医疗信息系统数据保护影响评估方法和工作流程的执行及软件验证（2020）100361

医学信息学解锁19（2020）100361在医疗保健信息系统中执行数据保护影响评估的方法和工作流程Marco Toddea，Marco Beltrame b，Sara Marcegliaa，*，Cinzia Spagno baDipartimentodiIngegneriaeArchitettura，Universita�degliStudidiTrieste，的里雅斯特，意大利bAzienda Sanitaria Universitaria Giuliano Isontina - ASUGI，的里雅斯特，意大利A R T I C L EI N FO保留字：医院信息系统数据保护影响评估A B S T R A C T数据保护一般条例（GDPR）使整个欧盟的个人数据保护法律现代化并协调一致，影响到包括医疗保健行业在内的所有经济部门。新法规引入了两项具体职责：处理活动记录（ROPA）和针对每个高风险处理的数据保护影响评估（DPIA）。目前，没有针对医疗保健环境的具体DPIA方法，只有适用于所有经济部门的广泛方法目标：这项工作的目的是提出一种方法来执行DPIA的医疗信息系统，考虑到具体的限制和批评所造成的异质性和高度敏感的性质，在医院的数据和软件的使用。方法：我们首先进行了GDPR分析，并检查了有关DPIA的其他来源。该分析导致了与医疗环境中GDPR应用相关的问题的确定。然后，我们开发了一个DPIA执行的工作流程，并实现了一个软件，将其应用于实际环境中。该方法适用于11个软件和设备已经在使用的里雅斯特地区，意大利。结果：在分析中确定的最重要的问题是“处理活动”的定义通过将方法集中于处理数据的信息系统而不是处理活动本身来克服这一问题。因此，我们设计了一个工作流程的信息系统的风险评估，建立DPIA应在购买后执行，通常是一个严格的信息系统的IT安全要求的投标，但在实际环境中部署之前。开发的软件，以实现工作流程的11个软件的验证表明，拟议的工作流程执行DPIA的能力，并发现一些重要的问题，在检查系统。结论：所提出的方法可以适用于执行DPIA在医疗环境中的支持风险评估和管理，侧重于每个软件组件添加到医疗信息系统。1. 介绍欧盟（EU）《通用数据保护条例》（GDPR）[1]于2018年5月发布，并直接适用于所有欧盟成员国。然后在2018年7月扩展到欧洲经济区（EEA）[2]，从而影响到更多的国家。 然而，GDPR的影响在全球范围内和所有经济部门都有影响，因为数据管理是当前经济的核心。医疗保健实践和研究是受影响最严重的领域之一，原因有几个，包括管理用于二级研究的医疗保健数据[3根据“问责制”的概念，需要遵守GDPR规则的医院信息系统[ 7，8 ]。尽管最近尝试提供软件工具以允许尽管研究机构遵守GDPR责任要求[7]，但仍然存在未解决的问题，特别是对于临床实践中使用的医院信息系统（HIS），而不仅仅是研究。GDPR引入了两项具体职责，即处理活动记录（ROPA）和针对每个高风险处理的数据保护影响评估（DPIA），HIS也应该执行。这些都在法规及其*通讯作者。 DipartimentodiIngegneriaeArchitettura，UniversitàdegliStudidiTrieste，ViaValerio10，34127，Trieste，Italy.电子邮件地址：smarceglia@units.it（新加坡）Marceglia）。https://doi.org/10.1016/j.imu.2020.100361接收日期：2020年3月16日;接收日期：2020年5月13日;接受日期：2020年5月2020年5月31日在线提供2352-9148/©2020的 自行发表通过Elsevier 公司这是一个开放接入文章下的CCBY-NC-ND许可证（http://creativecommons.org/licenses/by-nc-nd/4.0/）中找到。