Design of a Secure Wearable Health Data Sharing Platform for Region Hovedstaden: A FHIR DK and GDPR-Compliant Service Architecture

Questo articolo presenta un'architettura a cinque livelli basata su microservizi per una piattaforma sicura e conforme al GDPR che integra i dati sanitari dei dispositivi indossabili nel sistema sanitario pubblico danese, garantendo interoperabilità tramite FHIR DK e costruendo la fiducia degli utenti attraverso controlli di sicurezza Zero Trust e trasparenza degli audit.

L'essenziale

Immagina di avere un orologio intelligente, un anello o un dispositivo che monitora il tuo cuore mentre dormi. Questi dispositivi sono come piccoli detective personali che lavorano 24 ore su 24, raccogliendo dati preziosi sulla tua salute.

Ora, immagina che in Danimarca, nella regione di Hovedstaden (che include Copenaghen), ci siano 1,8 milioni di persone che usano questi dispositivi, ma c'è un grosso problema: i dati restano bloccati nel dispositivo.

È come se avessi una biblioteca piena di libri incredibili sulla tua salute, ma non riesci a portarli dal tuo medico di base. Il medico, invece, ha bisogno di leggere questi "libri" per aiutarti a gestire malattie come il diabete o l'ipertensione, ma non può vederli perché non c'è un modo sicuro e standardizzato per trasferirli.

Ecco di cosa parla questo articolo: progettare un "ponte" sicuro e intelligente per collegare i tuoi dispositivi indossabili al sistema sanitario nazionale danese (chiamato Sundhed.dk).

Ecco come funziona, spiegato con metafore semplici:

1. Il Problema: Il Muro di Mattoni

Attualmente, c'è un muro tra i tuoi dati (generati da Apple Watch, Garmin, ecc.) e il medico.

• Il linguaggio sbagliato: I dispositivi parlano una lingua (formati proprietari), mentre il sistema sanitario parla un'altra (uno standard chiamato FHIR DK). È come se tu parlassi solo italiano e il medico solo danese: nessuno capisce l'altro.
• La chiave mancante: Non c'è un modo sicuro per dire al sistema: "Sì, questo è il mio medico, puoi leggere i miei dati". In Danimarca si usa una chiave digitale nazionale chiamata MitID, ma finora i dispositivi indossabili non sanno come usarla.
• La paura: La gente ha paura che i suoi dati sanitari finiscano nelle mani sbagliate (assicurazioni, datori di lavoro) o vengano hackerati.

2. La Soluzione: Il "Ponte di Vetro" (L'Architettura Proposta)

Gli autori hanno disegnato un progetto per costruire un ponte a 5 livelli che collega tutto in modo sicuro. Immagina questo ponte come una catena di montaggio ultra-sicura:

• Livello 1: La Raccolta (I Dispositivi)
  I tuoi dati (battito cardiaco, passi, sonno) vengono raccolti dal tuo dispositivo.
• Livello 2: La Dogana (L'Autenticazione)
  Qui entra in gioco MitID. È come il passaporto digitale. Prima che un dato possa attraversare il ponte, il sistema controlla: "Sei davvero tu? Hai la chiave giusta?".
• Livello 3: Il Controllo del Traffico (Il Consenso)
  Questo è il cuore della sicurezza. Prima che i dati vadano al medico, il sistema chiede: "Hai dato il permesso a questo medico di vedere questo dato specifico?". Se la risposta è no, il ponte si chiude immediatamente. È come avere un portinaio che controlla ogni singolo biglietto.
• Livello 4: La Traduzione (FHIR)
  Il sistema prende i dati grezzi e li traduce istantaneamente nella "lingua" che il sistema sanitario danese capisce (FHIR DK), trasformandoli in schede mediche standardizzate.
• Livello 5: La Destinazione (Il Medico)
  Il medico riceve i dati tradotti e sicuri direttamente nel suo sistema, pronto per essere usato per aiutarti.

3. La Regola d'Oro: "Zero Trust" (Nessuna Fiducia, Tutto Controllato)

Il progetto usa una filosofia di sicurezza chiamata Zero Trust. Immagina una fortezza medievale dove, anche se sei già dentro, ogni volta che vuoi aprire una porta, devi mostrare di nuovo il pass.

