Design of a Secure Wearable Health Data Sharing Platform for Region Hovedstaden: A FHIR DK and GDPR-Compliant Service Architecture

Dit artikel presenteert een conceptueel microservice-architectuurontwerp voor een veilig, FHIR DK- en AVG-compliant platform dat draagbare gezondheidsdata van Region Hovedstaden-integreren in Sundhed.dk, waarbij gebruik wordt gemaakt van MitID-authenticatie en Zero Trust-beveiliging om interoperabiliteit en vertrouwen te waarborgen.

De kern

Hoe je horloge je dokter kan helpen: Een veilig plan voor Denemarken

Stel je voor dat je een slim horloge of een ring draagt die je hartslag, slaap en bewegingen 24 uur per dag bijhoudt. Voor mensen met een chronische ziekte, zoals diabetes of hoge bloeddruk, is dit goud waard. Maar in Denemarken (specifiek in de regio Hovedstaden, waar Kopenhagen ligt) zit er een groot probleem: deze gegevens blijven vaak in de "kast" van de fabrikant (zoals Apple of Garmin) en komen nooit bij de dokter in het ziekenhuis.

Dit artikel beschrijft een nieuw, veilig plan om die gegevens wel veilig en automatisch naar het nationale medische systeem (Sundhed.dk) te sturen, zodat artsen ze kunnen gebruiken om je beter te behandelen.

Hier is hoe dat werkt, vertaald in simpele taal met een paar creatieve vergelijkingen:

1. Het Probleem: De Gesloten Tuin

Op dit moment zijn de gegevens van je horloge opgesloten in een "gesloten tuin".

• De muur: De systemen van de artsen (zoals Sundhed.dk) praten niet met de systemen van je horloge. Het is alsof je een brief probeert te sturen, maar de postbode (de software) spreekt een andere taal dan de ontvanger.
• Het vertrouwen: Mensen zijn bang. Ze denken: "Wat als mijn werkgever mijn hartslag ziet? Of mijn verzekering?" Zonder vertrouwen durven mensen hun gegevens niet te delen.

2. De Oplossing: Een Veilige "Digitale Bril"

De auteurs (Abir en Arshi) hebben een ontwerp gemaakt voor een digitale brug tussen je horloge en de dokter. Ze noemen dit een "microservice-architectuur", maar laten we het zien als een veilig transportbedrijf met vijf lagen:

• Laag 1: De Verzamelaar (Je Horloge)
  Je horloge meet je hartslag. In plaats van het rechtstreeks naar de dokter te sturen (wat onveilig is), wordt het eerst omgezet naar een standaardformaat (FHIR). Denk hierbij aan het verpakken van een brievenbus in een standaarddoosje dat door iedereen wordt begrepen.

• Laag 2: De Poortwachter (MitID)
  Voordat er iets gebeurt, moet je jezelf identificeren met MitID (de Deense digitale identiteit, net als DigiD). Dit is de poortwachter die zegt: "Oké, dit is echt jij, en jij bent de eigenaar van deze gegevens."

• Laag 3: De Regelaar (Consent & Controle)
  Dit is het belangrijkste deel. Hier bepaal jij wie wat mag zien.

  • Vergelijking: Stel je voor dat je een huis hebt. Je kunt de deur openen voor de dokter, maar de ramen dicht houden voor je buren. Je kunt ook zeggen: "De dokter mag mijn hartslag zien, maar niet mijn slaapgegevens." En als je dat later wilt, kun je de deur weer dichtdoen. Dit heet "granulaire toestemming".

• Laag 4: De Veilige Tunnel (Zero Trust)
  Alles wat erdoorheen gaat, wordt versleuteld. Het systeem vertrouwt niemand, zelfs niet zichzelf, zonder controle. Het is alsof je waardevolle spullen in een gepantserde bus stopt die onderweg constant wordt gecontroleerd. Niemand mag erin kijken zonder een speciaal pasje.

• Laag 5: Het Dagboek (Audit Log)
  Dit is de "zwarte doos" van een vliegtuig. Alles wat er gebeurt, wordt opgeschreven.

