Health-RI wiki v4.0 -> consultatie (open tot 03-12-2024)

Framework van eisen voor veilige verwerkingsomgeving

Owned by Health-RI
Nov 18, 2024
5 min read

datum: 08-11-2024 Status: TER REVIEW

GBFlag48x34.png

 

Dit artikel beschrijft het framework van eisen voor veilige verwerkingsomgevingen. Voor de volledige vereistentabel, zie Vereistentabel veilige verwerkingsomgeving

Uitgangspunten 

  • Met het oog op het complexe landschap van behoeften en oplossingen worden er verschillende sets eisen opgesteld. Hierbij moet elke veilige verwerkingsomgeving die binnen het Health-RI ecosysteem wordt aangeboden voldoen aan de minimale eisen en kan een dataset alleen verwerkt worden in een verwerkingsomgeving die voldoet aan de beveiligingseisen overeenkomstig het vertrouwelijkheidsniveau van de data. 

  • Er is geen one size fits all-oplossing die voldoet voor alle use cases, daarom streeft Health-RI ernaar om inzicht te bieden in de bestaande oplossingen en de (beveiligings-)eisen waaraan deze voldoen.

  • De verschillende oplossingen kunnen worden aangeboden via de Health-RI Hub of een van de Health-RI knooppunten, zo lang duidelijk is bij wie de verwerkingsverantwoordelijkheid en de controle over de toegang ligt. 

Niveaus van eisen aan veilige verwerkingsomgevingen:

Er worden op drie niveaus eisen gesteld aan veilige verwerkingsomgevingen:

  • Minimale eisen: Elke veilige verwerkingsomgeving die binnen het Health-RI ecosysteem gebruikt wordt moet voldoen aan de set van minimale eisen. In Vereistentabel veilige verwerkingsomgeving aangeduid met “Layer: minimal”.

  • Dataclassificatie-afhankelijke eisen: Afhankelijk van de gevoeligheid van de data die verwerkt worden, kunnen er strengere of minder strenge eisen worden gesteld aan dataveiligheid en toegangsbeleid. Deze eisen worden afgeleid uit de terms of use geassocieerd met de dataset en zijn onder de huidige wetgeving afhankelijk van o.a. AVG wetgeving en eisen van de dataleverancier. In Vereistentabel veilige verwerkingsomgeving aangeduid met “Layer: data classification”.

  • Use case-afhankelijke eisen: Verschillende use cases stellen verschillende eisen aan veilige verwerkingsomgevingen, bijvoorbeeld op het gebied van rekencapaciteit en opslagcapaciteit. Deze eisen komen van de datagebruiker. Dit framework van eisen moet datagebruikers ondersteunen in het selecteren van de meest geschikte veilige verwerkingomgeving voor hun use case. In Vereistentabel veilige verwerkingsomgeving aangeduid met “Layer: use case”.

Minimale eisen

Elke veilige verwerkingsomgeving die binnen het Health-RI ecosysteem gebruikt wordt moet voldoen aan de set van minimale eisen. Op deze laag worden governance-, interoperabiliteits-, transparantie- en databeveiligingseisen gedefinieerd die moeten garanderen dat veilige verwerkingsomgevingen die aan de minimale eisen voldoen (1) veilig genoeg zijn voor het verwerken van niet-herleidbare gezondheidsdata en (2) bruikbaar zijn voor ten minste eenvoudig onderzoek op tabelgegevens.

Kosten

De kosten van een veilige verwerkingsomgeving kunnen een randvoorwaarde vormen voor het gebruik. Het is echter geen functionele eis die een omgeving meer of minder geschikt maakt om in te zetten voor een bepaalde use case. Om een goede afweging te maken zijn er twee vereisten vanuit de datagebruiker, die zijn opgenomen in de minimale eisen:

  • Transparante kostenstructuur: De datagebruiker moet voor het project start een inschatting kunnen maken van de te verwachten kosten

  • Laagdrempelig betalingsmodel: Ook voor kleine projecten moet afrekening haalbaar zijn

Dataclassificatie-afhankelijke eisen

Afhankelijk van de vertrouwelijkheid van de data die in een beveiligde verwerkingsomgeving worden geanalyseerd kunnen verschillende eisen worden gesteld aan databeveiliging en toegangsbeleid. Het vertrouwelijkheidsniveau wordt bepaald op basis van het risico op identificatie van data-subjecten (zie referentiekaart voor onderzoekers - LCRDM). Een hoog risico op identificatie vereist meer gegevensbeschermingsmaatregelen dan wanneer dit risico klein is. Volledig anonieme gegevens vallen buiten de AVG en vereisen geen aanvullende gegevensbeschermingsmaatregelen. Het komt in de praktijk echter zeer weinig voor dat gezondheidsdata volledig anoniem zijn.

