区域卫生信息平台医疗信息隐私安全评估标准的构建

区域卫生信息平台医疗信息隐私安全评估标准的构建
文章摘要:一文看区域卫生信息平台医疗信息隐私安全评估的标准。

导读:构建一套用于区域卫生信息平台隐私安全评估标准。基于前期完成的隐私信息界定,通过深度访谈,面向区域卫生信息平台一线人员,理清平台开展业务及数据流转情况,结合国外数据隐私保护实践经验,识别医疗信息隐私风险点,构建安全措施集,形成评估标准初稿。通过三轮德尔菲调查,运用层次分析法,确认评估标准终稿及权重。构建了一套针对区域卫生信息平台进行医疗信息隐私安全评估的标准,包括3个一级指标,14个二级指标,46个三级指标。德尔菲专家意见的积极系数、权威系数、协调系数均较高。

全国各地积极建设区域卫生信息平台,且初具规模。国务院发布《关于促进和规范健康医疗大数据应用发展的指导意见》,鼓励基于区域健康信息平台的健康医疗大数据开放共享,然而区域卫生信息平台管理机构缺乏隐私安全评估经验,不敢也不愿意在承担风险的前提下进行开放共享。

本研究在定义隐私信息的基础上,构建一套针对区域卫生信息平台的客观、科学、可操作的医疗信息隐私安全评估标准,识别平台在数据开放共享过程中的风险点,防患于未然,以期为制定区域卫生信息平台开展数据开放共享的准入标准与监管工具提供参考。

1、资料与方法

1.1 资料来源

1.1.1 国家标准指南

以国信办印发的《信息安全风险评估指南》为主要指导思想,指南中提出风险评估模型。据此,评估标准的框架为业务场景-风险点-安全措施。

1.1.2 平台现状分析

面向平台业务一线人员进行访谈,提炼出3大典型业务场景:院际信息调阅、科研数据申请、部分医疗档案网上查询,将之作为本评估标准的评估范围。

1.1.3 国外实践经验

理清平台各场景医疗信息的流动情况,识别隐私风险点,结合美国、欧洲等发达国家的数据开放共享隐私保护实践经验,构建平台隐私安全措施集。

1.1.4 隐私信息界定

前期完成了适应我国国情的隐私信息界定。包括5大类身份可识别符、8类特殊病种和3类特殊身份以及数据分级分类方式(如科研使用场景下,可分为公用数据集、有限数据集、可识别数据集;医生调阅场景下,可分为默认级、告知级、授权级)。参见前期研究成果。

1.2 研究方法

采用德尔菲法完善指标,通过邮件向卫生信息化、卫生管理、法律、伦理等领域的20位专家咨询,前两轮咨询对指标进行筛选,第三轮结合层次分析法确定权重。采用协调系数评价德尔菲专家意见的一致性,采用克朗巴赫系数评价评估标准的内在信度,均通过SPSS21.0软件实现。

2 、结果

2.1 专家情况

专家主要是上级行政单位管理人员、高校教授、医疗信息公司高管、医院管理者、临床医生、医院信息科主任、医院信息化一线人员等,90%的专家对医疗信息领域较熟悉,评分具有较高专业性和权威性。指标筛选采取专家评分的方式, 1分至5分,评分越高,说明专家对该指标的认可度越高。

2.2 专家的积极性与权威性分析

通过专家积极系数和权威系数来评价专家调查的可靠性,回收率情况如表1,可见专家对评估标准优化工作的积极性很高。

表1 专家的积极系数

专家权威系数(Y)受专家的受教育程度(X1)、评分时的判断依据(X2)及相关领域熟悉程度(X3)影响,各变量的量化分值如表2。根据公式Y=(X1+X2+X3)/3,计算专家权威系数如表3。两轮调查的权威系数均为0.81,通常权威系数达到0.7时认为比较好,因此两轮专家咨询的权威性较高。

表2 专家权威程度量化表

表3 专家权威系数

2.3 专家意见一致性分析

变异系数用来评价德尔菲法中专家认可度一致性。变异系数越小,专家们的认可度差异性越小,评估一致性越好[9-10]。计算各指标评分的均值、标准差及变异系数,3项一级指标的专家评分变异系数为0,二、三级指标的专家评分变异系数范围为0到17.2%;第二轮咨询中,各指标得分均值在4分以上,14项二级指标的专家评分变异系数范围为0到10.1%。两轮德尔菲中,对于一级指标,专家均同意其设置,意见一致;而第二轮咨询的专家评分的变异程度相比第一轮较小,可以认为专家意见趋于一致。最终评估标准包括3个一级指标,14个二级指标,46个三级指标,见表4。

