Gesundheitsdaten sicher in der Cloud integrieren und betreiben

Das dreieinhalb Jahre dauernde Innosuisse-Projekt «Smart Hospital: Integrated Framework, Tools and Solutions» (SHIFT) hat das Ziel, die digitale Transformation in Spitälern voranzutreiben. Im Rahmen dessen wird im Subprojekt A.1-Konsortium mit Leitwert AG, The i-engineers AG und Eviden AG, gemeinsam mit dem Institut für Wirtschaftsinformatik der ZHAW, eine gehostete Daten- und Integrationsmiddleware (iPaaS) erarbeitet, die sogenannte Tech-Foundation. In einer ersten Phase wurden für eine Anforderungsanalyse wissenschaftliche und Fachquellen gesammelt, Experteninterviews geführt, Informationen mit dem SHIFT Sounding Board ausgetauscht sowie Gesetzestexte und Vorschriften durchforstet.

Anforderungen an einen sicheren Betrieb von Gesundheitsdaten

Die Anforderungen im Umgang mit den sensiblen und schützenswerten Patienten- und Gesundheitsdaten in einer iPaaS-Lösung sind besonders hoch. Die Vielfalt der Systeme und Daten in den Spitälern führt allerdings zu einer hohen Komplexität in Bezug auf Datentypen, -semantiken und formate. Angesichts der neuen Entwicklungen im Gesundheitswesen sind daher nicht nur technische Aspekte, sondern auch Sicherheits-, Datenschutz- und regulatorische Anforderungen von entscheidender Bedeutung (Abbildung 1). Generell müssen iPaaS-Lösungen in der Gesundheitsbranche auch den nicht-funktionalen Anforderungen an Sicherheit, Skalierbarkeit, Wartbarkeit und Kosten genügen.

Die wichtigsten Aspekte und Funktionale Anforderungen von iPaaS-Lösungen in der Gesundheitsbranche sind:

1. Offene Daten- und Integrationsstandards und APIs auf syntaktischer Ebene:
   Empfehlung zur Verwendung stabiler Datenschnittstellenstandards wie HL7 Fast Healthcare Interoperability Resources (FHIR) und ISO 13606 für einen einfachen Datenaustausch.
2. Definitionen, Terminologien und Klassifizierung auf semantischer Ebene:
   Notwendigkeit der semantischen Interoperabilität zwischen Systemen durch Terminologien wie SNOMED CT, LOINC, DICOM und ICD sowie Integration the Health Enterprise (IHE) Profile.
3. Einheitliches Informationsmodell für die Datenrepräsentation der Spitaldomäne:
   Nutzung von OpenEHR als universelles und wiederverwendbares Informationsmodell zur Vereinfachung der Interoperabilität zwischen medizinischen IT-Systemen.
4. Vordefinierte plug & play Konnektoren und Adapter:
   Unterstützung branchenspezifischer Systeme wie KIS, PDMS, EPD, PACS, DMS usw. durch vorgefertigte Konnektoren und Adapter.

Die Sicherheit von IT-, Cyber- und Daten im Gesundheitswesen ist nicht nur eine Frage der Funktionalität, sondern auch der Erfüllung nicht-funktionaler Anforderungen. Dabei spielen Standards wie ISO 2700x und das NIST Cybersecurity Framework eine zentrale Rolle, um Bedrohungen wirksam zu bewältigen. Ein besonderes Augenmerkt ist auf den Schutz sensibler Gesundheitsdaten gerichtet mit dem neuen Schweizer Datenschutzgesetz (nDSG). Dieses Gesetz unterstreicht die Bedeutung von "Privacy by Design" und "Privacy by Default" als Grundprinzipien für den Datenschutz. Dabei wurden insbesondere die Anforderungen zur Transparenz von Datenverarbeitungen verbessert und die Selbstbestimmung der betroffenen Personen über ihre Daten gestärkt. Zudem legt die Medizinprodukteverordnung (MepV) strenge Anforderungen an die Entwicklung und Einführung von Medizinprodukten fest, wobei umfassende Risiko- und Qualitätsmanagementsysteme gemäß ISO 13485:2016 erforderlich sind. Somit ist die Einhaltung dieser nicht-funktionalen Anforderungen entscheidend, um die Sicherheit und Integrität der IT- und Datensysteme im Gesundheitswesen zu gewährleisten.

Insgesamt verdeutlichen die identifizierten Anforderungen an eine iPaaS Lösung für Gesundheitsdaten in Schweizer Spitälern die vielschichtige Natur dieser Herausforderung. Diese multidimensionalen Aspekte umfassen nicht nur technische Anforderungen, sondern reichen auch in die Bereiche Recht, Organisation und Sicherheit im Gesundheitswesen. Das Innosuisse Projekt SHIFT nutzt mit der Tech-Foundation als iPaaS einen Ansatz, der darauf ausgerichtet ist, konkrete Lösungsvorschläge zu entwickeln und in den kommenden zwei Jahren in Schweizer Spitälern praktisch zu erproben.

Einen detaillierten Einblick in die Diskussion und in weitere Einzelheiten der identifizierten Anforderungen sind im Fachmagazin HMD Praxis der Wirtschaftsinformatik «Anforderungen an eine iPaaS Cloud Lösung zum sicheren Betrieb von Gesundheitsdaten in Schweizer Spitälern» zu finden.