Dit is de consultatie versie van het Twiin Afsprakenstelsel Release 1.2.0
5 | Vertrouwensmodel
Inhoud
Definitie vertrouwensmodel
Het vertrouwensmodel is het geheel van technische, organisatorische en juridische waarborgen voor het vertrouwen in de landelijke elektronische uitwisseling van medische gegevens.
Het vertrouwensmodel ziet toe op het onderlinge vertrouwen tussen zorgaanbieders, zorgverleners en patiënten en borgt daarmee de vertrouwelijkheid van het medische dossier.
De patiënt moet erop kunnen vertrouwen dat de zorgverleners en zorgaanbieders de vertrouwelijkheid van zijn dossier adequaat borgen, ook bij de uitwisseling van gegevens.
Zorgverleners hebben een beroepsgeheim. Het beroepsgeheim geldt voor alle informatie die zij in de uitoefening van hun beroep over een patiënt te weten komen. Dus ook het feit dat een patiënt onder behandeling is bij een zorgverlener valt hieronder. Anderen die beroepsmatig kennis krijgen van patiëntgegevens zijn gebonden aan een afgeleid beroepsgeheim. Degene op wie de geheimhouding rust, moet erop kunnen vertrouwen dat de juiste maatregelen zijn getroffen om zijn beroepsgeheim te borgen.
Zorgaanbieders moeten op basis van de Algemene Verordening Gegevensbescherming (AVG) als verwerkingsverantwoordelijke adequate maatregelen treffen om de persoonsgegevens in medische dossiers te beveiligen, ook bij uitwisseling. Ook zijn zorgaanbieders op basis van de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) verplicht de juiste randvoorwaarden te organiseren die zorgverleners in staat stellen goede zorg te verlenen. Het gaat hierbij onder andere om de inrichting van de organisatie, de toedeling van verantwoordelijkheden en bevoegdheden en de beschikbaarheid van middelen.
Onderdelen van het vertrouwensmodel
Het Twiin Afsprakenstelsel geeft invulling aan het vertrouwensmodel; in de onderliggende pagina's is voor elk onderdeel van het vertrouwensmodel beschreven welke afspraken gelden voor dat onderdeel en waar de Twiin Deelnemers van Twiin zich aan verbinden. Omdat elke Twiin Deelnemer zich verbindt aan de afspraken, kunnen de Twiin Deelnemers elkaar vertrouwen. Het vertrouwensmodel bestaat uit de zeven onderdelen gevisualiseerd in onderstaand figuur.
Het vertrouwensmodel van Twiin correspondeert met de bovenste laag van het Uitwisselingskompas van VZVZ en geeft een invulling daaraan.
Bij elke elektronische uitwisseling is van belang:
Identificatie: moeten zorgaanbieders er op kunnen vertrouwen dat de andere zorgaanbieder is wie zij zegt te zijn en moet er tevens zekerheid zijn over de identiteit van de patiënt over wie de uitgewisselde gegevens gaan;
Authenticatie: moeten zorgaanbieders zekerheid hebben over de identiteit van de andere zorgaanbieder en betrokken zorgverlener;
Autorisatie moeten zorgaanbieders zorgen dat alleen die gegevens uitgewisseld worden die nodig zijn voor de behandeling van de betrokken patiënt;
Behandelrelatie: moeten zorgaanbieders erop vertrouwen dat enkel toegang wordt verleend tot medische gegevens als sprake is van een behandelrelatie met de desbetreffende patiënt;
Patiënttoestemming: moeten zorgaanbieders erop vertrouwen dat de betrokken patiënt toestemming heeft gegeven die voldoet aan de voorwaarden;
Logging: moeten zorgaanbieders erop vertrouwen dat de andere aangesloten zorgaanbieders logging en de controle van de logging adequaat uitvoeren;
Transparantie: moeten zorgaanbieders erop vertrouwen dat de andere aangesloten zorgaanbieders de betrokken patiënt op begrijpelijke wijze heeft geïnformeerd over de werking van het elektronische uitwisselingssysteem en de uitoefening van zijn rechten.
