用于安全性至关重要的医学图像内容的传输措施

摘要

本发明涉及一种将具有PHI段（P）的安全性重要的医学图像数据组（BD）从源应用（Q）传输到目标应用（Z）的传输方法、系统和产品，其中该方法可以同时操作安全的和不安全的目标应用并且其中该方法访问PKI架构，其为每个用户提供特定于用户的密钥（key）。在源应用中采集到复制命令之后生成包含匿名的图像数据组（BD

说明书

技术领域

本发明处于医学技术和信息技术的领域，并且特别涉及一种方法，用于 对安全性至关重要的图像内容进行复制并且可能地将其粘贴到相同的或者 另一个应用中，所述应用也可以实施在不同的应用设备上。

背景技术

特别在医学背景中，越来越多地通过数据处理装置或基于计算机来进行 处理。例如为了实施外科的机器人控制的手术、为了诊断、为了数据存档等， 而提供了多个不同的应用。在成像医学范围内，所采集的图像数据必须被处 理和存储。为此，有益的是，从应用中复制单独的图像内容或整个图像并且 在另一个位置再次粘贴。

为此，在现有技术中求助短时间存储器（所谓的剪贴板），在其中可以 存储待传送的内容，以便随后可以访问。因此，可以使用剪贴板功能来执行 复制和粘贴命令。就像在US-A-5,964,834中所描述的，在此可以分别为有线 计算机网络的处理器分配剪贴板。

在临床背景中，也越来越多地使用移动应用设备（便携电脑、PDA、移 动传感器设备，例如血压/血糖测量设备等）。对于移动应用设备也应当提供 复制和粘贴功能。

此外要考虑的是，医学图像数据组通常包含安全性至关重要的内容，所 述内容要被访问保护地处理和加工。因此，必须确保，患者识别资料（例如 名字、年龄、性别、居住地等）不与图像数据或图像数据块一起达到越过各 个访问保护的环境的限制。这些访问保护的内容被称作“受保护健康信息 （protected health information，PHI）”。

出于安全性技术的缘故，由此不可能的是，也在临床医学范围内提供例 如由文本处理程序所公知的、常见的和有益的复制和粘贴功能，原因在于， 借助这些技术不能遵守医学数据保护标准。

由此，在现有技术中常见的是，将图像内容匿名，并且对生成的匿名的 图像数据组进行存储，并且也使之应用外部地可用或工作流程外部地可用。

至今未公知的是，为PHI数据组提供满足安全标准的复制和粘贴功能。

此外，也应当可以跨机器地或跨应用地传送图像内容。

发明内容

因此，本发明要解决的技术问题是，提供一种用于对复制和粘贴功能进 行转换的方法，其也允许跨工作流程地和/或跨机器界限地保存PHI内容并 且可以访问PHI内容，从而满足用于医学领域的安全标准。

通过任意的并列的权利要求、特别是通过计算机实施的方法、通过基于 计算机的传输系统以及通过计算机程序产品来解决所述技术问题。

下面结合要求保护的方法来描述所述技术问题的解决方法。在此所提到 的特征、优点和/或替换的实施方式同样也可以转用到其他要求保护的内容， 反之亦然。换言之，也可以借助结合方法所描述或所要求保护的特征来扩展 传输系统或计算机程序产品。在此，通过相应具体的计算机实施的模块、特 别是系统的微处理器模块来构造方法的相应的功能特征。传输系统和方法也 可以作为嵌入式系统（embedded system）集成在采集设备或者医学设备（例 如，在成像采集设备、MRT、CT、US、PET等）中。

按照本发明的一方面，技术问题解决方案涉及一种基于计算机的、为安 全性至关重要的医学数据组（特别是图像数据组）提供传输功能的方法，所 述医学数据组具有来自于在目标应用中的源应用的PHI段，其中，所述方法 也可以同时操作识别为安全的和识别为不安全的目标应用，并且其中所述方 法对PKI架构进行访问，所述PKI架构为每个用户提供特定于用户的密钥， 所述方法具有下面的方法步骤：

