Приложение А (справочное). Сбор данных. Межгосударственный стандарт ГОСТ ISO/TS 22220-2013 "Информатизация здоровья. Идентификация субъектов медицинской помощи" (введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 11.04.2014 N 334-ст)

Приложение А
(справочное)

Сбор данных

А.1 Общие положения

В настоящем стандарте рассматриваются вопросы сбора и хранения данных в целях идентификации отдельных субъектов медицинской помощи. В нем не рассматриваются сбор, использование и хранение клинических данных или других данных информационных систем здравоохранения. Но чтобы дать определенное представление об использовании таких данных, в настоящем приложении перечисляются некоторые из существующих стандартов, включая стандарты защиты персональных данных, и представлен краткий обзор проблем.

Чтобы при сборе, использовании, хранении, передаче и раскрытии идентифицирующей информации не нарушать конфиденциальность персональных данных, пользователи настоящего стандарта должны обращаться к соответствующему законодательству о персональных данных и к руководствам по защите информации. В случае каких-либо противоречий между настоящим стандартом и существующим законодательством и руководствами по защите информации преимущество имеют последние.

Руководящим принципом настоящего стандарта является достижение равновесия между конфиденциальностью персональных данных и управляемым и законным использованием информации о здоровье для улучшения работы системы здравоохранения.

А.2 Сбор данных

Информация, требуемая для идентификации субъекта медицинской помощи, не должна собираться незаконными или нечестными средствами. Когда это законно и практически приемлемо, у субъекта медицинской помощи должна быть возможность не идентифицировать себя. Когда субъект решает не идентифицировать себя или скрыть отдельные элементы идентифицирующей информации, субъекту или его представителю должны быть разъяснены возможные последствия такого решения.

В настоящем стандарте не требуется, чтобы в каждом отдельном случае были собраны все специфицированные в ней элементы данных. Важно рассмотреть влияние отсутствия или сбора специфических элементов данных.

При сборе идентифицирующих данных оператор должен проинформировать субъекта о целях сбора, о том, как и кем эта информация может использоваться и раскрываться, а также о подробностях ее хранения.

Например, это может быть сделано с помощью брошюры или посредством устного разъяснения. Как минимум, в объявлении целей должно быть отмечено следующее:

"Информация необходима для вашей успешной и однозначной идентификации, с тем чтобы записи о всей предыдущей, текущей и будущей медицинской помощи были связаны с правильным лицом".

Субъекту медицинской помощи должна быть предложена возможность раскрытия информации в изолированном помещении. Оператор идентифицирующей информации должен удостовериться, что каждый элемент информации правильный, актуальный и изменен так, как это необходимо.

У операторов должны иметься программы обеспечения качества и процессы аудита для надзора за сбором и записью идентифицирующих данных субъекта медицинской помощи.

Известно, что безопасность данных, содержащихся в системах идентификации субъектов медицинской помощи, может подвергаться угрозам. Организации, осуществляющие сбор данных, несут ответственность за обеспечение безопасного и надлежащего использования собранных данных, а также за то, что персонал этих организаций несет равную ответственность за свои действия при доступе, использовании и сборе всей медицинской информации.

Информация может собираться непосредственно (от субъекта медицинской помощи) или косвенным путем (от других лиц, систем или организаций). В связи с этим субъект медицинской помощи имеет право знать об источниках информации и исправлять любые данные о нем, которые могли быть получены косвенным путем.

На сбор данных может потребоваться информированное согласие, особенно в случае, если информация была собрана косвенным путем, т.е. из других источников.

А.3 Трудности сбора данных

Если субъект медицинской помощи отказывается предоставить идентифицирующие подробности, оператор информации несет ответственность за разъяснение потенциальных последствий невозможности уникальной идентификации субъекта в системе здравоохранения.

В настоящем стандарте не требуется, чтобы в каждом отдельном случае были собраны все специфицированные в ней элементы данных. Важно учесть влияние отсутствия или сбора специфических элементов данных.

Если нет возможности однозначно идентифицировать субъект медицинской помощи на месте лечения, например, если субъект находится в бессознательном состоянии, то на оператора возлагается ответственность за обеспечение достоверности информации о субъекте, как только это станет практически возможным. Как и при сборе любой идентифицирующей информации, оператор должен известить субъекта о целях сбора информации и о том, как и кем она может использоваться (см. 7.2).

Если нет возможности однозначно идентифицировать субъект медицинской помощи на месте лечения, то должна быть создана временная идентифицирующая запись. Она должна быть явно помечена как временная. Когда это допускается законодательством и возможно практически, у субъекта медицинской помощи должна быть возможность остаться анонимным.

При наличии языкового барьера необходимо в течение разумного периода получить услуги перевода, чтобы проверить введенную информацию.

А.4 Передача данных

Передача данных между системами должна быть защищена. Должно быть право на раскрытие передаваемых данных. При передаче чувствительной информации о здоровье должно применяться шифрование. Если не применяются дополнительные безопасные протоколы, то электронная почта не должна использоваться для передачи информации о здоровье.

А.5 Хранение и обработка данных

Следующие положения применяются к данным в состоянии покоя (в хранилище), а также к данным, находящимися в процессе любой обработки и передачи.

Любое лицо или организация, осуществляющие хранение или использование идентифицирующей информации субъекта медицинской помощи, должны гарантировать, что существуют процессы (компьютеризированные и процедурные), полностью учитывающие риски потери и искажения информации, и что эти процессы регулярно пересматриваются.

Некоторые из этих рисков, а также примеры стратегий их снижения указаны в таблице А.1. Этот список рисков не является всеобъемлющим.

Таблица А.1 - Риски потери и искажения информации и пути их снижения

Риск	Снижение риска
Кража	Физическая безопасность
Доступ не по назначению	Соответствующее управление доступом, политики запрета использования данных не по назначению, соответствующие обучение и технология
Несанкционированный доступ	Управление сеансом (блокировки экрана и закрытие сеанса по истечен