1.1.1 Opdracht, resultaat en beoogd effect
Toestemmingen worden bij de Dienstverlener aanbieder opgeslagen (op moment van schrijven geldt versie 2.1.0 van het afsprakenstelsel als optionele versie). Hoewel er al gebruikgemaakt kan worden van langdurige toestemmingen, moet een Persoon nog steeds minimaal één keer per Aanbieder toestemming geven. Hierbij moet elke keer met TVS/DigiD worden ingelogd. Als een de systemen van een Aanbieder worden ontsloten door meerdere Dienstverleners aanbieder, moet de Persoon voor deze Aanbieder ook meerdere toestemmingen geven. Natuurlijk heeft langdurige toestemming de situatie al enorm verbeterd, maar het is nog verre van ideaal.
Door een Dienstverlener toestemmingen als rol aan het afsprakenstelsel toe te voegen, zorgen we ervoor dat toestemmingen centraler vastgelegd kunnen worden. Per aangesloten domein moet bepaald worden aangesloten kan worden op een bestaande Dienstverlener toestemmingen, of dat er een eigen implementatie moet zijn.
Voor Aanbieder-Aanbieder-gegevensuitwisseling is Mitz aangewezen als gemeenschappelijke voorzieningen. Op 30 november 2020 door het Informatieberaad en ook de politiek bekrachtigt deze keuze, bijvoorbeeld in de kamerbrief van 12 december 2023.
Voor MedMij betekent dit dat we Mitz gebruiken als Dienstverlener toestemmingen, in ieder geval voor het zorgdomein. Dit heeft de volgende voordelen:
Toestemmingen voor de uitwisseling van zorggegevens worden op één plek opgeslagen. Hiermee gaat de gebruiksvriendelijkheid omhoog, omdat de Persoon altijd dezelfde applicatie gebruikt voor het geven en beheren van toestemmingen;
Toestemmingen kunnen generiek worden gegeven. Als Persoon geef je in één keer toestemming aan alle Aanbieders waarmee jij een zorgrelatie hebt, om gegevens uit te wisselen met een bepaalde Dienstverlener persoon (oftewel en bepaalde Persoonlijke gezondheidsomgeving). Dit zorgt ervoor dat uitwisseling met deze PGO direct mogelijk is voor alle Aanbieders waarmee de Persoon een zorgrelatie heeft.
Implementatie bij de Dienstverleners aanbieder wordt versimpeld, doordat zij zelf geen schermen meer hoeven te tonen. In de huidige situatie tonen Dienstverleners aanbieder schermen in het autorisatieproces. In het nieuwe proces worden deze schermen overgenomen door de Dienstverlener toestemmingen. De communicatie tussen Dienstverleners persoon en Dienstverleners aanbieder is alleen nog op het backchannel niveau.
Naast deze directe voordelen is ook van belang dat:
de Persoon minder vaak te maken krijgt met TVS/DigiD. De verwachting is dat hierdoor de huidig gemeten uitval van 40% teruggebracht wordt. De communicatie tussen Dienstverlener persoon en Dienstverlener aanbieder gaat minder vaak fout, doordat het autorisatieproces uitgekleed wordt. Alleen de token-interface en resource-interface zijn hierbij nog van belang. Wel moeten beide partijen schakelen met de Dienstverlener toestemmingen.
1.1.2 Opdrachtgever en opdrachtnemer
De opdrachtgever van dit onderwerp zijn Jeroen Bos (Product Manager MedMij) en Casper van der Harst (Lead Architect MedMij). De opdracht zal uitgevoerd worden door Team Ontwikkeling afsprakenstelsel voor het MedMij deel en door het team van Mitz voor hun deel. Dit gaat in samenwerking met Team Acceptatie en ketenregie, beiden onderdeel van MedMij Beheer.
1.2 Beslis- en discussiepunten
Mitz moet aansluiten op TVS, om zo ook gebruik te kunnen maken van de Vertegenwoordigingsregisters.
1.3 Aanpak, werkwijze
Gedurende de maand januari wordt dit document opgesteld. In februari willen we hiervoor goedkeuring krijgen, zodat de teams zo snel mogelijk aan de slag kunnen.
1.3.1 Betrokken bij totstandkoming
Hier staat aangegeven wie vanuit zijn of haar functie heeft meegewerkt aan totstandkoming van de PSA.
