США: Министерство здравоохранения опубликовало руководство по анонимизации медицинских персональных данных

Данная заметка, подготовленная компанией Hunton & Williams LLP, была опубликована 27 ноября 2012 года на «Блоге о законодательстве по вопросам обеспечения неприкосновенности частной жизни и информационной безопасности» (Privacy and Information Security Law Blog).   

26 ноября 2012 года Управление по гражданским правам (Office of Civil Rights, OCR) Министерства здравоохранения и социальных услуг  (Department of Health and Human Services) опубликовало руководство по двум методам анонимизации (обезличивания) персональных медицинских данных (protected health information, PHI) в соответствии с правилом обеспечения неприкосновенности частной жизни, содержащемся в американском законе HIPAA (Health Insurance Portability and Accountability Act - Закон о перемещаемости медицинского страхования и его подотчётности, принятый в 1996 году. Его первая часть обеспечивает сохранение медицинской страховки рабочими и членами их семей при смене или потере работы; вторая часть закона содержит требование о введении национальных стандартов для транзакций в сфере электронного здравоохранения – Н.Х.).

Разработка этого руководства была предусмотрена Законом об использовании информационных технологий в медицине в клинической и экономической деятельности (Health Information Technology for Clinical and Economic Health Act, HITECH). В течение ряда лет этим занималось Управление по гражданским правам Министерства здравоохранения в сотрудничестве с медицинскими учреждениями и экспертами из других отраслей. Руководство во многом опирается на итоги дискуссий на семинаре по анонимазации, проведенном в марте 2010 года.

Документ, полное название которого «Руководство в отношении методов де-идентификации защищённой медицинской информации в соответствии с правилом обеспечения неприкосновенности частной жизни, установленным законом HIPAA» (Guidance Regarding Methods for De-identification of Protected Health Information in Accordance with the Health Insurance Portability and Accountability Act (HIPAA) Privacy Rule), объёмом 32 страницы, доступен по адресу http://www.hhs.gov/ocr/privacy/hipaa/understanding/coveredentities/De-identification/hhs_deid_guidance.pdf .

В руководстве рассмотрены три основных вопроса:

• основные положения  правила обеспечения неприкосновенности частной жизни в законе HIPAA,


• метод статистической экспертизы для анонимизации медицинских персональных данных, и


• метод «безопасной гавани» для анонимизации медицинских персональных данных.

В документе отмечается, что есть два способа выполнения анонимизации в соответствии с требования HIPAA:

• привлечение эксперта по статистическим методам для установления того, что риск идентификации физического лица по имеющимся в конкретной базе данных сведениям незначителен, или


• удаление из базы данных всех сведений из числа 18 конкретных элементов данных, включая имя человека и все элементы непосредственно связанных с ним дат.

В руководстве обсуждение варианта анонимизации с привлечение эксперта по статистическим методам начинается с констатации того, что «отсутствует конкретное  численное значение уровня риска идентификации», такое, что меньшие риски будут удовлетворять требованию о «незначительности» риска. Далее разъясняется, что у заключения об анонимизации срок действия не ограничен и его, возможно,  придётся пересматривать по мере того, как «со временем изменяются технологии, социальные условия, а также доступность информации». Наконец, в руководство кратко описываются принципы, используемые при статистической анонимизации: воспроизводимость, доступность источника данных, различимость и окончательная оценка риска.

Что касается метода «безопасной гавани», то в руководстве указано, какие конкретные данные должны быть удалены из конкретной базы (набора) данных, прежде чем её можно будет считать обезличенной. Подчеркивается, что данные, являющиеся производными от этих 18 элементов данных, такие, как инициалы пациента или последние четыре цифры его номера социального страхования, также считаются медицинскими персональными данными.

В отношении дат в руководство поясняется, что «В число не разрешенных для раскрытия элементов дат входят день, месяц, и любая другая информация, которая более детальна, чем год события», и что любые даты, «связанные с анализами (например, полученные из лабораторных отчетов), непосредственно связаны с конкретным человеком и относятся к  оказанию медицинской помощи. Такие даты относятся к персональным медицинским данным. Наконец, приведены два конкретных примера, когда данные подпадают под формулировку «…и любые иные уникальные идентифицирующие номера, характеристики или коды»:  это штрих-код на документах пациента или в рецепте; и такие сведения о профессиональной деятельности, как, например, «действующий Президент Университета штата».

Подготовленное Управлением по гражданским правам Министерства здравоохранения руководство является достаточно подробным и должно внести определенную ясность для подпадающих под закон HIPAA учреждений и их деловых партнеров относительно процесса анонимизации. В связи с широким использованием в здравоохранении дат и других уникальных номеров и кодов, заинтересованные учреждения могут предпочесть использование метода статистической экспертизы вместо метода «безопасной гавани», чтобы обеспечить соответствие выполненной ими анонимизации требованиям HIPAA.

Источник: Privacy and Information Security Law Blog
http://www.huntonprivacyblog.com/2012/11/...