Während die elektronische Patientenakte in Deutschland noch in den Kinderschuhen steckt, sind andere Länder wie Norwegen schon deutlich weiter. Capgemini hat eine Microservice-Plattform für die Apotheken in Norwegen gebaut, in der die Daten zu den Rezepten aller Norweger gespeichert werden. Bei der Entwicklung der Plattform musste Capgemini sicherstellen, dass die auf den ersten Blick konträren Anforderungen der DSGVO - wie z.B. das Recht auf vergessen - und der per Definition unveränderlichen Patienten-Historie alle umgesetzt werden konnten.

Da in der Plattform personenbezogene Informationen zusammen mit Gesundheitsinformationen gespeichert sind, steht es außer Frage, dass der Schutz der Informationen oberste Priorität bei der Umsetzung des Projekts hatte. Zusätzlich waren auch die gesetzlichen Vorgaben sowie technische Anforderungen, wie z.B. der sichere Plattformzugriff über eine Admin-Oberfläche zu berücksichtigen.

Als Konsequenz hieraus war für Capgemini sehr schnell klar, dass der Zugriff auf die in der Plattform gespeicherten Daten bestmöglich kontrolliert werden musste. So ist beispielsweise sichergestellt, dass für jeden Zugriff das Prinzip der geringstmöglichen Rechte angewendet wird, dass verschiedene Zugriffsbeschränkungen abhängig von der Vertraulichkeitsstufe implementiert sind und dass ohnehin grundsätzlich nur kontextbezogener Zugriff auf die gespeicherten Patienteninformationen möglich ist.

Capgemini hat sich aus mehreren Gründen für HashiCorp Vault entschieden, um die geschilderten Anforderungen umzusetzen. So kommt Vault in der Plattform für mehrere Anwendungsfälle zum Einsatz:

• Secrets Management, also zur Verwaltung von sensitiven Informationen wie Passwörter, Zertifikate und private Schlüssel, die Dank Vault zentral erzeugt, rotiert und auch auditiert werden können.

• Verschlüsselung der gespeicherten Daten (Data at Rest Encryption): personenbezogene Daten sind grundsätzlich verschlüsselt.

• Verschlüsselung von Daten während der Übertragung (Data in Transit Encryption): sämtliche Kommunikation zwischen Services der Plattform wird mit mTLS verschlüsselt, wobei Vault für die Verwaltung und Rotation der hierfür notwendigen Zertifikate genutzt wird.

• Prinzip der minimalen Rechte: Vault erlaubt eine sehr granulare rollenbasierte Zugriffskontrolle, so dass der Handlungsspielraum beim Zugriff auf personenbezogene Daten strikt begrenzt werden konnte.

• Lösung des Konflikts zwischen DSGVO und Event Sourcing, die nachfolgend erläutert wird.

Die DSGVO macht klare Vorgaben, die im Kontext der unveränderlichen Patientenakte nicht ganz einfach umsetzen waren. Beispiele hierfür sind die in Artikel 5 definierten Vorgaben zur Dauer der Datenspeicherung und das Recht auf Vergessen in Artikel 17. Diese stehen im Widerspruch zu den Anforderungen an die Patientenakte, in der jeder Eintrag unveränderlich sein muss und nachträglich auch nicht gelöscht werden darf. Diesen Konflikt konnte Capgemini ebenfalls mit HashiCorp Vault lösen, in dem der für den Zugriff auf Einträge in einer e-Akte notwendige Schlüssel nach Ablauf der Datenspeicherungsfrist gelöscht wird. Die e-Akte selbst bleibt unverändert, der Zugriff ist aber gleichzeitig DSGVO-konform umgesetzt.

Capgemini hat dieses Projekt auf der HashiConf 2019 vorgestellt. Eine Aufzeichnung des Vortrags ist hier verfügbar.