суббота, 29 июля 2017 г.

Новый ГОСТ на сайте Росстандарта: Классификация целей обработки персональной медицинской информации


На сайте Федерального агентства по техническому регулированию и метрологии ( http://www.gost.ru/wps/portal/ ) в июньском 2017 года разделе ( http://protect.gost.ru/default.aspx?control=6&month=6&year=2017 ) выложен, помимо прочих, следующий документ:

ГОСТ Р 57508-2017 «Информатизация здоровья. Классификация целей обработки персональной медицинской информации» объёмом 20 страниц, вступает в силу с  01.07.2019 года, см.  http://protect.gost.ru/v.aspx?control=8&id=209947

Стандарт подготовлен Федеральным государственным бюджетным учреждением «Центральный научно-исследовательский институт организации и информатизации здравоохранения» Министерства здравоохранения Российской Федерации (ЦНИИОИЗ Минздрава) и ООО «Корпоративные электронные системы», на основе собственного перевода на русский язык англоязычной версии одноименных международных технических спецификаций  ISO/TS 14265:2011, Health Informatics - Classification of purposes for processing personal health information, см. https://www.iso.org/standard/54547.html и https://www.iso.org/obp/ui/#iso:std:iso:ts:14265:ed-1:v1:en . Стандарт внесён Техническим комитетом по стандартизации ТК 468 «Информатизация здоровья» при ЦНИИОИЗ Минздрава.

Как отмечается во вводной части стандарта, «настоящий стандарт идентичен международному документу ISO/TS 14265:2011 «Информатизация здоровья. Классификация целей обработки персональной медицинской информации»».

«Фундаментальный принцип использования персональных медицинских данных состоит в важности знания цели первичного сбора данных, а также того, совпадают ли цели всех последующих действий по обработке этих данных с этой целью или совместимы с ней. Применение этого принципа в сочетании со стандартизованным списком целей образует основу принятия решений о совместимости разрешенной цели для различных пользователей, систем, организаций или доменов политик, которым может требоваться общий доступ к персональным медицинским данным.»

«Определение целей использования данных является первым критичным шагом в цепочке действий по сбору данных и различной обработки этих данных. Только в том случае, когда цель использования данных известна, можно оценить, является ли доступ к данным или другая деятельность по их обработке допустимой, например:
  • какие именно данные допускается собирать;

  • как их следует использовать,

  • кому их следует раскрывать.

  • в течение какого времени они должны быть доступны.»
«Настоящий стандарт определяет совокупность высокоуровневых категорий целей обработки персональной медицинской информации (то есть сбора, использования, хранения, доступа, анализа, создания, связывания, передачи, раскрытия или удерживания), которая может служить платформой, используемой для классификации различных конкретных целей, определяемых областями применения политик (например организациями здравоохранения, региональными органами управления здравоохранением. юрисдикциями, странами), а также для согласованного управление информацией при оказании медицинской помощи и при передаче записей электронных медицинских карт, пересекающей границы организаций и юрисдикций.»

«Область применения настоящего стандарта ограничена персональной медицинской информацией (ПМИ), определенной в ИСО 27799 как информация об идентифицируемом лице, связанной с его физическим или психическим здоровьем или с предоставлением ему медицинской помощи.»

Стандарт вводит 14 классификационных групп:
  • Оказание медицинской помощи отдельному субъекту

  • Оказание экстренной медицинской помощи отдельному субъекту

  • Обеспечение деятельности по оказанию медицинской помощи отдельному субъекту, осуществляемой внутри организации

  • Обеспечение оплаты медицинской помощи, оказанной отдельному субъекту

  • Управление организацией оказания медицинской помощи и контроль ее качества

  • Обучение

  • Санитарно-эпидемиологический контроль

  • Экстренные санитарно-эпидемиологические мероприятия

  • Управление организацией здравоохранения

  • Научные исследования

  • Маркетинговые исследования

  • Юридическая процедура

  • Использование субъектом медицинской помощи

  • Неуточненная
В терминологической части можно отметить следующие определения:
2.12 деперсонификация (de-identificat»on): Общее название любого процесса удаления связи между совокупностью идентифицирующих данных и субъектом данных. [ИСО/ТС 25237:2008, definition 3.18]

2.15 явное согласие (explicit consent, express consent): Непосредственно данное добровольное разрешение, выраженное устно или письменно.

Примечание: Адаптированное определение из ИСО 18308:2011.

2.16 подразумеваемое согласие (implied consent): Произвольное соглашение о том, что делается или предлагается, которое может быть обоснованно выведено из действия или бездействия субъекта данных.

2.17 управление информацией (information governance): Процессы, посредством которых организация получает гарантию того, что риски для ее информации, а потому и работоспособность и целостность организации эффективно идентифицируются и управляются. [ИСО 27799:2008, определение 3.2.8]

2.18 информированное согласие (informed consent): Согласие, данное на основе знания.
Источник: сайт Росстандарта
http://www.gost.ru/wps/portal/

Комментариев нет:

Отправить комментарий