Assurer la confidentialité des dossiers de santé électroniques partagés

La récente perte de données sensibles sur 25 millions de personnes par le gouvernement du Royaume-Uni est juste La couverture médiatique a eu tendance à se concentrer sur des aspects évidents de la divulgation involontaire de données à caractère personnel, tels que les disques perdus et les omissions dans la procédure, tels que cryptage.3 La question la plus importante dans tous ces scandales, cependant, est de savoir comment un seul échec ou une telle défaillance peut entraîner une divulgation catastrophique. Les conséquences de ces échecs de sécurité sont exacerbées par notre tendance croissante. centraliser les données volumineuses et détaillées provenant de sources multiples et l’existence de politiques et de lois qui permettent le partage de données entre les organisations. Dans le domaine de la santé, la collecte et le stockage de données personnelles sensibles sont essentiels pour fournir un service clinique de haute qualité et pour la recherche4. En effet, la fonction future du Service national de santé (NHS) en dépend.Le problème fondamental est l’approche simpliste souvent pris pour définir et réguler l’accès des utilisateurs aux données. La gestion des privilèges et le contrôle d’accès font référence aux politiques et aux systèmes en place pour spécifier ce que les utilisateurs sont autorisés à faire, y compris les modifications, les exportations ou les communications ultérieures.6 Une fois que le système a donné à un utilisateur accès à certaines données, La protection contre les abus est généralement un ensemble de procédures documentées qui spécifient comment les utilisateurs doivent se comporter dans des circonstances données. Les mêmes règles s’appliquent, que les données proviennent d’un seul système, d’un entrepôt de données ou d’un groupe de systèmes connectés logiquement pour apparaître comme une seule (fédération de base de données).Ces documents écrits, souvent appelés procédures opérationnelles standard (SOP), peuvent empêcher la divulgation par inadvertance de données uniquement si le personnel est formé à les utiliser de manière cohérente; si les utilisateurs n’ont pas d’intention malveillante, sont compétents et ne font pas d’erreurs; et si l’auteur de la POS a prévu tous les scénarios relatifs à l’accès et au partage des données. Malheureusement, les preuves montrent qu’il est difficile de remplir toutes ces conditions.7 Le contrôle des accès fait partie d’une série de mesures de sécurité; d’autres exemples sont le cryptage et l’authentification. L’authentification confirme l’identité de l’utilisateur plutôt que de déterminer ce qu’il est autorisé à faire, tandis que le chiffrement empêche l’écoute indiscrète. Ni l’un ni l’autre n’améliore la qualité du contrôle d’accès. Une caractéristique commune des méthodes utilisées pour autoriser la publication légitime des données est que généralement un seul utilisateur autorisé extrait et communique les informations demandées, sans supervision ou contre-vérification. C’est pourquoi les SOP sont importantes mais également insuffisantes, car elles forment un système opaque fermé. De nombreuses caractéristiques d’une POS peuvent être informatisées, et nous avons besoin d’urgence de meilleures mesures techniques pour appliquer et vérifier les procédures qui représentent une bonne pratique. Lorsqu’elle est correctement mise en œuvre, elle peut assurer la transparence, contrer les conflits d’intérêts et appliquer les procédures convenues. La dispersion des données identifiables entre les institutions présente des avantages allant d’une sécurité améliorée au contrôle local, mais elle nécessite une politique multi-institutionnelle. Les médecins généralistes préoccupés par le NHS Care Record Service pourraient être plus à l’aise avec le concept des systèmes de dossiers locaux, qui nécessitent une autorisation supplémentaire avant l’agrégation au niveau national.9. implications de charge de travail, mais c’est possible. La transparence peut être assurée par plusieurs intermédiaires indépendants de ceux qui détiennent et reçoivent les données10. Dans un tel cadre, un seul échec ou une seule procédure ne peut aboutir à la libération de données. L’utilisation d’identifiants individuels uniques est essentielle lors du partage de données. Les données. Différentes institutions utilisent souvent des identifiants différents, ce qui contribue au problème du partage des données. Pour partager des données spécifiques à une personne, par exemple, dans un projet de recherche post-génomique qui lie la prescription de médicaments à des données génétiques, nous devons soit partager des identifiants uniques, soit comprendre la relation entre les différents ensembles d’identifiants utilisés.11 Ce processus est connu sous le nom de liaison, et le but du nouveau numéro NHS et la carte d’identité nationale proposée est de rendre cela précis et efficace. La meilleure façon d’obtenir un lien est qu’un intermédiaire indépendant anonymise les données et fournisse un nouvel identifiant commun qui relie les différents enregistrements pour la même personne, mais qui n’est pas la même chose que n’importe quel “ real ” identifiant utilisé dans le NHS. Ce processus, appelé pseudonymisation, permet aux utilisateurs autorisés de combiner les données anonymisées sur les individus qui leur ont été donnés. Il ne permet pas de relier d’autres données cliniques (identifiables) auxquelles ils pourraient avoir accès. La carte d’identité fait l’objet de nombreux débats et, qu’elle protège ou nuit, dépend de l’environnement dans lequel elle est introduite.12 Dans un monde de nombreuses institutions partageant des données à huis clos, cela pourrait être nuisible. Mais dans un monde où les données sont partagées dans un environnement ouvert, transparent et bien réglementé, c’est un moyen essentiel de préserver la vie privée. Dans un mécanisme multiinstitutionnel, la dispersion des données fournit des garanties à la fois pour la vie privée et la sécurité, tout en combinant ces données, une réglementation indépendante et des garanties techniques pour contrôler qui reçoit ces données et limiter la capacité à identifier ces données.