ISO 13606-4:2019
(Main)Health informatics — Electronic health record communication — Part 4: Security
Health informatics — Electronic health record communication — Part 4: Security
This document describes a methodology for specifying the privileges necessary to access EHR data. This methodology forms part of the overall EHR communications architecture defined in ISO 13606-1. This document seeks to address those requirements uniquely pertaining to EHR communications and to represent and communicate EHR-specific information that will inform an access decision. It also refers to general security requirements that apply to EHR communications and points at technical solutions and standards that specify details on services meeting these security needs. NOTE Security requirements for EHR systems not related to the communication of EHRs are outside the scope of this document.
Informatique de santé — Communication du dossier de santé informatisé — Partie 4: Sécurité
Le présent document décrit une méthodologie permettant de spécifier les privilèges nécessaires pour accéder aux données de DSI. Cette méthodologie forme une partie de l'architecture générale de communication de DSI définie dans l'ISO 13606-1. Le présent document cherche à traiter uniquement les exigences relatives aux communications de DSI et à représenter et communiquer les informations spécifiques au DSI qui permettent de prendre une décision d'accès. Elle fait également référence aux exigences de sécurité générale qui s'appliquent aux communications de DSI et signale des solutions techniques et des normes qui spécifient les détails de services répondant à ces besoins de sécurité. NOTE Les exigences de sécurité pour les systèmes de DSI non associées à la communication de DSI ne relèvent pas du domaine d'application du présent document.
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 13606-4
First edition
2019-06
Health informatics — Electronic
health record communication —
Part 4:
Security
Informatique de santé — Communication du dossier de santé
informatisé —
Partie 4: Sécurité
Reference number
©
ISO 2019
© ISO 2019
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2019 – All rights reserved
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Abbreviations. 2
5 Conformance . 2
6 Record Component Sensitivity and Functional Roles . 3
6.1 RECORD_COMPONENT sensitivity. 3
6.2 Functional roles . 3
6.3 Mapping of Functional Role to COMPOSITION sensitivity . 4
7 Representing access policy information within an EHR_EXTRACT .4
7.1 Overview . 4
7.2 UML representation of the archetype of the access policy COMPOSITION . 6
7.2.1 Access policy. 7
7.2.2 Target . 7
7.2.3 Request criterion . 8
7.2.4 Sensitivity constraint . 9
7.2.5 Attestation information .10
7.3 Archetype of the access policy COMPOSITION .11
8 Representing audit log information .11
8.1 General .11
8.1.1 EHR audit log extract .11
8.1.2 Audit log constraint .12
8.1.3 EHR audit log entry .13
8.1.4 EHR extract description .14
8.1.5 Demographic extract .15
Annex A (informative) Illustrative access control example .16
Annex B (informative) Relations of ISO 13606-4 to alternative approaches .20
Bibliography .22
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see the following
URL: www .iso .org/iso/foreword .html.
This document was prepared by Technical Committee ISO/TC 215, Health Informatics.
This first edition of ISO 13606-4 cancels and replaces the first edition of ISO/TS 13606-4:2009, which
has been technically revised. The main changes compared to the previous edition are as follows:
— Functional Roles
— Some terms for functional roles have been updated to align with CONTSYS.
— The rules for using this vocabulary now state that jurisdictions can nominate alternatives or
specialisations of these terms if needed.
— Access policy model
The access policy model now also permits jurisdictional alternative terms to be used where
appropriate.
— Audit log model
The audit log model now aligns with the ISO 27789 standard for EHR audit trails. It contains more
information than is present in ISO 27789: it is a kind of specialisation specifically dealing with the
communication of EHR information and audit log information. It therefore includes information
about the EHR extract or the audit log extract being communicated, which is beyond the scope of
ISO 27789.