Persoon | Functie | Soort bijdrage |
Casper van der Harst | Lead architect MedMij | Schrijver |
Albert Vlug | Lead architect Mitz | Schrijver |
Jeroen Bos | Product manager MedMij | Reviewer |
Martijn Mallie | Product manager Mitz | Reviewer |
1.3.2 Relaties met andere projecten
Buiten Mitz en MedMij moet ook Logius betrokken worden, omdat het gebruik TVS/DigiD vermindert. Daarnaast is er sprake van het gebruik van BSNk in de toekomst, dit voor Vertrouwde authenticatie.
2. Toekomstige situatie
2.1 Scope/Afbakening, omgevingsmodel en belangrijkste kaders
In deze alinea wordt beschreven wat wel en niet binnen de scope van het probleem en de oplossing valt: wat wordt wel aangepakt en wat niet. Denk hierbij aan keten, organisatie, programma, project, voorziening.
2.2 Doelgroepen: Stakeholders
In deze alinea worden de stakeholders benoemd, met beschrijving van rol en soort betrokkenheid (actief, adviserend, beslissend, etc.) die een belang hebben bij de realisatie van de oplossing. Indien mogelijk wordt verwezen naar waar in deze PSA dit belang wordt geadresseerd. Ook worden de eisen en wensen benoemd ten aanzien van de te realiseren oplossing en zijn componenten. Denk daarbij ook aan leveranciers, gebruikers en afnemers.
2.3 Oplossingsrichting
Hier wordt een overzichtsschema van de oplossing gegeven voor een snelle introductie van de scope en de inhoud van de PSA. De gewenste architectuur van de beoogde oplossingsrichting wordt beschreven en wat de hoofdlijn is van de te ontwikkelen oplossing. Denk daarbij aan een beschrijving van de keten, bedrijfsprocessen, voorziening/dienst. Soms wordt dit ook wel de blackbox genoemd.
2.4 Relevante ontwikkelingen (gedurende realisatie en implementatie)
De ontwikkelingen waarmee gedurende de realisatie en implementatie van de oplossing rekening gehouden dient te worden en de reden daarvoor worden benoemd. Ook wordt kort het verdere verloop van het architectuurproces tijdens de uitvoering van het project beschreven.
3. Kader
In dit hoofdstuk wordt aangegeven welke (architectuur-)kaders zijn toegepast. Dit sjabloon is samengesteld op basis van PSA's uit verschillende organisaties en geeft als het ware een 'grootste gemene deler' weer. Dat betekent dat iedere organisatie vrij is in de wijze waarop ze de PSA inricht/de inhoud ordent. Naast dit NORA-sjabloon zijn op de pagina over het PSA-sjabloon ook voorbeelden te vinden van uitgewerkte PSA's en PSA-sjablonen uit de praktijk van verschillende organisaties, die tot uitdrukking brengen dat de inrichting/ordening heel verschillend kan zijn.
3.1 Toe te passen wet- en regelgeving
In deze alinea staat een schets van relevante wet- en regelgeving (zie onder andere http://wetten.overheid.nl/zoeken ).
Wets/beleidsdocument | Impact |
Wet Bescherming Persoonsgegevens (WBP) |
|
... |
|
3.2 Toe te passen standaarden
Hier wordt onderbouwd met welke standaarden rekening wordt gehouden. Hiervoor kan gebruik gemaakt worden van de pas-toe-of-leg-uit lijst van het College Standaardisatie, sector-/keten-/organisatie-specifieke lijsten van verplichte standaarden, en overzichten van standaarden die voor dit project nuttig zijn.
Indien van toepassing wordt ook aangegeven waar wordt afgeweken van de standaarden, de reden hiervoor en de maatregelen om negatieve consequenties te voorkomen. Deze verklaring kan worden gebruikt in de jaarrapportage voor compliancy aan open standaarden.
Zie voor een actuele lijst van de pas-toe-of-leg-uit standaarden: http://noraonline.nl/wiki/PSA_%28Project_Startarchitectuur%29/Sjabloon_standaarden
Standaard | Impact |
Webrichtlijnen |
|
... |
|
3.3 Toe te passen Referentiearchitecturen: NORA en dochters
De oplossing moet voldoen aan de NORA. In deze alinea staat beschreven hoe wordt voldaan aan de basisprincipes van NORA (Zie http://noraonline.nl/wiki/Basisprincipes ).
