This article can als be found on the SI Digital Magazine here.
The SI Evening Talk of November 29, 2022, hosted by isolutions AG, was devoted to the complex topic of medical data: “Data for the Benefit of the Patient”.
Today, Switzerland is still struggling in many ways to find its path forward in handling medical data and addressing the opportunities as well as the challenges that come with it. The collection and analysis of medical data offers new ways of diagnosis and can push the development for new treatments. However, the potential for abuse is also large, be it inadvertently through data leaks or through discriminatory practices, for example, denying access to healthcare based on data. As discussed in the previous SI evening talk on data protection (“New Federal Act on Data Protection (nFDPA): Application and Impact for Citizens and Enterprises“), the loss of control over one’s data is always at the forefront when handling sensitive data. This fear notwithstanding, the topic demands consideration.
SI vice president Dr. Nora Sleumer moderated this event, which brought together three distinguished speakers who shared their perspectives on the topic:
Dr. Carsten Danzer (Innovation Delivery Lead, Healthcare Industry, Roche),
Dr. Elke Mittendorf (Data Governance Manager, University Hospital Zurich), and
Prof. emeritus Dr. Ernst Hafen (ETH Zurich).
Carsten Danzer highlighted the need for a comprehensive understanding of medical data. On the one hand, we have the more obvious collection of “sick state” data which consists of data generated by healthcare professionals in the context of acute or chronic medical conditions. Data collected during a “healthy state” however – be it data from health tracking apps, or collected in a broader context through online shopping, consumption of social media, or other trackable online activities – is often neglected. This data can be at least as useful as “sick state” data in understanding a person’s health. “Sick state” data is already shared among various organizations such as providers, payors, pharma and diagnostics corporations as well as start-ups that all try to innovate the healthcare space. However, distrust towards tech companies when it comes to data handling as well as existing hurdles (e.g. data stored in silos in incompatible formats) complicate innovation. Carsten Danzer argued for a multidisciplinary, human-centric approach in handling medical data. This should incorporate good business practice, data security and ethical handling in order to establish a sustainable business ecosystem.
As a Data Governance Manager at the University Hospital Zurich, Elke Mittendorf brought an insider perspective to the event. She discussed problems with data collection and handling at the provider end and how many of the challenges could be circumvented or alleviated by improving the quality of the data collected at the source. Currently, medical data governance attempts to strike a balance between the use of the data, data protection, and the interests of people and organisations in the data. Current regulations surrounding data are not yet fit for data-driven work with health data. One problem is anonymization – the removal of any data that would make a person identifiable – in contrast to pseudonymization, which makes getting insights from data more difficult and is often impossible to do in absolute terms. For example, in the case of rare diseases, tracing back to a once-a-year diagnosis or to facial scans may be possible. This enforced disconnect between data hampers a more general exploration of data and shows how regulations are not created with today’s challenges in mind. According to Elke Mittendorf, many of these challenges will disappear when improving the way how data collection is structured and standardized.
Finally, Ernst Hafen spoke as an advocate for people-centred health data: put the data into the hands of the people. He drew a comparison to personal finances and how people benefit from support and control structures surrounding our finances. The same structures should exist when it comes to medical data, allowing everyone to take control of their own data. Currently, personal medical data is not just collected by providers but through apps as well and, as Carsten Danzer already pointed out, these data sources are not linked. Instead, they are left scattered in different storages instead of collecting them with the person at the center. Ernst Hafen pointed to both the potential for innovation and the danger of abuse by leaving large corporations in control of a large swath of people’s personal medical data.
While there are some attempts to provide a people-centred health data system, such as the electronic medical dossier in Switzerland, they are lacking a clear value proposition for the providers of the data, the people. Today, there is no overarching system that provides value such as, for example, transparent oversight, opportunities for personal health benefits, or reduced health insurance costs. A new group of professionals acting as data stewards or data fiduciaries as we know it from the financial sector may be needed.
In the discussion, the speakers also pointed to different ways of handling medical data in other countries. In the USA, people have the right to request their medical data in an interoperable format. Estonia’s digital health records allow for nation-wide centralized access to medical data for both physicians and citizens. These systems require legislative adaptation and well-thought technical foundations, but will enable many opportunities for improvement and innovation in healthcare.
