Delen via


Niet-geïdentificeerde gegevens exporteren

Notitie

Resultaten bij het gebruik van de gedeidentificeerde export van de FHIR-service® (de-id) variëren op basis van de aard van de gegevens die worden geëxporteerd en welke de-id-functies worden gebruikt. Microsoft kan geen gedeidentificeerde exportuitvoer evalueren of de aanvaardbaarheid voor uw use cases en nalevingsbehoeften bepalen. De geïdentificeerde export van de FHIR-service voldoet niet aan specifieke wettelijke, wettelijke of nalevingsvereisten.

De FHIR-service kan gegevens identificeren wanneer u een $export bewerking uitvoert. Voor gedeidentificeerde export gebruikt de FHIR-service de anonimiseringsengine van het OSS-project (FHIR tools for anonymization ) op GitHub. Er is een voorbeeldconfiguratiebestand waarmee u aan de slag kunt met het redacteren/transformeren van FHIR-gegevensvelden die persoonlijke identificatiegegevens bevatten.

Configuratiebestand

De anonimiseringsengine wordt geleverd met een voorbeeldconfiguratiebestand om u te helpen aan de slag te gaan met de HIPAA Safe Harbor Method de-id-vereisten. Het configuratiebestand is een JSON-bestand met vier eigenschappen: fhirVersion, processingErrors, fhirPathRules. parameters

  • fhirVersion geeft de FHIR-versie op voor de anonimiseringsengine.
  • processingErrors geeft aan welke actie moet worden ondernomen voor eventuele verwerkingsfouten die optreden tijdens de anonimisering. U kunt de uitzonderingen verhogen of behouden op basis van uw behoeften.
  • fhirPathRules geeft aan welke anonimiseringsmethode moet worden gebruikt. De regels worden uitgevoerd in de volgorde waarin ze worden weergegeven in het configuratiebestand.
  • parameters stelt meer besturingselementen in voor het anonimiseringsgedrag dat is opgegeven in fhirPathRules.

Hier volgt een voorbeeldconfiguratiebestand voor FHIR R4:

{
  "fhirVersion": "R4",
  "processingError":"raise",
  "fhirPathRules": [
    {"path": "nodesByType('Extension')", "method": "redact"},
    {"path": "Organization.identifier", "method": "keep"},
    {"path": "nodesByType('Address').country", "method": "keep"},
    {"path": "Resource.id", "method": "cryptoHash"},
    {"path": "nodesByType('Reference').reference", "method": "cryptoHash"},
    {"path": "Group.name", "method": "redact"}
  ],
  "parameters": {
    "dateShiftKey": "",
    "cryptoHashKey": "",
    "encryptKey": "",
    "enablePartialAgesForRedact": true
  }
}

Zie FHIR-anonimisering voor meer informatie.

Configuratiebestand beheren in opslagaccount

U moet een container maken voor de gedeidentificeerde export in uw ADLS Gen2-account en de <<container_name>> in de API-aanvraag opgeven zoals wordt weergegeven. Daarnaast moet u het JSON-configuratiebestand met de anonimiseringsregels in de container plaatsen en de <<config file name>> api-aanvraag opgeven.

Notitie

Het is gebruikelijk om de container een naam te geven anonymization. Het JSON-bestand in de container heeft vaak de naam anonymizationConfig.json.

Configuratiebestand beheren in ACR

U wordt aangeraden de exportconfiguratiebestanden op Azure Container Registry (ACR) te hosten.

  1. Push de configuratiebestanden naar uw Azure Container Registry.
  2. Schakel Managed Identity in op uw FHIR-service-exemplaar.
  3. Geef toegang tot de ACR tot de beheerde identiteit van de FHIR-service.
  4. Registreer de ACR-servers in de FHIR-service. U kunt de portal gebruiken om Artefacten te openen in de sectie Gegevens transformeren en overdragen om de ACR-server toe te voegen.
  5. ACR-firewall configureren voor beveiligde toegang.

$export Het eindpunt gebruiken voor het identificeren van gegevens

Hieronder volgt een voorbeeld van een geanonimiseerde $export-query.

https://<<FHIR service base URL>>/$export?_container=<<container_name>>&_anonymizationConfigCollectionReference=<<ACR image reference>>&_anonymizationConfig=<<config file name>>&_anonymizationConfigEtag=<<ETag on storage>>

Notitie

Op dit moment ondersteunt de FHIR-service alleen deidentificeerde export op systeemniveau ($export).

Queryparameter Opmerking Optioneel Beschrijving
_container exportContainer Vereist De naam van de container in het geconfigureerde opslagaccount waar de gegevens worden geëxporteerd.
_anonymizationConfigCollectionReference "myacr.azurecr.io/deidconfigs:default" Optioneel Verwijzing naar een OCI-installatiekopie in ACR met de-id-configuratiebestanden voor het exporteren van de id (zoals stu3-config.json, r4-config.json). De ACR-server van de installatiekopieën moet worden geregistreerd binnen de FHIR-service. (Opmaak: <RegistryServer>/<imageName>@<imageDigest>, <RegistryServer>/<imageName>:<imageTag>)
_anonymizationConfig anonymizationConfig.json Vereist Naam van het configuratiebestand. Bekijk hier de indeling van het configuratiebestand. Als _anonymizationConfigCollectionReference is opgegeven, zoeken en gebruiken we dit bestand uit de opgegeven afbeelding. Anders zoeken en gebruiken we dit bestand in een container met de naam anoniem maken binnen het geconfigureerde ADLS Gen2-account.
_anonymizationConfigEtag "0x8D8494A069489EC" Optioneel Etag van het configuratiebestand, dat kan worden verkregen via de blob-eigenschap in Azure Storage Explorer. Geef deze parameter alleen op als het configuratiebestand is opgeslagen in het Azure-opslagaccount. Als u ACR gebruikt om het configuratiebestand te hosten, moet u deze parameter niet opnemen.

Belangrijk

Zowel de onbewerkte export- als de geïdentificeerde exportbewerkingen schrijven naar hetzelfde Azure-opslagaccount dat is opgegeven in de exportconfiguratie voor de FHIR-service. Als u meerdere deidentificatieconfiguraties nodig hebt, is het raadzaam om voor elke configuratie een andere container te maken en gebruikerstoegang op containerniveau te beheren.

Volgende stappen

Gegevens exporteren (export-data.md)

Notitie

FHIR® is een geregistreerd handelsmerk van HL7 en wordt gebruikt met de machtiging HL7.