Samenwerken Huisarts en Thuiszorg

Hier werken we samen aan diverse use-cases ter bevordering van de samenwerking tussen huisarts en thuiszorg.

Zorgtoepassingsprofiel huisartsinzage in het thuiszorgdossier

Dit document heeft de status DRAFT

Dit document beschrijft het zorgtoepassingprofiel huisartsinzage in het thuiszorgdossier. Het profiel is gebaseerd op de Nuts Bolt Zorginzage 2022 en bevat specifieke afspraken de gelden voor de zorgtoepassing huisartsinzage in het thuiszorgdossier.

Dit artikel beschrijft achtereenvolgens

Identifier van de zorgtoepassing

De identifier van de zorgtoepassing huisartsinzage in het thuiszorgdossier is ‘zorginzage-thuiszorgdossier-door-huisarts’

Governance

Governance van het zorgtoepassingsprofiel wordt uitgevoerd door intiatiefnemende leveranciers, te weten: Nedap, HINQ, Ecare en Topicus. Leveranciers die op een later moment ook het zorgtoepassingsprofiel zullen ondersteunen maken daarmee per direct onderdeel uit van ‘governance groep’. Partijen zorgen zelfstandig voor het raadplegen van de achterban om te komen tot een goede beslisvoering.

Partijen streven naar het overdragen van deze governance aan zorgpartijen als InEen en Actiz.

Informatiestandaarden

Er is op dit moment geen informatiestandaard beschikbaar rondom de inzage van het thuiszorgdossier. Zolang deze nog niet beschikbaar gebruiken we de resources die verderop in het document vermeld worden.

Daarbij is het belangrijk dat we een invulling geven aan het niet onnodig delen van rapportages die niet van nut zijn voor huisartsen. Het verdient aandacht om te zien op basis van welk criteria we daar het filter op kunnen zetten (bij de bron).

Toegestane authenticatiemiddelen

Om veilig gegevens te kunnen delen, tussen verschillende zorgaanbieders, is zorgaanbieder-overstijgende authenticatie van zorgverleners essentieel. Vanuit de NEN wordt gewerkt aan een norm met betrekking tot identificatie en authenticatie. Op het moment dat deze norm gepubliceerd wordt, is deze norm leidend. Om op korte termijn informatie uitwisseling mogelijk te maken, tot publicatie van de norm, zal vertrouwd worden op de authenticatie van het raadplegende systeem.

Toegestane grondslagen en bewijzen

Voor de zorgtoepassing huisartsinzage in het thuiszorgdossier worden de volgende grondslagen ondersteund:

In een later stadium kan onder de in de Nuts Bolt Zorginzage beschreven voorwaarden desgewenst de ‘Wabvpz-toestemming vooraf’' worden toegevoegd.

Voor ‘expliciete toestemming vooraf’ zijn de volgende bewijzen toegestaan:

Toestemming gebeurd op organisatie niveau. Daarom gaan we uit van een autorisatie op AGB-niveau.

Expliciete toestemming wordt vooraf afgegeven voor mogelijk meerdere AGB’s.

Organisatiebeleid

Access Policy

Niet-persoonsgebonden resources

Momenteel niet van toepassing.

Persoonsgebonden resources

Dit hoofdstuk beschrijft de afspraken die gelden voor persoonsgebonden resources.

Autorisatie-record

Het ophalen van huisartsinzage in het thuiszorgdossier vereist een geregistreerd autorisatie-record in de vorm van een Nuts Authorization Credential. Het credential moet voldoen aan de volgende eisen:

Normatieve einddatum autorisatie

Bij het aanmaken van een autorisatie-record dient door middel van het veld 'expirationDate' een einddatum aan de autorisatie te worden gegeven. Ten eerste dient deze einddatum gebaseerd te zijn op de wensen van de cliënt in kwestie. De zorgverlener dient de cliënt te vragen naar de gewenste duur van een toestemming. Wanneer de wens van de cliënt ten aanzien van de duur van de toestemming niet is vastgelegd, gelden de volgende normen Bij een 'expliciete toestemming vooraf' is geen einddatum.

Intrekken autorisatie

Er zijn verschillende redenen denkbaar voor het intrekken van een autorisatie:

  1. Wanneer een autorisatie is gebaseerd op een expliciete toestemming dient deze te worden ingetrokken wanneer de expliciete toestemming wordt ingetrokken. Het autorisatie-record moet in deze gevallen worden ingetrokken door de bronhouder.

