021-77732162 / 09120171538

در حال انجام

مقاله : محرمانگی سوابق سلامت الکترونیک

نویسندگان: Rob Smith, Professor Jie Xu, Saman Hima & Dr. Owen Johnson
چکیده
پژوهشی در دامنه­‌ی انفورماتیک پزشکی ارائه می‌­دهیم که شامل برخی نیازمندی‌­های جدید برای محرمانگی بیمار در زمینه‌­ی پژوهش سلامت پزشکی است. این نمونه سوابق سلامت را از یک فراهم‌­آورنده­‌ی تجاری داده دریافت و آن­ها را به روشی مبتکرانه بی­‌نام کرده و آن‌­ها را درون یک محیط پژوهش مجازی[۱] امن و مبتنی بر ابر قابل دسترس می­‌سازد. بی‌­نامی [۲]داده در این­‌جا به دلیل نیاز پژوهشگران و تأیید کمیته‌های اخلاقی مناسب است. VREها در عین نگه‌­داری یکپارچگی داده، تولید منبع و محرمانگی بیمار، به صورت پویا به مدل محیط پژوهش شخصی هر پژوهشگر تنظیم می‌­شوند.

کلمات کلیدی
محرمانگی، انفورماتیک پزشکی، محیط پژوهش مجازی، بی­نامی، پردازش زبان طبیعی

۱ مقدمه
چندین شاخه از پژوهش پزشکی بر روی مطالعه‌­ی سوابق سلامت بیمار تمرکز دارند. این سوابق توسط تعامل بیمار با متخصصین پزشکی شاملِ (و نه محدود به) پزشکان عمومی، شاغلین بخش مراقبت، پرستاران، پزشکان بیمارستان و متخصصین تولید می‌­شوند.

سوابق سلامت منبعی مناسب از داده­‌ی پژوهش هستند، زیرا شامل اطلاعاتی مستقیماً مرتبط به بیماری­‌ها می‌باشند. هم­‌چنین، این اطلاعات، زمینه‌­ای احتمالی از مثلاً سبک زندگی، عوامل ریسک و پیشینه­‌ی خانوادگی فراهم می‌­آورند. سوابق سلامت معمولاً به صورت اطلاعات رمزشده (رمزهایی که به شرایط، بیماری­‌ها، مداخلات و غیره ارجاع دارند) و متن آزاد و غیرساخت­‌یافته مستند می­‌شوند.

در واقعیت، شاغلین پزشکی هنگامی که باید از کدها استفاده کنند، همواره این کار را انجام نمی­‌دهند و همیشه نیز از آن­ها به درستی استفاده نمی­‌کنند به همین دلیل، بسیاری از اطلاعات موجود برای پژوهش در متن آزاد پنهان می‌­شود. نوع اطلاعات یافت­‌شده در فیلدهای متن آزاد تنوع زیادی دارد و وابسته به جزئیات گفتگوها میان بیماران و شاغلین پزشکی، عادات فردی شاغلین پزشکی و آن­چه مرتبط به زمینه­‌ی یک مشاوره­‌ی خاص تلقی می­‌شود است. در نتیجه، سوابق سلامت احتمالاً شامل مقدار زیادی اطلاعات شخصی در مورد بیماران خواهند بود.
این مورد ممکن است شامل داده­‌هایی شود که بیمار انتظار ثبت شدن آن­ها را نداشته و داده‌­هایی در مورد افراد دیگر مانند اعضای خانواده که اجازه­‌ی ذخیره‌­سازی و اشتراک داده­‌هایشان را نداده‌­اند شود. از همه مهم­‌تر، ممکن است شامل اطلاعاتی باشد که منجر به شناخته شدن بیمار شود. بعضی داده­‌های ثبت­‌شده در سوابق سلامت به وضوح شخصی هستند (مثلاً نام­ها، مکان­ها و مشاغل) در حالی که برخی دیگر به طرز موشکافانه‌­ای شخصی هستند (مانند توصیفات زبان طبیعی از روابط، فعالیت­‌ها و غیره).

وظیفه­‌ی فراهم‌آورندگان داده­‌ی سوابق سلامت برای پژوهشگران آن است که از حریم شخصی (و مخصوصاً محرمانگی) اطمینان حاصل کنند. با این وجود، اطلاعات شخصی معمولاً برای پژوهشگران مهم است زیرا مداخلات را زمینه­‌سازی می‌­کنند. اغلب برخی از این اطلاعات زمینه دلیل آن هستند که پژوهشگران در درجه­‌ی اول به دسترسی به سوابق سلامت نیاز دارند. به عنوان مثال، پیشینه­‌ی خانواده و سبک زندگی ممکن است برای شناسایی عوامل آماری ریسک یا کارآمدی نسبی مداخلات به کار رود.

این نوع ارتباط ممکن است از تحلیل یک­باره­‌ی سوابق گردآوری شود اما دو مشکل خاص وجود دارند:

دست­یابی به چنین اطلاعاتی از متن آزاد دشوار است.
انجام این کار ممکن است محرمانگی بیماران و دیگر افراد ذکرشده در سوابق بیمار را نقض کند.
چالش این امر دسترس­‌پذیر ساختن اطلاعات مورد نیاز پژوهشگران بدون نقض محرمانگی بیمارانی است که مالک این داده­‌ها هستند. برای دست­‌یابی به چنین هدفی، پروژه­ی درگاه JISC به ابرها نمونه‌­ای از یک محیط پژوهش مجازی مبتنی بر ابر ساخته است.
VREها محیط‌­هایی خوددار هستند که از پیش با داده­‌های مناسب پژوهش موردنظر و توسط پژوهشگران بارگذاری شده است. یک VRE می­‌تواند محیط پژوهش شخصی و آشنای پژوهشگر را با در بر گرفتن ابزارهای مرسوم و دیگر منابع داده­‌شان تکرار کند. این بدان معنا است که پژوهشگران می‌­توانند به جای دانلود داده و انتقال آن به جایی دیگر، آزمایش­‌هایی درون VRE خود انجام دهند که شامل یک احتمال خطر محرمانگی می­‌شود. این پروژه هم­چنین یک فرآیند برای استفاده از پردازش زبان طبیعی [۳] برای تحویل داده به درون VREها در سطوح قابل تنظیمی از بی‌­نامی مربوط به نیازهای پژوهشگران و تأیید کمیته­ی اخلاقیات توسعه داده است.

۲ پیشینه
این موردپژوهی بر محور یک همکاری طولانی‌­مدت میان دانشگاه Leeds و شرکت (Phoenix (TPP است. TPP یک سیستم اطلاعاتی درمانگاهی به نام SystemOne توسعه داده است که سازمان­‌های مختلف بهداشت و درمان را به هم متصل می­‌سازد و به منظور دسترسی و به روزآوری داده­‌های بیماران در طی درمان بیمار در طول عمرش، یک رابط یکتا برای شاغلین پزشکی فراهم آورده است.

با SystemOne جزئیات هر قرارملاقات، درمان، بیماری، آلرژی و هر ارتباطی که یک بیمار داشته است، می­‌تواند در یک مکان مستند شود و در دسترس شاغلین بهداشت و درمان در زمینه­‌ی مشاوره یا مداخله‌­­ی سلامت قرار گیرد. این یک راه‌­حل قرار گرفته شده است به طوری که داده می‌­تواند به طور امن در محدوده­‌ی بهداشت و درمان شامل پزشکان عمومی، پزشکی کودکان، درمان با مُسکن­‌ها، بیمارستان‌­ها، درمان سلامت ذهنی و اجتماعی و با تأکید بر “هر بیمار، یک سابقه” به اشتراک گذاشته شود.

در نتیجه TPP دارای مقدار زیادی داده­‌ی سلامت ثبت‌­شده­‌ی بیماران توسط شاغلین سلامت و شامل ۲۳٫۵ میلیون سابقه­‌ی بیمار از ۱۶ میلیون بیمار ثبت‌­شده توسط پزشکان عمومی است. این مجموعه­‌ی داده سوابق سلامت الکترونیکی اجتماعی، اولیه و ثانویه‌­ی NHS از یک نمونه از بیماران در انگلستان را پوشش می­‌دهد.

این داده برای پژوهشگران پزشکی بسیار جذاب است و TPP دارای همکاری طولانی­‌مدتی با بیمارستان Leeds است که در آن داده‌­های بی‌نام می‌­توانند تحت تأیید کمیته­‌ی اخلاقیات به اشتراک گذاشته شوند. تأیید اخلاقیات یک فرآیند حیاتی اما زمان‌­بر و اغلب خسته­‌کننده است که تنظیم آن معمولاً ماه­ها زمان می­‌برد.

مسئله­‌ی دیگر آن است که سوابق بی‌­نام تأییدشده اغلب توسط روش­های ناامنی مانند دیسک یا پست الکترونیکی به پژوهشگران تحویل داده می‌­شوند. پژوهشگران این داده را به درون محیط پژوهش خود وارد می‌­کنند و از آن پس مسئول امنیت آن خواهند بود. این رویکرد می‌تواند منجر به مشکلات محرمانگی شود. مثال‌­های معروفی از حجم زیادی از داده­‌های شخصی وجود دارند که به هنگام سرقت یا جاگذاری رسانه یا لپ­تاپ‌­ها به اشتباه در مکان‌­های عمومی جا گذاشته شده­‌اند.
به طور مشابه، غیرمنطقی است که به طور کلی فرض شود محیط­‌هایی که در آن­ها داده‌­ها قرار داده می‌­شوند به اندازه­‌ی کافی امن هستند یا دچار سوءاستفاده نخواهند شد.

مشکل آخر آن است که بی‌­نام‌­سازی فرآیندی گران، زمان‌­بر و محتملِ خطا است که دو جنبه برای آن وجود دارد: در ابتدا، به آسانی نمی­‌توان تضمین کرد که تمامی اطلاعات شخصی از یک حجم عظیم داده در طی بی­‌نام‌­سازی حذف شوند؛ و دوم آن­که نمی‌­توان تضمین کرد که اطلاعاتِ ضروری برای پژوهش تصادفاً حذف نشود.

درگاه پروژه­ی JISC به ابر یک نمونه­‌ی راه‌­حل برای مورد توجه قرار دادن برخی از این مسائل ایجاد کرده است. هدف فعالیت جاری در دانشگاه Leeds توسعه‌­ی یک سیستم تولید قوی از نظر صنعتی و مبتنی بر این نمونه است.

در ادامه‌­ی این مقاله نمونه‌­ی درگاه و مسائل نوین محرمانگیِ مربوط به آن توصیف می‌­شود.

۳ نیازمندی­‌های VRE
این موردپژوهی چندین نیازمندی جدید برای گسترش محیط­‌های پژوهش مجازی و انجام پژوهش پیرامون سوابق سلامت تعیین کرده است.

