IZO Architectuur (Informatievoorziening Zorg en Ondersteuning)

Vergelijkbare documenten
IZO Architectuur (Informatievoorziening Zorg en Ondersteuning)

IZO Architectuur (Informatievoorziening Zorg en Ondersteuning)

IZO Architectuur (Informatievoorziening Zorg en Ondersteuning)

IZO Architectuur (Informatievoorziening Zorg en Ondersteuning)

IZO Architectuur (Informatievoorziening Zorg en Ondersteuning)

Architectuur Informatievoorziening. Zorg en Ondersteuning 2015

MEMO I-SOCIAAL DOMEIN

Stichting Inlichtingenbureau Privacy jaarverslag Versie 1.0

IZO Architectuur (Informatievoorziening Zorg en Ondersteuning)

Referentiegroep iwlz. 8 maart 2016

De Staatssecretaris van Volksgezondheid, Welzijn en Sport. Postbus EJ DEN HAAG. Advisering Besluit langdurige zorg.

Factsheet Deel 2: Omgaan met persoonsgegevens door zorgaanbieders: Wmo 2015, Jeugdwet en Wlz

Architectuur Zorg en Ondersteuning

Actieprogramma iwlz. Introductie Vernieuwing informatievoorziening WLZ Technische Referentiegroep 8 mei 2018

Voorwaarden Digilevering

De wereld van de zorg op zijn kop met blockchain Mijn Zorg Log: Een werkende blockchain voor de zorg Zorginstituut Nederland

AVG impact assessment iwlz

Handreiking Wlz-Registertoets

Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017

Processen en juridische aspecten LV WOZ

Werkafspraken berichtenuitwisseling iwmo tussen gemeente en aanbieder

Presentatie NORA/MARIJ

SUITE4JEUGDZORG Ondersteuning bij het uitvoeren van Jeugdzorgtaken

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

Handreiking Wlz-Registertoets

Samen voor mekaar. Beleidsplan sociaal domein Onderdeel 8 Informatievoorziening

Procesbeschrijving Begeleiding, Verblijf en Persoonlijke verzorging

Wettelijke kaders voor de omgang met gegevens

Aan welke eisen moet het beveiligingsplan voldoen?

Reglement bescherming persoonsgegevens Nieuwegein

Informatievoorziening Langdurige Zorg

Programma VISD 2014 Ketenkaart Jeugd/AZR versie mei 2014

Via het CAK hebben wij een bestand gekregen met alle thuiswonende Wlz-cliënten voor wie de gemeente de HH per 1 april 2017 moet stopzetten.

Position Paper. Voorstel van Wet maatschappelijke ondersteuning 2015 (kamerstukken ) Ingebracht door de KNMG en GGZ Nederland

Gegevensuitwisseling en gegevensbescherming Wmo en AWBZ

Berichten uitwisselen via VECOZO. Informatie voor zorgaanbieders en gemeenten

Privacy reglement. Pagina 1 van 9

iwlz-release Functionele uitwerking 28 februari 2019

Advies voor het opnemen van basisprincipes als kaders voor het informatiestelsel van de zorg. 1. Inleiding

Memo Regiegroep OSO Datum: 7 januari 2016 Marjan Frijns Onderwerp: Voorstel wijziging PKI infrastructuur OSO

Referentiegroep iwlz release Maandag 5 maart 2018

BLAD GEMEENSCHAPPELIJKE REGELING

Werkwijze DGSenB voor rechtmatige en gestructureerde gegevensuitwisseling

Het Gemeentelijk Gegevensknooppunt Efficiënte gegevensuitwisseling voor de 3D s visd 2014 Door: Arjen Brienen (KING)

Aansluiten op de diensten van het Gemeentelijk Gegevensknooppunt

Informatievoorziening Wlz. - Wouter Franke - 16 december 2014

Verwerkersovereenkomst

Advies conceptwetsvoorstel Jeugd. Geachte,

Geachte heer, mevrouw,

Verbinden. Bestuurlijke Samenvatting

CIZ. Bepaling toegang tot de Wet langdurige zorg door CIZ Informatie voor gemeenten

Verantwoordingsrichtlijn

Privacy Scan VISD juni Antwoordcategorie Ja/Nee/ Onbekend

Draaiboek Invoering Basisregistratie Personen l Afnemers

de Algemene Verordening Gegevensbescherming (AVG); Uitvoeringswet Algemene Verordening Gegevensbescherming.

GEBRUIKERSHANDLEIDING KNOOPPUNTDIENSTEN

Privacyverklaring Therapeuten VVET

Het leveren en declareren van jeugdhulp

Project invoering EPD en BSN in de zorg, Idius Felix, juni

PRIVACY REGLEMENT

PRIVACY BELEID Zorggroep t Zicht B.V.

Officiële uitgave van het Koninkrijk der Nederlanden sinds In hoofdstuk 9 worden na artikel 9.13 vier nieuwe artikelen ingevoegd, luidende:

Blockchain de Zorgtoekomst? Zorginstituut Nederland

Verwerkersovereenkomst VOORBEELD SJABLOON VERWERKERSOVEREENKOMST PERCEPTIE VAN VERWERKER

Informatiearchitectuur in de zorg. Veranderende wetgeving en (keten)architectuur

Scenario s voor de administratieve afhandeling van de AWBZuitstroom

Privacyverklaring Karin van der Donk Z.O.M. Zorg op Maat

- 6 JUNI 21)14. Gemeente Woerden Brief aan de leden T.a.v. het college en de raad (070)

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Stelselvoorzieningen. Johan ten Dolle Projectleider Aansluitondersteuning. Sing Hsu Technisch adviseur Digilevering. VIAG, 7 oktober 2013

Wet langdurige zorg (Wlz) Van aanvraag tot besluit

PLATFORM IZO 21 OKTOBER 2016

Privacy Statement Zorgkantoor

Wet Bescherming Persoonsgegevens (WBP); Burgerlijk Wetboek, boek 7: (overeenkomst inzake geneeskundige behandeling (WGBO);

Factsheet 'Verstrekking gezondheidsgegevens cliënten vooruitlopend op inwerkingtreding Wmo'

Wmo 2015 op hoofdlijnen. Michiel Geschiere (VWS)

Uitgangspunten privacy beleid en gegevensbescherming van Mentorschap Nederland, zoals vastgesteld in de ALV van 24 oktober 2018

Bijlage 2 Informatiesheet voor (nieuwe) zorgaanbieders

Bijlage 2 Informatiesheet voor nieuwe zorgaanbieders

Checklist Wmo Platform

Bijlage 1. Overzicht van de basisvoorziening in het NUP: afspraken en gevolgen voor de gemeente

Reglement privacy gemeente Goes 18INT01558

Laatste versie:

Samen werken aan privacy. Special AVG voor itour 24 april Pieter de Groot & Henk-Jan van der Molen

Berichtdefinitie Budgetafsluiting

Naam presentatie. Basisregistraties 7 november 2013 Amersfoort

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacyverklaring VVET

Zorgverzekeraars en NEN 7510

Privacyreglement Werkvloertaal 26 juli 2015

Burgerservicenummer Eén nummer is genoeg

Makelaarsuite. Onderwerp: Datum: Aanwezigen: Stefan Kuijpers Pim Bouwer

Gebruikt u mijn gegevens ook als u die van iemand anders hebt gekregen?