Access token

Bij de aanvraag van het access token moet het autorisatie-record volgens bovenstaande eisen worden meegestuurd in het credentials-element. Daarnaast moet er gebruikersinformatie meegestuurd worden in het uzi-element. Het purposeOfUse-element moet de waarde ‘zorginzage-thuiszorgdossier-door-huisarts‘ bevatten.

Levensduur access token: 300 seconden (5 minuten)

Authenticatiecontract

Levensduur authenticatiecontract: 36.000 seconden (10 uur)

Authenticatie vindt plaats op basis van inrichting van het bevragend systeem. Bij deze bevraging wordt het UZI-nummer meegegeven als identificatie voor in de logging.

Autorisatie policy

Wanneer een bronhouder een binnenkomend request afhandelt moet op basis van de BSN, zoals vermeld in het autorisatie-record, toegang worden gegeven tot de gerelateerde resources zoals benoemd in het hoofdstuk Resources.

Er wordt gewerkt met een eenvoudig autorisatiemodel op basis van de identiteit van de raadplegende organsiatie. De gebruikersrol wordt niet meegenomen in de autorisatie beslissing.

Resources

Deze sectie beschrijft de ZIBS en bijbehorende FHIR profielen die moeten worden ondersteund.

Voor deze resources wordt een bundel opgesteld. Iedereen die dit zorgtoepassingsprofiel ondersteund voldoet aan de voorgestelde bundel. Deze zal op een later moment ingediend worden bij NICTIZ.

Logistiek

Concept ZIB(s) FHIR-resource
Patient/Client https://zibs.nl/wiki/Patient-v3.1(2017NL) en https://zibs.nl/wiki/BurgerlijkeStaat-v3.0(2017NL) https://simplifier.net/nictizstu3-zib2017/nl-core-patient
Zorgverlener https://zibs.nl/wiki/Zorgverlener-v3.2(2017NL) https://simplifier.net/nictizstu3-zib2017/nl-core-practitioner
Zorgorganisatie https://zibs.nl/wiki/Zorgaanbieder-v3.1.1(2017NL) https://simplifier.net/nictizstu3-zib2017/nl-core-practitionerrole en https://simplifier.net/nictizstu3-zib2017/nl-core-practitioner

Zorginhoudelijk

Concept ZIB FHIR-resource
Tekst rapportages nog niet beschikbaar https://simplifier.net/anw/nl-core-nursingreport
Bloeddruk https://zibs.nl/wiki/Bloeddruk-v3.1(2017NL) https://simplifier.net/nictizstu3-zib2017/zib-bloodpressure
Lichaamsgewicht https://zibs.nl/wiki/Lichaamsgewicht-v3.1(2017NL) https://simplifier.net/nictizstu3-zib2017/zib-bodyweight
Lichaamslengte https://zibs.nl/wiki/Lichaamslengte-v3.1(2017NL) https://simplifier.net/nictizstu3-zib2017/zib-bodyheight
Pijnscore nog niet beschikbaar
Bloedglucose https://zibs.nl/wiki/LaboratoriumUitslag-v4.6(2020NL) https://simplifier.net/nictizstu3-zib2017/vitalsign-bloodglucose

Applicatie architectuur

In het volgende diagram zien we de benodigde applicatie-rollen voor Attributen Based Access Control. Deze rollen zullen door een of meerdere applicaties bij de IT-leveranciers moeten worden ingevuld.

De use-cases beschrijven:

  1. Het opvragen van patient data door een zorgverlener
  2. Het vastleggen van het patient netwerk door een zorgvelener
  3. Het vastleggen van de patient toestemming door de burger/zorgverlener
  4. Het uitgeven van een zorgaanbieder identiteit door de IT-dienstverlener
  5. Het aanmelden van een zorgaanbieder voor een zorgtoepassing

Zorgtoepassingsprofiel taakuitwisseling

Zorgtoepassingsprofiel inzage huisartsgegevens door VVT

Authenticatie risicoanalyse

Situatie

Fictieve case: huisartsen inzage geven in cliëntdossiers van cliënten wijkverpleging van een VVT-organisatie, met als doel verbetering van wijkzorg waarbij zowel de huisarts als de zorgorganisatie zijn betrokken. Deze risico-inventarisatie gaat alleen in op de risico’s rondom het type gegevensverwerking ‘inzage’.

Scope van de risicoanalyse

Deze risicoanalyse geeft een overzicht van verschillende risico’s, bekeken vanuit het oogpunt van compliancy, security en privacy en is bedoeld als input voor de verdere uitwerking van project(en) rondom netwerkzorg en specifiek rondom gegevensontsluiting van VVT-organisaties met huisartsen.

