Anonimizacja plików DICOM przed wysyłką — co powinien wiedzieć pacjent

Plik DICOM zawiera obraz oraz metadane identyfikujące pacjenta; przed wysyłką usuń metadane, zmień nazwę pliku i użyj bezpiecznego kanału przesyłania.

Główne punkty, które omówię

• co to jest plik DICOM i dlaczego różni się od zwykłego zdjęcia,
• jakie realne ryzyka niesie wysyłka niezanonimizowanego DICOM,
• co mówi prawo (RODO) o anonimizacji i pseudonimizacji,
• praktyczne kroki, które pacjent może wykonać przed wysyłką badania do drugiej opinii lub serwisu AI.

Co to jest plik DICOM?

Plik DICOM to standard zapisu i przesyłu badań obrazowych stosowany w medycynie. W jednym pliku znajdują się zarówno obrazy (TK, MRI, RTG, USG) jak i nagłówek z metadanymi — setki pól opisowych zwanych tagami. Typowe informacje w nagłówku to imię i nazwisko, numer pacjenta, data urodzenia, identyfikatory badania, nazwa placówki i dane lekarza. Te dane to tzw. dane zdrowotne i zgodnie z RODO traktowane są jako szczególna kategoria danych osobowych.

Dlaczego plik DICOM to nie jest zwykłe zdjęcie

W plikach DICOM obraz i tekst idą razem. Nawet jeśli zamazano lub przykryto nazwisko widoczne na obrazie, nagłówek może dalej zawierać pełne dane identyfikujące. Dodatkowo sam obraz może ujawnić tożsamość: w badaniach głowy z tomografii komputerowej lub rezonansu magnetycznego można zrekonstruować trójwymiarowy kształt twarzy. Badania z 2019 r. wykazały, że algorytmy rozpoznawania twarzy dopasowywały takie rekonstrukcje do zwykłych zdjęć z dokładnością przekraczającą 80% w wielu konfiguracjach. Dlatego proste „zakrycie nazwiska na rogu” nie daje pełnej ochrony prywatności.

Jakie są realne ryzyka ujawnienia pliku DICOM?

• ujawnienie danych zdrowotnych i medycznych, które RODO klasyfikuje jako szczególne kategorie danych,
• przypadkowy wyciek danych przez nazwę pliku, pole komentarza lub logi serwera,
• identyfikacja na podstawie obrazu (rekonstrukcja twarzy, unikalne cechy anatomiczne),
• przechowywanie kopii na serwerach zewnętrznych lub w chmurze bez właściwej anonimizacji.

Co mówi prawo (RODO) i jakie ma to znaczenie dla pacjenta

RODO (art. 9) uznaje informacje o stanie zdrowia za dane wrażliwe wymagające podwyższonej ochrony. Motyw 26 RODO wyjaśnia, że dane całkowicie zanonimizowane przestają być danymi osobowymi i przestają podlegać przepisom RODO. Jednak pseudonimizacja — czyli zamiana identyfikatorów na kody przy jednoczesnym zachowaniu możliwości odtworzenia tożsamości przez uprawniony podmiot — wciąż traktowana jest jako przetwarzanie danych osobowych. W praktyce oznacza to, że jeżeli Twoje badanie zostanie pseudonimizowane (np. w szpitalu zostanie zachowany „klucz”), to podlega ono dalszym wymogom prawnym.

Ano­nimizacja i pseudonimizacja plików DICOM — jak to działa technicznie

Standard DICOM definiuje dziesiątki, a w praktyce setki pól, z których kilkadziesiąt bezpośrednio identyfikuje pacjenta. Anonimizacja to proces usunięcia lub nadpisania tych pól neutralnymi wartościami; pseudonimizacja to zamiana danych na kody i przechowywanie klucza w bezpiecznym systemie. W praktyce stosuje się gotowe profile anonimizacji opisane w specyfikacji DICOM PS3.15, które systematycznie sprawdzają i modyfikują konkretne tagi (np. PatientName, PatientID, PatientBirthDate, InstitutionName, ReferringPhysicianName). Nawet wtedy należy sprawdzić dodatkowe pola tekstowe, nazwy plików i pola komentarzy, bo to tam często „uciekają” dane.

