编者的话
政府部门利用大数据分析不仅可以提升公共服务质量,还可以通过数据二次利用拓展新的服务种类,为公共服务政策的制定和完善提供参考和指导。澳大利亚政府在大数据分析利用、相关政策和技术协同以及大数据推动公共服务领域变革等方面走在世界的前列,其个人健康大数据的二次利用独具特色。
2012年,澳大利亚开始全面实施全国性的健康档案数字化系统,2016年1月,系统被命名为“个人健康档案”(My Health Record,简称MHR)系统。这一系统为每个澳大利亚公民都提供了数字化的“个人健康档案”,让患者能够掌控自己的医疗健康信息,使患者理解、参与医疗决策,改善医疗质量和安全,减少浪费,提高效率。
作为澳大利亚最全面的大数据资源之一,MHR还有巨大潜在价值。为此,澳大利亚卫生部发布了MHR数据的二次利用框架。这一框架将为MHR系统中数据的未来利用提供指导,利用范围包括政策分析、医疗服务项目开发、科研、医疗质量和患者安全评估、以及公共卫生、绩效管理、医疗保健服务和治疗效果的改善等。
当前我国卫生系统信息化及大数据应用正在紧锣密鼓的进行中。但由于在技术和管理等方面基础较为薄弱,在大数据的集成、融合、管理、利用等方面,我们有很多地方需要学习借鉴国际先进经验。如何建立完善的健康大数据集成、融合与利用体系,充分挖掘大数据蕴涵的潜在价值,是一项巨大挑战。澳大利亚政府的这一框架指南对我国创建和完善居民健康档案及其数据的二次利用有一定的借鉴意义和价值。
责任编译:冀俊峰 译审:王皓磊
引言
(一)“个人健康档案(MHR)系统”简介
“个人健康档案(简称MHR)系统”为澳大利亚人的临床医疗病历提供了数字化的记录方式。通过这一系统,经过授权的医疗服务提供者可以在个人需要医疗服务时使用MHR数据。为了使MHR系统的数据准确、有效,并且最新,这就需要个人和医疗服务提供者在就医时的密切配合,将数据录入系统。
2012年,澳大利亚国家医疗卫生及医院改革委员会根据澳大利亚2012年《个人健康档案法案》(即MHR法案)提出建议,建设全国性的“个人掌控的电子健康档案”(PCEHR)系统,2016年1月,系统被命名为“个人健康档案”(MHR)系统。目前,这一系统还在不断的完善过程中,其中的数据信息量也在不断的扩大,以支持更好的医疗服务。
(二)什么是“数据二次开发利用”?
除了支撑临床医疗服务外,MHR系统还将逐步为澳大利亚的医疗卫生系统及服务、病情预后等提供有价值的数据资源,可以用于指导医疗服务规划、政策研究和制定,以进一步提高澳大利亚医疗系统的服务(详见附录1. 医疗及相关数据的有益利用案例研究)。允许这些数据被许可的用户共享使用就是MHR数据的二次开发利用,同时还需要继续支持主要个人医疗服务的首要利用。
按照MHR法案,系统管理员的一项职能是:“为研究和公共医疗目的提供取身份化的数据”。法案的这一规定也适用于MHR数据的二次利用。值得注意的是,系统管理员还被授权收集、披露个人医疗健康信息(也就是可识别的隐私信息),前提是要征得个人的同意。
除了使用系统管理员提供的公开汇总报告数据之外,研究人员、政策制定者、医疗卫生服务提供者以及医疗消费群体也将从获取更详尽的数据中受益(附录2是MHR数据可能的二次开发利用的实例)。
(三)MRH数据二次利用框架概述
1.框架目的
本文是面向研究和公共卫生目的的MRH数据二次利用的框架指南。当需要对MHR数据的共享、访问等权限进行决策时,数据治理委员会(简称委员会)负责解释说明和应用。
本框架有意让MHR数据的二次利用采用比较谨慎的方式,其目的是为了通过透明决策和MHR二次开发利用的结果的效益(包括已经取得的收益),获得公众的信任。
这一框架的开发基于2015年马肯·腾博总理的政府政策文件,为委员会指导那些上线的应用程序发布数据。例如,框架规定,应用程序必须要求用户签署使用条款协议(CUA),协议对隐私、保障和风险转移等做明确的要求。委员会考虑制定CUA,将框架的原则条款加进去。