A list of all parts in the ISO 13606 series can be found on the ISO website.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/members .html.
iv © ISO 2019 – All rights reserved
Introduction
0.1 General
This document, is part of a five-part standard series, published jointly by CEN and ISO through the
Vienna Agreement. In this document, dependency upon any of the other parts of this series is explicitly
stated where it applies.
0.2 Challenge addressed by this document
The communication of electronic health records (EHRs) in whole or in part, within and across
organisational boundaries, and sometimes across national borders, is challenging from a security
perspective. Health records should be created, processed and managed in ways that assure the
confidentiality of their contents and legitimate control by patients in how they are used. Around the
globe, these principles are progressively becoming enshrined in national data protection legislation.
These instruments declare that the subject of care has the right to play a pivotal role in decisions on
the content and distribution of his or her electronic health record, as well as rights to be informed of its
contents. The communication of health record information to third parties should take place only with
patient consent (which can be any freely given specific and informed indication of his or her wishes
by which the data subject signifies his or her agreement to personal data relating to him or her being
processed). More details can be found in ISO 22600-3. For EHR communication across national borders,
ISO 22857 provides guidance that can be used to define appropriate security policy specifications.
Ideally, each fine grained entry in a patient's record should only be accessed by those persons who
have permissions to view that information, specified by or approved by the patient and reflecting the
dynamic nature of the set of persons with legitimate duty of care towards the patient through his or
her lifetime. The access control list will ideally also include those persons who have permissions to
access the data for reasons other than a duty of care (such as health service management, epidemiology
and public health, consented research) but exclude any information that they do not need to see or
which the patient feels is too personal for them to access. On the opposite side, the labelling by patients
or their representatives of information as personal or private should ideally not hamper those who
legitimately need to see the information in an emergency, nor accidentally result in genuine health
care providers having such a filtered perspective that they are misled into managing the patient
1)
inappropriately. Patients' views on the inherent sensitivity of entries in their health record can evolve
over time, as their personal health anxieties alter or as societal attitudes to health problems change.
Patients might wish to offer some heterogeneous levels of access to family, friends, carers and members
of their community. Families might wish to provide a means by which they are able to access parts of
each other’s records (but not necessarily to equal extents) in order to monitor the progress of inherited
conditions within a family tree.
Such a set of requirements is arguably more extensive than that required of the data controllers in most
other industry sectors. It is in practice made extremely complex by:
— the large number of health record entries made on a patient during the course of modern health care;
— the large number of health care personnel, often rotating through posts, who might potentially
come into contact with a patient at any one time;
— the large number of organisations with which a patient might come into contact during his or her
lifetime;
— the difficulty (for a patient or for anyone else) of classifying in a standardized way how sensitive a
record entry might be;
— the difficulty of determining how important a single health record entry might be to the future care
of a patient, and to which classes of user;
1) The term sensitivity is widely used in the security domain for a broad range of safeguards and controls, but in
this document the term refers only to access controls.
— the logically indelible nature of the EHR and the need for revisions to access permissions to be
rigorously managed in the same way as revisions to the EHR entries themselves;
— the need to determine appropriate access very rapidly, in real time, and potentially in a distributed
computing environment;
— the high level of concern expressed by a growing minority of patients to have their consent for
disclosure recorded and respected;
— the low level of concern the majority of patients have about these requirements, which has historically
limited the priority and invest
...
