ISO 25237:2017
(Main)Health informatics — Pseudonymization
Health informatics — Pseudonymization
ISO 25237:2017 contains principles and requirements for privacy protection using pseudonymization services for the protection of personal health information. This document is applicable to organizations who wish to undertake pseudonymization processes for themselves or to organizations who make a claim of trustworthiness for operations engaged in pseudonymization services. ISO 25237:2017 - defines one basic concept for pseudonymization (see Clause 5), - defines one basic methodology for pseudonymization services including organizational, as well as technical aspects (see Clause 6), - specifies a policy framework and minimal requirements for controlled re-identification (see Clause 7), - gives an overview of different use cases for pseudonymization that can be both reversible and irreversible (see Annex A), - gives a guide to risk assessment for re-identification (see Annex B), - provides an example of a system that uses de-identification (see Annex C), - provides informative requirements to an interoperability to pseudonymization services (see Annex D), and - specifies a policy framework and minimal requirements for trustworthy practices for the operations of a pseudonymization service (see Annex E).
Informatique de santé — Pseudonymisation
ISO 25237:2017 établit un certain nombre de principes et d'exigences visant à garantir la protection de la vie privée, grâce à des services de pseudonymisation ayant pour objet de protéger les informations de santé à caractère personnel. Le présent document est applicable aux organismes qui souhaitent s'engager dans des processus de pseudonymisation pour eux-mêmes et aux organismes qui se déclarent dignes de confiance pour engager des opérations dans des services de pseudonymisation. ISO 25237:2017: - définit un concept de base pour la pseudonymisation (voir Article 5); - définit une méthodologie de base pour les services de pseudonymisation, y compris au niveau des aspects organisationnels et techniques (voir Article 6); - spécifie un cadre politique et des exigences minimales pour la ré-identification contrôlée (voir Article 7); - donne une vue d'ensemble des différents cas d'utilisation où l'opération de pseudonymisation peut être réversible ou irréversible (voir Annexe A); - fournit un guide pour l'évaluation des risques en cas de ré-identification (voir Annexe B); - donne un exemple de système qui utilise la désidentification (voir Annexe C); - fournit des exigences informatives pour l'interopérabilité des services de pseudonymisation (voir Annexe D); et - spécifie un cadre politique et des exigences minimales favorisant des pratiques fiables pour un service de pseudonymisation (voir Annexe E).
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 25237
First edition
2017-01
Health informatics —
Pseudonymization
Informatique de santé — Pseudonymisation
Reference number
ISO 25237:2017(E)
©
ISO 2017
---------------------- Page: 1 ----------------------
ISO 25237:2017(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2017, Published in Switzerland
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO 2017 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 25237:2017(E)
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Abbreviated terms . 6
5 Requirements for privacy protection of identities in healthcare . 7
5.1 Objectives of privacy protection . 7
5.2 General . 7
5.3 De-identification as a process to reduce risk . 8
5.3.1 General. 8
5.3.2 Pseudonymization . 8
5.3.3 Anonymization . 9
5.3.4 Direct and indirect identifiers . 9
5.4 Privacy protection of entities . 9
5.4.1 Personal data versus de-identified data . 9
5.4.2 Concept of pseudonymization .11
5.5 Real world pseudonymization .13
5.5.1 Rationale .13
5.5.2 Levels of assurance of privacy protection .14
5.6 Categories of data subject .16
5.6.1 General.16
5.6.2 Subject of care .16
5.6.3 Health professionals and organizations .16
5.6.4 Device data .16
5.7 Classification data .17
5.7.1 Payload data .17
5.7.2 Observational data .17
5.7.3 Pseudonymized data .17
5.7.4 Anonymized data .17
5.8 Research data .17
5.8.1 General.17
5.8.2 Generation of research data .18
5.8.3 Secondary use of personal health information .18
5.9 Identifying data .18
5.9.1 General.18
5.9.2 Healthcare identifiers .18
5.10 Data of victims of violence and publicly known persons .19
5.10.1 General.19
5.10.2 Genetic information .19
5.10.3 Trusted service .19
5.10.4 Need for re-identification of pseudonymized data .19
5.10.5 Pseudonymization service characteristics .20
6 Protecting privacy through pseudonymization .20
6.1 Conceptual model of the problem areas .20
6.2 Direct and indirect identifiability of personal information .21
6.2.1 General.21
6.2.2 Person identifying variables .21
6.2.3 Aggregation variables .21
6.2.4 Outlier variables .22
6.2.5 Structured data variables .22
6.2.6 Non-structured data variables .23
© ISO 2017 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO 25237:2017(E)
6.2.7 Inference risk assessment .23
6.2.8 Privacy and security .24
7 Re-identification process .24
7.1 General .24
7.2 Part of normal procedures .24
7.3 Exception.24
7.4 Technical feasibility .25
Annex A (informative) Healthcare pseudonymization scenarios .26
Annex B (informative) Requirements for privacy risk analysis .39
Annex C (informative) Pseudonymization process (methods and implementation) .49
Annex D (informative) Specification of methods and implementation .55
Annex E (informative) Policy framework for operation of pseudonymization services
(methods and implementation) .56
Annex F (informative) Genetic information .60
Bibliography .61
iv © ISO 2017 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 25237:2017(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity assessment,
as well as information about ISO’s adherence to the World Trade Organization (WTO) principles in the
Technical Barriers to Trade (TBT) see the following URL: www . i so .org/ iso/ foreword .html.
The committee responsible for this document is ISO/TC 215, Health informatics.
© ISO 2017 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO 25237:2017(E)
Introduction
Pseudonymization is recognized as an important method for privacy protection of personal health
information. Such services may be used nationally, as well as for trans-border communication.
Application areas include, but are not limited to:
— indirect use of clinical data (e.g. research);
— clinical trials and post-marketing surveillance;
— pseudonymous care;
— patient identification systems;
— public health monitoring and assessment;
— confidential patient-safety reporting (e.g. adverse drug effects);
— comparative quality indicator reporting;
— peer review;
— consumer groups;
— field service.
This document provides a conceptual model of the problem areas, requirements for trustworthy
practices, and specifications to support the planning and implementation of pseudonymization services.
The specification of a general workflow, together with a policy for trustworthy operations, serve
both as a general guide for implementers but also for quality assurance purposes, assisting users of
the pseudonymization services to determine their trust in the services provided. This guide will serve
to educate organizations so they can perform pseudonymization services themselves with sufficient
proficiency to achieve the desired degree of quality and risk reduction.
vi © ISO 2017 – All rights reserved
---------------------- Page: 6 ----------------------
INTERNATIONAL STANDARD ISO 25237:2017(E)
Health informatics — Pseudonymization
1 Scope
This document contains principles and requirements for privacy protection using pseudonymization
services for the protection of personal health information. This document is applicable to organizations
who wish to undertake pseudonymization processes for themselves or to organizations who make a
claim of trustworthiness for operations engaged in pseudonymization services.
This document
— defines one basic concept for pseudonymization (see Clause 5),
— defines one basic methodology for pseudonymization services including organizational, as well as
technical aspects (see Clause 6),
— specifies a policy framework and minimal requirements for controlled re-identification (see
Clause 7),
— gives an overview of different use cases for pseudonymization that can be both reversible and
irreversible (see Annex A),
— gives a guide to risk assessment for re-identification (see Annex B),
— provides an example of a system that uses de-identification (see Annex C),
— provides informative requirements to an interoperability to pseudonymization services (see
Annex D), and
— specifies a policy framework and minimal requirements for trustworthy practices for the operations
of a pseudonymization service (see Annex E).
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 27799, Health informatics — Information security management in health using ISO/IEC 27002
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— IEC Electropedia: available at http:// www .electropedia .org/
— ISO Online browsing platform: available at http:// www .iso .org/ obp
3.1
access control
means of ensuring that the resources of a data processing system can be accessed only by authorized
entities in authorized ways
[SOURCE: ISO/IEC 2382:2015, 2126294]
© ISO 2017 – All rights reserved 1
---------------------- Page: 7 ----------------------
ISO 25237:2017(E)
3.2
anonymization
process by which personal data (3.37) is irreversibly altered in such a way that a data subject can no
longer be identified directly or indirectly, either by the data controller alone or in collaboration with
any other party
Note 1 to entry: The concept is absolute, and in practice, it may be difficult to obtain.
[SOURCE: ISO/IEC 29100:2011, 2.2, modified.]
3.3
anonymized data
data (3.14) that has been produced as the output of an anonymization (3.2) process
[SOURCE: ISO/IEC 29100:2011, 2.3, modified.]
3.4
anonymous identifier
identifier (3.27) of a person which does not allow the identification (3.26) of the natural person (3.34)
3.5
authentication
assurance of the claimed identity
3.6
attacker
person deliberately exploiting vulnerabilities in technical and non-technical security controls in order
to steal or compromise information systems and networks, or to compromise availability to legitimate
users of information system and network resources
[SOURCE: ISO/IEC 27033-1:2015, 3.3]
3.7
ciphertext
data (3.14) produced through the use of encryption, the semantic content of which is not available
without the use of cryptographic techniques
[SOURCE: ISO/IEC 2382:2015, 2126285]
3.8
confidentiality
property that information (3.29) is not made available or disclosed to unauthorized individuals, entities
or processes
[SOURCE: ISO 7498-2:1989, 3.3.16]
3.9
content-encryption key
cryptographic key used to encrypt the content of a communication
3.10
controller
natural or legal person, public authority, agency or any other body which, alone or jointly with others,
determines the purposes and means of the processing of personal data (3.40)
3.11
cryptography
discipline which embodies principles, means and methods for the transformation of data (3.14) in order
to hide its information content, prevent its undetected modification and/or prevent its unauthorized use
[SOURCE: ISO 7498-2:1989, 3.3.20]
2 © ISO 2017 – All rights reserved
---------------------- Page: 8 ----------------------
ISO 25237:2017(E)
3.12
cryptographic algorithm
method for the transformation of data (3.14) in order to hide its information content, prevent
its undetected modification and/or prevent its unauthorized use
3.13
cryptographic key management
key management
generation, storage, distribution, deletion, archiving and application of keys (3.31) in accordance with a
security policy (3.46)
[SOURCE: ISO 7498-2:1989, 3.3.33]
3.14
data
reinterpretable representation of information (3.29) in a formalized manner suitable for communication,
interpretation or processing
Note 1 to entry: Data can be processed by humans or by automatic means.
