Vereisten voor veilige verwerkingsomgeving

Dit artikel bevat de eisen die gesteld worden aan een veilige verwerkingsomgeving.

Uitgangspunten 

  • Met het oog op het complexe landschap van behoeften en oplossingen worden er verschillende sets eisen opgesteld. Hierbij moet elke veilige verwerkingsomgeving die binnen het Health-RI ecosysteem wordt aangeboden voldoen aan de minimale eisen en kan een dataset alleen verwerkt worden in een verwerkingsomgeving die voldoet aan de beveiligingseisen overeenkomstig het vertrouwelijkheidsniveau van de data. 

  • Er is geen one size fits all-oplossing die voldoet voor alle use cases, daarom is het belangrijk om inzicht te bieden in de bestaande oplossingen en de (beveiligings-)eisen waaraan deze voldoen 

  • De verschillende oplossingen kunnen worden aangeboden via de Health-RI Hub of een van de Health-RI knooppunten, zo lang duidelijk is bij wie de verwerkingsverantwoordelijkheid en de controle over de toegang ligt. 

Framework van eisen

In dit programma van eisen worden op drie niveaus eisen gesteld aan veilige verwerkingsomgevingen:

  • Minimale eisen: Elke centrale analyseomgeving die binnen het Health-RI ecosysteem gebruikt wordt moet voldoen aan een set van minimale eisen. Deze set vormt het kader waarbinnen verschillende beveiligings- en gebruikerseisen gesteld worden aan een veilige verwerkingsomgeving, afhankelijk van de use case.

  • Eisen aan dataveiligheid en toegangsbeleid: Afhankelijk van de gevoeligheid van de data die voor een use case verwerkt worden, kunnen er strengere of minder strenge eisen worden gesteld aan dataveiligheid en toegangsbeleid. Deze eisen worden afgeleid uit de terms of use geassocieerd met de dataset en komen dus van de dataleverancier.

  • Eisen aan functionaliteit: Verschillende use cases stellen verschillende eisen aan veilige verwerkingsomgevingen, bijvoorbeeld op het gebied van rekencapaciteit en opslagcapaciteit. Deze eisen komen van de datagebruiker. Dit framework van eisen moet datagebruikers ondersteunen in het selecteren van de meest geschikte veilige verwerkingomgeving voor hun use case.

Minimale eisen 

De minimale eisen waaraan een centrale analyseomgeving moet voldoen worden weergegeven in Tabel 1 (dit overzicht is nog niet compleet en wordt in een volgende versie aangevuld). 

ID 

Beschrijving van de minimale eis 

1 

Controle over toegang tot de SPE werkomgeving moet kunnen worden uitgevoerd door datahouder of een trusted (third) party 

2 

SPE moet interoperabel zijn met de centrale Health-RI data-uitwisselingsoplossing. 

3 

SPE moet een faciliteit aanbieden voor het verwijderen van de werkomgeving en/of het intrekken van toegang tot de data op het moment dat de toestemming voor het gebruik van de data is geëindigd. 

4 

SPE moet gebruik kunnen maken van de overeengekomen generieke identificatie, authenticatie en autorisatieoplossing binnen het Health-RI ecosysteem. 

5 

SPE moet een faciliteit voor rolgebaseerde autorisatie aanbieden om de afspraken over toegang tot data zoals beschreven in de “data access agreement” te kunnen uitvoeren. 

6 

SPE moet verschillende rollen voor gebruikers aanbieden om data-toegang te kunnen garanderen zonder dat de verwerkingsverantwoordelijke controle over de data verliest. 

7 

SPE moet toegang tot de data voldoende loggen en monitoren om de vereiste informatie met betrekking tot toegang tot en gebruik van de data te kunnen verstrekken aan de datasubjecten. 

8 

SPE moet vooraf een schatting kunnen geven van de reken- en opslagkosten op basis van verschillende configuraties. 

