Новий стандарт ISO присвячений захисту персональних даних у сфері охорони здоров`я

12.01.2017

Міжнародна організація з стандартизації (ISO) підготувала новий документ, у якому описані принципи забезпечення конфіденційності персональної інформації за допомогою служб псевдонімізаціі, призначених для захисту персональної медичної інформації, а також вимоги до цих служб. Це стандарт ISO 25237:2017 «Інформатика в області охорони здоров’я. Псевдонімізація».

У стандарті:

визначена базова концепція псевдонімізаціі;

наведено огляд різних сценаріїв оборотної і необоротної псевдонімізаціі;

визначена базова методологія служб псевдонімізаціі, що охоплює як технічні, так і організаційні аспекти;

наведено керівництво з оцінки загрози відновлення ідентичності;

визначена загальна схема політики і мінімальні вимоги до практику застосування служби псевдонімізаціі;

визначені інтерфейси, що сприяють інтероперабельності інтерфейсів служб.

Стандарт визначає псевдонімізацію, як «особливий випадок знеособлення, при якому крім видалення прямого зв’язку з суб’єктом даних створюється зв’язок між конкретною сукупністю характеристик цього суб’єкта і одним або декількома псевдонімами».

Під псевдонімом розуміють такий ідентифікатор, за яким неможливо відтворити ідентифікатор особи, який використовується зазвичай.Таким чином, інформація, яка прихована за псевдонімом, функціонально знеособлена.

Метою забезпечення конфіденційності персональних даних за допомогою псевдонімізаціі, є, зокрема, запобігання несанкціонованого або небажаного поширення інформації про особу, яка може призвести до виникнення юридичних, адміністративних та економічних наслідків.

Стандарт ISO 25237:2017 присвячений захисту персональних даних, що зберігаються в базах даних.

Описана в ньому концептуальна модель передбачає, що із баз даних може вилучатися  інформація про лікування або діагнозах пацієнтів, а тому повинно гарантуватися нерозголошення ідентичності суб’єктів даних. Наприклад: науковці вивчають “випадки” захворювань, тобто історії спостереження пацієнтів, накопичені за тривалий час, зібрані з різних джерел. При цьому необхідно використовувати метод, що дозволяє опрацьовувати  дані, але не порушувати конфіденційності відомостей про суб’єктів цих даних. У таких та інших випадках стандарт пропонує застосовувати метод псевдонімізації.

Стандарт ISO 25237:2017 «Інформатика в області охорони здоров’я. Псевдонімізація» розроблений фахівцями технічного комітету ISO ТК 215 «Інформаційні технології в охороні здоров`я».