Sistema anonimizador conforme a la norma UNE-EN ISO 13606

R. Somolinos Cristbal1, A. Muoz Carrero2, M. Pascual Carrasco2, M. Carmona Rodrguez1, J.A. Fragua Mndez1, M.A. Gonzlez de Mingo1, J. Cceres Tello2, R. Snchez de Madariaga2, A.L. Castro Serrano2, I. Velzquez Aza2, M. E. Hernando Prez3
1

Laboratorio de Bioingeniera y Telemedicina, Hospital Universitario Puerta de Hierro Majadahonda, Majadahonda, Madrid, Espaa, {rsomolinos, montse, jfragua, magonzalez}@bioing.cph.es
2

Unidad de Investigacin en Telemedicina y e-Salud, Instituto de Salud Carlos III, Madrid, Espaa, {adolfo.munoz,mario.pascual, jcaceres, ricardo.sanchez, alcastro, iker.velazquez}@isciii.es

Grupo de Bioingeniera y Telemedicina, Universidad Politcnica de Madrid, Madrid, Espaa, elena@gbt.tfo.upm.es

Resumen
La seguridad en el uso y la transferencia de extractos de Historia Clnica Electrnica es un tema de gran importancia dentro de la Telemedicina. Este trabajo describe el diseo, desarrollo e implementacin de un sistema anonimizador conforme a la norma UNE-EN ISO 13606. La finalidad principal del anonimizador es servir como herramienta a sistemas de informacin para la extraccin de la informacin demogrfica de sus extractos para evitar su envo conjunto a la informacin clnica, y por tanto proteger los datos ante posibles intercepciones externas, ya sea en la comunicacin o en el sistema de informacin receptor. Se ha elegido la norma UNEEN ISO 13606 para el desarrollo del sistema debido a que se trata de una norma de gran relevancia y difusin mundial y a que permite lograr la interoperabilidad semntica entre sistemas de informacin heterogneos. Adems, esta norma posee un paquete demogrfico diseado para representar las entidades demogrficas en el extracto mediante un conjunto de identificadores, caracterstica especialmente til para los propsitos del sistema anonimizador.

agentes externos en la transmisin o en el sistema de informacin receptor, su informacin clnica no podr ser asociada con ninguna entidad concreta. La anonimizacin del extracto de HCE consiste, bsicamente, en la eliminacin de toda la informacin demogrfica del extracto (previo envo a un servidor demogrfico) y la sustitucin de todos los identificadores presentes en el extracto que pudieran asociarse con entidades demogrficas concretas. Los sistemas receptores, si desearan conocer informacin demogrfica de las entidades participantes en el extracto, deberan solicitar dicha informacin al servidor demogrfico, que ser el encargado de verificar los derechos de acceso a la informacin antes de presentarla. El sistema anonimizador desarrollado ya ha sido desplegado sobre un proyecto en activo (FIS 08/1148) de nuestro grupo de investigacin. En este proyecto se realiza un volcado de informacin anonimizada de diversas fuentes a un servidor de HCE para un posterior uso secundario de la misma.

1.

Introduccin

La Historia Clnica Electrnica (HCE) y la transferencia de extractos de la misma entre sistemas de informacin heterogneos es un tema de gran importancia dentro de la investigacin en Telemedicina. Uno de sus aspectos clave es la seguridad, ya que se transmite informacin sensible, tanto de carcter clnico como de carcter demogrfico. Las diferentes normas e iniciativas desarrolladas incluyen soluciones tcnicas sobre seguridad. Sin embargo, se puede aumentar el nivel de seguridad de la informacin transmitida separando la informacin clnica de la demogrfica y esto se consigue mediante la anonimizacin de los extractos de la HCE. Adems, existen muchos escenarios en los que no es necesario trabajar con la informacin demogrfica como ocurre en investigacin, docencia y estadstica, y por tanto es mucho ms seguro utilizar los extractos anonimizados. Para conseguir este objetivo, se dise y desarroll un sistema anonimizador conforme a la norma UNE-EN ISO 13606. La informacin clnica se transmite siguiendo los mecanismos establecidos en la norma, pero en lugar de transmitir el extracto completo, se transmite el extracto anonimizado, ya que, en caso de ser interceptado por

2.

