Приложение А (справочное). Сбор данных. Межгосударственный стандарт ГОСТ ISO/TS 22220-2013 "Информатизация здоровья. Идентификация субъектов медицинской помощи" (введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 11.04.2014 N 334-ст)

Приложение А
(справочное)

Сбор данных

А.1 Общие положения

В настоящем стандарте рассматриваются вопросы сбора и хранения данных в целях идентификации отдельных субъектов медицинской помощи. В нем не рассматриваются сбор, использование и хранение клинических данных или других данных информационных систем здравоохранения. Но чтобы дать определенное представление об использовании таких данных, в настоящем приложении перечисляются некоторые из существующих стандартов, включая стандарты защиты персональных данных, и представлен краткий обзор проблем.

Чтобы при сборе, использовании, хранении, передаче и раскрытии идентифицирующей информации не нарушать конфиденциальность персональных данных, пользователи настоящего стандарта должны обращаться к соответствующему законодательству о персональных данных и к руководствам по защите информации. В случае каких-либо противоречий между настоящим стандартом и существующим законодательством и руководствами по защите информации преимущество имеют последние.

Руководящим принципом настоящего стандарта является достижение равновесия между конфиденциальностью персональных данных и управляемым и законным использованием информации о здоровье для улучшения работы системы здравоохранения.

А.2 Сбор данных

Информация, требуемая для идентификации субъекта медицинской помощи, не должна собираться незаконными или нечестными средствами. Когда это законно и практически приемлемо, у субъекта медицинской помощи должна быть возможность не идентифицировать себя. Когда субъект решает не идентифицировать себя или скрыть отдельные элементы идентифицирующей информации, субъекту или его представителю должны быть разъяснены возможные последствия такого решения.

В настоящем стандарте не требуется, чтобы в каждом отдельном случае были собраны все специфицированные в ней элементы данных. Важно рассмотреть влияние отсутствия или сбора специфических элементов данных.

При сборе идентифицирующих данных оператор должен проинформировать субъекта о целях сбора, о том, как и кем эта информация может использоваться и раскрываться, а также о подробностях ее хранения.

Например, это может быть сделано с помощью брошюры или посредством устного разъяснения. Как минимум, в объявлении целей должно быть отмечено следующее:

"Информация необходима для вашей успешной и однозначной идентификации, с тем чтобы записи о всей предыдущей, текущей и будущей медицинской помощи были связаны с правильным лицом".

Субъекту медицинской помощи должна быть предложена возможность раскрытия информации в изолированном помещении. Оператор идентифицирующей информации должен удостовериться, что каждый элемент информации правильный, актуальный и изменен так, как это необходимо.

У операторов должны иметься программы обеспечения качества и процессы аудита для надзора за сбором и записью идентифицирующих данных субъекта медицинской помощи.

Известно, что безопасность данных, содержащихся в системах идентификации субъектов медицинской помощи, может подвергаться угрозам. Организации, осуществляющие сбор данных, несут ответственность за обеспечение безопасного и надлежащего использования собранных данных, а также за то, что персонал этих организаций несет равную ответственность за свои действия при доступе, использовании и сборе всей медицинской информации.

Информация может собираться непосредственно (от субъекта медицинской помощи) или косвенным путем (от других лиц, систем или организаций). В связи с этим субъект медицинской помощи имеет право знать об источниках информации и исправлять любые данные о нем, которые могли быть получены косвенным путем.

На сбор данных может потребоваться информированное согласие, особенно в случае, если информация была собрана косвенным путем, т.е. из других источников.

А.3 Трудности сбора данных

Если субъект медицинской помощи отказывается предоставить идентифицирующие подробности, оператор информации несет ответственность за разъяснение потенциальных последствий невозможности уникальной идентификации субъекта в системе здравоохранения.

В настоящем стандарте не требуется, чтобы в каждом отдельном случае были собраны все специфицированные в ней элементы данных. Важно учесть влияние отсутствия или сбора специфических элементов данных.

Если нет возможности однозначно идентифицировать субъект медицинской помощи на месте лечения, например, если субъект находится в бессознательном состоянии, то на оператора возлагается ответственность за обеспечение достоверности информации о субъекте, как только это станет практически возможным. Как и при сборе любой идентифицирующей информации, оператор должен известить субъекта о целях сбора информации и о том, как и кем она может использоваться (см. 7.2).