• Non si dà per scontato che nessuno stia spiando.
• Ogni passaggio è criptato (come un messaggio in una bottiglia che solo il destinatario può aprire).
• C'è un registro di controllo (Audit Log): ogni volta che qualcuno guarda i tuoi dati, viene scritto su un quaderno indelebile. Tu, paziente, puoi leggere questo quaderno e vedere chi ha guardato cosa e quando. Questo crea trasparenza.

4. Cosa dice la gente? (Il Risultato del Sondaggio)

Gli autori hanno chiesto a 47 cittadini danesi cosa ne pensavano. Ecco cosa hanno scoperto:

• La gente non è contro la condivisione: Circa il 51% è disposto a condividere i dati, ma solo se si sente sicuro.
• La paura principale: Non è la tecnologia, ma la mancanza di controllo. La gente teme che i dati vengano usati per scopi non medici (es. per negare un'assicurazione).
• La chiave della fiducia: Le persone vogliono sapere chi ha guardato i loro dati e vogliono poter revocare il permesso in qualsiasi momento. Se il sistema offre queste garanzie, la gente collabora.

In Sintesi

Questo articolo non è solo teoria tecnica; è una mappa per costruire un futuro più sicuro.
Propone un sistema dove:

1. I tuoi dati sanitari viaggiano come in una scatola di vetro blindata.
2. Tu hai le chiavi e decidi chi può aprirla.
3. Il medico riceve le informazioni nel modo giusto per salvarti la vita.
4. Tutto è tracciato, come in un diario pubblico che solo tu e le autorità di controllo potete leggere.

L'obiettivo finale è colmare il divario tra la tecnologia che abbiamo nelle nostre tasche e i medici che hanno bisogno di quei dati per curarci meglio, tutto rispettando rigorosamente le leggi sulla privacy europee (GDPR). È un passo verso un'assistenza sanitaria dove la tecnologia lavora per te, senza mai spaventarti.

Sommario tecnico

Titolo: Progettazione di una Piattaforma Sicura per la Condivisione di Dati Sanitari da Dispositivi Indossabili per la Regione Hovedstaden: Un'Architettura di Servizio Conforme a FHIR DK e GDPR

1. Il Problema

La Regione Hovedstaden (la regione capitale della Danimarca), che ospita 1,8 milioni di residenti, affronta una lacuna critica nell'integrazione dei dati sanitari generati da dispositivi indossabili consumer (smartwatch, anelli Oura, Garmin) nel sistema sanitario nazionale, Sundhed.dk.
Nonostante il potenziale clinico di questi dati longitudinali per la gestione di malattie croniche (come il diabete, prevalente al 7,5%, e l'ipertensione, che colpisce il 28% della popolazione), esistono tre barriere strutturali:

• Mancanza di standardizzazione: Sundhed.dk non dispone di profili specifici FHIR DK v6.0.2 per i dati sanitari generati dai pazienti (PGHD) in tempo reale.
• Autenticazione e Interoperabilità: Non esiste un percorso di autenticazione che permetta ai pazienti danesi di condividere dati tramite MitID, lasciando i dati bloccati in ecosistemi proprietari (Apple HealthKit, Google Fit) incompatibili con l'infrastruttura nazionale dei servizi (NSI).
• Conformità GDPR: Le soluzioni attuali non soddisfano pienamente i requisiti dell'Articolo 25 del GDPR (Privacy by Design), mancando di consenso granulare e tracciabilità audit visibile al paziente.

2. Metodologia

Lo studio adotta la metodologia Problem-Based Learning (PBL) dell'Università di Aalborg, combinando tre flussi di evidenza:

• Revisione Sistematica: Analisi della letteratura e delle specifiche normative danesi (Sundhed.dk, NSI v3.2, linee guida MitID, casi di enforcement del Datatilsynet).
• Benchmarking delle Piattaforme: Confronto di quattro piattaforme esistenti (Sundhed.dk, Apple HealthKit, Google Fit, Epic MyChart) rispetto a quattro criteri: supporto FHIR DK, integrazione MitID/NSI, granularità del consenso e fattibilità del flusso clinico. Nessuna piattaforma esistente soddisfaceva tutti i criteri.
• Indagine tra gli Stakeholder: Un sondaggio misto ha coinvolto 47 stakeholder danesi verificati (34 risposte a un mini-sondaggio e 13 interviste strutturate). I dati sono stati filtrati per escludere risposte automatizzate.
• Ingegneria dei Requisiti: I requisiti sono stati prioritizzati utilizzando il metodo MoSCoW (Must, Should, Could, Won't) e mappati su un'architettura tramite una matrice di tracciabilità bidirezionale.