INTERNATIONAL ISO
STANDARD 13606-4
First edition
2019-06
Health informatics — Electronic
health record communication —
Part 4:
Security
Informatique de santé — Communication du dossier de santé
informatisé —
Partie 4: Sécurité
Reference number
©
ISO 2019
© ISO 2019
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2019 – All rights reserved
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Abbreviations. 2
5 Conformance . 2
6 Record Component Sensitivity and Functional Roles . 3
6.1 RECORD_COMPONENT sensitivity. 3
6.2 Functional roles . 3
6.3 Mapping of Functional Role to COMPOSITION sensitivity . 4
7 Representing access policy information within an EHR_EXTRACT .4
7.1 Overview . 4
7.2 UML representation of the archetype of the access policy COMPOSITION . 6
7.2.1 Access policy. 7
7.2.2 Target . 7
7.2.3 Request criterion . 8
7.2.4 Sensitivity constraint . 9
7.2.5 Attestation information .10
7.3 Archetype of the access policy COMPOSITION .11
8 Representing audit log information .11
8.1 General .11
8.1.1 EHR audit log extract .11
8.1.2 Audit log constraint .12
8.1.3 EHR audit log entry .13
8.1.4 EHR extract description .14
8.1.5 Demographic extract .15
Annex A (informative) Illustrative access control example .16
Annex B (informative) Relations of ISO 13606-4 to alternative approaches .20
Bibliography .22
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see the following
URL: www .iso .org/iso/foreword .html.
This document was prepared by Technical Committee ISO/TC 215, Health Informatics.
This first edition of ISO 13606-4 cancels and replaces the first edition of ISO/TS 13606-4:2009, which
has been technically revised. The main changes compared to the previous edition are as follows:
— Functional Roles
— Some terms for functional roles have been updated to align with CONTSYS.
— The rules for using this vocabulary now state that jurisdictions can nominate alternatives or
specialisations of these terms if needed.
— Access policy model
The access policy model now also permits jurisdictional alternative terms to be used where
appropriate.
— Audit log model
The audit log model now aligns with the ISO 27789 standard for EHR audit trails. It contains more
information than is present in ISO 27789: it is a kind of specialisation specifically dealing with the
communication of EHR information and audit log information. It therefore includes information
about the EHR extract or the audit log extract being communicated, which is beyond the scope of
ISO 27789.
A list of all parts in the ISO 13606 series can be found on the ISO website.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/members .html.
iv © ISO 2019 – All rights reserved
Introduction
0.1 General
This document, is part of a five-part standard series, published jointly by CEN and ISO through the
Vienna Agreement. In this document, dependency upon any of the other parts of this series is explicitly
stated where it applies.
0.2 Challenge addressed by this document
The communication of electronic health records (EHRs) in whole or in part, within and across
organisational boundaries, and sometimes across national borders, is challenging from a security
perspective. Health records should be created, processed and managed in ways that assure the
confidentiality of their contents and legitimate control by patients in how they are used. Around the
globe, these principles are progressively becoming enshrined in national data protection legislation.
These instruments declare that the subject of care has the right to play a pivotal role in decisions on
the content and distribution of his or her electronic health record, as well as rights to be informed of its
contents. The communication of health record information to third parties should take place only with
patient consent (which can be any freely given specific and informed indication of his or her wishes
by which the data subject signifies his or her agreement to personal data relating to him or her being
processed). More details can be found in ISO 22600-3. For EHR communication across national borders,
ISO 22857 provides guidance that can be used to define appropriate security policy specifications.
Ideally, each fine grained entry in a patient's record should only be accessed by those persons who
have permissions to view that information, specified by or approved by the patient and reflecting the
dynamic nature of the set of persons with legitimate duty of care towards the patient through his or
her lifetime. The access control list will ideally also include those persons who have permissions to
access the data for reasons other than a duty of care (such as health service management, epidemiology
and public health, consented research) but exclude any information that they do not need to see or
which the patient feels is too personal for them to access. On the opposite side, the labelling by patients
or their representatives of information as personal or private should ideally not hamper those who
legitimately need to see the information in an emergency, nor accidentally result in genuine health
care providers having such a filtered perspective that they are misled into managing the patient
1)
inappropriately. Patients' views on the inherent sensitivity of entries in their health record can evolve
over time, as their personal health anxieties alter or as societal attitudes to health problems change.
Patients might wish to offer some heterogeneous levels of access to family, friends, carers and members
of their community. Families might wish to provide a means by which they are able to access parts of
each other’s records (but not necessarily to equal extents) in order to monitor the progress of inherited
conditions within a family tree.
