ГОСТ Р 57508-2017/ISO/TS 14265:2011

     
Группа П85

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ИНФОРМАТИЗАЦИЯ ЗДОРОВЬЯ

Классификация целей обработки персональной медицинской информации

Health informatics. Classification of purposes for processing personal health information

     

ОКС 35.240.80
ОКСТУ 4002

Дата введения 2019-07-01

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным бюджетным учреждением "Центральный научно-исследовательский институт организации и информатизации здравоохранения" Министерства здравоохранения Российской Федерации (ЦНИИОИЗ Минздрава) и Обществом с ограниченной ответственностью "Корпоративные электронные системы" (ООО "Корпоративные электронные системы") на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 468 "Информатизация здоровья" при ЦНИИОИЗ Минздрава - постоянным представителем ISO/TC 215

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 21 июня 2017 г. N 571-ст

4 Настоящий стандарт идентичен международному документу ИСО/ТС 14265:2011* "Информатизация здоровья. Классификация целей обработки персональной медицинской информации" (ISO/TS 14265:2011 "Health informatics - Classification of purposes for processing personal health information", IDT)

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Ноябрь 2018 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячном информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

     Введение

Обоснование

Фундаментальный принцип использования персональных медицинских данных состоит в важности знания цели первичного сбора данных, а также того, совпадают ли цели всех последующих действий по обработке этих данных с этой целью или совместимы с ней. Применение этого принципа в сочетании со стандартизованным списком целей образует основу принятия решений о совместимости разрешенной цели для различных пользователей, систем, организаций или доменов политик, которым может требоваться общий доступ к персональным медицинским данным.

Стандарты интероперабельности все чаще реализуются в программах развития медицинских информационных систем. Тем самым расширяются возможности обмена медицинскими данными между организациями. Когда это произойдет в достаточно широких масштабах, то большинство решений о запросе медицинских данных будет выполняться автоматически. Чтобы деятельность по обработке данных (сбор, хранение, доступ, анализ, связывание, передача, раскрытие и удерживание) была санкционированной, важно, чтобы политики информационной безопасности, определенные для автоматического применения, сами были интероперабельными. Наличие интероперабельных политик позволит согласованным образом выполнять запросы данных, которыми обмениваются гетерогенные системы и службы. Для определения и ввода в действие автоматически применяемых политик важно иметь средства администрирования, обеспечивающие применение организационного обеспечения, процессов и правил к конструированию информации и информационным технологиям на уровне предприятия и между предприятиями, К таким средствам относятся архитектурные и платформенные решения уровня предприятия, стандарты, стратегии, процедуры, законодательство, нормативные документы, принципы и политики, а также такие средства контроля, как комитеты, бюджеты, планы и соглашения о распределении ответственности (например соглашения об информационном обмене, соглашения об использовании служб и контракты). Понятно, что не все средства будут применяться автоматически и время от времени потребуется вмешательство человека, обеспечивающее правильное применение политик и средств управления.

По этическим причинам и в соответствии с действующим законодательством обычно требуется, чтобы информация использовалась только для цели ее сбора или создания. Эта цель должна быть явно описана и на нее должно быть дано согласие. Согласие на использование данных для конкретной цели может подразумеваться, но почти всегда требуется, чтобы цели были объявлены.

Когда данные предназначены также для других и отличающихся целей, то может требоваться новое согласие на новую цель. Например, в некоторых юрисдикциях данные, собранные для цели оказания медицинской помощи, не могут быть автоматически, без получения нового согласия, использованы для научных целей. Это же относится и к применению информации, собранной для научных целей, в процессе оказания медицинской помощи. Знание цели доступа к информации существенно для принятия решения о том, можно ли разрешить такой доступ.

Таким образом, проблема состоит не только в определении, имеет ли пользователь разрешение на доступ к конкретным элементам данных, но еще и в том, имеет ли он разрешение на доступ с определенной целью. Поэтому существенно знать, что контекст, в котором объявлен доступ и использование, является правильным. Когда цель (или использование, цель использования, контекст использования) точно определена, это помогает определить, что доступ к защищаемым элементам информации разрешен авторизованным пользователям в соответствии с конкретной, подходящей и однозначно трактуемой политикой. Явное объявление предполагаемой цели использования перед получением разрешения на доступ помогает также гарантировать, что пользователи информированы о том, что такое разрешение не подразумевает использование данных в иных, не декларированных или несовместимых целях. Знание цели использования помогает внести ясность в ситуациях, когда существует несколько потенциально конфликтующих контекстно-чувствительных политик разрешения одного и того же доступа к идентичным элементам информации.

