Document toolboxDocument toolbox

5 | Vertrouwensmodel

Inhoud

Definitie en belang vertrouwensmodel

Het vertrouwensmodel is het geheel van technische, organisatorische en juridische waarborgen voor het vertrouwen in de landelijke elektronische uitwisseling van medische gegevens. 

 

Het vertrouwensmodel ziet toe op het onderlinge vertrouwen tussen zorgaanbieders, zorgverleners en patiënten en borgt daarmee de vertrouwelijkheid van het medische dossier.

  • De patiënt moet erop kunnen vertrouwen dat de zorgverleners en zorgaanbieders de vertrouwelijkheid van zijn dossier adequaat borgen, ook bij de uitwisseling van gegevens. 

  • Zorgverleners hebben een beroepsgeheim (op basis van de Wet BIG en WGBO). Het beroepsgeheim geldt voor alle informatie die zij in de uitoefening van hun beroep over een patiënt te weten komen. Dus ook het feit dat een patiënt onder behandeling is bij een zorgverlener valt hieronder. Anderen die beroepsmatig kennis krijgen van patiëntgegevens zijn gebonden aan een afgeleid beroepsgeheim. Degene op wie de geheimhouding rust, moet erop kunnen vertrouwen dat de juiste maatregelen zijn getroffen om zijn beroepsgeheim te borgen.

  • Zorgaanbieders moeten adequate maatregelen treffen om de persoonsgegevens in medische dossiers te beveiligen, ook bij uitwisseling (op basis van de AVG). Zorgaanbieders zijn verplicht om de beveiligingsnormen voor de zorg toe te passen en het vertrouwensmodel geeft invulling aan die normen (op basis van de Begz). Ook zijn zorgaanbieders verplicht de juiste randvoorwaarden te organiseren die zorgverleners in staat stellen goede zorg te verlenen (op basis van de Wkkgz). Het gaat hierbij onder andere om de inrichting van de organisatie, de toedeling van verantwoordelijkheden en bevoegdheden en de beschikbaarheid van middelen. In het vertrouwensmodel is dan ook uitgewerkt welke partij waarvoor verantwoordelijk is bij uitwisseling om de databeschikbaarheid te borgen die nodig is voor de continuïteit van de zorg.

Onderdelen van het vertrouwensmodel

Het Twiin Afsprakenstelsel geeft invulling aan het vertrouwensmodel; in de onderliggende pagina's is voor elk onderdeel van het vertrouwensmodel beschreven welke afspraken gelden voor dat onderdeel en waar de Twiin Deelnemers van Twiin zich aan verbinden. Omdat elke Twiin Deelnemer zich verbindt aan de afspraken, kunnen de Twiin Deelnemers elkaar vertrouwen. Het vertrouwensmodel bestaat uit de zeven onderdelen gevisualiseerd in onderstaand figuur.  

Het vertrouwensmodel van Twiin correspondeert met de bovenste laag van het Uitwisselingskompas van VZVZ en geeft een invulling daaraan.





Bij elke elektronische uitwisseling is van belang:  

  1. Identificatie: moeten zorgaanbieders er op kunnen vertrouwen dat de andere zorgaanbieder is wie zij zegt te zijn en moet er tevens zekerheid zijn over de identiteit van de patiënt over wie de uitgewisselde gegevens gaan; 

  2. Authenticatie: moeten zorgaanbieders zekerheid hebben over de identiteit van de andere zorgaanbieder en betrokken zorgverlener;

  3. Autorisatie moeten zorgaanbieders zorgen dat alleen die gegevens uitgewisseld worden die nodig zijn voor de behandeling van de betrokken patiënt;

  4. Behandelrelatie: moeten zorgaanbieders erop vertrouwen dat enkel toegang wordt verleend tot medische gegevens als sprake is van een behandelrelatie met de desbetreffende patiënt;

  5. Patiënttoestemming: moeten zorgaanbieders erop vertrouwen dat de betrokken patiënt toestemming heeft gegeven die voldoet aan de voorwaarden;

  6. Logging: moeten zorgaanbieders erop vertrouwen dat de andere aangesloten zorgaanbieders logging en de controle van de logging adequaat uitvoeren;

  7. Transparantie: moeten zorgaanbieders erop vertrouwen dat de andere aangesloten zorgaanbieders de betrokken patiënt op begrijpelijke wijze hebben geïnformeerd over de uitwisseling van gegevens en de uitoefening van zijn rechten.  


Bij de uitwisseling van gegevens tussen zorgaanbieders, is een centrale vraag: kan een zorgaanbieder er op vertrouwen dat een andere zorgaanbieder voldoet aan alle vereisten? Concreet: dat alle zorgaanbieders op de juiste wijze de identificatie, authenticatie, autorisatie, controle op de behandelrelatie, toestemming, logging en de transparantie ingericht hebben. Het vertrouwensmodel kent daarom deze zeven onderdelen om de vertrouwelijkheid van het medische dossier te borgen. Deze onderdelen hangen samen; keuzes in het ene onderdeel zijn van invloed op keuzes in het andere onderdeel.

Verwerkingsverantwoordelijkheid

Iedere zorgaanbieder is zelfstandig verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens in de eigen zorginformatiesystemen, waaronder de GtK. Daaruit volgt dat iedere zorgaanbieder als verwerkingsverantwoordelijke het aanspreekpunt is bij verzoeken van betrokkenen op basis van hun AVG-privacyrechten. 