2.框架评估
框架需要通过常规的评估,这些评估主要是为发现MHR系统数据潜在的二次利用机会,也可以用来发现新的需求。
首次评估应该在基于框架的数据集二次利用发布后的两年之内进行,这要考虑到委员会对初始的应用程序有一个预先体验的过程。
框架的关键原则应与澳大利亚政府对《生产力委员会数据可用性和使用咨询报告》的回复意见一致。政府回复意见的技术含义将反映在框架的实施指南中。框架的常规评估要点还需要为这一方面的进一步完善提供机会。
3.框架的范围
有必要对用于公益研究和公共卫生目的的数据使用的支持与不将数据仅用于商业目的的政策之间进行权衡。商业性组织提出数据使用申请,只要它能证明其使用与“研究和公共卫生目的”一致,并且可能产生公共卫生效益和(/或)公共利益,就应当得到批准。
(1)范围包括
框架范围涵盖以下方面数据的二次利用:
去标识的MHR系统数据;
有标识的数据,但经过医疗服务接受者同意的MHR系统数据。
(2)框架不包括
框架不允许下列数据的二次利用:
MHR系统数据不能被用于商业和非医疗相关的目的。
不允许将MHR系统数据提供给保险机构;(对这一方面的排除将作为第一次评估的内容);
对与临床试验志愿者的MHR数据将不允许进行二次利用,除非得到MHR这方面明确的访问授权。
框架也不用于《MHR法案》描述的数据使用,比如执法目的和系统管理功能。对于有标识的MHR数据的发布,应参照《MHR法案》第61-70条。
(四)法律依据
MHR系统运维由澳大利亚数字卫生局的系统管理员负责。系统运维在相关的法律框架内进行,包括前述的《MHR法案》和1988年的《隐私法案》。
在个人健康数据二次利用方面,有一个很重要的国家及联邦实体机构与此相关。《MHR法案》以及与之相关的配套规定,用于规范包含个人MHR相关医疗信息的收集、使用和发布。某些违犯《MHR法案》的行为也同样会违犯《隐私法案》,对于违犯这些法规,澳大利亚信息委员会(OAIC)将采取一系列的司法调查行动(《MHR法案》第72-73条)。
具体而言,《MHR法案》规定:未经授权的收集、使用或披露个人MHR医疗信息,违犯了《MHR法案》和《隐私法案》(第59-60条)。然而,当MHR数据经过强力地或适当地去标识过程后,它不再被视为医疗信息,因此不再受《MHR法案》和《隐私法案》的约束。同样重要的是,要注意尚未正确识别的MHR数据由于存在被重新标识的风险,因此,仍然被视为属于医疗信息。
澳大利亚信息委员会负责MHR系统的个人信息处理,涉及的主体包括个人、澳大利亚政府机构、私营部门企业,还有州和领地机构。信息委员会的职责包括调查MHR数据个人信息被误处理的投诉以及委员会的委员发起的调查。
一、数据访问与利用总体流程
在MHR系统数据被二次利用时,需要制定流程对这一过程进行监督、报告。表1归纳了这一流程、各参与方的角色及其相应职责。更多的细节参见框架。图1,表1和2描述了这一流程。
表1 参与各方的角色及其职责
实体 | 角色和职责 |
个人健康档案二次利用治理委员会(简称委员会) | 委员会负责框架的解释说明和应用,以指导MHR系统数据的二次利用,并通过使用框架决定是否允许MHR数据的二次利用的访问申请。 |
申请者 | 申请者就是请求访问MHR系统数据的个人或组织机构。申请者需要提前准备申请表,并将其提交到委员会制定的监管和审批程序。 |
MHR数据二次利用监管者 | 澳大利亚卫生和福利学会(AIHW)承担MHR数据二次利用的监管职责。AIHW是根据1987年《澳大利亚卫生和福利学会法案》成立的,这是一个独立的法定机关,提供独立、可靠、规范的关于澳大利亚卫生和福利方面的必要信息。这一机构的具体职责包括访问和接收MHR系统数据(在系统管理员的帮助下),为委员会批准的申请者提供数据。 |
