АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Анонимизация данных

Экспертиза РАН

Logo-ran.pngLogo-ran-black.png
Проводится экспертиза
Российской академией наук
Подробнее
Times2.svg

Экспертиза РАН

Arrow-Right.png
Logo-ran.png
Проводится экспертиза
Российской академией наук
Подробнее

Анонимиза́ция да́нных — это изменение содержимого или структуры данных с целью сделать крайне затруднительной или невозможной «повторную идентификацию» лиц (физических или юридических) либо иных сущностей, к которым эти данные относятся (что требует чёткого определения понятия «идентифицируемости» в данном контексте[1]).

В англоязычной литературе также употребляется термин англ. de-identification (DE-ID)[2].

Решение об анонимизации данных зачастую отражает баланс между деонтологическими, юридическими и этическими соображениями, связанными с необходимостью или обязанностью защищать права личности и её персональные данные. Анонимизация часто используется при публикации и обмене[3] данными, представляющими общественный интерес, такими как открытые данные.

Использование анонимизированных данных всё ещё вызывает многочисленные юридические и этические вопросы, поскольку в некоторых случаях оно может стать препятствием[4] для медицинских наблюдательных исследований[5]. Законы ряда стран устанавливают исключения, позволяя сохранять или использовать определённые неанонимизированные данные, например в целях здравоохранения или национальной безопасности; применение анонимных данных может сопровождаться ограничением сроков их хранения.

История

Понятие конфиденциальности персональных данных, особенно медицинских, восходит к эпохе Гиппократа[6], однако массовое хранение и компьютерная обработка персональных данных радикально изменили это поле.

США и страны — члены Европейского союза постепенно выработали национальное и наднациональное законодательство о защите конфиденциальности данных, включая их электронные формы (в Европе — с момента вступления в силу Директива 95/46/EC о защите персональных данных, обязывающей привести национальные законы в соответствие до 24 октября 1998 года, в том числе при трансграничной передаче данных вне Европы).

Директива ЕС регулирует только неанонимизированные данные и прямо указывает, что в случае «данных, приведённых в анонимный вид, не допускающий идентификации лица», принципы защиты данных не применяются. Эта позиция подтверждена судебной практикой (например, решением Апелляционного суда Англии и Уэльса). Первые законы слабо конкретизировали способы анонимизации именных данных.

В ряде случаев для анонимизации всё ещё требуется согласие субъекта данных; кроме того, если остаётся возможность повторной идентификации в срок до определённой даты (обычно с помощью одного или нескольких ключей дешифровки), такое решение также требует предварительного согласия.

В настоящее время разрабатываются методы, позволяющие повысить безопасность передачи данных без излишних препятствий для обмена — например, для нужд телемедицины[7].

Вопросы анонимизации

Проблематика анонимизации связана с этическими, юридическими, информационными аспектами и вопросами корпоративного управления[8][9].

Появление Интернета породило новые вызовы: обмен личной информацией и деталями жизни (через блоги, форумы, личные страницы) требует информированности о рисках утраты приватности. С 1990-х годов предпринимаются попытки информировать пациентов о возможном применении их медицинских данных и праве на частную жизнь. Европейский парламент в 2013—2014 годах подчёркивал, что единая общеевропейская регламентация должна усилить защиту: «Защита данных — это одна из визитных карточек Европы… после мировых шпионских скандалов этот вопрос стал ещё более важным»[10].

В определённых случаях или по личному желанию человек может стремиться к анонимности (или использовать псевдоним, или запретить раскрытие своего имени, изображения). Закон требует анонимизации при обработке некоторых персональных данных и чувствительных данных, что позволяет использовать их в интересах общества без угрозы личности.

Псевдоанонимизация экзаменационных работ помогает снизить предвзятость экзаменаторов. Анонимизация участников журналистских материалов, расследований даёт защиту от преследования, стигматизации и вмешательства в частную жизнь, но иногда снижает доверие к источнику и точность сведений. Анонимизация данных с личными деталями часто уменьшает их ценность для статистики и науки.

