Gesundheitsdaten sicher in der Cloud integrieren und betreiben
Wissensdatenbank Technologie A.1: Tech-FoundationDie Implementierung von Integration-Plattform-as-a-Service (iPaaS)-Lösungen in Schweizer Spitälern markiert einen entscheidenden Schritt in Richtung digitaler Transformation im Gesundheitswesen.
Problembeschreibung, Forschungsfrage und Relevanz
Das Gesundheitswesen steht vor der Herausforderung, verbesserte Behandlungsformen kosteneffizient anzubieten.
Die steigenden Therapiemöglichkeiten führen zu kontinuierlichem Kostenwachstum und Datensilos aus isolierten IT-Systemen. In anderen Branchen wie Finanzwesen, Handel und Logistik haben sich bereits seit längerem Daten- und Systemintegrationsplattformen etabliert, welche mittlerweile auch in der Cloud als sogenannte „Integration-Plattform-as-a-Service“ (iPaaS) angeboten werden. Im Kern handelt es sich um cloud-basierte Integrationsplattformen, die es Unternehmen ermöglichen, verschiedene Anwendungen, Systeme und Daten schneller zu verknüpfen, zu synchronisieren, zu zentralisieren und nahtlos zu integrieren.
Der Umstieg von Plattformen in den eigenen Räumlichkeiten, vor Ort oder in lokalen Rechenzentren (On-Premises) zu einer hybriden Cloud-Lösung bietet mit iPaaS unter anderem den Vorteil, dass durch vorhandene Datenkonnektoren eine einfache und sichere Datenintegration erfolgt. Zudem ermöglicht die Integration mit anderen Schnittstellen (API) zu anderen Cloud-Anbietern teilweise eine code-freie Umsetzung, was die Entwicklung digitaler Anwendungen beschleunigt.
Die Anforderungen im Umgang mit den sensiblen und schützenswerten Patienten- und Gesundheitsdaten in einer iPaaS-Lösung sind besonders hoch. Die Vielfalt der Systeme und Daten in den Spitälern führt allerdings zu einer hohen Komplexität in Bezug auf Datentypen, -semantiken und -formate. Angesichts der neuen Entwicklungen im Gesundheitswesen sind daher nicht nur technische Aspekte, sondern auch Sicherheits-, Datenschutz- und regulatorische Anforderungen von entscheidender Bedeutung. Generell müssen iPaaS-Lösungen in der Gesundheitsbranche auch den nicht-funktionalen Anforderungen an Sicherheit, Skalierbarkeit, Wartbarkeit und Kosten genügen.
Methoden und Vorgehen im Projekt
Das dreieinhalb Jahre dauernde Innosuisse-Projekt «Smart Hospital: Integrated Framework, Tools and Solutions» (SHIFT) hat das Ziel, die digitale Transformation in Spitälern voranzutreiben. Im Rahmen dessen wird im Subprojekt A.1-Konsortium mit Leitwert AG, The i-engineers AG und Eviden AG, gemeinsam mit dem Institut für Wirtschaftsinformatik der ZHAW, eine gehostete Daten- und Integrationsmiddleware (iPaaS) erarbeitet, die sogenannte Tech-Foundation. In einer ersten Phase wurden für eine Anforderungsanalyse wissenschaftliche und Fachquellen gesammelt, Experteninterviews geführt, Informationen mit dem SHIFT Sounding Board ausgetauscht sowie Gesetzestexte und Vorschriften durchforstet.
Ergebnisse und Erkenntnisse
Anforderungen an einen sicheren Betrieb von Gesundheitsdaten
Die Anforderungen im Umgang mit den sensiblen und schützenswerten Patienten- und Gesundheitsdaten in einer iPaaS-Lösung sind besonders hoch. Die Vielfalt der Systeme und Daten in den Spitälern führt allerdings zu einer hohen Komplexität in Bezug auf Datentypen, -semantiken und formate. Angesichts der neuen Entwicklungen im Gesundheitswesen sind daher nicht nur technische Aspekte, sondern auch Sicherheits-, Datenschutz- und regulatorische Anforderungen von entscheidender Bedeutung (Abbildung 1). Generell müssen iPaaS-Lösungen in der Gesundheitsbranche auch den nicht-funktionalen Anforderungen an Sicherheit, Skalierbarkeit, Wartbarkeit und Kosten genügen.