Ik heb een persoonsgebonden budget (pgb)

De Partijen: overwegende, dat:

VZVZ PROVES TOETST MEDMIJ EN GTS IN DE PRAKTIJK VERENIGING ZORGAANBIEDERS VOOR ZORGCOMMUNICATIE. Vereniging van Zorgaanbieders voor Zorgcommunicatie

Berichtdefinitie Signaal

Privacyreglement Stichting Werkcarrousel

Privacyreglement. Begripsbepaling Artikel 1

CIZ. Bepaling toegang tot de Wet langdurige zorg door CIZ Informatie voor zorgaanbieders

Transcriptie:

(Informatievoorziening Zorg en Ondersteuning) Deel 3a: PSA Wlz indicatie (voor 1 januari 2015) "There is no reason anyone would want a computer in their home." Ken Olson, president, chairman and founder of Digital Equipment Corp., 1977 Status Definitief versie 1.0 Auteur(s) Paul van Raaij Opdrachtgever Directie Elke Buis (VWS) Datum 18 september 2014 Directie Langdurige Zorg (DLZ) en Directie Maatschappelijke Ondersteuning (DMO)

Versiebeheer Versie Datum Omschrijving / Wijzigingen Auteur(s) Status 0.0.2 11-07-2014 0.0.4 30-07-2014 Voorgelegd aan de IZO Architectuurboard van 14 juli 2014. Opmerkingen uit de IZO Architectuurboard van 14 juli 2014 verwerkt. 0.1.0 11-08-2014 Concept versie gereed. 0.1.1 28-08-2014 0.1.2 15-09-2014 1.0 18-09-2014 Onderscheid tussen doelarchitectuur en PSA aangebracht. Geagendeerd in de IZO Architectuurboard van 15 september 2014. Opmerkingen IZO Architectuurboard van 15 september 2014 verwerkt. Paul van Raaij (ICTU) Paul van Raaij (ICTU) Paul van Raaij (ICTU) Paul van Raaij (ICTU) Paul van Raaij (ICTU) Paul van Raaij (ICTU) Concept Concept Concept Concept Concept Definitief Pagina 2 van 31

Architectuur IZO: PSA voor de Wlz indicatie Voor u ligt een uitwerking van de IZO-Architectuur van het domein van zorg en ondersteuning. In een eerder stadium zijn Deel 1 (kaders en richtlijnen van de onder IZO vallende projecten) en Deel 2 (het ontwerp van de Architectuur) al opgeleverd. In Deel 2 is een aantal voorzieningen geïdentificeerd, dat nu in Deel 3 in doelarchitecturen en project start architecturen (PSA) worden uitgewerkt. Feitelijk bestaat Deel 3 van de IZO- Architectuur uit een verzameling van doelarchitecturen en PSA s. Een PSA beschrijft één van de architectuurproducten die aan een project bij aanvang wordt meegegeven. Zo wordt geborgd dat vernieuwingen in samenhang en context met hun omgeving worden gerealiseerd. Een PSA (IZO-Architectuur, deel 3) wordt in principe voor de start van het project samen met het projectplan ter besluitvorming aangeboden. De PSA voor de knooppunten beschrijft de meest haalbare oplossing per 1 januari 2015 en geeft zo richting aan de oplossing die een project gaat realiseren. De doelarchitectuur beschrijft de meest optimale en gewenste oplossing. Een PSA geeft richting aan de oplossing die een project gaat realiseren. Normaliter richt de PSA zich daarbij op kaders en richtlijnen die op een project van toepassing zijn en de impact van deze kaders op de beoogde verandering. In het IZO traject zijn deze kaders echter al in Deel 1 en Deel 2 van de IZO-Architectuur beschreven en worden deze overerft naar de doelarchitecturen en PSA s die in Deel 3 worden gerealiseerd. Daarom richten de doelarchitecturen en PSA s die in Deel 3 worden gemaakt zich veel meer op de koppelvlakken die de projecten voor de voorzieningen moeten opleveren en de eisen waaraan deze koppelvlakken moeten voldoen. Daarnaast worden de belangrijkste diensten van het koppelvlak en de functies van de bouwsteen zelf beschreven. Hoe deze koppelvlakken door de voorzieningen worden gerealiseerd is aan de projecten en de opdrachtnemers van deze projecten. De zogenaamde black box benadering. In eerste instantie op weg naar het in werking treden van de wetten Wlz, Wmo 2015 en Zvw per 1 januari 2015 wordt gefocust op de administratieve processen van: Indicatie stellen voor de Wlz. Toewijzen van zorg. Declareren van verleende zorg. De informatie-uitwisseling tussen (zorg)aanbieders en gemeenten Pagina 3 van 31

Voor elk van bovenstaande voorzieningen is een PSA (IZO-Architectuur, deel 3) beschikbaar. Om dit mogelijk te maken worden voor 1 januari 2015 de volgende voorzieningen gerealiseerd: Het indicatieregister (wie heeft er een indicatie voor de Wlz). PGB trekkingsrechten (de afhandeling van persoonsgebonden budgeten). De knooppunten (het afhandelen van het berichtenverkeer). De doelarchitectuur beschrijft alle diensten die het CIZ t.b.v. van de ketenpartijen moet leveren. Echter, op 1 januari 2014 wordt alleen de Wlz indicatie toets van gemeenten bij het CIZ gerealiseerd. Dit document beschrijft dus alleen de PSA voor de Wlz indicatie toets door gemeenten. Het beschrijft hoe gemeenten het CIZ kunnen bevragen op het aanwezig zijn van een Wlz indicatie (de zogenaamde DAT-informatie). De overige diensten uit de doelarchitectuur zijn in dit document niet beschreven, omdat deze: al bestaan vanuit de AWBZ (het Wlz indicatie besluit voor zorgkantoren), al zijn gerealiseerd (Wlz indicatie ja/nee naar het CAK) of nog niet worden opgeleverd (de Wlz indicatie ja/nee plus start- en einddatum voor zorgverzekeraars). Daarmee richt deze PSA zich op één dienst die het CIZ gaat realiseren, namelijk het door gemeenten toetsen of er een Wlz indicatie is. In de tekening is deze in het rood omcirkeld. Zo wordt goed zichtbaar welke deel van IZO met deze PSA wordt opgepakt. De kaders en koppelvlakken van de dienst van het CIZ aan de afnemers worden in deze PSA nader uitwerkt. Het project, die deze dienst bij het CIZ gaat realiseren, neemt deze randvoorwaarden uit de architectuur mee bij het tot stand komen van de oplossing. De PSA voor de Wlz indicatie beschrijft de oplossing, zoals deze op 1 januari 2015 wordt Pagina 4 van 31

gerealiseerd. In de ontwikkelagenda voor na 1 januari 2015 wordt toegewerkt naar de doelarchitectuur (IZO Architectuur Deel 3a Doelarchitectuur Wlz indicatie). Het berichtenverkeer verloopt via knooppunten. De doelarchitectuur en PSA voor de knooppunten (IZO Architectuur Deel 3c PSA Knooppunten) is daarmee impliciet onderdeel van deze PSA. Zo wordt ervoor gezorgd dat de oplossing onder architectuur wordt gerealiseerd en dat de gegevensuitwisseling met andere afnemende partijen in de keten soepel verloopt. De IZO Architectuurboard zal uiteindelijk toetsen of de gerealiseerde oplossing conform deze doelarchitectuur en de PSA wordt gerealiseerd. Pagina 5 van 31

