ГОСТ ISO/IEC 17025-2019 «Общие требования к компетентности испытательных и калибровочных лабораторий» пункт 4.2 говорит о конфиденциальности. Тем не менее, в документах ISO нет определения конфиденциальности: ни в ГОСТ 17025, ни в ГОСТ 17000.
Определение конфиденциальности удалось найти только в ГОСТ Р ИСО 7498-2-99 пункт 3.3.16:
Конфиденциальность – свойство, позволяющее не давать права на доступ к информации или не раскрывать ее неполномочным лицам, логическим объектам или процессам.
И ГОСТ 17025 (пункт 4.2.1) говорит, что лаборатория должна на основе юридически значимых обязательств нести ответственность за управление всей информацией, поступившей извне или получены в процессе выполнения лабораторной деятельности. Прямо в таком виде данное положение и переписывается лабораториями в Руководство по качеству. А на вопрос эксперта, что это за юридически значимые обязательства и где вы их определили, некоторые лаборатории начинают теряться.
Юридически значимые обязательства для лаборатории — это договор на определение услуг. В договоре должен быть раздел о конфиденциальности. Стороны должны договориться, какую информацию они считают конфиденциальной. То есть лаборатория в Руководстве по качестве после слов о юридически значимых обязательствах должна так и писать: договоры, контракты, иные документы, которые заключаются прежде, чем лаборатория начинает проводить работу; документы, где обговариваются условия конфиденциальности.
Если вы хотите закрепить теоретический материал и лучше понять его применение в реальных ситуациях, воспользуйтесь практикумом по конфиденциальности и беспристрастности. Небольшая лекция позволит вспомнить материал или получить новые знания, а также готовые примеры документов.
Размещение конфиденциальной информации в Интернете
Далее стандарт требует (пункт 4.2.1) от лаборатории заранее информировать заказчика об информации, которую она намерена разместить в свободном доступе. Исключение составляет информация, которая становится общедоступной по решению заказчика либо по согласованию между лабораторией и заказчиком, например, с целью реагирования на жалобы.
Вся иная информация считается предоставляющей коммерческую тайну и должна рассматриваться в качестве конфиденциальной.
Настоятельно рекомендуется посмотреть чужими "злыми" глазами на свой сайт в сети Интернет. И если лаборатория поперёк сайта пишет "Наши заказчики" и указывает их всех, то эксперт вправе спросить у вас письмо, разрешающее заказчику предоставлять информацию. Возможен еще более худший случай, если там вместе с заказчиком указан объект исследований и стоимость проведенных работ. Это уже ни в какие ворота не лезет. Понятное дело, что лаборатории хотелось похвастаться тем, какой большой был объект и какую большую работу она провела за очень небольшие деньги. Но эта информация конфиденциальная, и только с разрешения заказчика ее можно разместить в сети Интернет.
Есть нам в помощь также ГОСТ Р 54296-2010/ISO/PAS 17002:2004 «Оценка соответствия. Конфиденциальность. Принципы и требования». В нем указаны принципы конфиденциальности. Чтобы получить доступ к информации, необходимой для проведения эффективной деятельности по оценке соответствия, орган должен гарантировать что конфиденциальная информация не будет раскрыта. Такая гарантия подразумевает заявление о конфиденциальности со стороны лаборатории. Это может быть заявление, политика, какая-то документированная процедура и т.д. Лаборатория должна где-то сказать, что она будет обязательно соблюдать конфиденциальность.
Согласно пункту 4.2:
Все организации и отдельные лица имеют право на защиту любой предоставляемой информации, которая составляет их собственность.
То есть организация сама считает, какая информация будет конфиденциальной. Заказчик может сам определить, что именно он не хочет, чтобы лаборатория рассказывала другим лицам.
Согласно пункту 4.3:
Обеспечение равновесия между требованиями, связанными с конфиденциальностью и раскрытием информации, влияет на доверие заинтересованных сторон и на их понимание значения осуществляемой деятельности по оценке соответствия.
И вот элемент раскрытия информации рассмотрен в ГОСТ Р 54297-2010/ISO/PAS 17004:2005 «Оценка соответствия. Раскрытие информации. Принципы и требования». Принципы раскрытия информации – это:
а) Открытость
Орган должен раскрыть информацию о деятельности в области оценки соответствия любому пользователю.
