ГОСТ Р 55036-2012 ISO/TS 25237:2008 Информатизация здоровья. Псевдонимизация

Приложение А
(справочное)

     
Сценарии псевдонимизации в здравоохранении

А.1 Введение

В настоящем приложении описан ряд высокоуровневых ситуаций или "сценариев", иллюстрирующих базовые функциональные и технические требования к службам псевдонимизации, предназначенным для обеспечения взаимодействия различных организаций сферы здравоохранения.

Вначале приводятся общие требования, касающиеся базовых принципов конфиденциальности и безопасности, а также показана необходимость применения этих принципов для сферы здравоохранения. Затем приведены описания каждого сценария по следующей форме:

1) описание сценария или ситуации при оказании медицинской помощи, в которых требуются службы псевдонимизации;

2) соответствующие функциональные и технические требования к службе псевдонимизации.

А.2 Объяснение сценариев

Сценарии, описанные в А.3.1-А.3.5, показывают, как службы псевдонимизации могут применяться в здравоохранении. Каждый сценарий описывает возможные применения службы псевдонимизации в здравоохранении.

Таблица с описанием сценариев содержит следующие названия граф:

Тип ИД

Указывает кому принадлежит идентификатор: пациенту или, например, медицинскому работнику.

Уникальность

Чтобы оценить, каким образом можно использовать псевдонимизированную базу данных, необходимо знать, однозначно ли входной параметр идентифицирует лицо в данном контексте. Это особенно важно, если надо однозначно связать между собой данные об одном и том же лице, собираемые за длительный промежуток времени разными организациями. Важно также установить, можно ли связать между собой все данные о лице, собираемые одной организацией, или существует риск наличия синонимов в целевых базах данных.

Чувствительность данных

При проектировании службы псевдонимизации полезно иметь характеристику чувствительности данных. Степень чувствительности должна определяться на основе требований законодательства или коммерческой ценности. Например, с юридической точки зрения информация о наличии у физических лиц вируса иммунодефицита человека (ВИЧ) может иметь гораздо большую степень чувствительности и потребовать соразмерного анализа угроз. А информация о частоте выздоровления при применении конкретного метода лечения заболевания с юридической точки зрения не является чувствительной, но может быть критичной с позиции коммерциализации.

Источники данных: кратность источников данных и их взаимосвязь

Требования, которые могут предъявляться законодательством к различным реализациям псевдонимизации, существенно зависят от этой характеристики. Важно также знать, получают ли данные непосредственно от субъекта данных.

Контекст/назначение: коммерческое, медицинские исследования, лечение пациентов

В этой графе дается краткое описание контекста.

Наличие поиска/связывания

Наличие поиска является очень важным элементом общей конструкции решения по применению псевдонимизации. Должна быть определена степень точности поиска, а также возможность поиска псевдонимизированных элементов путем задания непсевдонимизированных элементов (например, территории). Реализация функции поиска требует применения службы псевдонимизации и может ограничиваться.

Обратимость/восстановление

В этой графе указано, является ли восстановление идентичности желательным, запрещенным, желательным в контролируемых условиях или оно должно осуществляться при пока неизвестных, но в будущем желательных условиях.

Должна также приводиться информация о том, какой объем восстановления идентичности приемлем.

Связывание во времени

Угроза восстановления идентичности тем выше, чем больше объем псевдонимизированной информации, которая может быть связана воедино. Ограничивая связывание псевдонимизированной информации во времени, можно уменьшить объем связываемой информации. Конечно, это может войти в противоречие с требованием проведения научных исследований, для которых требуется информация о пациенте за длительное время.

Связь между областями применения

Использование конкретного ключа шифрования или метода псевдонимизации должно ограничиваться как можно более узкой областью применения. Поэтому в сценариях важно описать область, в которой будет применяться псевдонимизация, как долго она будет применяться и какая требуется связь с другими областями применения. В свою очередь, от этого зависит необходимость привлечения посреднической организации.