Sonntag, 18. März 2018

Informationen mit FHIR verfügbar machen: VONK bietet die Komplett-Lösung incl. Zugriffskontrolle


Gemeinsam mit unseren Partnern von fire.ly bieten wir mit Vonk einen vollständigen FHIR-Server an, der als FHIR-Fassade in Verbindung mit einer proprietären Datenbank implementiert werden kann aber auch FHIR-Ressourcen jeglicher Form entgegennehmen, validieren und nativ in einer eigenen Datenbank speichern kann.

Danach stellt Vonk die so gespeicherten Informationen über die FHIR-API für Dritt-Applikationen zur Verfügung.

Datenzugriff auf KIS/PVS? Nur per Export-Schnittstelle!


Stellen Sie sich also vor, Sie möchten Patientendaten, die in Ihrem Krankenhaus- oder Praxis-Informationssystem (KIS) erfasst wurden, einer App zur Verfügung stellen.
Ein direkter Zugriff der App auf das KIS ist kaum möglich, da die wenigsten Systeme über Query-Schnittstellen verfügen. Die meisten beherrschen jedoch irgendeine Form einer Export-Schnittstelle (z.B. HL7 V2, xDT oder - worst case - CSV).

Über einen Kommunkationsserver (z.B. "Cloverleaf" der Fa. Health-Comm) können diese Informationen in FHIR-Ressourcen übersetzt und an VONK übermittelt werden.
Dort stehen Sie nun für sämtliche Web-Applikationen, mobile Apps, Clinical-Decision-Support-Systeme oder mobile Geräte, die den FHIR-Standard unterstützen, zur Verfügung.

Wichtig ist dabei natürlich die Zugriffskontrolle

Daher unterstützt VONK nun eine auf den Standards OAUTH2 und OpenIDConnect basierte Zugriffskontrolle.
VONK folgt dabei dem Authorisierungs-Modell des SMART-on-FHIR-Frameworks, das als Best-Practice in diesem Bereich gilt.

Die erforderlichen Schritte sind

  1. Identifikation des Benutzers (Wer ist der Benutzer?)
  2. Authentifikation (Kann er es beweisen?)
  3. Autorisation (Welche Berechtigungen hat der Benutzer?)
  4. Zugriffskontrolle (Welche Daten darf Vonk an einen Benutzer mit diesen Berechtigungen ausliefern?)

Die ersten beiden Schritte finden außerhalb von Vonk statt, ausgehend davon, dass der Benutzer bereits in einem Portal, einem KIS oder dem ActiveDirectory bekannt ist. Wichtig ist, dass das jeweilige System die Ausgabe von JWT Tokens unterstützt.

Welche Berechtigungen einer App gewährt werden können, ist in SMART in Form von "Scopes" definiert:
patient/*.read verleiht lesenden Zugriff auf alle Ressourcen im Zusammenhang mit dem aktuellen Patienten,
user/Observation.write erlaubt Schreibzugriff auf alle Observation-Ressourcen im Zugriff des aktuellen Benutzers.

Die Verbindung zum konkreten Patienten- oder Benutzer-Objekt, stellt die App beim Start über den sog. Launch-Context her.

Bei der Vergabe des Tokens muss das Autorisierungssystem (bspw. ActiveDirectory) diese Informationen zusammen mit dem Token übergeben.

Vonk führt die Zugriffskontrolle dann basierend auf Scope, Launch-Kontext und den in FHIR definierten Compartments aus.

Vonk kann jedoch noch mehr!

Über die in SMART definierten Launch Contexts hinaus, die stets nur den Zugriff auf einen bestimmten Patienten oder Fall zulassen, kann in Vonk der Kontext auch über ein beliebiges Patienten-Attribut hergestellt werden, z.B. der Versicherung oder dem Zuweiser, wie es für die Implementierung von Portal-Systemen erforderlich sein kann.

Ausprobieren kann man Vonk online oder offline, sogar mit eigenem Identity-Server

Mehr Informationen:
http://www.gefyra.de/p/vonk.html
https://blog.fire.ly/2018/02/26/access-control-in-vonk/
https://fire.ly/vonk


-->