Leeswijzer Dit document beschrijft de informatie dienst voor de Wlz indicatie voorziening in de ketens van de langdurige zorg en maatschappelijke ondersteuning. Zo worden in hoofdstuk 1 summier de ambities van de hervorming van de langdurige zorg en maatschappelijke ondersteuning nog eens beschreven. In hoofdstuk 2 wordt het proces van hoe toegang tot langdurige zorg wordt verleend kort besproken. Ook de producten die het CIZ levert worden hierbij aangeduid. De informatie in de ketens betreft gevoelige medische gegevens van kwetsbare groepen in de maatschappij. Daarom worden er hoge eisen aan privacy gesteld. De uitkomsten en maatregelen die hieruit voortvloeien worden in hoofdstuk 3 beschreven. Vervolgens worden in de hoofdstukken 4 en 5 het berichtenverkeer en de knooppunten in het resp. het publieke en private domein beschreven. In hoofdstuk 6 wordt besproken wat een indicatieregister feitelijk is. Een aparte voorziening of een informatie service die Wlz-besluiten rechtstreeks uit de bronadministratie levert na bevragingen van ketenpartijen. De laatste vorm lijkt het meest voor de hand te liggen, echter het is aan het CIZ om hier verder vorm aan te geven. Hoofdstuk 7 beschrijft hoe de voorziening wordt beheerd. De beschikbaarheid, betrouwbaarheid en integriteit van de Wlz-indicatiebesluiten wordt hier benoemd. Pagina 6 van 31

Managementsamenvatting Op basis van een aantal beleidsambities verandert er veel in de Langdurige Zorg en Maatschappelijke Ondersteuning. Er zal meer worden uitgegaan van wat mensen nog kunnen en wat daarbij de eigen mogelijkheden zijn, dan naar van wat ze niet meer kunnen. De beleidsambities richten zich daarbij op een integraal aanbod van zorg en ondersteuning, meer regie bij de burger en decentralisatie van de zorg, dichtbij de burger en met meer toegankelijkheid. Dit is de inzet van de hervorming van de langdurige zorg. Door de hervorming moet er ook worden gebouwd aan een duurzaam fundament voor de informatievoorziening. IZO is verantwoordelijk voor de realisatie van de voorzieningen die nodig zijn voor de informatievoorziening in de langdurige zorg en maatschappelijke ondersteuning. Uitgangspunt hierbij is dat de informatievoorziening effectief en in samenhang wordt opgezet, zodat een duurzaam fundament wordt gelegd voor de langdurige zorg en maatschappelijke ondersteuning. Een fundament dat allicht zelfs breder inzetbaar is in de zorg. Onderdeel van de hervorming is de informatievoorziening rondom de Wlz indicatie. De Wlz indicatie geeft toegang tot de langdurige zorg en wordt vastgesteld door een onafhankelijk organisatie, het CIZ. Om deze vast te kunnen stellen verzamelt het CIZ persoons- en medische gegevens en kan het onderzoeken instellen. Dit zijn gevoelige en vertrouwelijke medische gegevens, net als het indicatiebesluit dat hieruit volgt. Dit leidt tot eisen t.a.v. privacy en gegevensbescherming. In dit document is beschreven hoe deze gegevensuitwisseling op 1 januari 2015 loopt en welke eisen hieraan worden gesteld. Deze uitwerking wordt aan het CIZ meegegeven bij de realisatie van de informatie dienst voor het leveren van de Wlz indicatiebesluiten en het aanwezig zijn van Wlz indicaties aan de ketenpartijen. Zo wordt geborgd dat de gegevensuitwisseling tussen de ketenpartijen in de zorgdomeinen (Zvw, Wlz, Wmo) vloeiend en efficiënt verloopt. Hiermee wordt voorkomen dat de gegevensuitwisseling stagneert en dat administratieve lasten en operationele kosten bij de uitwisseling van gegevens toenemen. Tevens dient het document als leidraad tijdens de realisatie van de informatie dienst voor Wlz indicatiebesluiten en het aanwezig zijn van Wlz indicaties. De IZO Architectuur Board zal de gerealiseerde oplossing a.d.h.v. de doelarchitectuur Wlz indicatie en deze PSA toetsen. Pagina 7 van 31

INHOUDSOPGAVE VERSIEBEHEER... 2 ARCHITECTUUR IZO: PSA VOOR DE WLZ INDICATIE... 3 LEESWIJZER... 6 MANAGEMENTSAMENVATTING... 7 1 HERVORMING LANGDURIGE ZORG...10 1.1 DOELSTELLINGEN VAN DE HERVORMING LANGDURIGE ZORG...10 1.2 HERVORMING LANGS DRIE HOOFDLIJNEN...10 1.3 TOEKOMSTBEELD IZO 2016...11 1.4 INFORMATIEVOORZIENING LANGDURIGE ZORG...11 1.5 BETROKKEN KETENPARTIJEN...11 1.6 INFORMATIE-UITWISSELING TUSSEN DE KETENPARTIJEN...11 2 TOEGANG TOT DE WLZ...13 2.1 HET TOT STAND KOMEN VAN EEN INDICATIEBESLUIT...13 2.2 PRODUCTEN VAN HET CIZ...14 2.3 DIENSTEN VAN HET CENTRUM INDICATIESTELLING ZORG (CIZ)...14 2.4 INFORMATIE-UITWISSELING TUSSEN HET CIZ EN DE KETENPARTIJEN IN DE WLZ...15 2.5 GEGEVENSSTROMEN BIJ DE WLZ INDICATIE JA/NEE...15 2.6 WIJZIGINGEN IN HET BRP...16 3 PRIVACY EN INFORMATIEBEVEILIGING...17 3.1 PRIVACY...17 3.2 MAATREGELEN IN DE INFORMATIEBEVEILIGING...19 3.3 CHECKLIST T.A.V. PRIVACY EN INFORMATIEBEVEILIGING...19 4 WLZ INDICATIES VOLGENS BERICHTENVERKEER...21 4.1 INFORMATIE-UITWISSELING VIA WEB SERVICES...21 4.2 INFORMATIE-UITWISSELING VIA EEN WEB PORTAAL...21 4.3 IDENTIFICATIE, AUTHENTICATIE EN AUTORISATIE BIJ BERICHTENVERKEER EN WEB PORTAAL...21 4.4 DE TRACKING, TRACING, LOGGING EN AUDITTRAILS VAN BERICHTEN...22 4.5 ENCRYPTIE BIJ OPSLAG EN VERZENDEN VAN BERICHTEN...22 5 GEBRUIKTE KNOOPPUNTEN VOOR DE WLZ INDICATIE...23 5.1 OVERZICHTSPLAAT VAN DE KNOOPPUNTEN VOOR DE AFHANDELING VAN BERICHTENVERKEER...23 5.2 AFHANDELING VAN BERICHTENVERKEER VOOR HET WLZ-INDICATIE (JA/NEE)...24 5.3 AFHANDELING VAN WLZ-INDICATIE (JA/NEE) VIA EEN INKIJKFUNCTIE...25 6 INDICATIEREGISTER VERSUS INDICATIE SERVICE...26 6.1 CRITERIA VOOR HET BENOEMEN VAN REGISTERS...26 6.2 WLZ INDICATIE WEB SERVICE...26 6.3 WLZ INDICATIE VIA HET WEB PORTAAL...26 7 GEBRUIK VAN DE WLZ INDICATIEVOORZIENING...27 7.1 BESCHIKBAARHEID...27 7.2 INTEGRITEIT...27 Pagina 8 van 31

7.3 VERTROUWELIJKHEID...27 7.4 BEHEER...27 8 AFWIJKINGEN VAN DE DOELARCHITECTUUR...28 8.1 AFWIJKINGEN IN INFRASTRUCTURELE VOORZIENINGEN...28 8.2 EUROPESE PRIVACY VERORDENING...28 8.3 HET INDICATIEBESLUIT VIA DE KNOOPPUNTEN...28 8.4 WLZ INDICATIE JA/NEE PLUS STARTDATUM NAAR ZORGVERZEKERAARS...28 8.5 FILTERING EN BLACK EN WHITE LISTING...28 8.6 DIGIKOPPELING EN DIGINETWERK VIA RINIS...29 8.7 NIET BESCHREVEN DIENSTEN UIT DE DOELARCHITECTUUR...29 9 CHECKLIST VOOR DE IZO ARCHITECTUURBOARD...30 Pagina 9 van 31