Предыстория

Общий архитектурный подход к службам применения политик и формальному определению политик описан в ИСО/ТС 22600-1. Однако, как и в случае других общих архитектур, для обеспечения интероперабельности политик необходима конкретизация общего подхода. При описании области применения политик необходимо также указать, какие свойства информации должны приниматься во внимание при принятии решений о доступе. Требуется также описать высокоуровневую модель политик, учитывающих эти свойства, которой должны соответствовать все экземпляры политик этого типа.

В ИСО/ТС 13606-4 такая модель политик описана для одного конкретного случая, а именно для запроса и предоставления выписок из электронной медицинской карты (ЭМК).

Даже если несколько сторон согласовали общую модель политики, этого недостаточно для отображения политик (автоматического преобразования политик одной стороны в политики другой стороны): термины, в которых описано каждое свойство в общей модели политик, должны быть взаимно понятны потребителям и поставщикам медицинской информации. Другими словами, чтобы автоматически принимать решение о доступе, свойства и термины, использованные поставщиком в политике получения (сбора) информации, должны иметь вычисляемое соответствие терминам и политикам раскрытия информации ее потребителем.

По историческим причинам использование данных классифицируется как первичное и вторичное. Поскольку эти термины связаны, они приобретают смысл только в том случае, когда поставщику данных известны намерения их потребителя. Доказать, что некоторые цели использования важнее других, не всегда просто, и может оказаться, что вторичное использование данных в целях благосостояния общества является важной целью. Поэтому предлагается заменить эти термины явными и нейтральными, но информативными категориями. Данные, включаемые в ЭМК, изначально собираются для целей оказания медицинской помощи, хотя затем могут использоваться для других целей. Явное указание этих целей вместо общей характеристики "вторичное использование" улучшит информационное взаимодействие, прозрачность и правильность использования данных.

Настоящий стандарт служит семантическим дополнением ISO/TS 22600-1 и ISO/TS 13606-4, которые предоставляют формальные архитектурные и моделируемые описания политик, но не содержат словарь целей использования. Однако при этом не требуется, чтобы уполномоченный орган принял какой-либо из этих двух стандартов, чтобы ввести в действие классификацию целей, предложенную в настоящем стандарте.

Существуют другие стандарты, определяющие словари, которые предназначены для обеспечения интероперабельности и могут использоваться при конкретизации политик. В ISO/TS 13606-4 определены словари категорий чувствительности медицинских данных и функциональных ролей. В ИСО/ТС 1298 определен словарь структурных ролей (и воспроизведен словарь функциональных ролей из ISO/TS 13606-4). В ИСО 10181-3 предложено определение информации контроля доступа ACI (access control information), существенное для определения политики контроля доступа.

Контекст определения целей использования данных

Определение целей использования данных является первым критичным шагом в цепочке действий по сбору данных и различной обработки этих данных. Только в том случае, когда цель использования данных известна, можно оценить, является ли доступ к данным или другая деятельность по их обработке допустимыми, например:

- какие именно данные допускается собирать;

- как их следует использовать;

- кому их следует раскрывать;

- в течение какого времени они должны быть доступны.

При принятии решения о предоставлении доступа авторизация представляет собой отдельную ось по отношению к цели использования и поэтому не должна включаться в данную классификацию. Правила авторизации сбора, использования и раскрытия будут различными в разных юрисдикциях, странах или ситуациях и будут зависеть от среды использования данных. Авторизация может быть представлена разными способами, например, в соответствии с информированным согласием, по закону, в соответствии с политикой. В любой конкретной среде для разрешения различных видов использования могут требоваться разные уполномоченные органы. Например, для использования данных в научных целях может требоваться явное согласие лица, а использование данных при непосредственном оказании медицинской помощи может быть основано на подразумеваемом согласии. Для использования данных следственными органами может требоваться решение суда, разрешающее раскрытие и сбор этих данных. Авторизация обеспечивает дополнительный контроль сбора или раскрытия данных для их использования (несанкционированный сбор, использование или раскрытие данных могут создавать пользователю юридические или иные риски).