可在ScienceDirect上获得目录列表医学信息学期刊主页：http://www.elsevier.com/locate/imuM. Todde等人医学信息学解锁19（2020）1003612Fig. 1. 方法制定步骤。准则，但其实际应用仍有争议。ROPA包括一个最小信息数据集（如GDPR第30条所规定的），定义了控制器或处理器（涉及个人数据保护的两个实体）进行的每个处理。然后，如果处理对个人的权利和自由构成高风险，则应执行DPIA，如GDPR第35条所述。DPIA应包含对处理的性质、范围、背景和目的、其风险评价和评估、合规措施和其他风险缓解措施的描述。“高风险“处理的定义关于数据保护的影响[9]，其中定义了九个标准，以评估特定处理是否可能导致高风险。如果一个过程满足九个标准中的至少两个，则应将其包括在DPIA中。 在医疗保健领域，所有数据根据定义被认为是 数据 （大规模） 加工）， 和 个人 是脆弱的这三个特征符合参考文献[9]中描述的三个标准，因此，在医疗保健领域，数据处理必须被视为默认情况下可能存在高风险，因此意味着无法避免DPIA。医院信息系统（HIS）的特点通常是多个软件应用程序，用于支持广泛的服务，以及多个医疗设备，运行医疗软件应用程序，几乎每年都会安装或更换[9]。不言而喻，医疗保健企业和HIS中的几乎每一个应用程序都在DPIA的范围内，因为每个应用程序都用于处理大量的敏感数据。此外，在管理此类应用/设备的评估方面存在一些具体问题。执行有效DPIA的实际机会与合同约束和电子采购结果密切相关，因为通常医院和医疗机构不解决软件开发问题，因此无法通过设计控制隐私的实施[10]。医疗行业的采购流程应遵循特定的透明度规则，医疗设备市场尚未准备好满足最新信息安全指南的所有基本要求（例如，遵守CIS关键安全控制，提供NEMA MDS 2表格等）。在文献中，有一些论文在采购过程中面对DPIA，但没有一个是针对临床实践的实际公共采购。这些问题导致GDPR在HIS中的应用，特别是DPIA，由于需要选择在资源消耗（人员和时间）并符合现行法规。尽管GDPR的引入可以追溯到一年前，但在医疗保健中，更具体地说，在HIS中，DPIA没有具体的方法。作为DPIA中需要支持工具的一个例子，Dashti及其同事[11]提出了一种工具来帮助控制器促进数据受试者的权利和 自由， 但是该机械咔嗒声 不专注 到特殊的医疗环境。在这项工作中，我们的目标是提出一种基于法规，标准和适用规范的方法，但考虑到HIS环境的约束和批评，并允许在医院信息系统的背景下执行DPIA。2. 方法2.1. 方法制定步骤该方法的定义遵循图1所示的步骤。1.一、我们首先对GDPR和有关DPIA的其他来源进行了分析和检查（步骤1，图1），目的是确定与医疗环境中GDPR应用相关的问题。我们决定只考虑在GDPR通过后（2016年4月14日）发布的官方和可信的文件;除GDPR外，还分析了Art.29工作组发布的上述DPIA指南[12]和法国数据保护机构[ 13 ]开发和发布的分析结果导致确定与HIS环境相关的最关键问题，这为作为限制因素的拟议方法奠定了考虑到这些限制，我们随后确定了评估数据保护风险所需的信息和文档（步骤2，图1）。 1）和工作流程遵循，以便执行DPIA的背景下，HISs（步骤3，图。①的人。设计工作流程的目的是显示（1）DPIA发生在医院流程的哪个部分，特别是对于在HIS中购买或实施的新软件，以及（2）如何在单个软件上执行DPIA。然后，我们开发了一个软件，允许部署拟议的工作流程（步骤4，图1）。该软件使用MS Access DBMS开发，包括一系列用于记录DPIA的表最后，我们使用在真实HIS环境中运行的一系列软件应用程序上实现的软件验证了工作流程（步骤5，图10）。 1），如第2.3节所述。M. Todde等人医学信息学解锁19（2020）10036132.2. 规范框架准则 提出 几 示例性 方法 执行DPIA。其中，PIA [13]由法国国家信息和自由委员会（ CNIL，France）发布，提出了一种简单直观的方法，也得到了专用软件的支持[ 14 ]。