[SOURCE: ISO/IEC 2382:2015, 2121272]
3.15
data integrity
property that data (3.14) has not been altered or destroyed in an unauthorized manner
[SOURCE: ISO 7498-2:1989, 3.3.21]
3.16
data linking
matching and combining data (3.14) from multiple databases
3.17
data protection
technical and social regimen for negotiating, managing and ensuring informational privacy (3.39), and
security
3.18
data subject
person to whom data (3.14) refer
3.19
decryption
process of converting encrypted data (3.14) back into its original form so it can be understood
3.20
de-identification
general term for any process of reducing the association between a set of identifying data (3.14) and the
data subject (3.18)
3.21
directly identifying data
data (3.14) that directly identifies a single individual
Note 1 to entry: Direct identifiers are those data that can be used to identify a person without additional
information or with cross-linking through other information that is in the public domain.
© ISO 2017 – All rights reserved 3
---------------------- Page: 9 ----------------------
ISO 25237:2017(E)
3.22
disclosure
divulging of, or provision of access to, data (3.14)
Note 1 to entry: Whether the recipient actually looks at the data, takes them into knowledge or retains them, is
irrelevant to whether disclosure has occurred.
3.23
encryption
process of converting information (3.29) or data (3.14) into a cipher or code
3.24
healthcare identifier
subject of care identifier
identifier (3.27) of a person for primary use by a healthcare system
3.25
identifiable person
one who can be identified, directly or indirectly, in particular by reference to an identification number
or to one or more factors specific to his physical, physiological, mental, economic, cultural or social
identity
[SOURCE: Directive 95/46/EC]
3.26
identification
process of using claimed or observed attributes of an entity to single out the entity among other entities
in a set of identities
Note 1 to entry: The identification of an entity within a certain context enables another entity to distinguish
between the entities with which it interacts.
3.27
identifier
information (3.29) used to claim an identity, before a potential corroboration by a corresponding
authenticator
[SOURCE: ENV 13608-1:2000, 3.44]
3.28
indirectly identifying data
data (3.14) that can identify a single person only when used together with other indirectly
identifying data
Note 1 to entry: Indirect identifiers can reduce the population to which the person belongs, possibly down to one
if used in combination.
EXAMPLE Postcode, sex, age, date of birth.
3.29
information
knowledge concerning objects that within a certain context has a particular meaning
[SOURCE: ISO/IEC 2382:2015, 2121271, modified.]
3.30
irreversibility
situation when, for any passage from identifiable to pseudonymous, it is computationally unfeasible to
trace back to the original identifier (3.27) from the pseudonym (3.43)
4 © ISO 2017 – All rights reserved
---------------------- Page: 10 ----------------------
ISO 25237:2017(E)
3.31
key
sequence of symbols which controls the operations of encryption (3.23) and decryption (3.19)
[SOURCE: ISO 7498-2:1989, 3.3.32]
3.32
linkage of information objects
process allowing a logical association to be established between different information objects
3.33
longitudinal or lifetime personal health record
permanent, coordinated record of significant information, in chronological sequence
Note 1 to entry: It may include all historical data collected or be retrieved as a user designated synopsis of significant
demographic, genetic, clinical and environmental facts and events maintained within an automated system.
[SOURCE: ISO/TR 21089:2004, 3.61, modified]
3.34
natural person
real human being as opposed to a legal person which may be a private or public organization
3.35
person identification
process for establishing an association between an information object and a physical person
3.36
personal identifier
information with the purpose of uniquely identifying a person within a given context
3.37
personal data
information relating to an identified or identifiable natural person (3.34) (“data subject”)
[SOURCE: Directive 95/46/EC]
3.38
primary use of personal data
uses and disclosures (3.22) that are intended for the data (3.14) collected
3.39
privacy
freedom from intrusion into the private life or affairs of an individual when that intrusion results from
undue or illegal gathering and use of data (3.14) about that individual
[SOURCE: ISO/IEC 2382:2015, 2126263]
3.40
processing of personal data
operation or set of operations that is performed upon personal data (3.37), whether or not by automatic
means, such as collection, recording, organization, storage, adaptation or alteration, retrieval,
consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment
or combination, blocking, erasure or destruction
[SOURCE: Directive 95/46/EC]
© ISO 2017 – All rights reserved 5
---------------------- Page: 11 ----------------------
ISO 25237:2017(E)
3.41
processor
natural or legal person, public authority, agency or any other body that processes personal data (3.37)
on behalf of the controller (3.10)
Note 1 to entry: See Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the
protection of individuals with regard to the processing of personal data and on the free movement of such data.
3.42
pseudonymization
particular type of de-identification (3.20) that both removes the association with a data subject (3.18)
and adds an association between a particular set of characteristics relating to the data subject and one
or more pseudonyms (3.43)
3.43
pseudonym
personal identifier (3.36) that is different from the normally used personal identifier and is used with
pseudonymized data to provide dataset coherence linking all the information about a subject, without
disclosing the real world person identity.
Note 1 to entry: This may be either derived from the normally used personal identifier in a reversible or
irreversible way or be totally unrelated.
Note 2 to entry: Pseudonym is usually restricted to mean an identifier that does not allow the direct derivation of
the normal personal identifier. Such pseudonymous information is thus functionally anonymous. A trusted third
party may be able to obtain the normal personal identifier from the pseudonym.
3.44
recipient
natural or legal person, public authority, agency or any other body to whom data (3.14) are disclosed
3.45
secondary use of personal data
uses and disclosures (3.22) that are different than the initial intended use for the data (3.14) collected
3.46
security policy
plan or course of action adopted for providing computer security
[SOURCE: ISO/IEC 2382:2015, 2126246]
3.47
trusted third party
security authority, or its agent, trusted by other entities with respect to security-related activities
[SOURCE: ISO/IEC 18014-1:2008, 3.20]
4 Abbreviated terms
DICOM Digital Imaging and Communication in Medicine
HIPAA Health Insurance Portability and Accountability Act
HIS Health Information System
HIV Human Immunodeficiency Virus
IP Internet Protocol
VoV Victim of Violence use
6 © ISO 2017 – All rights reserved
---------------------- Page: 12 ----------------------
ISO 25237:2017(E)
5 Requirements for privacy protection of identities in healthcare
5.1 Objectives of privacy protection
The objective of privacy protection as part of the confidentiality objective of security is to prevent
the unauthorized or unwanted disclosure of information about a person which may further influence
legal, organizational and financial risk factors. Privacy protection is a subdomain of generic privacy
protection that, by definition, includes other privacy sensitive entities such as organizations. As privacy
is the best regulated and pervasive one, this conceptual model focuses on privacy. Protective solutions
designed for privacy can also be transposed for the privacy protection of other entities. This may be
useful in countries where the privacy of entities or organizations is regulated by law.
There are two objectives in the protection of personal data; one
...
DRAFT INTERNATIONAL STANDARD
ISO/DIS 25237
ISO/TC 215 Secretariat: ANSI
Voting begins on: Voting terminates on:
2015-09-03 2015-12-03
Health informatics — Pseudonymisation
Informatique de santé — Pseudonymization
ICS: 35.240.80
ISO/CEN PARALLEL PROCESSING
This draft has been developed within the International Organization for
Standardization (ISO), and processed under the ISO lead mode of collaboration
as defined in the Vienna Agreement.
This draft is hereby submitted to the ISO member bodies and to the CEN member
bodies for a parallel five month enquiry.
Should this draft be accepted, a final draft, established on the basis of comments
received, will be submitted to a parallel two-month approval vote in ISO and
THIS DOCUMENT IS A DRAFT CIRCULATED
formal vote in CEN.
FOR COMMENT AND APPROVAL. IT IS
THEREFORE SUBJECT TO CHANGE AND MAY
NOT BE REFERRED TO AS AN INTERNATIONAL
STANDARD UNTIL PUBLISHED AS SUCH.
To expedite distribution, this document is circulated as received from the
IN ADDITION TO THEIR EVALUATION AS
committee secretariat. ISO Central Secretariat work of editing and text
BEING ACCEPTABLE FOR INDUSTRIAL,
composition will be undertaken at publication stage.
TECHNOLOGICAL, COMMERCIAL AND
USER PURPOSES, DRAFT INTERNATIONAL
STANDARDS MAY ON OCCASION HAVE TO
BE CONSIDERED IN THE LIGHT OF THEIR
POTENTIAL TO BECOME STANDARDS TO
WHICH REFERENCE MAY BE MADE IN
Reference number
NATIONAL REGULATIONS.
