这是一篇开放获取的文章,根据创作共用署名许可协议(https://creativecommons.org/licenses/by/4.0/)发布,该协议允许在任何媒体上不受限制地使用、分发和复制,前提是要正确引用最初发表在《医学互联网研究杂志》上的原始作品。必须包括完整的书目信息,//www.mybigtv.com/上的原始出版物链接,以及版权和许可信息。
分布式账本技术(DLT)在改善卫生信息交换方面具有巨大潜力。然而,该技术的不可变和透明特性可能与数据隐私法规和数据处理最佳实践相冲突。
本文的目的是开发一个符合通用数据保护法规(GDPR)的不可变、互操作的血糖数据交换的概念验证系统。
考虑到对于基于dld的患者-提供者数据交换解决方案没有理想的设计,我们为我们的概念验证系统提出了两种不同的变体。一种设计完全基于公共IOTA分布式账本(一种基于有向无环图的DLT),另一种设计使用相同的公共IOTA账本与私有星际文件系统(IPFS)集群相结合。根据(1)数据逆转风险,(2)数据链接风险,(3)处理时间,(4)文件大小兼容性,(5)整体系统复杂性,对两种设计进行了评估。
公共IOTA设计略微增加了个人数据链接的风险,总体处理时间较短(平均6.1秒,SD 1.9秒将一个血糖数据样本上传到DLT),实现相对简单。公共IOTA与私有IPFS集群的组合最小化了逆转和链接风险,允许大文件的交换(3个月的血糖数据上传到DLT的平均时间为38.1秒,SD为13.4秒),但涉及相对较高的设置复杂性。
对于本研究中探讨的血糖的特定用例,两种设计在实现患者和提供者之间数据的互操作交换方面都表现出了合适的性能。此外,两个系统的设计都考虑了个人数据处理的最新指南,从而最大限度地与最近的GDPR要求保持一致。对于未来的工作,这些结果表明,如果仔细考虑数据交换系统的用例和设计,可以解决DLT和数据隐私法规之间的冲突。
提供高质量的卫生保健需要有效和有效地交换病人数据[
分布式分类帐技术(DLT)是一种新型的数据库技术,其中数据库通过点对点网络以分布式方式连接,并由共识协议维护[
欧洲联盟最近制定了《一般数据保护条例》(GDPR),对收集、处理和保护个人数据,包括受保护的健康信息(PHI)进行了监管。这项新规例订明保护个人资料的方法,并界定与资料有关的人(即资料当事人)的主要权利:改正权、删除权、查阅权及与自动处理有关的权利。详情见欧洲联盟区块链天文台及论坛[
关于个人数据的匿名化,显然GDPR不适用于匿名数据,这类信息可以存储在DLT中。然而,什么才算匿名还不清楚。今天唯一的迹象是,通过任何“合理可能被使用”的手段来识别一个人,肯定是不可能不可逆转的。
在这一阶段,GDPR就如何处理个人数据提供的指导只是指需要最小化逆转风险(如逆转和重组原始数据的风险)和可链接性风险(如通过检查使用模式或上下文,或通过与其他信息片段的比较,将匿名数据与个人链接的风险)[
通过这种方式,考虑到最小化数据逆转风险和可链接性对于遵守现有数据隐私法规的重要性,本研究通过开发一个用于患者健康信息不可变、自动化和安全交换的概念验证系统,探索一个特定的DLT在支持健康信息交换方面的潜力。具体来说,我们关注的是患者和提供者之间的血糖(BG)数据交换,这不仅是因为全世界有大量患者受糖尿病影响,还因为患者和提供者之间的数据交流对于改善治疗管理的重要性。目前,患者通常手动跟踪自己的血糖水平,或依靠供应商的软件编制报告(
当前患者与医疗提供者交换连续血糖(BG)数据的典型步骤是:(1)将固定着BG传感器的胶粘剂贴片贴在患者皮肤上,昼夜测量间质液中的葡萄糖读数;(2)传感器将实时读数无线发送到接收器/智能设备应用程序,因此用户可以查看信息;(3)接收器或智能设备应用程序显示当前和历史葡萄糖水平,并允许打印和/或导出数据(如.txt文件);(4)患者与供方共同审阅纸质记录或导出文件。