项目影响评估的方法基于两个原则：- 遵守规范性原则和个人基本权利。无论数据类型或处理方式如何，均应始终保证这些信息。- 与数据安全相关的风险管理旨在将相关风险降低至可接受水平。根据这些基本原则，DPIA方法被定义为4个步骤：1 定义和描述所考虑的处理的上下文2 分析保证遵守基本原则的措施（第5条和第13-22条）。3 评估与数据安全相关的风险，并确保其适当的缓解措施。4 记录DPIA的正式确认。相关的风险分为三个不必要的事件，对应于信息安全（CIA）的三个特征。在风险分析中，应从事件发生的概率（取决于处理所涉系统的脆弱性）和后果的严重性（取决于处理的背景）开始，对这些事件中的每一个的风险水平进行量化。因此，为了评估每起事件的风险水平，必须：1 确定对个人的潜在影响。2 估计影响的严重程度，特别是对个人权利和自由的影响。3 识别可能导致事件的威胁，以及可能导致事件的风险来源。4 估计事件发生的概率。从风险评估开始计算剩余风险，并应用缓解措施。2.3. 案例研究和验证我 们 应 用 该 方 法 评 估 了 Azienda Sanitaria Universitaria GiulianoIsontina已经使用或计划使用的11种IT软件设备，Azienda SanitariaUniversitaria Giuliano Isontina是意大利弗留利-威尼斯-朱利亚地区的一家公共医疗保健企业，服务于的里雅斯特和戈里齐亚地区，该地区拥有近30万居民。它的职责是多种多样的，包括高度专业的急性医院护理和全省范围的地区保健服务（如家庭护理、预防和疫苗）。在企业中，有100多个软件应用程序用于提供此类服务，每年还安装或更换数十台新的医疗设备。此外，弗留利-威尼斯-朱利亚大区要求使用公开招标来供应软件和医疗设备，主要是基于较低的价格，而对信息安全准则的关注较少。因此，我们假设ASUGI场景代表典型的公共医疗保健环境，值得研究最先进的DPIA程序的应用，正如我们将看到的，它不是针对医疗保健部门的。3. 结果3.1. 关键问题3.1.1. 关键问题1：处理根据GDPR，DPIA应针对单个处理或一组导致类似风险的类似处理进行。因此，ROPA中定义的一个或多个处理是DPIA的主题（如果它们导致高风险）。在医疗保健中，“处理”可能有多种定义一个病人ISO/IEC 29134：2017 [15]在WP 248 [12]指南中被引用作为DPIA的参考，允许专注于信息系统而不是专注于单个处理。本标准将PIA定义为一种工具，用于评估处理个人数据的过程、信息系统、软件、软件模块、设备或实体对隐私的潜在影响[15]。根据这一标准，通过关注处理数据的信息系统，可以克服准确确定DPIA主题（“处理”）的关键问题。事实上，主要的风险在于涉及电子传输的数据流，电子传输处理大量数据，可能会受到不必要的访问。3.1.2. 关键问题2：尊重个人的权利和自由在医疗保健领域，众所周知，数据的最重要特征之一是数据所有者（患者）与数据使用者（医疗保健专业人员）不同。因此，并非所有构成《保护投资协定》基本原则的权利（如第13-20条所界定适用于所有与健康有关的数据。医疗机构已经尽可能在数据可访问性和可移植性方面为患者提供了一些权利，但没有，例如，删除数据的权利，这是法律禁止的。关于无障碍（第15条），患者通常有权要求获得其医疗保健数据（健康记录、报告等）的副本，但无权在任何时候访问任何数据，相反，负责治疗患者的医疗保健专业人员也无权访问任何数据。关于可移植性（第20条），这取决于确保系统互操作性的标准的可用性，因此限制了可移植数据的类型（例如，使用DICOM的诊断图像是便携式的，而不符合HL 7-CDA 2的记录则不是）。由于这些原因，不可能将PIA方法的步骤2（保证符合基本原则的措施的定义）应用于医疗保健数据，因此将其从我们开发的方法中排除。保证遵守基本原则的措施可以被视为 在单独的分析中，并且仅适用于它们适用的数据和文件。因此，技术表将只记录与数据安全有关的风险评估，如项目影响评估方法步骤3所述，尽管强大的数据安全将有助于实现这些原则。3.1.3. 