ISO/DIS 25237:2015(E)
RECIPIENTS OF THIS DRAFT ARE INVITED
TO SUBMIT, WITH THEIR COMMENTS,
NOTIFICATION OF ANY RELEVANT PATENT
RIGHTS OF WHICH THEY ARE AWARE AND TO
©
PROVIDE SUPPORTING DOCUMENTATION. ISO 2015
---------------------- Page: 1 ----------------------
ISO/DIS 25237:2015(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2015, Published in Switzerland
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO 2015 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/TS 25237:2008(E)
Contents Page
Foreword .iii
Introduction . iv
1 Scope .2
2 Normative references .2
3 Terms and definitions .2
4 Symbols (and abbreviated terms) .7
5 Requirements for privacy protection of identities in healthcare .8
5.1 A conceptual model for pseudonymization of personal data . Error! Bookmark not defined.
5.2 Categories of data subject . 16
5.3 Classification of data . 17
5.4 Trusted services . 20
5.5 Need for re-identification of pseudonymized data . 20
5.6 Pseudonymization service characteristics . 21
6 Pseudonymization process (methods and implementation). 21
6.1 Design criteria . Error! Bookmark not defined.
6.2 Entities in the model . Error! Bookmark not defined.
6.3 Workflow in the model . Error! Bookmark not defined.
6.4 Preparation of data . Error! Bookmark not defined.
6.5 Processing steps in the workflow . Error! Bookmark not defined.
6.6 Protecting privacy protection through pseudonymization . 21
7 Re-identification process (methods and implementation) . 25
8 Specification of interoperability of interfaces (methods and implementation)Error! Bookmark not defined.
9 Policy framework for operation of pseudonymization services (methods and
implementation) . Error! Bookmark not defined.
9.1 General . Error! Bookmark not defined.
9.2 Privacy policy . Error! Bookmark not defined.
9.3 Trustworthy practices for operations . Error! Bookmark not defined.
9.4 Implementation of trustworthy practices for re-identification . Error! Bookmark not defined.
Annex A (informative) Healthcare pseudonymization scenarios . 28
Annex B (informative) Requirements for privacy risk assessment design . 41
Bibliography . 63
ii © ISO 2008 – All rights reserved
---------------------- Page: 3 ----------------------
ISO/TS 25237:2008(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are described
in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the different types of
ISO documents should be noted. This document was drafted in accordance with the editorial rules of the
ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any patent
rights identified during the development of the document will be in the Introduction and/or on the ISO list of
patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity assessment,
as well as information about ISO’s adherence to the WTO principles in the Technical Barriers to Trade (TBT)
see the following URL: Foreword - Supplementary information.
The committee responsible for this document is ISO/TC 215, Health informatics.ISO/TS 25237 was prepared
by Technical Committee ISO/TC 215, Healthcare informatics.
© ISO 2008 – All rights reserved iii
---------------------- Page: 4 ----------------------
ISO/TS 25237:2008(E)
Introduction
Pseudonymization is recognised as an important method for privacy protection of personal health information.
Such services may be used nationally as well as for trans-border communication.
Application areas include but are not limited to:
indirect use of clinical data (e.g. research);
clinical trials and post-marketing surveillance;
pseudonymous care;
patient identification systems;
public health monitoring and assessment;
confidential patient-safety reporting (e.g. adverse drug effects);
comparative quality indicator reporting;
peer review;
consumer groups;
field service.
This Technical Specification provides a conceptual model of the problem areas, requirements for trustworthy
practices, and specifications to support the planning and implementation of pseudonymization services.
The specification of a general workflow together with a policy for trustworthy operations serve both as a
general guide for implementers but also for quality assurance purposes, assisting users of the
pseudonymization services to determine their trust in the services provided. This guide will serve to education
organizations so they can perform pseudonymization services themselves with sufficient proficiency to
achieve the desired degree of quality and risk reduction.
iv © ISO 2008 – All rights reserved
---------------------- Page: 5 ----------------------
ISO/TS 25237:2008(E)
Health informatics — Pseudonymization
1 Scope
This Technical Specification contains principles and requirements for privacy protection using
pseudonymization services for the protection of personal health information. This technical specification is
applicable to organizations who wish to undertake pseudonymization processes for themselves or to
organizations who make a claim of trustworthiness for operations engaged in pseudonymization services.
This Technical Specification:
defines one basic concept for pseudonymization;
gives an overview of different use cases for pseudonymization that can be both reversible and
irreversible;
defines one basic methodology for pseudonymization services including organizational as well as
technical aspects;
gives a guide to risk assessment for re-identification;
specifies a policy framework and minimal requirements for trustworthy practices for the operations of a
pseudonymization service;
specifies a policy framework and minimal requirements for controlled re-identification;
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO 27799, Health informatics —Information security management in health using ISO/IEC 27002
IHE Healthcare De-Identification Handbook: 2014
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1
access control
means of ensuring that the resources of a data processing system can be accessed only by authorized
entities in authorized ways
[ISO/IEC 2382-8:1998, definition 08.04.01]
3.2
anonymization
process by which personal data is irreversibly altered in such a way that a data subject can no longer be identified
directly or indirectly, either by the data controller alone or in collaboration with any other party
ICS 35.240.80
Price based on 57 pages
© ISO 2008 – All rights reserved
---------------------- Page: 6 ----------------------
ISO/TS 25237:2008(E)
NOTE: The concept is absolute, and in practice it may be difficult to obtain.
NOTE: Adapted from ISO/IEC 29100:2011 Information technology — Security techniques — Privacy framework
3.3
anonymized data
data that has been produced as the output of an anonymization process
NOTE: Adapted from ISO/IEC 29100:2011 Information technology — Security techniques — Privacy framework
3.4
anonymous identifier
identifier of a person which does not allow the identification of the natural person -
3.5
authentication
assurance of the claimed identity
3.6
attacker
person seeking to exploit potential vulnerabilities of a biometric system
[ISO/IEC 19792:2009(en)
3.7
ciphertext
data produced through the use of encryption, the semantic content of which is not available without the use of
cryptographic techniques
[ISO/IEC 2382-8:1998, definition 08-03-8]
3.8
confidentiality
property that information is not made available or disclosed to unauthorized individuals, entities or processes
[ISO 7498-2:1989, definition 3.3.16]
3.9
content-encryption key
cryptographic key used to encrypt the content of a communication
3.10
controller
natural or legal person, public authority, agency or any other body which alone or jointly with others
determines the purposes and means of the processing of personal data
3.11
cryptography
discipline which embodies principles, means and methods for the transformation of data in order to hide its
information content, prevent its undetected modification and/or prevent its unauthorized use
[ISO 7498-2:1989, definition 3.3.20]
3.12
cryptographic algorithm
〈cipher〉 method for the transformation of data in order to hide its information content, prevent its undetected
modification and/or prevent its unauthorized use
© ISO 2008 – All rights reserved iii
---------------------- Page: 7 ----------------------
ISO/TS 25237:2008(E)
3.13
key management
cryptographic key management
generation, storage, distribution, deletion, archiving and application of keys in accordance with a security
policy (3.43)
[ISO 7498-2:1989, definition 3.3.33]
3.14
data integrity
property that data have not been altered or destroyed in an unauthorized manner
[ISO 7498-2:1989, definition 3.3.21]
3.15
data linking
matching and combining data from multiple databases
3.16
data protection
technical and social regimen for negotiating, managing and ensuring informational privacy, and security
3.17
data-subjects
persons to whom data refer
3.18
decipherment
decryption
process of obtaining, from a ciphertext, the original corresponding data
[ISO/IEC 2382-8:1998, definition 08-03-04]
NOTE A ciphertext can be enciphered a second time, in which case a single decipherment does not produce the
original plaintext.
3.19
de-identification
general term for any process of reducing the association between a set of identifying data and the data
subject
3.20
Directly Identifying data
data that directly identifies a single individual
NOTE Direct identifiers are those data that can be used to identify a person without additional information or with
cross-linking through other information that is in the public domain.
3.21
disclosure
divulging of, or provision of access to, data
NOTE Whether the recipient actually looks at the data, takes them into knowledge, or retains them, is irrelevant to
whether disclosure has occurred.
ICS 35.240.80
Price based on 57 pages
© ISO 2008 – All rights reserved
---------------------- Page: 8 ----------------------
ISO/TS 25237:2008(E)
3.22
encipherment encryption
cryptographic transformation of data to produce ciphertext (3.6)
[ISO 7498-2:1989, definition 3.3.27]
NOTE See cryptography (3.10).
3.23
subject of care identifier
healthcare identifier
identifier of a person for primary use by a healthcare system
3.24
identifiable person
one who can be identified, directly or indirectly, in particular by reference to an identification number or to one
or more factors specific to his physical, physiological, mental, economic, cultural or social identity
[Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of
individuals with regard to the processing of personal data and on the free movement of such data]
3.25
identification
process of using claimed or observed attributes of an entity to single out the entity among other entities in a
set of identities
NOTE The identification of an entity within a certain context enables another entity to distinguish between the entities
with which it interacts.
3.26
identifier
information used to claim an identity, before a potential corroboration by a corresponding authenticator (as
used in this document)
[ENV 13608-1]
3.27
indirectly identifying data
data that can identify a single person only when used together with other indirectly identifying data
NOTE Indirect identifiers can reduce the population to which the person belongs, possibly down to one if used in
combination.
EXAMPLE Postcode, sex, age, date of birth.
3.28
information
knowledge concerning objects that within a certain context has a particular meaning
[ISO/IEC 2382-1:1993]
NEW TERM
data
reinterpretable representation of information in a formalized manner suitable for communication, interpretation or
processing
NOTE: Data can be processed by humans or by automatic means.