Анонимизация базы социологических данных (например, опросов мнений) может иметь специфический социологический смысл. Существуют методики, позволяющие провести анонимизацию так, чтобы даже знакомые между собой участники не могли опознать друг друга по данным[11].

Особое значение имеют борьба с целевым спамом[12], защита персональных, биомедицинских и генетических данных (создание регистров заболеваний, эпидемиологическое картирование). При этом само проведение медицинских/экологических исследований зачастую невозможно без неанонимизированных данных (иначе поcледует искажение результатов)[13][14][15][16][17].

Юридические вопросы

Для ряда публичных данных, содержащих частную информацию (например, при размещении открытых данных), законы ряда стран требуют обязательной анонимизации перед повторным использованием[18].

Поддержание актуальности законодательства и практики, а также их трактовки составляет постоянный вызов[4], так как возможности перекрёстного анализа развиваются очень быстро.

Особый случай: заболевания, подлежащие обязательному уведомлению

Заявления о некоторых инфекциях (например, ВИЧ/СПИД во Франции) обязательно проходят безвозвратную анонимизацию, что позволяет совмещать защиту пациентов с эффективностью санитарного мониторинга и профилактики.

Особый случай: геномные данные

Снижение затрат на анализ ДНК создаёт этические вызовы[19]: насколько реально возможно полное обезличивание данных? Исследования показали, что анонимность генома практически не достижима[20].

Публикация анонимизированных геномных данных в open data важна для науки[21], но связана с рисками и неравенством в случае злоупотреблений.

В 2008 году Национальные институты здоровья США ужесточили требования после публикации статьи о способности идентифицировать индивидуальный ДНК, составляющий менее 1 % от совокупного объёма[22]. Биологи Джордж Чёрч и Миша Ангрист отмечали: «ДНК — это финальный идентификатор», и невозможно полностью гарантировать анонимность данных[23].

Проводится поиск новых методов оценки рисков[24] и анонимизации генетических исследований[25].

Особый случай: анонимизация текстовых данных

Даже при удалении явных идентификаторов в тексте могут присутствовать уникальные признаки (топонимы, названия учреждений, характерные выражения), позволяющие идентификацию автора. Существуют специализированные компьютерные программы для поиска таких маркеров, хотя большая часть подобного ПО создавалась для английского языка и требует адаптации для других языковых сред.

Как анонимизировать данные

Кто осуществляет анонимизацию

Анонимизация может быть проведена либо первоначальным владельцем данных, либо сторонней организацией после обработки.

В ряде стран анонимизацией занимаются лицензированные коммерческие структуры, в которых отвечает специально назначенный персонал, увольняемый за утечку данных пациента[26]. В Европе Европейская конвенция по правам человека защищает не только личную, но и семейную и домашнюю тайну, а также переписку.

Этапы анонимизации

Минимально необходимым этапом считается удаление идентификаторов (имя, фамилия, псевдонимы пациента/лечащего врача/родственников; пол; возраст, особенно при возрасте >90 лет[27]; адреса, топонимы[27]; телефоны, e-mail, URL, IP-адреса[27]; уникальные номера (соцстрах, страховка, банковский счёт и др.[27]; номера устройств имплантатов[27]; идентификаторы биометрических данных[27]; любые иные признаки идентификации — фото, изображения травм или татуировок[27]).

Далее применяются фильтры и криптографические трансформации (например, шифрование или хеширование по алгоритму SHA). На этапе подготовки анализа проводится исследование политики анонимизации, определяются требования — нужна ли обратимость процесса, приоритет данных по степени «чувствительности» и характеру обработки. Выбирается сценарий, соответствующий целям и закону. Во всех случаях анонимизация должна быть устойчивой к атакам по словарю.