Passende gegevensbeschermingsmaatregelen worden gedefinieerd op basis van het Five Safes-framework. Het Five Safes-framework beschouwt data managementbeslissingen als het oplossen van problemen in vijf dimensies:

  1. Veilige projecten: Is het gebruik van de gegevens passend?

  2. Veilige mensen: Kunnen de gebruikers vertrouwd worden om het op een passende manier te gebruiken?

  3. Veilige instellingen: Beperkt de toegangsfaciliteit ongeoorloofd gebruik?

  4. Veilige data: Is er een risico op openbaarmaking in de gegevens zelf?

  5. Veilige output: Zijn de statistische resultaten niet-onthullend?

In de regel worden deze eisen aan een veilige verwerkingsomgeving gesteld door de datahouder. Het gevoeligheidsniveau van de data wordt vastgelegd in de metadata. Om zeker te kunnen stellen dat een analyseomgeving geschikt is voor het verwerken van een dataset met een vastgesteld vertrouwelijkheidsniveau moet aan de volgende randvoorwaarden voldaan worden: 

  • Voor de vertrouwelijkheidsniveaus voor datasets is duidelijk gedefinieerd op welk type data deze betrekking hebben 

  • De eisen aan verwerkingsomgevingen zijn duidelijk gedefinieerd per vertrouwelijkheidsniveau 

  • De eisen die aan verwerkingsomgevingen gesteld worden voor elk vertrouwelijkheidsniveau voldoen aan de eisen die de AVG stelt voor het verwerken van data met dit vertrouwelijkheidsniveau 

  • Elke leverancier van verwerkingsomgevingen biedt documentatie aan waarin duidelijk beschreven wordt aan welke set van beveiligingseisen (voor data met welk vertrouwelijkheidsniveau) de verwerkingsomgeving voldoet 

De eerste drie van bovenstaande randvoorwaarden zullen worden toegevoegd aan het programma van eisen voor veilige verwerkingsomgevingen binnen Health-RI en zullen als zodanig worden uitgewerkt door de werkgroep analyse. 

Classificatie van veilige verwerkingsomgevingen

De dataclassificatie-afhankelijke eisen vormen de basis voor een classificatie van bestaande veilige verwerkingsomgevingen. Deze classificatie biedt: 

  • datagebruikers inzicht in de eisen waar verschillende centrale analyseomgevingen aan voldoen en faciliteert ze zo in het kiezen voor de meest passende centrale analyse verwerkingsomgeving 

  • datahouders duidelijkheid over en vertrouwen in het beveiligingsniveau van elke aangeboden centrale analyseomgeving en faciliteert ze in het opnemen van deze eisen in de gebruikersvoorwaarden van datasets 

Op basis van de classificatie van veilige verwerkingsomgevingen kunnen ondersteuningsdiensten voor datagebruikers worden ontwikkeld, zoals een beslisboom om te komen tot de meest passende verwerkingsomgeving voor een project. Bovendien biedt de classificatie inzicht in hoe bestaande oplossingen passen op de gebruikerseisen. Indien er oplossingen ontbreken waar wel behoefte aan is, is dit een basis voor gesprekken met aanbieders van veilige verwerkingsomgevingen om te onderzoeken welke mogelijkheden er zijn om aan deze behoefte te voldoen.

Use case-afhankelijke eisen 

Verschillende use cases stellen verschillende eisen aan de functionaliteit en gebruikersvriendelijkheid van een verwerkingsomgeving. Dit betreft bijvoorbeeld eisen op het gebied van opslag- en rekencapaciteit, aangeboden analysesoftware, mogelijkheden om eigen analysesoftware te installeren of te laten installeren en gebruikersvriendelijkheid. Use case-afhankelijke eisen zijn opgehaald bij onderzoekers die gebruik maken van een veilige verwerkingsomgeving, de imaging community en de omics community.

Afhankelijk van de vertrouwelijkheid van de data die verwerkt dienen te worden kan niet altijd aan alle eisen van de datagebruiker worden voldaan. Met name wanneer de datagebruiker een opener omgeving vereist, maar met hoogvertrouwelijke data werkt, die alleen in een gesloten omgeving kunnen worden verwerkt.

De Nederlandse Federatie van Universitair Medische Centra (NFU) heeft in het programma Data4LifeSciences profielen opgesteld van onderzoekers in het veld gezondheid en zorg (Figuur 1). Deze persona’s zijn een combinatie van aandachtsgebied, rol, processen, data, applicaties en typische infrastructuur in gebruik. De profielen hebben een relatie met de mate van ondersteuning door IT functionaliteiten en diensten en de behoefte aan reken- en opslagcapaciteit en flexibiliteit. Het is een leidraad bij het classificeren van bestaande veilige verwerkingsomgevingen met het doel om onderzoekers en ondersteuners te begeleiden in de selectie van de juiste veilige verwerkingsomgeving voor een project.

image-20240314-091632.png
Figuur 1: Onderzoekersprofielen in het gezondheidsdomein

EHDS

De European Health Data Space (EHDS) gaat eisen stellen aan veilige verwerkingsomgevingen. Op dit moment is nog niet bekend welke eisen dit gaan zijn. De eisen in Vereistentabel veilige verwerkingsomgeving zijn in lijn met Artikel 50 uit de voorlopige versie van de EHDS. De verwachting is dat de definitieve versie eind 2024 beschikbaar zal zijn en dat de eisen aan veilige verwerkingsomgevingen kunnen worden meegenomen in de volgende versie van dit afsprakenstelsel.