Bij de uitwisseling van gegevens tussen zorgaanbieders, is een centrale vraag: kan een zorgaanbieder er op vertrouwen dat een andere zorgaanbieder voldoet aan alle vereisten? Concreet: dat alle zorgaanbieders op de juiste wijze de identificatie, authenticatie, autorisatie, controle op de behandelrelatie, toestemming, logging en de transparantie ingericht hebben. Het vertrouwensmodel kent daarom deze zeven onderdelen om de vertrouwelijkheid van het medische dossier te borgen. Deze onderdelen hangen samen; keuzes in het ene onderdeel zijn van invloed op keuzes in het andere onderdeel.
Verwerkingsverantwoordelijkheid
Iedere zorgaanbieder is zelfstandig verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens in de eigen zorginformatiesystemen, waaronder de GtK-applicatie. Daaruit volgt dat iedere zorgaanbieder als verwerkingsverantwoordelijke het aanspreekpunt is bij verzoeken van betrokkenen op basis van hun AVG-privacyrechten.
Iedere zorgaanbieder moet ervoor zorgen dat de eigen GtK-applicatie voldoet aan de toepasselijke beveiligingsnormen, waaronder met name NEN 7510, NEN 7512 en 7513. Dat maakt noodzakelijk dat zorgaanbieders vastleggen op welke manier zij invulling geven aan deze normen, zoals de vraag welke identificatiemiddelen zij gebruiken. In het Twiin Afsprakenstelsel is deze invulling op verschillende onderdelen vastgelegd, namelijk in de zeven onderdelen van het vertrouwensmodel. De afspraken hierover zijn vastgelegd in het vertrouwensmodel van het Twiin Afsprakenstelsel.
Daarnaast is nodig dat zorgaanbieders afspreken waar de verantwoordelijkheid van de één begint en waar die eindigt. Dit is met name van belang bij gebruik van een elektronisch uitwisselingssysteem. Zo'n systeem maakt immers mogelijk dat een zorgverlener gegevens kan raadplegen in het zorginformatiesysteem. Zo moet een dossierraadpleger erop kunnen vertrouwen dat de GtK-applicatie van de dossierhouder voldoet aan de toepasselijke beveiligingsnormen. Het is juist de verantwoordelijkheid van de dossierraadpleger dat enkel medewerkers met een behandelrelatie het dossier raadplegen bij de dossierhouder. Ook de toedeling van de verantwoordelijkheid bij uitwisseling is vastgelegd in het vertrouwensmodel van het Twiin Afsprakenstelsel.
Generieke functies en gemeenschappelijke voorzieningen
Generieke functies zijn noodzakelijk om een aantal waarborgen van het vertrouwensmodel goed te kunnen inrichten. Een gemeenschappelijke voorziening, zoals voor patiënttoestemming en adressering, kan een generieke functie realiseren. Twiin ziet gemeenschappelijke voorzieningen als middel om samenwerking en interoperabiliteit in de zorg te bevorderen en redundantie in de data(registratie)keten te verminderen. We hebben daarbij oog voor het verlagen van de registratielasten, beheerslasten en kosten. Generieke functies en gemeenschappelijke voorzieningen zijn in scope van het Informatieberaad, VWS, Wegiz en de normeringstrajecten van de NEN. Twiin initieert en stimuleert discussies op landelijk niveau en ondersteunt deze discussies met feiten, concrete voorstellen en kennis inbreng.
Belangrijkste uitgangspunten bij de gemeenschappelijke voorzieningen zijn:
Hergebruik; meerdere gebruikers vragen om of gebruiken de dienst (eindgebruikers- of uitwisselingssystemen).