-在源应用中采集用于至少一个图像数据组的复制命令之后：生成匿名 的图像数据组，并且将图像数据组和匿名的图像数据组传递给交易模块 （Tradermodul）；

-采集各个密钥并且生成至少两个对于图像数据组的数据组合 （Datenkonvolute），其包含匿名的图像数据组和加密的图像数据组，其中通 过借助所采集的密钥来加密图像数据并且由此图像数据加密地存在，从而形 成加密的图像数据组；

-至少将匿名的图像数据组传递给剪贴板，并且至少将加密的图像数据 组传递给存储器模块，以便存储在密钥和数据组合的至少一个对应于各个密 钥的图像数据组之间的对应关系；

-在目标应用中采集用于至少一个图像数据组的粘贴命令之后：采集密 钥，并且自动地采集是否将目标应用登记为安全的应用或者其是不安全的应 用；

-如果目标应用是不安全的应用，那么：目标应用对剪贴板进行访问， 以便对对应于所采集密钥的匿名的图像数据组进行访问并且显示在目标应 用上；

-如果目标应用是安全的应用，那么：将目标应用的粘贴命令传递给交 易者（Trader），其中交易者借助所采集的密钥来访问存储器模块，以便对与 各个密钥对应的加密了的图像数据组进行访问并且借助密钥来对其进行解 密并且将解密了的图像数据组提供给目标应用。

下文中，更详细地解释在本申请范围内所使用的概念。

术语“传输功能”包含复制和粘贴功能，其用于待保护的或安全性至关 重要的内容、特别是图像内容。然而除了图像内容之外，待传输的数据也还 可以包含其他数据类型，例如文本数据（关于图像数据的元数据，例如有关 患者的身份信息、或者关于采集设备的附加数据、图像采集的时刻等等）。 在遵守安全标准的情况下，传输功能不应当局限于特定的应用、机器或医学 工作流程，而是也可以跨应用地、跨机器地、跨工作流程地实施。此外，不 管其上应当粘贴待传送图像内容的目标应用是安全的还是不安全的应用，都 应当可以使用复制和粘贴功能。按照本发明，由单独的实例（Instanz）来提 供传输功能作为附加操作系统模块或加载项。其优选是特定于操作系统的。 按照本发明的传输功能的主要优点在于，其可以跨制造商地使用并且由此也 可以用于来自于不同制造商的源应用和/或目标应用。

PKI架构（public key infrastructure）是这样的实例，其提供用于加密和 解密的方法并且对其进行管理。通常，其包含将（公共）密钥分配给一一对 应的用户身份信息。由此，也可以将其构造为认证实例或登记实例。

图像数据是医学数据组、特别是借助成像设备（磁共振断层造影设备、 计算机断层造影设备、超声波设备、正电子发射断层造影设备等）所采集的 图像数据。在医学图像处理中，经常使用DICOM（Digital Information and Communications in Medicine，医学中的数字信息和通信）协议以用于数据传 输。因此，图像数据优选以DICOM格式存在。除了图像信息之外，图像信 息还包含识别患者的信息（姓名、身份信息（例如一对一的人员编号等）、 年龄、性别、附加信息（例如病史数据、诊断））。图像数据由此包含PHI 数据，所述PHI数据不允许到达至安全的环境之外。然而，在替换的应用中， 图像数据也可以是PHI数据组，其在实际意义上并不是图像数据，而可能仅 仅是其对应（例如，医学测量值、诊断文本等），例如具有不同格式的文本 数据或数据。

匿名的图像数据的特征在于，改动了或从数据组中移除了所有识别患者 的段或部分。匿名的图像数据也可以借助不同的措施来进行去识别 （de-identifiziert），并且于是不再含有识别（患者）的提示。对此，可以从 数据组中有针对性地并且断然地将可预先确定的特征参数排除、概括、替代 或者另外地改变，所述特征参数例如姓名、地理数据、联系电话或地址，此 外还有电子邮件地址、验证号码（Sicherheitsnummer）、其他的（例如健康 卡或银行卡等的）ID号码、生物医学数据、照片等。替换的措施是统计学 方法的应用，所述应用基于验证如下统计学可能性：是否可以从去识别的数 据组中再次推导出原始数据。在此替换地也可以使用PHI数据的假名 （Pseudonymisierung），其通常具有在原始PHI数据和假名之间的中间对应 实例（Zuordnungsinstanz）。匿名的图像数据在此是可见的并且对于任何人都 （作为明文，也就是未加密地）是可读的。