我们的目标是开发一个概念验证系统,用于患者和提供者交换葡萄糖数据(
我们的系统由四个主要模块组成:(1)数据转换模块,将来自设备传感器的原始BG数据转换为FHIR标准记录;(2)数据处理模块,将生成的FHIR记录转换为可逆转和可链接风险最小的格式;(3)数据存储和日志记录模块,将转换后的FHIR记录上传到DLT;(4)密钥交换模块,允许为FHIR记录交换建立患者-提供者通信通道。
将DLT的数据实际集成到医生的电子病历中超出了本工作的范围,因为它依赖于电子病历系统和集成引擎。然而,在提议的设计中使用FHIR标准应该使这一过程相对简单。此外,我们假设在这个用例中,医生将以季度为周期从系统中提取数据,而不是连续的实时数据。这一抽样选择基于当前患者-提供者的工作流程和跨越多个卫生保健系统的指南(例如,在德国,糖尿病患者每季度与医生进行一次拜访,以审查和更新疾病管理计划)。
当患者脱机或出现网络连接问题时,数据缓存的问题也超出了这项工作的范围。通常,有两个点可以缓存数据:(1)在BG传感器和/或(2)在用于从传感器读取数据的移动设备上。然而,数据缓存实现的确切架构高度依赖于传感器和设备制造商。通常,这些制造商利用不同的库提供访问不同的安全存储解决方案(例如,三星Galaxy设备将是ARM的TrustZone)。
考虑到目前关于什么技术适合PHI匿名化的争论,并且由于目前没有患者-提供者数据交换的标准设计,我们为我们的概念证明系统提出了两种不同的变体。这两种变体都旨在遵守GDPR,并试图以各自的方式将逆转和链接的风险降至最低,各有利弊。这两种变体由相同的四个模块组成,但在某种意义上不同的是,一个完全基于名为IOTA的公共分布式账本,我们称之为“公共IOTA”,另一个则将IOTA公共分布式账本与另一个名为星际文件系统(IPFS)的私有分布式文件系统结合起来,我们称之为“公共IOTA +私有IPFS”。这两种变化的总结可以在
该模块与两种设计都相同,可将连续BG系统的原始数据转换为FHIR标准。HL7创建FHIR的目的是促进不同医疗保健系统之间的医疗保健相关数据的互操作交换,使医疗保健信息更容易在各种各样的设备上向提供者和个人提供,并允许第三方开发人员提供可以轻松集成到现有系统中的医疗应用程序[
基于分布式账本技术(DLT)的患者-提供者血糖(BG)数据交换的建议步骤:(1)将固定着BG传感器的胶粘剂贴片贴在患者皮肤上,昼夜测量间质液中的葡萄糖读数;(2)传感器将实时读数无线发送到智能设备应用程序,以便用户查看信息;(3)智能设备应用程序显示当前和历史葡萄糖水平,并连接到应用程序编程接口(API;“MAM-FHIR API”),允许这些数据导出到DLT;(4)如果患者同意,存储在DLT上的互操作数据可以自动导出到医生的电子健康记录中,以便对其进行检查。
用于患者-提供者交换血糖(BG)数据的概念验证系统,有两种变体:(1)公共IOTA和(2)公共IOTA加上私人IPFS(星际文件系统)。电子健康记录:电子健康记录;FHIR:快速医疗保健互操作性资源。
基于firir的记录是由一组称为“资源”的模块化组件构建的,这些组件具有标准的、一致的数据元素,在共享实体之间具有一致的含义。所有资源都共享一组公共特性,包括(1)资源标识和元数据,(2)人类可读的XHTML摘要,(3)标识资源的URL,以及(4)一组定义的数据元素(每种类型的资源都有不同的数据元素集)。
为了便于使用和标准化目的,我们使用了符合gatt标准的蓝牙连续葡萄糖监测系统(Dexcom G4 PLATINUM) [
