System of Reference – Datensouveränität durch ein zentrales Referenzsystem
Heute sollte es Usus sein, dass jede Person Hoheit und Entscheidungsgewalt darüber hat, wer und von wo aus Zugriff auf die persönlichen Daten hat. Diese Datensouveränität beinhaltet zum einen die Datenkompetenz und zum anderen die Datenkontrolle. In Systemlandschaften mit verschiedenen Cloud-Anbietern und einer Mischung aus Private/Public Cloud und On-Prem-Verarbeitung ist es eine volle Datensouveränität oft schwierig zu etablieren.
Cloud Computing: Mixed oder Hybrid, um Vendor-Lock-in zu verhindern
Im Gesundheitswesen etabliert sich der Trend, Teile der Systemlandschaft oder sogar Kernsysteme in die Public/Private Cloud bzw. cloudnahe Dienste bringen zu wollen. Bereits 2019 erschien dazu ein Artikel im Deutschen Ärzteblatt „Cloud Computing im Gesundheitswesen: Mehr Chancen als Risiken“. Derartiges Cloud Computing beinhaltet natürlicherweise sehr spezifische Fragestellungen im Vergleich zu On-Prem-Lösungen. Um beispielsweise Vendor Lock-in zu verhindern, tendieren einige Unternehmen dazu, ein Mixed- oder Hybrid-Cloud-Konzept (mehrere Cloud-Anbieter oder Mischkonzepte mit On-Prem-Lösungen), umzusetzen. Hierdurch steigt die Unabhängigkeit von einem Anbieter und es wird für die Unternehmen die Möglichkeit geschaffen, sich die beste SaaS- oder PaaS-Lösung (unter Berücksichtigung der erhöhten Komplexität) aussuchen zu können.
System of Reference für Datensouveränität auch in einer Hybrid-/Mixed-Cloud-Systemlandschaft
Auf der Nutzerseite führt die verteilte Verarbeitung von Sozialdaten auch zu neuen Lösungsszenarien bei der Datensouveränität. Das System of Reference, also das Konzept eines führenden Referenzsystems, ermöglicht trotz einer Hybrid-/Mixed-Cloud-Systemlandschaft die Datensouveränität des Nutzers durch Transparenz und Verarbeitungsorchestrierung beizubehalten. Als technologische Lösung wird im Kontext des System of Reference der Aufbau eines logischen Informationsmodells eines jeden Teilnehmers einer Vernetzungslösung, also auch des Nutzers, verfolgt. Zum Erhalt der vollen Datenkontrolle und Datenkompetenz beinhaltet dieses System alle relevanten Informationen, wie Data Lineage oder die physische Lokalisierung der Daten. So kann bei einer Erweiterung oder Änderung der Systemlandschaft die Datensouveränität des Nutzers bedient werden. Daneben werden durch den Aufbau des logischen Informationsmodells die Unternehmen dazu befähigt, die relevanten Informationen aus den Daten zu erfassen, selbst wenn diese in verschiedenen Cloud-Umgebungen gehalten werden. Unterstützend kommt Confidential Computing zum Einsatz, wenn es sich um besonders schützenswerte Daten handelt.
Neben den technologischen Aspekten des System of Reference sind organisatorische Aktivitäten notwendig, um die Datensouveränität zu erhalten. Die Prüfung der nachgelagerten Vertragspartner eines Hyperscalers ist entscheidend um Datenkompetenz, als Teilaspekte von Datensouveränität, aufzubauen. Ebenfalls müssen die entsprechenden Rollen und Dokumentationsmodelle etabliert werden, damit die Pflege des Informationsmodells unternehmensübergreifend abgebildet werden kann.