Может применяться многоуровневая анонимизация: больница делает первичный этап, центр обработки данных дополняет, а исследователь — ещё обезличивает перед публикацией[27]. Используются ручные методы, программные трансформации, псевдонимы, шифрование, различные модели анонимизации.

В медицине понятие анонимизированной идентичности и повторной идентификации включает как прямые, так и косвенные идентификаторы (имя, адрес), так и потенциал рекомбинации за счёт дешифровки данных[28]..

Для снижения риска утечки к базе должны включаться исключительно минимально необходимое число лиц[27]. Наибольшая юридическая надёжность — когда согласие дано всеми участниками[27].

Организации обязаны применять контроль доступа, механизмы обнаружения и противодействия нарушениям (со стороны интернета или инсайдеров)[27].

Близкие понятия

  • Некомбинируемость — невозможность связать или реконструировать информацию о человеке из разных баз (отсутствие интероперабельности);
  • Необозримость — невозможность со стороны неавторизованных лиц обнаружить или использовать данные.

Использование анонимизированных данных

Анонимизированные данные активно применяются в исследовательских, статистических, административных, маркетинговых целях. Категории:

Иногда требуется полная невозможность повторной идентификации, то есть непреодолимая стойкость к «инференционным атакам»[33][34][35] (под инференцией здесь понимается несанкционированное восстановление не выданных данных на основании анализа допустимых). Методы — случайная перестановка (перемешивание) данных, добавление «шума»[27].

Есть и ситуации, когда полное восстановление невозможно, но вероятностное сопоставление личности с набором данных — например, при помощи статистики[36]. Используются также методы перестановки, рандомизации[27].

Анонимизация текстовых корпусов (например, электронной переписки, анкет) трудоёмка, потому публичных реюзабельных корпусов мало[37].

Ограничения

Нежелательная повторная идентификация

Ряд исследователей (например, Пит Уорден) считают, что полностью анонимизировать современные данные невозможно: по немногим переменным (пол, дата рождения, почтовый индекс) можно восстановить личность в крупных базах[38][39], а по данным о покупках — по четырём магазинам и датам обращения[40].

Создаётся ложное чувство защищённости[41], поэтому анонимизация должна сочетаться с разумным разграничением детализации и консультациями со специалистами.

В работах Л. Роше, Ж. М. Хендрикса, И.-А. де Монжуа доказано, что стандартные критерии анонимизации (в 2019 году) недостаточны: по пятнадцати демографическим переменным в типичном наборе данных реидентификация возможна для 99,98 % жителей США[42].

Преднамеренная или временная реидентификация

Анонимизация (организационная, криптографическая или необратимая, например, на основе односторонней функции) предполагает невозможность восстановления личности. Если восстановить можно — это уже псевдонимизация. Промежуточное решение — использование смарт-карт, хранящих несколько вторичных анонимных идентификаторов[27].

Общественное мнение об анонимизации

Изучение общественной оценки процедур анонимизации и будущих сценариев использования персональных данных (особенно в здравоохранении) важно для развития этических и юридических регуляторов (например, CNIL во Франции).

В начале 2000-х в ЕС 84 % граждан доверяли системе здравоохранения в отношении сохранности данных, но только 42 % знали о своём праве давать согласие и запрещать их использование[43].

Переход к цифровизации исторически поддержан обществом[44], при условии эффективных мер безопасности. В 2014 году 92 % европейцев беспокоились о сборе мобильными приложениями их данных без согласия, 70 % волновала возможность коммерческого использования раскрытых данных[10].

Североамериканское исследование 2013 года показало, что людей больше интересует, как именно будут использоваться их данные, чем личность пользователя или чувствительность данных.

Другая работа указывает на беспокойство общества относительно «зерна» анонимизации (степени детализации)[45].

Вопросы собственности на медицинскую информацию остаются спорными[46].

Обсуждения с участием медицинских работников и общественности показали: невозможно по умолчанию считать приемлемым использование данных без согласия пациента, несмотря на общественную поддержку исследований[47].

