Content Comparison

Privacy by  design & Zero Trust (never trust, always verify)

Rationale

Er wordt gewerkt conform de gebruikelijke principes van privacy en security by design. O.A:

Privacy

• Proactive not reactive – hier gaat om maatregelen om te voorkomen dat de privacy van mensen wordt geschonden.
• Privacy as the default setting – individuen hoeven geen actie te ondernemen om hun privacy te beschermen, privacy is ingebouwd in de software.
• Privacy embedded into design – privacy wordt een essentieel deel van de kernfunctionaliteiten. 
• Full functionality – valse tegenstelling zoals security vs. privacy of functionaliteit vs privacy vermijden. 
• Transparantie & recht op informatie –  De applicaties waar een organisatie gebruik van maakt moet conform zijn aan het niveau van privacy en security dat door de organisatie wordt gehanteerd. 
•  Respect for User Privacy – de privacy van het individu is overal in het ontwerp van de software op de voorgrond aanwezig.
• End-to-end encryption
• Autorisaties tot gegevensverzamelingen worden nauwlettend volgens de geldende privacy normen ingesteld.

Beveiligingsprincipes

• Minimaliseer het aanvalsoppervlak
• Stel veilige standaardwaarden vast
• Principe van het minste voorrecht
• Verdedigingsprincipe
• Veilig falen
• Vertrouw geen services Scheiding van taken
• Vermijd beveiliging door onduidelijkheid
• Houd beveiliging eenvoudig
• Beveiligingsproblemen correct oplossen

Zero Trust

• Devices mogen standaard niet worden vertrouwd, zelfs als ze zijn verbonden met een geautoriseerd netwerk zoals een bedrijfs-LAN en zelfs als ze eerder zijn geverifieerd
• Continue verificatie. Controleer altijd de toegang tot alle bronnen.
• Minimaliseer de impact als er een externe of interne inbreuk plaatsvindt.
• Automatiseer het verzamelen en reageren van context. Neem gedragsgegevens op en haal context uit de hele IT-stack (identiteit, eindpunt, werklast, enz.) voor de meest nauwkeurige reactie

De (zorg)informatiesystemen kunnen eenvoudig aansluiten op basis van gezamenlijk vastgestelde open standaarden en koppelvlakken. Er worden (nationale extensies van) internationale standaarden gebruikt. Data wordt onafhankelijk van applicaties opgeslagen en beheerd, met procesondersteuning gebaseerd op bij voorkeur (wettelijk) verplicht gestelde open standaarden. 

In een gelijkwaardig speelveld met open interfaces (eventueel op basis van open source) kunnen verschillende ICT-leveranciers en data-organisaties (versneld) diensten ontwikkelen, waardoor de belangen van betrokken partijen goed tot hun recht komen. Voor aangesloten partijen zijn alle mogelijkheden aanwezig om zelfstandig te innoveren en beschikbare kennis, expertise en technologieën te benutten. De markt kan haar werk doen; 

Stelsel en voorzieningen leggen alleen eisen op die noodzakelijk zijn voor veilige uitwisseling van gegevens op basis van gezamenlijk vastgestelde open standaarden,  

Zorgverleners werken met diverse zorginformatiesystemen die zij afnemen van verschillende marktpartijen. Stelsels zijn bedoeld om de uitwisseling van patiëntgegevens tussen deze systemen te faciliteren met behoud van marktwerking. Daarom moeten eisen aan de systemen waartussen gegevens worden uitgewisseld zoveel mogelijk worden beperkt tot het strikt noodzakelijke en gebaseerd op internationale standaarden om te komen tot: 

gestandaardiseerde uitwisseling van gegevens; 

adequate beveiliging van de uitwisselingsinfrastructuur als geheel; 

functioneren van de uitwisselingsinfrastructuur als geheel, bijvoorbeeld wat betreft beschikbaarheid. 

De (zorg)informatiesystemen kunnen eenvoudig aansluiten op basis van gezamenlijk vastgestelde open standaarden en koppelvlakken. Er worden (nationale extensies van) internationale standaarden gebruikt. Data wordt onafhankelijk van applicaties opgeslagen en beheerd, met procesondersteuning gebaseerd op bij voorkeur (wettelijk) verplicht gestelde open standaarden. 

In een gelijkwaardig speelveld met open interfaces (eventueel op basis van open source) kunnen verschillende ICT-leveranciers en data-organisaties (versneld) diensten ontwikkelen, waardoor de belangen van betrokken partijen goed tot hun recht komen. Voor aangesloten partijen zijn alle mogelijkheden aanwezig om zelfstandig te innoveren en beschikbare kennis, expertise en technologieën te benutten. De markt kan haar werk doen; 

Semantische vertalingen vallen onder de MDR (Medical Device Regulation) verordening, technische transformaties niet. VZVZ voert daarom geen semantische vertalingen uit.

Technische transformaties zijn iets anders dan semantische transformatie. Er kan pas worden gesproken van semantische transformatie als de betekenis van de gegevens bij het interpreteren door een gebruiker (zorgverlener) anders is geworden door een uitgevoerde transformatie. Technische transformaties dienen het doel om gegevensuitwisseling mogelijk te maken tussen systemen die verschillende (versies van) standaarden hanteren. Bij een technische transformatie wordt de semantiek van de informatie niet geraakt.

Er moet dus anders worden omgegaan met  semantische transformaties dan met technsiche technische transformaties. Dit volgt uit o.a. Europese richtlijnen.

Uit Qualification and classification of software - Regulation (EU) 2017/745 and Regulation (EU) 2017/746 m.b.t. de MDR volgt dat: 

De software medische informatie moet creëren of modificeren met een medisch doel anders dan de representatie van data aanpassen voor compatibiliteitsdoeleinden om de MDR van toepassing te kunnen verklaren.

Software voor zoeken (dossier ophalen via match op metadata) en/of het ophalen/vragen van informatie niet onder de MDR verordening valt.

Zie ook de NEN-7503-2022 m.b.t. MDR

Technische transformaties om de gegevensuitwisseling tot stand te brengen kennen een ander kader dan semantische transformaties, dat heeft gevolgen voor de technische omgang met die gegevens.

Er is een tussenvorm waarin er door een technische vertaling informatie wegvalt doordat de standaard waar naar omgezet wordt geen ruimte biedt waarin die gegevens (al dan niet één-op-één) kunnen worden overgenomen. Daar moeten we zorgvuldig mee omgaan.

Semantische en technische interoperabiliteit wordt in het informatiestelsel gerealiseerd door te kiezen voor open internationale standaarden. Iedere deelnemer aan het stelsel moet voldoen aan de standaarden die zijn afgesproken

AP14 Een gemeenschappelijk vocabulaire: “onze gegevens zijn uitwisselbaar met een gemeenschappelijk vocabulaire zodat we elkaar kunnen begrijpen”.

AP20 Taal los van transport: “we maken onderscheid tussen taal en transport en koppelen dat los van elkaar”.