אנונימיזציה של DICOM ישירות בדפדפן: מדריך לצופה/מאנונם DICOM (.dcm)

למה לבצע אנונימיזציה של DICOM בתוך הדפדפן

במחלקות הדמיה רפואית חייבים להסיר מזהי מטופל, הקשר הצילום ומטא-דאטה נוסף לפני שמוציאים בדיקות החוצה או משתפים אותן עם גורמים חיצוניים. הסתמכות על בדיקות ידניות כמעט תמיד מובילה להחמצת תגיות, במיוחד כשהעומס נופל על צוות עסוק. צופה/מאנונם DICOM (.dcm) של ixam.net נבנה לפעול כולו בדפדפן, כך שאפשר לאנונם קבצים מבלי לשלוח את הנתונים החוצה.

הכלי תומך בסינטקסי ההעברה המרכזיים, כולל DICOM Explicit VR / Implicit VR Little Endian ו-Explicit VR Big Endian. מיד לאחר ניתוח המטא-דאטה מוצגות התכונות הרגישות בתצוגת HTML מובנית, מה שמקל על זרימות האישור הפנימיות ועל תיעוד החלטות חשיפה. גם אם יש לאכסן את התיעוד לפי הנהלים המקומיים, היכולת להשלים את בדיקת התגיות בצד הלקוח מפחיתה חיכוך תפעולי. גרירת קובץ או בחירתו מתיבת הדו-שיח מייצרת מיידית אזהרות, תקצירים וטבלאות עם עד 200 תגיות מפורטות. מכיוון שמועמדי האנונימיזציה, מתגי הפריסטים וכפתור ההורדה נמצאים באותו מסך, ניתן לעקוב אחר מצב הנתונים לפני ואחרי השינויים מבלי לאבד הקשר; התוויות והכפתורים נבנו בהתאם לזרימת העבודה כך שהשלב הבא ברור.

דפדפנים נתמכים ודרישות הפעלה

הכלי מותאם לגרסאות עדכניות של דפדפני Chromium (Chrome ו-Edge) ולגרסה היציבה הנוכחית של Firefox. הוא נשען על File API ו-Offscreen Canvas, ולכן מומלץ להשתמש בגרסאות שיצאו מ-2023 ואילך. ב-iOS Safari הרינדור המקדמי עלול להתעכב אחרי טעינת הקובץ, ולכן כדאי לוודא שהמסכות מכסות את האזורים הנכונים לפני שמייצאים את התוצאה. הנתונים המעובדים אינם נשמרים באחסון הדפדפן—סגירת הלשונית משחררת את הזיכרון. בתחנות מנוהלות בבית חולים מומלץ לאשר מראש הרשאות הורדה וכללי ביקורת כדי לעמוד במדיניות המקומית.

הסתרת טקסט משובץ באמצעות מסכות פיקסלים

לעיתים שמות מטופלים, קודי QR או מזהים אחרים משובצים ישירות בפיקסלים. לשם כך תצוגת הקאנבס מאפשרת לצייר מסכות מלבניות שמתמלאות בעת יצירת הקובץ המאנונם. כברירת מחדל לא משנים את נתוני הפיקסלים, אך ניתן להפעיל או לנטרל כל מסכה באמצעות תיבת הסימון שלה או למחוק אותה מהרשימה, וכך לשלוט בדיוק באילו אזורים מבצעים טשטוש.

תגיות רגישות המאורגנות לפי קטגוריות

ההגדרה המובנית SENSITIVE_TAGS מקבצת תגיות מייצגות לפי קטגוריות—זיהוי מטופל, פרטי קשר, תאריכים, קואורדינטות, פרטי ציוד, הערות בדיקה ועוד—ומשייכת לכל אחת פעולה ברירת מחדל ואפשרויות חלופיות. הרשימה מדגישה תגיות לפי קטגוריה ומאפשרת לאפס ערכים, להשאיר מחרוזת ריקה, לכתוב "ANONYMIZED" או ליצור UID חדש בלחיצה אחת. תגיות של תאריכים וקואורדינטות, שנשכחות לעיתים קרובות, מגיעות עם הגדרות מוקדמות של אפס או יצירת UID מחודש כדי שלא יימלטו מבדיקות שגרתיות.