FHIR记录包含PHI可能存在的字段,如患者姓名(如“John Doe”)、出生日期(如“1932年9月24日″”)或医疗记录号(如“123456″”)。为了在本系统设计中遵守GDPR,由于FHIR记录将存储在公共IOTA DLT上,因此执行了数据匿名化。通过这个模块,我们简单地从每个FHIR JSON文件中删除了所有现存的PHI项。为便于命名,我们将此处理过的数据称为
在这种设计中,所有FHIR记录都存储在私有分布式文件系统(IPFS)中,并将生成的哈希记录记录到公共IOTA DLT中。为了符合GDPR的要求,并尽量减少数据反转和可链接性的风险,我们在本模块中应用了一系列步骤的组合:(1)数据聚合,将多个FHIR JSON记录合并到一个单独的JSON文件中,(2)基于JavaScript Obfuscator的数据混淆,使用建议的适用于JSON文件的介质设置[
聚合步骤中使用的抽样基于之前为患者-提供者交互假设的每季度定期访问。然而,这个聚合窗口是一个变量,可以很容易地为不同的时间间隔(例如,实时、每日、每周)设置。为便于命名,我们将此处理过的数据称为
所示
为了共享、存储和检索加密数据,我们使用了IOTA的掩码身份验证消息传递(MAM)模块。该模块对消息进行加密(屏蔽),确认源来源(身份验证),并在Tangle上创建一个连续的消息流,直到源停止发布它(消息传递)。在MAM流中,每条消息保存(1)数据,(2)对仅沿一个方向(向前)流动的下一条消息的地址的引用,以及(3)证明发布者创建了该消息的签名。假设为每个通道(称为“根”)创建了惟一的id,只有那些获得授权的方才能读取和重构整个消息流。
为了批准通过MAM发送到Tangle的事务,基于工作量证明(PoW)算法的计算资源被用来寻找一个简单的密码谜题的答案。这些算法和底层的点对点协议使用的处理资源较少,这使得它们很适合小型设备(如传感器)[
为了测试通过MAM发送IOTA事务的性能,我们评估了创建和附加300个匿名FHIR记录所需的时间。选择300条消息是基于将我们系统的性能与之前的研究进行比较的意图[
消息是在本地硬件上创建的,而消息的附加是通过外部API执行的。为了在本地创建消息,我们使用了一个虚拟的c# Xamarin手机应用程序[
对于我们系统的第二次设计,我们包含了一个分布式文件存储系统(IPFS),以考虑两个关键的监管考虑:(1)关于何种匿名技术在法律上足以将PHI转换为匿名数据的不确定性;(2)最小化反转和链接风险。
IPFS是一种基于内容寻址超链接的点对点分布式文件系统。因此,它接受文件并基于它们的内容管理它们,使用通用的Merkle有向无环图存储它们并跟踪它们的版本。这些Merkle树或哈希树允许安全验证大型数据结构的内容,使用加密哈希函数将任意大小的数据映射到固定大小的数据(哈希)。
该技术的优点包括:(1)存储在IPFS上的数据不会自动分布在所有参与者之间,只在请求的情况下共享,(2)IPFS节点能够在请求的情况下在任何给定点删除特定的数据,(3)很容易证明输入是否会产生给定的哈希,但从哈希中派生输入非常困难[
在该设计中,包含多个独立FHIR记录的聚合JSON文件通过可写IPFS网关上传到私有IPFS集群中。该网络的每个参与者都是公开的,在数据主体不遵守数据删除请求的情况下,可以追究其责任。因此,这种私有设置允许指定网络中备份副本的数量,并允许定义自动规则,例如在病人请求的情况下何时删除数据。之前的一项研究提供了更多关于如何在IPFS集群上设置这些特定规则的细节[
区块链的顺序基于块的事务(左)和IOTA定向的基于无环图的事务(右)。
为了将IPFS事务链接到经过身份验证且不可删除的MAM事务,IPFS内容的散列然后通过使用前面描述的IOTA库的MAM流共享。为了简单起见,我们使用了带有Base58编码的SHA256-256哈希函数,这是IPFS的默认哈希函数。