数据集成者 | 数据集成者的职责是负责按照委员会的要求将必要的数据关联起来。 |
卫生部 | 卫生部负责MHR系统及相关数据发布的法律和政策相关制定。卫生部还负责框架开发和实施的相关政策制定,包括按照框架要求,最初的数据二次利用要在两年内委托开展评估工作。 |
系统管理员 | 澳大利亚数字卫生机构专门用来对MHR系统进行维护,其职能包括“为研究和公共卫生目的的使用者准备和提供去标识的数据。其他职能还有基于个人同意,为带有标识的数据披露提供基础。 |
图1 访问流程以及负责的组织/参与方
表2 参与各方的角色及其职责
过程描述 | 责任者 |
第1步:按照预定格式填写MHR系统数据二次利用表格,与申请一起提交的还有风险管理计划。 | 申请者 |
第2步:按照使用目的对申请进行评估。 | 委员会 |
第3步:考虑附加因素,如是否为海外申请者。 | 委员会 |
第4步:申请原则是否与其他系统数存在不一致。 | 委员会 |
第5步:管理数据的可用性、访问、发布(如果合规的话)、应用性、一致性和安全性。 | 委员会 |
第6步:确定是否需要道德伦理规范的批准,如果是的话,要求申请者获得许可。 | 委员会 |
第7步:申请者获得道德伦理规范的许可(如果被要求这么做),许可需要通过国家卫生和医药研究委员会认可的实体来获得。 | 申请者 |
第8步:使用条款协议(CUA)。 | 委员会 |
第8a步: 提供MHR系统数据,允许被批准的访问请求。 | 系统管理员 |
第8b步:接收/访问从澳大利亚数字卫生机构管理的MHR系统接收数据,为公开和申请者访问做好准备。 | 数据监管者 |
第8c步:处理、清洗,确保数据的质量和有用性。 | 系统管理员、数据监管者 |
第9步:按照需求实施数据关联。 | 数据集成者 |
第10步:在专家的监管下,评估为了保障个人隐私数据而所需要的去标识方法。 | 委员会 |
第10a步:利用委员会设定的方法对数据进行去标注化。 | 数据监管者 |
第11步:通过风险评估明确监管和保障流程,包括考虑数据公开需要的最低安全要求。 | 委员会 |
第12步:保证申请者签署使用条款协议(CUA)。 | 委员会 |
第12a步:签署使用条款协议(CUA)。 | 申请者 |
第13步:按照委员会预定的方法使申请者获得数据。 | 数据监管者 |
第14步:以被批准的方式访问数据。 | 申请者 |
第15步:在公共网站公布申请者及其研究成果。 | 委员会 |
第16步:实施监管和保障流程。 | 委员会 |
第16a步:审查监管和保障流程与使用条款协议(CUA)一致。 | 委员会 |
第17步:向澳大利亚信息委员办公室报告数据侵权(当数据带标识时)。 | 委员会 |
第18步:确保评价和项目的保密。 | 委员会 |
二、数据治理
(一)数据治理模式
为了监管MHR系统数据的可用性、访问和发布、易用性、一致性和安全性,需要建立相关的治理措施。最重要的是,委员会将要确保MHR数据的安全,数据质量值得信赖,并且每当有不适当的数据发布导致的不良事件发生时,都要找到事件责任人。
指导原则
澳大利亚卫生和福利学会(AIHW)是实施框架的数据监管者。
个人健康档案二次利用治理委员会负责实施框架。
委员会不参与MHR系统数据的一次使用,这属于MHR系统管理员的职责。
委员会将由来自澳大利亚卫生和福利学会、澳大利亚数字医疗机构(承担系统管理员的职责)的代表组成,还有人口/流行病、研究、卫生服务提供、相关技术、数据科学、数据治理和隐私、患者权益保护等方面的独立专家组成。
土著居民和托雷斯海峡岛民咨询小组的主席将成为委员会的成员。
委员会将监管MHR系统数据二次利用基础设施的研发和运行。
委员会将
评估仅进行二次利用而访问MHR系统数据的申请。