1 Hervorming Langdurige Zorg De zorg is in beweging. Op basis van een aantal beleidsambities verandert er veel in de Langdurige Zorg en Maatschappelijke Ondersteuning. Zo worden zorgfuncties van de AWBZ overgeheveld naar de Wmo en de Zvw, regelfuncties van de zorgkantoren worden verlegd naar de zorgverzekeraars en de indicatiestelling wordt steeds meer neergelegd bij de zorgaanbieders. De doelstellingen kunnen kort worden weergegeven als eenvoud voor de klant, administratieve lastenverlichting voor de organisaties in de zorg en modernisering van de gegevensuitwisseling. Daarom een hervorming. Meer uitgaan van wat mensen nog kunnen en wat daarbij de eigen mogelijkheden zijn, dan naar wat ze niet meer kunnen. De beleidsambities richten zich daarbij op een integraal aanbod van zorg en ondersteuning, meer regie bij de burger en decentralisatie van de zorg, dicht bij de burger en met meer toegankelijkheid. De uitbreiding van de Wmo is daarbij een belangrijke ontwikkeling. Het betekent dat steeds meer ondersteuning onder de verantwoordelijkheid van de gemeenten komt. 1.1 Doelstellingen van de hervorming langdurige zorg De hervorming van de langdurige zorg heeft drie hoofddoelen: Aanpassing van de organisatie van de zorg Mensen zelfstandig thuis laten wonen met ondersteuning van het eigen sociale netwerk of (gemeentelijke) thuiszorgvoorzieningen. Wanneer zelfstandig thuis wonen niet meer mogelijk is, moeten goede instellingen de zorg overnemen met oog voor het individu en de kwaliteit van leven. Financieel houdbaar houden van de langdurige zorg, ook voor toekomstige generaties De AWBZ is overbelast geraakt. Teveel zaken die we zelf zouden kunnen regelen, worden uit de collectieve middelen betaald. Dit leidt tot hoge premies die op termijn de zorg uithollen en onhoudbaar zijn. Langdurige zorg passend houden hoe men in Nederland met elkaar om wil gaan Creëer een participatiesamenleving waar primair zorg uit de directe eigen omgeving wordt gegeven en waar betaalde en verzekerde zorg wordt gegeven waar of wanneer dat niet mogelijk is. 1.2 Hervorming langs drie hoofdlijnen De hervorming heeft zijn weerslag op en vraagt om een integrale aanpak over de verschillende wetten (AWBZ, Wmo en Zvw). Vanuit de daaruit voortvloeiende ketens is noodzakelijk om de gestelde doelstellingen te halen. Namelijk: 1. Participeren in eigen omgeving met steun via de Wmo Gemeenten en zorgverzekeraars worden de komende jaren verantwoordelijk voor de ondersteuning en begeleiding van mensen met een beperking die tot op heden door AWBZ-instellingen wordt geleverd. Huidige klanten behouden hun recht op zorg in een instelling, maar voor nieuwe klanten gaan nieuwe afbakeningscriteria gelden. 2. Samenhangende zorg in de Zorgverzekeringswet (Zvw) Zorg gericht op herstel of het tegengaan van verslechtering wordt vanuit de AWBZ naar de Zvw overgeheveld. Verpleging en verzorging bij herstel komt zo in één pakket en klanten hebben één aanspreekpunt. 3. Recht op zorg voor kwetsbare mensen via de Wlz Zorg op grond van de Wlz is bestemd voor kwetsbare mensen, volwassenen en kinderen, die vanwege beperkingen echt niet meer in staat zijn in de thuisomgeving te wonen. Het betreft de zwaarste vormen van langdurige zorg. Pagina 10 van 31

1.3 Toekomstbeeld IZO 2016 De hervorming en samenwerking tussen de drie wetten vraagt om een integrale informatievoorziening voor de zorg en ondersteuning. Voor de informatievoorziening is daarom in het platform IZO (Informatievoorziening Zorg en Ondersteuning) een visie Toekomstbeeld IZO 2016 opgesteld. Deze stip aan de horizon is destijds vastgesteld in de stuurgroep HLZ en wordt breed gedragen. In het toekomstbeeld zijn drie ambities beschreven: eenvoud en transparantie voor de klant, lastenverlichting (en kostenbesparing) voor de organisaties in de zorg, modernisering van de gegevenshuishouding. Om deze ambities waar te maken is een informatievoorziening nodig, die gebruik maakt van gestandaardiseerde gegevens, die hergebruikt kunnen worden. Door de (administratieve) bedrijfsfuncties meer te uniformeren sluiten de onderlinge stappen en fasen beter op elkaar aan, waardoor uitwisseling en hergebruik tussen de zorgketens vergemakkelijkt wordt. 1.4 Informatievoorziening langdurige zorg De maatregelen uit het IZO toekomstbeeld 2016 hebben consequenties voor de wijze waarop organisaties met elkaar samenwerken op het terrein van de informatievoorziening. De hervorming betekent dat klantprocessen veranderen, werkprocessen herontworpen moeten worden en de gegevensuitwisseling moet worden aangepast aan de nieuwe situatie. 1.5 Betrokken ketenpartijen Bij de hervorming van de langdurige zorg zijn vele ketenpartijen betrokken. In de figuur zijn deze geïllustreerd. Tussen deze ketenpartijen lopen informatiestromen en worden gegevens uitgewisseld. De relatie tussen de klant en zorgaanbieder staat daarbij centraal. 1.6 Informatie-uitwisseling tussen de ketenpartijen Tussen de ketenpartijen in, maar ook tussen de verschillende zorgdomeinen (Wlz, Wmo en Zvw) wordt informatie uitgewisseld. Veelal vanuit een bron naar een afnemer. In het kader van de Wlz-indicatie gaat het om de volgende informatie diensten van het CIZ aan de ketenpartijen: 1. De WAT-informatie van Wlz indicaties vanuit het CIZ (bronhouder) naar de klant en zorgkantoren (toewijzing van zorg). Deze dienst is al gerealiseerd, echter loopt buiten de gewenste doel infrastructuur om. Valt buiten de scope van het project en PSA. 2. De DAT-informatie van Wlz indicaties (ja/nee) vanuit het CIZ (bronhouder) naar de gemeenten (bij aanvraag om Wmo ondersteuning door klant of het beëindigen van Pagina 11 van 31

ondersteuning wanneer hiervan sprake is). Deze dienst wordt beschreven in deze PSA. 3. De DAT-informatie van Wlz indicaties (ja/nee plus startdatum) vanuit het CIZ (bronhouder) naar zorgverzekeraars (i.v.m. samenloop), zodat bij zorgverzekeraars bekend is dat er een Wlz indicatie is. Deze dienst is vooralsnog niet gedefinieerd en buiten scope van het project en PSA. Het project bij het CIZ levert per 1 januari 2015 alleen de Wlz indicatie toets van de gemeente bij het CIZ. De gemeente toets op het aanwezig zijn van een Wlz indicatie ja/nee (DAT-informatie) bij aanvraag van Wmo ondersteuning door een klant. De scope van het project en dit document is tot deze dienst beperkt. Pagina 12 van 31