关键问题3：对个人的在定义对个人的影响时，PIA方法定义了三种类型的影响：物理，物质和心理。一般而言，对个人的影响难以估计，因为这取决于对损害的主观感觉。此外，健康数据丢失可能影响个人在紧急情况下，重复检查所损失的时间可能对以下人员至关重要： 干预。在DPIA分析中无法充分考虑这些类型的影响，因为它们对于单一的信息，并可能包含在“信息业务连续性计划”中。后者是运行内部数字服务的公共卫生机构的强制性文件，应评估潜在 损害 的 每个 损失 的 企业 服务 并提供M. Todde等人医学信息学解锁19（2020）1003614图二. 数据保护影响评估的信息收集工作流程。在技术和经济方面采取适当措施，减轻服务中断的影响3.2. 收集信息的定义一般而言，风险评估的对象可以是支持临床活动的信息系统，例如公开招标后提供的系统，该系统可能包括具有共同目标的不同器械（例如，实验室系统），或一系列具有类似特性的不同设备（例如，一系列超声扫描仪）。在选择评价主题时，必须在采用严格和系统的方法与评价的复杂性、评价进程的可持续性和适用性之间作出在任何情况下，对于组成系统的每个应用程序/设备，收集所有相关文件，作为风险分析的起点。参考文档可以从技术报价文档开始，以及使用手册、CE符合性声明、安装细节、合同条款中定义的技术要求、责任协议、MDS2和GDPR合规性。可能有必要联系制造商，以获得所实施缓解措施的具体细节。3.3. 执行DPIA我们建议使用针对技术资产而不是处理就其本身而言：我们建议为每个信息系统创建一个技术文件夹，旨在评估与该系统相关的风险，文件夹由技术表格组成，每个表格对应组成系统本身的每个装置或模块。换句话说，我们建议从分析系统中包含的每个单个技术资产（单个技术表）开始执行系统DPIA，并将它们合并到DPIA（技术文件夹）下的系统技术文件夹中，以便在另一个上下文中涉及相同资产的情况下重新使用技术表。这具有可应用于由相同技术系统管理的所有处理的优点，从而使它们在多对多关系中独立：每个处理可以与一个或多个技术表相关联，并且每个技术表可以与一个或多个处理相关联。3.3.1. DPIA描述图图2示出了在由不同应用/设备组成的系统上执行DPIA过程的 建议 工 作 流 。DPIA的起点是医疗机构的安全模型，每个系统/设备都应遵守该模型，以确保风险缓解。因此，工作流从定义和描述处理环境开始然后，对于组成系统的每个应用程序/设备，通过实施风险分析定义技术表，从收集所有相关文件开始。技术表必须在机构的背景下评估信息系统，M. Todde等人医学信息学解锁19（2020）1003615图3.第三章。在医院采购流程中整合单一应用程序/器械评估。它的实施，比系统本身的安全性，因为系统或设备，当连接到医院网络，可能会导致风险以外的那些可识别的独立解决方案，如IEC80001-2 [16]中所述。在识别关键性以及特定应用程序/设备的威胁之后，根据事件发生的概率和影响的严重性，特别是个人的权利和自由，估计三个不必要事件（包括机密性、完整性和可用性）中每一个的风险水平。如果评估结果在分析的可靠性方面令人满意，则该过程继续评估适当的缓解措施。否则，在收集更多信息后，将重复对应用程序/设备的分析当以模块化方式分析了所有应用程序/器械后，将创建技术文件夹，根据组织的标准（例如政策、业务战略、风险偏好），接受或拒绝由所有应用程序/设备技术表组成的系统。在后一种情况下，在应用程序/设备上实施进一步的措施，以降低系统的风险。如果剩余风险被接受，DPIA正式记录和验证，组织必须在系统的整个生命周期中管理和监控风险。应分析上下文中的每项变更，以监测风险并更新DPIA。3.3.2. 医院采购流程通过技术表进行的评估过程必须纳入医院采购流程（图1）。 3）。技术表应在系统获得后（通常通过公开招标）、安装和验收测试前准备。这是至关重要的，以获得必要的变化，在系统实施前降低风险。只有在剩余风险被认为是可接受的情况下，才应进行安装和验收测试。相反，如果仍然不可接受，则要求制造商采取纠正措施，并重复进行评估，直到风险变得可接受。