یک اصل راهنما برای یک VRE در این نمونه آن است که باید تا حد ممکن نشان­‌دهنده­‌ی محیط­‌های کاری معمولی پژوهشگران باشد. این بدان معنا است که باید قادر به دربرگیری ابزار و داده‌­هایی باشد که پژوهشگر به طور معمول و برای انجام پژوهش­‌های خود از آن‌­ها استفاده می‌­کند. نصبِ از پیشِ ابزارهای استاندارد به درون VREها و مدیریت آن­ها توسط مدیران VRE باید ممکن باشد. دیگر ابزارها نیز باید قادر به نصب و مدیریت توسط کاربران باشند. انتخاب‌­ها و نسخه­‌های مختلف سیستم عامل باید توسط مدیران و پژوهشگران در دسترس و تنظیم‌­پذیر باشند.

یک VRE شامل داده­‌ای است که یک پژوهشگر مجاز تا حد مناسبی از بی‌­نامی به استفاده از آن مجاز است و باید مطابق با نیازهای پژوهشگران تنظیم شود: به عنوان مثال، برخی تلاش­‌های پژوهشی نیازمند اطلاعات مکانی، خانواده یا پیشینه هستند در حالی که بعضی دیگر تنها با درمان­‌ها در شرایط خاصی مرتبط می‌­باشند.

VREها و جریان­‌های کاری به منظور مدیریت چرخه­‌ی عمرشان باید مورد حسابرسی قرار گیرند. این حسابرسی باید منبعی مربوط به پردازش‌­ها و خروجی‌­های پژوهشی تولید کند. داده‌­های این منبع می‌­توانند در تکرار و اعتبارسنجی نتایج آزمایش‌­ها و تصمیم‌­گیری در مباحث مربوط به محرمانگی کمک کنند. به عنوان مثال، تعیین مجموعه­‌ی داده‌­ی خاص، سطح بی­‌نامی و پژوهشگران درگیر در تولید مجموعه­‌ی خاصی از نتایج همواره باید امکان­‌پذیر باشد.

منابع رایانشی در دسترسِ یک VRE باید به طور پویا و مطابق با نیازهای پژوهشگران تنظیم‌­پذیر باشند. اگر محیط یک پژوهشگر محدود به منابع باشد، احتمالاً داده­‌ی بیمار را از آن VRE حذف و آن را به درون یک محیط غیرکنترل­‌شده منتقل می­‌کند که ریسک­‌های محرمانگی را به وجود می­‌آورد.
دسترسی به یک VRE باید مطابق با نیازهای خاص پژوهشگر و نیازمندی­‌های کمیته‌­ی اخلاقیات تنظیم­‌پذیر باشد. در برخی موارد، داده ممکن است تنها از یک دستگاه خاص یا از درون یک شبکه‌­ی خاص (یا شبکه‌­ی خصوصی مجازی) یا یک سازمان مورد دسترسی قرار گیرد. در مواردی دیگر، این داده ممکن است از روی اینترنت قابل دسترس باشد. هدف نهایی آن است که این سیستم به اندازه­ کافی قابل اعتماد باشد تا فراهم­‌آورندگان داده و کمیته‌­ی اخلاقیات موافقت کنند که دسترسی اینترنت به صورت یک قاعده درآید، اما در عین حال، ویژگی انعصاف­‌پذیری نیز حیاتی است.

حفاظت از حریم شخصی بیمار -و مخصوصاً محرمانگی- مهم­ترین ویژگی است. در عمل، مدیریت محرمانگی باید تا حد زیادی به دست خود بیماران سپرده شود که باید قادر به تصمیم­‌گیری در مورد چگونگی و شرایط استفاده از سوابقشان باشند. این مورد هم‌­چنین نیازمند آن است که مدیریت محرمانگی تبدیل به یک فعالیت مشترک و شامل بیماران، شاغلین پزشکی، فراهم­‌آورندگان داده‌­های پزشکی و مدیران VRE شود.

برخی از این نیازمندی­‌ها جدید هستند. به عنوان مثال، مفهوم تنظیم دانه‌­ریز [۴] پیکره‌­بندی سطوح بی‌­نامی که به صورت خودکار توسط NLP و به عنوان بخشی از یک خط لوله‌­ی پژوهش مشترکاً مدیریت‌­شده تولید می­‌شود، تاکنون مورد بررسی قرار نگرفته است. هم­‌چنین، ایده‌­ی مدیریت مشترک محرمانگی به عنوان بخشی درونی از چرخه‌­ی عمر محیط پژوهش و منبع نیز تاکنون به طور کامل مورد توجه قرار نگرفته­‌اند.

۴ حریم شخصی
مسئله‌­ی اصلی حریم شخصی در این محدوده محرمانگی بیمار است که تا حدی از طریق بی‌­نامی و تا حدی از طریق اصول اعلان و رضایت (توافق) حاصل می‌­شود.

الف بی­‌نامی
سوابق در یک VRE بی­‌نام شده‌­اند و این اولین قدم حفاظتی برای بیماران است. بی­‌نامی بدان معنا است که یک سابقه نباید شامل اطلاعات شخصی مانند نام­‌های واقعی باشد.

بخشی از فرآیند بی‌­نامی ساده است: اطلاعات شخصی از فیلدهای نام در سابقه­‌ی بیمار حذف می­‌شوند. با این وجود، نام­‌ها در فیلدهای متن آزادِ سابقه نیز آمده­‌اند. به عنوان مثال، یک پزشک عمومی ممکن است در هنگام گفتگو در مورد یک قرار ملاقات، به بیمار با نامش اشاره کند (“خانم حسین از میگرن خود شکایت دارد…”). در حالی که افراد به شناسایی نام­‌ها در متن آزاد عادت دارند، این فرآیند زمان­‌بر و محتمل خطا است. با در نظر گرفتن حجم داده‌­ی درگیر، پردازش زبان طبیعیِ داده‌­ی متن آزاد باید استفاده شود.

خانه
خدمات
اخبار
دستاورد های علمی
اعضا
تماس با ما
درباره ما
۰
۱
درگاهی به ابر-موردپژوهی: یک محیط آگاه از محرمانگی برای پژوهش سوابق سلامت الکترونیکی
دسته بندی ها
تاریخمرداد ۳۰, ۱۳۹۵
نویسندگان: Rob Smith, Professor Jie Xu, Saman Hima & Dr. Owen Johnson
چکیده
پژوهشی در دامنه­‌ی انفورماتیک پزشکی ارائه می‌­دهیم که شامل برخی نیازمندی‌­های جدید برای محرمانگی بیمار در زمینه‌­ی پژوهش سلامت پزشکی است. این نمونه سوابق سلامت را از یک فراهم‌­آورنده­‌ی تجاری داده دریافت و آن­ها را به روشی مبتکرانه بی­‌نام کرده و آن‌­ها را درون یک محیط پژوهش مجازی[۱] امن و مبتنی بر ابر قابل دسترس می­‌سازد. بی‌­نامی [۲]داده در این­‌جا به دلیل نیاز پژوهشگران و تأیید کمیته‌های اخلاقی مناسب است. VREها در عین نگه‌­داری یکپارچگی داده، تولید منبع و محرمانگی بیمار، به صورت پویا به مدل محیط پژوهش شخصی هر پژوهشگر تنظیم می‌­شوند.

کلمات کلیدی
محرمانگی، انفورماتیک پزشکی، محیط پژوهش مجازی، بی­نامی، پردازش زبان طبیعی

۱ مقدمه
چندین شاخه از پژوهش پزشکی بر روی مطالعه‌­ی سوابق سلامت بیمار تمرکز دارند. این سوابق توسط تعامل بیمار با متخصصین پزشکی شاملِ (و نه محدود به) پزشکان عمومی، شاغلین بخش مراقبت، پرستاران، پزشکان بیمارستان و متخصصین تولید می‌­شوند.

سوابق سلامت منبعی مناسب از داده­‌ی پژوهش هستند، زیرا شامل اطلاعاتی مستقیماً مرتبط به بیماری­‌ها می‌باشند. هم­‌چنین، این اطلاعات، زمینه‌­ای احتمالی از مثلاً سبک زندگی، عوامل ریسک و پیشینه­‌ی خانوادگی فراهم می‌­آورند. سوابق سلامت معمولاً به صورت اطلاعات رمزشده (رمزهایی که به شرایط، بیماری­‌ها، مداخلات و غیره ارجاع دارند) و متن آزاد و غیرساخت­‌یافته مستند می­‌شوند.

در واقعیت، شاغلین پزشکی هنگامی که باید از کدها استفاده کنند، همواره این کار را انجام نمی­‌دهند و همیشه نیز از آن­ها به درستی استفاده نمی­‌کنند به همین دلیل، بسیاری از اطلاعات موجود برای پژوهش در متن آزاد پنهان می‌­شود. نوع اطلاعات یافت­‌شده در فیلدهای متن آزاد تنوع زیادی دارد و وابسته به جزئیات گفتگوها میان بیماران و شاغلین پزشکی، عادات فردی شاغلین پزشکی و آن­چه مرتبط به زمینه­‌ی یک مشاوره­‌ی خاص تلقی می­‌شود است. در نتیجه، سوابق سلامت احتمالاً شامل مقدار زیادی اطلاعات شخصی در مورد بیماران خواهند بود.

این مورد ممکن است شامل داده­‌هایی شود که بیمار انتظار ثبت شدن آن­ها را نداشته و داده‌­هایی در مورد افراد دیگر مانند اعضای خانواده که اجازه­‌ی ذخیره‌­سازی و اشتراک داده­‌هایشان را نداده‌­اند شود. از همه مهم­‌تر، ممکن است شامل اطلاعاتی باشد که منجر به شناخته شدن بیمار شود. بعضی داده­‌های ثبت­‌شده در سوابق سلامت به وضوح شخصی هستند (مثلاً نام­ها، مکان­ها و مشاغل) در حالی که برخی دیگر به طرز موشکافانه‌­ای شخصی هستند (مانند توصیفات زبان طبیعی از روابط، فعالیت­‌ها و غیره).

وظیفه­‌ی فراهم‌آورندگان داده­‌ی سوابق سلامت برای پژوهشگران آن است که از حریم شخصی (و مخصوصاً محرمانگی) اطمینان حاصل کنند. با این وجود، اطلاعات شخصی معمولاً برای پژوهشگران مهم است زیرا مداخلات را زمینه­‌سازی می‌­کنند. اغلب برخی از این اطلاعات زمینه دلیل آن هستند که پژوهشگران در درجه­‌ی اول به دسترسی به سوابق سلامت نیاز دارند. به عنوان مثال، پیشینه­‌ی خانواده و سبک زندگی ممکن است برای شناسایی عوامل آماری ریسک یا کارآمدی نسبی مداخلات به کار رود.

