Belang vertrouwensmodel
Het belang van het vertrouwensmodel is meervoudig:
-
De cliënt moet erop kunnen vertrouwen dat de zorgverleners en zorgaanbieders de vertrouwelijkheid van zijn dossier adequaat borgen, ook bij de uitwisseling van gezondheidsgegevens.
-
Zorgverleners hebben een beroepsgeheim (op basis van de Wet BIG en WGBO). Het beroepsgeheim geldt voor alle informatie die zij in de uitoefening van hun beroep over een cliënt te weten komen. Dus ook het feit dat een cliënt onder behandeling is bij een zorgverlener valt hieronder. Anderen die beroepsmatig kennis krijgen van gezondheidsgegevens van de cliënt zijn gebonden aan een afgeleid beroepsgeheim. Degene op wie de geheimhouding rust, moet erop kunnen vertrouwen dat de juiste maatregelen zijn getroffen om zijn beroepsgeheim te borgen.
-
Zorgaanbieders moeten adequate maatregelen treffen om de persoonsgegevens in medische dossiers te beveiligen, ook bij uitwisseling (op basis van de AVG). Zorgaanbieders zijn verplicht om de beveiligingsnormen voor de zorg toe te passen en het vertrouwensmodel geeft invulling aan die normen (op basis van het Besluit elektronische gegevensverwerking door zorgaanbieders, ‘Begz’). Ook zijn zorgaanbieders verplicht de juiste randvoorwaarden te organiseren die zorgverleners in staat stellen goede zorg te verlenen (op basis van de Wkkgz). Het gaat hierbij onder andere om de inrichting van de organisatie, de toedeling van verantwoordelijkheden en bevoegdheden en de beschikbaarheid van middelen. In het vertrouwensmodel is dan ook uitgewerkt welke partij waarvoor verantwoordelijk is bij het realiseren van databeschikbaarheid.
Zeven vertrouwensfuncties
Het vertrouwensmodel bestaat uit zeven vertrouwensfuncties, gevisualiseerd in onderstaande figuur. Bij elke elektronische uitwisseling geldt dat aan deze zeven functies invulling moet zijn gegeven. Deze vertrouwensfuncties hangen met elkaar samen; keuzes ten aanzien van één functie zijn van invloed op keuzes over een andere functie. Daarom zijn deze vertrouwensfuncties in één figuur bijeengebracht. In de onderliggende pagina’s is voor elk van de zeven onderdelen beschreven welke afspraken gelden voor iedere vertrouwensfunctie.
Onderlinge samenhang vertrouwensfuncties
Inrichting vertrouwensfuncties binnen één zorgaanbieder
Hieronder een versimpelde schematische weergave van de samenhang van de vertrouwensfuncties binnen één zorgaanbieder. De basis is de vertrouwensketen in het grijze vlak die iedere zorgaanbieder moet inrichten voor de toegang tot de gegevens in de eigen dossiers. Deze vertrouwensketen is opgebouwd uit de stappen identificatie, authenticatie, autorisatie en logging. Authenticatie is, als verificatie van een beweerde identiteit, afhankelijk van identificatiegegevens die gebruikt worden. Autorisatie gebruikt de identificatiegegevens bij het bepalen welke toegang tot gegevens verleend mag worden. Logging legt vast welke toegang is verleend, waarbij de persoon op verzoek een afschrift hiervan kan krijgen. Omdat het gaat om gegevens over een cliënt, moet ook de identiteit van die cliënt worden vastgesteld en geverifieerd. De toegang tot de gegevens is bij gezondheidsgegevens enkel toegestaan bij een behandelrelatie. Transparantie gaat over het geven van heldere informatie aan de cliënt over de verwerking van zijn gegevens.