2 Toegang tot de Wlz De Wlz is een risicoloos uitgevoerde volksverzekering die alle Nederlandse ingezetenen van rechtswege verzekert. De toegang tot de zorg die op kosten van deze wet kan worden verkregen, het vaststellen of er recht op bestaat, moet voor alle verzekerden op gelijke wijze, volgens vaste regels geschieden. Hiervoor is een objectieve, professionele indicatiestelling nodig. Het is de overheid die zorg moet dragen voor deze eenduidige bepaling van de toegang tot de Wlz. 2.1 Het tot stand komen van een indicatiebesluit Wettelijke taak van het CIZ is het beoordelen of een klant toegang krijgt tot intramurale zorg, zoals bedoeld in de Wlz. Hiertoe neemt het CIZ een indicatiebesluit. Om een indicatiebesluit te kunnen vaststellen is het van belang dat de klant bij de aanvraag zelf het merendeel van de benodigde (bijzondere) persoonsgegevens zal (laten) verstrekken. Op grond van artikel 3.2.1, tweede en vierde lid van de Wlz, zal de klant bij zijn aanvraag zijn Burgerservicenummer (BSN) moeten vermelden en alle informatie moeten verstrekken die van belang is voor de indicatiestelling. Ook is de klant verplicht om mee te werken aan onderzoeken door of namens het CIZ. Het CIZ kan immers alleen op grond van betrouwbare (medische) gegevens een oordeel geven over de zorgbehoefte van de verzekerde en de vraag beantwoorden of verzekerde recht op Wlz-zorg heeft. Deze gegevens worden waarschijnlijk door de klant fysiek tijdens de intake of per post verstrekt. Een upload via bijvoorbeeld het web is ook mogelijk, echter het is aan het CIZ hoe dit nader in te vullen. Pagina 13 van 31

2.2 Producten van het CIZ Het CIZ levert concreet de volgende producten met daarin de volgende informatie: 1. Het indicatiebesluit dat het CIZ aan de klant en het zorgkantoor levert. Hierin staan persoonsgegevens en een cliëntprofiel (voorheen Zorg Zwaarte Pakket). Met het cliëntprofiel kan het zorgkantoor de beperking vertalen naar een zorgpakket. Dit betreft de WAT-informatie. Deze dienst bestaat al (vanuit de AWBZ) en valt buiten scope van deze PSA. 2. Het indicatiebesluit (ja/nee) dat het CIZ aan het CAK en gemeenten levert. Hierin staat feitelijk het aanwezig zijn van een Wlz-indicatie uit de Wlz voor een specifieke BSN. Dit betreft de DAT-informatie. De dienst aan gemeenten wordt beschreven in deze PSA. De dienst aan het CAK is al in het kader van andere WLZ getriggerde veranderingen gerealiseerd en valt buiten scope van deze PSA. 3. Het indicatiebesluit (ja/nee) plus datum dat het CIZ aan zorgverzekeraars levert. Deze dienst hebben zorgverzekeraars nodig om samenloop te kunnen bepalen, echter is nog niet gedefinieerd en valt buiten scope van deze PSA. 2.3 Diensten van het Centrum indicatiestelling zorg (CIZ) De financiële beheersbaarheid van de Wlz wordt in de eerste plaats geborgd door een goede regulering van de toegang tot de zorg. Het proces van zorgvraagbeoordeling, de indicatiestelling in het kader van de Wlz, komt geheel onder verantwoordelijkheid van het CIZ. De toegang tot de Wlz wordt zo bepaald door het CIZ op basis van objectieve zorginhoudelijke criteria. De invloed van zorgaanbieders en gemeenten hierop is beperkt. Het CIZ gaat meer face-to-face gesprekken voeren om de zorgbehoefte van mensen vast te stellen. Diensten in het Wlz domein Diensten die het CIZ in het kader van de Wlz indicatie levert zijn: Het doen van een intake met de klant. Pagina 14 van 31

Het vaststellen van het indicatiebesluit, waarbij wordt beoordeeld of een klant aan de toegangscriteria van de Wlz voldoet en in welk zorginhoudelijk profiel hij past. Het leveren van het Wlz indicatiebesluit aan de klant en het zorgkantoor (t.b.v. de zorgtoewijzing). Het leveren van het Wlz indicatie ja/nee aan het CAK (voor het opvragen van inkomen- en vermogensgegevens bij de Belastingdienst). Leveren van beleidsinformatie aan VWS/DLZ over de in- en uitstroom in de Wlz. Domein overstijgende diensten Het CIZ levert het Indicatiebesluit Wlz (ja/nee). De dienst levert geen inhoudelijk besluit, maar alleen het feit DAT er een Wlz indicatie aanwezig is. Deze dienst wordt geleverd aan gemeenten en zorgverzekeraars, zodat bekend is of een klant gebruik maakt van de Wlz en of het leveren van zorg of maatschappelijke ondersteuning voortvloeiend uit de Zvw of Wmo wel dan niet mag. Deze dienst heeft in de figuur een rode kleur gekregen. Samenvattend wordt het aanwezig zijn van een Wlz indicatie van een klant geleverd aan Gemeenten (Wmo domein), wanneer een klant bij de gemeente maatschappelijke ondersteuning uit de Wmo aanvraagt. In het geval dat na bevraging bij het CIZ blijkt dat de klant een Wlz indicatiebesluit heeft, wordt aan deze klant geen ondersteuning via de Wmo geleverd. De klant wordt in dat geval doorverwezen naar een zorgkantoor en wordt levering van dubbele zorg uit zowel het Wlz en het Wmo domein voorkomen. 2.4 Informatie-uitwisseling tussen het CIZ en de ketenpartijen in de Wlz Het CIZ neemt Wlz indicatiebesluiten, waarvan zij bronhouder zijn. Samenvattend is hieronder een tabel gemaakt waarin de uitwisseling van Wlz indicatiebesluiten tussen bronhouder en ketenpartijen in kaart is gebracht. Klanten en de zorgkantoren (toewijzing van zorg) zijn afnemer van de WAT-informatie van het besluit. Gemeenten, het CAK (t.b.v. het opvragen inkomen/vermogen gegevens bij de Belastingdienst) en zorgverzekeraars krijgen alleen de DAT-informatie, zodat bekend is dat er zorg wordt verleend vanuit de Wlz. Dit besluit heeft namelijk consequenties voor het verlenen van zorg en de financiering uit de Wmo en Zvw. De PSA zoals beschreven in dit document gaat alleen over de informatie-uitwisseling tussen het CIZ en gemeenten (in rood). De andere informatie-uitwisselingen bestaan al (zorgkantoren en CAK) of vallen buiten scope (zorgverzekeraars) en worden na 1 januari 2015 opgepakt. Van/Naar Klant CIZ CAK Gemeenten SVB Zorgkantoren Zorgverzekeraars Zorgaanbieders Indicatiebesluit Wlz Indicatie Wlz ja/nee Indicatie Wlz ja/nee plus datum Ja (P) bron bron bron Ja (D) Ja (D) Ja (D) Ja (D) Is het vlak in de tabel oranje, dan betreft het een digitaal bericht (D) van het CIZ. Bij de klant staat er een (P). Hier betreft het een bericht per post of via een portaal. 2.5 Gegevensstromen bij de Wlz indicatie ja/nee Bij de Wlz indicatie ja/nee (de DAT-informatie) is er slechts één informatiestroom, namelijk de enkelvoudige Wlz Indicatie Toets (het opvragen door een gemeente of er voor een klant een Wlz indicatie is afgegeven). De gegevensstromen zijn in de onderstaande tabel opgenomen. Pagina 15 van 31

