Fallbeispiel
Medizintechnik

DER AUFTRAG

Sichere und compliance-konforme Bereitstellung von Gesundheitsdaten in Deutschland, USA, Frankreich, Australien.

ÜBER DAS UNTERNEHMEN 

Der Kunde ist ein führender Anbieter von Produkten und Lösungen für die Augenheilkunde, die Neuro- und HNO-Chirurgie, die Zahnmedizin sowie die Onkologie. Für das durchgängige Management der Patientendaten von der Diagnose bis hin zum OP-Bericht bietet das Unternehmen eine medizinische Cloud-Plattform an.

12

Monate
Projektdauer

2-3

Mitarbeiter
kundenseitig

3-4

Mitarbeiter
direkt gruppe

2

zertifizierte
Produkte

3

Reifegrad
Anpassungen

6

eingeführte
Prozesse

DIE HERAUSFORDERUNG

800.000 Eingriffe pro Jahr allein in Deutschland – die Kataraktoperation ist die weltweit häufigste Operation überhaupt. Sie wird erforderlich, wenn die Augenlinse sich eintrübt oder ihre Brechkraft sich ändert. In diesem Fall spricht man vom „Grauen Star“ oder Katarakt. Bei der Katarakt-OP wird die natürliche Linse entfernt und durch eine künstliche Linse (Intra Okulare Linse, IOL) ersetzt.

Mit einer bestehenden Lösung können Ärzte während der Augenuntersuchung Messdaten erheben, die während der folgenden OP verwendet werden. Innerhalb einer Klinik oder einer größeren Praxis bleiben diese Daten dabei stets in einem abgeschlossenen Netzwerk. Immer häufiger kommt es jedoch zu der Situation, dass die biometrischen Daten des erkrankten Auges in der Praxis eines niedergelassenen Arztes erhoben werden, der die Operation anschließend als Belegarzt in einer Augenklinik oder ambulant in einem OP-Zentrum vornimmt.

Damit die Patientendaten sicher und entsprechend den rechtlichen Vorschriften immer dort zur Verfügung stehen, wo sie gebraucht werden, entwickelte das Projekt eine Cloud-Plattform. Die direkt gruppe unterstützte die Zertifizierung der Lösung nach ISO 27001 und führte Beratungen im architekturellen Bereich durch. Der Wechsel von einem medizinischen System zu einem (Cloud)-Dienstleister auf globaler Skala brachte zusätzliche Komplexität in das Projekt.

UNSER LÖSUNGSVORSCHLAG

Zur Sicherstellung einer dauerhaften regulatorischen und ISO 27001 Konformität wurde mit Unterstützung der direkt gruppe und mithilfe des eigenen standardisierten Vorgehensmodells „Compliance as a Service“ ein Informations-Sicherheitsmanagement System aufgebaut und zertifiziert.

Bei der Auswahl des Cloud Providers nutzte der Kunde das unternehmenseigene Verfahren, wobei die Auswahl zusätzlich durch die direkt gruppe bewertet und empfohlen wurde.

Für die Lösung entwickelte der  Auftraggeber (mit Unterstützung eines sorgfältig ausgewählten Softwareherstellers) eine mobile Anwendung auf Basis eigener streng regulierter Entwicklungsprozesse. Der Datentransferprozess sollte durch eine serverlose Cloud-Lösung von AWS ersetzt werden. Mit unserem Compliance as a Service (CaaS)-Ansatz haben wir die erforderlichen technischen und betrieblichen Maßnahmen (TOM) definiert und die Lösung mit ISO27001 zertifiziert.

Der Vorschlag bietet eine serverlose Lösung für den sicheren und konformen Datenaustausch zwischen einer lokalen Anwendung beim Kunden und einer iPad-App. Die App wird verwendet, um die Daten an das medizinische Gerät in einem Krankenhaus zu übertragen.

Architekturelle Beratung fand mit einem unserer AWS Professionals statt, sodass auch Anforderungen des Cloud Providers an eine „well architected“ Infrastruktur damit erfüllt wurden.

AWS ALS TEIL DER LÖSUNG

Der Kunde hat eine mobile Anwendung entwickelt, die der niedergelassene Arzt auf seinem eigenen mobilen Gerät installieren kann, um die zuvor erhobenen Messdaten für seine OP-Planung abzurufen und auf das OP-Gerät zu übertragen.

Die Anwendung nutzt für das beschriebene Vorgehen verschiedenste Services des Cloud-Anbieters AWS. Während der AWS Key Management Service für die lückenlose Verschlüsselung der Daten eingesetzt wird, dienen die Amazon DynamoDB und Amazon S3 Buckets der Sicherstellung der Verfügbarkeit und der konformen Ablage der Daten. Der Authentifizierungsprozess für die Datenübertragung wird durch den AWS Service Amazon Cognito sichergestellt.

Die Automatisierung und Codeausführung werden mit Lambda-Funktionen realisiert.

Für eine dauerhafte Informationssicherheit wurde ein ISMS aufgebaut und in die vorhandenen Unternehmensstrukturen integriert. Änderungen an der Anwendung oder der Infrastruktur werden über das Managementsystem gesteuert. Für die organisatorische Umsetzung der Informationssicherheit wurden neue Policies erstellt sowie Rollen und Prozesse definiert und implementiert.

ERZIELTE ERFOLGE DES PROJEKTS

Der Aufbau des ISMS konnte mit Hilfe des standardisierten Frameworks der direkt gruppe und dem Partner TÜV Trust IT sowie der vorhandenen Expertise beschleunigt werden. Im Audit beim Kunden hieß es „Man erlebt es selten, dass das ISMS bereits nach 12 Monaten so steht, dass man es leben kann. Die meisten Organisationen brauchen eher zwei Jahre und auch dann ist das System noch sehr lückenhaft“.

Eine besonders gute Entscheidung: Amazon Web Services als einen Partner zu wählen, der global agiert und seinerseits die Sicherheits- und Compliance-Anforderungen weltweit kennt und erfüllt. Dank der Serverless-Technologie von AWS nutzt und bezahlt der Auftraggeber nur die Kapazität, die tatsächlich benötigt wird. Ungenutzte Ressourcen werden automatisch heruntergefahren, die Daten gelöscht. So arbeitet die Lösung nicht nur kosteneffizient, sondern sie erfüllt auch grundlegende Forderungen nach Datensparsamkeit und Datenschutz.

Ein effizienter und zielgerichteter Auswahl- und Bewertungsprozess hat dabei geholfen, den richtigen Partner am Markt zu wählen. Durch die bestehende Partnerschaft zwischen der direkt gruppe und AWS entstand eine enge Zusammenarbeit mit dem Provider, der an der Lösung vom Kunden in dem hochregulierten Medizinproduktebereich besonderes Interesse und Unterstützung gezeigt hat.

Der Auftraggeber erreichte mit AWS und der direkt gruppe eine Validierung der technischen Machbarkeit und ein Rollout auf Pilotmärkte in Deutschland, Frankreich, USA und Australien.

Die gemeinsam entwickelte Architektur ist nachhaltig und bietet auch für weitere Anwendungsfälle eine langfristige Basis für Implementierungen.

Oder direkt von unseren Cloud-Experten: