Versions Compared

Version Old Version 43 New Version 44
Changes made by

Former user

Former user

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Warning
titleSTATUS

TER  BESLUITVORMING ARCHITECTUURBOARD  

...

IDVZVZ.GEN.P150

ToepassingsgebiedGeneriek 
Stelling

Privacy by  design & Zero Trust (never trust, always verify)

Beschrijving

Rationale

Er wordt gewerkt conform de gebruikelijke principes van privacy en security by design. O.A:

Privacy

  • Proactive not reactive – hier gaat om maatregelen om te voorkomen dat de privacy van mensen wordt geschonden.
  • Privacy as the default setting – individuen hoeven geen actie te ondernemen om hun privacy te beschermen, privacy is ingebouwd in de software.
  • Privacy embedded into design – privacy wordt een essentieel deel van de kernfunctionaliteiten. 
  • Full functionality – valse tegenstelling zoals security vs. privacy of functionaliteit vs privacy vermijden. 
  • Transparantie & recht op informatie –  De applicaties waar een organisatie gebruik van maakt moet conform zijn aan het niveau van privacy en security dat door de organisatie wordt gehanteerd. 
  •  Respect for User Privacy – de privacy van het individu is overal in het ontwerp van de software op de voorgrond aanwezig.
  • End-to-end encryption
  • Autorisaties tot gegevensverzamelingen worden nauwlettend volgens de geldende privacy normen ingesteld.


Beveiligingsprincipes

  • Minimaliseer het aanvalsoppervlak
  • Stel veilige standaardwaarden vast
  • Principe van het minste voorrecht
  • Verdedigingsprincipe
  • Veilig falen
  • Vertrouw geen services Scheiding van taken
  • Vermijd beveiliging door onduidelijkheid
  • Houd beveiliging eenvoudig
  • Beveiligingsproblemen correct oplossen


Zero Trust

  • Devices mogen standaard niet worden vertrouwd, zelfs als ze zijn verbonden met een geautoriseerd netwerk zoals een bedrijfs-LAN en zelfs als ze eerder zijn geverifieerd
  • Continue verificatie. Controleer altijd de toegang tot alle bronnen.
  • Minimaliseer de impact als er een externe of interne inbreuk plaatsvindt.
  • Automatiseer het verzamelen en reageren van context. Neem gedragsgegevens op en haal context uit de hele IT-stack (identiteit, eindpunt, werklast, enz.) voor de meest nauwkeurige reactie
Implicaties


Mapping VZVZ Manifest
Mapping DIZRAHet informatiestelsel hanteert een gelijk speelveld voor alle leveranciers. Afspraken worden gemaakt over het gebruik van standaarden, niet over het gebruik van een product of dienst. Iedere organisatie kiest haar eigen leveranciers voor het implementeren van de standaarden.  
Mapping Visie samenhang

De (zorg)informatiesystemen kunnen eenvoudig aansluiten op basis van gezamenlijk vastgestelde open standaarden en koppelvlakken. Er worden (nationale extensies van) internationale standaarden gebruikt. Data wordt onafhankelijk van applicaties opgeslagen en beheerd, met procesondersteuning gebaseerd op bij voorkeur (wettelijk) verplicht gestelde open standaarden. 

In een gelijkwaardig speelveld met open interfaces (eventueel op basis van open source) kunnen verschillende ICT-leveranciers en data-organisaties (versneld) diensten ontwikkelen, waardoor de belangen van betrokken partijen goed tot hun recht komen. Voor aangesloten partijen zijn alle mogelijkheden aanwezig om zelfstandig te innoveren en beschikbare kennis, expertise en technologieën te benutten. De markt kan haar werk doen; 

Mapping AORTA oudAORTA.ALG.p1010: aan aangesloten zorgsystemen worden uitsluitend eisen gesteld dienoodzakelijk zijn voor veilige gestandaardiseerde uitwisseling van gegevens. 



...

IDVZVZ.GEN.P160

ToepassingsgebiedGeneriek 
Stelling

Stelsel en voorzieningen leggen alleen eisen op die noodzakelijk zijn voor veilige uitwisseling van gegevens op basis van gezamenlijk vastgestelde open standaarden,  

Beschrijving
Rationale

Zorgverleners werken met diverse zorginformatiesystemen die zij afnemen van verschillende marktpartijen. Stelsels zijn bedoeld om de uitwisseling van patiëntgegevens tussen deze systemen te faciliteren met behoud van marktwerking. Daarom moeten eisen aan de systemen waartussen gegevens worden uitgewisseld zoveel mogelijk worden beperkt tot het strikt noodzakelijke en gebaseerd op internationale standaarden om te komen tot: 

 

gestandaardiseerde uitwisseling van gegevens; 

adequate beveiliging van de uitwisselingsinfrastructuur als geheel; 

functioneren van de uitwisselingsinfrastructuur als geheel, bijvoorbeeld wat betreft beschikbaarheid. 