Enkelvoudige Wlz Toets Gemeente IB IB CIZ CIZ IB IB Gemeente Gemeente code Gebruikers identificatie BSN Bericht type Bericht id Gemeente code OIN CIZ BSN Bericht type Bericht id Gemeente code OIN IB BSN Wlz Indicatiestatus (Ja / Nee / Onbekend) Bericht type Bericht id Gemeentecode BSN Wlz Indicatiestatus (Ja / Nee / Onbekend) De relevante gegevens voor het koppelvlak zijn zeer beperkt: Wlz indicatie DAT informatie: BSN en Wlz ja/nee/ onbekend; Voor deze koppelvlakken is de zogeheten DAT informatie van belang: Dat er een geldige Wlz-indicatie is, is van belang, en niet de inhoud van de Wlz-indicatie. Aanvullende informatie ten behoeve van het vaststellen van juist gebruik van deze dienst. Uitgangspunt is dat IB hier voor andere informatiestromen al een standaard voor heeft. Het betreft: o Identificatie van de gebruiker (die de Wlz informatie, oftewel bijzondere persoonsgegevens, opvraagt); o Identificatie van de gemeente (waarbinnen de gebruiker de Wlz informatie opvraagt). 2.6 Wijzigingen in het BRP Het CIZ heeft een aansluiting bij het BRP en ontvangt abonnementen (DigiLevering) wanneer wijzigingen optreden. Wanneer iemand bijvoorbeeld overlijdt, dan wijzigt bij het CIZ de status van de Wlz indicatie. De Wlz indicatie wordt dan beëindigd. Zo krijgt het zorgkantoor dan bericht van de statusverandering en wordt zorgverlening via de Wlz vanuit het zorgkantoor stopgezet. Gemeenten zijn bronhouder van het BRP en hebben een zelfstandige aansluiting op het BRP. Via abonnementen worden ze al geïnformeerd over wijzigingen. In dit geval hoeft een statuswijziging voortvloeiend uit het BRP door het CIZ niet aan gemeenten te worden doorgegeven. Door de klant geconstateerde fouten worden gemeld bij de bronhouder via DigiMelding. Pagina 16 van 31

3 Privacy en informatiebeveiliging De Wbp is van toepassing op uit te wisselen persoonsgegevens. In de langdurige zorg en maatschappelijke ondersteuning gaat het om zeer vertrouwelijke gegevens (vroeger klasse 3) van kwetsbare groepen uit de samenleving. Met betrokken partijen (bronhouders, eindgebruikers en de eigenaar van de voorzieningen) moeten afspraken worden gemaakt hoe met medische gegevens van burgers om te gaan. De juridische aspecten van het uitwisselen van informatie van de zorg naar de generieke voorzieningen zijn getoetst. Uitkomst is dat uitwisseling van de betreffende gegevens is toegestaan, mits er sprake is van doelbinding en wordt voldaan aan privacy (PIA s) en de beveiligingsrisico s (A&K analyses). Met andere woorden, gegevens die bijvoorbeeld in het kader van het verlenen van zorg zijn verzameld mogen worden gedeeld met andere partijen, mits deze de gegevens ook gebruiken in het kader van zorgverlening zoals bedoeld in de wetten. Verder wordt ervan uitgegaan dat de ketenpartijen de normenkaders 1 voor informatiebeveiliging hebben geïmplementeerd die op hun organisaties van toepassing zijn. Denk voor: gemeenten bijvoorbeeld aan de BIG, het CAK, CIZ en de SVB aan de BIR, organisaties in het private domein (zorgkantoren, zorgaanbieders, zorgverzekeraars) aan de ISO/NEN 27001/27002 normen. Voorzieningen moeten daarom worden getoetst. Dit geldt ook voor berichtenverkeer rondom Wlz indicaties, waar medische gegevens worden uitgewisseld. 3.1 Privacy Daar bij Wlz indicaties met gevoelige medische gegevens van burgers wordt gewerkt is de bescherming van de privacy 2 van de betrokkenen van het grootste belang. Het gebruiken van deze gegevens moet daarom conform de reikwijdte van bestaande privacy wet- en regelgeving (Wbp) gebeuren. Daarnaast moet ook naar de voorgestelde Europese privacy verordening (Epv) worden gekeken, die rechtstreeks op alle lidstaten van toepassing wordt. Deze uitgangssituatie leidt tot enkele te hanteren principes 3 en te volgen eisen bij het gebruik en uitwisselen van persoonsgegevens: Doelspecificatie: het doel waarvoor gegevens verzameld worden, moet worden aangegeven. De gegevens worden verzameld om een toegang te verkrijgen tot zorg uit de Wlz. Hiertoe wordt een Wlz-indicatie gedaan. Gemeenten hebben de Wlz indicatie ja/nee nodig bij de toekenning van ondersteuning en het afhandelen van administratieve processen. Doelbinding: persoonsgegevens mogen alleen verstrekt worden voor gerechtvaardigde doeleinden. De Wlz-indicatie (ja/nee) wordt verstrekt aan: o het CAK (opvragen inkomen- en vermogensgegevens bij de Belastingdienst). o gemeenten (het beëindigen van de maatschappelijke ondersteuning uit de Wmo). o Gegevensbeperking: alleen de vereiste persoonsgegevens worden verzameld. Daarom is voorzien in een Wlz-indicatie (ja/nee) met de DAT-informatie. 1 Zie ook IZO Architectuur Deel 1 hoofdstuk 3 over Informatiebeveiliging 2 Zie ook IZO Architectuur Deel 1 hoofdstuk 3 over Privacy en gegevensbescherming 3 Deze principes zijn gebaseerd op de door OESO vastgestelde Privacy Guide Lines 2013 Pagina 17 van 31

Verder zijn de gebruikte informatie-objecten geclassificeerd naar mate van vertrouwelijkheid en het benodigde niveau van authenticatie (MARIJ MP12). Dit betekent t.a.v. er in het Wlz-indicatie (ja/nee) het aanwezig zijn van een Wlz-indicatie uit de Wlz staat voor een specifieke BSN. Dit betreft de DAT-informatie. Vanuit de privacy wetgeving betreft dit zeer vertrouwelijke gegevens (klasse 3). Toestemming: personen moeten toestemming geven voor het verzamelen, gebruik of onthullen van hun gegevens, tenzij dit in de wet anders is vastgelegd. Dit is in de Wlz vastgelegd. Gegevenskwaliteit: persoonsgegevens moeten proportioneel zijn voor het gespecificeerde doel en bovendien dienen de gegevens accuraat, compleet en up to date te zijn. De persoonsgegevens worden door het CIZ verzameld voor het vaststellen van indicaties voor de Wlz. Het CIZ is daarmee bronhouder van de gegevens. De Wlzindicatie (ja/nee) wordt daarom direct vanuit de bronadministratie van het CIZ verstrekt. Beveiliging: persoonsgegevens moeten worden beschermd tegen o.a. verlies, vernietiging en ongeautoriseerde toegang. Dit leidt tot eisen aan de identificatie, authenticatie en autorisatie bij bevragingen van Wlz-indicaties (ja/nee). Het CIZ moet kunnen vaststellen dat degene die informatie bij het CIZ opvraagt volgens de wet daartoe bevoegd is (identificatie en authenticatie). Vervolgens bepaalt het CIZ welke bevraging de aanvrager mag doen (autorisatie). De beveiliging van het berichtenverkeer over de infrastructurele knooppunten is opgenomen in de IZO-Architectuur Deel 3c over de knooppunten. Openheid: privacy policies moeten vrij beschikbaar zijn. Het CIZ publiceert de privacy policies rondom Wlz-indicatiebesluiten en Wlz-indicaties (ja/nee) aan de klant en op de website. Rechten van de betrokkene: deze betrokkene moet ingelicht worden over het gebruik van zijn persoonsgegevens en moet bezwaar hiertegen kunnen maken. Dit hoeft niet wanneer dit in de wet anders is vastgelegd. Het hergebruik van het Wlz-indicatiebesluit en de Wlz-indicatie (ja/nee) zijn in de Wlz verankerd. Accountability: iemand moet verantwoordelijk zijn voor het voldoen aan privacy policies. Het CIZ heeft een privacy officer benoemd die verantwoordelijk is voor het privacy beleid. Daarnaast worden er audits uitgevoerd op het naleven van het privacy beleid. Ook worden er audits uitgevoerd voor het berichtenverkeer door de keten. Om deze aspecten in kaart te brengen is op het proces van indicatiestelling en de diensten voor het leveren van Wlz-indicatiebesluiten en Wlz-indicaties (ja/nee) een Privacy Impact Assessment (PIA) uitgevoerd. De uitkomsten van de PIA en de hierboven beschreven maatregelen worden geadresseerd bij de diensten voor het leveren van Wlzindicatiebesluiten en Wlz-indicaties (ja/nee). Deze verantwoordelijkheid is belegd bij de Wpb-verantwoordelijke van VWS. Deze uitkomsten leiden ook tot een aantal eisen t.a.v. van de te nemen maatregelen. Deze zijn: Het CIZ heeft vastgelegd welke informatie van de klant is vastgelegd, wie toegang tot die informatie heeft en wie toegang tot die gegevens hebben gehad. Het CIZ is er zeker van dat degene die een bevraging doet is wie die zegt dat die is (identificatie en authenticatie). Vervolgens bepaalt het CIZ welke bevraging de aanvrager mag doen (autorisatie). Pagina 18 van 31

