Design of a Secure Wearable Health Data Sharing Platform for Region Hovedstaden: A FHIR DK and GDPR-Compliant Service Architecture

Diese Arbeit stellt eine konzeptionelle, FHIR DK- und GDPR-konforme Microservice-Architektur für eine sichere Plattform zur Integration von Wearable-Gesundheitsdaten in Sundhed.dk für Region Hovedstaden vor, die auf einer Analyse von Stakeholder-Anforderungen und Vertrauensfaktoren basiert.

Das Wesentliche

Ein digitaler Brückenbauer für Ihre Gesundheitsdaten: Wie eine neue App die Lücke zwischen Smartwatch und Arzt schließt

Stellen Sie sich vor, Sie tragen eine intelligente Uhr oder einen Ring, der Ihren Schlaf, Ihren Herzschlag und Ihre Schritte rund um die Uhr überwacht. Diese Geräte sind wie kleine, flüsternde Boten, die ständig Daten über Ihren Körper sammeln. Doch in Dänemark, speziell in der Hauptstadtregion (Region Hovedstaden), passiert etwas Seltsames: Diese Boten kommen bei den Ärzten nie an.

Warum? Weil es keine sichere, standardisierte „Straße" gibt, auf der diese Daten von Ihrer Uhr zu Ihrem Arzt im Krankenhaus (wie dem Rigshospitalet) gelangen können. Die aktuellen Wege sind entweder zu umständlich (manuelle Exporte) oder zu verschlossen (proprietäre Systeme von Apple oder Google, die nicht mit dem dänischen Gesundheitssystem sprechen).

Dieser Forschungsbeitrag von Abir Chowdhury und Arshi Irtiza schlägt eine Lösung vor: Ein neues, sicheres System, das wie ein hochmoderner, wasserdichter Tunnel funktioniert. Hier ist die Erklärung in einfachen Worten:

1. Das Problem: Die „Inselsituation"

Aktuell leben die Gesundheitsdaten auf zwei verschiedenen Inseln:

• Insel A: Ihre Smartwatch (Apple, Garmin, Oura).
• Insel B: Das dänische nationale Gesundheitsportal (Sundhed.dk), wo Ärzte Ihre Akten sehen.

Zwischen diesen Inseln gibt es keine Brücke. Die Daten sind wie Briefe, die in einer Sprache geschrieben sind, die der Empfänger nicht versteht. Zudem haben viele Dänen Angst, dass ihre Daten missbraucht werden könnten (z. B. durch Versicherungen oder Arbeitgeber), wenn sie sie teilen.

2. Die Lösung: Ein „Sicherer Daten-Tresor"

Die Autoren entwerfen eine Architektur aus fünf Schichten (wie ein mehrstöckiges Gebäude), die alles verbindet. Man kann sich das wie einen hochsicheren Logistikdienst vorstellen:

• Der Eingang (Geräte-Ebene): Ihre Uhr sendet die Daten. Das System fängt sie auf, wie ein Paketbote, der sicherstellt, dass das Paket intakt ist.
• Der Ausweis-Check (Authentifizierung): Bevor jemand hereinkommt, muss er sich ausweisen. Hier kommt MitID ins Spiel. Das ist der dänische digitale Ausweis. Nur wer sich damit legitimiert hat, darf Daten senden oder empfangen.
• Der Türsteher (Einwilligung): Das ist der wichtigste Teil! Bevor Daten weitergeleitet werden, fragt das System: „Darf ich das?" Sie können genau festlegen, welche Daten (nur Herzschlag, aber nicht Schlaf?) und für wie lange geteilt werden sollen. Sie haben die volle Kontrolle, wie ein Hausbesitzer, der seinen Gästen sagt, welche Zimmer sie betreten dürfen.
• Der Übersetzer (FHIR DK): Die Daten werden in eine universelle Sprache übersetzt (FHIR DK), die jeder Arzt im dänischen System versteht.
• Der Archiv-Tresor (Datenbank): Die Daten werden sicher gespeichert und jeder Zugriff wird protokolliert.

3. Das „Zero Trust"-Prinzip: „Vertraue niemandem, überprüfe alles"

Stellen Sie sich vor, Sie betreten ein Bankgebäude. Sie werden nicht nur am Eingang kontrolliert, sondern auch, wenn Sie zum Tresor gehen, wenn Sie einen Raum betreten und sogar, wenn Sie ein Dokument öffnen.
Das neue System funktioniert genauso. Es vertraut auch dem eigenen Netzwerk nicht blind. Jede Anfrage wird ständig überprüft. Selbst wenn ein Hacker in das System eindringen würde, könnte er nichts tun, ohne dass sofort Alarm geschlagen wird und die Daten verschlüsselt bleiben.