不同于图像数据和匿名的图像数据，加密了的图像数据的特征在于，图 像内容不再作为明文以可读的形式存在，而是已被加密并且只能借助相应的 密钥进行解密。即使当入侵者掌握了加密的图像数据，没有密钥他也不能从 中得到图像数据。

密钥优选是特定于用户的并且或者可以存储在中间PKI实例中或者存 储在设备自身中。在本发明的扩展中，PKI密钥是特定于设备的。由此，本 方法被限制在各个设备上。由此，可以维持较高的安全级别。优选应用对称 密码法，从而使得用于加密和解密的密钥是一致的。

剪贴板是这样的存储器，其中暂时地存储待传输的数据组，使得目标应 用可以在需要时进行访问，以便将其粘贴到要选择的位置上。可以本地、也 就是特定于设备和操作系统特定地提供剪贴板，从而使得源应用具有剪贴板 （例如Microsoft Windows），并且目标应用具有与之相应物（也许不同于剪 贴板）、所谓的粘贴板（例如Apple iPad）。优选地，剪贴板是特定于设备的， 从而对于安装在一个设备上的多个应用提供一个剪贴板。单用户部署 （Single-User-Deployment）是优选的，其中对于某一时间每个设备或装置仅 仅有一个用户激活地工作。在此，任意多的用户可以同时借助其设备参与到 方法中。在本发明另一个优选的实施方式中使用了标志（Token），以便对缓 冲的数据组进行识别或使之可寻址。由此也可以实施多粘贴命令，其中可以 在剪贴板中中间存储多个数据组，并且其中目标应用然后可以在输入粘贴命 令的情况下从所缓存的数据组的集合中选出分别有关的待粘贴的数据组。由 此，还可以扩大地并且更为灵活地构造复制和粘贴功能。

交易模块是这样的架构部件，其可以优选被暂存为可实施的文件或应 用。交易模块的实例或者与交易模块相互作用的模块（例如以宏的形式）可 以构造在源应用/目标应用上。由此，这些实例或模块可以部分地在目标应 用上并且部分地在源应用上实施。交易模块优选被实现为远程服务或者基于 服务器或基于云（Cloud）的应用，所述服务或云可以经由网络访问。然而， 也可以临床网络内部地提供交易模块。优选分别为一个登记的设备提供一个 交易模块。就此而论，“登记”是指，其上安装了目标应用的设备是安全的 应用并且具有到交易模块的通道（不同于不安全的目标应用，其直接访问本 地的剪贴板而不访问交易者）。特别应当实现交易模块以用于源应用和目标 应用。替换地，也可以提供这样的应用场景（Anwendungszenarien），其中分 别为一个应用提供一个交易模块。

存储器模块是这样的架构部件，其用于对待传输的数据进行中间存储 （缓冲，也多次顺序地）。优选地，不同的其上安装了源应用和/或目标应用 的设备通过网络（例如云托管）可以访问存储器模块。

安全或不安全的目标应用：

按照本发明的一方面，设置了两类应用：安全的和不安全的目标应用。 “安全的”目标应用是其中应当粘贴PHI内容的应用，所述PHI内容位于和 源应用相同的安全环境中并且由此不需要附加的用于数据传送的安全措施。 安全的应用具有与交易模块的接口并且“知道”其是安全的。“不安全的” 目标应用是其中同样应当粘贴PHI内容的应用，然而所述PHI内容不位于与 源应用相同的安全环境中，从而需要自动的（也就是不需要用户交互的）附 加的用于数据传送的安全措施。不安全的应用不具有与交易模块的接口并且 也不明白“安全”与“不安全”的区别。按照本发明的一方面，自动地对目 标应用属于两类中的哪一类进行采集。由此，安全的目标应用的特征尤其在 于，其具有一种服务通道、也就是与交易模块（下文中也简称为交易者）的 安全连接，而不安全的应用（例如Microsoft/Word）却不具有此。

