Whitepaper Privacybescherming en uitwisseling van medische informatie
Inhoud 3 5 6 7 8 9 Privacybescherming en uitwisseling van medische informatie, een spanningsveld? Wie wil er bij mijn informatie? Wie mag er bij mijn informatie? Wordt mijn data wel veilig uitgewisseld? Hoe controleer ik wie er toegang heeft tot mijn informatie? Tot slot, het drie lagen model 2
Privacybescherming en uitwisseling van medische informatie, een spanningsveld? Met grote regelmaat wordt er in diverse media gesproken over het belang van het beschermen van privacygevoelige medische gegevens. Zeker sinds er per 1 januari 2016 een meldplicht voor datalekken is ingesteld. De verplichte melding bij de Autoriteit Persoonsgegevens wanneer er een ernstig lek is gevonden, gekoppeld aan de exponentieel gestegen boete, maakt de zorgsector nerveus. Traditioneel gezien beheert de arts het dossier van zijn patiënten. Deze dossiers bestonden voornamelijk uit papieren mappen die ergens in een kast dicht bij de arts werden opgeslagen. Toegang tot deze dossiers was daarmee beperkt tot die personen die er fysiek bij konden. Tegenwoordig maken artsen meer en meer gebruik van een centraal informatiesysteem dat medische informatie in digitale dossiers opslaat. Wel zo gemakkelijk. Met één druk op de knop rolt het medisch dossier over het beeldscherm. Echter, de keerzijde is dat het medisch dossier voor meer medewerkers toegankelijker is dan wellicht noodzakelijk. In de afgelopen jaren is er nog een dimensie bij gekomen. De aandacht voor kostenbesparing in de zorg heeft geleid tot intensievere vormen van samenwerking tussen zorgverleners. Ziekenhuizen specialiseren zich. Er vinden fusies van verschillende zorginstellingen plaats om een betere dekking van zorg in een regio te krijgen. Zorgverzekeraars beginnen voorzichtig met enige sturing van de zorg waardoor wij als patiënt niet altijd meer bij ons vertrouwde ziekenhuis terecht kunnen. Het gevolg van deze ontwikkelingen is dat ons medisch dossier versnippert raakt over diverse zorgverleners, instellingen en informatiesystemen. Als wij voor onze zorg op meerdere plekken moeten zijn, dan is het wel zo handig wanneer de dokter bij onze gegevens kan, die niet in zijn eigen systeem opgeslagen zijn. Geen probleem hoor ik u denken. Dit is in andere sectoren al lang opgelost. Even wat systemen aan elkaar koppelen via het internet en klaar zijn we. In de financiële sector bijvoorbeeld is dit probleem al lang opgelost en kunnen we veilig geld overmaken tussen betaalrekeningen bij verschillende banken. Helaas, zo eenvoudig is het niet. Het gaat hier over medische informatie die privacygevoelig is. Wie bepaalt wie welke informatie mag opvragen? Wie garandeert dat de informatie veilig wordt uitgewisseld? En, wat wordt er met onze informatie gedaan? Kortom, een spanningsveld. 3
Wij hebben dagelijks met dit spanningsveld te maken omdat Forcare oplossingen levert die het uitwisselen van zorginformatie tussen zorgverleners mogelijk maakt. Om dit spanningsveld nog iets helderder te maken, voegen we nog een dimensie toe. Dit is de dimensie dat de dokter, die toegang moet hebben tot onze medische informatie, dat doet vanuit een andere locatie, en een ander informatiesysteem, dan de locatie en het informatie systeem waarin deze medische informatie is opgeslagen. Met andere woorden, het systeem dat medische informatie bevat moet beslissen of het toegang tot deze informatie geeft voor een gebruiker die niet in dat systeem bekend is. Een lastige keuze. Het probleem van toegang tot medische informatie valt hiermee uiteen in een aantal vragen: 1 Wie is de persoon die mijn medische informatie wil inzien? (authenticatie) 2 Is deze persoon daartoe wel bevoegd? (autorisatie, juridische context) 3 Als er medische informatie wordt uitgewisseld, gebeurt dat dan op een veilige manier? (data transport beveiliging, encryptie) 4 Heb ik als patiënt nog wat te zeggen over wie wel en niet bij mijn medische informatie kan? (toestemming) 4