[ISO/IEC 2382-1:1993]
© ISO 2008 – All rights reserved v
---------------------- Page: 9 ----------------------
ISO/TS 25237:2008(E)
3.29
irreversibility
situation when, for any passage from identifiable to pseudonymous, it is computationally unfeasible to trace
back to the original identifier from the pseudonym
3.30
key
sequence of symbols which controls the operations of encipherment (3.21) and decipherment (3.17)
[ISO 7498-2:1989, definition 3.3.32]
3.31
linkage of information objects
process allowing a logical association to be established between different information objects
3.32
natural person
Real human being as opposed to a legal person which may be a private or public organisation
3.33
person identification
process for establishing an association between an information object and a physical person
3.34
personal identifier
information with the purpose of uniquely identifying a person within a given context
3.35
personal data
any information relating to an identified or identifiable natural person (“data subject”)
[Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of
individuals with regard to the processing of personal data and on the free movement of such data]
3.36
primary use of personal data
use of personal data for delivering healthcare
3.37
privacy
freedom from intrusion into the private life or affairs of an individual when that intrusion results from undue or
illegal gathering and use of data about that individual
[ISO/IEC 2382-8:1998, definition 08-01-23]
3.38
processing of personal data
any operation or set of operations that is performed upon personal data, whether or not by automatic means,
such as collection, recording, organization, storage, adaptation or alteration, retrieval, consultation, use,
disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking,
erasure or destruction
[Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of
individuals with regard to the processing of personal data and on the free movement of such data]
ICS 35.240.80
Price based on 57 pages
© ISO 2008 – All rights reserved
---------------------- Page: 10 ----------------------
ISO/TS 25237:2008(E)
3.39
processor
natural or legal person, public authority, agency or any other body that processes personal data on behalf of
the controller
[Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of
individuals with regard to the processing of personal data and on the free movement of such data]
3.40
pseudonymization
particular type of de-identification that both removes the association with a data subject and adds an
association between a particular set of characteristics relating to the data subject and one or more
pseudonyms
3.41
pseudonym
personal identifier that is different from the normally used personal identifier and is used with pseudonymized
data to provide dataset coherence linking all the information about a subject, without disclosing the real world
person identity.
NOTE 1 This may be either derived from the normally used personal identifier in a reversible or irreversible way, or be
totally unrelated.
NOTE 2 Pseudonym is usually restricted to mean an identifier that does not allow the direct derivation of the normal
personal identifier. Such pseudonymous information is thus functionally anonymous. A trusted third party may be able to
obtain the normal personal identifier from the pseudonym.
3.42
recipient
natural or legal person, public authority, agency or any other body to whom data are disclosed
3.43
secondary indirect use of personal data
Indirect uses are those that are different than the initial intended use for the data collected.
3.44
security policy
plan or course of action adopted for providing computer security
[ISO/IEC 2382-8:1998, definition 08-01-06]
3.45
trusted third party
security authority, or its agent, trusted by other entities with respect to security-related activities
[ISO/IEC 18014-1:2008]
4 Symbols (and abbreviated terms)
HIPAA Health Insurance Portability and Accountability Act
HIS Hospital Information System
HIV Human Immunodeficiency Virus
IP Internet Protocol
VoV Victim of Violence
© ISO 2008 – All rights reserved vii
---------------------- Page: 11 ----------------------
ISO/TS 25237:2008(E)
5 Requirements for privacy protection of identities in healthcare
5.1.1 Objectives of privacy protection
The objective of privacy protection as part of the Confidentiality objective of Security, is to prevent the
unauthorized or unwanted disclosure of information about a person which may further influence legal,
organizational and financial risk factors. Privacy protection is a subdomain of generic privacy protection that
by definition includes other privacy sensitive entities such as organizations. As privacy is the best regulated
and pervasive one, this conceptual model focuses on privacy. Protective solutions designed for privacy can
also be transposed for the privacy protection of other entities. This may be useful in countries where the
privacy of entities or organizations is regulated by law.
There are two objectives in the protection of personal data, one that is the protection of personal data in
interaction with on-line applications (e.g. web browsing) and at the other is the protection of collected personal
data in databases. This Technical Specification will restrict itself to the latter objective.
Data can be extracted from databases. The objective is to reduce the risk that the identities of the data
subjects are disclosed. Researchers work with “cases”, longitudinal histories of patients collected in time
and/or from different sources. For the aggregation of various data elements into the cases, it is however,
necessary to use a technique that enables aggregations without endangering the privacy of the data subjects
whose data are being aggregated. This can be achieved by pseudonymization of the data.
De-identification is used to reduce privacy risks in a wide variety of situations:
• Extreme de-identification is used for educational materials that will be made widely public, yet must
convey enough detail to be useful for medical education purposes. (There is an IHE profile for
automation assistance for performing this kind of de-identification. Much of the process is customized
to the individual patient and educational purpose.)
• Public health uses de-identified databases to track and understand diseases.
• Clinical trials use de-identification both to protect privacy and to avoid subconscious bias by removing
other information such as whether the patient received a placebo or an experimental drug.
• Slight de-identification is used in many clinical reviews, where the reviewers are kept ignorant of the
treating physician, hospital, patient, etc. both to reduce privacy risks and to remove subconscious
biases. This kind of de-identification only prevents incidental disclosure to reviewers. An intentional
effort will easily discover the patient identity, etc.
• When undertaking production of workload statistics or workload analysis within hospitals or of
treatments provided against contracts with commissioners or purchasers of health care services, it is
necessary to be able to separate individual patients without the need to know who the individual
patients are. This is an example of the use of de-identification within a business setting.
• The process of risk stratification (of re-hospitalisation for example) can be undertaken by using records
from primary and secondary care services for patients. The records are de-identified for the analysis,
but where the patients that are indicated as being of high risk, these patients can be re-identified by an
appropriate clinician to enable follow-up interventions.
5.1.2 General
De-identification is the general term for any process of removing the association between a set of identifying
data and the data subject with one or more intended use of the resulting data-set. Pseudonymization is a
subcategory of de-identification. The pseudonym is the means by which pseudonymized data are linked to the
same person or information systems without revealing the identity of the person. Pseudonymization can be
ICS 35.240.80
Price based on 57 pages
© ISO 2008 – All rights reserved
---------------------- Page: 12 ----------------------
ISO/TS 25237:2008(E)
performed with or without the possibility of re-identifying the subject of the data (reversible or irreversible
pseudonymization). There are several use case scenarios in healthcare for pseudonymization with particular
applicability in increasing electronic processing of patient data together with increasing patient expectations
for privacy protection. Several examples of these are provided in Annex A.
It is important to note that as long as there are any psuedonymized data, there is some risk of unauthorized
re-identification. This is not unlike encryption, in that brute force can crack encryption, but the objective is to
make it so difficult that the cost is prohibitive. There is less experience with de-identification than encryption so
the risks are not as well understood.
5.1.3 De-Identification is a process to reduce risk.
The de-identification process must consider the Security and Privacy controls that will manage the resulting
data-set. It is rare to lower the risk so much that the data-set needs no ongoing security controls.
The prior diagram is a visualization of this de-identification process. This shows that the top-most concept is
de-identification, as a process. This process utilizes sub-processes: Pseudonymization and/or Anonymization.
These sub-processes use various tools that are specific to the type of data element they operate on, and the
method of risk reduction.
The starting state is that zero data are allowed to pass through the system. Each element must be justified by
the intended use of the resulting data-set. This intended use of the data-set greatly affects the de-identification
process.
5.1.3.1 Pseudonymization
De-Identification might leverage Pseudonymization where longitudinal consistency is needed. This might be to
keep a bunch of records together that should be associated with each other, where without this longitudinal
consistency they might get disassociated. This is useful to keep all of the records for a patient together, under
a pseudonym. This also can be used to assure that each time data are extracted into a de-identified set that
new entries are also associated with the same pseudonym. In Pseudonymization the algorithm used might be
© ISO 2008 – All rights reserved ix
---------------------- Page: 13 ----------------------
ISO/TS 25237:2008(E)
intentionally reversible, or intentionally not-reversible. A reversible scheme might be a secret lookup-table that
where authorized can be used to discover the original identity. In non-reversable is a temporary table might be
used during the process, but is destroyed when the process completes.
5.1.3.2 Anonymization
Anonymization is the process and set of tools used where no longitudinal consistency is needed. The
Anonymization process is also used where Pseudonymization has been used to address the remaining data
attributes. Anonymization utilizes tools like Redaction, Removal, Blanking, Substitution, Randomization,
Shifting, Skewing, Truncation, Grouping, etc.
Each element allowed to pass must be justified. Each element must present the minimal risk, given the
intended use of the resulting data-set. Thus where the intended use of the resulting data-set does not require
fine-grain codes, a grouping of codes might be used.
5.1.3.3 Direct and Indirect Identifiers
De-Identification process identifies three
...