Norma UNE-EN ISO 13606

El Comit Europeo de Normalizacin (CEN) [1] ha sido el encargado de elaborar la norma UNE-EN ISO 13606, cuyo principal objetivo es normalizar la transferencia de las HCE, o de parte de las mismas. La norma est basada en un doble modelo que separa desde el diseo la informacin y el conocimiento [2]. Gracias a esta norma se consigue que los sistemas que intercambian informacin sean semnticamente interoperables. La norma UNE-EN ISO 13606 es una de las ms asentadas mundialmente en la temtica de la normalizacin de HCE, sin embargo existen otras iniciativas y estndares de gran importancia como HL7v3 [3] y openEHR [4], y ya existen proyectos para llegar a soluciones comunes interoperables. La norma UNE-EN ISO 13606 consta de cinco partes, de las cuales la parte 1 describe el modelo de referencia (modelo de informacin) de la norma. Este modelo proporciona las clases necesarias para representar la informacin clnica y de contexto, e incluye un paquete separado para la informacin demogrfica de todos

aquellos actores que intervienen en la HCE (pacientes, personal sanitario, organizaciones, dispositivos, etc). Esta separacin es muy til a la hora de anonimizar la informacin, pues permite representar a las entidades en todo el registro nicamente mediante un cdigo, que puede ser privado, sin relacin con el resto de identificadores que puedan tener. De esta manera los envos mantienen el anonimato de dichas entidades y tan slo aquellos actores debidamente autorizados podran recuperar las identidades demogrficas acudiendo directamente al anonimizador. En la figura 1 se muestran las clases del paquete demogrfico y las relaciones existentes entre ellas a travs de un diagrama UML.

2.2.

Tipo II (Instance Identifier)

El tipo de datos II (Instance Identifier) se utiliza para representar objetos identificadores. La clase II contiene seis campos: root, extension, identifierName, displayable, scope y reliability. Los campos ms importantes de esta clase son root y extension, ya que dos objetos de tipo II se consideran iguales si y slo si sus valores de los campos root y extension son iguales. El campo root es un identificador nico que garantiza la global unicidad de los objetos de tipo II. Es el espacio de nombres, un cdigo asignado a una entidad que asegura que todos los objetos II que se generen bajo ese valor del campo root sern nicos. El campo extension es una cadena de caracteres que forma un identificador nico. El binomio root/extension asegura que si hay dos objetos II con los mismos valores en los campos root y extension, entonces ambos objetos se estn refiriendo a la misma entidad.

3.

Descripcin del sistema

Figura 1. Paquete demogrfico del modelo de referencia

Nuestro grupo de investigacin mantiene durante los ltimos aos como una de sus principales lneas de trabajo la normalizacin en la transferencia de la HCE. Como fruto de anteriores proyectos en esta lnea se desarroll un servidor de HCE acorde a la norma UNEEN ISO 13606 [5, 6] y ste es el punto de partida del anonimizador diseado. El nuevo sistema utiliza las libreras del modelo de referencia y de los tipos de datos del servidor de HCE. El sistema se ha desarrollado utilizando Java como lenguaje de programacin, MySQL para las bases de datos, XML como lenguaje de marcado, XML Schemas para definir las estructuras de datos, libreras JPA para el almacenamiento permanente, libreras JAXB para la generacin automtica de clases Java y como tecnologa de comunicaciones se han utilizado Web Services implementados mediante la herramienta Axis2 y desplegados sobre un servidor de aplicaciones Apache Tomcat. El anonimizador es un sistema totalmente independiente de los sistemas de informacin a los que ofrece servicio. Por tanto, se puede desplegar en varias configuraciones. La configuracin ms realista es que se ubique en la misma localizacin que el sistema de informacin emisor, de esta forma se evitan posibles intercepciones de la informacin no anonimizada en el camino entre el sistema emisor y el anonimizador. Una configuracin ideal, pero menos realista en la actualidad, sera que ste fuese un servicio proporcionado por alguna organizacin centralizada, en la que se instalase el sistema anonimizador, que dara servicio a mltiples sistemas de informacin y as el servidor demogrfico asociado registrara datos globales, no slo los concernientes a un sistema emisor concreto. El sistema consta de dos mdulos principales: un servidor demogrfico y un anonimizador. Ambos mdulos utilizan Web Services para ofrecer acceso a sus clientes a travs de una serie de funciones pblicas. El servidor demogrfico puede trabajar de forma totalmente independiente con clientes que deseen guardar o recuperar