Inrichting vertrouwensfuncties bij uitwisseling tussen zorgaanbieders
Hieronder een versimpelde schematische weergave van de samenhang van de vertrouwensfuncties bij uitwisseling tussen zorgaanbieders. Bij uitwisseling tussen zorgaanbieders, vraagt de raadplegend zorgaanbieder gezondheidsgegevens op, maar enkel als sprake is van een behandelrelatie met een cliënt. Vervolgens moet de dossierhoudend zorgaanbieder de raadplegend/ontvangend zorgaanbieder identificeren en ook de zorgverlener die toegang wenst. De raadplegend zorgaanbieder verstrekt op verzoek de logging aan de cliënt. Dit alles is hieronder weergegeven:
De dossierhoudend zorgaanbieder is verplicht om op verzoek logging te verstrekken aan de cliënt. In veel gevallen is de dossierhoudend zorgaanbieder verplicht om de toestemming van de cliënt te controleren. Het verstrekken van logging door de dossierhouder en controle van de toestemming zijn hieronder weergegeven. De stippellijn duidt hierbij aan dat deze stappen niet in alle gevallen toegepast worden:
Zorgaanbieders moeten de zeven vertrouwensfuncties op eenduidige manier inrichten bij onderlinge uitwisseling van gezondheidsgegevens. Dit om het beroepsgeheim te kunnen borgen bij uitwisseling. Het gaat immers om het verlenen van toegang tot het dossier aan een zorgverlener die werkzaam is bij een andere zorgaanbieder. Ook is een eenduidige inrichting nodig om de persoon goed te kunnen informeren over de verwerking van zijn gegevens. Oftewel om te voldoen aan de vertrouwensfunctie transparantie. De onderlinge relaties tussen de vertrouwensfuncties zijn complexer dan in het bovenstaande schema. Deze relaties hangen ook af van het type gegevensuitwisseling en het communicatiepatroon dat wordt gebruikt.
Samenhang technische kern, voorwaarden en NEN-normen
Verwerkingsverantwoordelijkheid
De afspraken die gelden voor de zeven vertrouwensfuncties zijn uitgewerkt op de zeven onderliggende pagina’s van dit hoofdstuk. Op die pagina’s is - waar relevant - het verschil aangeduid tussen verzenden en raadpleegbaar maken. Verzenden en raadpleegbaar maken/raadplegen zijn twee verschillende typen gegevensuitwisselingen. Dit verschil is relevant vanwege de wettelijke eisen die gelden voor een elektronisch uitwisselingssysteem zoals bedoeld in de Wabvpz (zie het Juridische kader).
De verdeling van de verantwoordelijkheid van de verschillende Twiin Deelnemers die betrokken zijn bij de uitwisseling verschilt ook per type uitwisseling. Per vertrouwensfunctie is die verdeling aangeduid in de schema’s in de onderliggende hoofdstukken 5.1 t/m 5.7. Deze verdeling heeft ook betrekking op de verwerkingsverantwoordelijkheid van de Twiin Deelnemers die betrokken zijn bij een uitwisseling, zoals toegelicht in het hoofdstuk Toelichting verwerkingsverantwoordelijkheid.
Technische kern en voorwaarden
In de Technische kern zijn de afspraken over de zeven vertrouwensfuncties in meer detail uitgewerkt, inclusief specificaties en eisen. Ook wordt hier beschreven hoe de communicatiepatronen invulling geven aan de twee typen gegevensuitwisselingen. Daarnaast zijn er verschillende eisen voor de vertrouwensfuncties vastgelegd in de Voorwaarden Twiin Deelnemer. In het proces validatie wordt getoetst op deze voorwaarden.
Generieke functies
De zeven onderdelen van het vertrouwensmodel zijn vertrouwensfuncties. Vertrouwensfuncties vormen een subset van de generieke functies. Meer uitleg over generieke functies is te vinden in het hoofdstuk Architectuur. Vertrouwensfuncties zijn generieke functies die in het bijzonder gericht zijn op het borgen van het vertrouwen. De vertrouwensfuncties corresponderen met de generieke functies waarvoor NEN-normen in ontwikkeling zijn of zijn vastgesteld. Dit is hieronder in het schema aangeduid. Er zijn ook generieke functies die geen vertrouwensfuncties zijn, zoals lokalisatie en adressering. Deze twee generieke functies zijn wel randvoorwaardelijk voor uitwisseling van gezondheidsgegevens.