该设置的性能从两部分进行了评估:(1)使用可写IPFS网关上传和生成聚合FHIR记录的散列所需的时间;(2)使用MAM将该散列发送到IOTA Tangle所需的时间。第二个测试也使用与前一个设计相同的设置重复了300次。
密钥交换模块允许建立患者-提供者通信通道,以交换FHIR记录。在这个密钥交换过程中,双方交换加密密钥,允许他们专门交换加密消息。本模块的设计依赖于数据记录和存储层;因此,在这个作品中也使用了两种变体。
在这种设计中,最初需要亲自或通过不同的非dlt方法交换私人数据(以保持GDPR的符合性)。我们假设最初是面对面的密钥交换,在第一次访问医生的办公室时,患者使用他们手机的近场通信(NFC)芯片(在医生拥有的与EHR相连的接收器上敲击)共享他或她的通道密钥。此密钥交换中包含的信息包括MAM根密钥和通道密钥(
亲自密钥交换的掩码身份验证消息传递(MAM)根密钥和通道密钥。
匿名JSON FHIR (JavaScript对象表示法快速医疗互操作性资源)记录存储在公共IOTA分类账上,其匿名ID由掩码身份验证消息传递(MAM)根的前64个字母组成。
通过公钥交换进行远程密钥交换的步骤。NTRU: n次截断多项式环单位。
在任何时候,患者都可以通过更新MAM通道的授权密钥来撤销对数据流的访问。如果多个医生可以访问同一个频道,应该继续访问的一方将通过附加的密钥交换过程获得新的频道密钥。
在这种设计中,密钥和个人数据的最初交换可以在第一次访问医生办公室时亲自进行,也可以通过公开密钥交换进行远程交换。虽然亲自交换密钥是最安全的选择,但在一些用例中,除非远程进行(例如,后续远程咨询或向研究人员提供数据访问),否则交换信息更方便或不可能。对于这种变体,我们使用了一个远程公钥交换系统,该系统假设患者和医生都将他们的联系信息(一个n次截断多项式环单元[NTRU]公钥上传到他们的公钥IOTA地址,以及到他们的请求地址的链接)发布到Tangle。
所示
我们评估了(1)数据处理模块的性能,(2)通过比较两种系统设计的数据存储和日志模块的性能,在DLT系统中发送和存储FHIR记录所需的时间,以及(3)远程密钥交换过程所需的时间。
对于公共IOTA设计,在匿名化步骤之后,包含一个BG FHIR记录的JSON文件的大小从2509字节减少到857字节。在公共IOTA +私有IPFS设计的聚合步骤中
用于存储和记录公共IOTA设计和公共IOTA上的快速医疗保健互操作性资源匿名记录的事务时间,以及私有星际文件系统(IPFS)设计和远程密钥交换时间。
| 设计和行动 | 试用 | 时间(ms),平均值(SD) | 时间(ms),范围 | 方差(女士2) | ||
|
|
|
|
|
|
||
|
|
创建 | 300 | 3525 (1182) | 2042 - 8100 | 1397997年 | |
|
|
附加 | 300 | 2545 (765) | 1357 - 8923 | 584728年 | |
|
|
|
|
|
|
||
|
|
创建 | 300 | 3636 (1371) | 2249 - 12673 | 18794477年 | |
|
|
附加 | 300 | 3522 (576) | 2161 - 5146 | 331554年 | |
|
|
|
|
|
|
|
|
|
|
|
发送请求 | 10 | 5160 (1801) | 3100 - 8500 | 3247111年 |
|
|
|
接受请求 | 10 | 5790 (1253) | 4000 - 8500 | 1572111年 |