如果剩余风险被判定为不可接受，机构应有权拒绝系统安装。在任何情况下，如果IT规范定义良好，则不可接受系统的剩余风险非常低。如果系统已在使用中，则流程如绿色矩形所示（图3）。在这种情况下，可用的分析文件可能不足，制造商不太可能获得所需的更改（取决于初始合同）。3.4. 软件实现在MS Access（Microsoft Inc.，Red-mond，WA，USA）来支持所提出的DPIA方法的执行。软件实现了技术文件夹（系统级记录）和技术表（应用程序/器械级记录）。技术文件夹解决了复杂多组件系统的评估问题，其中综合方法对服务器端应用程序，客户端设备和其他连接设备非常有用，并且某些方面（如用例或制造商或供应商）是相同的。技术表用于评估单个组件的特定方面，例如单个设备存档系统框架中使用的敏感数据的方式。技术文件夹（图4）由三个不同的页面组成。第一个（图） 4-A）包括对系统和图四、 技术文件夹（系统级记录）。A-首页。B-第二页。C-第三页。M. Todde等人医学信息学解锁19（2020）1003616图五、 技术表（应用程序/设备级记录）。A-首页。B-第二页。见图6。 技术表（应用程序/设备级记录）。A-第三页B-第四页数据生命周期，并使用突出显示参考文档的检查表填写记录（该记录也通过页面右上角的此外还资源）或第三页报告供应商参考以及相关ROPA（图4-C）报告了概率/影响矩阵，记录此页表示系统的上下文定义第2页（图4-B）总结了与ROPA中定义的数据处理相关的信息（例如， 作用域、数据类型、收件人等）。页面底部的复选框说明风险评估背后的原因。实现单个应用程序/器械记录的技术表分为不同的页面。 第一个（图） 5-A）包含软件描述及其根据CEI 62-237医疗软件指南的分类[17]。第2页（图5-B）报告了主要假设纠正措施的列表。例如，可能在静止时M. Todde等人医学信息学解锁19（2020）1003617图7.第一次会议。 技术表（应用/器械级记录）-第 5页。和在途加密功能记录在技术表的“措施描述“部分（图5 -B），并在工作流程的风险估计和评估活动中予以考虑（图5 -B）。 2）的情况。第3页（图6-A）报告了医疗软件设备的已知可能关键性列表，而第4页（图6-B）报告了一个表格，其中包含已识别的个人数据威胁，每个威胁都有其发生概率的估计。最后一页（图7）记录了与个人权利和自由相关的风险评估，根据已识别威胁的实现及其估计概率。3.5. 验证结果该方法在ASUGI使用的11台IT设备上进行了测试。表1报告了按照技术表/文件夹拟定方法对每个应用程序/器械进行风险分析的结果。所有系统均被评价为低风险，但有三个系统被归类为中风险和高风险。主要的关键问题是缺乏适当的软件安全措施（例如，无认证或授权控制）或数据安全措施（例如，没有备份的本地存储）。由于我们不打算对商业产品提供具体判断，因此没有提供有关这11种软件的进一步详情。作为示例，我们描述了“核医学图像定量分析的独立应用程序”，已经在图1和图2中示出。四比七这是一个由单个应用程序组成的系统，因此我们实现了技术文件夹和一份技术表。在第一页（图4-A）中，我们报告了应用程序的用例：一个独立的桌面应用程序，从文件系统加载DICOM文件，并执行一些特定的计算，生成一些报告。然后，编制具有可用文档的检查表：具体示例是正在评估的软件，因此所有投标文件都不可用，并且在数据工作流程的描述中，数据在本地文件夹中的存储被下划线。第二页面内（图4-B），处理范围-应用程序/器械记录（图5）显示，软件是根据CEI 32-237分类为D1的独立产品安全分析解决了存储问题、数据在PC上本地存档以及缺乏身份验证。该软件符合IHE配置文件。数据安全明确要求客户端主机策略完全考虑到用户机构。这种假设似乎立即无法接受，因为如果应用程序适合基础设施和环境，则可以在机构责任下应用机构安全模型和策略。这在安装手册中是不可能给出的。应用程序/器械记录的最后一页记录了器械的风险评估。