Анонимизация должна быть учтена при планировании медицинской помощи, клинических испытаний[48], а также создании исследовательских баз данных[49].

Атаки

На анонимизацию могут быть направлены специальные атаки, такие как индивидуализация[50].

Примечания

  1. Hull SC, Wilfond BS (2008). What does it mean to be identifiable. Am J Bioeth. 2008 Oct; 8(10):W7-8. “What does it mean to be identifiable”. Am J Bioeth [англ.]. 8 (10): W7—8. октябрь 2008. Дата обращения 2024-06-10. Проверьте дату в |date= (справка на английском)
  2. Neamatullah, I., Douglass, M. M., Lehman, L.-W. H., Reisner, A., Villarroel, M., Long, W. J., Szolovits, P., Moody, G. B., Mark, R. G., Clifford, G. D. (2008). Automated de-identification of free-text medical records. BMC Medical Informatics and Decision Making, 8. “Automated de-identification of free-text medical records”. BMC Medical Informatics and Decision Making [англ.]. 8: 32. 2008. Дата обращения 2024-06-10.
  3. Happe, A., Burgun, A., Brémond, M. (2000). Le partage de l’information: une étape indispensable pour accroître l’efficience de notre système de santé. L’informatique au service du patient: Comptes rendus des huitièmes Journées Francophones d’informatique Médicale, Marseille, 30 et 31 mai 2000, 12, 101. Le partage de l’information: une étape indispensable pour accroître l’efficience de notre système de santé (фр.). Google Livres. Дата обращения: 10 июня 2024.
  4. 1 2 Strobl J, Cave E, Walley T (2000). Data protection legislation : interpretation and barriers to research. BMJ . 321:890-892. “Data protection legislation: interpretation and barriers to research”. BMJ [англ.]. 321: 890—892. октябрь 2000. Дата обращения 2024-06-10. Проверьте дату в |date= (справка на английском)
  5. Al‐Shahi R, Warlow C. Using patient‐identifiable data for observational research and audit. BMJ 2000. 321:1031-1032. “Using patient‐identifiable data for observational research and audit”. BMJ [англ.]. 321: 1031—1032. октябрь 2000. Дата обращения 2024-06-10. Проверьте дату в |date= (справка на английском)
  6. Edelstein L. (1943). The Hippocratic Oath, Text, Translation and Interpretation. VII. The Johns Hopkins Press; MD, USA, 1943, стр. 64.
  7. Agrawal R, Johnson C. (2007). Securing electronic health records without impeding the flow of information ; Int J Med Inform. 2007 May-Jun; 76(5-6):471-9. “Securing electronic health records without impeding the flow of information”. Int J Med Inform [англ.]. 76 (5—6): 471—479. май–июнь 2007. Дата обращения 2024-06-10. Проверьте дату в |date= (справка на английском)
  8. Graeme Laurie, Nayha Sethi. (2014). Towards Principles-Based Approaches to Governance of Health-related Research using Personal Data. Eur J Risk Regul. 2013 January 1; 4(1): 43-57. PMCID:PMC3885861. “Towards Principles-Based Approaches to Governance of Health-related Research using Personal Data”. Eur J Risk Regul [англ.]. 4 (1): 43—57. январь 2014. Дата обращения 2024-06-10. Проверьте дату в |date= (справка на английском)
  9. Nayha Sethi, Graeme T. Laurie (2013). Delivering proportionate governance in the era of eHealth: Making linkage and privacy work together. Med Law Int. 13(2-3): 168—204. PMCID:PMC3952593. “Delivering proportionate governance in the era of eHealth: Making linkage and privacy work together”. Med Law Int [англ.]. 13 (2—3): 168—204. июнь 2013. Дата обращения 2024-06-10. Проверьте дату в |date= (справка на английском)
  10. 1 2 Commission européenne (2014) Progress on EU data protection reform now irreversible following European Parliament vote (англ.). European Commission. EU (12 марта 2014). Дата обращения: 10 июня 2024.
  11. Emmanuelle Zolesio (2011), Anonymiser les enquêtés. Interrogations ?, 174—183. Anonymiser les enquêtés (фр.). HAL. Дата обращения: 10 июня 2024.