این نوع ارتباط ممکن است از تحلیل یک­باره­‌ی سوابق گردآوری شود اما دو مشکل خاص وجود دارند:

دست­یابی به چنین اطلاعاتی از متن آزاد دشوار است.
انجام این کار ممکن است محرمانگی بیماران و دیگر افراد ذکرشده در سوابق بیمار را نقض کند.
چالش این امر دسترس­‌پذیر ساختن اطلاعات مورد نیاز پژوهشگران بدون نقض محرمانگی بیمارانی است که مالک این داده­‌ها هستند. برای دست­‌یابی به چنین هدفی، پروژه­ی درگاه JISC به ابرها نمونه‌­ای از یک محیط پژوهش مجازی مبتنی بر ابر ساخته است.

VREها محیط‌­هایی خوددار هستند که از پیش با داده­‌های مناسب پژوهش موردنظر و توسط پژوهشگران بارگذاری شده است. یک VRE می­‌تواند محیط پژوهش شخصی و آشنای پژوهشگر را با در بر گرفتن ابزارهای مرسوم و دیگر منابع داده­‌شان تکرار کند. این بدان معنا است که پژوهشگران می‌­توانند به جای دانلود داده و انتقال آن به جایی دیگر، آزمایش­‌هایی درون VRE خود انجام دهند که شامل یک احتمال خطر محرمانگی می­‌شود. این پروژه هم­چنین یک فرآیند برای استفاده از پردازش زبان طبیعی [۳] برای تحویل داده به درون VREها در سطوح قابل تنظیمی از بی‌­نامی مربوط به نیازهای پژوهشگران و تأیید کمیته­ی اخلاقیات توسعه داده است.

۲ پیشینه
این موردپژوهی بر محور یک همکاری طولانی‌­مدت میان دانشگاه Leeds و شرکت (Phoenix (TPP است. TPP یک سیستم اطلاعاتی درمانگاهی به نام SystemOne توسعه داده است که سازمان­‌های مختلف بهداشت و درمان را به هم متصل می­‌سازد و به منظور دسترسی و به روزآوری داده­‌های بیماران در طی درمان بیمار در طول عمرش، یک رابط یکتا برای شاغلین پزشکی فراهم آورده است.

با SystemOne جزئیات هر قرارملاقات، درمان، بیماری، آلرژی و هر ارتباطی که یک بیمار داشته است، می­‌تواند در یک مکان مستند شود و در دسترس شاغلین بهداشت و درمان در زمینه­‌ی مشاوره یا مداخله‌­­ی سلامت قرار گیرد. این یک راه‌­حل قرار گرفته شده است به طوری که داده می‌­تواند به طور امن در محدوده­‌ی بهداشت و درمان شامل پزشکان عمومی، پزشکی کودکان، درمان با مُسکن­‌ها، بیمارستان‌­ها، درمان سلامت ذهنی و اجتماعی و با تأکید بر “هر بیمار، یک سابقه” به اشتراک گذاشته شود.

در نتیجه TPP دارای مقدار زیادی داده­‌ی سلامت ثبت‌­شده­‌ی بیماران توسط شاغلین سلامت و شامل ۲۳٫۵ میلیون سابقه­‌ی بیمار از ۱۶ میلیون بیمار ثبت‌­شده توسط پزشکان عمومی است. این مجموعه­‌ی داده سوابق سلامت الکترونیکی اجتماعی، اولیه و ثانویه‌­ی NHS از یک نمونه از بیماران در انگلستان را پوشش می­‌دهد.

این داده برای پژوهشگران پزشکی بسیار جذاب است و TPP دارای همکاری طولانی­‌مدتی با بیمارستان Leeds است که در آن داده‌­های بی‌نام می‌­توانند تحت تأیید کمیته­‌ی اخلاقیات به اشتراک گذاشته شوند. تأیید اخلاقیات یک فرآیند حیاتی اما زمان‌­بر و اغلب خسته­‌کننده است که تنظیم آن معمولاً ماه­ها زمان می­‌برد.

مسئله­‌ی دیگر آن است که سوابق بی‌­نام تأییدشده اغلب توسط روش­های ناامنی مانند دیسک یا پست الکترونیکی به پژوهشگران تحویل داده می‌­شوند. پژوهشگران این داده را به درون محیط پژوهش خود وارد می‌­کنند و از آن پس مسئول امنیت آن خواهند بود. این رویکرد می‌تواند منجر به مشکلات محرمانگی شود. مثال‌­های معروفی از حجم زیادی از داده­‌های شخصی وجود دارند که به هنگام سرقت یا جاگذاری رسانه یا لپ­تاپ‌­ها به اشتباه در مکان‌­های عمومی جا گذاشته شده­‌اند.

به طور مشابه، غیرمنطقی است که به طور کلی فرض شود محیط­‌هایی که در آن­ها داده‌­ها قرار داده می‌­شوند به اندازه­‌ی کافی امن هستند یا دچار سوءاستفاده نخواهند شد.

مشکل آخر آن است که بی‌­نام‌­سازی فرآیندی گران، زمان‌­بر و محتملِ خطا است که دو جنبه برای آن وجود دارد: در ابتدا، به آسانی نمی­‌توان تضمین کرد که تمامی اطلاعات شخصی از یک حجم عظیم داده در طی بی­‌نام‌­سازی حذف شوند؛ و دوم آن­که نمی‌­توان تضمین کرد که اطلاعاتِ ضروری برای پژوهش تصادفاً حذف نشود.

درگاه پروژه­ی JISC به ابر یک نمونه­‌ی راه‌­حل برای مورد توجه قرار دادن برخی از این مسائل ایجاد کرده است. هدف فعالیت جاری در دانشگاه Leeds توسعه‌­ی یک سیستم تولید قوی از نظر صنعتی و مبتنی بر این نمونه است.

در ادامه‌­ی این مقاله نمونه‌­ی درگاه و مسائل نوین محرمانگیِ مربوط به آن توصیف می‌­شود.

۳ نیازمندی­‌های VRE
این موردپژوهی چندین نیازمندی جدید برای گسترش محیط­‌های پژوهش مجازی و انجام پژوهش پیرامون سوابق سلامت تعیین کرده است.

یک اصل راهنما برای یک VRE در این نمونه آن است که باید تا حد ممکن نشان­‌دهنده­‌ی محیط­‌های کاری معمولی پژوهشگران باشد. این بدان معنا است که باید قادر به دربرگیری ابزار و داده‌­هایی باشد که پژوهشگر به طور معمول و برای انجام پژوهش­‌های خود از آن‌­ها استفاده می‌­کند. نصبِ از پیشِ ابزارهای استاندارد به درون VREها و مدیریت آن­ها توسط مدیران VRE باید ممکن باشد. دیگر ابزارها نیز باید قادر به نصب و مدیریت توسط کاربران باشند. انتخاب‌­ها و نسخه­‌های مختلف سیستم عامل باید توسط مدیران و پژوهشگران در دسترس و تنظیم‌­پذیر باشند.

یک VRE شامل داده­‌ای است که یک پژوهشگر مجاز تا حد مناسبی از بی‌­نامی به استفاده از آن مجاز است و باید مطابق با نیازهای پژوهشگران تنظیم شود: به عنوان مثال، برخی تلاش­‌های پژوهشی نیازمند اطلاعات مکانی، خانواده یا پیشینه هستند در حالی که بعضی دیگر تنها با درمان­‌ها در شرایط خاصی مرتبط می‌­باشند.

VREها و جریان­‌های کاری به منظور مدیریت چرخه­‌ی عمرشان باید مورد حسابرسی قرار گیرند. این حسابرسی باید منبعی مربوط به پردازش‌­ها و خروجی‌­های پژوهشی تولید کند. داده‌­های این منبع می‌­توانند در تکرار و اعتبارسنجی نتایج آزمایش‌­ها و تصمیم‌­گیری در مباحث مربوط به محرمانگی کمک کنند. به عنوان مثال، تعیین مجموعه­‌ی داده‌­ی خاص، سطح بی­‌نامی و پژوهشگران درگیر در تولید مجموعه­‌ی خاصی از نتایج همواره باید امکان­‌پذیر باشد.

منابع رایانشی در دسترسِ یک VRE باید به طور پویا و مطابق با نیازهای پژوهشگران تنظیم‌­پذیر باشند. اگر محیط یک پژوهشگر محدود به منابع باشد، احتمالاً داده­‌ی بیمار را از آن VRE حذف و آن را به درون یک محیط غیرکنترل­‌شده منتقل می­‌کند که ریسک­‌های محرمانگی را به وجود می­‌آورد.

دسترسی به یک VRE باید مطابق با نیازهای خاص پژوهشگر و نیازمندی­‌های کمیته‌­ی اخلاقیات تنظیم­‌پذیر باشد. در برخی موارد، داده ممکن است تنها از یک دستگاه خاص یا از درون یک شبکه‌­ی خاص (یا شبکه‌­ی خصوصی مجازی) یا یک سازمان مورد دسترسی قرار گیرد. در مواردی دیگر، این داده ممکن است از روی اینترنت قابل دسترس باشد. هدف نهایی آن است که این سیستم به اندازه­ کافی قابل اعتماد باشد تا فراهم­‌آورندگان داده و کمیته‌­ی اخلاقیات موافقت کنند که دسترسی اینترنت به صورت یک قاعده درآید، اما در عین حال، ویژگی انعصاف­‌پذیری نیز حیاتی است.

حفاظت از حریم شخصی بیمار -و مخصوصاً محرمانگی- مهم­ترین ویژگی است. در عمل، مدیریت محرمانگی باید تا حد زیادی به دست خود بیماران سپرده شود که باید قادر به تصمیم­‌گیری در مورد چگونگی و شرایط استفاده از سوابقشان باشند. این مورد هم‌­چنین نیازمند آن است که مدیریت محرمانگی تبدیل به یک فعالیت مشترک و شامل بیماران، شاغلین پزشکی، فراهم­‌آورندگان داده‌­های پزشکی و مدیران VRE شود.

برخی از این نیازمندی­‌ها جدید هستند. به عنوان مثال، مفهوم تنظیم دانه‌­ریز [۴] پیکره‌­بندی سطوح بی‌­نامی که به صورت خودکار توسط NLP و به عنوان بخشی از یک خط لوله‌­ی پژوهش مشترکاً مدیریت‌­شده تولید می­‌شود، تاکنون مورد بررسی قرار نگرفته است. هم­‌چنین، ایده‌­ی مدیریت مشترک محرمانگی به عنوان بخشی درونی از چرخه‌­ی عمر محیط پژوهش و منبع نیز تاکنون به طور کامل مورد توجه قرار نگرفته­‌اند.

۴ حریم شخصی
مسئله‌­ی اصلی حریم شخصی در این محدوده محرمانگی بیمار است که تا حدی از طریق بی‌­نامی و تا حدی از طریق اصول اعلان و رضایت (توافق) حاصل می‌­شود.

