5 | Vertrouwensmodel
Inhoud
Definitie en belang vertrouwensmodel
Het vertrouwensmodel is het geheel van technische, organisatorische en juridische waarborgen voor het vertrouwen in de landelijke elektronische uitwisseling van medische gegevens.
Het vertrouwensmodel ziet toe op het onderlinge vertrouwen tussen zorgaanbieders, zorgverleners en patiënten en borgt daarmee de vertrouwelijkheid van het medische dossier.
De patiënt moet erop kunnen vertrouwen dat de zorgverleners en zorgaanbieders de vertrouwelijkheid van zijn dossier adequaat borgen, ook bij de uitwisseling van gegevens.
Zorgverleners hebben een beroepsgeheim (op basis van de Wet BIG en WGBO). Het beroepsgeheim geldt voor alle informatie die zij in de uitoefening van hun beroep over een patiënt te weten komen. Dus ook het feit dat een patiënt onder behandeling is bij een zorgverlener valt hieronder. Anderen die beroepsmatig kennis krijgen van patiëntgegevens zijn gebonden aan een afgeleid beroepsgeheim. Degene op wie de geheimhouding rust, moet erop kunnen vertrouwen dat de juiste maatregelen zijn getroffen om zijn beroepsgeheim te borgen.
Zorgaanbieders moeten adequate maatregelen treffen om de persoonsgegevens in medische dossiers te beveiligen, ook bij uitwisseling (op basis van de AVG). Zorgaanbieders zijn verplicht om de beveiligingsnormen voor de zorg toe te passen en het vertrouwensmodel geeft invulling aan die normen (op basis van de Begz). Ook zijn zorgaanbieders verplicht de juiste randvoorwaarden te organiseren die zorgverleners in staat stellen goede zorg te verlenen (op basis van de Wkkgz). Het gaat hierbij onder andere om de inrichting van de organisatie, de toedeling van verantwoordelijkheden en bevoegdheden en de beschikbaarheid van middelen. In het vertrouwensmodel is dan ook uitgewerkt welke partij waarvoor verantwoordelijk is bij het realiseren van databeschikbaarheid.
Onderdelen van het vertrouwensmodel
Het Twiin Afsprakenstelsel geeft invulling aan het vertrouwensmodel; in de onderliggende pagina's is voor elk onderdeel van het vertrouwensmodel beschreven welke afspraken gelden voor dat onderdeel en waar de Twiin Deelnemers zich aan verbinden. Omdat elke Twiin Deelnemer zich verbindt aan de afspraken, kunnen de Twiin Deelnemers elkaar vertrouwen. Het vertrouwensmodel bestaat uit de zeven onderdelen gevisualiseerd in onderstaand figuur.
Het vertrouwensmodel van Twiin correspondeert met de bovenste laag van het Uitwisselingskompas van VZVZ en geeft een invulling daaraan.
Bij elke elektronische uitwisseling geldt:
Identificatie: zorgaanbieders moeten erop kunnen vertrouwen dat de identiteit van een andere zorgaanbieder eenduidig wordt vastgesteld. Tevens moet de identiteit eenduidig worden vastgesteld van de patiënt over wie de uitgewisselde gegevens gaan;
Authenticatie: zorgaanbieders moeten zekerheid hebben over de identiteit van de andere zorgaanbieder en betrokken zorgverlener;
Autorisatie zorgaanbieders moeten zorgen dat alleen die gegevens uitgewisseld worden die nodig zijn voor de behandelingn de betrokken patiënt;
Behandelrelatie: zorgaanbieders moeten er op kunnen vertrouwen dat enkel toegang wordt verleend tot medische gegevens als sprake is van een behandelrelatie met de desbetreffende patiënt;
Patiënttoestemming: zorgaanbieders moeten erop kunnen vertrouwen dat de betrokken patiënt toestemming heeft gegeven die voldoet aan de voorwaarden;
Logging: zorgaanbieders moeten erop kunnen vertrouwen dat de andere aangesloten zorgaanbieders logging en de controle van de logging adequaat uitvoeren;
Transparantie: zorgaanbieders moeten erop kunnen vertrouwen dat de andere aangesloten zorgaanbieders de betrokken patiënt op begrijpelijke wijze hebben geïnformeerd over de uitwisseling van gegevens en de uitoefening van zijn rechten.
Bij de uitwisseling van gegevens tussen zorgaanbieders is een centrale vraag of een zorgaanbieder erop kan vertrouwen dat een andere zorgaanbieder voldoet aan alle vereisten voor het verlenen van toegang. Concreet: dat zorgaanbieders waarmee wordt uitgewisseld op de juiste wijze de zeven onderdelen van het vertrouwensmodel hebben ingericht. Het vertrouwensmodel kent daarom deze zeven onderdelen om de vertrouwelijkheid van het medische dossier te borgen. Deze onderdelen hangen samen; keuzes in het ene onderdeel zijn van invloed op keuzes in het andere onderdeel. Bij validatie toetst Twiin of de zorgaanbieder de waarborgen goed heeft ingericht voor de betreffende Zorgtoepassing.