Comments from the audience pointed to potential dangers as, for example, discrimination based on data, and that future systems have to be set up in a way to limit these threats.
Other topics discussed were how data cannot just be linked to one person but is also linked to family, for example, through genome data, or that data may reveal the presence of physicians and care staff that provided medical assistance to a patient.
The question of consent was also brought up, both as a potential factor for the rightful secondary use of data and how it could overwhelm people to have to consider the use of their data repeatedly.
These points highlighted some of the opportunities and also challenges that a people-centred health data system could encounter. The speakers advised to look at existing solutions, for example, in other countries, instead of trying to reinvent the wheel.
Overall, this SI Evening Talk was a great opportunity for the audience to learn about the opportunities and challenges of handling medical data and about the various approaches for addressing them.
"Automatisierte Prozesse bergen viel Potenzial. Firmen und Organisation, aber auch Einzelpersonen und die Gesellschaft sind existenziell von deren Entwicklung und Qualität abhängig. Die Berufsleute, welche diese federführend planen, umsetzen und schliesslich auch den Betrieb leiten, übernehmen grosse Verantwortung. Der FSIE bietet die notwendige Plattform, damit sie diese nach der initialen Ausbildung lebenslang kompetent wahrnehmen können. Als non-profit Verein von Experten für Experten sichert der FSIE zudem den objektiven und neutral evaluierten Feedback aus der Praxis. Damit optimieren wir kontinuierlich die Best Practices und Fortbildungsanforderungen.
Deshalb engagiere ich mich intensiv und mit Freude für diese Sache."
"Ich mache beim IT Expert SI-Projekt mit, weil eine schweizweit einheitliche Zertifizierung des Berufsstandes der Informatiker sowohl für die Berufsleute als auch für die Unternehmen Transparenz schafft, die Personalselektion erleichtert und direkt die Qualität von Informatikprojekten verbessert. Damit unseren Berufsstand vorwärts zu bringen, erfüllt mich mit Stolz."
"Die IT ist ein wesentlicher Entwicklungsfaktor und Treiber in Technologie, Markt und Gesellschaft. Es ist mir ein wichtiges Anliegen, IT als Werkzeug im Dienste der Anwender zu betrachten. Für einen verantwortungsvollen Einsatz der IT sind sowohl Ethik als auch eine fundierte Ausbildung unabdingbar. Mit IT Expert SI bilden wir eine hervorragende Plattform um diese Themen wirksam zu fördern und in die Entwicklung der Schweizer IT einfliessen zu lassen.
Als Mitglied des IESCo und als Präsident der SI-Ethikkommission setze ich mich für eine faire und ethische Umsetzung der SI-Statuten ein und unterstütze aktiv die Grundwerte des IT Expert SI."
"Es ist mir ein Herzensanliegen, die Steigerung der Professionalität und die Anerkennung von IT und IT-Experten zu fördern. Als Mitglied des IESCo und der Westschweizerinnen und Westschweizer engagiere ich mich für die Umsetzung des IT Expert SI im Allgemeinen und in der Westschweiz im Besonderen.
"UX und Interface Design werden immer wichtiger, um gute und nützliche Software zu entwickeln. Ich bin fest davon überzeugt, dass alle an der Softwareentwicklung Beteiligten ein minimales Verständnis der Grundlagen benötigen und unterstütze daher die Idee einer Qualifikation und Zertifizierung in diesem Bereich. Als Dozent und Praktiker fühle ich mich qualifiziert, diese Aufgabe mitzutragen und hoffe, eine gute Lösung zu finden."
"Sicherheit und Vertrauen sind essentiell für IT, Business und Gesellschaft. Deshalb bin ich Teil der IT Expert SI-Initiative."
Zum Auftakt unseres Jahres der sicherheitsorientierten Veranstaltungen, das seinen Höhepunkt in der SITC 2025 finden wird, veranstalteten wir einen SI Evening Talk mit dem Sicherheitsberater Stefan Dydak. Unter dem Titel „Cybersecurity: Beyond the Hype“ ging Dydak auf gängige Sicherheitsfallen, die alltäglichen Massnahmen, die wir ergreifen können, um uns zu schützen, und warum diese oft viel wichtiger sind, als uns bewusst ist, ein.