الف بی­‌نامی
سوابق در یک VRE بی­‌نام شده‌­اند و این اولین قدم حفاظتی برای بیماران است. بی­‌نامی بدان معنا است که یک سابقه نباید شامل اطلاعات شخصی مانند نام­‌های واقعی باشد.

بخشی از فرآیند بی‌­نامی ساده است: اطلاعات شخصی از فیلدهای نام در سابقه­‌ی بیمار حذف می­‌شوند. با این وجود، نام­‌ها در فیلدهای متن آزادِ سابقه نیز آمده­‌اند. به عنوان مثال، یک پزشک عمومی ممکن است در هنگام گفتگو در مورد یک قرار ملاقات، به بیمار با نامش اشاره کند (“خانم حسین از میگرن خود شکایت دارد…”). در حالی که افراد به شناسایی نام­‌ها در متن آزاد عادت دارند، این فرآیند زمان­‌بر و محتمل خطا است. با در نظر گرفتن حجم داده‌­ی درگیر، پردازش زبان طبیعیِ داده‌­ی متن آزاد باید استفاده شود.

این مشکل پیچیده است. به عنوان مثال، همواره معلوم نیست که چه چیزی شامل یک نام بیمار است. جداول جستجوی نام­‌ها متداول اما کافی نیستند، زیرا نام‌­های غیرمعمول ممکن است نادیده گرفته شوند، نام‌­ها ممکن است دارای غلط املایی باشند یا در زمینه‌­ی نامتعارفی استفاده شده باشند. هم‌­چنین احتمال قطعیت‌های نادرست نیز وجود دارد، زیرا بسیاری از نام‌­ها از نام مکان‌­ها، مشاغل و غیره گرفته شده‌اند (مثلاً Windsor هم می­‌تواند یک نام خانوادگی و هم یک مکان و Smith نیز می­‌تواند هم یک نام خانوادگی و هم یک شغل باشد). اگر این کار بدون توجه انجام شود، ممکن است منجر به شناسایی اطلاعات زمینه­‌ایِ مهمی به عنوان یک نام شده و آن نام به اشتباه از مجموعه‌­ی داده‌­ی VRE حذف شود. به این دلایل، یک مجموعه از قواعد NLP لازم است تا حتی ساده­‌ترین و مستقیم­‌ترین اطلاعات شخصی نیز شناسایی شود.

حذف اطلاعات شخصی از سوابق بیمار هنوز پیچیده است. به عنوان مثال، بخش زیر از یک فیلد متن آزادِ ترجمه‌­شده[۵] توسط یک پزشک عمومی را در نظر بگیرید:

پدر خانم Hutchinson، آلنِ ۸۲ ساله در جولای سال ۲۰۰۹ به دلیل رنج بردن از بیماری قلبی، در بیمارستان Royal Victoria Infirmary بستری شد.

چهار مسئله‌­ی احتمالی محرمانگی برای بیماران وجود دارد:

خانم Hutchinson با نامش ذکر شده و در نتیجه قابل شناسایی است.
حتی اگر اسم خانم Hutchinson نیز حذف شود، ممکن است توسط اطلاعات پدرش شناسایی شود.
ارجاع به سلامت خانم Hutchinson بر اساس پیشینه­‌ی پزشکی پدرش می­‌تواند ممکن باشد.
این سابقه شامل اطلاعات شخصی در مورد پدر خانم Hutchinson است که احتمالاً اجازه‌­ی به اشتراک‌گذاری این اطلاعات را نداده است.
فرآیند بی‌­نام‌­سازی باید قادر به مقابله با سناریوهایی مانند مورد بالا باشد و به همین دلیل است که پیچیده، وابسته به زمینه و محتاج NLP خاص دامنه است.

ب سطوح بی‌­نامی
سناریوهای مختلف پژوهش نیازمند دیدگا‌‌ه‌­های متفاوتی از یک مجموعه‌­داده‌­ی یکسان هستند. اطلاعات شخصی می‌­توانند داده را زمینه‌سازی کنند و سوابقِ کاملاً بی­‌نام­‌شده ممکن است برای برخی اهداف مناسب نباشند. در مثال خانم Hutchinson در بالا، پیشینه­‌ی پزشکی پدر او ممکن است از نظر پزشکی مربوط به برخی مطالعات خاص باشد و نه مطالعات دیگری. با توجه به اصل محرمانگی، پژوهشگران نباید به داده­‌های قابل شناسایی که به آن­‌ها نیاز ندارند و دارای تأیید اخلاقی برای استفاده از آن­‌ها نیستند دسترسی داشته باشند.
به همین دلیل، سطوح مختلفی از بی‌­نامی مورد نیاز هستند که هر یک دارای مجموعه­‌ی متفاوتی از عناصر داده‌­ی قابل شناسایی می‌باشند. برای دست­‌یابی به این مورد، پردازش زبان طبیعی برای برچسب­‌گذاری داده مطابق با عوامل زمینه­‌سازی مربوط استفاده می‌­شود و با توجه به یک طرح بی­‌نام‌­سازی، اطلاعات برچسب‌گذاری‌­شده‌­ی خاصی برای پژوهشگران خاصی تنظیم می‌­شوند.

با فراهم‌­آوری سطوح مختلفی از بی‌­نام‌­سازی بر اساس نیازهای پژوهشگران، می­‌توان از محرمانگی بیماران بر مبنای هر فرد حفاظت کرد و احتمالاً فرآیند حصول تأیید کمیته­‌ی اخلاقیات را به سادگی به جریان انداخت.

۵ رضایت و اعلان
رضایت و اعلان اصولی مهم برای ارائه­‌ی محرمانگی هستند. رضایت نیازمند آن است که مالکین داده دارای انتخابی معنادار در چگونگی اشتراک و استفاده از داده‌­های خود باشند. اعلان نیازمند مکانیزمی است که به وسیله‌­ی آن کاربران بتوانند اطلاعاتی پیرامون آن­‌که داده­‌شان استفاده شده و هم‌­چنین پیرامون هر تغییر مربوط به سیاست­‌های محرمانگی استخراج کنند. در این کاربرد، رضایت و اعلان به صورت زیر تعریف می­‌شوند:

الف رضایت
بیماران باید وابسته به جزئیات قانون­‌گزاری محلی، قادر به انتخاب به ورود به یا خروج از همکاری در یک پژوهش پزشکی باشند. بیماران باید بتوانند انتخاب کنند سوابق آن‌­ها در چه انواعی از پژوهش­‌های پزشکی استفاده شوند (مثلاً، بیماران ممکن است بخواهند از استفاده شدن داده­‌شان در پژوهش­‌هایی که شامل آزمایش بر روی حیوانات می­‌شود جلوگیری کنند). بیماران باید قادر به انتخاب سطح حداکثری از اطلاعات باشند که برای اشتراک­‌گذاری به منظور اهداف انواع خاصی از پژوهش­‌های پزشکی فراهم آورده­‌اند. مثلاً، ممکن است نخواهند پیشینه­‌ی خانوادگی آن­ها در دادگاه­‌های مربوط به پزشکی روانی به اشتراک گذاشته شود.

ب اعلان
بیماران باید بتوانند تعیین کنند چه زمانی، توسط چه کسی و برای چه هدفی سوابق آن‌­ها مورد استفاده قرار گیرد. هم­‌چنین باید بتوانند جزئیات اطلاعات پیرامون پروژه­‌هایی که از داده‌­های آن‌­ها استفاده کرده­‌اند را نیز دریابند.

بیماران باید به هنگام رخ دادن تغییرات در سیاست‌­های کنترل‌­کننده­‌ی نیازمندی‌­های آن­ها و چگونگی این تغییرات باخبر شوند و مطابق با آن‌­ها، قادر به تغییر نیازمندی‌­های خود باشند. به عنوان مثال، اگر سیاست‌های محرمانگی یا طرح­‌های بی‌­نام‌­سازی تغییر کنند، بیماران باید آگاه شوند تا بتوانند سطح رضایت خود را تغییر دهند.
ج اخلاقیات
یکی از اهداف پروژه­‌ی درگاه حرکت به سمت به جریان انداختن فرآیند تأیید کمیته‌­ی اخلاقیات برای پروژه­‌های پژوهشی است. این مورد می‌­تواند با ترکیب یک محیط امن برای انجام پژوهش با سطوحی از بی‌­نامی که توسط طرح بی­‌نامی کنترل می­‌شوند به دست آید. ایده در این­جا آن است که طرح‌های بی­‌نامی استفاده‌­های استانداردی از داده ارائه دهند و به محض آن­‌که یک پروژه­‌ی استفاده­‌کننده از یک طرح تأیید شد، به دست آوردن تأیید پروژه‌­های دیگری که از همان طرح استفاده می­‌کنند راحت­‌تر باشد. از طرف دیگر، افراد نیز باید قادر به تعیین چگونگی به اشتراک­‌گذاری و استفاده از داده‌­های خود باشند.

۶ پردازش زبان طبیعی و طرح بی­نامی
در دامنه‌­ی پزشکی، مجموعه­‌های داده شامل اطلاعات سلامت حفاظت­‌شده [۶]ای هستند که می‌­توانند افراد را شناسایی کنند. بی­‌نام­‌سازی حذف PHI است که یک فرآیند ۲ مرحله‌­ای می‌­باشد:

شناسایی PHI و طبقه­‌بندی آن با استفاده از دسته­‌های PHI
بی‌­نام‌­سازی PHIهای شناسایی­‌شده به وسیله­‌ی جایگزینی آن­ها با دسته‌های PHI مربوطه
داده‌­ی استفاده­‌شده در این پژوهش شامل ۲۵۳۴ PHI است که به دسته‌­های PHI زیر طبقه­‌بندی شده­‌اند: نام بیمار، نام پزشک، نام مکان، نام دیگر و رفتار خطرناک. به عنوان مثال، نمونه‌­ی استخراج­‌شده­‌ی زیر از یک سابقه را در نظر بگیرید:

خانم Ward به دلیل مصرف بیش از حد الکل دارای خطرات سلامتی است. شوهر او، Derek Ward نیز ممکن است در خطر باشد.

در این مثال، “Derek Ward” باید به عنوان یک PHI شناسایی و در دسته‌­ی “نام دیگر” قرار گیرد. این امر با مشخص کردن قوانینی با استفاده از نرم­‌افزار NLP به نام GATE (http://gate.ac.uk/) انجام می‌­شود. قاعده‌­ی شناسایی “شوهر، Derek Ward” در این مورد به صورت زیر است:
Rule:OtherNames
(

(

{Lookup.majorType == other}

// Dictionary of relations, roles, occupations

}Token.kind==punctuation{

(SPACE)

(NAME) //’NAME’ isMacro rule for identifying proper names

(SPACE)

(NAME)

)

)

:label
–>

:label.OtherName={Rule=OtherNames}

این سابقه در XML به صورت زیر برچسب­‌گذاری می‌­شود:

Mrs Ward has

health risks due to

behaviour>excessive alcohol

consumption. Her

husband, Derek

Ward, may be at risk too.