NORME ISO
INTERNATIONALE 25237
Première édition
2017-01
Informatique de santé —
Pseudonymisation
Health informatics — Pseudonymization
Numéro de référence
ISO 25237:2017(F)
©
ISO 2017
---------------------- Page: 1 ----------------------
ISO 25237:2017(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2017, Publié en Suisse
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO 2017 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 25237:2017(F)
Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Abréviations . 7
5 Exigences concernant la protection du caractère privé des identités dans
le domaine de la santé . 7
5.1 Objectifs de la protection de la vie privée . 7
5.2 Généralités . 8
5.3 La désidentification en tant que processus de réduction des risques . 8
5.3.1 Généralités . 8
5.3.2 Pseudonymisation . 9
5.3.3 Anonymisation.10
5.3.4 Identifiants directs et indirects .10
5.4 Protection de la vie privée des entités .10
5.4.1 Données à caractère personnel versus données désidentifiées .10
5.4.2 Concept de pseudonymisation .12
5.5 Pseudonymisation dans le monde réel .15
5.5.1 Justification .15
5.5.2 Niveaux d’assurance de la protection de la vie privée . .15
5.6 Catégories de personnes concernées .17
5.6.1 Généralités .17
5.6.2 Sujet des soins .18
5.6.3 Professionnels et organismes de santé.18
5.6.4 Données communiquées par des appareils .18
5.7 Données de classification .19
5.7.1 Données utiles .19
5.7.2 Données d’observations .19
5.7.3 Données pseudonymisées .19
5.7.4 Données anonymisées . .19
5.8 Données destinées à la recherche .19
5.8.1 Généralités .19
5.8.2 Génération de données destinées à la recherche .20
5.8.3 Utilisation secondaire d’informations de santé à caractère personnel .20
5.9 Données d’identification .20
5.9.1 Généralités .20
5.9.2 Identifiants de soins de santé .20
5.10 Données des victimes de violence et des personnes connues du public .21
5.10.1 Généralités .21
5.10.2 Informations génétiques .21
5.10.3 Service de confiance .21
5.10.4 Besoin de ré-identification des données pseudonymisées .21
5.10.5 Caractéristiques des services de pseudonymisation .22
6 Protection de la vie privée grâce à la pseudonymisation .23
6.1 Modèle conceptuel des domaines problématiques .23
6.2 Identifiabilité directe et indirecte des informations à caractère personnel .23
6.2.1 Généralités .23
6.2.2 Variables d’identification de la personne .23
6.2.3 Variables d’agrégation . .24
6.2.4 Variables extrêmes .25
6.2.5 Variables de données structurées .25
© ISO 2017 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO 25237:2017(F)
6.2.6 Variables de données non structurées .25
6.2.7 Évaluation des risques d’inférence .26
6.2.8 Respect de la vie privée et sécurité .27
7 Processus de ré-identification .27
7.1 Généralités .27
7.2 Procédure normale .27
7.3 Exception.27
7.4 Faisabilité technique .28
Annexe A (informative) Scénarios de pseudonymisation dans le domaine de la santé .29
Annexe B (informative) Exigences pour l’analyse des risques liés au respect de la vie privée .43
Annexe C (informative) Processus de pseudonymisation (méthodes et mise en œuvre) .54
Annexe D (informative) Spécification des méthodes et mise en œuvre .60
Annexe E (informative) Cadre politique pour l’exploitation des services de
pseudonymisation (méthodes et mise en œuvre) .62
Annexe F (informative) Informations génétiques.66
Bibliographie .67
iv © ISO 2017 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 25237:2017(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la signification des termes et expressions spécifiques de l’ISO liés à
l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion de l’ISO aux principes
de l’OMC concernant les obstacles techniques au commerce (OTC), voir le lien suivant: Avant-propos —
Informations supplémentaires.
Le comité chargé de l’élaboration du présent document est l’ISO/TC 215, Informatique de santé.
© ISO 2017 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO 25237:2017(F)
Introduction
La pseudonymisation est reconnue comme une méthode importante de protection des informations de
santé à caractère personnel. Les services associés peuvent être utilisés aussi bien au plan national que
pour la communication transfrontière.
Les domaines d’application concernent, sans s’y limiter, les secteurs suivants:
— l’utilisation indirecte des données cliniques (par exemple recherche);
— les essais cliniques et la surveillance post-marketing;
— les soins pseudonymes;
— les systèmes d’identification des patients;
— la surveillance et l’évaluation de la santé publique;
— les dossiers confidentiels sur la sécurité des patients (par exemple effets indésirables d’un
médicament);
— les rapports comparatifs fondés sur des indicateurs de qualité;
— le contrôle par les pairs;
— les groupes de consommateurs;
— l’assistance technique.
Le présent document fournit un modèle conceptuel des aspects en jeu, des exigences en matière de
pratiques fiables, ainsi que des spécifications pour la planification et la mise en œuvre des services de
pseudonymisation.
La spécification d’un workflow général, associé à une politique de fiabilisation des opérations, servira
de guide général pour la mise en œuvre ainsi que pour l’assurance qualité, et aidera l’utilisateur des
services de pseudonymisation à déterminer la confiance qu’il peut accorder aux prestations assurées.
Ce guide permettra de former les organismes afin qu’ils puissent assurer eux-mêmes les services de
pseudonymisation, avec des compétences suffisantes pour atteindre le degré voulu de qualité et de
réduction des risques.
vi © ISO 2017 – Tous droits réservés
---------------------- Page: 6 ----------------------
NORME INTERNATIONALE ISO 25237:2017(F)
Informatique de santé — Pseudonymisation
1 Domaine d’application
Le présent document établit un certain nombre de principes et d’exigences visant à garantir la
protection de la vie privée, grâce à des services de pseudonymisation ayant pour objet de protéger les
informations de santé à caractère personnel. Le présent document est applicable aux organismes qui
souhaitent s’engager dans des processus de pseudonymisation pour eux-mêmes et aux organismes qui
se déclarent dignes de confiance pour engager des opérations dans des services de pseudonymisation.
Le présent document:
— définit un concept de base pour la pseudonymisation (voir Article 5);
— définit une méthodologie de base pour les services de pseudonymisation, y compris au niveau des
aspects organisationnels et techniques (voir Article 6);
— spécifie un cadre politique et des exigences minimales pour la ré-identification contrôlée
(voir Article 7);
— donne une vue d’ensemble des différents cas d’utilisation où l’opération de pseudonymisation peut
être réversible ou irréversible (voir Annexe A);
— fournit un guide pour l’évaluation des risques en cas de ré-identification (voir Annexe B);
— donne un exemple de système qui utilise la désidentification (voir Annexe C);
— fournit des exigences informatives pour l’interopérabilité des services de pseudonymisation
(voir Annexe D); et
— spécifie un cadre politique et des exigences minimales favorisant des pratiques fiables pour un
service de pseudonymisation (voir Annexe E).
2 Références normatives
Les documents suivants cités dans le texte constituent, pour tout ou partie de leur contenu, des
exigences du présent document. Pour les références datées, seule l’édition citée s’applique. Pour les
références non datées, la dernière édition du document de référence s’applique (y compris les éventuels
amendements).
ISO 27799, Informatique de santé — Management de la sécurité de l’information relative à la santé en
utilisant l’ISO/IEC 27002
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— IEC Electropedia: disponible à l’adresse http:// www .electropedia .org/ .
— ISO Online browsing platform: disponible à l’adresse http:// www .iso .org/ obp.
© ISO 2017 – Tous droits réservés 1
---------------------- Page: 7 ----------------------
ISO 25237:2017(F)
3.1
contrôle d’accès
ensemble des moyens garantissant que seules les entités autorisées peuvent accéder aux ressources
d’un système informatique, et seulement d’une manière autorisée
[SOURCE: ISO/IEC 2382:2015, 2126294]
3.2
anonymisation
processus par lequel des données à caractère personnel (3.37) sont altérées irréversiblement, de telle
façon que la personne concernée ne puisse plus être identifiée, directement ou indirectement, par le
responsable du traitement des données, seul ou en collaboration avec une autre partie
Note 1 à l’article: Ce concept est absolu et peut, dans la pratique, être difficile à mettre en œuvre.
[SOURCE: ISO/IEC 29100:2011, 2.2, modifiée]
3.3
données anonymisées
données (3.14) de sortie produites par un processus d’anonymisation (3.2)
[SOURCE: ISO/IEC 29100:2011, 2.3, modifiée]
3.4
identifiant anonyme
identifiant (3.27) d’une personne ne permettant pas l’identification (3.26) de la personne physique (3.34)
3.5
authentification
établissement de la validité de l’identité déclarée
3.6
attaquant
personne exploitant délibérément les vulnérabilités des contrôles de sécurité techniques et non
techniques, afin de piller ou de compromettre les réseaux et les systèmes d’information ou d’empêcher
les utilisateurs légitimes d’accéder aux ressources de ces réseaux et systèmes
[SOURCE: ISO/IEC 27033-1:2015, 3.3]
3.7
cryptogramme, texte chiffré
données (3.14) résultant d’un chiffrement et dont le contenu sémantique n’est pas disponible sans
recours à des techniques cryptographiques
[SOURCE: ISO/IEC 2382:2015, 2126285]
3.8
confidentialité
propriété d’une information (3.29) qui n’est ni disponible, ni divulguée aux personnes, entités ou
processus non autorisés
[SOURCE: ISO 7498-2:1989, 3.3.16]
3.9
clé de chiffrement de contenu
clé cryptographique utilisée pour chiffrer le contenu d’une communication
3.10
responsable du traitement
personne physique ou morale, autorité publique, service ou tout autre organisme qui, seul ou
conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère
personnel (3.40)
2 © ISO 2017 – Tous droits réservés
---------------------- Page: 8 ----------------------
ISO 25237:2017(F)
3.11
cryptographie
discipline incluant les principes, moyens et méthodes de transformation des données (3.14), dans le
but de cacher leur contenu, d’empêcher que leur modification passe inaperçue et/ou d’empêcher leur
utilisation non autorisée
[SOURCE: ISO 7498-2:1989, 3.3.20]
3.12
algorithme cryptographique
méthode permettant de transformer des données (3.14), dans le but de cacher leur contenu,
d’empêcher que leur modification passe inaperçue et/ou d’empêcher leur utilisation non autorisée
3.13
gestion de clés cryptographiques
gestion de clés
production, stockage, distribution, suppression, archivage et application de clés (3.31) conformément à
la politique de sécurité (3.46)
[SOURCE: ISO 7498-2:1989, 3.3.33]
3.14
donnée
représentation réinterprétable d’une information (3.29) sous une forme conventionnelle convenant à la
communication, à l’interprétation ou au traitement
Note 1 à l’article: Les données peuvent être traitées par des moyens humains ou automatiques.