在本发明的有利扩展中，不仅仅对应用（目标应用）是安全的还是不安 全的进行采集，而且也对其上实现了各个应用（目标应用）的设备是安全的 还是不安全进行采集。然后，安全的设备是这样的设备，在其上交易模块是 激活的，所述交易模块从远程的网络地址（远程地）与存储器模块（例如借 助URL或者其他的链接）相连接并且在此进行登记。

原则上可以在自动化的医学工作流程内部或外部使用按照本发明的方 法，从而也可以通过剪贴板进行复制和粘贴操作。由此可以使所选的工作流 程步骤更为安全。在生成临床诊断报告的情况下，应当在不安全的环境下例 如将患者身份信息的元素（姓名、出生日期、性别、在医院里的ID号）或 者来自应用的患者图像在报告中通过剪贴板复制和粘贴来自动地传输。在不 安全的环境中，安全性至关重要的对剪贴板的访问可以从剪贴板那一侧获取 这些PHI数据。

不同于现有技术中的在应用内部对所实施的命令的流进行录制的宏录 制器（Makro-Recorder），在本发明中（尤其出于安全的原因）预先给定了所 有的命令顺序。但是仍然可以将内容从一个应用（也跨计算机地）传送给另 一个。复制和粘贴命令总是针对直接选取的数据：在“复制”的情况下在应 用中选择数据；在“粘贴”的情况下从剪贴板中‘选择’数据。在应用内或 者自应用中数据传送的功能性实施然后可以借助常见的命令来进行，例如加 载、存储、保存，所述命令一般（与应用无关地）由在应用内部的框架所提 供。复制和粘贴命令由此可以安全地并且完全特定于情况和数据地来实施。

原则上，按照本发明的方法的不同部署是可能的。优选的是单用户部署， 其中对于特定的时间段在设备上登陆一个用户。

按照本发明的传输方法由此确保了：来自源应用的待传送的PHI数据 始终可以在遵守安全规定的条件下跨应用地被传输到目标应用中。

如果目标应用是不安全的应用，则目标应用（可以这么说，照常）借助 所采集的密钥对本地的剪贴板（或粘贴板）进行访问并且获得匿名的与密钥 相对应的图像数据组。由此，仅仅将匿名的数据组（作为默认设置）显示在 目标设备上。由此自动地仅仅粘贴匿名的图像数据。目标应用在这种情况下 可以不对所采集的密钥进行分析并且不将其用于解密，使得仅仅可以将匿名 的（或者加密的）数据组粘贴到目标应用中。

如果目标应用是安全的应用，则交易模块是激活的。交易模块借助所采 集的密钥自动地对加密了的分别与密钥相对应的PHI数据进行访问，以便将 其解密并且作为明文（不加密地）粘贴到目标应用中。

下文中简要地描述通常的流程：

用户将患者数据加载到医学应用中并且选择例如一个或者多个患者图 像并且执行“剪贴板复制”功能。这时医学应用将每个图像存储两次，既有 加密了的原始图像，也有相同图像的（优选即时生成的）不再包含患者身份 信息的匿名版本。借助用户的来自于所提供的PKI架构的密钥来进行加密。 通过在每个设备或装置上的密钥可以明确地识别用户。加密的原始图像仅仅 用于该用户，并且仅仅在该设备上的安全目标应用中是可以再次读取的。由 此，借助也用作初始密钥的用户密钥来进行两个图像的存储，以便在每个设 备上找到该用户的图像。每个图像的标志允许用户同时复制多个图像，并且 对于粘贴命令而言从多个存储的（中间存储的）图像中选出任意的图像。多 次进行图像对的存储。在本地机器的剪贴板上和在（可以基于云的）安全的 资源库上，也就是在存储器模块中存储。