3. Contributi Chiave e Architettura Proposta

Il contributo principale è un'architettura di servizio microservizi a cinque livelli concettuale, progettata per colmare il divario di interoperabilità. L'architettura si basa su cinque principi: separazione delle preoccupazioni, conformità agli standard (FHIR DK, NSI, MitID), Privacy by Design, integrazione event-driven (Apache Kafka) e sicurezza Zero Trust.

I 5 Livelli dell'Architettura:

1. Livello Dispositivo: Gateway IoT e adattatori BLE che raccolgono dati (MQTT 5.0, BLE) e normalizzano i timestamp e gli ID dispositivo.
2. API Gateway: Gestisce l'autenticazione MitID/NemLog-in (OIDC), il middleware per il consenso e le API FHIR. Utilizza tecnologie come Kong e OAuth 2.1.
3. Logica di Business: Include il servizio di consenso, il controllo degli accessi e il servizio di audit. Implementato in Node.js con Kafka Streams.
4. Livello Dati: Repository FHIR, log di audit e archivio consensi. Utilizza MongoDB, PostgreSQL e ClickHouse.
5. Livello Presentazione: Portale per i pazienti e dashboard per i clinici (React.js, Visualizzatore FHIR).

Requisiti Tecnici Principali (MoSCoW):

• Must (Fondamentali): Autenticazione sicura via MitID, consenso granulare e revocabile, import/export dati in FHIR DK v6.0.2, crittografia TLS 1.3/AES-256, tempi di risposta API <3s (P95), uptime ≥99.9%.
• Should (Importanti): Integrazione IoT via MQTT/BLE, logging di audit in tempo reale visibile ai pazienti, scalabilità per 10.000 pazienti concorrenti.
• Won't (Non inclusi): L'uso di blockchain per le ricevute di consenso è stato escluso (WON'T) a favore di soluzioni più pratiche e performanti.

4. Risultati

L'analisi dei dati raccolti dai 47 partecipanti ha fornito validazione empirica per le scelte architetturali:

• Disponibilità alla Condivisione: Il 51,1% dei partecipanti ha espresso una disponibilità condizionale a condividere i dati indossabili con i professionisti sanitari, a condizione che esistano meccanismi di sicurezza robusti.
• Fattori di Fiducia: La disponibilità è fortemente correlata alla fiducia nell'autenticazione (F1), nel controllo del consenso (F2) e nella trasparenza dell'audit (F4).
• Preoccupazioni sulla Privacy: Le principali preoccupazioni non erano tecniche, ma di governance: il 59,6% temeva l'uso non medico dei dati (assicurazioni/datori di lavoro) e il 55,3% la mancanza di controllo sull'accesso ai dati.
• Impatto Sanitario: L'80,9% dei rispondenti ritiene che una tale piattaforma migliorerebbe la qualità delle cure, allineandosi con studi che indicano una riduzione del 38% dei ricoveri ospedalieri grazie al monitoraggio remoto.

5. Significato e Implicazioni

Questo studio dimostra che i cittadini danesi non sono contrari alla condivisione dei dati indossabili, ma richiedono meccanismi di fiducia operativi.

• Impatto Normativo: L'architettura proposta opera a livello infrastrutturale per soddisfare l'Articolo 25 del GDPR, trasformando la "Privacy by Design" da un requisito formale a una funzionalità tecnica (consenso granulare, audit immutabili, revoca immediata).
• Interoperabilità Nazionale: Fornisce un blueprint tracciabile per colmare il divario tra i dispositivi IoT consumer e l'infrastruttura sanitaria pubblica danese (Sundhed.dk/NSI), riducendo la dipendenza da soluzioni ad hoc.
• Prospettive Future: Sebbene l'architettura sia attualmente concettuale, il documento delinea un piano per un progetto pilota limitato (es. presso il Rigshospitalet) per validare i requisiti non funzionali e i flussi di lavoro clinici reali, ponendo le basi per un eventuale lancio nazionale in linea con la "Digital Health Strategy 2025–2028" della Danimarca.