如有可能,优先利用现有的实体,需提前考虑他们的职能范围和限制性因素。
听取以下各方面的建议:
土著居民和托雷斯海峡岛民咨询小组推举的专家代表(关于数据访问和相关研究的各个方面);数据管理委员会(主要负责运行相关问题,包括数据的获取、处理和准备。其职能包括设置数据请求的优先级,讨论数据提供和链接方面的问题和困难,为数据集优先级管理以及决策提供参考意见);患者小组(提供公众视角,其职能包括为如何与公众进行交互、数据保护和患者权益保护导向的研究等方面的观点等提供建议;部门建议小组,由卫生、研究、数据管理、技术部门等部门领导提供战略建议,其目标将是保障潜在利益的最大化)。按照自治管理和灵活性的原则,建立其他相关小组、委员会,听取独立的专家意见。
不参与MHR系统数据一次使用或《MHR法案》授权给其他授权的使用,这些都是系统管理员的职责。
(二)数据访问控制策略
患者数据控制功能包括患者可以删除不想共享的文档、设置记录访问密码(患者能将密码提供给医疗保健服务提供单位,从而允许他们访问记录),以及限制和自定义对特定文档的访问。 患者还可以通过接收电子邮件或SMS通知参与针对一些活动,例如当新的医疗保健提供单位第一次访问他们的记录时(通知患者)。患者也可以随时移除自己的MHR数据。
指导原则
- 患者可以将自己的数据从二次利用目的中剔除出去。
拥有MHR的个人患者可以使用患者访问控制机制,通过点击“退出参与”按钮,就可以选择不将他们的MHR系统数据用于二次利用目的。通过这种方式,患者可以选择既拥有MHR,又不将其数据用于研究和公共卫生目的。
随着时间的推移,将探讨转向患者动态同意模型的可行性,以便患者可以根据具体情况来决定允许或不允许访问定义的二次利用。即使患者没有选择“不允许使用其MHR系统数据”,他们还可以通过使用患者控制设置为“限制访问”,他们已删除的数据或文档也不会被用于二次利用目的的检索。
此外,如果患者最初选择为允许二次利用MHR,但后来取消了其记录数据,那么取消记录中的数据也将不会被检索用于二次利用目的。
众所周知,澳大利亚患者的卫生知识水平和卫生系统的使用水平都千差万别,在实施批准流程时还需要考虑这一点。
三、数据访问申请及利用
(一)数据访问申请
《MHR法案》没有限定哪些类型的应用可以访问MHR系统数据用于二次利用。 框架则专门考虑了各类应用程序的可能访问权限,包括那些不在法律限定范围内的应用程序。
指导原则
委员会将主要根据数据的使用情况来评估申请,而不是用户。
委员会将采用“案例和先例”的方法来确定准许或不准许二次利用。
任何澳大利亚实体机构(保险机构除外)均可申请访问MHR系统数据以供二次利用,但须符合本框架规定的准则。
不在澳大利亚的申请者可以在有限的情况下参与MHR系统数据的二次利用。
委员会将使用“安全五原则” 来评估申请。
已经进行二次利用的MHR数据不得离开澳大利亚; 不过,使用MHR系统数据进行数据分析的数据结果和报告,一定范围内可在国际上共享。
委员会将:
对申请者采用“安全五原则”中的人员原则,评审他们的知识、技能和激励措施,以适当地存储和使用数据。
将应用下列条件评估涉及海外申请者的申请:
• 海外申请人必须与选定某一澳大利亚申请者进行项目合作;• 申请应阐明,该数据使用将为澳大利亚人带来公共卫生效益;• 直接访问或发布MHR数据仅适用于澳大利亚实体机构;• 发布用于二次利用的MHR数据应存储在澳大利亚境内的设施中;• 申请团队中海外申请人签署使用条款协议(CUA),必须符合澳大利亚的数据管理和安全要求。除“隐私法”中的相关条款外,还应符合其他法律法规,例如,《澳大利亚隐私原则》(APP)中涉及个人信息的跨境(海外)披露的规定。
(二)数据访问与发布
委员会将确保围绕访问和发布数据的决策也符合指导其他公共卫生系统数据决策这一原则。