接下来,我们研究了使用可写IPFS网关上传和生成聚合FHIR记录(93 MB)的散列所需的时间。这个文件的散列几乎是瞬间完成的;因此,所需的总时间完全取决于用户上传该文件的带宽速度。我们的上传速度平均为3 MB/s,这导致总上传时间约为31.0 (SD 8.5)秒。日志含义在IPFS网关上上传FHIR记录后,返回一个类似于QmP543pymsKVHUdMg YQzSRbG7HoDSrVajhVRfrbtvhnGAQ的46个字符格式的散列。使用MAM将这个散列发送到IOTA Tangle所需的平均时间表示在
使用这种公共IOTA +私有IPFS设计,共享聚合的四分之一葡萄糖数据所需的总时间平均为38.1 (SD 13.4)秒(上传:平均31.0,SD 8.5秒;create:平均3.6秒,SD 1.4秒;附着:平均3.5,SD 0.6秒)。
通过公共IOTA和私有IPFS设计中描述的远程设置
基于DLT的系统在帮助改善卫生信息交换方面具有巨大潜力。然而,它们的设计需要符合最新的法规(如GDPR),以将不适当的处理和/或存储的风险降至最低。在这项研究中,我们通过设计和开发一个考虑到重要监管因素的概念验证系统,评估了一种特定的DLT (IOTA)在BG数据交换方面的潜力。从用户的角度来看,这些系统还应满足令人满意的性能和可用性;因此,我们使用各种方法来测试我们设计的性能。
鉴于目前关于数据匿名化的开放问题,目前还不存在一个最佳的系统。因此,我们设计了两种变体。每种方法都有各自的优缺点,包括(1)数据反转风险,(2)数据链接风险,(3)处理时间,(4)文件大小兼容性,以及(5)整体系统复杂性。这一评估总结在
反转风险表示能够从匿名或修改过的数据重构原始数据的风险。在公开的IOTA设计中,考虑到上传到Tangle的FHIR记录删除了任何个人数据,这种风险是不适用的。对于公共IOTA加上私有IPFS设计,上传到Tangle中的散列是多个处理层(聚合、混淆和加密)的结果。在计算上,将这个散列逆向工程到原始文件是一项庞大的任务,因为它需要试验大量可能的输入组合,其大小从几个字节到数百tb不等。即使在未来,随着计算的自然进步,也很难想象有可能从一个46个字母的散列(即93 MB的模糊和加密数据)中提取数据。
总结提出的概念证明的两种变体的优缺点。
| 功能 | 公共极微小 | 公共IOTA +私人IPFS一个 |
| 逆转的风险 | N/Ab | 低 |
| Linkability风险 | 媒介 | 低 |
| 处理时间 | 低 | 低 |
| 文件大小的兼容性 | 小文件 | 任何文件大小 |
| 复杂性 | 低 | 媒介 |
一个IPFS:星际文件系统。
bN / A:不适用。
可链接性风险表示,通过检查使用模式或上下文,或通过与其他信息的比较,可能将匿名数据链接到个人的风险。在公开的IOTA设计中,通过跟踪数据上传到Tangle的频率,再读取实际BG水平,就有可能将这些信息与特定的个人联系起来。一种可能的解决方案是对原始BG级别进行加密。但是,在GDPR的影响下,任何加密算法在未来都是容易被逆转的[
对于公共IOTA加上私有IPFS设计,每个结果哈希都是唯一的,因此没有明显的方法来交叉分析数据,从而确定这些数据属于谁。
得到的消息事务时间与之前的研究一致[
硬件加速[
具体到公共IOTA +私有IPFS设计,由于哈希本身几乎是即时的,主要的限制因素是网络的上传速度。对于本设计,作为一般建议,我们建议仅在连接到快速WLAN网络时将大文件上传到IPFS网关。
最后,还需要注意的是,考虑到季度咨询的用例,对于供应商读取BG数据,公共IOTA设计将受益于将季度数据“预取”到供应商的EHR中。对于公共IOTA +私有IPFS设计,考虑到相对较低的读取时间(可根据要求获得),我们认为不需要预取。