מעבר בין מצבי פעולה בעזרת פריסטים

מדיניות האנונימיזציה מחולקת לשני פריסטים: “מחקר (אנונימיזציה מלאה)” ו-“שיתוף פנימי (הסתרת מזהי מטופל בלבד)”. פריסט המחקר נועד לטשטש מזהי מטופל, תאריכים, קואורדינטות ופרטי ציוד לטובת הסרת זיהוי מקיפה, ואילו הפריסט הפנימי מתמקד בתגיות מטופל ויצירת קשר כדי לשמר את ההקשר הקליני. החלת פריסט מעדכנת באופן אוטומטי את הפעולה המומלצת לכל תגית, ותמיד ניתן לשנות ידנית כל שורה כדי להתאים את התהליך למדיניות הארגונית.

תהליך אנונימיזציה שנגמר בהורדה

בסיום הניתוח מופיעים זה לצד זה הכפתורים “עדכון תצוגה מקדימה של האנונימיזציה” ו-“הורדת DICOM מאנונם”. המפעילים יכולים לבדוק את הפעולות המומלצות, לרענן את התצוגה המקדימה ולשמור מייד את הקובץ המאנונם באחסון המקומי. מאחר שהכול מתבצע בדפדפן, אין חשש שהקובץ יועלה לענן בזמן שיתוף הנתונים עם גורמים חיצוניים. הכלי כולל גם מדריך מובנה צעד-אחר-צעד מהגרירה של הקובץ ועד לשמירה הסופית.

מדריך שלב אחר שלב

פועלים עם הכלי לפי השלבים הבאים.

1. פתחו את צופה/מאנונם DICOM (.dcm) בדפדפן וקראו את ההצהרה וההסבר בראש המסך.
2. טענו קובץ DICOM דרך הכפתור בחר קובץ או באמצעות גרירה אל לוח הניתוח.
3. עברו על המטא-דאטה והאזהרות שמופיעות מיד לאחר הייבוא, החליפו פריסט אם צריך ואשרו את הפעולות המומלצות.
4. אם עדיין מופיעים מזהים בתמונה, עברו ללשונית התצוגה המקדימה, הוסיפו מסכות מלבניות והחליטו בעזרת תיבות הסימון אילו מהן יופעלו.
5. ודאו שהפעולה שהוקצתה לכל תגית תואמת את כוונתכם, וערכו ידנית תגיות בודדות לפי הצורך.
6. לחצו על “עדכון תצוגה מקדימה של האנונימיזציה” כדי לבחון את המצב לאחר העיבוד, ולאחר מכן בחרו “הורדת DICOM מאנונם” לשמירת הקובץ.
7. לאחר סיום העבודה סגרו את הלשונית ונקו זיכרונות מטמון בתחנה בהתאם למדיניות הארגונית.

נקודות שכדאי לזכור

הכלי משאיר בכוונה את Pixel Data הדחוסה ללא שינוי ואינו נכנס לתגיות מקוננות בתוך רצפים (SQ). יצירת UID מחדש נעשית על פי תקן DICOM ומשתמשת בספרות עשרוניות בלבד. אם קיים חשש שמידע מזהה מסתתר בתמונות דחוסות או במבנים עמוקים, הוסיפו שלבי בדיקה נוספים לתהליך. מכיוון שהקבצים שנוצרים נשמרים רק בזיכרון הדפדפן, אל תשכחו ליישם נהלי ניקוי וניהול לוגים בתחנות המקומיות.

מקורות

• DICOM Standard PS3.15: Security and System Management Profiles
• DICOM Standard PS3.10: Media Storage and File Format
• National Institutes of Health: DICOM for Researchers

סיכום

מאמר זה נועד כחומר עזר לגופים רפואיים וחוקרים שעובדים עם נתוני DICOM; הוא אינו מהווה ייעוץ רפואי או הנחיה לאבחון. הקפידו לעמוד במדיניות האבטחה, בחוקים הרלוונטיים ובהיתרי ועדות האתיקה של הארגון, ומנו אחראי שיוודא שהקבצים המאנונמים אינם מאפשרים זיהוי חוזר של מטופלים. התיאור מתבסס על מצב הכלי בזמן הכתיבה; ייתכנו שינויים עתידיים, ולכן מומלץ לבדוק את התיעוד והעדכונים העדכניים ביותר.

אנונימיזציה של DICOM היא הרבה יותר ממחיקה של תגיות ברורות—היא דורשת טיפול מוקפד בקואורדינטות, בתאריכים וב-UID המשולבים בזרימות עבודה קליניות. שילוב של עיבוד מקומי בדפדפן, מדיניות מוכנה מראש ומסכות פיקסלים בממשק אחד הופך את הצופה/מאנונם של ixam.net לכלי אמין שמסייע לצוותים בשגרות האנונימיזציה היומיומיות שלהם.