2.1.

Clase IDENTIFIED_ENTITY

La clase IDENTIFIED_ENTITY es una clase abstracta que se utiliza para englobar a todos los tipos de entidades demogrficas. De ella heredan el resto de clases que representan los diferentes tipos de entidades: SOFTWARE_OR_DEVICE (software o dispositivos), ORGANISATION (organizaciones), PERSON (personas), IDENTIFIED_HEALTHCARE_PROFESSIONAL (identificacin de profesionales sanitarios) y SUBJECT_OF_CARE_PERSON_IDENTIFICATION (identificacin del sujeto de atencin). La clase IDENTIFIED_ENTITY incluye los campos comunes a todas las entidades demogrficas. Son los siguientes: extract_id: campo de tipo II, es el identificador nico utilizado para representar a esta entidad demogrfica dentro del extracto id: es un conjunto de identificadores (de tipo II) desde los cuales se puede referenciar a esta entidad demogrfica

la informacin demogrfica de ciertas entidades. Sin embargo, el anonimizador trabaja de forma colaborativa con un servidor demogrfico asociado, de forma que el anonimizador accede como cliente a las funciones que oferta el servidor demogrfico. El servidor demogrfico se encarga del almacenamiento permanente de las entidades demogrficas. Dispone de funciones para que sus clientes puedan guardar entidades demogrficas y recuperarlas a travs de sus identificadores. Tambin dispone de unas funciones de gestin de identificadores de las entidades demogrficas, especialmente tiles para sus clientes anonimizadores. El sistema anonimizador se encarga de anonimizar un extracto dado a partir de un valor root tambin dado. El anonimizador enva toda la informacin demogrfica del extracto al servidor demogrfico asociado para su almacenamiento y la elimina del extracto. Tambin gestiona todos los identificadores relevantes de tipo II que aparecen en el extracto para ser sustituidos por otros, si es necesario, cuyo valor del campo root sea el pasado como parmetro y actualiza el servidor demogrfico para asociar los nuevos identificadores con las entidades demogrficas a las que se refieren en los casos necesarios. El anonimizador genera un nuevo extracto con la misma informacin clnica que el inicial, pero sin informacin demogrfica explcita y con nuevos identificadores otorgados por una nueva entidad (campo root), de manera que slo es posible acceder a los datos demogrficos mediante el servidor demogrfico asociado y siempre con los permisos de acceso necesarios.

