Autorisatie en toestemmingen

Op de vorige pagina is te lezen wat een autorisatie volgens de Nuts precies is. Toch zien we dat er vaak een vergelijking wordt gemaakt tussen Nuts en toestemmingsvoorzieningen. Deze vergelijking klopt dus niet. Nuts heeft juist een toestemmingsvoorziening nodig om de expliciete toestemming als grondslag om te zetten naar een autorisatie credential. Wat Nuts echter mogelijk maakt is dat het niet uitmaakt welke voorziening een zorgorganisatie gebruikt. Ook zorgt Nuts er voor dat twee zorgorganisaties niet dezelfde voorziening hoeven te gebruiken. Nuts zorgt er voor dat de onderliggende systemen eenduidiger toegang kunnen verlenen en gebruiktmaakt hiervoor gebruik van zorgonafhankelijke open internationale standaarden.

Bij het ontwerp van de Nuts specificaties staan privacy en security hoog opin dehet agenda.vaandel. Door het ontbreken van een centrale index en door slim gebruik te maken van het autorisatieverzoek voorkomt Nuts overbevraging en privacy hotspots. De zorgorganisatie die de gegevens beheert is altijd eindverantwoordelijk voor de beveiliging van de gegevens en het waarborgen van de privacy. In het ontwerp van Nuts is dit ook technisch zo geborgd: een systeem dat als verwerker optreedt voor de zorgorganisatie moet de Nuts node API aanroepen om autorisatie credentials aan te maken.

Conclusie: een zorgorganisatie kan kiezen hoe het expliciete toestemmingen registreert, dit kan lokaal in het XIS/ECD, dit kan in een regio-platform of in Mitz. Zolang er een koppeling is tussen een toestemmingsvoorziening en een Nuts node onder de verwerkingsverantoordelijkheid van de zorgorganisatie kan deze Nuts node gebruikt worden voor gegevensuitwisseling op basis van expliciete toestemming.