  • Waarom is dit cool? Als jij wilt weten wie er naar je gegevens heeft gekeken, kun je het dagboek inzien. Je ziet precies: "Op dinsdag om 14:00 heeft dokter Jansen naar mijn hartslag gekeken." Dit bouwt vertrouwen op.

3. Wat zeggen de mensen? (De Peiling)

De auteurs hebben 47 Denen gevraagd wat ze vinden. De resultaten waren verrassend positief, maar met een voorwaarde:

• 51% zegt "Ja": Als het veilig is en ik kan precies controleren wie wat ziet, dan wil ik mijn horlogegegevens delen met mijn dokter.
• De angst: De grootste angst is niet dat hackers meedoen, maar dat gegevens voor verkeerde doeleinden worden gebruikt (bijvoorbeeld door een verzekeraar of werkgever).
• De oplossing: Als mensen zien dat ze de controle hebben (via de "Regelaar" en het "Dagboek"), dan durven ze het wel.

4. Waarom is dit belangrijk?

Als dit systeem werkt, kan het levens redden.

• Voorbeeld: Als iemand met diabetes zijn bloedsuiker continu meet, kan het systeem een alarm geven aan de dokter voordat er iets ernstigs gebeurt. Dit kan voorkomen dat iemand naar het ziekenhuis moet worden opgenomen.
• Het doel: Het artikel stelt dat dit systeem kan helpen om ziekenhuisopnames met wel 38% te verminderen.

Conclusie: De Sleutel tot Vertrouwen

Dit paper is geen werkend product dat je morgen kunt downloaden, maar een bouwpakket voor de toekomst.

De kernboodschap is simpel: Technologie is niet het probleem; vertrouwen is. Als we mensen de controle geven (via MitID en duidelijke regels) en we laten zien wie er naar hun gegevens kijkt (via het dagboek), dan zullen Denen hun horloges graag gebruiken om hun gezondheid te verbeteren.

Het is als het bouwen van een nieuwe, veilige brug over een rivier. De brug is er nu niet, dus mensen zwemmen niet of blijven aan de kant staan. Met dit plan bouwen we een brug met een poortwachter, een camera en een slot, zodat iedereen veilig de overkant kan komen.

Technische samenvatting

Technische Samenvatting: Veilig Platform voor Delen van Draagbare Gezondheidsdata in Region Hovedstaden

1. Het Probleem
De 1,8 miljoen inwoners van Region Hovedstaden (Denemarken) missen momenteel een beveiligde, gestandaardiseerde route om continue gezondheidsdata van consumentendraagbare apparaten (zoals Apple Watch, Oura Ring, Garmin) te integreren in Sundhed.dk, het nationale elektronische patiëntendossier.

• Interoperabiliteitskloof: Bestaande workflows vertrouwen op handmatige, niet-gestandaardiseerde exporten die incompatibel zijn met de FHIR DK v6.0.2-profielen.
• Authenticatie en Integratie: Er ontbreekt een authenticatiepad via MitID (de nationale identiteitsprovider), waardoor data in gesloten ecosystemen (zoals Apple HealthKit en Google Fit) blijft en niet kan communiceren met de National Service Infrastructure (NSI).
• Privacy en Compliance: Bestaande oplossingen voldoen niet aan de eisen van Datatilsynet (het Deense toezichthouder) voor GDPR Artikel 25 (privacy by design), inclusief granulaire toestemming en zichtbare audittrails voor patiënten.

2. Methodologie
Het onderzoek volgt de Problem-Based Learning (PBL)-methodologie van de Aalborg Universiteit en combineert drie bewijsstromen:

• Systematisch Literatuuronderzoek: Analyse van Deense bronnen, waaronder Sundhed.dk-documentatie, NSI-specificaties en Datatilsynet-handhavingszaken.
• Platform Benchmarking: Vergelijking van vier bestaande platforms (Sundhed.dk, Apple HealthKit, Google Fit, Epic MyChart) op basis van vier criteria: ondersteuning voor FHIR DK, compatibiliteit met MitID/NSI, granulariteit van toestemming en haalbaarheid in de klinische workflow. Geen enkel bestaand platform voldeed aan alle criteria.
• Stakeholder Enquête: Een mixed-methods studie met 47 geverifieerde respondenten (bestaande uit patiënten, artsen, platformoperators en toezichthouders). De data werd schoongemaakt van automatische antwoorden.
• Requirements Engineering: Prioritering van eisen volgens de MoSCoW-methode (Must, Should, Could, Won't) en koppeling aan architectuurcomponenten via een traceerbaarheidsmatrix.

