在基于云的临床决策支持系统(CDSS)的去识别的患者数据上执行的控制动作的制作方法

以下总体涉及临床决策支持系统(CDSS)，并且更具体而言涉及位于基于云的临床决策支持系统(CDSS)处的去识别的患者数据上执行的控制动作；然而，以下还可以利用除了去识别的患者数据外的数据和/或利用位于除了基于云的临床决策支持系统以外的位置处的临床和/或其它非临床数据。

背景技术：

临床决策支持系统(CDSS)包括例如计算机软件，其帮助临床医生和/或其它健康专家进行决策制定任务，例如，确定患者数据的诊断。一般而言，云计算是将计算和/或存储能力作为服务输送到终端接受者的群体，在其中终端用户可以通过网络浏览器、移动应用等访问基于云的应用，同时软件和数据存储于在远程位置处的服务器上。

利用基于云的CDSS，在患者数据上的进行计算和至少一些患者数据的存储被提供为云服务，其可用于帮助临床医生和/或其它健康专家进行决策制定任务，例如确定患者数据的诊断。云提供商管理运行应用的基础设施和平台，并且用户利用云提供商提供的服务器、要在服务器中使用的系统软件和/或应用软件以及数据库。

用于提供患者数据的隐私和安全性的方法己包括使用保证唯一标识符(GUID)。通过该方法，存储在云中的患者数据是去识别的，其在于患者身份(例如，姓名、社交安全号码等)被GUID替代。然后通过GUID控制对患者数据的访问和/或在其上执行动作。当感兴趣的去识别数据和要与非去识别数据时，重新识别去识别数据。

遗憾的是，已知方法可以将患者数据暴露为被未授权用户访问。这样，存在以下未解决的需要：针对控制在位于CDSS处的去识别的患者数据以上及除了去识别的患者数据和/或利用位于除了基于云的临床决策支持系统外的位置处的临床和/或其它非临床数据上执行的动作的方法。

本文中描述的方法解决了以上提及的问题和其它问题。

技术实现要素：

以下描述了存储于基于云的CDSS处的患者数据的隐私和安全性的方法。在一个实例中，这包括使用角色和令牌，其中角色定义在特定站点处患者数据上执行动作的许可(例如，查看、运行报告、重新识别、导出等)，并且令牌允许特定站点来管理它们的用户池，并防止未授权用户重新识别去识别的患者数据，并允许基于“拥有的”站点的用户授权来重新识别患者数据，而无需发送患者识别，确保授权用户请求实际来自“拥有的”站点。

在一个方面，一种方法包括：由站点将第一请求和第一会话令牌发送给基于云的临床决策支持系统。所述第一请求针对要由所述基于云的临床决策支持系统在存储于所述基于云的临床决策支持系统处的去识别数据上执行的动作。所述方法还包括在所述站点处接收由所述基于云的临床决策支持系统发送到所述站点的第二请求和第二会话令牌。所述第二请求请求验证所述第二会话令牌。所述方法还包括：在所述站点处，比较所述第一会话令牌与所述第二会话令牌。所述方法还包括：在所述站点处，响应于所述第一会话令牌和所述第二会话令牌是相同的令牌而验证所述第二会话令牌并生成验证信号。所述方法还包括：由所述站点将所述验证信号发送给所述基于云的临床决策支持系统。所述方法还包括：在所述站点处，接收所述基于云的临床决策支持系统执行了所请求的动作的指示。

在另一方面，一种方法，包括：在基于云的临床决策支持系统处，接收由站点发送的第一请求和第一会话令牌。所述第一请求针对要由所述基于云的临床决策支持系统在存储于所述基于云的临床决策支持系统处的去识别数据上执行的动作。所述方法还包括：由所述基于云的临床决策支持系统将第二请求和第二会话令牌发送到所述站点。所述第二请求请求验证所述第二会话令牌。所述方法还包括：在所述基于云的临床决策支持系统处，接收指示所述第一会话令牌和所述第二会话令牌是相同的令牌的验证信号。所述方法还包括：仅响应于所述第一会话令牌和所述第二会话令牌是相同的令牌而执行请求的动作。所述方法还包括：由所述基于云的临床决策支持系统发送指示所述动作已经由所述基于云的临床决策支持系统执行的信号。

在另一方面，一种系统，包括：站点和基于云的临床决策支持系统。所述站点包括：计算设备和用户授权系统。所述基于云的临床决策支持系统包括：站点授权系统。所述用户授权系统和所述站点授权系统控制由所述站点访问存储于所述基于云的临床决策支持系统处的去识别的患者数据。

附图说明

本发明可以采取各种部件和部件布置以及各种步骤和步骤布置的形式。附图只是出于图示优选实施例的目的，并不应被解释为限制本发明。

图1示意性示出了具有基于云的CDSS和多个站点的示例性系统，每个站点包括用户授权系统，并且云包括站点授权系统。

图2示意性示出了用户授权系统的例子。

图3示出了从站点的角度的针对对基于云的CDSS的站点访问的示例性方法。

图4示出了从基于云的CDSS的角度的针对对基于云的CDSS的站点访问的示例性方法。

具体实施方式

首先参考图1，系统100包括基于云的CDSS 102和N个站点104₁、…、104_N(统称作站点104)，其中N是等于或大于一(1)的整数。如本文所使用的，术语“站点”指的是提供和/或访问基于云的CDSS 102的患者数据和/或其它信息的设施。站点104的例子包括但不限于：医院、诊所、通过护理(thru care)、医生的办公室、成像中心等。