Such a set of requirements is arguably more extensive than that required of the data controllers in most
other industry sectors. It is in practice made extremely complex by:
— the large number of health record entries made on a patient during the course of modern health care;
— the large number of health care personnel, often rotating through posts, who might potentially
come into contact with a patient at any one time;
— the large number of organisations with which a patient might come into contact during his or her
lifetime;
— the difficulty (for a patient or for anyone else) of classifying in a standardized way how sensitive a
record entry might be;
— the difficulty of determining how important a single health record entry might be to the future care
of a patient, and to which classes of user;
1) The term sensitivity is widely used in the security domain for a broad range of safeguards and controls, but in
this document the term refers only to access controls.
— the logically indelible nature of the EHR and the need for revisions to access permissions to be
rigorously managed in the same way as revisions to the EHR entries themselves;
— the need to determine appropriate access very rapidly, in real time, and potentially in a distributed
computing environment;
— the high level of concern expressed by a growing minority of patients to have their consent for
disclosure recorded and respected;
— the low level of concern the majority of patients have about these requirements, which has historically
limited the priority and invest
...
NORME ISO
INTERNATIONALE 13606-4
Première édition
2019-06
Informatique de santé —
Communication du dossier de santé
informatisé —
Partie 4:
Sécurité
Health informatics — Electronic health record communication —
Part 4: Security
Numéro de référence
©
ISO 2019
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2019
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2019 – Tous droits réservés
Sommaire Page
Avant-propos .iv
Introduction .vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Abréviations . 2
5 Conformité . 3
6 Sensibilité des éléments du dossier et rôles fonctionnels . 3
6.1 Sensibilité de RECORD_COMPONENT . 3
6.2 Rôles fonctionnels . 4
6.3 Mise en correspondance du rôle fonctionnel avec la sensibilité de COMPOSITION . 4
7 Représentation des informations de politique d’accès dans un EHR_EXTRACT .5
7.1 Vue d’ensemble . 5
7.2 Représentation UML de l’archétype de la politique d’accès COMPOSITION . 7
7.2.1 Politique d’accès . 7
7.2.2 Cible . 8
7.2.3 Critère de demande . 9
7.2.4 Contrainte de sensibilité .10
7.2.5 Informations d’attestation .11
7.3 Archétype de la COMPOSITION de politique d’accès .12
8 Représentation des informations du rapport d’expertise .12
8.1 Généralités .12
8.1.1 Extrait de rapport d’expertise de DSI .13
8.1.2 Contrainte de rapport d’expertise .13
8.1.3 Entrée de rapport d’expertise de DSI .14
8.1.4 Description de l’extrait de DSI .15
8.1.5 Extrait démographique .16
Annexe A (informative) Exemple illustratif de contrôle d’accès.17
Annexe B (informative) Relations entre l’ISO 13606-4 et des approches alternatives .21
Bibliographie .23
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www .iso .org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: www .iso .org/iso/fr/avant -propos.
Le présent document a été élaboré par le comité technique ISO/TC 215, Informatique de santé.
Cette première édition de l’ISO 13606-4 annule et remplace la première édition de l’ISO/TS 13606-
4:2009, qui a fait l’objet d’une révision technique.
Les modifications par rapport à l’édition précédente sont les suivantes:
— rôles fonctionnels;
— certains termes relatifs aux rôles fonctionnels ont été mis à jour pour s’aligner sur CONTSYS;
— les règles d’utilisation de ce vocabulaire stipulent maintenant que les juridictions peuvent
nommer des alternatives ou des spécialisations de ces termes si nécessaire;
— modèle de politique d’accès;
Le modèle de politique d’accès permet maintenant d’utiliser les termes alternatifs des juridictions
le cas échéant.
— modèle de rapport d’expertise.
