5.3 | Vertrouwen: Autorisatie
Autorisatie bepaalt of een zorgmedewerker informatie mag raadplegen op basis van zijn rol in het zorgproces. Hierbij moet de te raadplegen informatie proportioneel zijn. Dat betekent dat de inhoud en omvang van de informatie moet passen bij het doel waarvoor en de context waarin hij de informatie wil gebruiken. Het betreft hier alleen de autorisatie voor het raadplegen van informatie van buiten de eigen instelling.
Beroepsgeheim en toestemming
Op de zorgverleners rust het beroepsgeheim. Zorgverleners mogen alleen onder bepaalde voorwaarden hun beroepsgeheim doorbreken (zie ook onderdeel patiënttoestemming van het vertrouwensmodel).
Proportionaliteit
Ook als een patiënt toestemming heeft gegeven, blijft de zorgverlener en zorgaanbieder verplicht om ervoor te zorgen dat niet meer gegevens worden gedeeld dan noodzakelijk. Als een zorgverlener meer gegevens deelt dan noodzakelijk, is dat een schending van het beroepsgeheim. Zorgverleners moeten kortom zorg dragen voor proportionaliteit.
De dossierhouder kan zorg dragen voor proportionaliteit, als de dossierhouder kan controleren welke zorgverlener welk dossier raadpleegt voor welk doel. Dit kan door in autorisatierichtlijnen en informatiestandaarden vast te leggen welke informatie nodig is. De dossierhouder moet vervolgens de toepassing van deze autorisatierichtlijnen en informatiestandaarden toepassen.1
Autorisatie en uitwisseling
Communicerende partijen moeten beleid en procedures vaststellen voor de gegevensuitwisseling, waaronder over het onderwerp autorisatiebeleid (NEN7512:2015, paragraaf 6.2.1, NEN7512:2022. paragraaf 6.1.1). De Gedragslijn toegangsbeveiliging digitale patiëntdossiers, d.d. 12 oktober 2020 bepaalt: "De organisatie moet alle partijen identificeren en documenteren waarmee cliëntgegevens worden uitgewisseld, en met deze partijen moeten contractuele afspraken over toegang en rechten worden gemaakt, alvorens cliëntgegevens uit te wisselen."2 Dat kan door middel van de Twiin Deelnemersovereenkomst .
De verantwoordelijkheid om specifieke afspraken te maken rust hier op de zorgaanbieder als instelling en niet op de zorgverleners. Overigens blijven zorgverleners wel tuchtrechtelijk aansprakelijk. Het centraal tuchtcollege heeft bepaald dat zorgverleners een regiebehandelaar moeten aanwijzen als de aard en/of complexiteit van de behandeling dat nodig maakt, bijvoorbeeld bij zorg die door zorgverleners van verschillende instellingen wordt verleend. Die regiebehandelaar moet er onder andere op toezien dat er een adequate informatie-uitwisseling is tussen de bij de behandeling van de patiënt betrokken zorgverleners.3
Paragraaf 8.4.2 NEN7513:2018 bepaalt dat “zorginstellingen autorisatieprotocollen opstellen waarin de reguliere toegang tot bepaalde zorggegevens wordt gekoppeld aan een rol in het zorgproces (…). De logging moet kunnen worden gebruikt voor de verantwoording van bepaalde gebeurtenissen op een elektronisch dossier. Daarom moet in de logging verwijzingen worden opgenomen naar het autorisatieprotocol (…) Is er nog geen autorisatieprotocol (…) dan wordt het ontbreken ervan vermeld.” Deze werkwijze komt overeen met besluiten die zijn genomen binnen het Informatieberaad.
Ontwikkelingen
Daarnaast NEN is gestart met de ontwikkeling van een norm over autorisatie (NEN 7520) waarin de uitkomsten van programma Janus worden verwerkt. Twiin volgt de ontwikkelingen en zal aansluiten bij de uitkomsten.
Principe | Wie is verantwoordelijk Dossierhouder of dossierraadpleger/-ontvanger | Invulling Twiin | Toelichting |
---|---|---|---|
De bron is verplicht om te zorgen dat niet meer gegevens worden geraadpleegd/vrijgegeven dan noodzakelijk en zorgt voor rolgebaseerde autorisatie. | Bij verzenden*: Dossierhouder Bij raadpleegbaar maken*: Dossierhouder | Voor iedere gegevensuitwisseling zijn er afspraken gemaakt over wie welke gegevens (waarom) uitwisselen. Als deze autorisatieafspraken er niet op landelijk niveau zijn (tussen de betrokken zorgkoepels), zal Twiin (tijdelijke) afspraken maken met de Deelnemers. | Twiin volgt de ontwikkeling van de landelijke afspraken over autorisatie in de NEN7520 en zal daarop aansluiten. |
* Verzenden en raadpleegbaar maken verwijzen naar de twee typen communicatiepatronen.
Voetnoten
Er zijn echter nog maar een beperkt aantal informatiestandaarden beschikbaar, zoals voor de acute zorg en de geboortezorg ( https://www.zorginzicht.nl/kwaliteitsinstrumenten ). Ook autorisatierichtlijnen zijn nog maar beperkt beschikbaar (wel voor Huisartswaarneming en Medisch Generalistiche Zorg) en Acute zorg; Het LSP kent een Medisch Autorisatie Protocol (MAP), er is een autorisatierichtlijn voor medicatieveiligheid (https://www.vzvz.nl/actueel/nieuwe-autorisatierichtlijn-medicatieveiligheid). In het kader van radiologisch onderzoek is binnen Twiin een concept autorisatierichtlijn opgesteld.
Te raadplegen op: https://nvz-ziekenhuizen.nl/toegangsbeveiliging-digitale-patientdossiers
Centraal Tuchtcollege, 29 januari 2021 (ECLI:NL:TGZCTG:2021:36) vindplaats.