recuperaIdentiedEntity: esta funcin devuelve, en caso de xito, un objeto IDENTIFIED_ENTITY que contiene los datos demogrficos correspondientes a la entidad referenciada por el identificador de tipo II formado por los valores root y extension pasados como parmetros de entrada en la funcin. El servidor demogrfico tambin dispone de varias funciones destinadas principalmente a facilitar la gestin de los identificadores por parte de sus clientes de tipo anonimizador: existeII: tiene como parmetros de entrada dos campos textuales root y extension que definen un identificador de tipo II. Esta funcin busca si existe en el servidor demogrfico algn objeto II almacenado con los mismos valores en dichos campos. En caso de encontrarlo devuelve el valor true y en caso contrario devuelve false. equivalenteExtension: esta funcin busca en el servidor demogrfico si existe un identificador de tipo II equivalente (que identifique a la misma entidad) que otro identificador II pasado por parmetros de entrada (root y extension) y cuyo valor del campo root sea igual que el parmetro de entrada equivalenteRoot. Si encuentra dicho identificador devuelve el valor de su campo extension, sino devuelve null. actualizaSetId: esta funcin actualiza el servidor demogrfico para guardar un nuevo identificador II (parmetro de entrada) en sus bases de datos y hacer que se refiera a la misma entidad demogrfica que otro identificador II (parmetro de entrada) ya registrado en el servidor. 3.2. Anonimizador Este mdulo dispone de muchas funciones, pero slo una de ellas es pblica y accesible por sus potenciales clientes web. El resto de funciones son privadas y se invocan internamente en las diferentes secciones que componen el proceso de anonimizacin de los extractos de HCE. La funcin accesible se denomina anonimizaExtracto. Tiene dos parmetros de entrada: el extracto a anonimizar (extract) y una cadena textual (rootProject) que indica el valor del campo root de todos los identificadores que se van a usar en la anonimizacin del extracto. El resultado que devuelve esta funcin es el extracto anonimizado. La anonimizacin de extractos de HCE consta de las siguientes fases: 1) Almacenamiento de la informacin demogrfica incluida en el extracto. El extracto 13606 tiene un campo no obligatorio denominado demographic_extract en el que se incluyen los datos demogrficos de entidades relacionadas con el extracto. Para cada una de estas entidades se comprueba si ya est almacenada en el servidor demogrfico asociado (mediante su conjunto de identificadores). En caso de estar ya almacenada se procede a actualizar los identificadores que apuntan a esta entidad en el servidor demogrfico. En caso contrario se enva

Figura 2. Flujo de trabajo del sistema anonimizador

3.1.

Servidor demogrfico

Nuestro grupo de trabajo ya desarroll y present una versin anterior del servidor demogrfico [7]. Sin embargo, desde entonces se han realizado cambios significativos sobre el servidor demogrfico, principalmente dirigidos a su interaccin con el anonimizador. El servidor tiene dos funciones pblicas que permiten tanto el almacenamiento como la recuperacin de los datos de las entidades demogrficas: registraIdentiedEntity: esta funcin permite guardar en las bases de datos del servidor demogrfico los datos de un objeto IDENTIFIED_ENTITY que se enva como parmetro de entrada.

la entidad completa al servidor demogrfico para su almacenamiento. 2) Sustitucin de los identificadores de entidades del extracto. En el extracto hay varios campos apuntados por identificadores de tipo II que se refieren a entidades demogrficas que intervienen en el extracto. Aunque los identificadores, en s mismos, no contienen informacin demogrfica, deben ser sustituidos puesto que agentes externos ya podran conocer a qu entidad se refiere cada identificador. El campo ms claro que debe ser sustituido es subject_of_care de la clase EHR_EXTRACT, que se refiere al sujeto de atencin. Pero tambin hay otros campos menos obvios que deben ser anonimizados igualmente como el campo performer de la clase FUNCTIONAL_ROLE y el campo party de la clase RELATED_PARTY. Los nuevos identificadores de tipo II a usar tendrn rootProject como valor de su campo root. El valor de su campo extension se asignar de forma que se asegure que no existan identificadores replicados y tambin se actualizarn las entidades demogrficas guardadas en el servidor con los nuevos identificadores asignados. En caso de que alguna entidad ya tuviera algn identificador con el valor de rootProject en su campo root, se usar dicho identificador para incluirlo en el extracto anonimizado. 3) Supresin de la informacin demogrfica incluida en el extracto. Se eliminan todos los datos incluidos en el campo demographic_extract del extracto de HCE. Opcionalmente se puede mantener algunos datos (sexo, edad) en este campo, de manera que sean de utilidad para usos secundarios como estudios estadsticos e investigacin y que se siga manteniendo el anonimato de las entidades.