事件“ 未 经授 权 访 问 数 据 “ 被 评 定 为 极 有 可 能 （ 由 于 上 述 身 份 验 证 问题 ） ， 并 与 高 严 重 度 影 响 相 关 （ 由 于 访 问 报 告 和 PA C S 图 像 可能导致M. Todde等人医学信息学解锁19（2020）1003618表1测试结果。系统应用程序/器械问题风险评价从而支持其有效性和能力，以突出可用软件/系统中的风险和关键。目前的一个局限是，威胁和风险没有标准化或分类，管理这种威胁和风险EEG管理服务器端应用程序客户端无低没有一方法尚未确定。更具体地说，从长远来看，医院组织内应该有一个特定的参与者负责维护和更新与超声心动应用DPIA和使用拟议的方法产生超声心动计算机machine关键的应用程序安全性，由于功能和对选定用户的可用性有限，以及数据非常严格，保留策略介质该方法可能是GDPR合规过程的一部分这也要求评估对规范要求的遵守情况和受试者的权利。记录可以扩展，包括医疗IT网络风险管理文件的IEC 80001 [ 16 ]定义，该文件记录了连接到HIS网络的每个设备的风险管理过程。但这种扩展需要与其他行为者合作，其中免疫血液学管理系统中间件无低端实验室测试设备无临床工程办公室，因为该规范还涉及系统的安全性和有效性最后，记录可以PACS PACS客户端无低记录AgID措施的实施情况[18]，这些措施是专用数字PACS服务器无意大利公共行政部门必须实施的一套控制措施，具有瘦客户机架构的图像处理软件服务器端应用客户端应用无低没有一以确保最低水平的ICT安全。总之，所开发的方法至少在短期内是适用和可持续的，并且具有推广的潜力独立应用程序用于核医学图像来自多个CSV源的独立客户端软件独立应用程序数据不足由于备份策略和本地数据存储策略不可用而导致的安全性问题。由于缺乏身份验证程序，应用程序安全性不足由于本地存储的SQL数据库文件加密不确定，客户端安装的安全性不足高高更通用的数据和系统安全框架，这为确保欧洲医院更安全的数据环境奠定了基础。伦理声明这项研究不包括人类或动物研究，也不需要伦理委员会的批准。竞合利益Sara Marceglia是Newronika srl的出资人和股东，Newronika srl是Fondazione IRRCS Ca'Granda Ospedale Maggiore Policlinico和米兰大学的分拆公司致谢和供资对数据主体有重大影响）。关于事件“数据不可用”，概率估计为高（因为本地存储），严重度为中度;假设由于器械的目的（诊断进展非常缓慢的疾病），数据主体的唯一后果是重复检查。回到系统记录第三页（图4C），最终评价为红色，因为缺乏数据保护和授权使得在没有授权的情况下访问敏感数据变得非常容易，并且应用程序无法符合机构信息安全模型/策略。4. 讨论和结论在这项工作中，我们描述了一种方法，具体的HISs能够支持风险评估，并进行DPIA。这种方法的主要贡献在于将信息系统而不是处理本身确定为分析对象。这在医疗保健环境中至关重要，因为涉及个人数据的过程非常复杂，否则很难跟踪。此外，侧重于系统/软件的背景下，HIS代表了一个模块化的方法，允许处理不同系统的集成，并与HIS组件的演变。事实上，在增加新的软件/系统时，无须重新设计整个程序，只须根据医院信息系统评估新软件/系统该方法已成功应用于实际环境中，这项研究没有得到任何公共、商业或非营利部门资助机构的具体资助。Sara Marceglia部分由项目HUB-Regione Lombardia POR-FESR2014-2020 “Pain-RElife： 大长柱蕨 数据 最后的 积分他就继续作苦工，作苦工的决志。附录A. 补充数据本 文 的 补 充 数 据 可 在 https ： //doi 网 站 上 找 到 。org/10.1016/j.imu.2020.100361。引用[1] 2016年4月27日欧洲议会和理事会关于在处理个人数据和此类数据自由流动方面保护自然人并废除指令95/ 46/EC（通用数据保护条例）的条例（EU）2016/679。http://data.europa.eu/eli/reg/2016/679/2016-05-04. [2019年11月25日访问]。