所有的用户登录其上的设备与云资源库（Cloud Repository）相连接或者 已经与云资源库相连接并且在如下情况下被通知，即，当在这些设备中的一 个上针对该用户在资源库和/或在剪贴板中存储了图像对时。基于该通知， 所有设备自动地为本地的剪贴板填充新的图像对（其中数据组与密钥和标志 一起存储）。于是所有设备的所有剪贴板具有相同的数据。

如果现在用户改变至在另一个或相同设备上的不安全的应用并且执行 粘贴命令，那么不安全的应用（照常）访问剪贴板，必要时甚至浏览密钥和 标志（因为其通常都不能分析）并且在最简单地情况下仅仅粘贴最初匿名的 图像。

如果用户改变至在另一个或者相同的设备上的安全的应用并且执行粘 贴命令，那么安全的应用读取在本地机器上的用户密钥、由此访问剪贴板、 找到密钥和标志、并且借助密钥在剪贴板内和在存储器模块内或在云资源库 内借助该密钥查找数据，以便对这样所找到的数据进行解密并且为用户呈现 所有的原始图像以便选择。用户选择图像，并且所述应用粘贴所选择的原始 图像（例如在安全的临床诊断应用中）。作为安全措施，（例如借助存储器删 除操作、所谓的垃圾收集机制）时间控制地对剪贴板和云资源库进行删除。

关键的是，在不安全的复制和粘贴环境中通过附加的新部件（这些部件 对数据进行匿名并且将含有和不含PHI的数据传输给SecuSnapTrader）在安 全的应用中自动地生成和存储数据组合（就像上文中所描述的：含有和不含 PHI数据的数据对）。

在此也应当看到一个重要的方面，即，借助附加的和独立的架构部件， 即交易模块（也被称为SecuSnapTrader）和存储器模块（也被称为 SecuSnapStore），来复制和分布这些既在所有的本地剪贴板上又在存储器模 块或云资源器上的医学数据。由此实现了跨设备的复制和粘贴，更确切地说， 不依赖于硬件类型或操作系统的类型（并且不需要用户例如关于目标设备的 附加的说明）。有利的是，安全的以及不安全的应用均被自动地支持。这对 于用户而言透明地并且对于任意不安全的应用来说技术上透明地进行。

按照本发明的优选的实施方式，分别为图像数据组的一个实例分配一个 标志作为识别特征，以便也可以将多个图像数据组或其中一部分积聚或收集 到剪贴板和/或存储器模块中并且以便也可以执行多粘贴命令。换言之，使 用者也可以多次接连地执行粘贴命令，并且每次从可用的图像数据组中选出 相关的。由此，标签用作访问工具（Zugriffsmittel）和指示符并且对于用户 而言最后被考虑，使得标签的整体形成了在粘贴板和/或存储器模块中的可 用图像数据组的一种“结构化的内容索引”。由此，也可以选择顺序存储（复 制）的PHI内容或者共同地“粘贴”到目标应用中。

按照本发明的另一个优选的实施方式，密钥同时发挥两个不同的功能： 其一，用于对图像数据组进行加密，以及其二，用于识别图像数据组或作为 在数据结构中的初始的查找密钥以用于（例如在剪贴板或粘贴板中或在存储 器模块中的）图像数据组。

按照本发明的另一个优选的实施方式，在存储器模块和/或在剪贴板上 存储对应实例，其至少包含密钥、与各个密钥相对应的匿名的图像数据组和 与各个密钥相对应的加密了的图像数据组。在明文中的PHI数据不存储在剪 贴板和存储器模块上，使得可以确保，待保护的PHI数据不离开各个（安全 证实的）机器限制。