Первоначальный сбор или создание данных преследуют некоторые цели, которые должны быть определены и явно названы, если только эти действия не совершаются по хорошо известным основаниям и их цели очевидно вытекают из контекста сбора, и при этом предполагается, что субъект данных адекватно осознает это (например, если существует подразумеваемое информирование согласие, основанное на том, что субъект знает или должен знать). Впоследствии, когда данные затребованы организацией или группой лиц либо раскрыты для использования внешними сторонами, потребитель полученных данных может преследовать другую цель. В юрисдикциях, где новая или дополнительная цель разрешается (в тех случаях, когда новая цель использования данных возникла после их сбора), может потребоваться сопоставление новой цели с ранее авторизованной, чтобы принять решение о ее допустимости.

В юрисдикциях, где разрешено использование данных, собранных для одной цели для другой цели, может потребоваться сопоставление двух целей (первоначальной, разрешенной в соответствии с согласием или иной авторизацией, и новой целью доступа к данным или их раскрытия), чтобы принять решение о допустимости новой цели.

После совершения доступа к данным, предназначенным для определенной цели доступа или раскрытия, может потребоваться регистрация этой цели в журнале доступа. Это справедливо и в том случае, если доступ осуществляется по закону: все равно должна быть объявленная и документированная цель.

У той стороны, которой требуются данные, должна существовать определенная цель. При некоторых обстоятельствах, имеющих место, например, при выполнении следственных действий, запрашивающая сторона может иметь полномочия не объявлять цель запроса данных.

Сбор данных, осуществляемый непосредственно каким-либо лицом или косвенно некоторым органом, следует ограничивать той информацией, которая должна удовлетворять дозволенным потребностям собирающей стороны ("ограничение сбора данных"). Описание дозволенных потребностей является частью высокоуровневой политики организации или юрисдикции и управления ее применением.

Определенная цель также обозначает контекст получения информированного согласия, являющегося механизмом, с помощью которого лицо способно контролировать сбор, использование и/или раскрытие его данных; важно, чтобы механизм согласия позволял субъекту данных делать свободный и информированный выбор. Оборот "даю информированное добровольное согласие" подразумевает право субъекта знать о том, как будут использоваться его данные после сбора.

В некоторых случаях, например, когда данные собираются для целей, определенных законом, после раскрытия данные могут использоваться для любой из этих целей, например для проведения следственных действий. Независимо от того, раскрыты ли данные в соответствии с требованиями закона или по соглашению, раскрывающая сторона обладает юридическими правами на это действие. Однако при этом может требоваться, чтобы данные раскрывались только для определенной цели.

В настоящем стандарте определены категории целей использования данных, но список этих категорий не является исчерпывающим для описания юридических обязательств, возникающих при раскрытии данных. Юридические обязательства, возникающие при раскрытии, предоставлении или передачи данных, перекрывают требования совпадения цели, для которых данные удерживаются, с целями их использования получателем. Получателю юридически разрешено запрашивать и получать информацию, не объявляя цель использования, не объявляя ее совпадение с существующими целями и не получая согласия на удерживание данных.

Иногда может оказаться важным применять политики к получателю раскрываемых данных (косвенному сборщику), чтобы гарантировать использование им данных только для декларированной цели. Выполнение требований закона или политики можно обеспечить на техническом уровне, используя контроль доступа на основе категорирования данных или средств управления ими.

Для целей использования или специфичного использования может требоваться, а может и не требоваться идентификация субъекта данных. Для некоторых целей могут требоваться идентифицируемые, деперсонифицированные, обезличенные, псевдонимизированные или агрегированные данные. Хотя настоящий стандарт не содержит требований к тому, для каких целей могут требоваться или не требоваться идентифицируемые данные, из общих соображений понятно, что в тех случаях, когда идентификация субъекта данных не требуется, ее раскрывать не следует. Идентификация чаще всего требуется, если использование данных осуществляется в пользу конкретного субъекта данных, например, когда субъект данных является также субъектом медицинской помощи. Деперсонификация, обезличивание или псевдонимизация могут применяться для обеспечения конфиденциальности персональных данных или как условие, которое уполномоченные органы накладывают на процессы сбора, использования или раскрытия данных. В свою очередь, это означает, что точно так же, как требование деперсонификации может быть условием использования данных, конкретная цель использования данных может быть требованием, накладываемым на использование даже деперсонифицированных или обезличенных данных в соответствии с политикой или законодательством, принятым в данной юрисдикции.

Если для обеспечения связи с другими источниками данных должен присваиваться уникальный идентификатор, то на практике хорошо себя зарекомендовали истинные псевдо-идентификаторы, хотя в тех случаях, когда надежный механизм присваивания псевдо-идентификаторов отсутствует, для связи с другими источниками данных нередко используются идентифицирующие данные. Основа управления псевдоидентификаторами изложена в ISO/TS 25237.

