Content Comparison

Leveren van meerwaarde voor de persoon 

De systemen en voorzieningen die geleverd worden moeten een meerwaarde leveren ten aanzien van informatievoorziening aan de persoon (zorgverlener en client/patiënt). Eisen die  worden gesteld ondersteunen dat doel. Bij het maken van (architectuur)keuzes dient het VZVZ manifest als morele leidraad.

Voor het leveren van meerwaarde t.b.v. het verlenen van goede zorg is het nodig dat: 

• Er wordt voorzien in de informatiebehoefte van de zorgverlener omdat de zorgverlener hierdoor in staat wordt gesteld om betere beslissingen te nemen in het behandeltraject van de patiënt.  
• Het tijdig mogelijk maken van nieuwe gegevensuitwisselingen ter ondersteuning van die informatiebehoefte biedt een belangrijke meerwaarde voor zowel client/patiënt als zorgverlener.  

• Het leveren van meerwaarde vergt architectuurdenken dat nieuwe gegevensuitwisselingen tussen verschillende infrastructuren mogelijk maakt. 
• Het koppelen van verschillende vertrouwensdomeinen moet mogelijk gemaakt worden. Nieuwe gegevensuitwisselingen tussen systemen die al met elkaar communiceren binnen een bestaand vertrouwensdomein zijn vaak sneller te realiseren dan gegevensuitwisselingen die moeten worden opgezet tussen verschillende vertrouwensdomeinen.
• Meerwaarde tijdig leveren vergt architectuur denken in korte en lange termijn doelstellingen. 

• 1 Persoon op één
• 2 Zorg-centrisch
• 3 Waarde gedreven

• In het informatiestelsel hebben burgers regie op hun eigen gezondheidsdata en kunnen deze data meenemen en delen in hun reis door het zorglandschap en in het netwerk van zorgverleners en ondersteuners dat zich rondom hen vormt.
• BP1 Mensgericht: “bij het verstrekken van gegevens over mij, aan mij, houden dienstverleners rekening met mijn wensen en kunnen.”.
• AP1 Vanuit een gebruiksdoel: “onze bouwstenen zijn ontwikkeld vanuit de eindgebruikers van het informatiestelsel en zijn of haar gebruiksdoelen”.

Een stelsel of voorziening bevat een vertrouwensmodel

Een stelsel of voorziening beschrijft hoe het vertrouwen tussen de deelnemers is geregeld met betrekking tot de aspecten:

• Identificatie
• Authenticatie
• Toestemming
• Logging
• Transparantie
• Beheer
• Beveiliging
• Beschikbaarheid

• 10. Veilig

• In het informatiestelsel wordt federatief samengewerkt aan afspraken voor data en voor diensten. Iedereen implementeert deze afspraken en is aanspreekbaar op het nakomen van de afspraken en de kwaliteit van de implementatie. 

• Dankzij afspraken, waaronder een gezamenlijk vertrouwensmodel, ontstaat een basis voor interoperabiliteit tussen de verschillende zorginfrastructuren;

Privacy by  design & Zero Trust (never trust, always verify)

Rationale

Er wordt gewerkt conform de gebruikelijke principes van privacy en security by design. O.A:

Privacy

• Proactive not reactive – hier gaat om maatregelen om te voorkomen dat de privacy van mensen wordt geschonden.
• Privacy as the default setting – individuen hoeven geen actie te ondernemen om hun privacy te beschermen, privacy is ingebouwd in de software.
• Privacy embedded into design – privacy wordt een essentieel deel van de kernfunctionaliteiten. 
• Full functionality – valse tegenstelling zoals security vs. privacy of functionaliteit vs privacy vermijden. 
• Transparantie & recht op informatie –  De applicaties waar een organisatie gebruik van maakt moet conform zijn aan het niveau van privacy en security dat door de organisatie wordt gehanteerd. 
•  Respect for User Privacy – de privacy van het individu is overal in het ontwerp van de software op de voorgrond aanwezig.
• End-to-end encryption
• Autorisaties tot gegevensverzamelingen worden nauwlettend volgens de geldende privacy normen ingesteld.

