7.2. Datastations voor primair vs. secundair gebruik
Dit document geeft een beschrijving van een decentrale BVO, met het datastation en de processing hub als de meest kenmerkende componenten. In vergelijking met de Cumuluz doelarchitectuur zien we vergelijkbare rollen voor het Cumuluz Datastation respectievelijk de Cumuluz Integrator. Zoals in de inleiding is gesteld, is een vergelijking van de architectuur voor primair vs. secundair een van de centrale onderzoeksvragen:
Zijn er lacunes danwel tegenstrijdigheden in de huidige benadering van de EHDS voor secundair gebruik die het gebruik van decentrale BVOs in de weg staan, met name ook in relatie tot datastations voor primair gebruik? Zo ja, welke oplossingsrichtingen zijn er?
In het onderstaande wordt ingegaan op deze vragen.
7.2.1. Verschil in grondslag voor geautoriseerde toegang
Wanneer we de Cumuluz doelarchitectuur vergelijken met dit document, dan zien we dat beide architecturen streven naar een "eenmalige registratie, meervoudig gebruik" benadering. Er is echter een essentieel verschil in de grondslag:
- Primair gebruik: gebaseerd op de behandelrelatie en toestemming van de patiënt.
- Secundair gebruik: Gebaseerd op een vergunning uitgegeven door een HDAB.
In het ontwerp van een Cumuluz Datastation is duidelijk gespecificeerd hoe via een centrale toestemmingsvoorziening (MITZ) toegang tot het datastation wordt gegeven.
In het geval van secundair gebruik zijn er twee aspecten die relevant zijn voor geautoriseerde toegang. Het eerste aspect betreft opt-out: in het klaarzetten van de data voor een datagebruiker (met een vergunning), is het de verantwoordelijkheid van de datahouder om data subjecten te exluderen die een beroep hebben gedaan op hun opt-out recht. Hiertoe kan de datahouder gebruik maken van MITZ als centrale toestemmingsvoorziening waarin een actuele status beschikbaar is van personen die een opt-out hebben gedaan. Het tweede aspect is het autorisatie mechanisme an sich: welke berekeningen mogen op de datastations worden uitgevoerd. De huidige stand van de techniek van federated processing heeft verschillende authorisatie mechanismen in zich. Deze verschillen echter van implementatie tot implementatie en er is nog geen universele standaard. Het is conceptueel mogelijk om op termijn te werken met verififiable credentials die gekoppeld zijn aan de vergunning die door de HDAB/DAAMS is uitgegeven, maar daar bestaan nog geen werkende implementaties van.
7.2.2. Vergelijking primair en secundair datastation
Overeenkomsten tussen primaire en secundaire datastations
| ID | Omschrijving |
|---|---|
| DS-O1 | Vergelijkbare, zo niet identieke, ontwerp principes en niet-functionele vereisten. |
| DS-02 | Een datastation valt in het domein van de datahouder. |
| DS-O3 | Een datastation gaat uit van conformiteit, waarbij meerdere informatiemodellen worden ondersteund incl. functionaliteit om transformaties tussen deze modellen uit te voeren. |
Verschillen tussen primaire en secundaire datastations
| ID | Omschrijving |
|---|---|
| DS-V1 | Primair gebruik richt zich uitsluitend op klinische data. Secundair gebruik omvat ook bedrijfsmatige en logistieke data. |
| DS-V2 | Localisatie van data in het primaire proces is gebaseerd op unieke identifiers voor personen, terwijl in het secundaire proces de gegevenscatalogus wordt gebruikt. |
| DS-V3 | Toegangscontrole bij een datastation wordt uitgevoerd op persoonsniveau. Bij een secundair datastation is toegangscontrole ingericht op de berekening die wordt uitgevoerd. |
| DS-V4 | Primair gebruik is geoptimaliseerd voor snelle (latency minder dan 1 seconde) voor bevraging van data van één persoon, terwijl secundair gebruik uit gaat van bulk bevraging met een grotere latency. |
| DS-V5 | Opslag van data is bij een primair datastation optioneel, bij een secondair datastations een vereiste om data visiting te ondersteunen. |
| DS-V6 | Een primair datastation heeft geen voorziening voor het lokaal uitvoeren van berekeningen. Voor een secondair datastations een vereiste om data visiting te ondersteunen. |
Vergelijking Integrator (primair) en Processing Hub (secundair)
Overeenkomsten centrale interatie component in laag 4
| ID | Omschrijving |
|---|---|
| L4-O1 | Vergelijkbare, zo niet identieke, ontwerp principes en niet-functionele vereisten. |
| L4-O2 | Datagebruikers (systemen of personen) krijgen toegang tot data via één centrale ingang, er wordt gebruik gemaakt van een hub-and-spoke netwerk topologie. |
| L4-03 | Inrichting van laag 4 gaat uit van het four corner model: meerdere service providers zijn voorzien in het LDN. |
Verschillen centrale interatie component in laag 4
| ID | Omschrijving |
|---|---|
| L4-V1 | Grondslag en rol van datagebruiker in primair proces is anders voor primair (behandelrelatie) en secundair (vergunning of gegevensverzoek). |
| L4-V2 | De Processing Hub vervult een belangrijke functie voor output controle c.q. statistical disclosure control. Dit is bij primair gebruik niet aan de orde. |
Geharmoniseerde API voor Permits en Autorisatie:**
Het Landelijk Afsprakenstelsel (LAS) moet worden uitgebreid met een specifieke "EHDS-connector". Deze API moet het voor een decentraal Datastation mogelijk maken om een digitale permit van de HDAB direct te vertalen naar lokale toegangsrechten in de BVO, vergelijkbaar met hoe de Generieke Functie Autorisatie werkt voor primair gebruik.
-
Dual-purpose Adapter Functies: De "Adapter"-rol in de CumuluZ-architectuur moet worden doorontwikkeld naar een dual-purpose component die zowel FHIR (primair) als analytische formaten (secundair) kan uitserveren vanuit dezelfde geabstraheerde datalaag. Dit borgt dat de data-integriteit tussen de patiëntenzorg en onderzoek behouden blijft.
-
Eenduidige Governance op "Data Access Committees" (DAC): Het proces voor het verlenen van toegang moet worden gestroomlijnd waarbij de lokale DAC van een ziekenhuis en de nationale HDAB via een federatief model samenwerken. Dit voorkomt dubbele administratieve lasten en zorgt ervoor dat de bronhouder de regie behoudt, conform architectuurprincipe C2.
Onderstaande tabellen geven een overzicht van de verschillen en overeenkomst tussen datastation voor primair en secundair gebruik, als ook voor de centrale integratie component in laag 4.