在公共IOTA设计中,通过MAM创建和发送消息所需的时间完全取决于文件的大小。因此,使用这种设计可能不适合交换较大的文件。在公共IOTA +私有IPFS设计中,因为散列通常比初始数据小得多,而且可以用来识别数据本身,所以我们可以得出这样的结论:这种设计非常适合大文件的交换。
在总体设计复杂度方面,公共IOTA设计与公共IOTA +私有IPFS设计相比明显简化。特别是两个特性,使第二种设计更加复杂:(1)数据处理模块中涉及的多个步骤需要额外的处理,这可能导致更大的文件大小(例如,使用量子安全NTRU加密导致文件大小为821 MB)(2)私有IPFS集群的设置需要额外的实现工作。
本文选择的用例集中在患者和医生之间远程交换BG测量值,医生在会诊期间定期“读取”数据,以审查和更新糖尿病管理计划。然而,我们也相信,这两种设计都可以用于单个BG测量的连续流(即实时数据交换和监测),以及其他类型的远程健康数据交换(如Cohen等人提出的用例[
这一领域的相关工作分为两类:(1)使用区块链改善医疗保健数据访问和互操作性,(2)评估如何在考虑数据隐私条例的情况下使用区块链。
描述使用区块链解决互操作性障碍的首批作品之一是由MedRec团队撰写的[
这项工作确实提出了一个基于fhirr的提供者-提供者解决方案,尽管我们的工作为患者-提供者数据交换提出了一个补充的基于fhirr的解决方案。关于基于firir的互操作性的主题,Peterson等人[
与之前的研究相比,需要注意的是另外两篇文章将区块链定位为患者-提供者数据交换工具,而不是提供者-提供者数据交换工具。市川等人[
Zyskind等人此前曾描述过根据数据隐私法规使用区块链[
在这项工作中,我们通过提出两种设计来实现使用这种技术交换PHI,从而解决GDPR和DLT之间的一些紧张点。然而,未来的工作需要更详细地解决剩余的冲突点,例如如何在由多个医疗保健利益攸关方组成的公共DLT生态系统中确定数据控制者,或者如何收集和管理个人对处理医疗数据的明确同意。
同样重要的是要注意本研究中提出的设计的一些局限性。首先,使用患者手机的NFC芯片进行密钥交换目前是不现实的,因为这需要每个医生的办公室都有一个连接到设施的EHR的NFC阅读器。替代方法可以是面对面的密钥交换方法或安全的本地无线网络。其次,在我们的测试中,连续血糖监测设备每10分钟产生一个数据点,这意味着一天内大量的电池使用可能会创建所有的FHIR记录。对设备电池的实际影响可能构成一个需要进一步调查的重要限制。
最后,还需要指出的是,这项研究中的实验只在三星Galaxy S8上进行。使用该设备的CPU进行本地资源哈希计算;因此,可以预期,不同的移动设备将需要不同的时间来创建和附加FHIR资源。
基于dld的健康数据交换系统的设计需要仔细考虑各自的用例。在本文中,我们提出并开发了两种可能的设计,旨在符合最近的数据隐私法规,最大限度地减少不当数据处理的风险,并返回令人满意的性能和可用性。一种设计完全基于公共分布式账本IOTA,另一种设计使用IOTA加上私有IPFS集群。我们的研究结果表明,第一种设计实现起来更简单,但需要特别注意,以最小化个人数据链接的风险,而第二种设计允许交换更大的文件,但代价是更高的复杂性。
应用程序编程接口
血糖
分布式分类技术
电子健康记录
快速医疗保健互操作性资源
一般资料保障规例
星际文件系统
JavaScript对象表示法
蒙面的验证消息
近场通信
n次截断多项式环单位
受保护的健康信息
工作的证明
我们感谢IOTA基金会在制定这项工作的整个过程中提供的技术支持。
ASF、CZ、DH和SF得到了德国非盈利性组织IOTA基金会的支持,该基金会旨在支持探索使用IOTA DLT解决现实世界问题的计划。本论文的实际设计和起草没有提供经济补偿。NR是IOTA基金会的成员,持有包括IOTA在内的加密货币投资组合。这篇论文的设计和起草没有支付任何费用。