3. Kernbijdragen: Het Conceptuele Architectuurontwerp
Het paper presenteert een vijflaags microservices-architectuur die draagbare IoT-data integreert met Sundhed.dk. De architectuur volgt vijf principes: scheiding van zorgen, naleving van standaarden, privacy by design, event-gedreven integratie en Zero Trust-beveiliging.

De Vijf Laagjes:

1. Device Layer: IoT-gateways en BLE-adapters die data verzamelen via MQTT 5.0 en BLE.
2. API Gateway: Regelt authenticatie via MitID/NemLog-in (OAuth 2.1/OIDC), FHIR-API's en een tussenlaag voor toestemming (Consent Middleware).
3. Business Logic: Bevat de Consent Service, toegangscontrole en auditdiensten (Node.js, Kafka Streams). Hier wordt gecontroleerd of toestemming geldig is voordat data wordt verwerkt.
4. Data Layer: Een FHIR Repository (voor Observation-resources), auditlogs en een opslag voor toestemming (MongoDB, PostgreSQL, ClickHouse).
5. Presentation Layer: Portals voor patiënten en dashboards voor artsen (React.js, FHIR Viewer).

Belangrijke Technische Kenmerken:

• Data Flow: Draagbare metingen worden genormaliseerd, via TLS 1.3 naar Kafka gepubliceerd, gecontroleerd op toestemming, omgezet naar FHIR DK Observation-resources en opgeslagen.
• Beveiliging: Implementatie van Zero Trust met mTLS (mutual TLS) tussen alle interne services, rate limiting en WAF-beleid.
• Compliance: Automatische generatie van DPIA-documentatie binnen 24 uur en onwrikbare auditlogs die voldoen aan GDPR Artikel 25.

4. Resultaten en Validatie
De enquête onder 47 respondenten leverde de volgende inzichten op:

• Bereidheid tot delen: 51,1% is bereid om draagbare data te delen onder veilige omstandigheden; 38,3% is voorwaardelijk bereid.
• Vertrouwen als sleutelfactor: De bereidheid correleerde sterk met vertrouwen in authenticatie (F1), controle over toestemming (F2) en transparantie van audits (F4).
• Privacyzorgen: De grootste zorgen waren misbruik van data door niet-medische partijen (59,6%, bijv. verzekeraars/werkgevers) en gebrek aan controle over data-toegang (55,3%).
• Gevorderde eisen: De analyse resulteerde in 14 geprioriteerde eisen (F1–F7, NF1–NF7).
  • Must-have: MitID-authenticatie, granulaire toestemming, FHIR DK-import/export, beveiliging (TLS 1.3, AES-256) en 99,9% beschikbaarheid.
  • Should/Could: Real-time auditlogging, klinische dashboards, blockchain-ontvangstbewijzen (werd afgekeurd als 'Won't' vanwege complexiteit).

5. Betekenis en Conclusie
Het paper concludeert dat Deense burgers niet tegen het delen van data zijn, maar wel tegen delen zonder adequate vertrouwensmechanismen.

• Architecturale Impact: De belangrijkste adoptiefactoren zijn niet prestaties of schaalbaarheid, maar toestemmingszichtbaarheid en audittransparantie.
• Praktische Toepassing: Het voorgestelde ontwerp biedt een traceerbaar blauwdruk voor een pilot in ziekenhuizen zoals Rigshospitalet of Amager Hvidovre Hospital.
• Strategische waarde: De oplossing sluit de interoperabiliteitskloof in de Deense publieke gezondheidszorg en ondersteunt de Digital Health Strategy 2025–2028. Het benadrukt dat toekomstige FHIR DK-profielen expliciete standaardondersteuning nodig hebben voor continue draagbare data om ad-hoc integraties op te lossen.

Kortom, dit paper biedt een empirisch onderbouwde, GDPR-compatibele architectuur die de technische en juridische barrières voor het veilig integreren van draagbare gezondheidsdata in het Deense zorgsysteem wegneemt.