Если нет возможности однозначно идентифицировать субъект медицинской помощи на месте лечения, то должна быть создана временная идентифицирующая запись. Она должна быть явно помечена как временная. Когда это допускается законодательством и возможно практически, у субъекта медицинской помощи должна быть возможность остаться анонимным.

При наличии языкового барьера необходимо в течение разумного периода получить услуги перевода, чтобы проверить введенную информацию.

А.4 Передача данных

Передача данных между системами должна быть защищена. Должно быть право на раскрытие передаваемых данных. При передаче чувствительной информации о здоровье должно применяться шифрование. Если не применяются дополнительные безопасные протоколы, то электронная почта не должна использоваться для передачи информации о здоровье.

А.5 Хранение и обработка данных

Следующие положения применяются к данным в состоянии покоя (в хранилище), а также к данным, находящимися в процессе любой обработки и передачи.

Любое лицо или организация, осуществляющие хранение или использование идентифицирующей информации субъекта медицинской помощи, должны гарантировать, что существуют процессы (компьютеризированные и процедурные), полностью учитывающие риски потери и искажения информации, и что эти процессы регулярно пересматриваются.

Некоторые из этих рисков, а также примеры стратегий их снижения указаны в таблице А.1. Этот список рисков не является всеобъемлющим.

Таблица А.1 - Риски потери и искажения информации и пути их снижения

Риск	Снижение риска
Кража	Физическая безопасность
Доступ не по назначению	Соответствующее управление доступом, политики запрета использования данных не по назначению, соответствующие обучение и технология
Несанкционированный доступ	Управление сеансом (блокировки экрана и закрытие сеанса по истечении времени)
Несанкционированное изменение	Аутентификация (лица, действительно имеющие доступ, авторизуются, например, за счет режимов и практики применения паролей), включая шифрование, межсетевое экранирование, подготовку персонала и аудиторские проверки
Потеря и (или) искажение	Системы резервного копирования и восстановления. Антивирусное программное обеспечение

Для обеспечения различных ограничений доступа к специфичной или чувствительной информации о здоровье должна быть предусмотрена многоуровневая модель доступа.

А.6 Дополнительная информация

В следующих законах, стандартах, кодексах и руководящих указаниях содержится дополнительная информация. В приложении D описано содержание каждого из этих документов.

AS/NZS 7799.2:2003, Information security management - Part 2: Specification for information security management systems (документ доступен и пересмотрен).

AS/NZS ISO/IEC 17799-2006, Information technology - Code of practice for information security management.

HB 174-2003, Information security management - Implementation guide for the health sector.

A.7 Доступ к данным

Для управления различными привилегиями доступа к персонально идентифицирующей информации должна быть использована многоуровневая модель доступа. Надлежит вести журнал доступа к этой информации.

Многие элементы данных о здоровье являются чувствительными к доступу к ним. Для неблагополучных семей даже их адреса могу быть критичными. В настоящем стандарте этот вопрос не рассматривается, но для его решения должны быть тщательно и адекватно внедрены соответствующие методы управления, включая подготовку персонала.

Для обеспечения возможности применения различных ограничений доступа к специфичной и чувствительной информации о здоровье должна использоваться многоуровневая модель защиты данных.

А.8 Воспринимаемое представление

Эффективная и точная идентификация субъектов здравоохранения требуется не только для того, чтобы используемые для идентификации для субъекта данные были стандартизованы. Она необходима также для стандартизации воспринимаемого представления данных в целях максимально точного и эффективного взаимодействия как в клинических, так и в административных рабочих процессах.

Поскольку пользователи данных зависят от того, как разные информационные системы представляют им даже стандартизованные данные, в определенных рабочих условиях различные интерфейсы пользователя будут предоставлять различную интерпретацию данных. В интерфейсах пользователя различные элементы данных должны подсвечиваться и (или) выделяться одинаковым способом, чтобы обеспечить рабочие условия в быстро меняющейся клинической обстановке и других ситуациях. Коль скоро результатом стандартизации данных должна быть стандартизованная практика, организации при необходимости должны стараться представлять стандартизованные данные в сходных форматах.