An Extended Consent-Based Access Control Framework: Pre-Commit Validation and Emergency Access

Dit paper introduceert een uitgebreid op toestemming gebaseerd toegangscontrolekader voor de gezondheidszorg dat semantische correctie garandeert door conflicten proactief bij het aanmaken van toestemming te detecteren, onveranderlijke basisrechten formaliseert en contextbewuste noodtoegang mogelijk maakt, wat resulteert in lagere latentie en betere schaalbaarheid dan traditionele XACML-baselines.

De kern

Stel je voor dat je medische gegevens een gigantische, beveiligde bibliotheek zijn. In deze bibliotheek staan alle dossiers van patiënten. Normaal gesproken bepaalt de patiënt zelf wie er in deze bibliotheek naar zijn of haar dossier mag kijken. Dit noemen we "toestemmingsgebaseerde toegang" (Consent-Based Access Control).

Het probleem met de huidige systemen is dat ze werken als een slome, reactieve conciërge.
Stel je voor dat een patiënt zegt: "Niemand mag mijn hartdossier zien, behalve mijn eigen arts." Maar later zegt hij: "Mijn specialist mag alles zien." Als deze twee regels tegenstrijdig zijn, wacht de conciërge tot iemand daadwerkelijk om het dossier vraagt. Dan probeert hij op dat laatste moment te beslissen welke regel geldt. Dit is traag, verwarrend en kan leiden tot fouten. Soms denkt de conciërge dat een regel geldt, terwijl de patiënt het eigenlijk anders bedoelde.

De auteurs van dit artikel (Nasif Muslim en Jean-Charles Grégoire) hebben een slimme, proactieve bibliothecaris bedacht. Hier is hoe hun nieuwe systeem werkt, vertaald naar alledaagse taal:

1. De "Pre-Check" (Voordat je de deur opent)

In het oude systeem keek de conciërge pas naar de regels als iemand aan de deur klopte. In het nieuwe systeem gebeurt er iets anders: voordat een patiënt een nieuwe regel (een "toestemming") in het systeem zet, wordt deze eerst gecontroleerd door een speciale Conflict-Checker.

• De Analogie: Stel je voor dat je een nieuwe regel voor je huis wilt maken: "Niemand mag binnen." Maar je hebt al een regel: "De brandweer mag altijd binnen." De Conflict-Checker ziet dit direct en zegt: "Hé, dit kan niet samen! Je kunt niet zeggen dat niemand binnen mag als de brandweer altijd mag."
• Het resultaat: De patiënt krijgt direct feedback: "Je regel is niet geldig." De fout wordt opgelost voordat het in het systeem komt. Hierdoor is de bibliotheek altijd schoon en logisch, en hoeft de conciërge later niet meer te puzzelen.

2. De "Onschendbare Regels" (De Basis)

Soms willen patiënten alles blokkeren, zelfs voor de arts die het dossier heeft geschreven. Dat is gevaarlijk voor de zorg. Het nieuwe systeem heeft twee onveranderlijke wetten ingebouwd, net als de fundering van een huis:

1. De Schrijver: De arts die een dossier heeft geschreven, mag het altijd lezen (omdat ze verantwoordelijk zijn).
2. De Eigenaar: De patiënt zelf mag altijd alles lezen.

Zelfs als een patiënt per ongeluk een regel zet die zegt "Niemand mag kijken", blijven deze twee regels gelden. De zorg blijft dus altijd mogelijk.

3. De "Noodknop" (Bij een noodsituatie)

Wat als er een noodsituatie is? Een patiënt is bewusteloos en kan niet toestemming geven, maar de arts moet direct zijn hartdossier zien om te redden.
In oude systemen was dit lastig: ofwel blokkeerde het systeem de arts (te gevaarlijk), ofwel gaf het de arts alles (te veel privacy).

Het nieuwe systeem heeft een slimme noodknop:

• De Analogie: Stel je voor dat de arts een sleutel heeft die alleen opent als er een brand is. Maar deze sleutel opent niet het hele huis, alleen de kamer waar de brand is.
• Hoe het werkt: De arts gebruikt een medisch apparaat (zoals een slim horloge) om de vitale tekenen van de patiënt te meten (hartslag, zuurstof). Het systeem ziet: "Oh, de patiënt heeft een hartstilstand."
• De slimme beperking: Het systeem opent alleen de dossiers die relevant zijn voor een hartstilstand (bijv. hartmedicatie, ECG). Het blokkeert alles wat niets met het hart te maken heeft (bijv. een tandartsdossier of een psychologisch verslag).
• De "Noodvergunning": De arts krijgt een tijdelijke, digitale vergunning (een token) die precies aangeeft wat hij mag zien. Alles wordt geregistreerd, zodat later gecontroleerd kan worden of de arts alleen deed wat nodig was.