信息专员表示,将各类型的大型数据集去标识向全世界发布将面临极其严重的困难。不仅需要确定信息是否已经在适合公开发布的范围内被去除识别,还需要进行仔细、专业的独立评估。因此,框架不建议向全世界发布关于个人的任何MHR数据集。
指导原则
如果数据存在于其他公共数据集中,委员会将确保应用于访问的原则与其他数据集的应用原则一致。
委员会将使用“案例和先例”方法来确定数据是否属于“单纯商业用途”。
委员会将专门考虑如何使用有关土著和托雷斯海峡岛民和社区的数据。
如果申请者寻求从另一个储存库访问数据 - 例如,医疗保健福利项目(Medicare Benefits Schedule)或药品福利项目(Pharmaceutical Benefits Schedule)数据 - 他们将被转托给这些系统的数据保管人。
委员会将
根据澳大利亚政府卫生部数据访问和发布政策,对访问和/或发布数据的申请做出决定。
使用符合卫生部数据访问和发布政策的“安全五原则”对每项申请进行风险评估。
评估每项申请,以确保遵守所有相关法律。
考虑应用国家健康与医学研究委员会(NHMRC)发布的文件《土著和托雷斯海峡岛民和社区道德行为研究:研究人员和利益相关者指南》中的原则。
确保存在于其他公共数据集中的数据,申请者的访问原则与其他数据集中应用的原则一致。 例如,MBS(医疗保健福利项目)和PBS(药品福利项目)数据可以在MHR系统中查看,也可以在澳大利亚政府公众服务部管理的公共数据集中找到。
考虑从海外使用公共数据资产中引进更好的实践原则。
(三)数据请求及访问流程
委员会将确保MHR系统数据的请求和访问流程标准化、高效率和透明性。
根据澳大利亚《隐私法案》和《1987年澳大利亚健康与福利法案(AIHW法案)》,澳大利亚健康与福利学会(AIHW)负责管理其所拥有的数据。同时需要考虑《AIHW法案》和《AIHW伦理道德委员会规范》,以确定AIHW道德委员会在请求和访问MHR系统数据以供二次利用方面的适当作用。
指导原则
对于涉及带有标识数据的申请,根据2012年《个人健康档案法案》和1988年《隐私法案》的规定,委员会将要求申请者获取或发布数据之前应得到伦理规范委员会的批准。
对于涉及去识别数据的申请,委员会可能需要获得伦理规范的批准才能访问或发布数据。
委员会将与申请相关的政府机构、数据保管人及伦理规范委员会紧密合作,在处理申请时尽可能减少不必要的重复工作,避免额外成本和时间延迟。
在数据发布之前,委员会将要求被批准的申请人签署使用条款协议(CUA)。
委员会将
与澳大利亚健康与福利学会(AIHW)合作开发电子流程,以便用于MHR数据二次利用的申请程序。
与申请相关的政府机构、数据保管人及伦理委员会紧密合作,在处理申请时尽可能避免重复工作、额外成本和(/或)时间延迟。
在获得伦理规范批准后,还应让申请者得到数据拥有者同意对数据的使用。
在决定去标识数据的使用需要考虑哪些伦理规范时,考虑国家健康与医学科研委员会发布的各种报告、原则和指南。
评审当申请被拒绝后的评审请求。 评审结果将公布在公共登记名册上。
不能作为伦理委员会的成员,只能判定是否需要获得伦理评估。伦理评估需要从AIHW伦理委员会获得。
(四)数据关联
数据关联可以提供关于治疗和临床护理的有效性和安全性的重要信息。但它同时也会给个人隐私带来额外风险。例如,研究人员可能希望将MHR系统数据与临床试验参与者的数据库联系起来,用以调查随后住院情况、发病率和死亡率等。 数据也可以链接到其他数据集,如医院信息数据、MBS(医疗保健福利项目)和PBS(药品福利项目)和登记数据。
在澳大利亚,为确保个人患者的隐私,有许多经认证的数据关联集成机构。 这些组织承担高风险数据集成项目。他们需要在其网站上提供所有已批准项目的概要。澳大利亚还有许多数据关联单位。澳大利亚健康与福利学会(AIHW)既是数据关联单位又是被认可的数据关联整合权威机构。
