algorithmus
aufrufen, welcher eine interne Kennung an die Prozedur weitergibt.
In bestimmten Ausführungsformen
wird eine Hash-Funktion verwendet, um beispielsweise eine PID aus
der EPID zu erzeugen. Alternativ können ein Verschiebungswert,
ein auf den Patientennamen, Alter und Sozialversicherungsnummer
basierender Algorithmus und/oder ein anderer Algorithmus verwendet werden,
um beispielsweise eine interne Kennung für einen Patientendatensatz
zu erzeugen. Die interne Kennung wird als ein Parameter für eine Abfrage
weitergegeben, welche wiederum Name und/oder andere einem EPID-Datensatz
entsprechende Identifikationsinformation zurückgibt. Beispielsweise kann
die PID oder eine andere Kennung verwendet werden, um Datensätze in der
Datenbank zum Identifizieren geeigneter Datensätze zu indexieren oder zu suchen.
-
Bei
dem Schritt 550 wird dann die Identifikationsinformation
zu der Betrachtungsanwendung wie z.B. MicrosoftTM Excel
oder ein anderes Tabellenkalkulations- oder Datenbankprogramm gesendet.
Bei dem Schritt 555 werden Spalten und/oder andere Felder
in der Datei, wie z.B. einer Tabellenkalkulation oder einem anderen
Dokument, für
die Patientenidentifikationsinformation (z.B. Patienten ID, Vorname,
Nachname, usw.) eingefügt
und/oder ersetzt. Beispielsweise können PID- und/oder Patientennamen-Spalten
und/oder Felder zu einer Datei hinzugefügt werden und/oder können EPID- und/oder andere Spalten
oder Felder in der Datei überschreiben.
-
Einer
oder mehrere von den Schritten des Verfahrens 500 können beispielsweise
alleine oder in Kombination in Hardware, Firmware und/oder als ein Satz
von Instruktionen in Software ausgeführt werden. Bestimmte Ausführungsformen
können
als ein Satz von Instruktionen bereitgestellt werden, die sich auf
einem Computer-lesbaren Medium, wie z.B. einem Speicher, einer Festplatte,
DVD oder CD zur Ausführung
auf einem Standardcomputer oder einer anderen Verarbeitungsvorrichtung
befinden.
-
Einige
Ausführungsformen
der vorliegenden Erfindung können
einen oder mehrere von diesen Schritten weglassen und/oder die Schritte
in einer anderen Reihenfolge als der angegebenen Reihenfolge ausführen. Beispielsweise
können
einige Schritte in bestimmten Ausführungsformen der vorliegenden
Erfindung nicht ausgeführt
werden. Als ein weiteres Beispiel können bestimmte Schritte in
einer anderen zeitlichen Reihenfolge einschließlich einer gleichzeitigen
wie die vorstehend aufgelistete durchgeführt werden.
-
In
bestimmten Ausführungsformen
kann, sobald Patienteninformation re-identifiziert ist, der Benutzer
die entsprechende Liste von Patienten in dem EMR als eine Anfrage
für eine
weitere Analyse, Manipulation usw. senden. Ein re-identifizierter Patientendatensatz
kann modifiziert, verglichen und/oder anderweitig durch den autorisierten
Benutzer manipuliert und lokal und/oder in einer EMR-Datenbank oder
einem anderen Speicher gespeichert werden. Ein modifizierter Datensatz
kann beispielsweise de-identifiziert werden, bevor er gespeichert
wird.
-
In
bestimmten Ausführungsformen
werden EMR-Aktualisierungen "gezogen", "gedrückt" oder anderweitig
an eine Datenbank, ein Data Warehouse und/oder anderen Datenspeicher
auf einer periodischen Basis (z.B. in der Nacht, wöchentlich,
usw.) übertragen.
In bestimmten Ausführungsformen
werden lokal an re-identifizierten Patientendatensätzen ausgeführte Änderungen
de-identifiziert und an das EMR-System
und/oder eine Datenbank zur Speicherung übertragen.
-
In
bestimmten Ausführungsformen
kann ein Benutzer nach einem oder mehreren Patientendatensätzen innerhalb
der EMR suchen, indem er einen "Finde"-Dialog oder eine
Suchfunktion aufruft. Der Benutzer kann beispielsweise mittels der
EPID suchen und eine EPID-Nummer zum Aktivieren einer Suche eingeben
oder auswählen.