Wie wil er bij mijn informatie? De eerste vraag betreft een authenticatievraag. Voordat we überhaupt over toegang tot medische informatie kunnen beslissen, willen we weten wie de persoon is die om toegang vraagt. Authenticatie in informatiesystemen gaat om het eenduidig vaststellen van de elektronische identiteit van de ingelogde gebruiker. Forcare ondersteunt hiervoor een aantal authenticatiemogelijkheden: 1 Op basis van gebruikersprofiel dat is opgeslagen in een extern systeem (LDAP) 2 Op basis van een smartcard waarop het gebruikersprofiel is opgeslagen (UZI-pas) 3 Door het operating system waarop de Forcare applicatie draait (Windows Authenticatie) 4 Op basis van een SAML token dat door een externe applicatie wordt doorgegeven (SSO) Forcare producten maken hierbij gebruik van een aantal IHE-profielen die daarvoor relevant zijn: Enterprise User Authentication Dit profiel legt vast hoe er o.b.v de Kerberos standard authenticatieinformatie met een extern authenticatie-systeem kan worden uitgewisseld (bijv. Windows Active Directory) Cross-enterprise User Assertion Dit profiel legt vast hoe authenticatie-informatie van een gebruiker tussen twee systemen kan worden uitgewisseld. Healthcare Provider Directory Dit profiel legt de interactie met een zorgaanbiedersgids vast zodat een systeem kan uitvinden bij welke organisatie/ afdelingen een gebruiker werkt. Daarnaast biedt dit profiel de mogelijkheid een aantal kenmerken van de gebruiker vast te leggen. Denk aan contactgegevens, emailadressen en dergelijke. Deze profielen leggen vast hoe authenticatie-informatie kan worden uitgewisseld. Hoe deze authenticatieinformatie wordt gebruikt om te bepalen wat een gebruiker mag, wordt beantwoord met de tweede vraag. 5
Wie mag er bij mijn informatie? Vraag twee gaat over autorisatie. Dit is een lastiger onderwerp omdat autorisatie iets is dat alleen maar kan worden afgedwongen door een informatiesysteem. De autorisatie zelf is een afspraak of beleid. Bijvoorbeeld de afspraak dat een arts alleen toegang heeft tot het medisch dossier van patiënten die hij behandelt. Als er geen sprake is van een behandelrelatie, dan hoort toegang tot dossiers van deze patiënten geweigerd te worden. Forcare biedt in haar software-producten de mogelijkheid om autorisatieregels te definiëren. Hierbij wordt gebruik gemaakt van de XACML standaard. De A en C staan voor Access Control die in XML regels worden vastgelegd. De XACML standaard biedt veel vrijheid. Forcare beperkt deze vrijheid tot een aantal praktische mogelijkheden waarbij autorisatieregels voor zowel personen als systemen kunnen worden gedefinieerd. Een voorbeeld van een autorisatieregel voor personen is: elke gebruiker met een geregistreerde rol van arts mag medische documenten inzien van het ziekenhuis waar hij werkt; voor alle andere documenten is toestemming van de patiënt nodig. Een voorbeeld van een autorisatieregel voor systemen is: systeem A is toegestaan om te koppelen met systeem B. Helaas is de harde werkelijkheid dat er op het gebied van access control minder gestandaardiseerd is dan we graag zouden willen. Veel informatiesystemen lossen dit op hun eigen manier op. Forcare biedt daarom de mogelijkheid om centraal een access control beleid af te dwingen m.b.v. forindex (XDS Registry). Hiermee kan op een plek vastgelegd worden wie welke informatie mag inzien. Daarbij biedt Forcare uitgebreide audit logging mogelijkheden zodat altijd kan worden vastgesteld wie op welk moment, vanaf welk systeem, toegang heeft gehad tot patiëntinformatie. 6