این برچسب‌­گذاری داده­‌های معنایی مهمی را آشکار می‌­سازد که ممکن بود درون متن آزادِ یک سابقه‌­ی سلامت پنهان مانده شوند.

پس از شناسایی و طبقه­‌بندی PHIها، بی‌­نام‌­سازی با جای‌گذاری PHIهای شناسایی­‌شده با دسته‌­بندی PHI مربوطه­‌شان (برچسب­های XML) و مطابق با یک طرح بی‌­نام‌­سازی مانند زیر کامل می‌­شود:

{-patientname

+riskybehaviour

-othername}

این کار منجر به یک سابقه با داده‌­های محدود به برچسب‌­های تنظیم­‌شده می‌­شود که نشان­‌دهنده‌­ی آن است که یک بیمار بی‌­نام به دلیل سوءمصرف الکل دچار خطرات سلامتی است و شخص دیگری نیز -ناشناس- ممکن است در معرض خطر باشد:

بیمار به دلیل مصرف بیش از حد الکل دارای خطرات سلامتی است. شخص دیگری -ناشناس- نیز ممکن است در خطر باشد.

طرح­های دیگری نیز اهداف پژوهشی و خطرات متفاوتی را نشان می­‌دهند.

برچسب­گذاری NLP و تنظیم بر اساس طرح بی­‌نام‌­سازی به حصول اطمینان از آن­­ کمک می‌­کند که چنین اطلاعات معناداری، به هنگام نیاز، به سادگی و حتی از درون فیلدهای متن آزاد قابل بازیابی باشند اما آن اطلاعاتی که پژوهشگر مجاز به دانستن آن­ها نیست حذف شوند.

۷ نمونه
در پروژه­‌ی درگاه، یک نمونه از VRE و فرآیند بی­‌نام‌­سازی داده توسعه یافته است.

{-patientname

+riskybehaviour

-othername}

این کار منجر به یک سابقه با داده‌­های محدود به برچسب‌­های تنظیم­‌شده می‌­شود که نشان­‌دهنده‌­ی آن است که یک بیمار بی‌­نام به دلیل سوءمصرف الکل دچار خطرات سلامتی است و شخص دیگری نیز -ناشناس- ممکن است در معرض خطر باشد:

بیمار به دلیل مصرف بیش از حد الکل دارای خطرات سلامتی است. شخص دیگری -ناشناس- نیز ممکن است در خطر باشد.

طرح­های دیگری نیز اهداف پژوهشی و خطرات متفاوتی را نشان می­‌دهند.

برچسب­گذاری NLP و تنظیم بر اساس طرح بی­‌نام‌­سازی به حصول اطمینان از آن­­ کمک می‌­کند که چنین اطلاعات معناداری، به هنگام نیاز، به سادگی و حتی از درون فیلدهای متن آزاد قابل بازیابی باشند اما آن اطلاعاتی که پژوهشگر مجاز به دانستن آن­ها نیست حذف شوند.

۷ نمونه
در پروژه­‌ی درگاه، یک نمونه از VRE و فرآیند بی­‌نام‌­سازی داده توسعه یافته است.
الف خط لوله­‌ی بی‌­نام‌­سازی داده
خط لوله از داده­‌ی خام تا داده‌­ی بی‌­نام­‌شده در VRE یک پژوهشگر

شکل ۱ خط لوله از داده­‌ی خام تا داده‌­ی بی‌­نام­‌شده در VRE یک پژوهشگر

یک پژوهشگر، داده را از فراهم‌­آورند­ی داده درخواست و نیازها و استفاده از داده را تعیین می‌­کند.
فراهم‌­آورند­ی داده، مجموعه‌­ی داده و طرح بی­‌نام‌­سازی را آماده می‌­کند و داده را درون VRE بارگذاری می­‌کند.
واحد NLP داده را برچسب­‌گذاری می­‌کند و از طرح بی­‌نام‌­سازی برای حذف هر داده‌­ی برچسب‌گذاری‌شده که پژوهشگر مجاز به مشاهده­‌ی آن نیست استفاده می­‌کند.
یک مدیر VRE یک ارزیابی ریسک بر روی داده‌­ی بی‌­نام‌­شده اجرا و آن را برای اطلاعات شخصی که توسط NLP نادیده گرفته شده­‌اند و شناسایی قطعیت­‌های نادرست احتمالی بررسی می­‌کند.
مدیر VRE با پژوهشگر در مورد نیازمندی­‌های ماشین مجازی شامل سیستم­‌های عامل، کاربردها و منابع مورد نیاز مذاکره می­‌کند.
مدیر VRE یک ماشین مجازی برای آن پژوهشگر می­‌سازد (یا یک ماشین مجازی موجود را تغییر می‌­دهد) و مجموعه‌­داده‌­ی اعتبارسنجی‌شده را در آن بارگذاری می­‌کند.
پژوهشگر ماشین مجازی خود را در صورت نیاز و توسط ابزارهای بارگذاری و داده‌­های اضافی تنظیم کرده و سپس پژوهش خود را انجام می­‌دهد.

خانه
خدمات
اخبار
دستاورد های علمی
اعضا
تماس با ما
درباره ما
۰
۱
درگاهی به ابر-موردپژوهی: یک محیط آگاه از محرمانگی برای پژوهش سوابق سلامت الکترونیکی
دسته بندی ها
تاریخمرداد ۳۰, ۱۳۹۵
نویسندگان: Rob Smith, Professor Jie Xu, Saman Hima & Dr. Owen Johnson
چکیده
پژوهشی در دامنه­‌ی انفورماتیک پزشکی ارائه می‌­دهیم که شامل برخی نیازمندی‌­های جدید برای محرمانگی بیمار در زمینه‌­ی پژوهش سلامت پزشکی است. این نمونه سوابق سلامت را از یک فراهم‌­آورنده­‌ی تجاری داده دریافت و آن­ها را به روشی مبتکرانه بی­‌نام کرده و آن‌­ها را درون یک محیط پژوهش مجازی[۱] امن و مبتنی بر ابر قابل دسترس می­‌سازد. بی‌­نامی [۲]داده در این­‌جا به دلیل نیاز پژوهشگران و تأیید کمیته‌های اخلاقی مناسب است. VREها در عین نگه‌­داری یکپارچگی داده، تولید منبع و محرمانگی بیمار، به صورت پویا به مدل محیط پژوهش شخصی هر پژوهشگر تنظیم می‌­شوند.

کلمات کلیدی
محرمانگی، انفورماتیک پزشکی، محیط پژوهش مجازی، بی­نامی، پردازش زبان طبیعی

۱ مقدمه
چندین شاخه از پژوهش پزشکی بر روی مطالعه‌­ی سوابق سلامت بیمار تمرکز دارند. این سوابق توسط تعامل بیمار با متخصصین پزشکی شاملِ (و نه محدود به) پزشکان عمومی، شاغلین بخش مراقبت، پرستاران، پزشکان بیمارستان و متخصصین تولید می‌­شوند.

سوابق سلامت منبعی مناسب از داده­‌ی پژوهش هستند، زیرا شامل اطلاعاتی مستقیماً مرتبط به بیماری­‌ها می‌باشند. هم­‌چنین، این اطلاعات، زمینه‌­ای احتمالی از مثلاً سبک زندگی، عوامل ریسک و پیشینه­‌ی خانوادگی فراهم می‌­آورند. سوابق سلامت معمولاً به صورت اطلاعات رمزشده (رمزهایی که به شرایط، بیماری­‌ها، مداخلات و غیره ارجاع دارند) و متن آزاد و غیرساخت­‌یافته مستند می­‌شوند.

در واقعیت، شاغلین پزشکی هنگامی که باید از کدها استفاده کنند، همواره این کار را انجام نمی­‌دهند و همیشه نیز از آن­ها به درستی استفاده نمی­‌کنند به همین دلیل، بسیاری از اطلاعات موجود برای پژوهش در متن آزاد پنهان می‌­شود. نوع اطلاعات یافت­‌شده در فیلدهای متن آزاد تنوع زیادی دارد و وابسته به جزئیات گفتگوها میان بیماران و شاغلین پزشکی، عادات فردی شاغلین پزشکی و آن­چه مرتبط به زمینه­‌ی یک مشاوره­‌ی خاص تلقی می­‌شود است. در نتیجه، سوابق سلامت احتمالاً شامل مقدار زیادی اطلاعات شخصی در مورد بیماران خواهند بود.

این مورد ممکن است شامل داده­‌هایی شود که بیمار انتظار ثبت شدن آن­ها را نداشته و داده‌­هایی در مورد افراد دیگر مانند اعضای خانواده که اجازه­‌ی ذخیره‌­سازی و اشتراک داده­‌هایشان را نداده‌­اند شود. از همه مهم­‌تر، ممکن است شامل اطلاعاتی باشد که منجر به شناخته شدن بیمار شود. بعضی داده­‌های ثبت­‌شده در سوابق سلامت به وضوح شخصی هستند (مثلاً نام­ها، مکان­ها و مشاغل) در حالی که برخی دیگر به طرز موشکافانه‌­ای شخصی هستند (مانند توصیفات زبان طبیعی از روابط، فعالیت­‌ها و غیره).

وظیفه­‌ی فراهم‌آورندگان داده­‌ی سوابق سلامت برای پژوهشگران آن است که از حریم شخصی (و مخصوصاً محرمانگی) اطمینان حاصل کنند. با این وجود، اطلاعات شخصی معمولاً برای پژوهشگران مهم است زیرا مداخلات را زمینه­‌سازی می‌­کنند. اغلب برخی از این اطلاعات زمینه دلیل آن هستند که پژوهشگران در درجه­‌ی اول به دسترسی به سوابق سلامت نیاز دارند. به عنوان مثال، پیشینه­‌ی خانواده و سبک زندگی ممکن است برای شناسایی عوامل آماری ریسک یا کارآمدی نسبی مداخلات به کار رود.

این نوع ارتباط ممکن است از تحلیل یک­باره­‌ی سوابق گردآوری شود اما دو مشکل خاص وجود دارند:

دست­یابی به چنین اطلاعاتی از متن آزاد دشوار است.
انجام این کار ممکن است محرمانگی بیماران و دیگر افراد ذکرشده در سوابق بیمار را نقض کند.
چالش این امر دسترس­‌پذیر ساختن اطلاعات مورد نیاز پژوهشگران بدون نقض محرمانگی بیمارانی است که مالک این داده­‌ها هستند. برای دست­‌یابی به چنین هدفی، پروژه­ی درگاه JISC به ابرها نمونه‌­ای از یک محیط پژوهش مجازی مبتنی بر ابر ساخته است.