  12. Commission européenne (2006) Protecting privacy and fighting spam (англ.). European Commission (январь 2006). Дата обращения: 10 июня 2024.
  13. Brown P. Health bodies defend their right to access patient data. BMJ 2002. 324:1236 “Health bodies defend their right to access patient data”. BMJ [англ.]. 324: 1236. май 2002. Дата обращения 2024-06-10. Проверьте дату в |date= (справка на английском)
  14. Verity C, Nicoll A (2002). Consent, confidentiality, and the threat to public health Surveillance. BMJ. 324:1210-1213. “Consent, confidentiality, and the threat to public health Surveillance”. BMJ [англ.]. 324: 1210—1213. май 2002. Дата обращения 2024-06-10. Проверьте дату в |date= (справка на английском)
  15. Iversen A, Liddell K, Fear N. et al. (2006). Consent, confidentiality, and the Data Protection Act. BMJ. 332:165-169. “Consent, confidentiality, and the Data Protection Act”. BMJ [англ.]. 332: 165—169. январь 2006. Дата обращения 2024-06-10. Проверьте дату в |date= (справка на английском)
  16. Morrow J. Data protection and patient’s consent. BMJ 2001. 322:549
  17. Warlow CP, Al-Shahi R. (2000). Differentiating between audit and research. Undue protection of patient confidentiality jeopardises both research and audit. BMJ. 2000-03-11; 320(7236):713. “Differentiating between audit and research. Undue protection of patient confidentiality jeopardises both research and audit”. BMJ [англ.]. 320 (7236): 713. март 2000. Дата обращения 2024-06-10. Проверьте дату в |date= (справка на английском)
  18. Les collectivités peuvent-elles refuser la mise à disposition de données ? (фр.). La gazette des communes. Дата обращения: 10 июня 2024.
  19. Lowrance WW, Collins FS (2007). Ethics. Identifiability in genomic research. Science. 3 августа 2007; 317(5838):600-2.|“Ethics. Identifiability in genomic research”. Science [англ.]. 317 (5838): 600—602. 3 августа 2007. Дата обращения 2024-06-10.
  20. Greenbaum D, Du J, Gerstein M. (2008), Genomic anonymity: have we already lost it? Am J Bioeth. 2008 Oct; 8(10):71-4. “Genomic anonymity: have we already lost it?”. Am J Bioeth [англ.]. 8 (10): 71—74. октябрь 2008. Дата обращения 2024-06-10. Проверьте дату в |date= (справка на английском)
  21. NIH Genome-Wide Association Studies Data Sharing Plan. 2007 November 27. NIH Genome-Wide Association Studies Data Sharing Plan (англ.). NIH (27 ноября 2007). Дата обращения: 10 июня 2024.
  22. Homer N, Szelinger S, Redman M, et al. (2008). Resolving individuals contributing trace amounts of DNA to highly complex mixtures using high-density SNP genotyping microarrays. PLoS Genet. 2008;4:E1000167 “Resolving individuals contributing trace amounts of DNA to highly complex mixtures using high-density SNP genotyping microarrays”. PLoS Genet [англ.]. 4: E1000167. 2008. Дата обращения 2024-06-10.
  23. Misha Angrist (2012). Eyes wide open: the personal genome project, citizen science and veracity in informed consent. Per Med. 2009 November; 6(6): 691—699. “Eyes wide open: the personal genome project, citizen science and veracity in informed consent”. Per Med [англ.]. 6 (6): 691—699. ноябрь 2009. Дата обращения 2024-06-10. Проверьте дату в |date= (справка на английском)
  24. C. Heeney, N. Hawkins, J. de Vries, P. Boddington, J. Kaye (2010). Assessing the Privacy Risks of Data Sharing in Genomics . Public Health Genomics. 2010 December; 14(1): 17-25. “Assessing the Privacy Risks of Data Sharing in Genomics”. Public Health Genomics [англ.]. 14 (1): 17—25. декабрь 2010. Дата обращения 2024-06-10. Проверьте дату в |date= (справка на английском)
  25. Hara K, Ohe K, Kadowaki T, Kato N, Imai Y, Tokunaga K, Nagai R, Omata M (2003), Establishment of a method of anonymization of DNA samples in genetic research. J Hum Genet.; 48(6):327-30. “Establishment of a method of anonymization of DNA samples in genetic research”. J Hum Genet [англ.]. 48 (6): 327—330. 2003. Дата обращения 2024-06-10.