指导原则
一旦申请人的数据使用被评估为公共利益,委员会可以允许将MHR系统数据与其他数据源关联起来。
土著和托雷斯海峡岛民标识数据的数据关联将使用特定的流程。
委员会将:
让具有适当经验和背景的专家参与数据关联和有关主题,以批判性地方式评估申请,包括:
• 任何数据关联是否有其他方法来实现所需的项目成果?是否可以使用现有的合并数据集完成项目?• 将要整合的数据的深度和广度以及较低的关联水平是否能达到申请者预期的结果?基于《隐私法案》和《隐私准则》,考虑与申请相关的隐私风险,特别强调风险管理方法。
在进行风险评估时,要遵循统计和研究目的的英联邦数据整合准则:风险评估指南。
确保在构建数据关联时,只能访问最终数据集。
根据风险评估确定最合适的数据关联方法。
在评估风险较高的情况下,需使用澳大利亚认可的数据关联集成权威机构。对于所有其他评估类别,澳大利亚认可数据关联集成机构或数据关联单位将为申请者进行必要的数据关联。
在批准提供MHR系统数据实施数据关联之前,需要获得伦理规范的批准。
将MHR系统数据与其他批准的数据集联系时要求遵循分离原则。
四、保障及管理
(一)个人隐私保护流程
数据重新识别是指数据在以去标识形式发布后,再与其真实所有者进行匹配的过程。除了可能对个人造成的潜在伤害或尴尬之外,数据重新识别的实例还有可能侵蚀数据保管者的社会权益,而数据保管者的任务是促进合法二次利用公共数据。
确实有必要保护个人隐私,但适当的去识别方法会使重新识别的风险非常低。还有必要平衡最大化使用数据带来的好处与有可能侵犯个人隐私或对个人造成伤害。
指导原则
要认识到数据的去识别是一个动态和持续的过程。
随着技术和数据科学的发展,委员会要努力跟上这些发展变化,以便尽可能预测新的隐私威胁,并利用这些知识来改进数据使用申请的评估。
经过验证的方法可以将侵犯个人隐私的风险降低到非常低的水平。
委员会将定期重新考虑有关二次利用MHR系统数据的隐私保护流程。 也将特别考虑公共领域现有的个人数据的应用情况。
作为正在评审框架的持续过程的一部分(第一次评审发生在运营两年后),将根据委员会的“案例和先例”经验重新考虑和修改允许和不允许使用的清单。
委员会将:
确保在申请人可以访问任何数据之前都已经应用最新的去识别方法和技术。
评估每项申请的独特特征,包括考虑先前构建的各类数据关联(参见第六章“数据关联”)。 所考虑的方法和技术将包括但不限于下列:
• 分离原则(包括确保可识别数据能够始终单独提交到MHR数据库);• 国家统计局(National Statistical Service)提供的申请原则,确保在发布之前保证数据的机密性 - 例如,合并或折叠类别;• 使用统计链接关键词(Statistical Linkage Keys)或其他可用的链接方法;• 使用安全环境,使得批准的数据用户能够访问和分析远程访问安全计算环境中的请求数据;• 应用专家测定方法(the Expert Determination Method);• 应用安全港方法(application of the Safe Harbour Method)。在获取MHR数据之前,需要专家确认保证重新识别的风险非常低。
以合同方式要求及时向澳大利亚信息委员会办公室(OAIC)报告任何数据泄露/丢失,包括有关采取补救措施的建议(例如通知受影响的个人)。
(二)数据提供及数据质量保证
在评估每项申请时,委员会将在考虑风险的前提下,利用最合适的方法促进数据可用。
数据质量也对数据用户有直接影响。数据不完整或不准确可能会导致不利或无效结果,这将对公众利益产生意外甚至有害影响。 由于MHR系统包含从其他系统提取的数据和直接输入的自由文本,因此数据质量千差万别。
对基于动态许可协议(the evolving dynamic consent arrangements)的数据的偏差进行评估也很重要。