按照本发明的另一个优选的实施方式，所有的用户登录其上的设备获得 这样的消息，即，为使用者将图像数据组存储在剪贴板和/或存储器模块中 并且由此是可使用的。该消息从交易者到达存储器模块并且到达所有的在其 他设备上的其他交易者。在其他设备上的其他交易者在用户登录之后已经为 了使用存储器模块而在交易者（可以说其并行于存储器模块地或在存储器模 块旁边）中登记。由此，在存储器模块旁边的交易者可以将其他设备上的交 易者的调用地址存储在该存储器模块自身内并且为了发送消息而再次读取。 在此，也可以将其他交易者的调用地址连同作为初始密钥的密钥一起暂存在 存储器模块中。借助本发明的该方面，提供了分布式的剪贴板机制，其具有 远程访问和通知以及剪贴板数据的自动分布。

按照本发明的另一个优选的实施方式，对于每个其上实现了源应用和/ 或目标应用的应用设备，安装交易者。

这样构造传输方法的通常流程：如果安装在设备上的交易者获得这样的 消息，即，用于用户的图像数据组存储在剪贴板或存储器模块中并且由此是 可用的，则交易者从存储器模块中读取匿名的图像数据组并且将其存储于在 设备上的本地剪贴板上。不安全的目标应用读取匿名的图像数据组，就像不 安全的目标应用和源应用位于相同的设备上一样。

作为扩展和优化，所有的图像数据可以本地地保存在剪贴板上，以便加 速安全的目标应用对图像数据的访问。

可以看到上述方法的明显优势在于，借助传输功能可以同样地使用安全 的应用和不安全的应用。此外，也可以跨机器地使用传输功能。

同样处于本发明范围内的是，不必以上述的顺序执行上文所描述的方法 步骤。替换地，也可以例如执行首先多个复制命令然后在目标应用上执行一 个或多个粘贴命令。在另一个实施方式中，复制和粘贴图像数据的方法步骤 可以彼此交错（Interleaving），从而在采集粘贴命令时直接地显示并且可以 激活在目标系统的显示器上的窗口，在其上一个或多个可用的图像数据是可 以选择的以便选择性地用于粘贴。既可以针对图像也可以针对图像组（例如 检查的图像系列）例如通过鼠标点击来激活该窗口。

此外可行的是，可以将上述方法的单个步骤构造为单独的可售单元并且 将该方法的其余步骤构造为其他的可售单元。由此，按照本发明的方法可以 作为分布式系统在不同的基于计算机的实例（例如客户端-服务器实例）上 实施。由此，例如可行的是，交易模块本身包含不同的子模块，所述子模块 部分地实施在源应用上，部分地实施在目标应用上和/或部分地实施在其他 的基于计算机的实例上。

上述技术问题的另一个解决方案涉及一种按照所附的权利要求所述的 计算机程序产品。另一个技术问题解决方案设置了一种包含有计算机指令的 计算机程序。计算机指令可以直接存储在计算机的存储器上或者通过网络下 载并且包含可以由计算机读取的命令，当在计算机上执行这些命令时，确定 所述命令以便实施上述方法。计算机程序也可以存储在存储器介质中或者其 可以通过相应的网络从服务器下载。

附图说明

在下面详细的附图描述中，依据附图来对具有其特征和其他优点的非限 制性理解的实施例进行讨论。附图中：

图1示出了用于复制和粘贴命令的原理图；

图2示出了用于按照本发明优选实施方式执行用于安全目标应用的复 制和粘贴命令的示意图；

图3示出了用于按照本发明优选实施方式执行用于不安全目标应用的 复制和粘贴命令的示意图；

图4示出了根据按照本发明的方法的优选流程的流程图。

具体实施方式

就像在图1中示出的那样，要将图像数据从源应用Q传输至目标应用Z 中。源应用Q在第一设备上运行并且目标应用Z在第二设备上运行，其中 设备G通过网络进行数据交换。

这也适用于公知的复制和粘贴命令。不同于公知的方法，本发明的特点 在于，待传输的数据包含图像数据BD并且此外包含需要保密的、待保护的 或待保证安全的数据（所谓的受保护健康信息，简称为PHI数据），其在附 图中通过附图标记P示出。PHI数据可以以不同的格式、优选以DICOM格 式存在并且通常包含与患者健康状况（诊疗、诊断、治疗相关的数据组，付 款人有关的数据组等）有关的图像数据。PHI数据P始终包含医学内容。