Normen voor informatiebeveiliging
Voor vertrouwen is informatiebeveiliging van groot belang. De NEN 7510, NEN 7512 en NEN 7513-normen zijn gericht op informatiebeveiliging, waarbij de NEN 7512-norm meer in het bijzonder is bedoeld als ‘vertrouwensbasis voor gegevensuitwisseling’. De NEN 7512-norm ziet op meer aspecten dan enkel de vertrouwensfuncties. Het Twiin Afsprakenstelsel kent ook meer voorwaarden voor validatie dan enkel de voorwaarden die zien op de vertrouwensfuncties. Zo zijn o.a. de eisen uit de NEN 7510 en NEN 7512 vertaald naar de voorwaarden waarop getoetst wordt bij validatie. Denk bijvoorbeeld aan eisen ten aanzien van beschikbaarheid. Een ander voorbeeld zijn de voorwaarden die zien op veilig netwerk.
Het Twiin Afsprakenstelsel is daarbij het geheel van afspraken dat nodig is om het vertrouwen te borgen in de uitwisseling van gezondheidsgegevens. Het vormt het kader zoals bedoeld de NEN 7512. Binnen dit kader zijn ook de diensten van belang om het vertrouwen tussen partijen te borgen. Validatie is al genoemd. Daarnaast is ook toetreding, ketenregie en handhaving van belang voor het vertrouwen. Deze diensten worden in hoofdstuk 8 beschreven. Naast de diensten heeft Twiin ook een informatiebeveiligingsbeleid.
|
Vertrouwensfuncties |
Specifieke NEN-norm* (naast NEN 7510 en NEN 7512) |
Voorwaarden |
Verwijzing uitwerking technische kern |
|---|---|---|---|
|
Identificatie |
NEN 7518 |
9.1 | 5.7-5.9 |
|
|
Authenticatie |
NEN 7518 |
9.1 | 5.10-5.11 |
|
|
Autorisatie |
NEN 7520 |
9.1 | 5.12 |
|
|
Behandelrelatie |
n.v.t. |
9.1 | 3.1 |
NVT |
|
Toestemming |
NEN 7517 |
9.1 | 5.13-5.14 |
|
|
Logging |
NEN 7513 |
9.1 | 5.19-5.20, 9.3 | 4.3 |
|
|
Transparantie |
n.v.t. |
9.1 | 2.6 |
NVT |
|
Generieke functies die randvoorwaardelijk zijn voor uitwisseling van gegevens: |
|||
|
Adressering |
n.v.t. |
9.1 | 5.17-5.18, 9.3 | 4.1-4.2 |
|
|
Lokalisatie |
NEN 7519 |
9.1 | 5.15-5.16 |
|
* Statement
Het Twiin Afsprakenstelsel volgt de ontwikkeling van de NEN-normering van de generieke functies en sluit hierop aan. Niet alle landelijke normen en technische afspraken zijn al gereed. Zie het hoofdstuk met het overzicht van de toepasselijke normen. Waar dat nodig is om gegevensuitwisseling tot stand te brengen, bevat het Twiin Afsprakenstelsel nu nog een eigen invulling. Als deze normen en afspraken wel beschikbaar zijn, zullen deze worden overgenomen in een volgende versie van het afsprakenstelsel.
Uitwisselingskompas
Het vertrouwensmodel zoals uitgewerkt in het Twiin Afsprakenstelsel correspondeert met de bovenste laag van het Uitwisselingskompas van VZVZ. De onderste laag van het uitwisselingskompas bestaat uit de generieke functies adressering en lokalisatie. Het verschil tussen het Twiin Vertrouwensmodel en het kompas is het volgende: Het kompas is met name een hulpmiddel om het gesprek te faciliteren, terwijl in het Twiin Afsprakenstelsel afspraken zijn vastgelegd over hoe invulling moet worden gegeven aan deze onderdelen.