指导原则
委员会将确保在准备和提供二次利用数据过程中保护个人隐私。
委员会将确保提供数据的质量,能够实现申请项目设定的目标。
委员会将:
确保通过常规发布方式、开发通用数据集(包含汇总数据的数据立方体)等途径使数据公开可用。
确保使用最新的方法准备和提供数据。
在申请过程中,在确定最合适的MHR数据提供方法时,请考虑以前的数据关联活动(参见第6章“数据关联”)。
依据数据适用性定期编制数据质量通报(DQS),内容包括有关范围(例如时间区间、数据类型、范围覆盖水平、完整性和准确性)的任何已知限制的信息。对于撤回其同意参与二次利用的用户,需要从MHR系统获得相应的人口统计特征数据,用以编写DQS。
(三)监管和保障流程
一旦批准申请人二次利用MHR系统数据,就要制定监管措施,确保其遵守使用条款协议(CUA),防止未经批准的数据使用或处理。
指导原则
委员会将制定一系列流程,向利益相关方和公众保证,获批的申请人仅将MHR系统数据用于经批准的二次利用目的。
项目评估风险越高,“使用条款协议”(CUA)中要求的监管行为就越详细。
委员会将:
制定监管措施,当批准申请人二次利用MHR系统数据时,确保其遵守使用条款协议(CUA),防止未经批准的数据使用或处理。
使用申请者风险管理计划对每项申请进行风险评估,以告知要执行的监督和保证活动的性质和程度(除了第6章“数据关联”中确定的风险评估)。 风险评估也将考虑但不限于:
• 访问和存储数据的约定;• 应采取措施防止数据滥用、丢失或未经授权的访问;• 采取措施对创建或生成的数据集/信息的存储和/或销毁进行约定,包括存留期限和销毁方法。通过CUA,要求申请者遵循流程,评估数据开发是否符合批准的用途。
采取定期监管和保障措施,以确保数据使用符合CUA。监管合规活动可能包括但不限于:
• 定期评估CUA中的每项条款是否合规。每项条款至少每年评估一次,并在批准使用完成时再进行一次;• 申请者提交年度自评估,概括对CUA的合规性;• 要求被批准的申请者与经认证的第三方的独立评审机构合作确认是否CUA合规。评审机构要能证明自己在这方面具有专业技能。
(四)降低风险策略及处罚措施
如果申请者在“隐私法案”约束的范围内,他就有明确义务来保护个人隐私,并告知相关的隐私泄露。
根据《MHR法案》和2010年《医疗保健法案(HI法案)》,对于MHR系统或医疗保健服务中的信息滥用,以及破坏MHR系统的安全性和完整性等活动将受到严厉处罚(不适用于意外滥用)。
此外,根据《隐私法案》,所有年营业额超过300万美元的企业和非盈利机构都有隐私保护的责任(但有一些例外情况)。 《隐私法案》不适用于州或领地政府的机构,包括州和领地公立医院和医疗机构(这些机构为州和领地的法律所涵盖),除非特别指明的某些MHR和医疗保健机构的某些行为和做法,以及受澳大利亚隐私保护法约束的其他申请者。
指导原则
委员会将确保最大限度地降低与每项二次利用申请相关的风险,并给予适用建议处罚,确保将个人隐私风险降低到可接受的水平。
委员会将:
发布数据安全基础结构必须满足的最低要求,这些要求将基于风险和多层次。
对于MHR系统数据二次利用的获取请求,建立并维护一个公共登记库,内容包括:
• 申请日期• 申请者的详细情况• 申请的状态• 伦理规范许可(如果有要求)• 简明陈述(用英语)关于申请结果及完成后可能取得的成果• 监管数据(例如年度合规报告、数据泄露报告、独立合规认证、项目完成报告)• 完成日期• 生成的结果发布将现有《MHR法案》的处罚条款纳入使用条款协议(CUA)中,并确保申请者接受和理解条件、任何违反条件的严重后果,以及可能的处罚。
作为CUA的一部分,要求任何尚未受《隐私法》(不包括州和地区当局和工具)约束的申请人的信息加入并保管在信息委员会(OAIC)选择的登记库中,使其受《隐私法案》和《隐私原则》的约束。
