Das Gesundheitswesen steht vor der Herausforderung, verbesserte Behandlungsformen kosteneffizient anzubieten. Die steigenden Therapiemöglichkeiten führen zu kontinuierlichem Kostenwachstum und Datensilos aus isolierten IT-Systemen. In anderen Branchen wie Finanzwesen, Handel und Logistik haben sich bereits seit Längerem Daten- und Systemintegrationsplattformen etabliert, welche mittlerweile auch in der Cloud als sogenannte «Integration Platform as a Service» (iPaaS) angeboten werden. Im Kern handelt es sich um Cloud-basierte Integrationsplattformen, die es Unternehmen ermöglichen, verschiedene Anwendungen, Systeme und Daten schneller zu verknüpfen, zu synchronisieren, zu zentralisieren und nahtlos zu integrieren.
Der Umstieg von Plattformen in den eigenen Räumlichkeiten, vor Ort oder in lokalen Rechenzentren (On-Premises) zu einer hybriden Cloud-Lösung bietet mit iPaaS unter anderem den Vorteil, dass durch vorhandene Datenkonnektoren eine einfache und sichere Datenintegration erfolgt. Zudem ermöglicht die Integration mit anderen Schnittstellen (API) zu anderen Cloud-Anbietern teilweise eine Code-freie Umsetzung, was die Entwicklung digitaler Anwendungen beschleunigt.
Die COVID-19-Pandemie und die digitale Transformation
Spital-IT-Organisationen stehen vor technischen Herausforderungen aufgrund risikoaverser Änderungsphilosophie, bürokratischer IT-Lebenszyklen und strenger Datenschutzregeln. Zusätzlich wurden durch die COVID-19-Pandemie bereits vorhandene Schwächen deutlich, und es traten neue Herausforderungen auf, insbesondere im Bereich Daten-Management, Ausbau neuer Patienteninteraktionsformen, verschärfter Compliance-Vorschriften und innovativer Technologien wie künstlicher Intelligenz. Überdies erfordern soziale und ethische Fragestellungen wie geschlechterspezifische Medizin oder die Erforschung der Ursachen von Verzerrungen in Daten und Algorithmen schnelle, technologische Antworten in der Spital-IT.
Das dreieinhalb Jahre dauernde Innosuisse-Projekt «Smart Hospital: Integrated Framework, Tools and Solutions» (SHIFT) hat das Ziel, die digitale Transformation in Spitälern voranzutreiben. Im Rahmen dessen wird im Subprojekt A.1-Konsortium mit Leitwert, The i-engineers und Eviden, gemeinsam mit dem Institut für Wirtschaftsinformatik der ZHAW, eine gehostete Daten- und Integrations-Middleware (iPaaS) erarbeitet, die sogenannte Tech-Foundation. In einer ersten Phase wurde für eine Anforderungsanalyse wissenschaftliche und Fachquellen gesammelt, Experteninterviews geführt, Informationen mit dem SHIFT Sounding Board ausgetauscht sowie Gesetzestexte und Vorschriften durchforstet.
Anforderungen an einen sicheren Betrieb von Gesundheitsdaten
Die Anforderungen an dem Umgang mit den sensiblen und schützenswerten Patienten- und Gesundheitsdaten in einer iPaaS-Lösung sind besonders hoch. Die Vielfalt der Systeme und Daten in den Spitälern führt allerdings zu einer hohen Komplexität in Bezug auf Datentypen, -semantiken und -formate. Angesichts der neuen Entwicklungen im Gesundheitswesen sind daher nicht nur technische Aspekte, sondern auch Sicherheits-, Datenschutz- und regulatorische Anforderungen von entscheidender Bedeutung. Generell müssen iPaaS-Lösungen in der Gesundheitsbranche auch den nicht funktionalen Anforderungen an Sicherheit, Skalierbarkeit, Wartbarkeit und Kosten genügen.
