Privacy-preserving eHealth: A self-sovereign identity based infrastructure for medical records

Abstract

In der heutigen Zeit sind digitale Daten eine wertvolle Ressource und sind meist im Besitz von Service Providern. Speziell im Gesundheitsbereich sind Daten sensibel und können für Patienten bei nicht gerechter Handhabung einen Schaden verursachen. In aktuellen Systemen müssen die Patienten den Betreibern der Gesundheitssysteme vertrauen, da diese auf zentralisierten oder föderierten Identity und Access Mechanismen basieren, und haben nicht die volle Kontrolle über ihre eigene Daten.Ein neuwertiges Konzept im Bereich von Identity und Access Management, das den Benutzer in das Zentrum der Applikation stellt, hat die Bezeichnung self-sovereign identity (SSI). Das Ziel dieser Diplomarbeit ist es eine eHealth Architektur für medizinische Daten mit dem Ansatz von SSI zu entwerfen. Dabei hat der Nutzer die volle Kontrolle über sein Daten und muss nicht auf andere Entitäten vertrauen. Die Thesis zeigt den ganzen Prozess der Erstellung der Architektur, von der Erhebung der Anforderung bis zur Evaluierung der fertigen Architektur. Des Weiteren erklären sie welche Möglichkeiten es gibt SSI in Gesundheitsarchitekturen zu verwenden und spezifizieren die einzelnen Komponenten, deren Interaktionen, und die Abläufe innerhalb des Systems. Außerdem berücksichtigen diese Thesis die Datenschutzgrundverordnung und analysieren welche Komponenten kompatibel sind und wo es zu Konflikten kommt.Der finale Prototyp basiert auf Anforderungen, die aus Interviews mit Experten erhoben wurden und basiert neben SSI auf dem Konzept von Decentralized Web Nodes. Diese einzigartige Kombination von Decentralized Web Nodes und SSI ist in der wissenschaftlichen Literatur, insbesondere im Gesundheitswesen, bisher nicht erforscht worden. Die eHealth-Architektur wird anhand eines Proof-of-Concept, eines Threat Models und einer zweiten Runde von Experteninterviews evaluiert. Die Ergebnisse zeigen einen neuwertigen Ansatz in dem Benutzer ihre medizinische Daten sicher und datenschutzfreundliche Weise verwalten können.

In today's world, digital data is a valuable resource and is usually owned by service providers. Especially in the healthcare sector, data is sensitive and can cause harm to patients if not handled fairly. Current healthcare systems rely on centralized or federated identity and access mechanisms, which require patients to trust the operators. However, patients do not have full control over their own data.An emerging concept in the field of identity and access management that places the user at the center of the application is called self-sovereign identity (SSI). The aim of this thesis is to create an eHealth architecture for medical data using the SSI approach. The architecture allows the user to have full control over their data without relying on other entities. The thesis contains the process of creating the architecture, from identifying the requirements to evaluating the final architecture. It explains the potential use of SSI in healthcare architectures, detailing the individual components, their interactions, and the system's processes. Additionally, this thesis analyze the compatibility of the components with the General Data Protection Regulation and identify any conflicts.The final prototype is based on requirements gathered from expert interviews and utilizes the concept of Decentralized Web Nodes in addition to SSI. This unique combination of Decentralized Web Nodes and SSI has not been previously explored in scientific literature, particularly in the healthcare sector.The proposed eHealth architecture is evaluated through a proof-of-concept, a threat model, and a second round of expert interviews. The results demonstrate a novel approach in which users can securely and privately manage their medical data.