FHIR 中的访问权限控制

概览

FHIR 访问权限控制是一种全面的解决方案，用于管理对 FHIR 存储区中的医疗保健数据的访问权限。它提供精确的控制级别，包括哪些用户可以访问哪些资源，以及他们可以对这些资源执行哪些操作。FHIR 访问权限控制有助于确保医疗保健数据只能由已获授权的用户访问，并且其使用方式与数据所有者的意图一致。

FHIR 访问权限控制基于以下原则构建：

细化程度：提供对数据访问权限的精细控制。这使组织能够根据其特定需求定义访问权限政策。
灵活性：适应性变化，满足组织不断变化的需求。这使组织能够在数据治理要求不断发展的同时，使访问权限控制政策保持最新状态。
可伸缩性：提供了一种集成且精简的方法来管理最终用户同意。这样可以以最低开销为每项 EHR 操作提供内置访问权限机制。
合规性：符合 FHIR 规范。这可确保组织可以将 FHIR 访问权限控制用于任何兼容 FHIR 的系统。

FHIR 访问权限控制解决了各种各样的数据治理挑战，例如：

患者同意书：强制执行患者同意书，让他们可以使用其医疗保健数据。这样可以确保患者能够掌控其数据的使用方式。
数据共享：促进在组织之间共享医疗保健数据。这样可以改善护理的协调性，为研究提供支持。
法规遵从：帮助组织遵守与保护医疗保健数据相关的法规要求。

FHIR 访问权限控制有许多好处，包括：

提高数据安全性：确保只有获得授权的用户才能访问数据，从而提高医疗保健数据的安全性。
降低数据泄露风险：通过提供集中式数据访问管理机制，降低数据泄露的风险。
提高合规性：帮助组织遵守有关保护医疗保健数据的监管要求。
提高患者信任度：让患者能够控制其数据的使用方式，从而确保患者的信任。

授权机构

用户意见征求涉及以下四个主要机构：

管理员权限：建立意见征求授权框架。它们决定着谁可以表示同意、必须在意见征求协议中包含哪些信息，以及意见征求协议的执行方式。
授权方：同意访问数据的个人或组织（例如患者或管理员）。它们可以向受助人提供同意书，或者将同意授权委托给其他人。
系统权力：能够就受助人的身份、应用用例和环境做出权威断言。这可用于零信任架构，以验证被授权者是否有权访问数据。
授权方：获准访问数据的个人或组织，例如 EHR 的访问者。他们可以提供有关其角色、用途和环境的信息，帮助系统验证其身份和权限。

与其他形式的访问权限控制相比，权限分配、治理它们的规则以及作为与访问器的匹配政策一部分的数据元素评估是用户同意情况的唯一原因。

与其他访问权限控制系统进行比较

FHIR 访问权限控制允许精细的资源级访问权限控制，而 Identity and Access Management (IAM) 侧重于项目、数据集和商店级的权限。 SMART-on-FHIR 侧重于具有基本政策和请求属性的单一授权方用例。虽然 SMART-on-FHIR 提供了某种级别的粒度，但它受单个请求特性的限制，并且无法实现与 FHIR 访问权限控制级别相同的精细控制。下表列出了完整的比较。

功能	FHIR 访问权限控制	IAM	基于 FHIR 的 Smart-on	其他本地解决方案
多授权方启用	受支持	不支持	不支持	受支持
多请求属性	受支持	因固定属性而受到限制	不支持	受支持
动态精细的资源特性	受支持	不支持	受单个搜索查询限制	需要持续同步数据
全面重叠的政策	最多 200 项管理员政策 + 200 份同意书（每位患者）	最多 100 位	`O(10)`	以服务性能为边界
性能和可扩展性	受支持	不支持	受支持	不支持
内置 EHR 安全功能	受支持	不支持	受支持	不支持
并发权限更改	可能	可能	不支持	可能
政策管理和审核	受支持	不支持	不支持	受支持

多授权方启用：让管理员和患者在其边界内都能够表示同意 / 强制执行政策。
多请求属性：以一组抽象操作者、用途和环境属性的形式表示受助人，以便根据意见征求政策进行评估。
动态精细的资源属性：允许对各种数据元素（例如资源类型、数据源、数据标记）应用政策强制执行 / 征得用户同意。访问权限可通过数据更改实时更改。
全面重叠政策：可通过全面的访问权限确定规则对单个资源强制执行多项同意。
性能和可伸缩性：所有 EHR 的操作（例如，patient-$everything、搜索）都以极低的开销获得高性能。
内置 EHR 安全功能：支持所有 EHR 操作，无需额外配置或自定义。
并发权限更改：当权限发生更改时，现有已颁发的凭据（例如访问令牌）会受到新权限的约束。
政策管理和审核：允许管理员通过审核跟踪和审核数据访问来草拟和更新政策（例如，谁在哪种环境中尝试访问哪些数据以达到何种目的）。

FHIR 中的访问权限控制

概览

授权机构

与其他访问权限控制系统进行比较

后续步骤