In het vertrouwensmodel is onderscheid gemaakt tussen twee typen Communicatiepatronen : verzenden en raadpleegbaar maken. Ook gelden er verschillende eisen voor de twee typen in de Voorwaarden Twiin Deelnemer . Dit mede gelet op de eisen die gelden voor een elektronisch uitwisselingssysteem zoals bedoeld in de Wabvpz (zie Juridische Context).
Verwerkingsverantwoordelijkheid
Iedere zorgaanbieder is zelfstandig verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens in de eigen zorginformatiesystemen, waaronder het GtK. Daaruit volgt dat iedere zorgaanbieder als verwerkingsverantwoordelijke het aanspreekpunt is bij verzoeken van betrokkenen op basis van hun AVG-privacyrechten.
Iedere zorgaanbieder moet ervoor zorgen dat het eigen GtK voldoet aan de toepasselijke beveiligingsnormen, waaronder met name NEN 7510, NEN 7512 en NEN 7513. Dat maakt noodzakelijk dat zorgaanbieders vastleggen op welke manier zij invulling geven aan deze normen, zoals de vraag welke identificatiemiddelen zij gebruiken. De afspraken hierover zijn vastgelegd in het vertrouwensmodel van het Twiin Afsprakenstelsel.
Daarnaast is nodig dat zorgaanbieders afspreken waar de verantwoordelijkheid van de één begint en waar die eindigt. Dit is met name van belang bij gebruik van een elektronisch uitwisselingssysteem. Zo'n systeem maakt immers mogelijk dat een zorgverlener van een andere zorginstelling gegevens kan raadplegen in het zorginformatiesysteem. Zo moet een dossierraadpleger erop kunnen vertrouwen dat het GtK van de dossierhouder voldoet aan de toepasselijke beveiligingsnormen. Het is juist de verantwoordelijkheid van de dossierraadpleger dat enkel medewerkers met een behandelrelatie het dossier raadplegen bij de dossierhouder. Ook de toedeling van de verantwoordelijkheid bij uitwisseling is vastgelegd in het vertrouwensmodel van het Twiin Afsprakenstelsel.
Samenvatting invulling aspecten vertrouwensmodel Twiin
Aspect | Huidige invulling Twiin | Verwijzing uitwerking technische kern |
|---|---|---|
Identificatie | Patiënt: BSN (gevalideerd / geverifieerd) Zorgaanbieder: URA Zorgverlener: UZI-nummer of een ander uniek tot één persoon te herleiden nummer op het juiste betrouwbaarheidsniveau | |
Authenticatie | Zorgverlener: eIDAS hoog (breder dan UZI pas) Zorgaanbieder: UZI certificaat of vergelijkbaar PKI certificaten | |
Autorisatie | Medisch Autorisatie Protocol (MAP) | |
Behandelrelatie | De dossierraadpleger/-ontvanger moet een adequate autorisatiestructuur hebben ingericht en zorgdragen voor logging en adequate controle van de logging | NVT |
Patiënttoestemming | Mitz bij raadpleegbaar maken | |
Logging | NEN 7513 formaat, NEN 7510 en NEN 7512 als procedure Uniforme rapportages inclusief procedures | |
Transparantie | De patiënt goed informeren over uitwisseling en over AVG-rechten en een procedure inrichten voor opvragen logging door de patiënt | NVT |
Aspecten die samenhangen met het vertrouwensmodel: | ||
Adressering | Het aanleveren van adresgegevens voor opname in de gemeenschappelijke voorziening ZORG-AB zodat gevalideerde GtK’s de adresgegevens kunnen controleren | |
Lokalisatie | Mitz (bij raadplegen in de zin van Wabvpz) | |
Generieke functies worden uitgelegd in hoofdstuk 4 4 | Architectuur | Generieke-functies-en-gemeenschappelijke-voorzieningen
Statement
Het Twiin Afsprakenstelsel volgt de ontwikkeling van de NEN-normering van de generieke functies en sluit hierop aan.
Groeimodel ‘Groeien met Twiin’
Twiin realiseert zich dat niet alle Twiin Deelnemers al zover zijn om op dit beschreven niveau van het Twiin Vertrouwensmodel uit te kunnen wisselen. Daarom heeft Twiin een groeimodel gemaakt dat de Twiin Deelnemers helpt om te gaan voldoen aan het Twiin Afsprakenstelsel om te komen tot validatie. Het groeimodel is een leidraad in volwassenheidsniveaus om te gaan voldoen aan het Twiin Afsprakenstelsel en helpt om stapsgewijs invulling te geven aan het vertrouwensmodel. Twiin Deelnemers kunnen zelf keuzes maken – ondersteund vanuit Twiin.
Landelijk uitwisselen tussen GtK’s kan als wordt voldaan aan het Twiin Afsprakenstelsel en de Twiin Deelnemer is gevalideerd voor de betrokken zorgtoepassing. Zolang de Twiin Deelnemer nog niet is gevalideerd, kan de Twiin Deelnemer enkel uitwisselen in beperkt verband op basis van de Samenwerkingsvoorwaarden zoals omschreven in artikel 3 Deelnemersovereenkomst.
Klik hier om de Toolkit van Twiin te openen om de ‘Factsheet groeimodel’ te downloaden.