Während dem Potenzial von Blockchain und generativer KI - sowohl als Schutzinstrumente als auch als Sicherheitsrisiken - viel Aufmerksamkeit geschenkt wird, hinkt ihre Umsetzung oft hinterher. Trotz Fortschritten bei der Infrastruktur und den Fähigkeiten bleiben viele der alten Probleme bestehen. Im Kern geht es bei der Cybersicherheit weniger um Technologie als vielmehr um Menschen und Prozesse.
In seinem Vortrag hob Stefan Dydak fünf wichtige Aspekte hervor, die notwendig sind, um ein System sicher zu machen: Asset Management, Zero Trust, Sicherheitsprozesse, Sicherheit der Lieferkette und Krisenmanagement.
Asset Management wird selten gut gemacht, und es ist eine Herausforderung, es gut auszuführen. Da Systeme wachsen und sich weiterentwickeln, sind sie von einer zunehmenden Anzahl von Anlagen abhängig, die ordnungsgemäss überprüft, verfolgt und bei Bedarf ausser Betrieb genommen werden müssen. Leider werden diese Prozesse oft vernachlässigt, wodurch sensible Daten ungeschützt bleiben und Möglichkeiten für unbefugten Zugriff entstehen. Es reicht nicht aus, Standardanlagen zu verwalten. Unternehmen müssen auch scheinbar periphere Geräte wie Temperatursensoren in Rechenzentren oder automatische Klimaanlagen berücksichtigen.
Diese Geräte sind oft nicht mit Blick auf die Sicherheit entwickelt worden, benötigen aber dennoch Zugang zu kritischen Systemen, was sie zu potenziellen Schwachstellen macht.
Selbst ein umfassendes Asset Management kann ein System nicht schützen, wenn nicht die Grundsätze des „Zero Trust“ eingehalten werden. Social Engineering ist immer eine grosse Bedrohung, und wenn jemand Zugang zu einem Zugangspunkt erhält, kann er ungesicherte Ports ausnutzen, um auf sensible Daten zuzugreifen. Unternehmen müssen sicherstellen, dass der Zugang sowohl sorgfältig gewährt als auch umgehend wieder entzogen wird und dass alle Benutzer eindeutig identifiziert werden können, idealerweise durch Zwei-Faktor-Authentifizierung.
Sicherheitstechnologien können zwar wertvolle Einblicke in potenzielle Schwachstellen liefern, doch sind diese Tools wirkungslos, wenn keine geeigneten Prozesse und Kontrollen vorhanden sind. Kommunikation und Koordination zwischen den für die Sicherheit Verantwortlichen sind unerlässlich. Die Prozesse sollten so gestaltet sein, dass sie Sicherheit ermöglichen und gegen Umgehungen resistent sind.
Ähnliche Herausforderungen bestehen bei der Sicherheit der Lieferkette, insbesondere bei externen Anbietern. Die Einführung von Drittanbietern kann ungewollt Schwachstellen mit sich bringen. Um ein wirklich sicheres System zu gewährleisten, müssen die internen Sicherheitsteams in jeder Phase der Lieferkette einbezogen werden.
Die Verhinderung von Sicherheitsverstössen ist zwar von entscheidender Bedeutung, aber ein robuster Reaktionsplan ist ebenso wichtig. Ein wirksames Krisenmanagement erfordert einen gut durchdachten Plan zur Reaktion auf einen Zwischenfall, der aktiv getestet und aktualisiert wird. Dieser Plan sollte die Koordination mit externen Ressourcen wie der Polizei und ihren Cybercrime-Einheiten beinhalten und eine klare, proaktive Kommunikation mit den Mitarbeitern in den Vordergrund stellen. Wenn die Mitarbeiter informiert und einbezogen werden, kann eine Lähmung verhindert und die betriebliche Kontinuität während eines Vorfalls aufrechterhalten werden.
Am Ende seines Vortrags fasste Stefan Dydak drei wesentliche Grundsätze für die Cybersicherheit zusammen: grundlegende Cyberhygiene, Unterstützung von oben nach unten und ein risikobasierter Ansatz. Wenn Sie diese Grundsätze beherzigen, können Ihre Systeme ein deutlich höheres Sicherheitsniveau erreichen.