Waarom is dit beter?

• Sneller: Omdat de conflicten al eerder zijn opgelost, hoeft de computer niet meer te rekenen als iemand om een dossier vraagt. Het is als een bibliotheek waar de boeken al perfect zijn ingedeeld voordat iemand binnenkomt.
• Veiliger: Er is geen ruimte voor verwarring. De regels zijn logisch en de noodknop geeft precies genoeg informatie om te redden, zonder de privacy van de patiënt volledig op te offeren.
• Betrouwbaar: De patiënt weet zeker dat zijn of haar wensen worden gerespecteerd, zonder dat er per ongeluk regels worden geschreven die niet werken.

Kortom: Dit papier stelt een systeem voor dat niet wacht tot er een probleem is, maar voorkomt dat er problemen ontstaan. Het combineert de vrijheid van de patiënt om te kiezen, met de veiligheid van de arts om te redden, en doet dit allemaal op een slimme, geautomatiseerde manier.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het artikel "An Extended Consent-Based Access Control Framework: Pre-Commit Validation and Emergency Access" van Nasif Muslim en Jean-Charles Grégoire, in het Nederlands.

Probleemstelling

Huidige systemen voor Toegangscontrole op Basis van Toestemming (CBAC - Consent-Based Access Control) in de gezondheidszorg zijn vaak gebaseerd op de XACML-standaard (eXtensible Access Control Markup Language). Deze systemen hanteren een lazy evaluation-model, waarbij beleidsconflicten pas worden opgelost op het moment dat een toegangsaanvraag wordt gedaan (tijdens de runtime). Dit leidt tot drie kritieke problemen:

1. Semantische kloof: Patiënten kunnen onbedoeld contradictorische of inefficiënte toestemmingsrichtlijnen creëren omdat ze geen feedback krijgen over hoe hun nieuwe richtlijn interageert met bestaande beleid. Het systeem accepteert syntactisch correcte maar semantisch ongeldige instructies.
2. Runtime-inefficiëntie: Het oplossen van conflicten (zoals schaduwing of redundantie) tijdens de runtime belast het systeem, vooral bij hoge frequentie van toegangsaanvragen, wat leidt tot variabele en hoge latentie.
3. Ontbrekende basisgaranties en noodprocedures: Bestaande modellen missen vaak formele garanties voor basis-toegang voor artsen en patiënten zelf (wat de continuïteit van zorg kan bedreigen) en bieden geen gecontroleerde mechanismen voor noodtoegang ("break-the-glass") die gebaseerd zijn op klinische context in plaats van onbeperkte vrijheid.

Methodologie

De auteurs stellen een uitgebreid CBAC-raamwerk voor dat de validatie van toestemming verschuift van de runtime naar het pre-commit stadium (tijdens het aanmaken van de richtlijn). Het raamwerk integreert een formele datamodel, een uitgebreide XACML-architectuur en een contextbewuste noodmechanisme.

Kerncomponenten van het ontwerp:

• Formeel Data-model: Definieert klinische entiteiten (episoden, records), provenance (auteur, onderwerp) en toestemmingsrichtlijnen als logische objecten.
• Architectuur: Het systeem breidt de standaard XACML-componenten uit met gespecialiseerde modules:
  • CPAP (Consent Policy Administration Point): Interface voor patiënten om conceptrichtlijnen in te dienen.
  • CCAM (Consent Conflict Analysis Module): Het hart van de pre-commit validatie. Deze module analyseert conceptrichtlijnen voordat ze actief worden en detecteert conflicten.
  • CPDP (Consent Policy Decision Point): Voert de toegangsevaluatie uit op basis van een gevalideerde, conflictvrije repository.
  • ECDM (Emergency Context and Disclosure Manager): Beheert noodtoegang op basis van fysiologische data.
  • EAA (Emergency Authorization Authority): Een vertrouwde entiteit die noodtoegangstokens (EOT) verstrekt.