[SOURCE: ISO/IEC 2382:2015, 2121272]
3.15
intégrité des données
propriété assurant que des données (3.14) n’ont pas été modifiées ou détruites de façon non autorisée
[SOURCE: ISO 7498-2:1989, 3.3.21]
3.16
liage de données
appariement et combinaison de données (3.14) issues de plusieurs bases de données
3.17
protection des données
organisation technique et sociale permettant de négocier, gérer et garantir le caractère privé (3.39) et la
sécurité des informations
3.18
personne concernée
personne à laquelle se rapportent les données (3.14)
3.19
déchiffrement
processus visant à convertir des données (3.14) chiffrées pour les ramener à leur forme d’origine, de
manière à pouvoir les comprendre
3.20
désidentification
terme général qui désigne tout processus réduisant l’association entre un ensemble de données (3.14)
d’identification et la personne concernée (3.18)
© ISO 2017 – Tous droits réservés 3
---------------------- Page: 9 ----------------------
ISO 25237:2017(F)
3.21
données d’identification directe
données (3.14) qui identifient directement un individu
Note 1 à l’article: Les identifiants directs sont les données qui peuvent être utilisées pour identifier une personne
sans informations supplémentaires ou par recoupement avec d’autres informations du domaine public.
3.22
communication
fait de révéler des données (3.14) ou d’y donner accès
Note 1 à l’article: Le fait que le destinataire regarde réellement les données, les transforme en connaissances ou
les conserve, est sans importance vis-à-vis de la réalisation de la communication.
3.23
chiffrement
processus de conversion d’informations (3.29) ou de données (3.14) en un bloc chiffré ou un code
3.24
identifiant de soins de santé
identifiant du sujet des soins
identifiant (3.27) d’une personne, destiné à être principalement utilisé par un système de soins de santé
3.25
personne identifiable
personne qui peut être identifiée, directement ou indirectement, notamment par référence à un
numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique,
physiologique, psychique, économique, culturelle ou sociale
[SOURCE: Directive 95/46/EC]
3.26
identification
processus consistant à utiliser des attributs déclarés ou observés d’une entité pour distinguer cette
entité parmi d’autres dans un ensemble d’identités
Note 1 à l’article: L’identification d’une entité dans un contexte déterminé permet à une autre entité de différencier
les entités avec lesquelles elle interagit.
3.27
identifiant
information (3.29) utilisée pour déclarer une identité, avant corroboration potentielle par un
authentifiant correspondant
[SOURCE: ENV 13608-1:2000, 3.44]
3.28
données d’identification indirecte
données (3.14) qui ne peuvent identifier une personne que lorsqu’elles sont utilisées conjointement avec
d’autres données d’identification indirecte
Note 1 à l’article: Les identifiants indirects peuvent réduire à un individu la population à laquelle la personne
appartient, s’ils sont utilisés en combinaison.
EXEMPLE Code postal, sexe, âge, date de naissance.
3.29
information
connaissance concernant un objet qui, dans un contexte déterminé, a une signification particulière
[SOURCE: ISO/IEC 2382:2015, 2121271, modifiée]
4 © ISO 2017 – Tous droits réservés
---------------------- Page: 10 ----------------------
ISO 25237:2017(F)
3.30
irréversibilité
pour toute transformation d’identifiable en pseudonyme, situation dans laquelle il est informatiquement
irréalisable de remonter à l’identifiant (3.27) d’origine en partant du pseudonyme (3.43)
3.31
clé
série de symboles commandant les opérations de chiffrement (3.23) et de déchiffrement (3.19)
[SOURCE: ISO 7498-2:1989, 3.3.32]
3.32
liage d’objets d’information
processus permettant d’établir une association logique entre différents objets d’information
3.33
dossier personnel de santé longitudinal ou à vie
dossier coordonné permanent regroupant des informations importantes, classées par ordre
chronologique
Note 1 à l’article: Ce dossier peut inclure toutes les données historiques collectées ou être extrait sous forme de
synthèse définie par l’utilisateur, regroupant des faits et des événements démographiques, génétiques, cliniques
et environnementaux marquants, conservés dans un système automatisé.
[SOURCE: ISO/TR 21089:2004, 3.61, modifiée]
3.34
personne physique
être humain par opposition à personne morale, laquelle peut être un organisme privé ou public
3.35
identification de personne
processus établissant une association entre un objet d’information et une personne physique
3.36
identifiant personnel
information permettant d’identifier une même et unique personne dans un contexte donné
3.37
données à caractère personnel
information concernant une personne physique (3.34) identifiée ou identifiable («personne concernée»)
[SOURCE: Directive 95/46/EC]
3.38
principale utilisation des données à caractère personnel
utilisations et communications (3.22) prévues pour les données (3.14) collectées
3.39
respect de la vie privée
garantie de l’absence d’intrusion dans la vie privée ou les affaires d’un individu dans la mesure où cette
intrusion résulte de la collecte et de l’utilisation illégales et non fondées de données (3.14) relatives à cet
individu
[SOURCE: ISO/IEC 2382:2015, 2126263]
© ISO 2017 – Tous droits réservés 5
---------------------- Page: 11 ----------------------
ISO 25237:2017(F)
3.40
traitement de données à caractère personnel
opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées
à des données à caractère personnel (3.37), telles que la collecte, l’enregistrement, l’organisation, la
conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication
par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou
l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction
[SOURCE: Directive 95/46/EC]
3.41
sous-traitement
personne physique ou morale, autorité publique, service ou tout autre organisme qui traite des données
à caractère personnel (3.37) pour le compte du responsable du traitement (3.10)
Note 1 à l’article: Voir la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative
à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre
circulation de ces données.
3.42
pseudonymisation
type particulier de désidentification (3.20) qui, à la fois, supprime la corrélation avec la personne
concernée et ajoute une association entre un ensemble donné de caractéristiques ayant trait à la
personne concernée et un ou plusieurs pseudonymes (3.43)
3.43
pseudonyme
identifiant personnel (3.36) différent de l’identifiant personnel normalement utilisé et employé avec des
données pseudonymisées pour assurer la cohérence de l’ensemble de données, reliant ainsi toutes les
informations relatives à une personne concernée, sans communiquer la véritable identité de la personne
Note 1 à l’article: Le pseudonyme peut être dérivé de l’identifiant personnel normalement utilisé, de manière
réversible ou irréversible, ou n’avoir aucun rapport avec ce dernier.
Note 2 à l’article: Le terme de pseudonyme se limite généralement à désigner un identifiant qui ne permet
pas la dérivation directe de l’identifiant personnel normal. De telles informations pseudonym
...
PROJET DE NORME INTERNATIONALE
ISO/DIS 25237
ISO/TC 215 Secrétariat: ANSI
Début de vote: Vote clos le:
2015-09-03 2015-12-03
Informatique de santé — Pseudonymization
Health informatics — Pseudonymisation
ICS: 35.240.80
TRAITEMENT PARRALLÈLE ISO/CEN
Le présent projet a été élaboré dans le cadre de l’Organisation internationale de
normalisation (ISO) et soumis selon le mode de collaboration sous la direction
de l’ISO, tel que défini dans l’Accord de Vienne.
Le projet est par conséquent soumis en parallèle aux comités membres de l’ISO et
aux comités membres du CEN pour enquête de cinq mois.
En cas d’acceptation de ce projet, un projet final, établi sur la base des observations
CE DOCUMENT EST UN PROJET DIFFUSÉ POUR
OBSERVATIONS ET APPROBATION. IL EST DONC reçues, sera soumis en parallèle à un vote d’approbation de deux mois au sein de
SUSCEPTIBLE DE MODIFICATION ET NE PEUT
l’ISO et à un vote formel au sein du CEN.
ÊTRE CITÉ COMME NORME INTERNATIONALE
AVANT SA PUBLICATION EN TANT QUE TELLE.
OUTRE LE FAIT D’ÊTRE EXAMINÉS POUR
Pour accélérer la distribution, le présent document est distribué tel qu’il est
ÉTABLIR S’ILS SONT ACCEPTABLES À DES
FINS INDUSTRIELLES, TECHNOLOGIQUES ET
parvenu du secrétariat du comité. Le travail de rédaction et de composition de
COMMERCIALES, AINSI QUE DU POINT DE VUE
texte sera effectué au Secrétariat central de l’ISO au stade de publication.
DES UTILISATEURS, LES PROJETS DE NORMES
INTERNATIONALES DOIVENT PARFOIS ÊTRE
CONSIDÉRÉS DU POINT DE VUE DE LEUR
POSSIBILITÉ DE DEVENIR DES NORMES
POUVANT SERVIR DE RÉFÉRENCE DANS LA
RÉGLEMENTATION NATIONALE.