VREها محیط‌­هایی خوددار هستند که از پیش با داده­‌های مناسب پژوهش موردنظر و توسط پژوهشگران بارگذاری شده است. یک VRE می­‌تواند محیط پژوهش شخصی و آشنای پژوهشگر را با در بر گرفتن ابزارهای مرسوم و دیگر منابع داده­‌شان تکرار کند. این بدان معنا است که پژوهشگران می‌­توانند به جای دانلود داده و انتقال آن به جایی دیگر، آزمایش­‌هایی درون VRE خود انجام دهند که شامل یک احتمال خطر محرمانگی می­‌شود. این پروژه هم­چنین یک فرآیند برای استفاده از پردازش زبان طبیعی [۳] برای تحویل داده به درون VREها در سطوح قابل تنظیمی از بی‌­نامی مربوط به نیازهای پژوهشگران و تأیید کمیته­ی اخلاقیات توسعه داده است.

۲ پیشینه
این موردپژوهی بر محور یک همکاری طولانی‌­مدت میان دانشگاه Leeds و شرکت (Phoenix (TPP است. TPP یک سیستم اطلاعاتی درمانگاهی به نام SystemOne توسعه داده است که سازمان­‌های مختلف بهداشت و درمان را به هم متصل می­‌سازد و به منظور دسترسی و به روزآوری داده­‌های بیماران در طی درمان بیمار در طول عمرش، یک رابط یکتا برای شاغلین پزشکی فراهم آورده است.

با SystemOne جزئیات هر قرارملاقات، درمان، بیماری، آلرژی و هر ارتباطی که یک بیمار داشته است، می­‌تواند در یک مکان مستند شود و در دسترس شاغلین بهداشت و درمان در زمینه­‌ی مشاوره یا مداخله‌­­ی سلامت قرار گیرد. این یک راه‌­حل قرار گرفته شده است به طوری که داده می‌­تواند به طور امن در محدوده­‌ی بهداشت و درمان شامل پزشکان عمومی، پزشکی کودکان، درمان با مُسکن­‌ها، بیمارستان‌­ها، درمان سلامت ذهنی و اجتماعی و با تأکید بر “هر بیمار، یک سابقه” به اشتراک گذاشته شود.

در نتیجه TPP دارای مقدار زیادی داده­‌ی سلامت ثبت‌­شده­‌ی بیماران توسط شاغلین سلامت و شامل ۲۳٫۵ میلیون سابقه­‌ی بیمار از ۱۶ میلیون بیمار ثبت‌­شده توسط پزشکان عمومی است. این مجموعه­‌ی داده سوابق سلامت الکترونیکی اجتماعی، اولیه و ثانویه‌­ی NHS از یک نمونه از بیماران در انگلستان را پوشش می­‌دهد.

این داده برای پژوهشگران پزشکی بسیار جذاب است و TPP دارای همکاری طولانی­‌مدتی با بیمارستان Leeds است که در آن داده‌­های بی‌نام می‌­توانند تحت تأیید کمیته­‌ی اخلاقیات به اشتراک گذاشته شوند. تأیید اخلاقیات یک فرآیند حیاتی اما زمان‌­بر و اغلب خسته­‌کننده است که تنظیم آن معمولاً ماه­ها زمان می­‌برد.

مسئله­‌ی دیگر آن است که سوابق بی‌­نام تأییدشده اغلب توسط روش­های ناامنی مانند دیسک یا پست الکترونیکی به پژوهشگران تحویل داده می‌­شوند. پژوهشگران این داده را به درون محیط پژوهش خود وارد می‌­کنند و از آن پس مسئول امنیت آن خواهند بود. این رویکرد می‌تواند منجر به مشکلات محرمانگی شود. مثال‌­های معروفی از حجم زیادی از داده­‌های شخصی وجود دارند که به هنگام سرقت یا جاگذاری رسانه یا لپ­تاپ‌­ها به اشتباه در مکان‌­های عمومی جا گذاشته شده­‌اند.

به طور مشابه، غیرمنطقی است که به طور کلی فرض شود محیط­‌هایی که در آن­ها داده‌­ها قرار داده می‌­شوند به اندازه­‌ی کافی امن هستند یا دچار سوءاستفاده نخواهند شد.

مشکل آخر آن است که بی‌­نام‌­سازی فرآیندی گران، زمان‌­بر و محتملِ خطا است که دو جنبه برای آن وجود دارد: در ابتدا، به آسانی نمی­‌توان تضمین کرد که تمامی اطلاعات شخصی از یک حجم عظیم داده در طی بی­‌نام‌­سازی حذف شوند؛ و دوم آن­که نمی‌­توان تضمین کرد که اطلاعاتِ ضروری برای پژوهش تصادفاً حذف نشود.

درگاه پروژه­ی JISC به ابر یک نمونه­‌ی راه‌­حل برای مورد توجه قرار دادن برخی از این مسائل ایجاد کرده است. هدف فعالیت جاری در دانشگاه Leeds توسعه‌­ی یک سیستم تولید قوی از نظر صنعتی و مبتنی بر این نمونه است.

در ادامه‌­ی این مقاله نمونه‌­ی درگاه و مسائل نوین محرمانگیِ مربوط به آن توصیف می‌­شود.

۳ نیازمندی­‌های VRE
این موردپژوهی چندین نیازمندی جدید برای گسترش محیط­‌های پژوهش مجازی و انجام پژوهش پیرامون سوابق سلامت تعیین کرده است.

یک اصل راهنما برای یک VRE در این نمونه آن است که باید تا حد ممکن نشان­‌دهنده­‌ی محیط­‌های کاری معمولی پژوهشگران باشد. این بدان معنا است که باید قادر به دربرگیری ابزار و داده‌­هایی باشد که پژوهشگر به طور معمول و برای انجام پژوهش­‌های خود از آن‌­ها استفاده می‌­کند. نصبِ از پیشِ ابزارهای استاندارد به درون VREها و مدیریت آن­ها توسط مدیران VRE باید ممکن باشد. دیگر ابزارها نیز باید قادر به نصب و مدیریت توسط کاربران باشند. انتخاب‌­ها و نسخه­‌های مختلف سیستم عامل باید توسط مدیران و پژوهشگران در دسترس و تنظیم‌­پذیر باشند.

یک VRE شامل داده­‌ای است که یک پژوهشگر مجاز تا حد مناسبی از بی‌­نامی به استفاده از آن مجاز است و باید مطابق با نیازهای پژوهشگران تنظیم شود: به عنوان مثال، برخی تلاش­‌های پژوهشی نیازمند اطلاعات مکانی، خانواده یا پیشینه هستند در حالی که بعضی دیگر تنها با درمان­‌ها در شرایط خاصی مرتبط می‌­باشند.

VREها و جریان­‌های کاری به منظور مدیریت چرخه­‌ی عمرشان باید مورد حسابرسی قرار گیرند. این حسابرسی باید منبعی مربوط به پردازش‌­ها و خروجی‌­های پژوهشی تولید کند. داده‌­های این منبع می‌­توانند در تکرار و اعتبارسنجی نتایج آزمایش‌­ها و تصمیم‌­گیری در مباحث مربوط به محرمانگی کمک کنند. به عنوان مثال، تعیین مجموعه­‌ی داده‌­ی خاص، سطح بی­‌نامی و پژوهشگران درگیر در تولید مجموعه­‌ی خاصی از نتایج همواره باید امکان­‌پذیر باشد.

منابع رایانشی در دسترسِ یک VRE باید به طور پویا و مطابق با نیازهای پژوهشگران تنظیم‌­پذیر باشند. اگر محیط یک پژوهشگر محدود به منابع باشد، احتمالاً داده­‌ی بیمار را از آن VRE حذف و آن را به درون یک محیط غیرکنترل­‌شده منتقل می­‌کند که ریسک­‌های محرمانگی را به وجود می­‌آورد.

دسترسی به یک VRE باید مطابق با نیازهای خاص پژوهشگر و نیازمندی­‌های کمیته‌­ی اخلاقیات تنظیم­‌پذیر باشد. در برخی موارد، داده ممکن است تنها از یک دستگاه خاص یا از درون یک شبکه‌­ی خاص (یا شبکه‌­ی خصوصی مجازی) یا یک سازمان مورد دسترسی قرار گیرد. در مواردی دیگر، این داده ممکن است از روی اینترنت قابل دسترس باشد. هدف نهایی آن است که این سیستم به اندازه­ کافی قابل اعتماد باشد تا فراهم­‌آورندگان داده و کمیته‌­ی اخلاقیات موافقت کنند که دسترسی اینترنت به صورت یک قاعده درآید، اما در عین حال، ویژگی انعصاف­‌پذیری نیز حیاتی است.

حفاظت از حریم شخصی بیمار -و مخصوصاً محرمانگی- مهم­ترین ویژگی است. در عمل، مدیریت محرمانگی باید تا حد زیادی به دست خود بیماران سپرده شود که باید قادر به تصمیم­‌گیری در مورد چگونگی و شرایط استفاده از سوابقشان باشند. این مورد هم‌­چنین نیازمند آن است که مدیریت محرمانگی تبدیل به یک فعالیت مشترک و شامل بیماران، شاغلین پزشکی، فراهم­‌آورندگان داده‌­های پزشکی و مدیران VRE شود.

برخی از این نیازمندی­‌ها جدید هستند. به عنوان مثال، مفهوم تنظیم دانه‌­ریز [۴] پیکره‌­بندی سطوح بی‌­نامی که به صورت خودکار توسط NLP و به عنوان بخشی از یک خط لوله‌­ی پژوهش مشترکاً مدیریت‌­شده تولید می­‌شود، تاکنون مورد بررسی قرار نگرفته است. هم­‌چنین، ایده‌­ی مدیریت مشترک محرمانگی به عنوان بخشی درونی از چرخه‌­ی عمر محیط پژوهش و منبع نیز تاکنون به طور کامل مورد توجه قرار نگرفته­‌اند.

۴ حریم شخصی
مسئله‌­ی اصلی حریم شخصی در این محدوده محرمانگی بیمار است که تا حدی از طریق بی‌­نامی و تا حدی از طریق اصول اعلان و رضایت (توافق) حاصل می‌­شود.

الف بی­‌نامی
سوابق در یک VRE بی­‌نام شده‌­اند و این اولین قدم حفاظتی برای بیماران است. بی­‌نامی بدان معنا است که یک سابقه نباید شامل اطلاعات شخصی مانند نام­‌های واقعی باشد.