Le modèle de rapport d’expertise est maintenant aligné sur la norme ISO 27789 pour les historiques
d’expertise de DSI. Il contient plus d’informations qu’il n’y en a dans l’ISO 27789: il s’agit d’un
type de spécialisation traitant spécifiquement de la communication des informations du DSI et
des informations du rapport d’expertise. Il inclut donc des informations sur l’extrait de DSI ou
l’extrait de rapport d’expertise communiqué, ce qui ne fait pas partie du domaine d’application de
l’ISO 27789.
Une liste de toutes les parties de la série ISO 13606 se trouve sur le site web de l’ISO.
iv © ISO 2019 – Tous droits réservés
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/fr/members .html.
Introduction
0.1 Généralités
Le présent document fait partie d’une série de normes en cinq parties, publiées conjointement par
le CEN et l’ISO dans le cadre de l’Accord de Vienne. Dans le présent document, la dépendance à l’une des
autres parties de la série est explicitement indiquée là où elle s’applique.
0.2 Sujets abordés dans la présente partie de l’ISO 13606
La communication des dossiers de santé informatisés (DSI) complets ou de parties de ceux-ci, dans les
limites d’une organisation et entre organisations, quelquefois même au-delà des frontières nationales,
pose des problèmes du point de vue de la sécurité. Il convient de créer, traiter et gérer les dossiers de
santé de manière à assurer la confidentialité de leur contenu et à permettre aux patients de contrôler
la manière dont ils sont utilisés. Dans le monde entier, ces principes s’inscrivent progressivement dans
les législations nationales de protection des données. Ces instruments déclarent que le sujet des soins a
le droit de jouer un rôle central dans les décisions prises sur le contenu et la distribution de son dossier
de santé informatisé, ainsi que le droit d’être informé de son contenu. Il convient que la communication
des informations des dossiers de santé à des tiers se fasse uniquement avec l’accord du patient (qui peut
être toute indication spécifique et informée donnée librement de son souhait, par laquelle le sujet des
informations signifie son accord avec le traitement de ses données personnelles). L’ISO 22600-3 donne
de plus amples détails. Pour la communication des DSI au-delà des frontières nationales, l’ISO 22857
donne des recommandations qui peuvent être utilisées pour définir des spécifications appropriées de
politique de sécurité.
Dans l’idéal, il convient que chaque entrée affinée dans le dossier d’un patient soit accessible uniquement
par les personnes qui ont l’autorisation de voir ces informations, spécifiées ou approuvées par le patient
et reflétant la nature dynamique de l’ensemble des personnes disposant d’un devoir de soins légitime
envers le patient tout au long de sa vie. La liste de contrôle d’accès inclut également dans l’idéal les
personnes qui ont l’autorisation d’accéder aux données pour des raisons autres que le devoir de soins
(comme la gestion d’un service de soins, l’épidémiologie et la santé publique, la recherche consentie)
mais exclut toute information qu’elles n’ont pas besoin de connaître ou que le patient considère comme
trop personnelles pour les leur divulguer. Par ailleurs, il convient que l’étiquetage par les patients ou
leurs représentants d’informations comme étant personnelles ou privées ne gêne pas les personnes
ayant un besoin légitime de voir les informations en cas d’urgence ni n’ait pour conséquence que des
authentiques prestataires de soins de santé disposent d’un point de vue incomplet qui les induirait en
1)
erreur dans la gestion du patient. Le point de vue des patients sur la sensibilité inhérente des données
de leur dossier de santé peut évoluer dans le temps, à mesure que leurs angoisses à propos de leur
santé ou que les attitudes sociétales envers leurs problèmes de santé changent. Les patients peuvent
souhaiter que leur famille, leurs amis, les soignants et les membres de leur communauté bénéficient de
niveaux d’accès différents. Les familles peuvent souhaiter offrir un moyen leur permettant d’accéder à
des parties du dossier les uns des autres (pas nécessairement dans la même mesure) afin de surveiller
les progrès des états de santé hérités au sein d’une famille.