表4 医疗信息隐私安全评估标准终稿

2.4 指标权重分配

选择了层次分析法来确定指标的权重,通过层次分析法软件Yaahp10.3实现。首先设计了层次分析法判断矩阵及第三轮专家咨询表。由于三级指标数量过多,且德尔菲法专家一致性较高,因此认为同一二级指标下的三级指标之间差异可以忽略,所以仅对一、二级指标赋值。随后向20位专家发放了权重资讯表,咨询表采用9级标度,专家对评估标准中的3个一级指标和14个二级指标进行两两重要性判断,共计填写1个一级指标矩阵和3个二级指标矩阵。一级指标的权重分别是0.255、0.390、0.355,二级指标略,实证研究略。

3、科研使用场景下医疗信息隐私安全评估方案

因篇幅原因,选取科研使用场景对评估标准进行详细描述,科研使用场景具体指研究人员(医务人员、高校师生等)出于科研目的向汇聚中心申请医疗数据。

3.1 数据准备

汇聚中心首先将数据按隐私级别分为三类,分别是公用数据集(PUF)、有限数据集(LDS)、可识别数据集(RIF)。PUF主要是汇总概要级的信息;LDS涉及患者级别的受保护信息,但身份识别信息被加密或泛化;RIF则包含患者的身份识别信息。隐私级别越高,应当对申请者要求越严格,需提交的材料越多,审核机构也越多。其次将数据分类,制作成数据包。在一定范围内以数据目录的形式展示数据包,包括数据包简介、包含的变量、可获取的年份等,可展示少量样本数据或修饰后数据。

3.2 数据申请

数据仅供科研人员申请使用,汇聚中心可以通过向数据申请者收取一定的费用来覆盖数据处理及管理成本,费用取决于数据文件的类型、样本大小和所选择的年数,对于申请者,费用可从课题数据处理费中支出。规定数据使用目的应当仅限于研究。明确定义研究,如有课题立项,且有利于卫生事业发展。对研究主题需进行审查,需与医学相关。平台自行规定主题范围。

3.3 数据审批

汇聚中心应成立数据委员会(或第三方独立审批),委员会由医学专家、伦理专家、科研人员代表按比例构成,制定委员会章程、数据审批规范。审批需从科学研究价值、数据泄漏风险、提供数据成本三方面进行考量,应当制定定性或定量的数据审批评分表并进行公示。

3.4 数据脱敏 结合数据申请者需求,对数据进行相应的去标识化工作,完成后进行重识别检测。

3.5 数据传递

不同密级数据的传递方式不同,PUF可采取加密邮件、加密USB或其他可移动设备(仅特定电脑可使用)等方式。LDS和RIF由于涉及患者部分个人信息,可采取汇聚中心本地操作、虚拟桌面远程访问(在该系统进行分析,仅下载统计分析结果)、数据沙箱等方式。

3.6 数据销毁 申请者在数据使用结束后书面通知汇聚中心,约定的使用期限后30天内销毁,并提供销毁的书面证明,研究结果公开发表需注明数据来源于汇聚中心。汇聚中心对数据销毁情况作核查。

4、小结

随着区域卫生信息化建设的不断深入,面向区域卫生信息平台的数据隐私安全评估的迫切性不言而喻,评价既是准入,也是监管,识别平台在数据开放共享过程中的风险点,提前做好预防措施,最大降低泄漏风险,切实推进医疗数据的开放共享,释放数据红利。

文章来源:《中国数字医学》杂志2019年第5期,作者及单位:马诗诗 魏明月 崔文彬 于广军,上海市儿童医院。

来源:《中国数字医学》杂志,文章为原文作者独立观点,不代表医信邦立场。

0


扫一扫,分享到微信

猜你喜欢

文章评论

电子邮件地址不会被公开。 必填项已用*标注

后发表评论

需求发布

上一篇

“带病保险”,一块尚待开垦的处女地

下一篇

医疗机构如何打造私域流量池?

微信公众号

微信公众号