如果现在对具有PHI段P的数据组进行复制并且粘贴在另一个位置， 那么不可以使用以前的通常由操作系统所提供的复制和粘贴功能，原因在于 不能自动地遵守安全标准（PHI数据的保护）。

在此，本发明使用并且提出了一种IT架构，其也自动地实现了跨应用 地或跨设备地安全地执行复制和粘贴命令。

原则上，针对具有PHI段P的图像数据组BD，按照本发明的传输方法 既可以用于安全的又可以用于不安全的目标应用。如果其或者是与源应用Q 相同的应用，或者位于与源应用Q相同的信息技术环境中，或者登记在传 输系统中，并且由此提供了与交易模块Tr和/或存储模块S的接口，那么， 目标应用被认为是“安全的”。交易模块Tr根据配置获悉存储模块S的地址 或URL。在启动交易模块Tr的情况下，交易模块Tr通过存储模块S的URL 来访问存储模块S并且向其传递其自身的URL，也就是交易模块Tr的URL。 此外，交易模块Tr将当前用户的密钥key传递给传输模块S。在注销登记 （De-Registrieren）的情况下，交易模块Tr删除其在交易模块中URL。交易 模块Tr随后可以访问存储模块S，以便为密钥key传送数据。如果这些交易 模块Tr已经以相同的密钥登记了，那么针对所有登记了的其他交易模块Tr 向存储模块S传送这些数据。

所有其他的目标应用Z初步看来被视为“不安全的”。

在实施用于PHI图像数据组BD的按照本发明的传输功能的情况下，现 在自动地对目标应用Z是安全的还是不安全的进行采集。

如果其是安全的目标应用Z，则在图2中示出了实施例。系统已经采集 到：目标应用Z被视为安全的。在实施于设备G^Q上的源应用Q上采集复制 命令并且传递给交易模块Tr，所述交易模块在这种情况下被分配给源应用Q 并且由此具有附图标记Tr_Q。源应用Q将待复制的图像数据BD同样地传输 给交易模块Tr_Q。接着，交易模块Tr_Q可以从中央PKI实例（public>Q或用户或源应用Q相对应的密钥key。 密钥key用于加密待粘贴的图像数据组BD。此外，Tr生成匿名的图像数据 组BD_a，其不再包含识别患者的内容。

按照本发明，基于待传输的图像数据BD生成数据组合，其包含加密了 的图像数据组BD_key和匿名的图像数据组BD_a。由此形成原始图像数据组BD 的三个实例：

1.原始的图像数据组BD

2.匿名的图像数据组BD_a，以及

3.加密了的图像数据组BD_key。

在优选的实施方式中，将匿名的图像数据组BD_a传输到（通常情况下） 本地的剪贴板C（在该情况下，就像在图2中示出的那样：C_Q，因为该剪贴 板被分配给源应用Q）中，并且将加密了的图像数据组BD_key传输到存储模 块S中。

存储模块S可以被构造为服务器并且在网络结构中作为基于云的服务 被提供。这也适用于交易模块Tr。

现在一旦在目标应用Z上采集到粘贴命令，则将其传递给（同样优选 本地的）交易模块Tr。交易模块Tr然后可以从PKI实例PKI中读取所属的 密钥key并且就借助该密钥key来访问存储模块S。

本发明的基本特征现在在于，所述密钥同时满足两个功能：

1.其用作加密和解密措施，以及

2.其同时也用作初始密钥，用于访问在存储器（存储模块S、剪贴板C） 中的特定数据组，也用作标识符或访问措施。

借助密钥key，交易模块Tr（在这种情况下）找到对于目标应用而言特 定的加密了的图像数据组BD_key。然后可以借助密钥key在交易模块Tr上（或 者在应用Z中）解密所述图像数据组并且作为明文（也就是解密地）在目标 应用Z上提供。优选地，解密的图像数据组包含PHI信息。可以预设置的是， 解密的图像数据与原始图像数据组BD一致。否则可以设置，不一起粘贴特 定的段或者一起粘贴附加的段。在这种情况下，粘贴到目标应用Z上的解密 的图像数据组包含元信息，所述元信息例如关于源应用Q、关于复制命令的 时刻、粘贴命令的时刻和/或其他数据和/或PHI数据P的特征（强调）。

