ГОСТ Р 55036—2012/ISO/TS 25237:2008
Приложение А
(справочное)
Сценарии псевдонимизации в здравоохранении
А.1 Введение
В настоящем приложении описан ряд высокоуровневых ситуаций или «сценариев», иллюстрирующих базо
вые функциональные и технические требования к службам псевдонимизации. предназначенным для обеспече
ния взаимодействия различных организаций сферы здравоохранения.
Вначале приводятся общие требования, касающиеся базовых принципов конфиденциальности и безопас
ности. а также показана необходимость применения этих принципов для сферы здравоохранения. Затем приве
дены описания каждого сценария по следующей форме:
1) описание сценария или ситуации при оказании медицинской помощи, в которых требуются службы псев
донимизации:
2) соответствующие функциональные и технические требования к службе псевдонимизации.
А.2 Объяснение сценариев
Сценарии, описанные в А.3.1—А.3.5. показывают, как службы псевдонимизации могут применяться в здра
воохранении. Каждый сценарий описывает возможные применения службы псевдонимизации в здравоохране
нии.
Таблица с описанием сценариев содержит следующие названия граф:
Тип ИД
Указывает кому принадлежит идентификатор: пациенту или. например, медицинскому работнику.
Уникальность
Чтобы оценить, каким образом можно использовать псевдонимизированную базу данных, необходимо
знать, однозначно ли входной параметр идентифицирует лицо в данном контексте. Это особенно важно, если
надо однозначно связать между собой данные об одном и том же лице, собираемые за длительный промежуток
времени разными организациями. Важно также установить, можно ли связать между собой все данные о лице,
собираемые одной организацией, или существует риск наличия синонимов в целевых базах данных.
Чувствительностьданных
При проектировании службы псевдонимизации полезно иметь характеристику чувствительности данных.
Степень чувствительности должна определяться на основе требований законодательства или коммерческой
ценности. Например, с юридической точки зрения информация о наличии у физических лиц вируса иммунодефи
цита человека (ВИЧ) может иметь гораздо большую степень чувствительности и потребовать соразмерного ана
лиза угроз. А информация о частоте выздоровления при применении конкретного метода печения заболевания с
юридической точки зрения не является чувствительной, но может быть критичной с позиции коммерциализа ции.
Источникиданных: кратность источниковданных и их взаимосвязь
Требования, которые могут предъявляться законодательством к различным реализациям псевдонимиза
ции. существенно зависят от этой характеристики. Важно также знать, получают ли данные непосредственно от
субъекта данных.
Контекст/иазначение: коммерческое, медицинские исследования, лечение пациентов
В этой графе дается краткое описание контекста.
Наличие поиска/связывания
Наличие поиска является очень важным элементом общей конструкции решения по применению псевдо-
нимизации. Должна быть определена степень точности поиска, а также возможность поиска псевдонимизиро-
ванных элементов путем задания непсевдонимизированных элементов (например, территории). Реализация
функции поиска требует применения службы псевдонимизации и может ограничиваться.
Обратимосты’восстаноеление
В этой графе указано, является ли восстановление идентичности желательным, запрещенным, желатель
ным в контролируемых условиях или оно должно осуществляться при пока неизвестных, но в будущем желатель
ных условиях.
Должна также приводиться информация о том. какой объем восстановления идентичности приемлем.
Связывание во времени
Угроза восстановления идентичности тем выше, чем больше обьем псеадонимизированной информации,
которая может быть связана воедино. Ограничивая связывание псевдонимизированной информации во
времени, можно уменьшить объем связываемой информации. Конечно, это может войти в противоречив с
требованием проведения научных исследований, для которых требуется информация о пациенте за длительное
время.
27