基于云的CDSS 102提供计算和/或存储服务。这包括：服务106，其由(一个或多个)微处理器、(一个或多个)中央处理单元等实现；以及数据108，其存储于数据库等中。计算和/或存储服务的例子在2013年7月24日提交的序列号为PCT/IB2013/056055，并且题为“Federated patient guaranteed unique identification(guid)matching”的申请中描述，在此通过应用将其全文并入。

基于云的CDSS 102还包括站点授权系统110。如下文更详细描述的，站点授权系统110在执行需要站点授权的站点104所请求的动作之前，对站点104进行授权。经由执行存储于计算机可读存储介质(其不包括瞬态介质)上的计算机可执行指令的处理器(例如，微处理器、中央处理单元等)来实现站点授权系统110。

站点104包括至少一个计算设备112。计算设备112包括一个或多个处理器、计算机可读存储介质(例如物理存储器)、输入设备(例如，鼠标、键盘等)和输出设备(例如，显示监视器)。计算设备112驻留在住院处、急诊室、实验室、重症监护单元等。计算设备112的例子包括个人计算机、床边监视器、便携式监视器、手持监视器、中央监视站，等。

站点104还包括保证唯一标识符(GUID)处理器114，其生成用于患者的GUID。示例性GUID包括基于根据时钟生成的随机数的n位字母数字字符串等。GUID处理器114还生成在GUID和患者之间的映射。GUID用于替代患者身份以去识别的患者数据，例如隐私和安全性。生成并使用GUID和映射的例子在序列号PCT/IB 2013/056055的申请中描述。

站点104还包括用户授权系统116。如下文更详细描述的，用户授权系统116方便授权计算设备112和站点104的用户对基于云的CDS系统102的去识别的患者数据进行访问、操纵、取回、重新识别等。经由执行存储于计算机可读存储介质上的计算机可执行指令的处理器实现用户授权系统116。

站点104还包括站点服务器118，其提供在站点104和基于云的CDS系统102之间的通信。服务器118在将这种数据输送到基于云的CDS系统102之前对患者进行去识别。这包括在将这种数据输送到基于云的CDSS 102之前用GUID来替换患者身份信息。被传送到基于云的CDSS 102的去识别的患者数据是不可识别的，因为其不包含识别患者的实际身份的任何信息。在一个实例中，这减轻了隐私和/或安全性问题。

服务器118还对基于云的CDS系统102的患者进行去识别。这包括用患者身份信息来替代GUID。重新识别的患者数据是可识别的，这在于包括识别患者的实际身份的信息。去识别患者身份和使GUID与去识别的患者数据相关联以及重新识别患者身份的例子在序列号为PCT/IB2013/056055的申请中描述。

图2示出了与基于云的CDSS 102的站点授权系统110连接的用户授权系统116的例子。

用户授权系统116包括客户端接口202。客户端接口202提供计算设备112与用户授权系统116之间的接口。客户端接口202从计算设备112接收由用户提供给计算设备112的云用户登录信息(例如，用户名称和密码、生物识别(如指纹)、来自识别卡上的磁条或光条的电子信息等)。

用户授权系统116还包括用户验证器204和存储授权用户208的列表的用户数据库206。用户验证器204比较云用户登录信息和授权用户的列表。响应于未能匹配云用户登录信息与来自授权用户的列表的授权用户，用户验证器204生成无效信号或错误消息，其被传送到客户端接口202，并经由计算设备112视觉表示给用户。

响应于匹配云用户登录信息与来自授权用户的列表的授权用户，用户验证器204生成验证信号。响应于接收验证信号，客户端接口202调用由站点104分配给用户的角色取回。角色的例子包括：允许用户看到报告类型的列表；允许用户查看(一个或多个)报告；允许用户重新识别报告的患者身份；允许用户报告的导出；允许用户改变报告，和/或其它角色。本文可以构思其它和/或不同的角色。

角色取回器210从客户端接口202接收针对(一个或多个)角色的请求。角色数据库212存储(一个或多个)站点定义的角色214、以及用户-到-角色映射216，其提供云用户登录信息与(一个或多个)角色之间映射。角色允许站点104控制在患者数据上执行的动作。角色取回器210将用户的角色的列表返回到客户端接口202。客户端接口202经由计算设备112来视觉地呈现对用户可用的动作。

请求引擎218请求基于来自对用户可用的动作列表的调用动作来请求由基于云的CDSS 102执行动作。令牌生成器220针对要求站点授权的动作生成站点会话令牌。例如，该站点会话令牌包括由令牌生成器220在站点102生成的唯一标识符，以识别在站点104和基于云的CDSS 102之间的交互会话。

