Quyền riêng tư dữ liệu, Bảo mật và Tuân thủ Quy định

Definition

Quyền riêng tư dữ liệu, bảo mật và tuân thủ quy định là tập hợp tổng hợp các nguyên tắc, biện pháp bảo vệ kỹ thuật và tổ chức, và nghĩa vụ pháp lý quản lý cách thông tin sức khỏe cá nhân được giữ bí mật, bảo vệ khỏi truy cập trái phép hoặc mất mát, và được sử dụng theo luật pháp hiện hành.

Scope

Chủ đề này bao gồm các nguyên tắc bảo mật và quyền riêng tư, các loại biện pháp bảo vệ an ninh chính, bối cảnh đe dọa mà dữ liệu sức khỏe phải đối mặt, và vai trò của các khuôn khổ pháp lý trong việc thiết lập các nghĩa vụ. Đây là một tài liệu tham khảo mang tính khái niệm; nó không cung cấp lời khuyên pháp lý, hướng dẫn cấu hình bảo mật, hoặc xác định sự tuân thủ cho bất kỳ tổ chức cụ thể nào, và việc nêu tên một quy định ở đây chỉ mang tính minh họa chứ không phải là có thẩm quyền.

Core questions

• Bảo mật và quyền riêng tư có ý nghĩa gì đối với thông tin sức khỏe cá nhân?
• Những loại biện pháp bảo vệ nào bảo vệ dữ liệu sức khỏe?
• Dữ liệu sức khỏe phải đối mặt với những mối đe dọa nào, và tại sao ngành này lại là mục tiêu thường xuyên?
• Các khuôn khổ quy định định hình việc sử dụng dữ liệu sức khỏe được phép như thế nào?

Key concepts

• Bảo mật và quyền riêng tư
• Các biện pháp bảo vệ hành chính, vật lý và kỹ thuật
• Rủi ro ẩn danh hóa và nhận dạng lại
• Các mối đe dọa và vi phạm an ninh mạng
• Các khuôn khổ quy định và tuân thủ
• Giảm thiểu dữ liệu và giới hạn mục đích
• Sự đồng ý và sử dụng thứ cấp

Mechanisms

Bảo mật dựa trên việc hạn chế quyền truy cập đối với những người có nhu cầu hợp pháp và mục đích xác định. An ninh được thực hiện thông qua các biện pháp bảo vệ nhiều lớp – hành chính (chính sách, đào tạo), vật lý (kiểm soát cơ sở vật chất và thiết bị), và kỹ thuật (kiểm soát truy cập, mã hóa, ghi nhật ký kiểm tra). Việc ẩn danh hóa làm giảm rủi ro về quyền riêng tư nhưng không loại bỏ hoàn toàn, vì các bộ dữ liệu phong phú đôi khi có thể được nhận dạng lại, một sự căng thẳng trở nên gay gắt hơn khi dữ liệu được tổng hợp để phân tích. Ngành y tế là mục tiêu thường xuyên của các cuộc tấn công mạng vì dữ liệu sức khỏe có giá trị và các hệ thống thường phức tạp và liên kết với nhau, do đó bối cảnh đe dọa và rủi ro vi phạm là trọng tâm của thực hành bảo mật. Các khuôn khổ pháp lý chuyển đổi các nguyên tắc này thành các nghĩa vụ có thể thực thi, hạn chế cách dữ liệu có thể được thu thập, lưu trữ, chia sẻ và tái sử dụng.

Clinical relevance

Các biện pháp bảo vệ quyền riêng tư và bảo mật ảnh hưởng đến sự tin tưởng và sẵn lòng chia sẻ thông tin của bệnh nhân, và các vi phạm có thể gây ra tổn hại thực sự. Mục này mô tả các nguyên tắc, biện pháp bảo vệ và vai trò quy định như tài liệu tham khảo; nó không cấu thành lời khuyên pháp lý hoặc đánh giá tuân thủ, và các nghĩa vụ cụ thể phụ thuộc vào khu vực pháp lý và giải thích pháp lý có đủ điều kiện.