  26. Wilson, P. (2004). Legal issues of data anonymisation in research. Bmj, 328(7451), 1300—1301. “Legal issues of data anonymisation in research”. BMJ [англ.]. 328 (7451): 1300—1301. май 2004. Дата обращения 2024-06-10. Проверьте дату в |date= (справка на английском)
  27. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 El Kalam A.A, Deswarte Y, Trouessin G & Cordonnier (2004). Une démarche méthodologique pour l’anonymisation de données personnelles sensibles. Une démarche méthodologique pour l’anonymisation de données personnelles sensibles (фр.). ENSEEIHT. Дата обращения: 10 июня 2024.
  28. Charlotte L Haynes, Gary A Cook, Michael A Jones (2007). Legal and ethical considerations in processing patient‐identifiable data without patient consent: lessons learnt from developing a disease register. J Med Ethics. май 2007; 33(5): 302—307. “Legal and ethical considerations in processing patient‐identifiable data without patient consent: lessons learnt from developing a disease register”. J Med Ethics [англ.]. 33 (5): 302—307. май 2007. Дата обращения 2024-06-10. Проверьте дату в |date= (справка на английском)
  29. Plamondon, L., Lapalme, G., Pelletier, F. (2004). Anonymisation de décisions de justice. In XIe Conférence sur le Traitement Automatique des Langues Naturelles (TALN 2004), 367—376. Anonymisation de décisions de justice (фр.). Université de Montréal. Дата обращения: 10 июня 2024.
  30. Hayley A. Hutchings, Annette Evans, Peter Barnes, Joanne Demmler, Martin Heaven, Melanie A. Hyatt, Michelle James-Ellison, Ronan A. Lyons, Alison Maddocks, Shantini Paranjothy, Sarah E. Rodgers, Frank Dunstan (2013). Do Children Who Move Home and School Frequently Have Poorer Educational Outcomes in Their Early Years at School? An Anonymised Cohort. PLoS One; 8(8): e70601. “Do Children Who Move Home and School Frequently Have Poorer Educational Outcomes in Their Early Years at School? An Anonymised Cohort”. PLoS One [англ.]. 8 (8): e70601. 5 августа 2013. Дата обращения 2024-06-10.
  31. Curtis Florence, Jonathan Shepherd, Iain Brennan, Thomas Simon (2011). Effectiveness of anonymised information sharing and use in health service, police, and local government partnership for preventing violence related injury: experimental study and time series analysis. BMJ. 2011; 342: d3313. “Effectiveness of anonymised information sharing and use in health service, police, and local government partnership for preventing violence related injury: experimental study and time series analysis”. BMJ [англ.]. 342: d3313. 16 июня 2011. Дата обращения 2024-06-10.
  32. Ann John, M Dennis, L Kosnes, D Gunnell, J Scourfield, D V Ford, K Lloyd (2014). Suicide Information Database-Cymru: a protocol for a population-based, routinely collected data linkage study to explore risks and patterns of healthcare contact prior to suicide to identify opportunities for intervention. BMJ Open. 4(11): e006780. “Suicide Information Database-Cymru: a protocol for a population-based, routinely collected data linkage study to explore risks and patterns of healthcare contact prior to suicide to identify opportunities for intervention”. BMJ Open [англ.]. 4 (11): e006780. 25 ноября 2014. Дата обращения 2024-06-10.
  33. D. Denning, P. Denning. «Data Security». ACM Computer Survey, vol. 11, № 3, сентябрь 1979, ACM Press, ISSN 0360-0300, 227—249.
  34. F. Cuppens. «Sécurité des bases de données», in Deswarte, Mé (eds), Sécurité des réseaux et systèmes répartis. Hermès Science Publications, 2003, 266 c.
  35. A. Abou El Kalam. «Модели и политики безопасности для медицины и соцобеспечения». Дисс., Тулуз, 2003.