Numéro de référence
LES DESTINATAIRES DU PRÉSENT PROJET
ISO/DIS 25237:2015(F)
SONT INVITÉS À PRÉSENTER, AVEC LEURS
OBSERVATIONS, NOTIFICATION DES DROITS
DE PROPRIÉTÉ DONT ILS AURAIENT
ÉVENTUELLEMENT CONNAISSANCE ET À
©
FOURNIR UNE DOCUMENTATION EXPLICATIVE. ISO 2015
---------------------- Page: 1 ----------------------
ISO/DIS 25237:2015(F)
Sommaire Page
Avant-propos . iv
Introduction . v
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Symboles (et abréviations) . 7
5 Exigences concernant la protection du caractère privé des identités dans le domaine de
la santé . 7
6 ) . 24
7 Processus de ré-identification . 28
8 30
Annexe A (informative) Scénarios de pseudonymisation dans le domaine de la santé . 31
Annexe B (informative) Exigences pour l'analyse des risques liés au respect de la vie privée. 47
Annexe C (informative) Processus de pseudonymisation (méthodes et mise en œuvre) . 59
Annexe D (informative) Spécification des méthodes et mise en œuvre . 66
Annexe E (informative) Cadre politique pour l'exploitation des services de pseudonymisation
(méthodes et mise en œuvre) . 68
Généralités . 68
Politique de respect de la vie privée . 68
Pratiques fiables pour les opérations . 69
Mise en œuvre de pratiques fiables pour la ré-identification . 70
Bibliographie . 72
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2015
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2015 – Tous droits réservés
---------------------- Page: 2 ----------------------
Sommaire Page
Avant-propos . iv
Introduction . v
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Symboles (et abréviations) . 7
5 Exigences concernant la protection du caractère privé des identités dans le domaine de
la santé . 7
6 ) . 24
7 Processus de ré-identification . 28
8 30
Annexe A (informative) Scénarios de pseudonymisation dans le domaine de la santé . 31
Annexe B (informative) Exigences pour l'analyse des risques liés au respect de la vie privée. 47
Annexe C (informative) Processus de pseudonymisation (méthodes et mise en œuvre) . 59
Annexe D (informative) Spécification des méthodes et mise en œuvre . 66
Annexe E (informative) Cadre politique pour l'exploitation des services de pseudonymisation
(méthodes et mise en œuvre) . 68
Généralités . 68
Politique de respect de la vie privée . 68
Pratiques fiables pour les opérations . 69
Mise en œuvre de pratiques fiables pour la ré-identification . 70
Bibliographie . 72
---------------------- Page: 3 ----------------------
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (IEC) en ce qui concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites
dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents critères
d'approbation requis pour les différents types de documents ISO. Le présent document a été rédigé
conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives).
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant les références
aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de l'élaboration du document
sont indiqués dans l'Introduction et/ou dans la liste des déclarations de brevets reçues par l'ISO
(voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l'intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la signification des termes et expressions spécifiques de l'ISO liés à l'évaluation de la
conformité, ou pour toute information au sujet de l'adhésion de l'ISO aux principes de l'OMC concernant les
obstacles techniques au commerce (OTC), voir le lien suivant : Avant-propos — Informations
supplémentaires.
Le comité chargé de l'élaboration du présent document est l'ISO/TC 215, Informatique de santé.
L'ISO/TS 25237 a été élaborée par le comité technique ISO/TC 215, Informatique de santé.
---------------------- Page: 4 ----------------------
Introduction
La pseudonymisation est reconnue comme une méthode importante de protection des informations de santé
à caractère personnel. Les services associés peuvent être utilisés aussi bien au plan national que pour la
communication transfrontière.
Les domaines d'application concernent, sans s'y limiter, les secteurs suivants :
l'utilisation indirecte des données cliniques (par exemple, la recherche) ;
les essais cliniques et la surveillance post-marketing ;
les soins pseudonymes ;
les systèmes d'identification des patients ;
la surveillance et l'évaluation de la santé publique ;
les dossiers confidentiels sur la sécurité des patients (par exemple, les effets indésirables d'un
médicament) ;
les rapports comparatifs fondés sur des indicateurs de qualité ;
le contrôle par les pairs ;
les groupes de consommateurs ;
l'assistance technique.
La présente Spécification technique fournit un modèle conceptuel des aspects en jeu, des exigences en
matière de pratiques fiables ainsi que des spécifications pour la planification et la mise en œuvre des services
de pseudonymisation.
La spécification d'un workflow général et d'une politique en matière d'opérations fiables servira de guide
général pour la mise en œuvre ainsi qu'à des fins d'assurance qualité, et aidera l'utilisateur des services de
pseudonymisation à déterminer la confiance qu'il peut accorder aux prestations assurées. Ce guide permettra
aux organismes d'éducation d'exécuter eux-mêmes des services de pseudonymisation, avec des
compétences suffisantes pour atteindre le degré voulu de qualité et de réduction des risques.
---------------------- Page: 5 ----------------------
ISO/TS 25237:2015(F)
Informatique de santé — Pseudonymisation
1 Domaine d'application
La présente Spécification technique établit un certain nombre de principes et d'exigences visant à garantir la
protection de la vie privée, grâce à des services de pseudonymisation ayant pour objet de protéger les
informations de santé à caractère personnel. La présente Spécification technique est applicable aux
organismes qui souhaitent s'engager dans des processus de pseudonymisation pour eux-mêmes et aux
organismes qui se déclarent dignes de confiance pour engager des opérations dans des services de
pseudonymisation.
La présente Spécification technique :
définit un concept de base pour la pseudonymisation ;
donne une vue d'ensemble des différents cas d'utilisation où l'opération de pseudonymisation peut être
réversible ou irréversible ;
définit une méthodologie de base pour les services de pseudonymisation, y compris au niveau des
aspects organisationnels et techniques ;
fournit un guide pour l'évaluation des risques en cas de ré-identification ;
spécifie un cadre politique et des exigences minimales en matière de pratiques fiables pour un service de
pseudonymisation ;
spécifie un cadre politique et des exigences minimales pour la ré-identification contrôlée.
2 Références normatives
Les documents ci-après, dans leur intégralité ou non, sont des références normatives indispensables à
l'application du présent document. Pour les références datées, seule l'édition citée s'applique. Pour les
références non datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
ISO 27799, Informatique de santé — Management de la sécurité de l'information relative à la santé en
utilisant l'ISO/IEC 27002
IHE Healthcare De-Identification Handbook: 2014
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s'appliquent.
3.1
contrôle d'accès
ensemble des moyens garantissant que seules les entités autorisées peuvent accéder aux ressources d'un
système informatique, et seulement d'une manière autorisée
[ISO/IEC 2382-8:1998, définition 08.04.01]
i © ISO 2015 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO/TS 25237:2015(F)
3.2
anonymisation
processus par lequel des données à caractère personnel sont altérées irréversiblement, de telle façon que la personne
concernée ne puisse plus être identifiée, directement ou indirectement, par le responsable du traitement des données,
seul ou en collaboration avec une autre partie
NOTE Ce concept est absolu et peut, dans la pratique, être difficile à mettre en œuvre.
NOTE Adapté de l'ISO/IEC 29100:2011, Technologies de l'information — Techniques de sécurité — Cadre privé.
3.3
données anonymisées
données de sortie produites par un processus d'anonymisation
NOTE Adapté de l'ISO/IEC 29100:2011, Technologies de l'information — Techniques de sécurité — Cadre privé.
3.4
identifiant anonyme
identifiant d'une personne ne permettant pas d’identifier la personne physique
3.5
authentification
établissement de la validité de l'identité déclarée
3.6
attaquant
personne cherchant à exploiter les vulnérabilités potentielles d'un système biométrique
[ISO/IEC 19792:2009(en)]
3.7
cryptogramme, texte chiffré
données résultant d'un chiffrement et dont le contenu sémantique n'est pas disponible sans recours à des
techniques cryptographiques
[ISO/IEC 2382-8:1998, définition 08.03.08]
3.8
confidentialité
propriété d'une information qui n'est ni disponible, ni divulguée aux personnes, entités ou processus non
autorisés
[ISO 7498-2:1989, définition 3.3.16]
3.9
clé de chiffrement de contenu
clé cryptographique utilisée pour chiffrer le contenu d'une communication
3.10
responsable du traitement
personne physique ou morale, autorité publique, service ou tout autre organisme qui, seul ou conjointement
avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel
3.11
cryptographie
discipline incluant les principes, moyens et méthodes de transformation des données, dans le but de cacher
leur contenu, d'empêcher que leur modification passe inaperçue et/ou d'empêcher leur utilisation non
autorisée
[ISO 7498-2:1989, définition 3.3.20]
ii © ISO 2015 – Tous droits réservés
---------------------- Page: 7 ----------------------
ISO/TS 25237:2015(F)
3.12
algorithme cryptographique
chiffre méthode permettant de transformer des données dans le but d’en masquer la quantité d’information,
d'empêcher que la modification de celle-ci ne soit pas détectée et/ou d'en prévenir une utilisation non
autorisée
3.13
gestion de clés
gestion de clés cryptographiques
production, stockage, distribution, suppression, archivage et application de clés conformément à la politique
de sécurité (3.43)
[ISO 7498-2:1989, définition 3.3.33]
3.14
intégrité des données
propriété assurant que des données n'ont pas été modifiées ou détruites de façon non autorisée
[ISO 7498-2:1989, définition 3.3.21]
3.15
liage de données
appariement et combinaison de données issues de plusieurs bases de données
3.16
protection des données
organisation technique et sociale permettant de négocier, gérer et garantir le caractère privé et la sécurité des
informations
3.17
personne concernée
personne à laquelle se rapportent les données
3.18
déchiffrement
reconstitution, à partir d'un cryptogramme, des données originales correspondantes
[ISO/IEC 2382-8:1998, définition 08.03.04]
NOTE Un cryptogramme peut être chiffré une deuxième fois ; dans ce cas, un déchiffrement unique ne restitue pas
le texte en clair original.
