Versions Compared

Version Old Version 1 New Version 2
Changes made by

Former user

Former user

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Een GBx moet bij aansluiting worden geregistreerd in het applicatieregister van de ZIM (zie subparagraaf 6.2. 5). Binnen dit register krijgt het systeem een status toegekend en wordt per interactietype vastgelegd of het systeem dit type interactie mag uitvoeren. Een GBx dat niet de status actief heeft en dat niet geregistreerd is voor het deelnemen aan de juiste interactietypen zal geen gegevens kunnen uitwisselen.

Het GBx zelf moet van de juiste servercertificaten worden voorzien, afkomstig van UZI-register of, in het geval van GBP, GBK en niet UZI-abonnee, PKIoverheid (zie paragraaf 6. 10). De gebruikers van een GBZ moeten beschikken over UZI-passen (voor inhoudelijke interacties UZI-passen op naam), voor het GBK moeten gebruikers beschikken over PKIO-passen. Voorafgaand aan de verstrekking van dergelijke passen worden controles uitgevoerd om vast te stellen of de gebruiker voor de pas in aanmerking in aanmerking komt. Passen kunnen centraal worden gedeactiveerd in geval van vermissing. Het gebruik van de pas vereist de kennis van een beveiligingscode.

Bij het uitwisselen van gegevens met de ZIM wordt de vertrouwelijkheid gegarandeerd doordat het GBx een beveiligde verbinding opbouwt op basis van TLS, waarbij het GBx en de ZIM wederzijdse authenticatie uitvoeren op basis van certificaten (zie subparagraaf 13.2.3).

Bij het uitwisselen van patiëntgegevens worden aan het GBZ onder meer eisen gesteld ten aanzien van (zie paragraaf 6.4):

  • het inloggen van de gebruiker met een vertrouwensmiddel;
  • het vastleggen van en controleren op de toestemming (opt-in) van de patiënt voor het beschikbaar maken van gegevens via AORTA;
  • het verifiëren van de identiteit en het burgerservicenummer Burgerservicenummer van de patiënt;
  • het vastleggen van de behandelrelatie tussen zorgverlener en patiënt;
  • het bijhouden van de autorisatieregels met betrekking tot mandaten.

Bij elke berichtuitwisseling tussen GBx en de ZIM geldt een vaste reeks van controles (zie ook 13.2):

  • de geldigheid van de berichtsyntax wordt gecontroleerd;
  • het applicatieregister wordt geraadpleegd om vast te stellen of het GBx de onderhavige interactie mag uitvoeren;
  • er vindt authenticatie plaats van de gebruiker op basis van het gebruikte vertrouwensmiddel;
  • de integriteit van een aantal kerngegevens in het bericht wordt gecontroleerd (deze is geborgd door versleuteling van deze gegevens in het authenticatietoken);
  • er wordt gecontroleerd of de gebruiker voldoet aan de voorwaarden in het autorisatieprotocol; dit houdt onder meer in dat de toegang tot specifieke gegevenssoorten en bouwstenen is voorbehouden aan zorgverleners met de juiste beroepscode.

...