Beveiligingsprincipes

• Minimaliseer het aanvalsoppervlak
• Stel veilige standaardwaarden vast
• Principe van het minste voorrecht
• Verdedigingsprincipe
• Veilig falen
• Vertrouw geen services Scheiding van taken
• Vermijd beveiliging door onduidelijkheid
• Houd beveiliging eenvoudig
• Beveiligingsproblemen correct oplossen

Zero Trust

• Devices mogen standaard niet worden vertrouwd, zelfs als ze zijn verbonden met een geautoriseerd netwerk zoals een bedrijfs-LAN en zelfs als ze eerder zijn geverifieerd
• Continue verificatie. Controleer altijd de toegang tot alle bronnen.
• Minimaliseer de impact als er een externe of interne inbreuk plaatsvindt.
• Automatiseer het verzamelen en reageren van context. Neem gedragsgegevens op en haal context uit de hele IT-stack (identiteit, eindpunt, werklast, enz.) voor de meest nauwkeurige reactie

• 10. Veilig

• BP4 Vertrouwen: “ik kan er op vertrouwen dat mijn gegevens de juiste zorg krijgen”.
• AP7 Verantwoord gebruik: “we dragen zorg voor de bescherming van persoonsgegevens”.

• Er wordt gewerkt conform de principes van privacy en security by design, autorisaties tot gegevensverzamelingen worden nauwlettend volgens de geldende privacy normen ingesteld.

Stelsel en voorzieningen leggen alleen eisen op die noodzakelijk zijn voor veilige uitwisseling van gegevens op basis van gezamenlijk vastgestelde open standaarden,  

Zorgverleners werken met diverse zorginformatiesystemen die zij afnemen van verschillende marktpartijen. Stelsels zijn bedoeld om de uitwisseling van patiëntgegevens tussen deze systemen te faciliteren met behoud van marktwerking. Daarom moeten eisen aan de systemen waartussen gegevens worden uitgewisseld zoveel mogelijk worden beperkt tot het strikt noodzakelijke en gebaseerd op internationale standaarden om te komen tot: 

 gestandaardiseerde uitwisseling van gegevens; 

• adequate beveiliging van de uitwisselingsinfrastructuur als geheel; 
• functioneren van de uitwisselingsinfrastructuur als geheel, bijvoorbeeld wat betreft beschikbaarheid. 

• 7 Op alle lagen

• Het informatiestelsel hanteert een gelijk speelveld voor alle leveranciers. Afspraken worden gemaakt over het gebruik van standaarden, niet over het gebruik van een product of dienst. Iedere organisatie kiest haar eigen leveranciers voor het implementeren van de standaarden.  
• Semantische en technische interoperabiliteit wordt in het informatiestelsel gerealiseerd door te kiezen voor open internationale standaarden. Iedere deelnemer aan het stelsel moet voldoen aan de standaarden die zijn afgesproken.
• AP21 Internationale standaarden: “we maken gebruik van open standaarden, internationaal boven nationaal”.

De (zorg)informatiesystemen kunnen eenvoudig aansluiten op basis van gezamenlijk vastgestelde open standaarden en koppelvlakken. Er worden (nationale extensies van) internationale standaarden gebruikt. Data wordt onafhankelijk van applicaties opgeslagen en beheerd, met procesondersteuning gebaseerd op bij voorkeur (wettelijk) verplicht gestelde open standaarden. 

In een gelijkwaardig speelveld met open interfaces (eventueel op basis van open source) kunnen verschillende ICT-leveranciers en data-organisaties (versneld) diensten ontwikkelen, waardoor de belangen van betrokken partijen goed tot hun recht komen. Voor aangesloten partijen zijn alle mogelijkheden aanwezig om zelfstandig te innoveren en beschikbare kennis, expertise en technologieën te benutten. De markt kan haar werk doen; 

• Er wordt gebruik gemaakt van (nationale extensies van) internationale standaarden;