Die wichtigsten Aspekte und Funktionale Anforderungen von iPaaS-Lösungen in der Gesundheitsbranche sind:
- Offene Daten- und Integrationsstandards und APIs auf syntaktischer Ebene:
Empfehlung zur Verwendung stabiler Datenschnittstellenstandards wie HL7 Fast Healthcare Interoperability Resources (FHIR) und ISO 13606 für einen einfachen Datenaustausch. - Definitionen, Terminologien und Klassifizierung auf semantischer Ebene:
Notwendigkeit der semantischen Interoperabilität zwischen Systemen durch Terminologien wie SNOMED CT, LOINC, DICOM und ICD sowie Integration the Health Enterprise (IHE) Profile. - Einheitliches Informationsmodell für die Datenrepräsentation der Spitaldomäne:
Nutzung von OpenEHR als universelles und wiederverwendbares Informationsmodell zur Vereinfachung der Interoperabilität zwischen medizinischen IT-Systemen. - Vordefinierte plug & play Konnektoren und Adapter:
Unterstützung branchenspezifischer Systeme wie KIS, PDMS, EPD, PACS, DMS usw. durch vorgefertigte Konnektoren und Adapter.
Die Sicherheit von IT-, Cyber- und Daten im Gesundheitswesen ist nicht nur eine Frage der Funktionalität, sondern auch der Erfüllung nicht-funktionaler Anforderungen. Dabei spielen Standards wie ISO 2700x und das NIST Cybersecurity Framework eine zentrale Rolle, um Bedrohungen wirksam zu bewältigen. Ein besonderes Augenmerkt ist auf den Schutz sensibler Gesundheitsdaten gerichtet mit dem neuen Schweizer Datenschutzgesetz (nDSG). Dieses Gesetz unterstreicht die Bedeutung von "Privacy by Design" und "Privacy by Default" als Grundprinzipien für den Datenschutz. Dabei wurden insbesondere die Anforderungen zur Transparenz von Datenverarbeitungen verbessert und die Selbstbestimmung der betroffenen Personen über ihre Daten gestärkt. Zudem legt die Medizinprodukteverordnung (MepV) strenge Anforderungen an die Entwicklung und Einführung von Medizinprodukten fest, wobei umfassende Risiko- und Qualitätsmanagementsysteme gemäß ISO 13485:2016 erforderlich sind. Somit ist die Einhaltung dieser nicht-funktionalen Anforderungen entscheidend, um die Sicherheit und Integrität der IT- und Datensysteme im Gesundheitswesen zu gewährleisten.
Abbildung 1: Zusammenfassung der iPaaS Anforderungen anhand der Hauptdimensionen (Russ et al., 2023)
Empfehlungen für die Praxis
Insgesamt verdeutlichen die identifizierten Anforderungen an eine iPaaS Lösung für Gesundheitsdaten in Schweizer Spitälern die vielschichtige Natur dieser Herausforderung. Diese multidimensionalen Aspekte umfassen nicht nur technische Anforderungen, sondern reichen auch in die Bereiche Recht, Organisation und Sicherheit im Gesundheitswesen. Das Innosuisse Projekt SHIFT nutzt mit der Tech-Foundation als iPaaS einen Ansatz, der darauf ausgerichtet ist, konkrete Lösungsvorschläge zu entwickeln und in den kommenden zwei Jahren in Schweizer Spitälern praktisch zu erproben.
Einen detaillierten Einblick in die Diskussion und in weitere Einzelheiten der identifizierten Anforderungen sind im Fachmagazin HMD Praxis der Wirtschaftsinformatik «Anforderungen an eine iPaaS Cloud Lösung zum sicheren Betrieb von Gesundheitsdaten in Schweizer Spitälern» zu finden.
Literatur und andere Quellen
Russ, C., Stalder, P., Steinwendner, J., Pimentel, T., & Kavakopoulos, J. (2023). Anforderungen an eine iPaaS Cloud Lösung zum sicheren Betrieb von Gesundheitsdaten in Schweizer Spitälern. HMD Praxis der Wirtschaftsinformatik. doi.org/10.1365/s40702-023-01011-w
Zitierung des Beitrags
Gesundheitsdaten sicher in der Cloud integrieren und betreiben