 

Implicaties


Mapping VZVZ Manifest
Mapping DIZRAHet informatiestelsel hanteert een gelijk speelveld voor alle leveranciers. Afspraken worden gemaakt over het gebruik van standaarden, niet over het gebruik van een product of dienst. Iedere organisatie kiest haar eigen leveranciers voor het implementeren van de standaarden.  
Mapping Visie samenhang

De (zorg)informatiesystemen kunnen eenvoudig aansluiten op basis van gezamenlijk vastgestelde open standaarden en koppelvlakken. Er worden (nationale extensies van) internationale standaarden gebruikt. Data wordt onafhankelijk van applicaties opgeslagen en beheerd, met procesondersteuning gebaseerd op bij voorkeur (wettelijk) verplicht gestelde open standaarden. 

In een gelijkwaardig speelveld met open interfaces (eventueel op basis van open source) kunnen verschillende ICT-leveranciers en data-organisaties (versneld) diensten ontwikkelen, waardoor de belangen van betrokken partijen goed tot hun recht komen. Voor aangesloten partijen zijn alle mogelijkheden aanwezig om zelfstandig te innoveren en beschikbare kennis, expertise en technologieën te benutten. De markt kan haar werk doen; 

Mapping AORTA oudAORTA.ALG.p1010: aan aangesloten zorgsystemen worden uitsluitend eisen gesteld dienoodzakelijk zijn voor veilige gestandaardiseerde uitwisseling van gegevens. 




IDVZVZ.GEN.P170
ToepassingsgebiedGeneriek
Stelling

Gebruikers (of hun vertegenwoordigers) zijn middels de governance medeverantwoordelijk voor het beheer en de doorontwikkeling van de voorzieningen

Beschrijving
Rationaleom besluiten te nemen voor ontwikkeling en beheer
Implicaties Beheerspartijen en leveranciers van de in de gegevensuitwisseling betrokken informatiesystemen werken proactief samen om beheersproblemen te voorkomen en lossen de problemen primair onderling op maar kunnen problemen escaleren naar een regie-voerende partij.


Mapping VZVZ Manifest

5 Samen

Mapping DIZRA

In het informatiestelsel wordt federatief samengewerkt aan afspraken voor data en voor diensten. Iedereen implementeert deze afspraken en is aanspreekbaar op het nakomen van de afspraken en de kwaliteit van de implementatie.

 AP4 Federatief: “we ontwikkelen en beheren het informatiestelsel gezamenlijk”.

Mapping Visie samenhang

Gebruikers (of hun vertegenwoordigers) zijn middels de governance medeverantwoordelijk voor de doorontwikkeling van de voorzieningen ; 

Mapping AORTA oudN.A.



IDVZVZ.GEN.P180
ToepassingsgebiedGeneriek
Stelling

Open speelveld en keuzevrijheid 

BeschrijvingAfspraken worden gemaakt over het gebruik van standaarden, niet over het gebruik van een product of dienst. Iedere organisatie kiest haar eigen leveranciers voor het implementeren van de standaarden.
Rationale
Implicaties


Mapping VZVZ Manifest

8 Keuzevrijheid

Mapping DIZRA

Het informatiestelsel hanteert een gelijk speelveld voor alle leveranciers. Afspraken worden gemaakt over het gebruik van standaarden, niet over het gebruik van een product of dienst. Iedere organisatie kiest haar eigen leveranciers voor het implementeren van de standaarden

Mapping Visie samenhang

In een gelijkwaardig speelveld met open interfaces (eventueel op basis van open source) kunnen verschillende ICT-leveranciers en data-organisaties (versneld) diensten ontwikkelen, waardoor de belangen van betrokken partijen goed tot hun recht komen.

Voor aangesloten partijen zijn alle mogelijkheden aanwezig om zelfstandig te innoveren en beschikbare kennis, expertise en technologieën te benutten. De markt kan haar werk doen;

Mapping AORTA oudN.A.



IDVZVZ.GEN.P190
ToepassingsgebiedGeneriek
Stelling

Semantische vertalingen vallen onder de MDR (Medical Device Regulation) verordening, technische transformaties niet. VZVZ voert daarom geen semantische vertalingen uit.

Beschrijving

Technische transformaties zijn iets anders dan semantische transformatie. Er kan pas worden gesproken van semantische transformatie als de betekenis van de gegevens bij het interpreteren door een gebruiker (zorgverlener) anders is geworden door een uitgevoerde transformatie. Technische transformaties dienen het doel om gegevensuitwisseling mogelijk te maken tussen systemen die verschillende (versies van) standaarden hanteren. Bij een technische transformatie wordt de semantiek van de informatie niet geraakt.

Er moet dus anders worden omgegaan met  semantische transformaties dan met technische transformaties. Dit volgt uit o.a. Europese richtlijnen.