附录一 医疗数据二次利用实例
下面是三个医疗数据二次利用的事例:
(一)叶酸的故事
1989年,西澳大利亚的研究人员将来自不同登记处的健康数据关联起来,发现了在孕妇饮食中加入叶酸可防止婴儿出现神经管畸形。基于这一发现,澳大利亚随后开展了一系列教育宣传活动,鼓励女性在怀孕期间多吃富含叶酸的食物或服用叶酸补充剂。
2007年,所有澳大利亚政府部门(英联邦政府、州和领地政府)都同意采用叶酸强制浓缩面包制作,以减少儿童脊柱裂和其他神经管缺陷的发生。自从采取这一措施以来,澳大利亚的神经管缺陷发生率显着下降(下降了14.4%)。青少年的神经管缺陷率下降了近55%。在土著和托雷斯海峡岛民中,女性神经管缺陷率则下降了74%。
(二)评估澳洲广播公司“催化剂节目”的影响
2013年,澳洲广播公司播出了一个由两部分组成的“特别催化剂节目(Catalyst program)”,该节目质疑高胆固醇水平与心血管疾病之间的关联关系,并认为,他汀类药物的益处被夸大,而危害被低估。据统计,近150万澳大利亚人已经观看了该节目的全部内容。
通过“药物益处计划”的研究,利用随机抽样10%的数据进行时间序列分析来评估这一广播节目的影响。经过分析发现,按照“催化剂节目”的说法,他汀类药物的比例减少了2.6%,相当于每周在澳大利亚分发的药品减少了14,005片。进一步分析发现,在该节目播出的第一周,停用他汀类药物的人数增加了28.8%(每周用药量减少9%)。尽管“催化剂节目“曾警示过其内容不应被视为医疗建议,并且还有公众对该节目了批评,但人们的行为方式还是发生了变化。
(三)对患有糖尿病的土著和托雷斯海峡岛民实施基本医疗的成本效益分析
2014年,研究人员将北部领地(即土著和托雷斯海峡岛民)基本医疗信息系统的信息与入院数据进行了对比。随后,将有关基本医疗费用信息(来自北部领地政府审计系统)进行数据综合和进一步分析。经常去当地看医生的糖尿病患者发现潜在的可避免疾病的住院率和死亡率较低。
这项研究提供的新证据表明,患者在使用改进的基本医疗服务时可以获得更好的健康结果。这为卫生系统节省了大量成本。住院治疗的节省为基本医疗提供了一个衡量物有所值的标准,并为政府基金在澳大利亚偏远地区的基本医疗投资提供了一个新的、令人信服的理由。
附录二 个人医疗数据潜在二次利用的实例
以下是三个假设的例子,说明如何能够二次利用个人健康档案(MHR)数据,从而获得对澳大利亚卫生系统内医疗和临床护理的有效性和安全性的新见解。
(一)加强对新药品的上市后监督力度
在澳大利亚,药品和医疗器械公司上市新的药品必须提供其产品的安全性和有效性的临时证明。该证明可与MHR系统数据相结合,以进一步监测新产品在普通人群中的“行踪”,并提供消费药品更全面的“真实世界行为”动态(即超出临床试验的严重监控行为)。 此类分析可能会揭示新产品的意外的不良影响(或益处)。
(二)改善患者路径的研究
MHR系统数据将作为分析人们如何使用澳大利亚卫生系统的第一个数据集。 对MHR数据可以进行时间序列分析(time series analyses)或多服务提供者分析(multi-service provider analyses),这些都可能会产生新的见解,甚至可以为未来的卫生系统规划者提供一定程度的“预测”能力。
(三)增强对群体健康事务的感知和洞察
来自MHR系统的去识别数据可以安全地与来自其他政府系统的去识别数据集成到一起用于公益服务。例如,可以安全地将特定城市中的去识别的MHR数据、移民数据和医院入院数据联系起来,以判定长途飞行是否更容易形成深静脉血栓。
声明:本文来自国家信息中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。