Die entsprechende Patientenaufzeichnung kann abgerufen und angezeigt
werden. Somit kann ein Patient für
einen autorisierten Gesundheitsfürsorge-Anbieter, welcher
identifiziert und verifiziert wurde, reidentifiziert werden.
-
Somit
ist die Re-Identifikation ein Mechanismus oder ein Muster, das es
ermöglicht,
verschlüsselte
und wieder entschlüsselte
Daten physikalisch in getrennten Systemen gemeinsam zu bearbeiten. Während das
verschlüsselte
System Information auf Patientenebene, die HIPAA entspricht, beherbergen und
Merkmale bereitstellen kann, die von einem Gesichtspunkt der Verschlüsselung
nützlich
sind (z.B. Datenansichten einem größeren Publikum bieten kann,
usw.) besteht ein Bedarf, die Information aus dem verschlüsselten
System zu erweitern und die Information für diejenigen Interessierten
zu re-identifizieren, welche von dem verschlüsselten System physikalisch
getrennt sind, welche aber die Autorisierung haben, Patientenidentifikationsinformati on
zu betrachten (z.B. eine autorisierte Umgebung). Der Prozess der
Re-Identifizierung der Patienten ist ein Prozess, der beispielsweise
auf dem lokalen System erfolgt.
-
In
bestimmten Ausführungsformen
ermöglicht
eine Trennung von de-identifizierten und identifizierten Patientendaten
eine breitere Analyse von Patientenpopulationen ohne gegen die Sicherheit
des einzelnen Patienten zu verstoßen. Populationsbasierende
Analysen können
sicher unter Aufrechterhaltung der Patientenvertraulichkeit durchgeführt werden.
Die Re-Identifikation kann auf der Ebene des lokalen Systems erfolgen,
um einem Gesundheitsfürsorge-Anbieter
des Patienten zu ermöglichen,
diesen zu diagnostizieren, zu behandeln und/oder weitere Dienste
für den
Patienten bereitstellen.
-
Somit
kann eine umfassendere Analyse von Patienteninformation zugelassen
werden, während gleichzeitig
die Vertraulichkeit des Patienten respektiert wird. Gemeinschaften
von Gesundheitsfürsorge-Anbietern
können
Patientenpopulationen bewerten und vergleichen, ohne die Vertraulichkeit
des, Patienten zu beeinträchtigen.
Gleichzeitig kann ein Patienten-Bereitsteller Patienten aus Patientenpopulationen
auf der lokalen Ebene re-identifizieren, die von der verschlüsselten
Stelle gespeichert/präsentiert werden.
Re-Identifikationsalgorithmen können
beispielsweise lokal auf der Ebene der Gesundheitsfürsorgeanbieter
gespeichert sein. Diese physikalische Trennung kann ein potentielles
Risiko begrenzen, das andere Bereitsteller, die de-identifizierte
Daten in einem Portal betrachten, Patientenidentifikationsinformation
betrachten.
-
Bestimmte
Ausführungsformen
ermöglichen eine
gemeinsame Nutzung der Patienteninformation mit interessierten Parteien,
ohne die Vertraulichkeit des Patienten zu beeinträchtigen.
In einem breiteren Gesundheitsfürsorgerahmen
gibt es Anwendungen, in welchen Forscher, Regierungsstellen, Praxisgemeinschaften,
Patientenpopulationen untersuchen möchten, die aber wie derzeit
begrenzt sind, da kein guter Mechanismus vorliegt, um mit Quellendatenanbietern
bei der De-Identifikation und Re-Identifikation von Patienten zu
arbeiten. Bestimmte Ausführungsformen
ermöglichen
eine solche Wechselwirkung. Beispielsweise kann entschlüsselte Information re-identifiziert
und dann verbraucht werden oder in Patientenanbieter-System innerhalb
einer MicrosoftTM Excel, Centricity Physician
Office EMR-Anwendung und/oder andere Anwendung importiert werden.
Weitere Instanzen wie z.B. Forscher und Behörden können die verschlüsselten
oder de-identifizierten Daten mit reduziertem Risiko einer Beeinträchtigung
der Patientenvertraulichkeit betrachten und/oder manipulieren.
