The standard way of protecting such

Cách tiêu chuẩn để bảo vệ thông tin như vậy là để loại bỏ bệnh nhân tên và địa chỉ từ hồ sơ của họ, và do đó làm cho họ ẩn danh. Nhưng điều này hiếm khi đủ. Nếu cơ sở dữ liệu cho phép truy vấn đủ chi tiết, sau đó cá nhân vẫn có thể xác định, và điều này đặc biệt vì vậy, nếu các thông tin về tập lâm sàng khác nhau có thể được liên kết. Ví dụ, nếu tôi cố gắng để tìm ra cho dù một chính trị gia sinh vào những tháng 2, 1946, và được điều trị cho một xương gãy cổ sau khi một trò chơi bóng đá trường đại học vào tháng 8 năm 1967, kể từ khi đã được điều trị cho các vấn đề ma túy hoặc rượu, và tôi có thể làm cho một yêu cầu vào những ngày tháng hai, sau đó tôi có thể rất có thể kéo ra một hồ sơ y tế duy nhất từ cơ sở dữ liệu quốc gia. Thậm chí nếu ngày sinh thay thế bằng một năm ra đời, tôi vẫn còn có khả năng để có thể thỏa hiệp sự riêng tư của bệnh nhân nếu các hồ sơ được chi tiết hoặc nếu hồ sơ của cá nhân khác nhau có thể được liên kết. Ví dụ, một truy vấn như "cho tôi xem các bản ghi của tất cả phụ nữ ở độ tuổi 36 với con gái ở độ tuổi 14 và 16, như vậy mà các bà mẹ và đúng một gái có bệnh vẩy nến" cũng có thể thu hẹp việc tìm kiếm một gia đình ra khỏi hàng triệu. Và, các truy vấn phức tạp với nhiều điều kiện chính xác các loại mà các nhà nghiên cứu muốn thực hiện. Vì lý do này, các Hoa Kỳ chăm sóc sức khỏe tài chính quản trị (HCFA), mà là trách nhiệm thanh toán các bác sĩ và bệnh viện điều trị được cung cấp theo chương trình Medicare, duy trì ba bộ hồ sơ. Không có hồ sơ hoàn chỉnh, được sử dụng để thanh toán. Có những hồ sơ thụ hưởng mã hóa, với chỉ bệnh nhân tên và số an sinh xã hội bị che khuất. Những hồ sơ này vẫn được coi là các dữ liệu cá nhân (như họ vẫn còn có ngày sinh, mã bưu chính và như vậy) và do đó chỉ có thể sử dụng bởi các nhà nghiên cứu đáng tin cậy. Cuối cùng không có hồ sơ truy cập công cộng đã được tháo bỏ định danh xuống mức ở những bệnh nhân được xác định chỉ nói chung điều khoản như ' một phụ nữ da trắngSecurity Engineering: A Guide to Building Dependable Distributed Systems173aged 70–74 living in Vermont.’ Nonetheless, researchers have found that many patients can still be identified by cross-correlating the public access records with commercial databases, and following complaints by privacy advocates, a recent report from the General Accounting Office criticized HCFA for lax security [333]. Many other countries have healthcare monitoring systems that use similar technologies. New Zealand has a national database of encrypted-beneficiary medical records, with access restricted to a small number of specially cleared medical statisticians. No query is answered with respect to fewer than six records [584]. Germany has very strict privacy laws, and the fall of the Berlin Wall forced the former East German cancer registries to install protection mechanisms rapidly [118]. In other countries, protection has been less adequate. Britain’s National Health Service started out with strict guidelines but then built a number of centralized databases that make personal health information widely available within government, and that have led to confrontation with doctors [32]. Similar systems in Switzerland were replaced at the insistence of local privacy regulators [685]. The most controversial of all has been a genetic database in Iceland, which I’ll discuss shortly. De-identifying personal information is important in many other fields. Under the rubric of privacy enhancing technology (PET), it is being promoted actively by regulators in Europe and Canada as a general privacy mechanism (along with smartcards, encryption, and a few other tools). But, as the medical examples show, there can be serious tension between the desire of researchers for detailed data, and the right of patients (or other data subjects) to privacy. It is important to understand what can, and what cannot, be achieved with this technology.