IT-, Cyber- und Datensicherheit
Die IT-, Cyber- und Datensicherheitsanforderungen im Gesundheitswesen erfordern spezielle Massnahmen, um Bedrohungen aus dem Internet zu bewältigen. Dabei spielen Standards wie ISO 2700x, Minimalstandards und das NIST Cybersecurity Framework eine entscheidende Rolle. Besondere Aufmerksamkeit gilt dem Schutz sensibler Gesundheitsdaten und dem Einhalten des Berufsgeheimnisses. Damit die Systeme im Krankenhaus jederzeit verfügbar sind, ist es wichtig, Sicherheitsaspekte von Anfang an gemäss «Security by Design» zu integrieren. Um ein hohes Mass an IT- und Datensicherheit gewährleisten zu können, müssen die Vorgaben durch konkrete und proaktive Designansätze, Security- und Desaster-Recovery-Tests realisiert werden.
Das neue Schweizer Datenschutzgesetz
Mit dem Übergang zum neuen Schweizer Datenschutzgesetz (nDSG), das am 1. September 2023 in Kraft trat und den Anforderungen der europäischen Datenschutzgrundverordnung (DSGVO) entspricht, wird ebenso die Bedeutung von «Privacy by Design» und «Privacy by Default» betont. Aktive Verwaltung und regelmässige Kontrollen der erforderlichen Massnahmen sind hierbei Pflicht. In Krankenhäusern, wo besonders schützenswerte Personendaten verarbeitet werden, gelten spezifische Anforderungen, inklusive Vertragsgestaltung und Datenschutz-Folgeabschätzung. Das Zusammenspiel von Datensicherheit und Datenschutz ist auch bei externen IT-Dienstleistern und ausländischen Cloud-Services entscheidend.
Implikationen zur Medizinprodukteverordnung
Die Medizinprodukteverordnung (MepV) in der Schweiz reguliert die Entwicklung und Einführung von Medizinprodukten, einschliesslich digitaler Lösungen. Ihr Ziel ist die Anpassung an die europäische MDR. Die regulatorischen Anforderungen gelten gleichermassen für Software-Lösungen mit einem medizinischen Zweck, unabhängig davon, ob sie On-Premises oder in der Cloud bereitgestellt werden. Die Kategorisierung als Teil eines Medizinprodukts, eigenständiges Medizinprodukt oder Zubehör bestimmt die Risikoklasse (I, IIa, IIb, III). Insbesondere ab Klasse II erfordert es umfassende Risiko- und Qualitätsmanagementsysteme (QMS), einschliesslich ISO 13485:2016. Der Entwicklungsprozess muss diese Anforderungen von der Produktdefinition über Architektur, Risikoanalyse, Verifizierung und Validierung bis zur Produktpflege umfassen. Ein geeignetes Risikomanagement und intelligente API-Schnittstellenansätze können die Modularisierung erleichtern und die Komplexität der Lösung aus MepV-Sicht reduzieren.
Fazit und Ausblick
Insgesamt verdeutlichen die identifizierten Anforderungen an eine iPaaS-Lösung für Gesundheitsdaten in Schweizer Spitälern die vielschichtige Natur dieser Herausforderung. Diese multidimensionalen Aspekte umfassen nicht nur technische Anforderungen, sondern reichen auch in die Bereiche Recht, Organisation und Sicherheit im Gesundheitswesen. Das Innosuisse-SHIFT-Projekt mit der Tech-Foundation als iPaaS-Ansatz ist darauf ausgerichtet, konkrete Lösungsvorschläge zu entwickeln und diese in den kommenden zwei Jahren in Schweizer Spitälern praktisch zu erproben. Einen detaillierten Einblick in die Diskussion und weitere Einzelheiten der identifizierten Anforderungen sind im Fachmagazin «HMD Praxis der Wirtschaftsinformatik» unter «Anforderungen an eine iPaaS-Cloud-Lösung zum sicheren Betrieb von Gesundheitsdaten in Schweizer Spitälern » zu finden.