Basisprincipe NORA | Impact |
BP01: Proactief (Afnemers krijgen de dienstverlening waar ze behoefte aan hebben.) |
|
BP02: Vindbaar (Afnemers kunnen de dienst eenvoudig vinden.) |
|
BP03:Toegankelijk (Afnemers hebben eenvoudig toegang tot de dienst.) |
|
BP04: Standaard (Afnemers ervaren uniformiteit in de dienstverlening door het gebruik van standaardoplossingen.) |
|
BP05: Gebundeld (Afnemers krijgen gerelateerde diensten gebundeld aangeboden.) |
|
BP06: Transparant (Afnemers hebben inzage in voor hen relevante informatie.) |
|
BP07: Noodzakelijk (Afnemers worden niet geconfronteerd met overbodige vragen.) |
|
BP08: Vertrouwelijk (Afnemers kunnen erop vertrouwen dat informatie niet wordt misbruikt.) |
|
BP09: Betrouwbaar (Afnemers kunnen erop vertrouwen dat de dienstverlener zich aan afspraken houdt.) |
|
BP10: Ontvankelijk (Afnemers kunnen input leveren over de dienstverlening.) |
|
In de bijlage staat beschreven hoe aan de geldende afgeleide principes invulling wordt gegeven in deze PSA. Door het realiseren van deze afgeleide principes, worden de strategische doelen voor burger, bedrijf en overheid gerealiseerd die staan beschreven in de basisprincipes van NORA.
Afhankelijk van de oplossing en de omgeving moet de oplossing ook voldoen aan de dochters van NORA (Zie http://noraonline.nl/wiki/NORA_dochters ). In de bijlage wordt in dat geval beschreven wat de impact van de principes uit de betreffende architecturen is op de oplossing, of anders gezegd: hoe wordt omgegaan met de principes.
3.4 Toe te passen Domein- en Ketenarchitecturen
Naast NORA en de NORA-dochters dient deze architectuur eveneens rekening te houden met domein- en ketenarchitecturen en (afhankelijk van de oplossing en de omgeving) andere architecturen. In deze alinea wordt beschreven wat de impact van de principes uit de betreffende architecturen is op de oplossing, of anders gezegd: hoe wordt omgegaan met de principes.
3.5 Relatie met Visie op Dienstverlening
Hier wordt beschreven hoe in het project invulling wordt gegeven aan de Visie op Dienstverlening (zie http://e-overheid.nl/images/stories/over_het_NUP/overheidsbrede_visie_op_dienstverlening2011.pdf).
3.6 Overige kaders
In deze alinea wordt beschreven welke andere kaders dan de eerder genoemde zijn gehanteerd en wat de impact daarvan is op de oplossing. Denk daarbij aan beleidsuitspraken die zijn gedaan, uitgangspunten, richtlijnen en principes die zijn geformuleerd, visies die bijvoorbeeld zijn geuit in beleidsdocumenten, visiestukken, strategische notities en doelarchitecturen.
4. Referenties
NORA:
5. Terminologie
NORA | Nederlandse Overheid ReferentieArchitectuur |
... |
|
6. Appendix
6.1 A. Principes
6.2 A.1 Afgeleide principes uit NORA
De afgeleide principes uit NORA worden op de volgende wijze gerealiseerd in deze architectuur.