  36. C. Quantin и др. «How to ensure data security of an epidemiological follow-up: quality assessment of an anonymous record linkage procedure». International Journal of Medical Informatics, 49 (1998), 117—122.
  37. Reffay, C., & Teutsch, P. (2007). Anonymisation de corpus réutilisables. Anonymisation de corpus réutilisables (фр.). hal.inria. Дата обращения: 10 июня 2024.
  38. "Anonymized" data really isn't—and here's why not (англ.). Ars Technica. Дата обращения: 10 июня 2024.
  39. “Unique in the Crowd: The privacy bounds of human mobility”. Nature SRep [англ.]. 3: 1376. 25 марта 2013. Дата обращения 2024-06-10.
  40. “Unique in the shopping mall: On the reidentifiability of credit card metadata”. Science [англ.]. 347: 536. 30 января 2015. Дата обращения 2024-06-10.
  41. Warden Pete. Why you can’t really anonymize your data; It’s time to accept and work within the limits of data anonymization. O’Reilly Media, Inc. 17 мая 2011. Why you can’t really anonymize your data (англ.). O'Reilly Media. Дата обращения: 10 июня 2024.
  42. “Estimating the success of re-identifications in incomplete datasets using generative models”. Nature Communications [англ.]. 10 (1): 1—9. 23 июля 2019. Дата обращения 2024-06-10.
  43. European Opinion Research Group (2004). Special Eurobarometer 196 : data protection. Special Eurobarometer 196 : data protection (англ.). European Commission. Дата обращения: 10 июня 2024.
  44. Chhanabhai P, Holt A (2007). Consumers are ready to accept the transition to online and electronic records if they can be assured of the security measures. MedGenMed. 2007 Jan 11; 9(1):8. “Consumers are ready to accept the transition to online and electronic records if they can be assured of the security measures”. MedGenMed [англ.]. 9 (1): 8. 11 января 2007. Дата обращения 2024-06-10.
  45. Caine K, Hanania R. J (2013). Patients want granular privacy control over health information in electronic medical records. Am Med Inform Assoc. 2013 Jan 1; 20(1):7-15. “Patients want granular privacy control over health information in electronic medical records”. Am Med Inform Assoc [англ.]. 20 (1): 7—15. 1 января 2013. Дата обращения 2024-06-10.
  46. Hall MA, Schulman KA. Ownership of medical information. JAMA. 2009;301(12):1282-1284.
  47. Robling M R, Hood K, Houston H. et al (2004). Public attitudes towards the use of primary care patient record data in medical research without consent: a qualitative study. J Med Ethics. 30:104-109. “Public attitudes towards the use of primary care patient record data in medical research without consent: a qualitative study”. J Med Ethics [англ.]. 30: 104—109. 2004. Дата обращения 2024-06-10.
  48. Kadek Y. E. Aryanto, André Broekema, Matthijs Oudkerk, Peter M. A. van Ooijen (2012). Implementation of an anonymisation tool for clinical trials using a clinical trial processor integrated with an existing trial patient data information system. Eur Radiol. 22(1): 144—151. “Implementation of an anonymisation tool for clinical trials using a clinical trial processor integrated with an existing trial patient data information system”. Eur Radiol [англ.]. 22 (1): 144—151. январь 2012. Дата обращения 2024-06-10. Проверьте дату в |date= (справка на английском)
  49. David V Ford, Kerina H Jones, Jean-Philippe Verplancke, Ronan A Lyons, Gareth John, Ginevra Brown, Caroline J Brooks, Simon Thompson, Owen Bodger, Tony Couch, Ken Leake (2009). The SAIL Databank: building a national architecture for e-health research and evaluation. BMC Health Serv Res. 2009; 9: 157. “The SAIL Databank: building a national architecture for e-health research and evaluation”. BMC Health Serv Res [англ.]. 9: 157. 4 сентября 2009. Дата обращения 2024-06-10.
  50. Comment anonymiser des données personnelles (фр.). The Conversation. Дата обращения: 10 июня 2024.