بخشی از فرآیند بی‌­نامی ساده است: اطلاعات شخصی از فیلدهای نام در سابقه­‌ی بیمار حذف می­‌شوند. با این وجود، نام­‌ها در فیلدهای متن آزادِ سابقه نیز آمده­‌اند. به عنوان مثال، یک پزشک عمومی ممکن است در هنگام گفتگو در مورد یک قرار ملاقات، به بیمار با نامش اشاره کند (“خانم حسین از میگرن خود شکایت دارد…”). در حالی که افراد به شناسایی نام­‌ها در متن آزاد عادت دارند، این فرآیند زمان­‌بر و محتمل خطا است. با در نظر گرفتن حجم داده‌­ی درگیر، پردازش زبان طبیعیِ داده‌­ی متن آزاد باید استفاده شود.

این مشکل پیچیده است. به عنوان مثال، همواره معلوم نیست که چه چیزی شامل یک نام بیمار است. جداول جستجوی نام­‌ها متداول اما کافی نیستند، زیرا نام‌­های غیرمعمول ممکن است نادیده گرفته شوند، نام‌­ها ممکن است دارای غلط املایی باشند یا در زمینه‌­ی نامتعارفی استفاده شده باشند. هم‌­چنین احتمال قطعیت‌های نادرست نیز وجود دارد، زیرا بسیاری از نام‌­ها از نام مکان‌­ها، مشاغل و غیره گرفته شده‌اند (مثلاً Windsor هم می­‌تواند یک نام خانوادگی و هم یک مکان و Smith نیز می­‌تواند هم یک نام خانوادگی و هم یک شغل باشد). اگر این کار بدون توجه انجام شود، ممکن است منجر به شناسایی اطلاعات زمینه­‌ایِ مهمی به عنوان یک نام شده و آن نام به اشتباه از مجموعه‌­ی داده‌­ی VRE حذف شود. به این دلایل، یک مجموعه از قواعد NLP لازم است تا حتی ساده­‌ترین و مستقیم­‌ترین اطلاعات شخصی نیز شناسایی شود.

حذف اطلاعات شخصی از سوابق بیمار هنوز پیچیده است. به عنوان مثال، بخش زیر از یک فیلد متن آزادِ ترجمه‌­شده[۵] توسط یک پزشک عمومی را در نظر بگیرید:

پدر خانم Hutchinson، آلنِ ۸۲ ساله در جولای سال ۲۰۰۹ به دلیل رنج بردن از بیماری قلبی، در بیمارستان Royal Victoria Infirmary بستری شد.

چهار مسئله‌­ی احتمالی محرمانگی برای بیماران وجود دارد:

خانم Hutchinson با نامش ذکر شده و در نتیجه قابل شناسایی است.
حتی اگر اسم خانم Hutchinson نیز حذف شود، ممکن است توسط اطلاعات پدرش شناسایی شود.
ارجاع به سلامت خانم Hutchinson بر اساس پیشینه­‌ی پزشکی پدرش می­‌تواند ممکن باشد.
این سابقه شامل اطلاعات شخصی در مورد پدر خانم Hutchinson است که احتمالاً اجازه‌­ی به اشتراک‌گذاری این اطلاعات را نداده است.
فرآیند بی‌­نام‌­سازی باید قادر به مقابله با سناریوهایی مانند مورد بالا باشد و به همین دلیل است که پیچیده، وابسته به زمینه و محتاج NLP خاص دامنه است.

ب سطوح بی‌­نامی
سناریوهای مختلف پژوهش نیازمند دیدگا‌‌ه‌­های متفاوتی از یک مجموعه‌­داده‌­ی یکسان هستند. اطلاعات شخصی می‌­توانند داده را زمینه‌سازی کنند و سوابقِ کاملاً بی­‌نام­‌شده ممکن است برای برخی اهداف مناسب نباشند. در مثال خانم Hutchinson در بالا، پیشینه­‌ی پزشکی پدر او ممکن است از نظر پزشکی مربوط به برخی مطالعات خاص باشد و نه مطالعات دیگری. با توجه به اصل محرمانگی، پژوهشگران نباید به داده­‌های قابل شناسایی که به آن­‌ها نیاز ندارند و دارای تأیید اخلاقی برای استفاده از آن­‌ها نیستند دسترسی داشته باشند.

به همین دلیل، سطوح مختلفی از بی‌­نامی مورد نیاز هستند که هر یک دارای مجموعه­‌ی متفاوتی از عناصر داده‌­ی قابل شناسایی می‌باشند. برای دست­‌یابی به این مورد، پردازش زبان طبیعی برای برچسب­‌گذاری داده مطابق با عوامل زمینه­‌سازی مربوط استفاده می‌­شود و با توجه به یک طرح بی­‌نام‌­سازی، اطلاعات برچسب‌گذاری‌­شده‌­ی خاصی برای پژوهشگران خاصی تنظیم می‌­شوند.

با فراهم‌­آوری سطوح مختلفی از بی‌­نام‌­سازی بر اساس نیازهای پژوهشگران، می­‌توان از محرمانگی بیماران بر مبنای هر فرد حفاظت کرد و احتمالاً فرآیند حصول تأیید کمیته­‌ی اخلاقیات را به سادگی به جریان انداخت.

۵ رضایت و اعلان
رضایت و اعلان اصولی مهم برای ارائه­‌ی محرمانگی هستند. رضایت نیازمند آن است که مالکین داده دارای انتخابی معنادار در چگونگی اشتراک و استفاده از داده‌­های خود باشند. اعلان نیازمند مکانیزمی است که به وسیله‌­ی آن کاربران بتوانند اطلاعاتی پیرامون آن­‌که داده­‌شان استفاده شده و هم‌­چنین پیرامون هر تغییر مربوط به سیاست­‌های محرمانگی استخراج کنند. در این کاربرد، رضایت و اعلان به صورت زیر تعریف می­‌شوند:

الف رضایت
بیماران باید وابسته به جزئیات قانون­‌گزاری محلی، قادر به انتخاب به ورود به یا خروج از همکاری در یک پژوهش پزشکی باشند. بیماران باید بتوانند انتخاب کنند سوابق آن‌­ها در چه انواعی از پژوهش­‌های پزشکی استفاده شوند (مثلاً، بیماران ممکن است بخواهند از استفاده شدن داده­‌شان در پژوهش­‌هایی که شامل آزمایش بر روی حیوانات می­‌شود جلوگیری کنند). بیماران باید قادر به انتخاب سطح حداکثری از اطلاعات باشند که برای اشتراک­‌گذاری به منظور اهداف انواع خاصی از پژوهش­‌های پزشکی فراهم آورده­‌اند. مثلاً، ممکن است نخواهند پیشینه­‌ی خانوادگی آن­ها در دادگاه­‌های مربوط به پزشکی روانی به اشتراک گذاشته شود.

ب اعلان
بیماران باید بتوانند تعیین کنند چه زمانی، توسط چه کسی و برای چه هدفی سوابق آن‌­ها مورد استفاده قرار گیرد. هم­‌چنین باید بتوانند جزئیات اطلاعات پیرامون پروژه­‌هایی که از داده‌­های آن‌­ها استفاده کرده­‌اند را نیز دریابند.

بیماران باید به هنگام رخ دادن تغییرات در سیاست‌­های کنترل‌­کننده­‌ی نیازمندی‌­های آن­ها و چگونگی این تغییرات باخبر شوند و مطابق با آن‌­ها، قادر به تغییر نیازمندی‌­های خود باشند. به عنوان مثال، اگر سیاست‌های محرمانگی یا طرح­‌های بی‌­نام‌­سازی تغییر کنند، بیماران باید آگاه شوند تا بتوانند سطح رضایت خود را تغییر دهند.

ج اخلاقیات
یکی از اهداف پروژه­‌ی درگاه حرکت به سمت به جریان انداختن فرآیند تأیید کمیته‌­ی اخلاقیات برای پروژه­‌های پژوهشی است. این مورد می‌­تواند با ترکیب یک محیط امن برای انجام پژوهش با سطوحی از بی‌­نامی که توسط طرح بی­‌نامی کنترل می­‌شوند به دست آید. ایده در این­جا آن است که طرح‌های بی­‌نامی استفاده‌­های استانداردی از داده ارائه دهند و به محض آن­‌که یک پروژه­‌ی استفاده­‌کننده از یک طرح تأیید شد، به دست آوردن تأیید پروژه‌­های دیگری که از همان طرح استفاده می­‌کنند راحت­‌تر باشد. از طرف دیگر، افراد نیز باید قادر به تعیین چگونگی به اشتراک­‌گذاری و استفاده از داده‌­های خود باشند.

۶ پردازش زبان طبیعی و طرح بی­نامی
در دامنه‌­ی پزشکی، مجموعه­‌های داده شامل اطلاعات سلامت حفاظت­‌شده [۶]ای هستند که می‌­توانند افراد را شناسایی کنند. بی­‌نام­‌سازی حذف PHI است که یک فرآیند ۲ مرحله‌­ای می‌­باشد:

شناسایی PHI و طبقه­‌بندی آن با استفاده از دسته­‌های PHI
بی‌­نام‌­سازی PHIهای شناسایی­‌شده به وسیله­‌ی جایگزینی آن­ها با دسته‌های PHI مربوطه
داده‌­ی استفاده­‌شده در این پژوهش شامل ۲۵۳۴ PHI است که به دسته‌­های PHI زیر طبقه­‌بندی شده­‌اند: نام بیمار، نام پزشک، نام مکان، نام دیگر و رفتار خطرناک. به عنوان مثال، نمونه‌­ی استخراج­‌شده­‌ی زیر از یک سابقه را در نظر بگیرید:

خانم Ward به دلیل مصرف بیش از حد الکل دارای خطرات سلامتی است. شوهر او، Derek Ward نیز ممکن است در خطر باشد.

در این مثال، “Derek Ward” باید به عنوان یک PHI شناسایی و در دسته‌­ی “نام دیگر” قرار گیرد. این امر با مشخص کردن قوانینی با استفاده از نرم­‌افزار NLP به نام GATE (http://gate.ac.uk/) انجام می‌­شود. قاعده‌­ی شناسایی “شوهر، Derek Ward” در این مورد به صورت زیر است:

Rule:OtherNames
(

(

{Lookup.majorType == other}

// Dictionary of relations, roles, occupations

}Token.kind==punctuation{

(SPACE)

(NAME) //’NAME’ isMacro rule for identifying proper names

(SPACE)

(NAME)

)

)

:label

–>

:label.OtherName={Rule=OtherNames}

این سابقه در XML به صورت زیر برچسب­‌گذاری می‌­شود:

Mrs Ward has

health risks due to

behaviour>excessive alcohol

consumption. Her

husband, Derek

Ward, may be at risk too.

این برچسب‌­گذاری داده­‌های معنایی مهمی را آشکار می‌­سازد که ممکن بود درون متن آزادِ یک سابقه‌­ی سلامت پنهان مانده شوند.