Daar het Wlz-indicatie (ja/nee) vertrouwelijke informatie betreft, worden berichten door de gehele keten op de transport laag encrypted over met TLS versleutelde verbindingen verzonden. Versleuteling op berichtniveau wordt vanwege kwaliteitscontroles nog niet toegepast. Wel geldt voor bijzondere gegevens dat deze beveiligd moeten worden tegen ongeoorloofd gebruik. Bewerkers moeten dan ten minste maatregelen treffen die ongeoorloofd toegang tot de inhoud van het bericht onmogelijk maakt. Vanuit de Epv gedachte registreert het CIZ welke gegevens zij van een klant vasthoudt, wie toegang tot die gegevens hebben en wie toegang tot die gegevens hebben gehad. 3.2 Maatregelen in de informatiebeveiliging De voorzieningen die door het programma worden gerealiseerd moeten voldoen aan maatregelen van de wettelijke vereisten voor informatiebeveiliging. Kader stellend hierbij zijn de Baseline Informatiebeveiliging Rijksdienst 4, de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG 5 ), het beveiligingskatern van de NORA 6, het VIR-BI 7 en standaarden NEN 27001 8 en NEN 7510 9. In dit kader is ook de Concept AMvB 10 bij Wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens relevant, waarin aanvullende (NEN ) normen genoemd worden. Naast het ontwikkelen van de communicatie-infrastructuur die gebruikt wordt bij het verzamelen en uitwisselen van gegevens zelf heeft dit ook zijn weerslag op de beheerstaken van de voorzieningen. Daarnaast moeten ook het CIZ en de afnemende organisaties (CAK, Gemeenten) binnen de eigen organisatie beveiligingsmaatregelen treffen. Het spreekt vanzelf dat de verzendende partij maatregelen treft om te garanderen dat de verzonden berichten vrij zijn van virussen en andere ongerechtigheden. De gegevensverwerkende apparatuur van de ketenpartijen dient lege artis up to date en vrij van mal- en spyware te worden gehouden. Het verdient aanbeveling om de partijen vanuit het Ministerie te voorzien van een beveiligingsnormenkader dat jaarlijks in een EDP-audit wordt getoetst volgens een in het normenkader vervatte verantwoordingsrichtlijn. Deze maakt het mogelijk om de uitkomsten van de EDP-audits onderling te vergelijken. 3.3 Checklist t.a.v. privacy en informatiebeveiliging Bovenstaande eisen leiden tot de volgende checklist van maatregelen die het CIZ in ieder geval moeten nemen: Het CIZ bepaalt op basis van identificatie en authenticatie welke bevraging de aanvrager mag doen (autorisatie). Het CIZ publiceert hun privacy policies op hun website Het CIZ heeft een privacy en/of security officer aangesteld die verantwoordelijk is voor de naleving en verantwoording van bovengenoemde maatregelen. Jaarlijks vindt een EDP-audit plaats waarvan de resultaten openbaar worden gemaakt. 4 http://www.wikixl.nl/wiki/ictu/index.php/component_baseline_informatiebeveiliging_rijksdienst 5 http://www.kinggemeenten.nl/king-kwaliteitsinstituut-nederlandse-gemeenten/over-king/nieuws/2013/king-publiceertbaseline-informatiebeveiliging-nederlandse-gemeenten 6 http://e-overheid.nl/onderwerpen/e-overheid/988-factsheet-informatiebeveiliging 7 VIR-BI betreft bijzondere informatie, zoals staatsgeheimen en overige bijzondere informatie waarvan kennisname door niet gerechtigden nadelige gevolgen kan hebben voor de belangen van de Staat, van zijn bondgenoten of van één of meer ministeries. Zie http://wetten.overheid.nl/bwbr0016435/geldigheidsdatum_05-06-2013 8 ISO 27001 is een ISO standaard voor informatiebeveiliging 9 De norm NEN 7510 is een door het Nederlands Normalisatie-instituut ontwikkelde norm voor Informatiebeveiliging voor de zorgsector in Nederland 10 http://www.rijksoverheid.nl/documenten-en-publicaties/besluiten/2013/11/19/concept-amvb-bij-wetsvoorstel-clientenrechtenbij-elektronische-verwerking-van-gegevens.html Pagina 19 van 31

Er wordt filtering toegepast (bijvoorbeeld: valt deze postcode binnen de opvragende gemeente), white listing (is deze klant verzekerd door deze verzekeraar) of black listing (TV-sterren, bekende voetballers, leden van het koninklijk huis, etc.). Pagina 20 van 31