Bij de uiteindelijke keuze voor een bepaalde techniek tellen verschillende aspecten mee:

Partijen en rollen rondom dataverwerkingsproces

Relevante reguleringskaders

De kenmerken van de use case bepalen welke kaderstellende wet-regelgeving/normering van belang is rondom het in kaart brengen van risico’s. Hieronder is per kenmerk te vinden welke wet-regelgeving/normering van belang is.

Kenmerk van use case Kaderstellende wet-regelgeving/normering
Het werkveld: de gezondheidszorg Wgbo, NEN7510, -12 en -13
Het beoogde doel: elektronische gegevensuitwisseling in de zorg (via inzage in extern ECD) Begz, Wabpvz
Het type informatie: gevoelige persoonlijk identificeerbare informatie (PII) Avg

Context en aandachtspunten

AVG: Rechten van de Betrokkene in acht nemen

De AVG geeft aan dat de cliënt als betrokkene een aantal rechten heeft, die nagevolgd moeten worden door de partij die de gegevens van de betrokkene verwerkt. Rondom de verwerking Inzage door de huisarts zijn met name de onderstaande rechten relevant:

Wgbo: Vanuit Betrokkene toestemming voor inzage door huisarts

In het verleden heeft de cliënt ingestemd met de verwijzing naar de thuiszorgorganisatie door de huisarts. Ook is de huisarts nog betrokken bij de zorg voor de thuiszorg-cliënt. De Wgbo stelt dat er vanuit die gedachte sprake is van een vorm van gedeelde of ketenzorg: huisarts en VVT-organisatie verlenen samen zorg aan dezelfde patiënt. Hiermee is de huisarts te beschouwen als medebehandelaar. Daarmee heeft de huisarts veronderstelde toestemming van de cliënt voor inzage van het dossier. Belangrijk: dit geldt alleen voor de huisarts zelf. Andere zorgverleners of medewerkers van een huisartsenpraktijk hebben dit dus niet zomaar ook.

Discussie: Verder specificeren wat ‘Inzage’ hier precies inhoudt en onderbouwen of deze inzage ook echt ‘Inzage’ inhoudt, of alleen bijvoorbeeld het regelmatig delen van updates/brieven met de huisarts.

Vanuit zorgvuldigheid is het wel verstandig om de toestemming, ook al is die verondersteld, toch expliciet op te nemen, bijvoorbeeld door in de zorgovereenkomst met de cliënt op te nemen dat de zorgorganisatie met elke zorgverlener gegevens mag delen, mocht dat voor een goede zorgverlening noodzakelijk zijn.

AVG: Afspraken tussen Verwerkingsverantwoordelijke en Verwerker

De AVG schrijft specifieke rollen en verantwoordelijkheden voor rondom het verwerken van gegevens van een persoon. Bij inzage door de huisarts in het thuiszorg-cliëntdossier, is een logische rolstructuur rondom dataverwerking de volgende: de VVT-organisatie is Verwerkingsverantwoordelijke; de huisarts is Verwerker. De Verwerkingsverantwoordelijke bepaalt de grondslag (het waarom) en op welke wijze de huisarts als Verwerker de verwerkingsactiviteit Inzage mag uitvoeren.

De VVT-organisatie geeft als Verwerkingsverantwoordelijke de huisarts als Verwerker instructies hoe de gegevens uit het cliëntdossier te verwerken zijn (vaak via een Verwerkersovereenkomst). Het is goed om daarbij rekening te houden met bestaande kaders en cliëntafspraken. Andere aspecten die hierin rondom de use case van belang kunnen zijn:

Concreet betekent dit dat de technische authenticatie-opzet mogelijk ingericht moet worden op twee niveaus, verschillend per leverancier:

  1. Herkenning op organisatieniveau: tussen het ECD-systeem van de thuiszorgorganisatie en het HIS-systeem van de huisarts. Hiertussen is mogelijk alleen identificatie tot op organisatieniveau mogelijk, bijvoorbeeld via een api-endpoint. Wellicht zijn er ook mogelijkheden te verkennen die wel herkenning tot op persoonsniveau mogelijk maken, maar bij de voorgestelde api-endpoint is dit lastig.
  2. Identificatie/autorisatie op persoonsniveau: Binnen het HIS-systeem van de huisarts. Binnen dit systeem is in te richten, vast te leggen en te loggen wie gebruik mag maken en heeft gemaakt van de koppeling met het ECD-systeem. De logging moet voldoen aan de NEN7513.