NORA afgeleid principe | ID | Stelling | Toepassing in project |
Diensten zijn herbruikbaar | AP01 | De dienst is zodanig opgezet, dat andere organisaties deze in eigen diensten kunnen hergebruiken |
|
Ontkoppelen met diensten | AP02 | De stappen uit het dienstverleningsproces zijn ontsloten als dienst. |
|
Diensten vullen elkaar aan | AP03 | De dienst vult andere diensten aan en overlapt deze niet |
|
Positioneer de dienst | AP04 | De dienst is helder gepositioneerd in het dienstenaanbod. |
|
Nauwkeurige dienstbeschrijving | AP05 | De dienst is nauwkeurig beschreven. |
|
Gebruik standaard oplossingen | AP06 | De dienst maakt gebruik van standaard oplossingen |
|
Gebruik de landelijke bouwstenen | AP07 | De dienst maakt gebruik van de landelijke bouwstenen e-overheid |
|
Gebruik open standaarden | AP08 | De dienst maakt gebruik van open standaarden |
|
Voorkeurskanaal internet | AP09 | De dienst kan via internet worden aangevraagd |
|
Aanvullend kanaal | AP10 | De dienst kan, behalve via internet, via minimaal één ander kanaal voor persoonlijk contact worden aangevraagd. |
|
Gelijkwaardig resultaat ongeacht kanaal | AP11 | Het resultaat van de dienst is gelijkwaardig, ongeacht het kanaal waarlangs de dienst wordt aangevraagd of geleverd. |
|
Eenmalige uitvraag | AP12 | Afnemers wordt niet naar reeds bekende informatie gevraagd |
|
Bronregistraties zijn leidend | AP13 | Alle gebruikte informatieobjecten zijn afkomstig uit een bronregistratie. |
|
Terugmelden aan bronhouder | AP14 | Bij gerede twijfel aan de juistheid van informatie, meldt de dienstverlener dit aan de verantwoordelijke bronhouder |
|
Doelbinding (AP) | AP15 | Het doel waarvoor informatie wordt (her)gebruikt is verenigbaar met het doel waarvoor deze oorspronkelijk is verzameld. |
|
Informatie-objecten systematisch beschreven | AP17 | De aan de dienst gerelateerde informatieobjecten zijn systematisch beschreven en op passende wijze gemodelleerd. |
|
Ruimtelijke informatie via locatie | AP18 | De dienst ontsluit ruimtelijke informatie locatiegewijs. |
|
Perspectief gebruiker | AP19 | De gebruiker staat aantoonbaar centraal gedurende het (door-)ontwikkelen van diensten en ondersteunende systemen. |
|
Persoonlijke benadering | AP20 | De dienst benadert geïdentificeerde afnemers op persoonlijke wijze. |
|
Bundeling van diensten | AP21 | De dienst wordt gebundeld met verwante diensten zodat deze samen met één aanvraag afgenomen kunnen worden. |
|
No wrong door | AP22 | Overheidsloketten verwijzen gericht door naar de dienst |
|
Automatische dienstverlening | AP23 | De dienst wordt na bepaalde signalen automatisch geleverd. |
|
Proactief aanbieden | AP24 | De dienst ondersteunt proactiviteit van dienstverleners binnen en buiten de organisatie |
|
Transparante dienstverlening | AP25 | Afnemers worden geïnformeerd over de stand van zaken bij de gevraagde dienst. |
|
Afnemer heeft inzage | AP26 | De afnemer heeft inzage in de eigen informatie en het gebruik er van |
|
Een verantwoordelijke organisatie | AP27 | Eén organisatie is verantwoordelijk voor de dienst |
|
Afspraken vastgelegd | AP28 | Dienstverlener en afnemer hebben afspraken vastgelegd over de levering van de dienst |
|
De dienstverlener voldoet aan de norm | AP29 | De dienstverlener draagt zelf de consequenties wanneer de dienst afwijkt van afspraken en standaarden. |
|
Verantwoording dienstlevering mogelijk | AP30 | De wijze waarop een dienst geleverd is, kan worden verantwoord |
|
PDCA-cyclus in besturing kwaliteit | AP31 | De kwaliteit van de dienst wordt bestuurd op basis van cyclische terugkoppeling. |
|
Sturing kwaliteit op het hoogste niveau | AP32 | Sturing op de kwaliteit van de dienst is verankerd op het hoogste niveau van de organisatie |
|
Baseline kwaliteit diensten | AP33 | De dienst voldoet aan de baseline kwaliteit. |
|
Verantwoording besturing kwaliteit | AP34 | De dienstverlener legt verantwoording af over de mate van control, in overleg met de afnemer. |
|
Onweerlegbaar | AP40 | De onweerlegbaarheid van berichtenuitwisseling wordt gegarandeerd door wederzijdse authenticatie en door versleuteling van elektronische handtekeningen. |
|
Beschikbaarheid | AP41 | De beschikbaarheid van de dienst voldoet aan de met de afnemer gemaakte continuïteitsafspraken. |
|
Integriteit | AP42 | De dienstverlener waarborgt de integriteit van gegevens en systeemfuncties. |
|
Vertrouwelijkheid | AP43 | De dienstverlener verschaft alleen geautoriseerde afnemers toegang tot vertrouwelijke gegevens. |
|
Controleerbaarheid | AP44 | De dienstverlener zorgt ervoor dat de beoogde toegang tot gegevens en de juiste werking van zijn systemen continu alsook achteraf te controleren is. |
|
De NORA afgeleide principes met implicaties zijn ook te vinden op: Http://www.noraonline.nl/wiki/PSA_(Project_Startarchitectuur)/Sjabloon_principes
6.3 A.2 Afgeleide principes uit <referentie-architectuur>