Skip to end of banner
Go to start of banner

RFC0030 Voorbereiding op machtigen

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 8 Next »

Samenvatting

Waarom is deze RFC nodig?

In het MedMij Afsprakenstelsel speelt de Persoon-rol nu tegelijk de rol van gebruiker van de PGO als die van degene waarover de informatie in het persoonlijke dossier gaat. Dat staat situaties in de weg waarin die twee rollen door verschillende individuen worden gespeeld, met name waarbij de ene Persoon zich door een andere laat vertegenwoordigen, door middel van een machtiging. Met een machtiging laat de één zijn PGO gebruiken, en in het kader daarvan rechtshandelingen uitvoeren, door een ander.

Deze RFC wil door het differentiëren van de Persoon-rol ruimte maken voor zulke machtigingen. Dat maakt het vooralsnog mogelijk om eenzijdig, in het Zorgaanbiedersdomein, machtigingsfunctionaliteit te gaan gebruiken. Op termijn wil MedMij dat ook, en gekoppeld daarmee, in het Persoonsdomein ondersteunen, maar dat kan nog niet met deze RFC.

Hoewel deze wijziging ruimte biedt aan Deelnemers voor het gebruiken van machtigingsfunctionaliteit of anderszins ontkoppelen van Gebruikers en Betroffenen, neemt het MedMij Afsprakenstelsel hierover geen expliciete verantwoordelijkheden op, behalve waar deze nieuwe ruimte risico’s inzake vertrouwen en gegevensintegriteit met zich mee kunnen brengen.

Oplossingsrichting
  • Het splitsen van de juridische Persoon-rol op de Juridica-laag in een Gebruiker-rol en een Betroffene-rol.
  • Het verbinden van deze twee rollen met de passende rollen op de lagen eronder, door het hele MedMij Afsprakenstelsel.
  • Het toevoegen van de afspraak dat een Dossier (in een PGO) weliswaar door meer Gebruikers gebruikt kan worden, maar slechts informatie over één Betroffene bevat.
  • De Zorgaanbieder is ervoor verantwoordelijk dat de Gebruiker en Betroffene hetzij dezelfde Persoon zijn, hetzij dat conform wetgeving Gebruiker Betroffene mag vertegenwoordigen. In dat laatste geval wordt dat gelogd.
  • Waar nieuwe vertrouwensrisico’s voortvloeien uit deze rol-differentiatie: het toevoegen van maatregelen voor beheersing van deze risico’s aan het MedMij Afsprakenstelsel.
  • Om te voorkomen dat informatie van verschillende personen in het dossier in de PGO vermengt raken worden maatregelen getroffen. Te denken valt daarbij aan het opnemen van identificerende kenmerken in het autorisatierequest (bv geboortedatum) of door altijd identificerende kenmerken op te vragen na authenticatie.
  • De beschikbaarheids- en ontvankelijkheidsvoorwaarde moeten inzake leeftijd worden aangepast.
Aanpassing van

Zie bij oplossingsrichting.

Impact op rollen

Persoon, Zorgaanbieder, Dienstverlener zorgaanbieder, Dienstverlener persoon

Impact op beheer

geen

Impact op RnA

geen

Impact op Acceptatie

wel, n.t.b.

Gerelateerd aan (Andere RFCs, PIM issues)

n.v.t.

Eigenaar

Paul Oude Luttighuis

Implementatietermijn

1.3.0

Motivatie verkorte RFC procedure (patch)

n.v.t.

Goedkeuring

BeoordelaarDatumToelichtingBeoordelaarDatumToelichting
Productmanager Stichting MedMij

Productmanager Beheerorganisatie

Leadarchitect Stichting MedMij

Leadarchitect Beheerorganisatie

Ontwerpteam




Deelnemersraad

Eigenaarsraad

Principe's

Principe
Principe

1 Het MedMij-netwerk is zoveel mogelijk gegevensneutraal

Neutraal

11 Stelselfuncties worden vanaf de start ingevuld

Neutraal

2 Dienstverleners zijn transparant over de gegevensdiensten 

Neutraal

12 Het afsprakenstelsel is een groeimodel

Positief

Dienstverleners concurreren op de functionaliteiten

Neutraal

13 Ontwikkeling geschiedt in een half-open proces met verschillende stakeholders

Neutraal

Dienstverleners zijn aanspreekbaar door de gebruiker

Neutraal

14 Uitwisseling is een keuze

Neutraal

De persoon wisselt gegevens uit met de zorgaanbieder

Neutraal

15 Het MedMij-netwerk is gebruiksrechten-neutraal

Neutraal

MedMij spreekt alleen af wat nodig is

Positief

16 De burger regisseert zijn gezondheidsinformatie als uitgever

Neutraal

De persoon en de zorgaanbieder kiezen hun eigen dienstverlener

Neutraal

17 Aan de persoonlijke gezondheidsomgeving zelf worden eisen gesteld

Neutraal

De dienstverleners zijn deelnemers van het afsprakenstelsel

Neutraal

18 Afspraken worden aantoonbaar nageleefd en gehandhaafd

Neutraal

10 Alleen de dienstverleners oefenen macht uit over persoonsgegevens bij de uitwisseling

Positief

19 Het afsprakenstelsel snijdt het gebruik van normen en standaarden op eigen maat

Neutraal

Uitwerking


Risico's

Omschrijf de (privacy)risico's die kunnen ontstaan als deze RFC wordt aangenomen. In het onwaarschijnlijke geval dat deze RFC's geen risico's introduceert, geef dat dan wel aan.

DreigingKansImpactDreigingsID (intern)Maatregelen
n.t.b.





Bijlagen

  File Modified
No files shared here yet.


  • No labels