Standaardisatie; gemeenschappelijke voorzieningen maken zoveel mogelijk gebruik van internationale standaarden en, indien noodzakelijk, Nederlandse extensies of beperkingen daarvan.
Noodzakelijkheid; een gemeenschappelijke voorziening bestaat alleen als deze noodzakelijk is (als het zonder kan, doen we het zonder) en indien de zorgcommunicatie daar efficiënter van wordt.
Makelaarsfunctie; de dienst kan een brug- of makelaarsfunctie bieden naar achterliggende gedistribueerde diensten. Een gemeenschappelijke voorziening kan ook een makelaarsfunctie vervullen om verschillende implementaties van de betreffende functie te kunnen bereiken. Via een gemeenschappelijke authenticatiedienst kan bijvoorbeeld gebruik worden gemaakt van verschillende beschikbare authenticatiemiddelen.
Agnostisch; Gemeenschappelijke voorzieningen zijn infrastructuur-onafhankelijk. De voorzieningen leggen alleen eisen op aan de koppelvlakken.
Samenvatting invulling generieke functies Twiin
Functie | Invulling Twiin |
|---|---|
Identificatie | Patiënt: BSN (gevalideerd / geverifieerd) Zorgaanbieder: URA Zorgverlener: UZI nummer |
Authenticatie | Zorgverlener: eIDAS hoog (breder dan UZI pas) Zorgaanbieder: UZI certificaat of vergelijkbaar PKI certificaten |
Autorisatie | Medisch Autorisatie Protocol (MAP) |
Behandelrelatie | De dossierraadpleger/-ontvanger moet een adequate autorisatiestructuur hebben ingericht |
Patiënttoestemming | Mitz bij raadpleegbaar maken |
Logging | NEN7513 formaat, NEN7510 en 7512 als procedure Uniforme rapportages inclusief procedures |
Transparantie | Een centraal informatiepunt voor deelnemende zorgaanbieders met een actuele, model informatiefolder voor de patiënt, waaronder een overzicht van alle (categorieën van) aangesloten zorgaanbieders |
Generieke functies die samenhangen met het vertrouwensmodel: | |
Adressering | De adresinformatie moet op een betrouwbare wijze zijn verkregen. Als eerste stap daarheen ziet Twiin als gewenste situatie het gebruik van de gemeenschappelijke voorziening ZORG-AB voor adressering |
Lokalisatie | Mitz (bij raadplegen in de zin van Wabvpz) |
Statement
Het Twiin Afsprakenstelsel volgt de ontwikkeling van de NEN-normering van de generieke functies en sluit hierop aan.
Groeimodel ‘Groeien mét Twiin’
Twiin realiseert dat niet alle Twiin Deelnemers op dit beschreven niveau van het Twiin Vertrouwensmodel kunnen uitwisselen. Daarvoor heeft Twiin een groeimodel gemaakt dat de Twiin Deelnemers helpt bij het toegroeien naar voldoen aan het Twiin Afsprakenstelsel om te komen tot validatie. Het groeimodel is een leidraad in volwassenheidsniveaus om te gaan voldoen aan het Twiin Afsprakenstelsel en helpt om stapsgewijs invulling te geven aan het vertrouwensmodel. Twiin Deelnemers kunnen zelf keuzes maken – ondersteund vanuit Twiin.
Landelijk uitwisselen tussen gevalideerde GtK's kan als wordt voldaan aan het Twiin Afsprakenstelsel en de Twiin Deelnemer is gevalideerd voor de betrokken zorgtoepassing. Zolang de Twiin Deelnemer nog niet is gevalideerd, kan de Twiin Deelnemer enkel uitwisselen op basis van de Samenwerkingsvoorwaarden.
Klik hier voor over het groeimodel van Twiin in de Toolkit.
Het Twiin Afsprakenstelsel is onder Creative Common Licentie
CC BY-SA Naamsvermelding-GelijkDelen https://creativecommons.org/licenses/by-sa/4.0/legalcode.nl