Литература

  • Commission européenne. Data protection in the European Union. (PDF, 15 стр.) Data protection in the European Union (англ.). European Commission. Дата обращения: 10 июня 2024.
  • Emam KE, Arbuckle L (2013). Anonymizing Health Data. Case Studies and Methods to Get You Started. O’Reilly Media, декабрь 2013. ISBN 978-1-449-36307-9.
  • Falcão-Reis F, Costa-Pereira A, Correia ME. (2008). Access and privacy rights using web security standards to increase patient empowerment. Stud Health Technol Inform, 137:275-85. “Access and privacy rights using web security standards to increase patient empowerment”. Stud Health Technol Inform [англ.]. 137: 275—85. 2008. Дата обращения 2024-06-10.
  • Gkoulalas-Divanis A, Loukides G. (2012). Anonymization of Electronic Medical Records to Support Clinical Analysis. Springer. ISBN 978-1-461-45667-4.
  • Grouin, C., Rosier, A., Dameron, O., Zweigenbaum, P. (2009). Une procédure d’anonymisation à deux niveaux pour créer un corpus de comptes rendus hospitaliers. В кн.: Risques, technologies de l’information pour les pratiques médicales, стр. 23-34. Springer Paris. Une procédure d’anonymisation à deux niveaux pour créer un corpus de comptes rendus hospitaliers (фр.). perso.limsi.fr. Дата обращения: 10 июня 2024.
  • Haynes CL, Cook GA, Jones MA (2007). Legal and ethical considerations in processing patient‐identifiable data without patient consent: lessons learnt from developing a disease register. J Med Ethics, май 2007; 33(5): 302—307. “Legal and ethical considerations in processing patient‐identifiable data without patient consent: lessons learnt from developing a disease register”. J Med Ethics [англ.]. 33 (5): 302—307. май 2007. Дата обращения 2024-06-10. Проверьте дату в |date= (справка на английском)
  • Loukides, G., Shao, J. (2007). Capturing data usefulness and privacy protection in k-anonymisation. In: Proceedings of the 2007 ACM symposium on Applied computing, 370—374. ACM.
  • Parlement européen (2014). Report on the Data Protection Regulation. Report on the Data Protection Regulation (англ.). European Parliament. Дата обращения: 10 июня 2024.
  • Raggunathan, B. (2013). The Complete Book of Data Anonymization: From Planning to Implementation. CRC Press. ISBN 9781482218565.
  • Rolf H. Weber, Ulrike I. Heinrich (2012). Anonymization: SpringerBriefs in Cybersecurity. Springer. ISBN 9781447140665.
  • Vulliet-Tavernier, S. (2000). Réflexions autour de l’anonymat dans le traitement des données de santé. Médecine & Droit, 2000(40), 1-4.
  • Wendolsky, R., Herrmann, D., Federrath, H. (2007). Performance comparison of low-latency anonymisation services from a user perspective. In: Privacy Enhancing Technologies, стр. 233—253. Springer Berlin Heidelberg. Performance comparison of low-latency anonymisation services from a user perspective (англ.). epub.uni-regensburg.de. Дата обращения: 10 июня 2024.

Категории