Belangrijke mechanismen:

1. Pre-Commit Validatie: Voordat een richtlijn actief wordt, controleert de CCAM of deze in strijd is met:
   • Systeem-invarianten: Onomstotelijke regels die garanderen dat de auteur van een record en de patiënt altijd toegang hebben (zodat zorgcontinuïteit niet wordt geblokkeerd).
   • Modus-conflicten: Directe tegenstrijdigheden met bestaande actieve richtlijnen (bijv. een nieuwe "Deny" voor een gebruiker die al een "Permit" heeft).
2. Noodtoegang (Break-the-Glass): In plaats van onbeperkte toegang, gebruikt het systeem een Evidence-Driven aanpak.
   • Medische IoT-apparaten leveren geverifieerde fysiologische data (bijv. hartslag, bloeddruk).
   • De ECDM gebruikt een Relevance Model (G) om een set actieve noodtoestanden af te leiden.
   • Op basis hiervan wordt een Emergency Disclosure Control Function (EDCF) uitgevoerd die een minimale, semantisch gebonden scope van gegevens bepaalt die relevant is voor de noodsituatie.
   • De EAA verstrekt een getekend Emergency Override Token (EOT) dat strikt beperkt tot deze scope.

Belangrijkste Bijdragen

1. Pre-Commit Toestemmingsvalidatie: Introductie van de CCAM-module die beleidsanomalieën (conflicten, redundantie) proactief detecteert en elimineert voordat richtlijnen actief worden. Dit sluit de semantische kloof tussen patiëntintentie en systeemgedrag.
2. Formele Systeem-invarianten: Definieer onomstotelijke autorisatieregels die basis-toegang garanderen voor recordauteurs en patiënten, ongeacht dynamische toestemmingswijzigingen. Dit waarborgt professionele verantwoordelijkheid en zorgcontinuïteit.
3. Contextbewuste Noodautorisatie: Ontwikkeling van een privacy-bewust noodmechanisme dat toegang beperkt tot klinisch essentiële informatie, gebaseerd op real-time fysiologische bewijslast en een strikte semantische scope, in plaats van volledige "break-the-glass" toegang.

Resultaten

De auteurs hebben het raamwerk geëvalueerd via simulaties met synthetische werklasten en vergeleken met standaard XACML-baselines (gebruikmakend van de AuthzForce-engine).

• Performance (Runtime Latentie): Het pre-commit raamwerk presteert consistent beter dan de standaard XACML-baseline. Door conflicten op te lossen tijdens het aanmaken, wordt de effectieve beleidsset voor runtime-evaluatie verkleind.
  • Bij een repository van 10.000 beleidsregels was de latency van de baseline 7,0–7,8 ms, terwijl het nieuwe raamwerk 4,2–6,3 ms haalde.
  • Bij grotere repositories (tot 100.000 regels) bleef het nieuwe raamwerk onder de 7 ms, terwijl de baseline oploopt tot 10–15 ms.
• Validatie-Overhead: De pre-commit validatie introduceert een voorspelbare overhead (gemiddeld 1,62 ms tot 7,69 ms per richtlijn afhankelijk van de repositorygrootte), wat acceptabel is gezien de winst in runtime-efficiëntie.
• Privacy in Noodsituaties: De EDCF bleek zeer effectief in het beperken van datalekken.
  • Bij een dataset van 500 records varieerde de "Disclosure Ratio" (percentage onthulde data) van 7% (bij hypoglykemie) tot 22% (bij trauma).
  • Dit betekent dat 78% tot 93% van de niet-relevante records werd afgesneden, terwijl kritieke klinische informatie behouden bleef.

Betekenis en Conclusie

Dit artikel biedt een fundamentele verschuiving in het ontwerp van toegangscontrole voor de gezondheidszorg. Door semantische correctheid te forceren op het moment van toestemmingscreatie in plaats van tijdens de uitvoering, lost het raamwerk het probleem van onvoorspelbare runtime-conflicten op.

De belangrijkste implicaties zijn:

• Betrouwbaarheid: Zorgverleners kunnen vertrouwen op consistente toegangsbeslissingen zonder dat deze afhankelijk zijn van de volgorde van aanvragen of verborgen beleidsconflicten.
• Veiligheid en Privacy: Het systeem balanceert patiëntautonomie met klinische noodzaak door noodtoegang strikt te beperken tot wat medisch noodzakelijk is, gebaseerd op objectieve data.
• Toekomstperspectief: Het raamwerk biedt een solide basis voor de integratie van Large Language Models (LLM) voor het schrijven van toestemmingen in natuurlijke taal. Omdat de semantische validatie vooraf gebeurt, kunnen probabilistische LLM-outputs worden omgezet in strikt deterministische en veilige beleidsregels zonder risico op semantische fouten.

Kortom, het voorgestelde raamwerk combineert proactieve validatie, onomstotelijke basisregels en contextbewuste noodmechanismen om een schaalbaar, veilig en efficiënt systeem voor toestemmingsbeheer te creëren.