响应于接收到请求，站点授权系统110检查以查看所请求的动作是否要求站点授权。动作数据库222包括要求站点授权的动作224的列表。如果动作不要求站点授权，则基于云的CDSS 102执行动作。如果动作要求站点授权并不包括会话令牌，则基于云的CDSS 102拒绝请求并返回错误消息。

一般而言，这允许站点104管理用户池，并允许它们希望的人具有这些动作许可，而不将这些用户添加到云授权系统。此外，会话令牌防止可能获知用户登录信息和云中的角色的未授权用户或欺诈用户使得基于云的CDSS 102执行动作，例如，重新识别去识别的患者数据，而不首先被站点104授权。

如果动作要求站点授权并包括会话令牌，则站点授权系统110将验证请求以及会话令牌发送给请求引擎218。请求引擎218比较发送的和接收到的会话令牌，并生成表示发送的和接收到的会话令牌是否匹配(即，它们相同)或发送的和接收到的会话令牌是否不匹配(即，它们不相同)的信号。

响应于接收会话令牌验证信息，站点授权系统110执行动作，调用基于云的CDSS 102来执行所请求的动作。例如，当请求是重新识别在特定报告中的患者数据时，利用GUID来重新识别患者数据。站点授权系统110可以向请求引擎218发送表示已经由基于云的CDSS 102执行了请求的通知。

当站点104不包括令牌生成器234时，站点104将不访问要求站点授权的动作。此外，不同的站点104可以具有不同的角色和/或要求站点授权的不同动作。此外，用户直接登录基于云的CDSS 102，即使当授权用户时，用户将不能访问要求站点授权的动作，因为用户不是从站点104请求动作。

图3示出了从站点的角度的用于对基于云的CDSS进行站点访问的示例性方法。

应该理解，并不限制在本文描述的方法的动作的顺序。这样，在本文中预期其它顺序。另外，可以省略一个或多个动作和/或可以包括一个或多个额外的动作。

在302处，经由在站点104处的计算设备112，将用户登录信息提供给在站点104处的用户授权系统116。

在304处，用户授权系统116基于用户登录信息来对用户进行授权。

在306处，用户授权系统116基于用户登录信息取回分配给用户的角色。

在308处，针对对用户可用的动作的列表，用户授权系统116将请求以及角色发送给基于云的CDSS 102。

在310处，用户授权系统116从基于云的CDSS 102接收对用户可用的动作的列表，并经由计算设备112视觉呈现列表。如本文所讨论的，在动作列表中的一个或多个动作可以要求站点授权。接收到的动作列表识别哪些动作(如果有的话)要求站点授权。

在312处，计算设备112接收从列表选择动作中的一个的输入。

在314处，用户授权系统116确定所选择的动作要求站点授权。

在316处，用户授权系统116将包括动作和会话令牌的请求发送给基于云的CDSS。

在318处，用户授权系统116从基于云的CDSS 102接收请求以验证会话令牌。

在320处，如果发送的和接收到的会话令牌匹配(即，如果它们相同)，则用户授权系统116验证令牌。

在322处，如果用户验证系统116验证会话令牌，则由基于云的CDSS 102实现请求。

在324处，如果用户授权系统116不验证会话令牌，则由基于云的CDSS 102拒绝请求。

可以通过在计算机可读存储介质上编码或嵌入的计算机可读指令来实现上述方法，当由(一个或多个)计算机处理器执行时，所述指令使得所述(一个或多个)处理器执行所描述的动作。额外地或替代地，至少一个计算机可读指令由信号、载波或其它瞬态介质承载。

图4示出了从基于云的CDSS角度的用于对基于云的CDSS进行站点访问的示例性方法。

应该理解，并不限制在本文描述的方法的动作的顺序。这样，在本文中预期其它顺序。另外，可以省略一个或多个动作和/或可以包括一个或多个额外的动作。

在402处，针对对授权用户可用的动作的列表，基于云的CDSS 102从站点104处的用户授权系统116接收请求和用户角色列表。

在404处，基于云的CDSS 102返回可用的动作的列表。

在406处，基于云的CDSS 102接收动作的请求以及会话令牌。

在408处，基于云的CDSS 102将请求以及会话令牌发送给站点104，以验证会话令牌。

在410处，确定会话令牌是否被验证。

在412处，如果会话令牌被验证，例如，如果发送的会话令牌匹配接收到的会话令牌，则基于云的CDSS 102实现请求。

在414处，如果会话令牌未被验证，例如，如果发送的会话令牌不匹配接收到的会话令牌，则基于云的CDSS 102拒绝请求。

可以通过在计算机可读存储介质上编码或嵌入的计算机可读指令来实现上述方法，当被计算机处理器执行时，所述指令使得处理器执行所描述的动作。额外地或替代地，至少一个计算机可读指令由信号、载波或其它瞬态介质携带。

已经参考优选实施例描述了本发明。他人在阅读和理解了前述详细描述后，可以想到修改和变型。本发明旨在被解释为包括所有这些修改和变型，只要它们落入随附权利要求或其等价方案的范围内。