DIN CEN ISO/TS 14265:2014-03

Diese Technische Spezifikation legt eine Reihe von Kategorien höchster Ebene für die Zwecke fest, für die persönliche Gesundheitsinformationen verarbeitet, das heißt erfasst, genutzt, gespeichert, abgefragt, ausgewertet, erstellt, verknüpft, übermittelt, offengelegt oder aufbewahrt werden dürfen. Ihr Ziel ist, ein Rahmenwerk für die Klassifikation der verschiedenen speziellen Zwecke zur Verfügung zu stellen, die in den Geltungsbereichen der einzelnen Richtlinien festgelegt und angewendet werden können (zum Beispiel von Organisationen der Gesundheitsversorgung, regionalen Gesundheitsbehörden, Zuständigkeitsbereichen, Ländern), um die gleichbleibende Verwaltung der Informationen bei der Erbringung von Dienstleistungen im Gesundheitswesen und für die Übermittlung elektronischer Patientenakten über die Grenzen von Organisationen und Zuständigkeitsbereichen hinweg zu unterstützen. Der Anwendungsbereich dieser Technischen Spezifikation ist beschränkt auf persönliche Gesundheitsinformationen (en: Personal Health Information, PHI) nach der Definition in ISO 27799 und auf Informationen über eine identifizierbare Person, die sich auf deren körperliche oder geistige Gesundheit oder die Erbringung von Gesundheitsdienstleistungen für diese Person beziehen. Zu diesen Informationen können die folgenden gehören: - Informationen über die Registrierung der Person für die Erbringung von Gesundheitsdienstleistungen; - Informationen über Zahlungen oder die Anspruchsberechtigung der betreffenden Person für Gesundheitsmaßnahmen; - Zahlen, Symbole oder spezielle Codes, die der betreffenden Person zugeordnet sind, um diese für Gesundheitszwecke eindeutig zu identifizieren; - alle Informationen über die Person, die im Verlauf der Erbringung von Gesundheitsdienstleistungen für diese Person erfasst werden; - Informationen, die aus der Untersuchung eines Körperteils oder einer biologischen Probe abgeleitet wurden; - Identifikation einer Person, zum Beispiel eines Heilberuflers, als Erbringer von Gesundheitsdienstleistungen der betreffenden Person gegenüber. Die vorliegende Technische Spezifikation legt zwar nicht die Gesamtheit derartiger Zwecke fest, stellt aber ein gemeinsames Abbildungsziel zur Überbrückung der Kluft zwischen den unterschiedlichen nationalen Listen zur Verfügung mit dem Ziel, die genehmigten automatisierten grenzüberschreitenden Ströme von elektronischen Patientenaktendaten zu unterstützen. Ziel dieser Technischen Spezifikation ist nicht, die Nutzung von nicht personenbezogenen Gesundheitsinformationen zu reglementieren. Da jedoch die Anonymisierung oder Entpersonalisierung von Daten eine Bedingung für die weitere Nutzung oder für neue Verwendungszwecke sein kann, kann ein festgelegter Datenzweck für die Nutzung sogar entpersonalisierter oder anonymisierter Daten nach der Richtlinie oder dem Gesetz eines bestimmten Zuständigkeitsbereiches gefordert sein. Unwiderruflich entpersonalisierte Gesundheitsdaten fallen formell nicht in den Anwendungsbereich dieser Technischen Spezifikation. Da die Entpersonalisierungsprozesse jedoch häufig ein gewisses Maß an Umkehrbarkeit einschließen, kann sie, wann immer zweckmäßig, auch für die Offenlegung von entpersonalisierten Gesundheitsdaten herangezogen werden. Für diese Norm ist das Gremium NA 063-07-04 AA "Sicherheit" im DIN zuständig.