Praktyczne kroki dla pacjenta przed wysyłką badania

Najważniejsze: zminimalizuj zakres przesyłanych danych, usuń metadane z pliku DICOM, zmień nazwę pliku i wybierz bezpieczny kanał transferu.

1. sprawdź format plików — jeśli masz plik z rozszerzeniem .dcm traktuj go jako zawierający metadane,
2. poproś pracownię o wersję zanonimizowaną — wiele ośrodków może wygenerować kopię bez danych identyfikujących,
3. jeśli placówka nie może pomóc, użyj narzędzia do anonimizacji DICOM (np. dcm4che) lub poproś o pomoc techniczną lekarza,
4. zmień nazwę pliku i folderu na neutralną (np. CT_01.dcm, MRI_head_anon1),
5. wyeksportuj tylko niezbędne serie — do drugiej opinii często wystarczy 3–5 kluczowych serii zamiast całego badania,
6. jeśli wystarczy obraz rastrowy, wyeksportuj JPG/PNG/PDF z usuniętymi danymi widocznymi na obrazie i bez metadanych,
7. wybierz bezpieczny kanał przesyłania: dedykowany portal medyczny, szyfrowany transfer HTTPS/FTPS lub zaszyfrowany link jednorazowy — zwykły e‑mail może przechowywać załączniki na wielu serwerach,
8. przy publikacji w internecie zawsze eksportuj do JPG/PNG i usuń elementy identyfikujące (twarz, tatuaż, nazwy placówek widoczne na obrazie).

Checklista przed wysłaniem badania

• zmieniono nazwę pliku i folderu,
• sprawdzono i usunięto metadane w nagłówku DICOM,
• ograniczono liczbę przesyłanych serii do niezbędnych,
• wybrano szyfrowany kanał przesyłania i ograniczono dane kontaktowe w treści wiadomości.

Najczęstsze mity i błędy

Mit: „zamazywanie nazwiska na obrazie wystarcza” — to nieprawda, bo metadane w nagłówku nadal zawierają dane.
Mit: „mail do lekarza jest zawsze bezpieczny” — e‑mail może przechowywać załączniki na wielu serwerach, gdzie kopie będą zawierać oryginalne metadane.
Błąd: wysyłanie całego badania bez pytania, czy druga strona potrzebuje pełnych danych — często wystarczy wybrana seria lub eksport do JPG.

Jak pytać personel medyczny — gotowe pytania

„czy wydane pliki DICOM zawierają moje dane osobowe w nagłówku?”
„czy mogą Państwo wygenerować wersję zanonimizowaną do konsultacji zewnętrznej?”
„czy wysyłane badanie będzie pseudonimizowane czy zanonimizowane i gdzie przechowywany jest klucz (jeśli istnieje)?”
„jakim kanałem zostanie przesłane badanie i czy transfer będzie szyfrowany?”

Przykłady technicznych narzędzi i metod

Do anonimizacji i konwersji używa się narzędzi takich jak dcm4che (open source) lub modułów w systemach PACS, które potrafią eksportować obrazy jako JPG/PNG. Wybierając narzędzie, upewnij się, że stosuje profile anonimizacji zgodne z DICOM PS3.15 i że usuwa zarówno standardowe tagi identyfikujące, jak i pola tekstowe oraz nazwy plików.

Statystyki i fakty, które warto znać

W krajach OECD wykonuje się średnio około 140 badań TK na 1000 mieszkańców rocznie (OECD Health Statistics 2022) — to miliony plików DICOM rocznie. W 2023 r. w USA zgłoszono ponad 700 dużych naruszeń danych medycznych dotyczących łącznie ponad 100 mln osób (HHS/OCR). Badania z 2019 r. pokazały, że rekonstrukcje twarzy z CT/MR można dopasować do zwykłych zdjęć z dokładnością >80% przy pomocy algorytmów rozpoznawania twarzy. Według Eurobarometru 2019 aż 88% mieszkańców UE uważa, że kontrola nad danymi osobowymi jest ważna, a 62% obawia się sposobu ich wykorzystywania — to sygnał, że kwestia anonimizacji ma znaczenie nie tylko techniczne, ale i społeczne.