Discussie: Gecertificeerd zijn op de NEN7513 zou het risico op niet afdoende logging afdekken. Hoe wordt er gecertificeerd voor de NEN7513? Dus hoe kun je aantonen dat je hieraan voldoet? En is dat dan voldoende ‘risico-afdekking’ voor het risico dat de logging mogelijk niet specifiek genoeg is, of is dat een te zwakke mitigering en is meer nodig dan ‘NEN7513’ gecertificeerd zijn?

Discussie: Een alternatieve opzet zou ook kunnen zijn om zowel de VVT-organisatie als de huisarts beide als Verwerkingsverantwoordelijke te zien en om vanuit die case samen te bepalen wat het doel van de verwerking gaat zijn, maar dit is voor deze concrete use case wellicht te uitgebreid. Kan wel relevant zijn bij andere cases rondom netwerkzorg.

Technisch en organisatorische aspecten

De informatie hierboven laat zien dat de risico’s die bij de inzage door de huisarts van een thuiszorg-cliëntdossier komen kijken, niet zwart-wit zijn en ook niet volledig technisch te borgen zijn. Goede keuzes, afspraken en instructies zijn daarom belangrijk om risico’s zoveel mogelijk te beheersen en te beperken.

Overzicht van mogelijke risico’s

Een overzicht van een aantal mogelijke risico’s rondom deze use case staat in de volgende tabel:

Situatie Risico Oorzaak risico Mitigeringsoptie
Verkeerde huisarts bij cliënt vastgelegd Verkeerde huisarts krijgt inzage Organisatorisch VVT-organisatie: In eigen werkprocessen zorgvuldig inregelen
Geen expliciete toestemming van cliënt voor inzage Niet echt risico, wel ‘grijs gebied’ en ruimte voor verschil van opvattingen van VVT versus cliënt. Organisatorisch VVT-organisatie: Toestemmingen vooraf duidelijk in zorgovereenkomst vastleggen
Onzekerheid over sterkte en correcte inzet van authenticatiemiddel (b.v. UZI) Risico dat het authenticatiemiddel niet identificeert dat de persoon die inzage vraagt, niet de feitelijke persoon is die inzage mag hebben (middel is niet sterk genoeg, middel wordt misbruikt, etc.) Hieruit volgt mogelijk onrechtmatige inzage. Technisch Organisatorisch VVT-organisatie: Een sterk authenticatiemiddel op persoonsniveau inzetten
Middelen om organisatie achter inzage-vragende zorgverlener te identificeren, zijn niet adequaat genoeg.
Daarom vertrouwt men nu:
  • op een verklaring van een leverancier over de identiteit van de klant en;
  • op de door de leveranciers ingerichte processen over de kwaliteit van die bewering.
Risico dat niet gesignaleerd wordt dat het verzoek afkomstig is van een vertegenwoordiger van een organisatie zonder behandelingsovereenkomst met de client.
Hieruit volgt mogelijk onrechtmatige inzage.
Technisch
Organisatorisch
Technisch en organisatorisch:
  • Technische afdichting door werken met gezamenlijke technische infrastructuur
  • Afspraken met aansluitcriteria opstellen
Afhankelijkheid van de kwaliteit van en de opzet van de interne organisatie binnen huisartsenpraktijk Allerlei risico’s Organisatorisch VVT-organisatie: Duidelijke instructie aan huisarts om belangrijkste mogelijke risico’s rondom afhankelijkheid van diens bedrijfsvoering te beperken.
Cliënt wil recht als betrokkene uitoefenen om te weten wie cliëntdossier heeft ingezien. VVT-organisatie: risico dat de gevraagde gegevens niet adequaat opgeleverd kunnen worden, door:
  • afhankelijkheid van kwaliteit van logging van HIS
  • geen directe toegang/inzage/invloed op logging door HIS
Technisch, Organisatorisch VVT-organisatie: Afhankelijkheid van HIS inperken door als VVT-organisatie zelf iets anders te regelen op technisch én/of organisatorisch gebied.
Certificering voor NEN7513 op orde hebben
Inzage-opzet generiek uit willen breiden naar (veel) huisartsen uit de regio. Opzet is mogelijk niet makkelijk schaalbaar naar eenzelfde opzet voor allerlei verschillende huisartspraktijken in de regio.
  • Ingewikkeld
  • Papierwerk op orde
  • Afspraken per huisartsenpraktijk lastig te ‘generaliseren’
Technisch (verschillende HIS’sen), Organisatorisch Technisch en organisatorisch:
  • Technische afdichting door werken met gezamenlijke technische infrastructuur
  • Afspraken met aansluitcriteria opstellen