[Back]

A. Romar:
"Fine-Grained Access Control in an Animal Health Record";
Supervisor: R. Freund; 192/5, 2018.

Current healthcare information technology is undergoing a evolutionary change in its methods to store, process, access or exchange health information. Previously the absence of extensive standards adoption has been recognized as a substantial barrier to overcome the lack of interoperable healthcare information systems. These standards lay a common foundation for understanding and interpreting information that is subject to transmission. However it is only advisable to share information between systems if the data are properly protected at every step along the way. For sensitive knowledge i.e. individual-related data secured exchange of information is a necessity. Fast Healthcare Interoperability Resources (FHIR) is the current standard for exchanging medical information with the aim to boost interoperability in opposite to its predecessors. The main objective of this thesis is the application of FHIR in the course of building an electronic health record in the veterinary domain and the evaluation of the former regarding security mechanisms and prerequisites that are necessary to achieve security and privacy. Based on comprehensive literature research, review of legal regulations and examination of different use cases for involved stakeholders, a set of requirements is defined that is proposed as baseline for a secure animal health record. In the course of this thesis a prototype of an animal health record based on FHIR is implemented and, together with the current state-of-the-art standard, evaluated against the derived requirements. The realized prototype consists of the following entities: the resource server for storing medical and security-related information, an authorization server that is trusted by the former and a modern web application to govern access to sensitive information on a fine-grained level. The FHIR data model already outlines attribute in its clinical data templates to enable fine-grained access control and exclusion as well as sharing of particular information. The implemented prototype satisfied all security requirements but one, namely legal compliance. The FHIR-related programming libraries that were utilized in the course of the implementation are developer-friendly and work seamlessly together with modern technologies and toolsets.

Informationssysteme im medizinischen Bereich erleben aktuell eine technologische Weiterentwicklung in der Art und Weise wie Gesundheitsinformationen gespeichert, verarbeitet, abgerufen und ausgetauscht werden. In der Vergangenheit wurde die mangelnde Verbreitung von Standards als Grund für die fehlende Interoperabilität von Informationssystemen im Gesundheitswesen festgestellt. Diese Standards definieren eine gemeinsame Grundlage für die korrekte Form und Bedeutung von ausgetauschten Informationen. Der Austausch von Daten zwischen Systemen muss zu jedem Zeitpunkt der Kommunikation angemessen abgesichert sein. Sensible Daten wie zum Beispiel personenbezogene Informationen müssen geschützt übertragen werden. Fast Healthcare Interoperability Resources (FHIR) ist der aktuelle Standard für den Austausch medizinischer Daten und soll die Interoperabilität von Informationssystemen im Gesundheitswesen steigern, woran seine Vorgänger gescheitert sind. Das Ziel dieser Masterarbeit ist die Anwendung von FHIR und Überprüfung der Eignung als Basis eines elektronischen Gesundheitsakts im veterinärmedizinischen Bereich. Weiters wird der Standard in Bezug auf Sicherheit und Erfüllung von Vorbedingungen analysiert, die zum Schutz von Daten und Privatsphäre eine Notwendigkeit darstellen. Ausgehend von einer umfassenden Literaturrecherche, der Untersuchung geltender gesetzlicher Vorschriften und der Betrachtung verschiedener Anwendungsfälle für die beteiligten Akteure wurde ein Anforderungskatalog vorgeschlagen, der als Richtlinie für Sicherheit in einem veterinärmedizinischem Gesundheitsakt gelten soll. Der umgesetzte Prototyp besteht aus folgenden Objekten: einem Datenserver für die Verwaltung und Speicherung medizinischer und sicherheitsrelevanter Informationen, einem Authorisierungsserver, der vom Datenserver als vertrauenswürdig eingestuft wird und einer modernen Web-Applikation, mit der sich der Zugang zu sensiblen Daten in feiner Abstufung definieren lässt. Das von FHIR entworfene Datenmodell gibt bereits Felder für Attribute in den medizinischen Daten vor, die eine feinstufige Zugangskontrolle und sowohl die Ausnahme als auch den Zugriff von bestimmten Informationen ermöglichen. Bis auf eine Ausnahme konnten die Kriterien des sicherheitsrelevanten Anforderungskatalogs im Zuge einer Evaluierung durch den Prototyp erfüllt werden. Die FHIR-relevanten Programmbibliotheken zur Umsetzung des FHIR-Prototyps sind entwicklerfreundlich und können nahtlos mit modernen Technologien und Werkzeugen verwendet werden.