Document toolboxDocument toolbox

5.3 | Vertrouwen: Autorisatie

Autorisatie bepaalt of een zorgmedewerker informatie mag raadplegen op basis van zijn rol in het zorgproces. Hierbij moet de te raadplegen informatie proportioneel zijn. Dat betekent dat de inhoud en omvang van de informatie moet passen bij het doel waarvoor en de context waarin hij de informatie wil gebruiken. Het betreft hier alleen de autorisatie voor het raadplegen van informatie van buiten de eigen instelling.

Beroepsgeheim en toestemming

Op de zorgverleners rust het beroepsgeheim. Zorgverleners mogen alleen onder bepaalde voorwaarden hun beroepsgeheim doorbreken (zie ook onderdeel patiënttoestemming van het vertrouwensmodel).

Proportionaliteit

Ook als een patiënt toestemming heeft gegeven, blijft de zorgverlener en zorgaanbieder verplicht om ervoor te zorgen dat niet meer gegevens worden gedeeld dan noodzakelijk. Als een zorgverlener meer gegevens deelt dan noodzakelijk, is dat een schending van het beroepsgeheim. Zorgverleners moeten kortom zorg dragen voor proportionaliteit. 

De dossierhouder kan zorg dragen voor proportionaliteit, als de dossierhouder kan controleren welke zorgverlener welk dossier raadpleegt voor welk doel. Dit kan door in autorisatierichtlijnen en informatiestandaarden vast te leggen welke informatie nodig is. De dossierhouder moet vervolgens de toepassing van deze autorisatierichtlijnen en informatiestandaarden toepassen.1 

Autorisatie en uitwisseling

Communicerende partijen moeten beleid en procedures vaststellen voor de gegevensuitwisseling, waaronder over het onderwerp autorisatiebeleid (NEN7512:2015, paragraaf 6.2.1, NEN7512:2022. paragraaf 6.1.1). De Gedragslijn toegangsbeveiliging digitale patiëntdossiers, d.d. 12 oktober 2020 bepaalt:  "De organisatie moet alle partijen identificeren en documenteren waarmee cliëntgegevens worden uitgewisseld, en met deze partijen moeten contractuele afspraken over toegang en rechten worden gemaakt, alvorens cliëntgegevens uit te wisselen."2 Dat kan door middel van de Twiin Deelnemersovereenkomst.

De verantwoordelijkheid om specifieke afspraken te maken rust hier op de zorgaanbieder als instelling en niet op de zorgverleners. Overigens blijven zorgverleners wel tuchtrechtelijk aansprakelijk. Het centraal tuchtcollege heeft bepaald dat zorgverleners een regiebehandelaar moeten aanwijzen als de aard en/of complexiteit van de behandeling dat nodig maakt, bijvoorbeeld bij zorg die door zorgverleners van verschillende instellingen wordt verleend. Die regiebehandelaar moet er onder andere op toezien dat er een adequate informatie-uitwisseling is tussen de bij de behandeling van de patiënt betrokken zorgverleners.3

Paragraaf 8.4.2 NEN7513:2018 bepaalt dat “zorginstellingen autorisatieprotocollen opstellen waarin de reguliere toegang tot bepaalde zorggegevens wordt gekoppeld aan een rol in het zorgproces (…). De logging moet kunnen worden gebruikt voor de verantwoording van bepaalde gebeurtenissen op een elektronisch dossier. Daarom moet in de logging verwijzingen worden opgenomen naar het autorisatieprotocol (…) Is er nog geen autorisatieprotocol (…) dan wordt het ontbreken ervan vermeld.” Deze werkwijze komt overeen met besluiten die zijn genomen binnen het Informatieberaad.

Ontwikkelingen

Binnen Programma Janus is overleg hoe autorisatie het beste kan worden ingericht. Daarnaast start NEN de ontwikkeling van een norm over autorisatie. Twiin volgt de ontwikkelingen en zal aansluiten bij de uitkomsten.



Principe

Wie is verantwoordelijk Dossierhouder of dossierraadpleger/-ontvanger

Invulling Twiin

Toelichting

Principe

Wie is verantwoordelijk Dossierhouder of dossierraadpleger/-ontvanger

Invulling Twiin

Toelichting

De bron is verplicht om te zorgen dat niet meer gegevens worden geraadpleegd/vrijgegeven dan noodzakelijk. 

Bij verzenden:

Dossierhouder

Bij raadpleegbaar maken:

Dossierhouder

Landelijke medische autorisatieprotocollen toepassen.



Twiin volgt de ontwikkeling van de landelijke afspraken over autorisatie en zal daarop aansluiten. De beschikbare landelijke medische autorisatieprotocollen zijn gebaseerd op UZI-rolcodes voor directe toegang tot het uitwisselingssysteem.
In niet alle sectoren is er sprake van een eenduig interpretatie van wet- en regelgeving. Voor het mandateren van medewerkers (ook zorgverlener conform de wet BIG) kan een zorgaanbieder kiezen.


Voetnoten

  1. Er zijn echter nog maar een beperkt aantal informatiestandaarden beschikbaar, zoals voor de acute zorg en de geboortezorg ( https://www.zorginzicht.nl/kwaliteitsinstrumenten ). Ook autorisatierichtlijnen zijn nog maar beperkt beschikbaar (wel voor Huisartswaarneming en Medisch Generalistiche Zorg) en Acute zorg; Het LSP kent een Medisch Autorisatie Protocol (MAP), er is een autorisatierichtlijn voor medicatieveiligheid (https://www.vzvz.nl/actueel/nieuwe-autorisatierichtlijn-medicatieveiligheid). In het kader van radiologisch onderzoek is binnen Twiin een concept autorisatierichtlijn opgesteld.

  2. Te raadplegen op: https://nvz-ziekenhuizen.nl/toegangsbeveiliging-digitale-patientdossiers 

  3. Centraal Tuchtcollege, 29 januari 2021 (ECLI:NL:TGZCTG:2021:36) vindplaats.