ГОСТ Р 57301-2016/ISO/TS 14441:2013 Информатизация здоровья. Требования защиты и конфиденциальности систем EHR, используемые при оценке соответствия

Приложение А
(справочное)

Программы по оценке соответствия. Конструктивные решения и наглядные примеры от стран-участников на 2010 г.

А.1 Общие сведения

Данное приложение предоставляет более подробную информацию о моделях оценки соответствия, процессах и других решениях, сопровождаемую примерами программ оценки соответствия и сертификации с целью продемонстрировать альтернативные подходы, которые могут быть применены в зависимости от ситуации в определенной стране. Несмотря на то что примеры, приведенные в данном приложении, допускают обмен информацией в пределах государственных границ, их принципы все еще применимы в ситуациях с межгосударственным обменом. Такие проекты, как epSOS [European Patients Smart Open Services (Интеллектуальное открытое обслуживание европейских пациентов)], в Европе являются реальным примером межгосударственного обмена в рассматриваемой области.

А.2 Программы по оценке соответствия. Конструктивные решения
     

    А.2.1 Уполномоченный орган

Методы оценки соответствия могут использоваться первой, второй или третьей стороной: поставщик является первой стороной, покупатель является второй стороной, а организация, не имеющая коммерческой заинтересованности в сделке, является третьей стороной. Решение о том, какая сторона должна реализовывать эти методы, будет зависеть от местных условий. Как указано в 6.2 и проиллюстрировано в четырех программах, описанных далее в данном приложении, модель оценки третьей стороной, включающая государственную сертификацию, принимается часто, поскольку риски нарушения общественной безопасности, вызванные несоответствием клинической системы POS, считаются высокими. Тем не менее при отсутствии государственной программы сертификации местные организаций здравоохранения могут, например, утвердить процесс оценки соответствия второй стороной, чтобы снизить риски внедрения несовместимой клинической системы POS в местную инфоструктуру EHR.

Система оценки соответствия использует общий набор правил, процедур и методик управления для ряда схем оценки соответствия. Для различных схем, возможно, потребуется более подробное описание правил и процедур, различными способами, однако с точки зрения эффективности и стабильности работа в рамках общей структуры является преимуществом.

Каждая схема оценки соответствия будет иметь владельца. Может применяться множество различных методов, некоторыми примерами которых являются:

a) Поставщик программного обеспечения может установить схему оценки соответствия для своих продуктов, включая тестирование, проверку и аудит, с последующей выдачей заявления о соответствии.

b) Схема может быть разработана органом по сертификации для единоличного использования его клиентами, в этом случае орган по сертификации несет полную ответственность за проектирование, применение, управление и обслуживание схемы. Орган будет являться владельцем схемы.

c) Такая организация, как национальное правительство, регулирующий орган или торговая ассоциация, может разработать схему и предложить ее использование одному или нескольким органам сертификации. В этом случае организация будет являться владельцем схемы и нести ответственность за ее работу, возможно, по контракту или другому официальному соглашению с органами сертификации.

d) Группа органов по сертификации, возможно в разных странах, может совместно установить схему сертификации. В этом случае органам как совладельцам схемы будет необходимо создать структуру управления для того, чтобы схема могла эффективно использоваться всеми участвующими органами.

А.2.2 Требования к органам сертификации продукта

Требования к органам, осуществляющим сертификацию продукта, процесса или услуг, определены в ИСО/МЭК 17065.

Основной целью ИСО/МЭК 17065 является определение требований, которым должен соответствовать орган сертификации продукта, процесса или услуг, для подтверждения его компетентности и беспристрастности. Требования структурированы для изучения следующих аспектов управления и работы сертифицирующих органов.

- Общие требования: вопросы права и заключения договоров; беспристрастность управления; ответственность и финансирование; недискриминационные условия; конфиденциальность, общедоступная информация.

- Требования к структуре: организационная структура и высшее руководство; механизмы сохранения беспристрастности.