如果将目标应用Z作为不安全应用进行分析，那么参考图3来阐述传 输方法的流程。结合复制命令所实施的方法步骤与在安全应用情景中的（参 见上文，并且在图3中左侧示出）方法步骤是一致的。然而粘贴过程是不同 的。在采集在目标应用Z上的粘贴命令的情况下，采集密钥key，借助其然 后访问（通常本地的）剪贴板C（在这种情况下C_Z），以便访问与密钥key 相对应的匿名的图像数据组BD_a并且将其传输给目标应用Z或者贴贴到由 光标所确定的位置。

重要的是，其上应当执行复制和粘贴命令的文件的格式可以是不同的。 由此，源应用Q可以基于DICOM格式，而目标应用Z可以基于.txt或.ppt 格式或者其他格式，其不必强制地针对图像内容来构造。

参考图4，在下文中根据优选的实施方式来描述传输方法的流程。

在方法开始之后，在步骤1中采集复制命令。这在源应用Ｑ上进行。然 后，在步骤2中采集密钥key。这可以在源应用Q上或者在交易模块Tr上 执行。在步骤3中生成数据组合，其包含：1.匿名的图像数据组BD_a和2.加 密的图像数据组BD_key。在步骤4中，至少将匿名的图像数据组BD_a传递给 剪贴板C并且在步骤5中将加密了的图像数据组BD_key传递给存储模块S并 且在此中间存储。也可以顺序地将多个图像数据组存储在存储器C、S中， 所述存储器通过标志T是可以识别的。同样可能的是，将总的生成的（具有 匿名的图像数据组BD_a和加密的图像数据组BD_key的）数据组合存储在剪贴 板C和/或在存储模块S上。优选在交易模块Tr上执行步骤3至5。然而也 可行的是，在源应用Q和/或其他实例上扩展各个方法步骤。在步骤6中在 目标应用Z上采集粘贴命令。在步骤7中采集密钥key。在步骤8中分析： 目标应用Z是（在图4中左侧示出的）“安全”类型还是（右侧示出的）“不 安全”类型。

如果是安全的目标应用Z，那么在步骤9中将粘贴命令传递给交易者或 交易模块Tr，从而所述交易者或交易模块在步骤10中可以借助所采集的密 钥key对存储模块S和/或剪贴板C进行访问，以便获取与密钥key相对应 的加密了的图像数据组BD_key并且以便在步骤11中同样借助密钥key来对其 进行解密并且以便然后将结果（原始的图像数据BD）粘贴到目标应用Z。 然后所述方法结束或者可以例如针对其他图像数据组BD重新继续。

如果是不安全的目标应用Z，则在目标应用Z方面在步骤15中借助所 采集的密钥key来访问存储模块S，以便从剪贴板C中获取匿名的图像数据 组BDa并且在步骤16中将其传输给目标应用Z以便粘贴。然后所述方法同 样可以结束或者重新继续。

最后指出的是，原则上不应当借助实施例限制性地参考本发明的特定物 理实现来理解本发明的上述描述。由此，对于专业人员特别明显的是，本发 明原则上不限于特定的数据格式（例如DICOM图像数据），而是也可以使 用其他的数据格式（文本数据等）。此外，也不是严格必须借助基于云地通 信技术。在此例如也可以使用专有协议以用于过程通信。另外，本发明可以 部分地或者完全地在软件中和/或在硬件中实现。另外，也可以将按照本发 明的方法或传输系统分布式地在多个包含计算机程序产品的物理产品上实 现。由此可行的是，将控制传输的部分实施在源系统Q上并且将控制的其 余部分实现在目标系统Z上，反之亦可。