Uit Qualification and classification of software - Regulation (EU) 2017/745 and Regulation (EU) 2017/746 m.b.t. de MDR volgt dat: 

De software medische informatie moet creëren of modificeren met een medisch doel anders dan de representatie van data aanpassen voor compatibiliteitsdoeleinden om de MDR van toepassing te kunnen verklaren.

Software voor zoeken (dossier ophalen via match op metadata) en/of het ophalen/vragen van informatie niet onder de MDR verordening valt.


Zie ook de NEN-7503-2022 m.b.t. MDR

RationaleSemantische transformaties kunnen de betekenis bij interpretatie door de gebruiker van de opgevraagde gegevens veranderen. Bij technische transformatie verandert de betekenis van de opgevraagde gegevens niet.
Implicaties

Technische transformaties om de gegevensuitwisseling tot stand te brengen kennen een ander kader dan semantische transformaties, dat heeft gevolgen voor de technische omgang met die gegevens.

Er is een tussenvorm waarin er door een technische vertaling informatie wegvalt doordat de standaard waar naar omgezet wordt geen ruimte biedt waarin die gegevens (al dan niet één-op-één) kunnen worden overgenomen. Daar moeten we zorgvuldig mee omgaan.




Mapping VZVZ ManifestN.A.
Mapping DIZRA

Semantische en technische interoperabiliteit wordt in het informatiestelsel gerealiseerd door te kiezen voor open internationale standaarden. Iedere deelnemer aan het stelsel moet voldoen aan de standaarden die zijn afgesproken

AP14 Een gemeenschappelijk vocabulaire: “onze gegevens zijn uitwisselbaar met een gemeenschappelijk vocabulaire zodat we elkaar kunnen begrijpen”.

AP20 Taal los van transport: “we maken onderscheid tussen taal en transport en koppelen dat los van elkaar”.

Mapping Visie samenhangN.A.
Mapping AORTA oudN.A.





IDVZVZ.GEN.P200
ToepassingsgebiedGeneriek
Stelling

Beheerpartijen van de in de gegevensuitwisseling betrokken informatiesystemen maken afspraken over de beschikbaarheid.

BeschrijvingProblemen in de gegevensuitwisseling ontstaan vaak doordat een informatiesysteem van een dossierhouder (bronsysteem) niet geraadpleegd kan worden. Dit kan zijn omdat het systeem overbelast is of omdat er een servercertificaat is verlopen. Omdat er in keteninformatisering meerdere raadplegende zorgaanbieders afhankelijk zijn van het beschikbaar zijn van gegevens die zijn ondergebracht bij de informatiesystemen van een dossierhoudende zorgaanbieder moeten er afspraken worden gemaakt over de beschikbaarheid. De verantwoordelijkheid van het beschikbaar zijn van een systeem ligt bij de beheerpartijen van de in de gegevensuitwisseling betrokken informatiesystemen. Zij zullen conform NEN-7512 afspraken moeten maken over de beschikbaarheid van de systemen en maatregelen moeten treffen die de beschikbaarheidsrisico's mitigeren.
RationaleAls er geen afspraken worden gemaakt over de beschikbaarheid van systemen betrokken in de gegevensuitwisseling dan ontstaan er discrepanties in het beschikbaar zijn van (medische)gegevens die nodig zijn in het zorgproces. Hierom moeten er uniforme afspraken worden gemaakt over de definitie van het begrip beschikbaarheid (is dat bijvoorbeeld  een percentage met of zonder geplande downtime) en over de omgang met beschikbaarheid (per component, per gegevensdienst, prioritering in verkeersstromen, functionele beschikbaarheid versus technische beschikbaarheid etc.).
Implicaties


Mapping VZVZ Manifest
Mapping DIZRA
Mapping Visie samenhang
Mapping AORTA oud



AORTA Principes


IDVZVZ.AORTA.P1000
ToepassingsgebiedAORTA
Stelling

Het is voor de burger transparant welke gegevens door wie en met wie zijn uitgewisseld.

BeschrijvingBurgers hebben inzicht in welke gegevens worden en zijn uitgewisseld en met en door wie
Rationale
Implicaties


Mapping VZVZ Manifest

9 Transparant

Mapping DIZRA

In het informatiestelsel hebben burgers regie op hun eigen gezondheidsdata en kunnen deze data meenemen en delen in hun reis door het zorglandschap en in het netwerk van zorgverleners en ondersteuners dat zich rondom hen vormt.

AP12 Regie over gegevens: “we stellen patiënten, cliënten en burgers in staat om controle en regie te nemen over hun gegevens”

Mapping Visie samenhang

Informatie (zorginhoudelijk, administratief, kwaliteit en proces) is binnen wettelijke kaders beschikbaar voor alle betrokkenen en wordt daarmee zorgbreed (her)gebruikt;

Mapping AORTA oud

AORTA.ALG.p1050: patiënten hebben via AORTA toegang tot hun eigen gegevens.

AORTA.ALG.p1060: toegang tot patiëntgegevens wordt vastgelegd en is hierdoor traceerbaar.




...