Co robić, gdy placówka odmawia anonimizacji

Jeśli placówka nie chce lub nie potrafi wygenerować zanonimizowanej wersji, poproś o wydruk obrazów w formacie PDF/JPG z usuniętymi danymi lub rozważ przeniesienie badania do innej przychodni, jeśli anonimowość jest kluczowa. Alternatywnie możesz poprosić o pomoc lekarza z innej placówki, która oferuje usługi konsultacyjne z bezpiecznym portalem.

Wysyłka do serwisów AI i analiza obrazów online

Przed przesłaniem badania do serwisu AI sprawdź regulamin i politykę prywatności: czy serwis zachowuje pliki, czy je zanonimizowano, jak długo przechowuje dane i czy transfer jest szyfrowany. Pamiętaj, że szyfrowanie chroni tylko drogę transferu — nie usuwa danych z samego pliku. Jeśli serwis przechowuje pliki na stałe lub wykorzystuje je do trenowania modeli, upewnij się, że masz jasną podstawę prawną lub wyraziłeś zgodę.

Praktyczny przykład: wysyłka do drugiej opinii — krok po kroku

Eksportuj 3–5 kluczowych serii zamiast całego badania, wyeksportuj obrazy do JPG z podstawowymi danymi klinicznymi (wiek, płeć, objawy) zamiast pełnych danych personalnych i wyślij przez dedykowany portal lub zaszyfrowany link jednorazowy. Zrób kopię oryginalnej płyty/pendrive i zachowaj ją jako archiwum.

Pomocne definicje

Anonimizacja — trwałe usunięcie informacji pozwalających na identyfikację osoby.
Pseudonimizacja — zamiana identyfikatorów przy zachowaniu możliwości odtworzenia tożsamości przez uprawniony podmiot.
DICOM — standard zapisu i przesyłu obrazów medycznych oraz ich metadanych.

Źródła i wiarygodność

Informacje o liczbie badań pochodzą z OECD Health Statistics 2022; dane o naruszeniach z HHS/OCR (USA, 2023); wyniki badań o rekonstrukcji twarzy z CT/MR są opisane w publikacjach naukowych z 2019 r.; wytyczne anonimizacji odwołują się do specyfikacji DICOM PS3.15 oraz krajowych poradników dla pracowni radiologicznych.

Najważniejsze praktyczne zdanie

Minimalizuj zakres przesyłanych danych i zadbaj o rzetelną anonimizację przed transferem — w wielu sytuacjach wystarczy kilka obrazów bez metadanych zamiast pełnego pliku DICOM.

Przeczytaj również:

• https://poczytajka.pl/eventy-hybrydowe-przyszlosc-spotkan-firmowych-wyzwania-i-mozliwosci/
• https://poczytajka.pl/jak-zwiekszyc-konwersje-w-twoim-sklepie-internetowym/
• https://poczytajka.pl/poradnik-zakupu-krzesel-dopasowanych-do-wysokiego-blatu/
• https://poczytajka.pl/szycie-dla-poczatkujacych-pierwsze-kroki-z-wygodnymi-dzianinami/
• https://poczytajka.pl/projekt-bez-barier-w-starym-domu-czego-nie-mowi-ci-ekipa-remontowa/
• https://poczytajka.pl/nasze-hity-kulinarne-na-swieta-co-kochaja-polacy/
• https://poczytajka.pl/plenerowe-spotkania-zespolowe-o-czym-pamietac-przy-organizacji/
• https://poczytajka.pl/zdrowe-przekaski-domowej-roboty-jak-wykorzystac-dehydrator-do-przygotowania-suszonych-owocow-i-warzyw/

• https://beauty-women.pl/wygodna-lazienka-bloku-naprawde-mozliwe/
• http://chojnice24.pl/artykul/37051/jak-zaaranzowac-pokoj-przedszkolaka/