9 

SPE moet functionaliteit bieden voor het monitoren en beheersen van de gebruikskosten tijdens het analyseproces. 

10 

SPE moet functionaliteit bieden voor het publiceren en archiveren van resultaten, alsmede data en analysescripts die nodig zijn om de reproduceerbaarheid van de resultaten te kunnen garanderen. SPE biedt een proces waarbij elke export gecontroleerd wordt door de eigenaar van de werkomgeving. 

11 

SPE biedt documentatie over het beveiligingsniveau van de werkomgeving en dit beveiligingsniveau wordt gegarandeerd door de leverancier. 

12 

SPE biedt documentatie over waar de data opgeslagen wordt. 

13 

SPE biedt documentatie over de aangeboden reken- en opslagcapaciteit. 

14 

SPE biedt een onboardingproces voor nieuwe gebruikers alsmede een van de volgende opties: 

  • Standaardconfiguraties met documentatie over aan welke eisen deze configuraties voldoen 

  • documentatie over hoe de SPE moet worden geconfigureerd voor technische en niet-technische gebruikers 

Tabel 1: Concept minimale eisen centrale analyse verwerkingsomgeving 

Eisen aan dataveiligheid en toegangsbeleid (datahouder) 

Afhankelijk van de vertrouwelijkheid van de data die in een beveiligde verwerkingsomgeving worden geanalyseerd kunnen verschillende eisen worden gesteld aan databeveiliging en toegangsbeleid. Het vertrouwelijkheidsniveau wordt bepaald op basis van het risico op identificatie van data-subjecten (zie referentiekaart voor onderzoekers - LCRDM). Een hoog risico op identificatie vereist meer gegevensbeschermingsmaatregelen dan wanneer dit risico klein is. Volledig anonieme gegevens vallen buiten de AVG en vereisen geen aanvullende gegevensbeschermingsmaatregelen. Het komt in de praktijk echter zeer weinig voor dat gezondheidsdata volledig anoniem zijn.

Passende gegevensbeschermingsmaatregelen worden gedefinieerd op basis van het Five Safes-framework. Het Five Safes-framework beschouwt data managementbeslissingen als het oplossen van problemen in vijf dimensies:

  1. Veilige projecten: Is het gebruik van de gegevens passend?

  2. Veilige mensen: Kunnen de gebruikers vertrouwd worden om het op een passende manier te gebruiken?

  3. Veilige instellingen: Beperkt de toegangsfaciliteit ongeoorloofd gebruik?

  4. Veilige data: Is er een risico op openbaarmaking in de gegevens zelf?

  5. Veilige output: Zijn de statistische resultaten niet-onthullend?

In de regel worden deze eisen aan een veilige verwerkingsomgeving gesteld door de datahouder. Het gevoeligheidsniveau van de data wordt vastgelegd in de metadata. Om zeker te kunnen stellen dat een analyseomgeving geschikt is voor het verwerken van een dataset met een vastgesteld gevoeligheidsniveau moet aan de volgende randvoorwaarden voldaan worden: 

  • Voor de vertrouwelijkheidsniveaus voor datasets is duidelijk gedefinieerd op welk type data deze betrekking hebben 

  • De eisen aan verwerkingsomgevingen zijn duidelijk gedefinieerd per vertrouwelijkheidsniveau 

  • De eisen die aan verwerkingsomgevingen gesteld worden voor elk vertrouwelijkheidsniveau voldoen aan de eisen die de AVG stelt voor het verwerken van data met dit vertrouwelijkheidsniveau 

  • Elke leverancier van verwerkingsomgevingen biedt documentatie aan waarin duidelijk beschreven wordt aan welke set van beveiligingseisen (voor data met welk vertrouwelijkheidsniveau) de verwerkingsomgeving voldoet 

De eerste drie van bovenstaande randvoorwaarden zullen deel uitmaken van het programma van eisen voor veilige verwerkingsomgevingen binnen Health-RI en zullen als zodanig worden uitgewerkt door de werkgroep analyse.