Отчетность сама по себе не является отдельной категорией использования данных, скорее таким использованием данных, целью которого является цель предоставления отчетности, которая может быть предписана или авторизована государственным органом. Следовательно, отчетность является законным раскрытием или использованием данных, но при этом важно определить цель использования данных, а не просто констатировать, что данные раскрыты (в форме отчета) конкретным потребителям. Если для связывания содержания отчета с другими источниками информации требуются идентифицирующие данные, чтобы определить, какие записи относятся к одним и тем же лицам, то целью использования является причина связывания.

Предлагаемая классификация целей может использоваться в сочетании с функциональными ролями и категориями чувствительности данных для дополнения политики и заполнения ее дополнительных частей. При автоматизированной обработке можно конфигурировать шаблоны реализации, используя цели в процессах автоматизированного принятия решений и рабочих процессах, а также подстраивать цели к положениям действующего законодательства, стандартов и нормативных актов профессиональной деятельности. Например, организация может использовать следующие сочетания конкретных целей:

- определить политику укрепления здоровья;

- обеспечить эффективное управление здравоохранением;

- обратить внимание общественности на факторы, влияющие на здоровье;

- под общим названием "использование системы здравоохранения" или "планирование системы здравоохранения". При этом конкретные цели сбора данных, осуществляемого организацией, всегда выбираются из того же самого ограниченного множества целей использования.

Не всегда конкретная группа целей, с которыми организация собирает отдельные данные, может распространяться на массовый сбор данных. Например, организация здравоохранения не может предполагать, что данные, собранные в процессе непосредственного оказания медицинской помощи, могут быть использованы для научных исследований или маркетинга и считать эти цели совместимыми, даже если она вовлечена во все эти виды деятельности.

В настоящем стандарте не делаются никакие утверждения о конкретной частоте или масштабе контроля соответствия цели использования информации ее получателем с целями хранения данных. Однако в нем утверждается, что каждый доступ должен осуществляться в соответствии с согласованными политиками, описывающими в том числе совместимость целей. Такая совместимость может проверяться при каждом запросе данных к дискретным вычислительным службам, или разово в каждом сеансе пользователя, или при передаче пакета данных в конкретную зону. Например, внешняя служба обработки счетов на оплату лечения может иметь разрешение только на обработку счетов, а любое другое использование данных будет считаться нарушением контракта. В этом случае зона использования данных имеет единственную цель использования, и проверка соответствия этой цели может осуществляться однократно при каждой передаче пакета счетов, а не для каждого отдельного счета, входящего в пакет. Частота опроса служб политик должна определяться в зависимости от того, применяются ли политики к отдельным транзакциям или пакетам транзакций. Таким образом, точка применения политик (policy enforcement point) не должна обращаться к точке принятия решений (policy decision point) или вычислять цель использования для каждой записи. Политика прежде всего является административным решением, являющимся частью процесса управления, использующим машину применения политик для автоматизации принятия решения о доступе в зоне, где цель использования данных, скорее всего, предопределена. В настоящем стандарте не подразумевается никакой конкретный технический метод реализации служб политик или проверки политик. Однако такие заранее заданные или предопределенные цели использования могут проверяться строго применяемыми средствами, совместимыми с политиками, только при наличии интероперабельных спецификаций политик, включающих в себя в том числе совместимый словарь.

     1 Область применения

Настоящий стандарт определяет совокупность высокоуровневых категорий целей обработки персональной медицинской информации (ПМИ) (то есть сбора, использования, хранения, доступа, анализа, создания, связывания, передачи, раскрытия или удерживания), которая может служить платформой, используемой для классификации различных конкретных целей, определяемых областями применения политик (например, организациями здравоохранения, региональными органами управления здравоохранением, юрисдикциями, странами), а также для согласованного управления информацией при оказании медицинской помощи и при передаче записей электронных медицинских карт, пересекающей границы организаций и юрисдикций.

Область применения настоящего стандарта ограничена ПМИ, определенной в ИСО 27799 как информация об идентифицируемом лице, связанной с его физическим или психическим здоровьем или с предоставлением ему медицинской помощи. Такая информация может включать в себя:

- сведения о регистрации лица для оказания ему медицинской помощи;

- сведения о платежах за медицинскую помощь, оказанную лицу, или о его медицинском страховании;

- число, символ или конкретный код, присвоенные лицу для уникальной идентификации при оказании медицинской помощи;