Iedere zorgaanbieder moet ervoor zorgen dat de eigen GtK voldoet aan de toepasselijke beveiligingsnormen, waaronder met name NEN 7510, NEN 7512 en NEN 7513. Dat maakt noodzakelijk dat zorgaanbieders vastleggen op welke manier zij invulling geven aan deze normen, zoals de vraag welke identificatiemiddelen zij gebruiken. In het Twiin Afsprakenstelsel is deze invulling op verschillende onderdelen vastgelegd, namelijk in de zeven onderdelen van het vertrouwensmodel. De afspraken hierover zijn vastgelegd in het vertrouwensmodel van het Twiin Afsprakenstelsel.

Daarnaast is nodig dat zorgaanbieders afspreken waar de verantwoordelijkheid van de één begint en waar die eindigt. Dit is met name van belang bij gebruik van een elektronisch uitwisselingssysteem. Zo'n systeem maakt immers mogelijk dat een zorgverlener gegevens kan raadplegen in het zorginformatiesysteem. Zo moet een dossierraadpleger erop kunnen vertrouwen dat de GtK van de dossierhouder voldoet aan de toepasselijke beveiligingsnormen. Het is juist de verantwoordelijkheid van de dossierraadpleger dat enkel medewerkers met een behandelrelatie het dossier raadplegen bij de dossierhouder. Ook de toedeling van de verantwoordelijkheid bij uitwisseling is vastgelegd in het vertrouwensmodel van het Twiin Afsprakenstelsel.

Samenvatting invulling aspecten vertrouwensmodel Twiin

Aspect

Invulling Twiin

Verwijzing uitwerking technische kern

Aspect

Invulling Twiin

Verwijzing uitwerking technische kern

Identificatie

Patiënt: BSN (gevalideerd / geverifieerd)

Zorgaanbieder: URA

Zorgverlener: UZI-nummer of een ander uniek tot één persoon te herleiden nummer op het juiste betrouwbaarheidsniveau

https://vzvz.atlassian.net/wiki/spaces/TA12/pages/398068965

Authenticatie

Zorgverlener: eIDAS hoog (breder dan UZI pas)

Zorgaanbieder: UZI certificaat of vergelijkbaar PKI certificaten

https://vzvz.atlassian.net/wiki/spaces/TA12/pages/398068965

Autorisatie

Medisch Autorisatie Protocol (MAP)

https://vzvz.atlassian.net/wiki/spaces/TA12/pages/398068946

Behandelrelatie

De dossierraadpleger/-ontvanger moet een adequate autorisatiestructuur hebben ingericht en zorgdragen voor logging en adequate controle van de logging

NVT

Patiënttoestemming

Mitz bij raadpleegbaar maken

https://vzvz.atlassian.net/wiki/spaces/TA12/pages/398069049

Logging 

NEN 7513 formaat, NEN 7510 en NEN 7512 als procedure

Uniforme rapportages inclusief procedures

https://vzvz.atlassian.net/wiki/spaces/TA12/pages/398069009

Transparantie

De patiënt goed informeren over uitwisseling en over AVG-rechten en een procedure inrichten voor opvragen logging door de patiënt

NVT

Aspecten die samenhangen met het vertrouwensmodel:

 

Adressering

De adresinformatie  moet op een betrouwbare wijze  zijn verkregen. Als eerste stap daarheen ziet Twiin als gewenste situatie het gebruik van de gemeenschappelijke voorziening ZORG-AB voor adressering

https://vzvz.atlassian.net/wiki/spaces/TA12/pages/398068990

Lokalisatie

Mitz (bij raadplegen in de zin van Wabvpz)

https://vzvz.atlassian.net/wiki/spaces/TA12/pages/398069091

Generieke functies worden uitgelegd in hoofdstuk 4 https://vzvz.atlassian.net/wiki/spaces/TA12/pages/398066937/4+%7C+Architectuur#Generieke-functies-en-gemeenschappelijke-voorzieningen

Statement

Het Twiin Afsprakenstelsel volgt de ontwikkeling van de NEN-normering van de generieke functies en sluit hierop aan.

Groeimodel ‘Groeien mét Twiin’


Twiin realiseert dat niet alle Twiin Deelnemers op dit beschreven niveau van het Twiin Vertrouwensmodel kunnen uitwisselen. Daarvoor heeft Twiin een groeimodel gemaakt dat de Twiin Deelnemers helpt bij het toegroeien naar voldoen aan het Twiin Afsprakenstelsel om te komen tot validatie. Het groeimodel is een leidraad in volwassenheidsniveaus om te gaan voldoen aan het Twiin Afsprakenstelsel en helpt om stapsgewijs invulling te geven aan het vertrouwensmodel. Twiin Deelnemers kunnen zelf keuzes maken – ondersteund vanuit Twiin.

Landelijk uitwisselen tussen gevalideerde GtK's kan als wordt voldaan aan het Twiin Afsprakenstelsel en de Twiin Deelnemer is gevalideerd voor de betrokken zorgtoepassing. Zolang de Twiin Deelnemer nog niet is gevalideerd, kan de Twiin Deelnemer enkel uitwisselen op basis van de Samenwerkingsvoorwaarden zoals omschreven in artikel 3 Deelnemersovereenkomst.

Klik hier voor het groeimodel van Twiin in de Toolkit.