3.19
désidentification
terme général qui désigne tout processus réduisant l'association entre un ensemble de données
d'identification et la personne concernée
3.20
données d'identification directe
données qui identifient directement un individu
NOTE Les identifiants directs sont les données qui peuvent être utilisées pour identifier une personne sans
informations supplémentaires ou par recoupement avec d'autres informations du domaine public.
© ISO 2015 – Tous droits réservés iii
---------------------- Page: 8 ----------------------
ISO/TS 25237:2015(F)
3.21
divulgation
le fait de révéler des données ou d’y donner accès
NOTE Le fait que le destinataire regarde réellement les données, les transforme en connaissances ou les conserve,
est sans importance vis-à-vis de la réalisation de la communication.
3.22
chiffrement
transformation cryptographique de données produisant un cryptogramme (3.6)
[ISO 7498-2:1989, définition 3.3.27]
NOTE Voir cryptographie (3.10).
3.23
identifiant du sujet de soins
identifiant de soins de santé
identifiant d'une personne, destiné à être principalement utilisé par un système de soins de santé
3.24
personne identifiable
personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro
d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique,
psychique, économique, culturelle ou sociale
[Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des
personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de
ces données]
3.25
identification
processus consistant à utiliser des attributs déclarés ou observés d'une entité pour distinguer cette entité
parmi d'autres dans un ensemble d'identités
NOTE L'identification d'une entité dans un contexte déterminé permet à une autre entité de différencier les entités
avec lesquelles elle interagit.
3.26
identifiant
information utilisée pour déclarer une identité, avant corroboration potentielle par un authentifiant
correspondant (tel qu'utilisé dans le présent document)
[ENV 13608-1]
3.27
données d'identification indirecte
données qui ne peuvent identifier une personne que lorsqu'elles sont utilisées conjointement avec d'autres
données d'identification indirecte
NOTE Les identifiants indirects peuvent réduire à un individu la population à laquelle la personne appartient, s'ils
sont utilisés en combinaison.
EXEMPLES Code postal, sexe, âge, date de naissance.
iv © ISO 2015 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO/TS 25237:2015(F)
3.28
information
connaissance concernant un objet qui, dans un contexte déterminé, a une signification particulière
[ISO/IEC 2382-1:1993]
NOUVEAU TERME
donnée
représentation réinterprétable d'une information sous une forme conventionnelle convenant à la communication, à
l'interprétation ou au traitement
NOTE Les données peuvent être traitées par des moyens humains ou automatiques.
[ISO/IEC 2382-1:1993]
3.29
irréversibilité
pour toute transformation d'identifiable en pseudonyme, situation dans laquelle il est informatiquement
irréalisable de remonter à l'identifiant d'origine en partant du pseudonyme
3.30
clé
série de symboles commandant les opérations de chiffrement (3.21) et de déchiffrement (3.17)
[ISO 7498-2:1989, définition 3.3.32]
3.31
liage d'objets d'information
processus permettant d'établir une association logique entre différents objets d'information
3.32
personne physique
être humain par opposition à personne morale, laquelle peut être un organisme privé ou public
3.33
identification de personne
processus établissant une association entre un objet d'information et une personne physique
3.34
identifiant personnel
information permettant d'identifier une même et unique personne dans un contexte donné
3.35
données à caractère personnel
toute information concernant une personne physique identifiée ou identifiable (« personne concernée »)
[Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des
personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de
ces données]
3.36
principale utilisation des données à caractère personnel
utilisation des données à caractère personnel pour dispenser des soins de santé
© ISO 2015 – Tous droits réservés v
---------------------- Page: 10 ----------------------
ISO/TS 25237:2015(F)
3.37
respect de la vie privée
garantie de l'absence d'intrusion dans la vie privée ou les affaires d'un individu dans la mesure où cette
intrusion résulte de la collecte et de l'utilisation illégales et non fondées de données relatives à cet individu
[ISO/IEC 2382-8:1998, définition 08.01.23]
3.38
traitement de données à caractère personnel
toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à
des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation,
l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission,
diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le
verrouillage, l'effacement ou la destruction
[Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des
personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de
ces données]
3.39
sous-traitement
personne physique ou morale, autorité publique, service ou tout autre organisme qui traite des données à
caractère personnel pour le compte du responsable du traitement
[Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des
personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de
ces données]
3.40
pseudonymisation
type particulier de désidentification qui à la fois, supprime la corrélation avec lapersonne concernée et ajoute
une association entre un ensemble donné de caractéristiques concernant la personne concernée et un ou
plusieurs pseudonymes
3.41
pseudonyme
identifiant personnel différent de l'identifiant personnel normalement utilisé et employé avec des données
pseudonymisées pour assurer la cohérence de l'ensemble de données, reliant ainsi toutes les informations
relatives à une personne concernée, sans communiquer la véritable identité de la personne
NOTE 1 Le pseudonyme peut être dérivé de l'identifiant personnel normalement utilisé, de manière réversible ou
irréversible, ou n'avoir aucun rapport avec ce dernier.
NOTE 2 Le terme de pseudonyme se limite généralement à désigner un identifiant qui ne permet pas la dérivation
directe de l'identifiant personnel normal. De telles informations pseudonymes sont donc fonctionnellement anonymes. Une
tierce partie de confiance peut être en mesure d'obtenir l'identifiant personnel normal à partir du pseudonyme.
3.42
destinataire
personne physique ou morale, autorité publique, service ou tout autre organisme qui reçoit communication de
données
vi © ISO 2015 – Tous droits réservés
---------------------- Page: 11 ----------------------
ISO/TS 25237:2015(F)
3.43
utilisation indirecte, secondaire, des données à caractère personnel
On entend par utilisation indirecte, une utilisation qui diverge de l'usage initialement prévu pour les
données collectées.
3.44
politique de sécurité
plan ou programme d'action adopté pour assurer la sécurité informatique
[ISO/IEC 2382-8:1998, définition 08.01.06]
3.45
tierce partie de confiance
autorité de sécurité, ou son mandataire, à qui d’autres entités accordent leur confiance pour des activités en
rapport avec la sécurité
[ISO/IEC 18014-1:2008]
4 Symboles (et abréviations)
HIPAA Loi américaine sur la transférabilité des régimes d'assurance-maladie et l'imputabilité des données
sensibles [Health Insurance Portability and Accountability Act]
SIH Système d'information hospitalier
VIH Virus de l'immunodéficience humaine
IP Protocole Internet [Internet Protocol]
VoV Victime de violence
5 Exigences concernant la protection du caractère privé des identités dans le
domaine de la santé
5.1.1 Objectifs de la protection de la vie privée
L'objectif de la protection de la vie privée, en tant qu'objectif de sécurité visant à garantir la confidentialité, est
d'empêcher la communication non autorisée ou non souhaitée d'informations sur une personne, lesquelles
peuvent en outre influer sur des facteurs de risque juridiques, organisationnels et financiers. La protection de
la vie privée est un sous-domaine du droit générique au respect de la vie privée qui, par définition, englobe
d'autres entités sensibles au respect du caractère privé des données, telles que les organisations. Étant
donné que l'aspect « respect de la vie privée » est le mieux réglementé et le plus répandu, ce modèle
conceptuel met l'accent sur le respect du caractère privé des données. Des solutions de protection conçues
pour le respect de la vie privée peuvent également être transposées pour la protection des données sensibles
d'autres entités. Cela peut être utile dans les pays où le caractère privé des données des entités ou des
organisations est réglementé par la loi.
La protection des données à caractère personnel a deux objectifs dont l'un consiste à protéger les données à
caractère personnel en interaction avec des applications en ligne (par exemple, navigation Web) et l'autre, à
protéger les données à caractère personnel collectées dans des bases de données. La présente Spécification
technique se limitera à ce dernier objectif.
© ISO 2015 – Tous droits réservés vii
---------------------- Page: 12 ----------------------
ISO/TS 25237:2015(F)
Les données peuvent être extraites de bases de données. L'objectif est de réduire le risque que l'identité des
personnes concernées soit communiquée. Les chercheurs travaillent sur des « cas », études longitudinales
de patients collectées dans le temps et/ou provenant de différentes sources. Pour la compilation des
différents éléments de données constitutifs des cas, il est toutefois nécessaire d'utiliser une technique qui
permette d'agréger les données des personnes concernées, sans nuire à leur vie privée. Pour y parvenir, il
est possible de recourir à la pseudonymisation des données.
La désidentification est utilisée pour réduire les risques de non-respect de la vie privée dans un large éventail
de situations :
La désidentification extrême est utilisée pour les matériels éducatifs qui seront largement rendus
publics, et qui doivent néanmoins transmettre suffisamment de détails pour être utiles à des fins
d'éducation médicale. (Il existe un profil IHE d'assistance à l'automatisation pour la réalisation de ce
type de désidentification. Une grande partie du processus est adaptée au patient et à l’objectif
poursuivi en éducation médicale.)
Les organismes de santé publique utilisent des bases de données désidentifiées pour suivre et
comprendre les maladies.
Les essais cliniques utilisent la désidenti
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.