-
6 stellt
ein System 600 zur De-Identifikation und Re-Identifikation
von Patientendaten gemäß einer
Ausführungsform
der vorliegenden Erfindung dar. Das System 600 enthält eine
oder mehrere Benutzerarbeitsstationen 610, ein Web-Portal 620,
einen Datenspeicher 630 und eine Datenverbindung 640.
Das System 600 kann beispielsweise auch eine Anzeige 650 und/oder
einen Daten-Server 660 enthalten. Das System 600 kann
beispielsweise einen oder mehrere Softwareprozesse, Computer und/oder andere
Prozessoren anstelle von und/oder zusätzlich zu der bzw. den Arbeitsstationen 610 enthalten.
Das System 600 kann beispielsweise einen oder mehrere Web-Dienste
anstelle von und/oder zusätzlich
zu dem Web-Portal 620 enthalten.
-
Die
Komponenten des Systems 600 können alleine oder in Kombination
in Hardware, Firmware, und/oder beispielsweise als ein Satz von
Instruktionen in Software implementiert werden. Bestimmte Ausführungsformen
können
als ein Satz von Instruktionen, die sich auf einem Computer-lesbaren
Medium, wie z.B. einem Speicher, einer Festplatte, DVD oder CD befinden,
zur Ausführung
in einem Standardcomputer oder in einer anderen Verarbeitungsvorrichtung
vorgesehen sein. Bestimmte Komponenten können in verschiedenen Formen
integriert sein, und/oder können
als Software und/oder als Funktionalität in einer Berechnungsvorrichtung,
wie z.B. einem Computer, vorgesehen sein. Bestimmte Ausführungsformen
können
eine oder mehrere von den Komponenten des Systems 600 weglassen,
um die Funktionen der Re-Identifikation und/oder De-Identifikation
auszuführen,
und um Daten zwischen einem lokalen Benutzer und einem Datenspeicher
zu übertragen.
-
Im
Betrieb kann die Arbeitsstation 610 oder ein anderer Prozessor
Daten über
das Web-Portal 620 oder einen anderen Web-Dienst anfordern.
Beispielsweise fordert ein Benutzer bei der Arbeitsstation 610 Patienten-bezogene
Daten über
einen Web-Browser an, der auf das Web-Portal 620 zugreift.
Das. Web-Portal 620 kommuniziert mit dem Datenspeicher 630 über einen
Datenverbindung 640. Beispielsweise fordert das Web-Portal 620 die
Daten aus dem Datenspeicher 630, wie z.B. einem EMR-Datenmarkt, über ein
Netzwerk, wie z.B. das Internet oder ein privates Netzwerk ab. Der
Datenspeicher 630 gibt dann die angeforderten Daten an
die Arbeitsstation 610 über
das Web-Portal 620 zurück. Die
Daten können
beispielsweise nicht-HIPAA-geschützte
Daten, de-identifizierte/verschlüsselte
Patientendaten, re-identifizierte Patientendaten und/oder andere
Daten umfassen.
-
Die
Benutzerarbeitsstation 610 kann mit der Anzeige 650 kommunizieren,
um aus dem Datenspeicher 630 übertragene Daten anzuzeigen.
Die Daten können
beispielsweise auch gedruckt und/oder zum Erzeugen einer Datei verwendet
werden. Die Arbeitsstation 610 kann auch mit dem Daten-Server 660 kommunizieren,
um beispielsweise die Daten und/oder andere Aktualisierungen zu übertragen.
-
In
bestimmten Ausführungsformen
wird ein de-identifizierter Patientenbericht an die Arbeitsstation 610 aus
dem Datenspeicher 630 über
das Web-Portal 620 als Antwort auf eine Anforderung aus der
Arbeitsstation 610 übertragen.
Die Arbeitsstation 610 führt eine Re-Identifikation
der deidentifizierten Patientendaten lokal bei der Arbeitsstation 610 aus. Die
Re-Identifikation kann beispielsweise mittels Nachschlagen einer
EPID zum Ermitteln einer entsprechenden PID oder einer anderen ähnlichen Technik
durchgeführt
werden. Die Re-Identifikationsfunktionalität kann beispielsweise in ein
Dokumenten-Betrachtungs/Editions-Programm, wie z.B. Microsoft Excel,
Microsoft Word und/oder andere Software integriert sein. Die Re-Identifikationsfunktion kann
auf Daten in einer externen Quelle, wie z.B. dem Datenspeicher 630 und/oder
dem Daten-Server 660, zugreifen, um die EPID mit der PID
abzugleichen. In bestimmten Ausführungsformen
wird die EPID durch die PID und/oder durch eine andere Patientenidentifizierungsinformation
(z.B. dem Patientennamen) in einem Dokument an der Arbeitsstation 610 ersetzt.