Evidence & guidelines

Bằng chứng kết hợp các phân tích chính sách và đạo đức về quyền riêng tư với các đánh giá có hệ thống về bối cảnh đe dọa an ninh mạng. Các phân tích về quyền riêng tư trong kỷ nguyên dữ liệu lớn y tế và các đánh giá có hệ thống về an ninh mạng chăm sóc sức khỏe mô tả các nguyên tắc và rủi ro; các nghĩa vụ cụ thể được đặt ra bởi luật pháp và các cơ quan quản lý chứ không phải bởi các hướng dẫn lâm sàng, và các công cụ đó phụ thuộc vào khu vực pháp lý.

History

Bảo mật là một nguyên tắc lâu đời của y học, nhưng việc số hóa và kết nối mạng dữ liệu sức khỏe đã làm thay đổi quy mô và bản chất của các rủi ro. Khi hồ sơ trở thành điện tử và dữ liệu được tổng hợp để phân tích, sự chú ý đã mở rộng từ bảo mật cá nhân sang quyền riêng tư quy mô lớn, rủi ro nhận dạng lại và an ninh mạng, trong khi các khuôn khổ quy định được phát triển và sửa đổi để quản lý các mục đích sử dụng này trên các khu vực pháp lý.

Debates

Dữ liệu sức khỏe có thể vừa hữu ích cho phân tích vừa đủ riêng tư không?

Việc tổng hợp dữ liệu để phân tích và nghiên cứu làm tăng giá trị nhưng cũng làm tăng rủi ro nhận dạng lại và vi phạm; các nhà bình luận tranh luận liệu việc ẩn danh hóa và quản trị có thể dung hòa tiện ích dữ liệu với quyền riêng tư hay không, đặc biệt khi các bộ dữ liệu ngày càng phong phú hơn.

Key figures

• I. Glenn Cohen
• W. Nicholson Price
• Clemens Scott Kruse

Related topics

• Health Information Systems and Technology
• Electronic Health Records and Interoperability
• Health Data Management and Analytics
• Digital Health and Health Technology Innovation
• Confidentiality, Privacy, and HIPAA in Prehospital Care
• Health Data Breaches and Incident Response
• International Health Data Regulations and Governance

Seminal works

• price-cohen-2019
• kruse-2017

Frequently asked questions

Sự khác biệt giữa quyền riêng tư và bảo mật đối với dữ liệu sức khỏe là gì?

Quyền riêng tư liên quan đến việc ai có thể truy cập và sử dụng dữ liệu và với mục đích gì, trong khi bảo mật liên quan đến các biện pháp bảo vệ kỹ thuật và tổ chức nhằm bảo vệ dữ liệu khỏi truy cập trái phép hoặc mất mát; cả hai đều cần thiết và chúng được quản lý bởi các nghĩa vụ tuân thủ.

Tại sao dữ liệu sức khỏe đã được ẩn danh hóa không tự động không có rủi ro?

Việc loại bỏ các định danh làm giảm nhưng không loại bỏ rủi ro, vì các bộ dữ liệu phong phú đôi khi có thể được nhận dạng lại bằng cách kết hợp chúng với các thông tin khác, đó là lý do tại sao việc ẩn danh hóa được kết hợp với quản trị thay vì được coi là một giải pháp hoàn chỉnh.

Methods for this concept

• Data Protection and Privacy in Research
• Informed Consent in Research
• k-Anonymity
• Digital Health Acceptance Scale
• Belmont Report
• Waiver of Informed Consent in Research
• Institutional Review Board
• Differential Privacy

Related concepts

• Health IT Privacy, Security, and Compliance
• International Health Data Regulations and Governance
• Health Data Breaches and Incident Response
• De-identification and Privacy-Preserving Data Analysis
• HIPAA Privacy and Security Rules
• Health Information Systems and Technology