4. Was sagen die Menschen? (Die Umfrage)

Die Forscher haben 47 Dänen befragt. Das Ergebnis war ermutigend:

• Über die Hälfte (51,1 %) wäre bereit, ihre Daten zu teilen, wenn sie sich sicher fühlen.
• Die größte Angst ist nicht die Technik, sondern der Missbrauch (z. B. dass Versicherungen die Daten nutzen, um Preise zu erhöhen).
• Der Schlüssel zum Vertrauen ist Transparenz: Die Leute wollen genau sehen können, wer wann auf ihre Daten zugegriffen hat (ein „Gastbuch" für Ihre Daten).

5. Warum ist das wichtig?

Wenn diese Brücke gebaut wird, können Ärzte chronische Krankheiten (wie Diabetes oder Bluthochdruck) viel besser behandeln. Sie sehen nicht nur, wie es dem Patienten heute geht, sondern wie es ihm in den letzten Monaten immer ging. Das könnte helfen, Krankenhausaufenthalte zu vermeiden.

Zusammenfassend:
Dieser Vorschlag ist wie der Bau einer digitalen Autobahn mit Sicherheitskontrollen und transparenten Fenstern. Er verbindet Ihre persönliche Gesundheits-App mit dem dänischen Gesundheitssystem, stellt sicher, dass Sie die Herrschaft über Ihre Daten behalten, und gibt den Ärzten endlich die Werkzeuge, um Sie besser zu versorgen. Es ist kein Traum mehr, sondern ein konkreter Bauplan für eine sicherere Zukunft der Gesundheitsversorgung in Dänemark.

Technische Zusammenfassung

Technische Zusammenfassung: Sichere Plattform zum Teilen von Wearable-Gesundheitsdaten für die Region Hovedstaden

1. Problemstellung
Die 1,8 Millionen Einwohner der dänischen Hauptstadtregion (Region Hovedstaden) fehlt derzeit eine sichere, standardisierte Möglichkeit, kontinuierliche Gesundheitsdaten von Wearables (z. B. Apple Watch, Oura Ring, Garmin) in das nationale elektronische Patientenblatt (EHR) Sundhed.dk zu integrieren.

• Datenlücke: Obwohl Wearables longitudinale physiologische Daten für das chronische Krankheitsmanagement generieren, erreichen diese Daten Kliniken (wie Rigshospitalet) kaum.
• Technische Barrieren:
  • Sundhed.dk verfügt über keine dedizierten FHIR DK v6.0.2-Profile für kontinuierliche patientengenerierte Gesundheitsdaten (PGHD).
  • Es existiert kein Authentifizierungsweg über MitID (den nationalen digitalen Ausweis), um Daten aus proprietären Ökosystemen (Apple HealthKit, Google Fit) in die dänische Infrastruktur (NSI) zu übertragen.
  • Bestehende Lösungen erfüllen die Anforderungen von Datatilsynet (dänische Datenschutzbehörde) bezüglich GDPR-Artikel 25 (Privacy-by-Design, granulare Einwilligung, nachvollziehbare Audit-Trails) nicht.

2. Methodik
Die Studie folgt der Problem-Based Learning (PBL)-Methodik der Aalborg Universität und stützt sich auf drei Evidenzströme:

• Systematische Literaturrecherche: Analyse dänischer Spezifikationen (FHIR DK, NSI v3.2, MitID) und regulatorischer Fälle.
• Plattform-Benchmarking: Vergleich von Sundhed.dk, Apple HealthKit, Google Fit und Epic MyChart anhand von FHIR-Support, MitID/NSI-Kompatibilität und Einwilligungsmanagement.
• Stakeholder-Umfrage: Eine Mixed-Methods-Studie mit 47 verifizierten Teilnehmern (Patienten, Ärzte, Experten) aus Dänemark. Die Daten wurden durch Filterung automatischer Antworten bereinigt.
• Anforderungsanalyse: Priorisierung der Anforderungen mittels der MoSCoW-Methode (Must, Should, Could, Won't) und Verknüpfung mit Architekturkomponenten über eine Traceability-Matrix.