То есть с нашей стороны должно быть полное доверие.
b) Доступ к информации
Любая имеющаяся информация по объекту соответствия, который подвергался оценке, должна быть представлена органом по требованию лица или организации, заключивших договор на проведение деятельности по оценке соответствия с органом по оценке соответствия.
c) Спорные вопросы, касающиеся конфиденциальности и раскрытия информации
Любое лицо или организация могут высказать органу сомнения, касающиеся соответствия данного органа требованиям конфиденциальности и раскрытия информации.
Если кому-то что-то не нравится в политике лаборатории по соблюдению конфиденциальности, они могут высказать, чего они хотят и какое исключение необходимо сделать.
Положениями ГОСТ Р 54297-2010/ISO/PAS 17004:2005 можно смело пользоваться для составления Политики конфиденциальности либо заявления о конфиденциальности.
Возвращаемся к ГОСТ 17025. Пункт 4.2.3 говорит о том, что:
Информация о заказчике, полученная не от самого заказчика (например, лица, направившего жалобу, регулирующих органов), должна быть конфиденциальной между заказчиком и лабораторией.
Сведения о поставщике (источнике) этой информации должны быть конфиденциальными для лаборатории и не должны передаваться ее заказчику, если это не согласовано с источником данной информации.
Беспристрастность и конфиденциальность. Практикум и интерактивный модуль по ГОСТ ISO/IEC 17025-2019
При обнаружении риска для беспристрастности лаборатория должна быть в состоянии продемонстрировать то, как она устраняет или минимизирует такой риск. Небольшая лекция позволит вспомнить материал или получить новые знания. Работайте в группе с преподавателем в формате практики, чтобы закрепить теоретический материал и лучше понять его применение в реальных ситуациях. На второй встрече вам будет доступен интерактивный модуль – набор увлекательных учебных карточек, которые помогут понять требования. Также вы получите готовые примеры документов.
В случае, если кто-то на кого-то пожаловался, передал лаборатории протокол, она не имеет права тут же звонить владельцу организации и сообщать о поступлении жалобы. Это не в компетенции лаборатории.
Возвращаясь к ГОСТ Р 54297-2010/ISO/PAS 17004:2005, можно далее прочитать следующее:
При формулировании требований, касающихся раскрытия информации, разработчики должны принимать во внимание следующие аспекты:
является ли вся информация конфиденциальной, если не указано однозначно, что она не является такой, или является ли вся информация доступной, если не указано однозначно, что она является конфиденциальной;
в случае, если разрешено раскрытие информации, следует учитывать степень активности органа по оценке соответствия при раскрытии этой информации (включая любое обязательство добровольно информировать заинтересованные стороны об изменениях в статусе подтверждения соответствия);
следует ли информировать организацию или физическое лицо, для которых проводилась оценка объекта соответствия, о раскрытии данной информации.
Рекомендуется составить:
Перечень информации, которая является конфиденциальной,
Перечень документов, которые можно передавать третьим лицам,
Перечень документов, которые нельзя передавать третьим лицам.
Этим лаборатория снимает очень много вопросов о том, что можно раскрывать, что нельзя.
Персонал, включая любых членов комитетов, подрядчиков, персонал внешних органов или отдельных лиц, действующих от имени лаборатории, должен соблюдать конфиденциальность всей информации, полученной или созданной в ходе выполнения лабораторной деятельности, за исключением случаев, предусмотренных законодательством.
Какие выводы можно сделать?
Персонал лаборатории должен соблюдать конфиденциальность. Это требование должно быть где-то лабораторией определено и сотрудник должен расписаться. Одного руководства по качеству мало. Должно быть требование в должностной инструкции либо в трудовом договоре. Может быть какое-то заявление о конфиденциальности. Если есть Политика конфиденциальности, персонал должен быть с ней ознакомлен.
Если лаборатория передает какие-то измерения на субподряд, то субподрядная организация должна ознакомиться с требованиями лаборатории о конфиденциальности. Потому что даже если работа передается в аккредитованную лабораторию и у неё есть свои требования по конфиденциальности, они могут быть другими, а заказчик обращался к вам. Все, кто действует от имени лаборатории, должны соблюдать конфиденциальность всей информации.
Как не растеряться на проверке и ответить на вопросы эксперта по ГОСТ 17025
Внедрение методик (методов) измерений в Испытательной лаборатории (верификация и валидация методик)
На семинаре будут рассмотрены вопросы внедрения методик в деятельность испытательной лаборатории в соответствии с требованиями ГОСТ ISO/IEC 17025-2019. Разберем, что такое валидация и чем она отличается от верификации, что делать, если нужно валидировать методику, с чего начать. Рассмотрим конкретные примеры, ответим на вопросы.