[2] 欧洲经济区联合委员会2018年7月6日第154/2018号决定，修订欧洲经济区协定附件Xi和议定书37 [2018/1022]。http://data.europa.eu/eli/dec/2018/1022/oj.[2019年11月25日访问]。[3] ShabaniM，Borry P. 根据新的欧盟一般数据保护条例，为研究目的处理基因数据的规则。欧洲遗传学杂志2018;26（2）：149[4] Riba M，Sala C，Toniolo D，Tonon G.医学中的大数据，现在，希望是未来。前线医学2019年11月15日;6：263。https://doi.org/10.3389/fmed.2019.00263.[5] 乌尔辛湾现代肿瘤学和GDPR时代的癌症登记。肿瘤学报2019年11月;58（11）：1547-8。https://doi.org/10.1080/0284186X.2019.1657586网站。M. Todde等人医学信息学解锁19（2020）1003619[6] Crowhurst N，Bergin M，WellsJ.一般数据保护法规和患者数据回顾性审查对护理和医疗保健研究的影响护士研究2019年1月23日。https://doi.org/10.7748/nr.2019.e1639网站。[7] BeckerR，AlperP，Gro u�esV，MunozS，JaroszY，LebiodaJ，etal. DAISY：一般数据保护条例下的数据信息问责制系统。GigaScience 2019年12月1日;8（12）.https://doi.org/10.1093/gigascience/giz140网站。pii：giz140.[8] Spencer A，Patel S.在医疗保健环境中应用2018年数据保护法和一般数据保护法规原则。Nurs Manag 2019 Jan 16. https://doi.org/10.7748/nm.2019.e1806网站。[9] 1999年，我，我的儿子。医院信息系统更换和医疗质量。Int J Rel Quality E-Health 2012;1（3）：1-12。https://doi.org/10.4018/ijrqeh.2012070101网站。[10] FernandezA.P.，辛德雷湾软件辅助隐私影响评估交互式普适计算系统。在：帕帕斯岛，Mikalef P.，Dwivedi Y.，JaccheriL.KrogstieJ.， 我是M. （eds）21世纪可持续社会的数字化转型。I3E 2019. IFIP信息和通信技术进展，第573卷。斯普林格，查姆。[11] Dashti S.，拉尼丝用于数据保护影响评估的工具辅助风险分析。在：FriedewaldM.， 奥南·M LievensE. KrennS.， 弗里克湾（eds）隐私和身份管理。数据改善生活：AI与隐私隐私和身份2019 IFIP信息和通信技术进展，第576卷。斯普林格，查姆。[12] 关于数据保护影响评估（DPIA）和确定处理是否“可能导致高风险”的指导方针，以符合第2016/ 679号法规的要求。第29条数据保护工作组; 2017年。[13] https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-1-en-methodology.pdf.[14] https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protect离子冲击评估。[15] ISO/IEC 29134.信息技术.安全技术.隐私影响评估指南。 2017年。[16] IEC 80001-1。包含医疗器械的IT网络的风险管理应用.第1部分：作用、责任和活动 2010年。[17] CEI 62-237.卫生领域的软件管理和IT医疗管理指南。第1部分：软件管理。 2015年。[18] 圆圈;信息和通信技术对公共管理的影响最小。2017年2月。 AgID。