-
In
bestimmten Ausführungsformen
kann die Arbeitsstation 610 beispielsweise zuerst ein Privileg oder
Zugriffsrecht über
den Server 660 authentisieren, bevor die Patientenda ten
re-identifiziert werden. Die Arbeitsstation 610 kann beispielsweise
auch Patienten- und/oder andere Anbieterattribute über den Server 660 und/oder
Datenspeicher 630 nachschlagen.
-
Bestimmte
Ausführungsformen
der vorliegenden Erfindung stellen Systeme 600 und Verfahren 500 zum
Abrufen und Re-Identifizieren
von Patientendaten bereit. Patientendaten können durch Abrufen einer verschlüsselten
oder abstrahierten Patientenkennung re-identifiziert werden. Die
Kennung wird dazu genutzt, um eine Patientenkennung in Verbindung
mit Patientenidentifikationsinformation abzurufen. Die Patientenidentifikationsinformation
kann in eine Datei, wie z.B. einen Bericht oder in ein anderes Dokument,
bei einem lokalen Computer 610, oder einem Web-Portal 620 für einen
Zugriff durch einen autorisierten Benutzer eingefügt werden.
Ein System 600 enthält
einen Datenspeicher 630, der Patientendaten speichert.
Die Patientendaten enthalten eine codierte Patientenkennung und
eine uncodierte Patientenkennung. Das System 600 enthält eine
Arbeitsstation 610 oder einen anderen Prozessor 610, 620 mit
einer Betrachtungsanwendung, die in der Lage ist, Patientendaten
in einer Datei einschließlich
der verschlüsselten
Patientenkennung zu betrachten. Die Arbeitsstation 610 ruft
eine Prozedur auf, um die codierte Patientenkennung in der Datei
bei der Arbeitsstation 610 durch die entsprechende uncodierte Patientenkennung
unter Verwendung des Datenspeichers 630 zu ersetzen.
-
Obwohl
die Erfindung unter Bezugnahme auf exemplarische Ausführungsformen
beschrieben wurde, dürfte
es sich für
den Fachmann auf diesem Gebiet verstehen, dass verschiedene Änderungen durchgeführt und Äquivalente
Elemente davon erset zen können,
ohne von dem Schutzumfang der Erfindung abzuweichen. Zusätzlich können viele
Modifikationen zur Anpassung einer speziellen Situation oder eines
Materials an die Lehren der Erfindung ohne Abweichung von deren
wesentlichem Schutzumfang ausgeführt
werden. Daher ist es gewünscht, dass
die Erfindung nicht auf die offenbarte spezielle Ausführungsform,
die als beste Art zur Ausführung dieser
Erfindung betrachtet wird, beschränkt ist, sondern dass die Erfindung
alle Ausführungsformen
umfasst, die in den Schutzumfang der beigefügten Ansprüche fallen. Ferner bezeichnet
die Verwendung der Ausdrücke "erster, zweiter usw." keinerlei Reihenfolge
oder Wichtigkeit, sondern die Ausdrücke "erster, zweiter, usw." werden nur zur Unterscheidung eines
Elementes von einem anderen verwendet.
-
- 102
- Dato
Warehouse Benutzersystem
- 104
- Data
Warehouse System
- 106
- Netzwerk
- 108
- PCP-System
- 110
- PCP-Benutzersystem
- 206
- Datenimportfunktion
- 208
- Sortierbereich
- 210
- Data
Warehouse
- 212
- Patientengruppenbericht
- 302
- EMR-Datenbank
- 304
- Patientenkennung
- 308
- Codierte
Patientenkennung
- 312
- Passwort-String
- 402
- Patientenkennungs-Decodierungssoftware 5 Flussdiagramm
- 600
- System
- 610
- Benutzerarbeitsstation
- 620
- Web-Portal
- 630
- Datenspeicher
- 640
- Datenverbindung
- 650
- Anzeige
- 660
- Daten-Server