In het uit te werken programma van eisen zal worden meegenomen dat niet alleen de verwerkingsomgeving, maar de gehele keten van data-aanlevering naar deze omgeving en export/ archivering vanuit deze omgeving aan het genoemde beveiligingsniveau moet voldoen. 

Eisen aan functionaliteit (datagebruiker) 

Verschillende use cases stellen verschillende eisen aan de functionaliteit en gebruikersvriendelijkheid van een verwerkingsomgeving. Dit betreft bijvoorbeeld eisen op het gebied van opslag- en rekencapaciteit, aangeboden analysesoftware, mogelijkheden om eigen analysesoftware te installeren of te laten installeren en gebruikersvriendelijkheid. 

Afhankelijk van de vertrouwelijkheid van de data die verwerkt dienen te worden kan niet altijd aan alle eisen van de datagebruiker worden voldaan. Met name wanneer de datagebruiker een opener omgeving vereist, maar met hoogvertrouwelijke data werkt, die alleen in een gesloten omgeving kunnen worden verwerkt.

De Nederlandse Federatie van Universitair Medische Centra (NFU) heeft in het programma Data4LifeSciences profielen opgesteld van onderzoekers in het veld gezondheid en zorg (Figuur 1). Deze persona zijn een combinatie van aandachtsgebied, rol, processen, data, applicaties en typische infrastructuur in gebruik. De profielen hebben een relatie met de mate van ondersteuning door IT functionaliteiten en diensten en de behoefte aan reken- en opslagcapaciteit en flexibiliteit. Het is een leidraad bij het classificeren van bestaande veilige verwerkingsomgevingen met het doel om onderzoekers en ondersteuners te begeleiden in de selectie van de juiste veilige verwerkingsomgeving voor een project.

image-20240314-091632.png
Figuur 1: Onderzoekersprofielen in het gezondheidsdomein

Voor het programma van eisen zullen de datagebruikerseisen aan functionaliteit en gebruikersvriendelijkheid verder worden geïnventariseerd.

Kosten

De kosten van een veilige verwerkingsomgeving kunnen een randvoorwaarde vormen voor het gebruik. Het is echter geen functionele eis die een omgeving meer of minder geschikt maakt om in te zetten voor een bepaalde use case. Om een goede afweging te maken zijn er twee vereisten vanuit de datagebruiker:

  • Transparante kostenstructuur: De datagebruiker moet voor het project start een inschatting kunnen maken van de te verwachten kosten

  • Laagdrempelig betalingsmodel: Ook voor kleine projecten moet afrekening haalbaar zijn

Deze vereisten zijn opgenomen in de minimale vereisten die voor iedere veilige verwerkingsomgeving gelden.

Classificatie van veilige verwerkingsomgevingen

Bestaande veilige verwerkingsomgevingen zullen worden geclassificeerd op basis van de eisen aan dataveiligheid en eisen aan functionaliteit. 

Deze classificatie biedt: 

  • datagebruikers inzicht in de eisen waar verschillende centrale analyseomgevingen aan voldoen en faciliteert ze zo in het kiezen voor de meest passende centrale analyse verwerkingsomgeving 

  • datahouders duidelijkheid over en vertrouwen in het beveiligingsniveau van elke aangeboden centrale analyseomgeving en faciliteert ze in het opnemen van deze eisen in de gebruikersvoorwaarden van datasets 

Op basis van de classificatie van veilige verwerkingsomgevingen kunnen ondersteuningsdiensten voor datagebruikers worden ontwikkeld, zoals een beslisboom om te komen tot de meest passende verwerkingsomgeving voor een project. Bovendien biedt de classificatie inzicht in hoe bestaande oplossingen passen op de gebruikerseisen. Indien er oplossingen ontbreken waar wel behoefte aan is, is dit een basis voor gesprekken met aanbieders van veilige verwerkingsomgevingen om te onderzoeken welke mogelijkheden er zijn om aan deze behoefte te voldoen.