en un campo propio de la entidad demogrfica. Estas caractersticas, propias de la norma, facilitan la gestin de identificadores y la anonimizacin de los extractos. Por lo que la norma rene las caractersticas ideales para ser la base del sistema anonimizador. Al realizar la anonimizacin de los extractos, tambin se guarda la informacin demogrfica de todas las entidades participantes en un servidor demogrfico. Dicha informacin estar siempre disponible, tanto para el proyecto que la gener como para cualquier otro uso. Cualquier agente podra solicitar dichos datos al servidor demogrfico, y el servidor demogrfico podr mostrarlos comprobando previamente que el solicitante posee los permisos necesarios para acceder a dicha informacin. Debido a la universalidad de la norma UNE-EN ISO 13606, los datos devueltos por el servidor demogrfico sern fcilmente interpretables por cualquier sistema que cumpla con esta norma. Como trabajo futuro se pretende implantar el servicio desarrollado en los proyectos de Telemedicina activos de nuestro grupo de trabajo y mejorar el servicio con la experiencia que obtendremos a partir de dichas implantaciones.

Agradecimientos
Este trabajo ha sido financiado parcialmente por los proyectos CEN-20091043 (REHABILITA), FIS 09/90094 (PITES) y FIS 08/1148 (CAMAMA).

Referencias
[1] Pgina web del Comit Europeo de Normalizacin (CEN). http://www.cen.eu (Consultada: agosto 2012) [2] Beale T. Archetypes: Constraint-based Domain Models for Future-proof Information Systems. http://www.openehr.org/publications/archetypes/archetypes _beale_oopsla_2002.pdf (Consultada: agosto 2012) [3] Pgina web de Health Level Seven Spain (HL7). http://www.hl7spain.org (Consultada: agosto 2012) [4] Pgina web de openEHR. http://www.openehr.org (Consultada: agosto 2012) [5] Muoz A, Somolinos R, Pascual M, Fragua JA, Gonzlez MA, Monteagudo JL, Salvador CH. Proof-of-concept Design and Development of an EN13606-based Electronic Health Care Record Service. Journal of the American Medical Informatics Association (J Am Med Inform Assoc), vol 14, 2007, pp 118-129 (DOI 10.1197/jamia.M2058). [6] Somolinos R, Muoz A, Fragua JA, Pascual M, Gonzlez MA, Salvador CH. Servidor de extractos de historias clnicas conformes a la norma EN 13606. Actas del XXIII Congreso Anual de la Sociedad Espaola de Ingeniera Biomdica (CASEIB'05), Madrid, 10-12 noviembre 2005, pp 39-42. [7] Somolinos R, Muoz A, Gonzlez MA, Pascual M, Fragua JA, Carmona M, Snchez R, Cceres J, Castro AL, Hernando ME. Servidor demogrfico conforme a la norma UNE-EN ISO 13606. Actas del XXVIII Congreso Anual de la Sociedad Espaola de Ingeniera Biomdica (CASEIB'10), Madrid, 24-26 noviembre 2010.

4.

Conclusiones

El sistema anonimizador desarrollado supone una novedosa implementacin de este servicio utilizando la norma UNE-EN ISO 13606. En principio surgi como una prueba de concepto para demostrar que los modelos que ofrece la norma permiten la anonimizacin de los extractos. Sin embargo, se observ que el sistema desarrollado posea gran potencialidad, y, posteriormente, se integr en un proyecto de Telemedicina, actualmente en produccin, presentando resultados satisfactorios. La anonimizacin de los extractos de HCE impide la identificacin de los propietarios de los datos clnicos enviados, de esta forma se facilita el cumplimiento de la actual ley de proteccin de datos. La norma UNE-EN ISO 13606, en concreto su modelo de referencia, separa claramente la informacin clnica de la demogrfica. De manera que si existen referencias a entidades demogrficas dentro de la informacin clnica se realicen nicamente a travs de identificadores. Por otro lado, las entidades demogrficas pueden poseer ms de un identificador para ser referenciadas y esto se indica