- Требование к ресурсам: персонал органа сертификации; ресурсы для оценки.

- Требования к процессу: схемы сертификации; применение; проверка применения; оценка; рассмотрение; решение сертификации; сертификационная документация; каталог сертифицируемой продукции; надзор; изменения, влияющие на сертификацию; завершение, уменьшение, приостановка или отмена сертификации; записи; жалобы и претенции.

- Требования к системе управления: опции; документация на систему управления; контроль организации документов; управление записями; проверка системы управления; внутренний аудит; корректирующие действия, предупреждающие действия.

А.2.3 Вопросы стоимости и другие решения

При принятии решения по соответствующим вопросам организации оценки соответствия для конкретных ситуаций должны рассматриваться затраты на использование альтернативных подходов. Наряду с затратами, понесенными в результате проведения самостоятельной оценки, необходимо учитывать, какие дополнительные расходы могут быть понесены и кем, как только другая сторона начинает принимать участие. Если покупатель продукта решает провести собственную оценку, он, как правило, должен нести расходы, связанные с наймом своих собственных инспекторов.

Если независимый орган заключает контракт на проведение оценки соответствия, ему будет необходимо покрыть свои расходы за счет того, с кем он работает. В случае проведения сертификации продукции, как правило, поставщик будет нанимать орган сертификации и оплачивать его услуги. Расходы органа связаны не только с экспертами, участвующими в оценке, но и со всеми затратами, понесенными в результате осуществления его деятельности, доля которых будет взиматься с каждого заказчика сертификации.

Таким образом, решение о создании схемы сертификации может привести к дополнительным расходам, связанным с поставкой сертифицированной продукции. Аналогичным образом решение о необходимости аккредитации органов по сертификации приведет к дополнительным расходам, так как затраты, понесенные в результате работы органа по аккредитации, также должны быть возмещены.

В дополнение к прямым затратам на оценку соответствия существуют и другие факторы, которые приводят к финансовым последствиям, особенно для поставщиков сертифицированной продукции. Привлечение третьей стороны может привести к задержкам в производстве и поставке продукции в зависимости от интервала между заявкой на сертификацию и получением сертификата соответствия.

А.2.4 Ответственность

Одним из основных принципов оценки соответствия является то, что организация, которая является владельцем объекта оценки или выводит его на рынок, несет основную ответственность за его соответствие установленным требованиям. Поставщик продукта несет договорные и правовые обязанности перед пользователем, которые заключаются в том, что продукт будет выполнять свои заявленные функции и что он не будет ставить под угрозу здоровье или безопасность пользователя или других лиц. Даже если поставщик получает от независимого органа сертификат, подтверждающий то, что продукт соответствует необходимым спецификациям, в случае возникновения проблем он остается ответственным. Несмотря на то что независимый орган может нести некоторую степень ответственности, особенно за небрежное выполнение оценки соответствия, это не освобождает поставщика от основной ответственности. Конечно, ненадлежащее использование продукта конечным пользователем, в частности ненадлежащее выполнение технического обслуживания, может освободить поставщика от ответственности за последующий ущерб и его последствия.

А.2.5 Разработка программы оценки соответствия

Структура программы оценки соответствия должна четко определять объект оценки соответствия, в том числе необходимость отбора проб или образцов, которые будут использоваться в процессе определения. Отбор может также включать в себя выбор наиболее подходящих процедур (например, методы проведения испытаний или методы контроля), которые будут использоваться в процессе определения. Довольно часто бывают случаи, когда должны быть разработаны новые или измененные методы для выполнения действий этапа определения. Необходимо выбрать соответствующие места, условия и частных лиц для выполнения процедуры (процедур). В конечном итоге может быть необходима дополнительная информация для того, чтобы выполнить действия этапа определения для того, чтобы подтвердить, что выполненные установленные требования будут эффективными. Например, объем испытаний, на который должна распространяться аккредитация лаборатории, должен быть определен до выполнения соответствующих действий этапа определения.