پس از شناسایی و طبقه­‌بندی PHIها، بی‌­نام‌­سازی با جای‌گذاری PHIهای شناسایی­‌شده با دسته‌­بندی PHI مربوطه­‌شان (برچسب­های XML) و مطابق با یک طرح بی‌­نام‌­سازی مانند زیر کامل می‌­شود:

{-patientname

+riskybehaviour

-othername}

این کار منجر به یک سابقه با داده‌­های محدود به برچسب‌­های تنظیم­‌شده می‌­شود که نشان­‌دهنده‌­ی آن است که یک بیمار بی‌­نام به دلیل سوءمصرف الکل دچار خطرات سلامتی است و شخص دیگری نیز -ناشناس- ممکن است در معرض خطر باشد:

بیمار به دلیل مصرف بیش از حد الکل دارای خطرات سلامتی است. شخص دیگری -ناشناس- نیز ممکن است در خطر باشد.

طرح­های دیگری نیز اهداف پژوهشی و خطرات متفاوتی را نشان می­‌دهند.

برچسب­گذاری NLP و تنظیم بر اساس طرح بی­‌نام‌­سازی به حصول اطمینان از آن­­ کمک می‌­کند که چنین اطلاعات معناداری، به هنگام نیاز، به سادگی و حتی از درون فیلدهای متن آزاد قابل بازیابی باشند اما آن اطلاعاتی که پژوهشگر مجاز به دانستن آن­ها نیست حذف شوند.

۷ نمونه
در پروژه­‌ی درگاه، یک نمونه از VRE و فرآیند بی­‌نام‌­سازی داده توسعه یافته است.

الف خط لوله­‌ی بی‌­نام‌­سازی داده
خط لوله از داده­‌ی خام تا داده‌­ی بی‌­نام­‌شده در VRE یک پژوهشگر

شکل ۱ خط لوله از داده­‌ی خام تا داده‌­ی بی‌­نام­‌شده در VRE یک پژوهشگر

یک پژوهشگر، داده را از فراهم‌­آورند­ی داده درخواست و نیازها و استفاده از داده را تعیین می‌­کند.
فراهم‌­آورند­ی داده، مجموعه‌­ی داده و طرح بی­‌نام‌­سازی را آماده می‌­کند و داده را درون VRE بارگذاری می­‌کند.
واحد NLP داده را برچسب­‌گذاری می­‌کند و از طرح بی­‌نام‌­سازی برای حذف هر داده‌­ی برچسب‌گذاری‌شده که پژوهشگر مجاز به مشاهده­‌ی آن نیست استفاده می­‌کند.
یک مدیر VRE یک ارزیابی ریسک بر روی داده‌­ی بی‌­نام‌­شده اجرا و آن را برای اطلاعات شخصی که توسط NLP نادیده گرفته شده­‌اند و شناسایی قطعیت­‌های نادرست احتمالی بررسی می­‌کند.
مدیر VRE با پژوهشگر در مورد نیازمندی­‌های ماشین مجازی شامل سیستم­‌های عامل، کاربردها و منابع مورد نیاز مذاکره می­‌کند.
مدیر VRE یک ماشین مجازی برای آن پژوهشگر می­‌سازد (یا یک ماشین مجازی موجود را تغییر می‌­دهد) و مجموعه‌­داده‌­ی اعتبارسنجی‌شده را در آن بارگذاری می­‌کند.
پژوهشگر ماشین مجازی خود را در صورت نیاز و توسط ابزارهای بارگذاری و داده‌­های اضافی تنظیم کرده و سپس پژوهش خود را انجام می­‌دهد.
فراهم‌­آورنده­‌ی داده مسئول ایجاد مجموعه­‌های داده و طرح‌­های بی‌­نام­سازی برای پژوهشگران است. مدیران VRE باید مسئول بی­‌نام‌­سازی مجموعه­‌های داده، ایجاد و مدیریت ماشین‌­های مجازی و ارزیابی مجموعه­‌داده‌­های اعتبارسنجی­‌شده برای ماشین‌­های مجازی خاص باشند.

ما واحدی برای درگاه ایجاد کرده­‌ایم.

۸ معماری VRE
VRE بر اساس معماری سطح بالای زیر ساخته شده است:

معماری VRE

شکل ۲ معماری VRE

الف ماشین­‌های مجازی
هر پژوهشگر یا گروهی از پژوهشگران به یک ماشین مجازی تخصیص می­‌یابند که شامل داده و ابزارهای مورد نیاز آن­ها برای پژوهششان است. منابع موجود برای یک ماشین مجازی به طور پویا قابل تنظیم و قابل جابه­‌جایی هستند و بر روی یک ابر خصوصی قرار دارند.

ب رابط کاربر
پژوهشگران از طریق یک مرورگر یا یک ارتباط رومیزی از راه دور به ماشین­‌های مجازی خود متصل می‌­شوند. رابط مرورگر محدود اما تنظیم‌­پذیر است: پژوهشگران می‌­توانند پرس­‌و­جوهای مشترکی بر روی داده اجرا کنند، پرس‌­و­جوهای خود را بسازند، ابزاری به درون این محیط وارد کنند و به طور پویا تخصیص منابع را تغییر دهند. رابط رومیزی از راه دور به منظور انجام وظایف پیچیده­‌تر، دسترسی کامل به یک ماشین مجازی (بر اساس کنترل دسترسی) فراهم می‌­آورد.

ج بارگذاری داده
خط­‌لوله‌­ی داده در بخش قبلی شرح داده شده است. واحد بارگذاری داده توسط فراهم­‌آورندگان داده و به منظور ثبت داده از سیستم­‌های اطلاعاتی درمانگاهی­شان استفاده می‌­شود. واحد NLP مجموعه­‌داده‌­های خام را دریافت و مجموعه­‌داده­‌های از نظر معنایی برچسب­‌گذاری‌­شده را تولید می‌­کند.

بی‌­نام‌­کننده مجموعه‌­داده­‌های برچسب‌­گذاری­‌شده را دریافت و اطلاعات را مطابق با طرح بی­‌نام‌­سازی مربوطه حذف می‌­کند. واحد اعتبارسنجی داده ارزیابی ریسکِ مجموعه‌­داده‌های بی‌­نام را امکان‌­پذیر می­‌سازد و بارگذاری آن‌­ها به درون ماشین‌­های مجازی مناسب را مدیریت می­‌کند.

د حسابرسی
واحد حسابرسی ایجاد و ارزیابی کاربران، ماشین‌­های مجازی و طرح بی‌­نام‌­سازی و مجموعه‌­ی داده‌­ها را ثبت می­‌کند تا یک پیشینه از این­‌که کدام داده­‌ها تحت چه شرایطی و برای کدام پژوهشگران قابل دسترسی هستند فراهم آید.

۹ نتیجه‌­گیری و فعالیت‌­های آتی
این موردپژوهی برخی نیازمندی‌­های نوینی را توصیف می­‌کند که از افزایش حضور جهانی و دسترس‌پذیری و داده‌­های مربوط به تغییر صفاتِ در حال تغییرِ جمع‌­آوری، مدیریت و استفاده‌­ی داده، افزایش توانایی شاخص‌­گذاری، پردازش و مشاهده­‌پذیری داده و افزایش آگاهی­‌های عمومی از نیاز به حفاظت از حریم خصوصی (و در این مورد خاص، محرمانگی) منشأ پذیرفته است.

ما برای نمایش اثبات مفهوم بسیاری از این ایده­‌ها، نمونه­‌ای ساخته­‌ایم. با این وجود این نمونه، تمامی نیازمندی‌­های محرمانگی در این محیط را پوشش نمی­‌دهد. به عنوان مثال، مسائل مربوط به رضایت و اعلان را کاملاً پیاده‌­سازی نمی‌­کند. رضایت می­‌تواند از طریق یک لایه­‌ی اضافی از سیاست محرمانگی و پروتکل­‌های مرتبط پیاده‌­سازی شود. در این سناریو، به منظور حصول اطمینان از آن‌­که تنها بیمارانی که ورود (یا عدم انتخاب خروج) به شرایط یک طرحِ مشمول در مجموعه‌­داده‌­های خاص را انتخاب می‌­کنند، سیاست‌­های محرمانگی بیمار باید با طرح بی‌نام‌سازی مطابق باشند. این مورد موضوع یک پژوهش در حال انجام است. پیش‌­بینی می‌­شود که حسابرسی به منظور شامل شدن تولید منبع و با هدف تکرار و اعتبارسنجی آزمایش‌­ها و هم‌­چنین سیاست­‌های محرمانگی، گسترش یابد.

اعلان می‌­تواند با استفاده از اطلاع­‌ها یا پیوندهای تولیدشده توسط وقایع در واحد حسابرسی و در ارتباط با پروتکل­‌های مناسب و طرح بی‌­نام‌­سازی، به منظور آگاه‌­سازی بیماران از استفاده از داده‌­هایشان یا تغییر در سیاست­‌ها پیاده‌­سازی شود. این مورد نیز موضوع یک پژوهش در حال انجام است.

اکنون بر روی گسترش این نمونه فراتر از اثبات مفهوم به سمت یک محیط آماده برای تولید و در ارتباط با سیستم­‌های اطلاعاتی Leeds و بخش خدمات و شرکای صنعتی خود کار می­‌کنیم. این شامل انتقال خدمت از ابر خصوصی به شبکه­‌ی White Rose می­‌شود که یک منبع رایانشی در مقیاس وسیع و مشترک میان دانشگاه­‌های Leeds، York و Sheffield است. هم­‌چنین، در صدد گسترش این خدمت به فراهم­‌آورندگان داده‌­ای به جز TPP و کاربردهایی به جز پژوهش سوابق سلامت هستیم.

[۱] Virtual Research Environment (VRE)

[۲] anonymity

[۳] natural language processing (NLP)

[۴] fine-grained

[۵] Complie

[۶] protected health information (PHI)

گالری

این چوب‌های بازیافتی از تخریب یکی از ساختمان‌های قدیمی به دست آمده است. شاید روزی این چوب ها قرار بود به آتش کشیده شوند.

امیدواریم طراحان و مجریان مبلمان شهری و المان های شهری استفاده از این‌گونه سازه‌ها را از یاد نبرند و در راه فرهنگ سازی و استفاده بهینه از منابع، دست به خلاقیت بزنند.

فیلم

Lorem ipsum dolor sit.

Lorem ipsum dolor sit amet, consectetur adipisicing elit. Ad assumenda aut delectus et harum incidunt nesciunt nobis, officiis quo recusandae sapiente, sit vel voluptas? Doloremque impedit libero nobis recusandae. Accusantium alias asperiores at, consectetur corporis deleniti dignissimos dolorem ea earum exercitationem expedita illo labore libero magni minus nulla quidem suscipit, velit veritatis voluptate. Dignissimos dolorem in maiores nobis quos repudiandae.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Back to top