Cách tiêu chuẩn của bảo vệ thông tin như vậy là để loại bỏ tên và địa chỉ của bệnh nhân từ hồ sơ của họ, và do đó làm cho chúng vô danh. Nhưng điều này hiếm khi đủ. Nếu một cơ sở dữ liệu cho phép truy vấn đủ chi tiết, sau đó cá nhân vẫn có thể được xác định, và điều này đặc biệt đúng nếu thông tin về tập lâm sàng khác nhau có thể được liên kết. Ví dụ, nếu tôi đang cố gắng tìm hiểu xem một chính trị gia sinh ngày 02 tháng sáu năm 1946, và điều trị cho một cổ xương bị gãy sau một trận bóng đá trường đại học trên 08 tháng 5 1967, từ đó đã được điều trị các vấn đề về ma túy hoặc rượu, và tôi có thể làm một cuộc điều tra trên hai ngày, sau đó tôi rất có thể có thể kéo ra một hồ sơ bệnh án duy nhất từ một cơ sở dữ liệu quốc gia. Thậm chí nếu ngày sinh được thay thế bằng một năm sinh, tôi vẫn còn có khả năng để có thể thỏa hiệp sự riêng tư của bệnh nhân nếu các hồ sơ được chi tiết hoặc nếu hồ sơ của các cá nhân khác nhau có thể được liên kết. Ví dụ, một truy vấn như "cho tôi xem hồ sơ của tất cả phụ nữ ở độ tuổi 36 với con gái ở độ tuổi 14 và 16, như vậy mà người mẹ và chính xác một con gái có bệnh vẩy nến" cũng có khả năng để thu hẹp tìm kiếm trong một gia đình ra khỏi hàng triệu người. Và, các truy vấn phức tạp với nhiều điều kiện chính là những loại mà các nhà nghiên cứu muốn thực hiện. Vì lý do này, chăm sóc sức khoẻ tài chính chính quyền Mỹ (HCFA), trong đó có trách nhiệm nộp các bác sĩ và bệnh viện để điều trị cung cấp theo chương trình Medicare, duy trì ba bộ hồ sơ. Có hồ sơ đầy đủ, được sử dụng để thanh toán. Có hồ sơ thụ hưởng được mã hóa, với những cái tên chỉ có bệnh nhân và số an sinh xã hội che khuất. Những hồ sơ này vẫn được coi là dữ liệu cá nhân (như họ vẫn còn có ngày tháng năm sinh, mã bưu chính, vv) và như vậy chỉ có thể sử dụng bởi các nhà nghiên cứu đáng tin cậy. Cuối cùng đó là những hồ sơ truy cập công cộng mà đã bị tước bỏ định xuống tới mức mà bệnh nhân chỉ được xác định một cách chung chung như "một phụ nữ da trắng
Kỹ thuật An ninh: Một hướng dẫn để xây dựng cậy Hệ thống phân phối
173
tuổi 70-74 sống ở Vermont . ' Tuy nhiên, các nhà nghiên cứu đã tìm thấy rằng nhiều bệnh nhân vẫn có thể được xác định bởi chéo tương quan các hồ sơ truy cập công cộng với cơ sở dữ liệu thương mại, và sau khiếu nại của những người ủng hộ quyền riêng tư, một báo cáo gần đây từ các cơ quan kiểm định chỉ trích HCFA cho an ninh lỏng lẻo [333]. Nhiều quốc gia khác có hệ thống giám sát y tế có sử dụng công nghệ tương tự. New Zealand có một cơ sở dữ liệu quốc gia về hồ sơ y tế được mã hóa thụ hưởng, có quyền truy cập hạn chế trong một số ít các nhà thống kê y tế đặc biệt xóa. Không có truy vấn được trả lời liên quan đến ít hơn sáu hồ sơ [584] với. Đức có luật lệ riêng tư rất nghiêm ngặt, và sự sụp đổ của Bức tường Berlin buộc cựu quan đăng ký ung thư của Đông Đức để cài đặt cơ chế bảo vệ nhanh chóng [118]. Ở các nước khác, bảo vệ đã được ít đủ. Dịch vụ Y tế Quốc gia của Anh bắt đầu với hướng dẫn nghiêm ngặt nhưng sau đó xây dựng một số cơ sở dữ liệu tập trung mà làm cho thông tin sức khỏe cá nhân phổ biến rộng rãi trong chính phủ, và đã dẫn đến cuộc đối đầu với các bác sĩ [32]. Hệ thống tương tự ở Thụy Sĩ đã được thay thế ở sự khăng khăng của nhà quản lý quyền riêng tư của địa phương [685]. Các tranh cãi nhất của tất cả đã được cơ sở dữ liệu di truyền ở Iceland, mà tôi sẽ thảo luận ngay. De-thông tin nhận dạng cá nhân là quan trọng trong nhiều lĩnh vực khác. Theo các phiếu đánh giá của công nghệ riêng tư tăng cường (PET), nó đang được xúc tiến tích cực của nhà quản lý ở châu Âu và Canada như là một cơ chế bảo mật chung (cùng với thẻ thông minh, mã hóa, và một vài công cụ khác). Nhưng, như các ví dụ y tế cho thấy, có thể có sự căng thẳng nghiêm trọng giữa những mong muốn của các nhà nghiên cứu cho dữ liệu chi tiết, và quyền của bệnh nhân (hoặc các đối tượng dữ liệu khác) đến sự riêng tư. Điều quan trọng là phải hiểu những gì có thể, và những gì không thể, đạt được với công nghệ này.