Wordt mijn data wel veilig uitgewisseld? Vraag drie betreft het veilig elektronisch uitwisselen van informatie tussen systemen. Hiervoor zijn een aantal standaard technieken als Transport Layer Security (TLS) beschikbaar. In de internetwereld beter bekend als Secure Socket Layer (SSL) encryptie. Vaak ook aangeduid met een private VPN tunnel. Ook hier brengt IHE de oplossing aan in de vorm van het ATNA profiel. Forcare dwingt, op basis van dit profiel, tweezijdige systeemauthenticatie af. D.w.z. twee systemen die informatie met elkaar uitwisselen moeten elkaar vertrouwen op basis van vooraf overeengekomen beveiligingscertificaten. Pas als beide systemen elkaars certificaat accepteren, kan er gestart worden met geëncrypte informatie-uitwisseling. 7
Hoe controleer ik wie er toegang heeft tot mijn informatie? De vierde en laatste vraag gaat over patiënttoestemming. Ook wel patient consent genoemd. Of het nu een juridische richtlijn is, een gedragscode, een advies van het College Bescherming Persoons-gegevens, of een wens van de NPCF, de basis van patiënt toestemming is dat deze kan worden vastgelegd en gebruikt om te bepalen wie geautoriseerd mag worden om het medisch dossier in te zien. Ook hier biedt Forcare een oplossing op basis van het IHE profiel. Het Basic Patient Privacy Consent (BPPC) maakt het mogelijk de aan de patiënt gevraagde toestemming elektronisch vast te leggen. Forcare gaat echter nog een stap verder. Het consent document kan gebruikt worden in de eerder genoemde autorisatieregels waardoor de toestemming van de patiënt mee wordt gewogen in de beslissing of een arts al dan niet toegang tot het dossier heeft. Het vastleggen van de toestemming via Forcareproducten kan zowel handmatig als automatisch worden gedaan. Het daarbij belangrijk om te realiseren dat voordat toestemming kan worden vastgelegd er een protocol moet worden ingevoerd waarbij de toestemmingsvraag aan de patiënt gesteld wordt. Dit kan bijvoorbeeld zijn dat tijdens de intake bij de inschrijfbalie de patiënt geïnformeerd wordt over het privacybeleid van een ziekenhuis. In het gesprek met een arts kan de toestemmingsvraag worden gesteld en vastgelegd. Elke zorginstelling zal hiervoor zijn eigen beleid moeten opstellen. Natuurlijk houden we ook rekening met traumasituaties waarin er toegang tot het dossier nodig is zonder dat de patiënt daarvoor toestemming kan geven. In dat geval biedt Forcare een break the glass optie waarbij een arts zichzelf toestemming kan geven om een dossier in te zien. Echter, alle toegang tot dit dossier wordt dan speciaal gelogd en geaudit. 8
Tot slot, het drie lagen model In dit artikel is ingegaan op slechts een aantal aspecten die een rol spelen bij de bescherming van privacygevoelige (medische) patiëntinformatie. Bescherming van deze informatie gaat gepaard met maatregelen die de toegang tot deze informatie beperken tot die personen die daartoe geautoriseerd zijn. De mogelijkheden om medische informatie effectief af te schermen die Forcare uniek maken kunnen in een drie lagen model worden samengevat: Transport-laag: Systeemcertificaten (PKI) en data encryptie Applicatie-laag: Authenticatie, autorisatie, audit logging Informatie-laag: Consent management (opt-in, opt-out), role-based access control Alle functionaliteiten die Forcare hiervoor biedt zijn gebaseerd op interoperabiliteitsprofielen die zijn opgesteld door de internationale IHE organisatie. Deze profielen geven u als gebruiker de beste garantie op een leveranciersneutrale en toekomstbestendige oplossing. 9
Author: Andries Hamster Copyright 2017 This publication may be distributed in its unmodified whole with reference to the author and company name. forcare.com