Un tel ensemble d’exigences est sans doute plus complet que celui qui est exigé des contrôleurs de
données dans la plupart des autres domaines industriels. Dans la pratique, il est rendu extrêmement
complexe en raison des éléments suivants:
— le grand nombre d’entrées dans le dossier de santé au cours des soins de santé administrés de nos
jours au patient;
— le grand nombre de personnels de soins de santé, changeant souvent de postes, pouvant
potentiellement entrer en contact avec un patient à tout moment;
— le grand nombre d’organisations avec lesquelles un patient peut entrer en contact au cours
...
NORME ISO
INTERNATIONALE 13606-4
Première édition
2019-06
Informatique de santé —
Communication du dossier de santé
informatisé —
Partie 4:
Sécurité
Health informatics — Electronic health record communication —
Part 4: Security
Numéro de référence
©
ISO 2019
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2019
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2019 – Tous droits réservés
Sommaire Page
Avant-propos .iv
Introduction .vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Abréviations . 2
5 Conformité . 3
6 Sensibilité des éléments du dossier et rôles fonctionnels . 3
6.1 Sensibilité de RECORD_COMPONENT . 3
6.2 Rôles fonctionnels . 4
6.3 Mise en correspondance du rôle fonctionnel avec la sensibilité de COMPOSITION . 4
7 Représentation des informations de politique d’accès dans un EHR_EXTRACT .5
7.1 Vue d’ensemble . 5
7.2 Représentation UML de l’archétype de la politique d’accès COMPOSITION . 7
7.2.1 Politique d’accès . 7
7.2.2 Cible . 8
7.2.3 Critère de demande . 9
7.2.4 Contrainte de sensibilité .10
7.2.5 Informations d’attestation .11
7.3 Archétype de la COMPOSITION de politique d’accès .12
8 Représentation des informations du rapport d’expertise .12
8.1 Généralités .12
8.1.1 Extrait de rapport d’expertise de DSI .13
8.1.2 Contrainte de rapport d’expertise .13
8.1.3 Entrée de rapport d’expertise de DSI .14
8.1.4 Description de l’extrait de DSI .15
8.1.5 Extrait démographique .16
Annexe A (informative) Exemple illustratif de contrôle d’accès.17
Annexe B (informative) Relations entre l’ISO 13606-4 et des approches alternatives .21
Bibliographie .23
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www .iso .org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: www .iso .org/iso/fr/avant -propos.
Le présent document a été élaboré par le comité technique ISO/TC 215, Informatique de santé.
Cette première édition de l’ISO 13606-4 annule et remplace la première édition de l’ISO/TS 13606-
4:2009, qui a fait l’objet d’une révision technique.
Les modifications par rapport à l’édition précédente sont les suivantes:
— rôles fonctionnels;
— certains termes relatifs aux rôles fonctionnels ont été mis à jour pour s’aligner sur CONTSYS;
— les règles d’utilisation de ce vocabulaire stipulent maintenant que les juridictions peuvent
nommer des alternatives ou des spécialisations de ces termes si nécessaire;
— modèle de politique d’accès;
Le modèle de politique d’accès permet maintenant d’utiliser les termes alternatifs des juridictions
le cas échéant.
— modèle de rapport d’expertise.
Le modèle de rapport d’expertise est maintenant aligné sur la norme ISO 27789 pour les historiques
d’expertise de DSI. Il contient plus d’informations qu’il n’y en a dans l’ISO 27789: il s’agit d’un
type de spécialisation traitant spécifiquement de la communication des informations du DSI et
des informations du rapport d’expertise. Il inclut donc des informations sur l’extrait de DSI ou
l’extrait de rapport d’expertise communiqué, ce qui ne fait pas partie du domaine d’application de
l’ISO 27789.
Une liste de toutes les parties de la série ISO 13606 se trouve sur le site web de l’ISO.
iv © ISO 2019 – Tous droits réservés
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/fr/members .html.