3. Schlüsselbeiträge und Architektur
Das Papier stellt ein konzeptionelles Microservice-Architektur-Modell mit fünf Schichten vor, das Wearable-IoT-Daten sicher in Sundhed.dk integriert.

• Architekturprinzipien:

  • Trennung der Belange (Separation of Concerns).
  • Compliance mit FHIR DK v6.0.2, NSI v3.2 und MitID-OIDC-Flows.
  • Privacy by Design: Einwilligungsmanagement und Audit-Logging als zentrale GDPR-Steuerungselemente.
  • Zero-Trust-Sicherheit: Kontinuierliche Authentifizierung und Autorisierung an allen Schnittstellen (mTLS, Token-basiert).
  • Event-Driven-Integration mittels Apache Kafka.

• Die fünf Schichten:

  1. Device Layer: IoT-Gateways für BLE/MQTT (F5, NF3).
  2. API Gateway: MitID-Authentifizierung, FHIR-API, Einwilligungs-Middleware (Kong, OAuth 2.1).
  3. Business Logic: Einwilligungs-Service, Zugriffskontrolle, Audit-Service (Node.js, Kafka Streams).
  4. Data Layer: FHIR-Repository, Audit-Logs, Einwilligungsspeicher (MongoDB, PostgreSQL, ClickHouse).
  5. Presentation Layer: Patientenportal und Arzt-Dashboard (React.js).

• Datenfluss:
  Wearable-Daten werden normalisiert, über TLS 1.3 in Kafka gepublished, durch den Einwilligungs-Service validiert (nur bei gültiger Einwilligung), in FHIR DK Observation-Ressourcen transformiert und im Repository persistiert. Jeder Zugriff wird auditiert und bei Widerruf der Einwilligung sofort gestoppt.

4. Ergebnisse

• Bereitschaft zum Datenaustausch: 51,1 % der Befragten sind unter sicheren Bedingungen bereit, Wearable-Daten zu teilen. 38,3 % sind bedingt bereit.
• Vertrauensfaktoren: Die Bereitschaft korreliert stark mit Vertrauen in die Authentifizierung (MitID), granulare Einwilligungssteuerung und Transparenz der Audit-Logs.
• Datenschutzbedenken: Die Hauptangst (59,6 %) ist die nicht-medizinische Nutzung der Daten (z. B. durch Versicherungen oder Arbeitgeber), gefolgt von mangelnder Kontrolle über den Datenzugriff (55,3 %).
• Anforderungen: 14 priorisierte Anforderungen (F1–F7, NF1–NF7) wurden definiert.
  • Must-Haves: Sichere MitID-Authentifizierung, granulare widerrufbare Einwilligung, FHIR DK Import/Export, TLS 1.3/Verschlüsselung, <3s API-Antwortzeit, 99,9 % Verfügbarkeit.
  • Wichtigste Erkenntnis: Vertrauen wird operationalisiert durch Transparenz (Audit-Trails) und Kontrolle (Einwilligung), nicht primär durch reine Performance.

5. Bedeutung und Ausblick

• Interoperabilitätslücke: Das vorgestellte Modell schließt die Lücke zwischen privaten Wearables und dem öffentlichen dänischen Gesundheitssystem, indem es einen standardisierten Pfad über FHIR DK und NSI schafft.
• Regulatorische Compliance: Die Architektur operationalisiert GDPR-Artikel 25 (Privacy-by-Design) auf Infrastrukturebene, was für die Zulassung durch Datatilsynet essenziell ist.
• Klinischer Nutzen: Die Integration könnte die Krankenhauseinweisungen bei chronischen Krankheiten um ca. 38 % reduzieren.
• Limitationen & Zukunft: Die Architektur ist derzeit konzeptionell. Ein Pilotprojekt an einem Krankenhaus (z. B. Rigshospitalet) ist notwendig, um die Nicht-Funktionalen Anforderungen (Skalierbarkeit, Latenz) unter realen Bedingungen zu validieren und die FHIR-Profile weiterzuentwickeln.

Fazit:
Die Studie liefert einen nachvollziehbaren, standardkonformen Bauplan für eine sichere Gesundheitsdatenplattform in Dänemark. Sie zeigt, dass die technische Hürde der Interoperabilität lösbar ist, sobald die Vertrauenshürde durch transparente Einwilligungsmechanismen und Zero-Trust-Sicherheit genommen wird.