Introduction
0.1 Généralités
Le présent document fait partie d’une série de normes en cinq parties, publiées conjointement par
le CEN et l’ISO dans le cadre de l’Accord de Vienne. Dans le présent document, la dépendance à l’une des
autres parties de la série est explicitement indiquée là où elle s’applique.
0.2 Sujets abordés dans la présente partie de l’ISO 13606
La communication des dossiers de santé informatisés (DSI) complets ou de parties de ceux-ci, dans les
limites d’une organisation et entre organisations, quelquefois même au-delà des frontières nationales,
pose des problèmes du point de vue de la sécurité. Il convient de créer, traiter et gérer les dossiers de
santé de manière à assurer la confidentialité de leur contenu et à permettre aux patients de contrôler
la manière dont ils sont utilisés. Dans le monde entier, ces principes s’inscrivent progressivement dans
les législations nationales de protection des données. Ces instruments déclarent que le sujet des soins a
le droit de jouer un rôle central dans les décisions prises sur le contenu et la distribution de son dossier
de santé informatisé, ainsi que le droit d’être informé de son contenu. Il convient que la communication
des informations des dossiers de santé à des tiers se fasse uniquement avec l’accord du patient (qui peut
être toute indication spécifique et informée donnée librement de son souhait, par laquelle le sujet des
informations signifie son accord avec le traitement de ses données personnelles). L’ISO 22600-3 donne
de plus amples détails. Pour la communication des DSI au-delà des frontières nationales, l’ISO 22857
donne des recommandations qui peuvent être utilisées pour définir des spécifications appropriées de
politique de sécurité.
Dans l’idéal, il convient que chaque entrée affinée dans le dossier d’un patient soit accessible uniquement
par les personnes qui ont l’autorisation de voir ces informations, spécifiées ou approuvées par le patient
et reflétant la nature dynamique de l’ensemble des personnes disposant d’un devoir de soins légitime
envers le patient tout au long de sa vie. La liste de contrôle d’accès inclut également dans l’idéal les
personnes qui ont l’autorisation d’accéder aux données pour des raisons autres que le devoir de soins
(comme la gestion d’un service de soins, l’épidémiologie et la santé publique, la recherche consentie)
mais exclut toute information qu’elles n’ont pas besoin de connaître ou que le patient considère comme
trop personnelles pour les leur divulguer. Par ailleurs, il convient que l’étiquetage par les patients ou
leurs représentants d’informations comme étant personnelles ou privées ne gêne pas les personnes
ayant un besoin légitime de voir les informations en cas d’urgence ni n’ait pour conséquence que des
authentiques prestataires de soins de santé disposent d’un point de vue incomplet qui les induirait en
1)
erreur dans la gestion du patient. Le point de vue des patients sur la sensibilité inhérente des données
de leur dossier de santé peut évoluer dans le temps, à mesure que leurs angoisses à propos de leur
santé ou que les attitudes sociétales envers leurs problèmes de santé changent. Les patients peuvent
souhaiter que leur famille, leurs amis, les soignants et les membres de leur communauté bénéficient de
niveaux d’accès différents. Les familles peuvent souhaiter offrir un moyen leur permettant d’accéder à
des parties du dossier les uns des autres (pas nécessairement dans la même mesure) afin de surveiller
les progrès des états de santé hérités au sein d’une famille.
Un tel ensemble d’exigences est sans doute plus complet que celui qui est exigé des contrôleurs de
données dans la plupart des autres domaines industriels. Dans la pratique, il est rendu extrêmement
complexe en raison des éléments suivants:
— le grand nombre d’entrées dans le dossier de santé au cours des soins de santé administrés de nos
jours au patient;
— le grand nombre de personnels de soins de santé, changeant souvent de postes, pouvant
potentiellement entrer en contact avec un patient à tout moment;
— le grand nombre d’organisations avec lesquelles un patient peut entrer en contact au cours
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.