4 Wlz indicaties volgens berichtenverkeer Informatie wordt middels berichtenverkeer van bronhouders naar ketenpartijen gerouteerd. Berichtenverkeer betekent het versturen van informatie op een geautomatiseerde en digitale wijze. In de tekening is een voorbeeld van het versturen van een bericht binnen het publieke domein getekend, bijvoorbeeld van het CIZ naar een gemeente. Het knooppunt is dan het gemeente knooppunt. De werking van het knooppunt is uitgewerkt in de IZO Architectuur Deel 3c. Hierbij wordt binnen het publieke domein gebruik gemaakt van standaarden voor interoperabiliteit en informatie-uitwisseling. Binnen het publieke domein wordt gebruik gemaakt van overheidsbouwstenen. Gegevensuitwisseling vindt plaats op twee mogelijke alternatieven. Via een web services of via een web portaal. De route van berichtenverkeer via web services verdient de voorkeur (zeker bij grotere volumes), echter ook een bevraging via een web portaal is mogelijk. 4.1 Informatie-uitwisseling via web services In de tekening is gegevensuitwisseling via web services getekend. De bronhouder (in dit geval het CIZ) biedt informatie (web) services aan, welke afnemende partijen (zorgkantoren, het CAK, gemeenten en zorgkantoren) kunnen bevragen. Deze uitwisseling verloopt via geautomatiseerd berichtenverkeer. Om dit mogelijk te kunnen maken, moet het CIZ een Digikoppeling adapter realiseren, van waaruit het CIZ berichten met de opgevraagde informatie naar de ketenpartijen kunnen verzenden. 4.2 Informatie-uitwisseling via een web portaal Er zijn een aantal gemeenten die nog geen berichtenverkeer via web services kunnen afhandelen. Voor deze partijen wordt er door het IB (tijdelijk) een inzagefunctie op Wlz indicaties ja/nee via een web portaal geboden. De inzagefunctie maakt gebruik van de web service. 4.3 Identificatie, authenticatie en autorisatie bij berichtenverkeer en web portaal Het CIZ is er zeker van dat degene die een bevraging doet, is wie die zegt dat die is (identificatie en authenticatie via eherkenning). Dit wordt door het CIZ per aanvragende organisatie gelogd, maar per voorkeur per geanonimiseerde gebruiker. Vervolgens bepaalt het CIZ welke bevraging de aanvrager mag doen (autorisatie). Deze dienst (controle van de authenticiteit van afzenders en geadresseerden van berichten) wordt geleverd door de informatieknooppunten (IB, VECOZO en RINIS) in de keten. Deze Pagina 21 van 31

informatie (controle authenticiteit van aanvrager) wordt door de informatieknooppunten toegevoegd aan de metadata van het bericht. Op basis hiervan kan het CIZ vertrouwen dat de controle op de aanvrager is uitgevoerd en juist is. 4.4 De tracking, tracing, logging en audittrails van berichten De informatie knooppunten leveren diensten t.b.v. tracking en tracing. Geautoriseerde afnemers in de keten kunnen van deze diensten gebruik maken bij het opsporen en volgen van de berichten die zijn verzonden. D.m.v. statuswijzigingen verkrijgen afnemers inzicht in de huidige stand van zaken. De uitgevoerde processtappen worden hierbij d.m.v. statusveranderingen vastgelegd. Er wordt een historie van statusveranderingen (logging van welke processtappen en bewerkingen wanneer hebben plaatsgevonden) bijgehouden. Hierop kunnen audits worden uitgevoerd. Het bovenstaande geldt voor berichtenverkeer dat over de informatie knooppunten loopt. 4.5 Encryptie bij opslag en verzenden van berichten Gegevens zijn bij informatie-uitwisseling (berichtenverkeer) en opslag encrypted. De versleuteling van het berichtenverkeer kan op twee niveaus plaatsvinden, namelijk op transportniveau en op berichtniveau. Op transportniveau wordt versleuteling toegepast d.m.v. het SSL/TLS protocol. Versleuteling op berichtniveau wordt momenteel niet toegepast. Reden hiervan is dat kwaliteitschecks op de berichten worden uitgevoerd. Afspraak is daarom dat medewerkers van organisaties die het bericht verwerken behalve de geoorloofde kwaliteitschecks geen ongeoorloofde toegang tot de inhoudelijke berichten hebben. Hiertoe hebben de bericht verwerkende organisaties maatregelen ingericht. Pagina 22 van 31

5 Gebruikte knooppunten voor de Wlz indicatie Om de gegevensuitwisseling middels berichtenverkeer tussen de vele ketenpartijen af te handelen is onderkend dat er knooppunten nodig zijn. Wordt dit verkeer zonder knooppunten ingericht, ontstaat er een explosief aantal verbindingen tussen de ketenpartijen. Door het gebruik van knooppunten hoeven ketenpartijen niet meer met iedere ketenpartij een eigen verbinding te realiseren, maar worden alle berichten langs een knooppunt gerouteerd waarop de andere ketenpartijen ook zijn aangesloten. Zo kunnen berichten van afzenders naar afnemers worden gestuurd en worden administratieve kosten aanzienlijk bespaard, immers iedere ketenpartij hoeft nog maar één koppeling te realiseren i.p.v. een koppeling met iedere ketenpartner. Daarnaast kunnen koppelingen die eenmaal gerealiseerd zijn ook hergebruikt worden voor ander berichtenverkeer met aangesloten ketenpartijen. In de IZO Architectuur (Deel 3c Knooppunten) is de architectuur van de knooppunten uitgewerkt. Het berichtenverkeer verloopt via deze infrastructuur. De doelarchitectuur en PSA voor de knooppunten is daarmee impliciet onderdeel van deze PSA. 5.1 Overzichtsplaat van de knooppunten voor de afhandeling van berichtenverkeer De bij de maatschappelijke ondersteuning en langdurige zorg betrokken ketenpartijen bevinden zich zowel in het publieke domein (CIZ, CAK, SVB en gemeenten) als het private domein ((zorg)aanbieders, zorgkantoren en zorgverzekeraars). De ketenpartijen in het publieke en private domein hebben daarin verschillende verantwoordelijkheden. Daarbij hebben deze domeinen zeker bij de uitwisseling van gegevens in de ketens veel met elkaar te maken. Daarom worden twee knooppunten ingericht en een koppelpunt tussen deze knooppunten: Een knooppunt voor gemeenten die berichten voor gemeenten afhandelt via het DigiNetwerk. De overige publieke ketenpartners (CAK, CIZ, SVB), de LRZA en basisregistraties (BRP, NHR en BRI) maken ook gebruik van DigiNetwerk. Een knooppunt in het private domein (het verkeer in de zorg) die berichten via het Internet naar de private ketenpartners (zorgkantoren, (zorg)aanbieders en zorgverzekeraars) routeert. Een koppelpunt dat de uitwisseling van berichten tussen het publieke en private domein vertaalt en routeert. In de figuur is een overzichtsplaat getekend van de gehele infrastructuur van knooppunten voor de gegevensuitwisseling en het berichtenverkeer in het Wlz, Wmo en Zvw domein. Het betreft hier de doelarchitectuur. Pagina 23 van 31

5.2 Afhandeling van berichtenverkeer voor het Wlz-indicatie (ja/nee) Het Inlichtingenbureau heeft nog geen DigiKoppeling en is op dit moment niet zelfstandig aangesloten op het Diginetwerk. Dit is voor 1 januari 2015 door het IB ook niet te realiseren. RINIS is wel aangesloten op het Diginetwerk. Daarom wordt door het IB gebruik van gemaakt van de DigiKoppeling van RINIS. Het IB kan dan toch berichten via het DigiNetwerk routeren. In de onderstaande figuur is deze afwijkende route beschreven. De Wlz-indicatie (ja/nee) gaat via de Digikoppeling van het CIZ en het DigiNetwerk (SUWI) naar de DigiKoppeling van RINIS. RINIS zorgt hierbij voor de vertaling van het bericht van de DigiKoppeling naar de IB standaard. Vanuit RINIS wordt het bericht dan via een beveiligde tunnel (web services over RINIS.net) naar het IB gerouteerd. Daarna stuurt het IB het bericht naar de betreffende gemeente. Hiervoor zijn drie alternatieve routes. Het IB maakt gebruik van: De al bestaande web services via GemNet naar gemeenten. Dit alternatief via GemNet is in de bovenstaande figuur getekend. DigiKoppeling via RINIS naar gemeenten (onderstaande figuur). Bevragingen via een webportaal (inkijkfunctie in figuur volgende paragraaf). Pagina 24 van 31

Alternatief 2 (via de DigiKoppeling van IB naar gemeenten) is het alternatief dat het dichtst bij de Doelarchitectuur komt en verdient de voorkeur. Wanneer het IB een eigen DigiKoppeling heeft, kan de route via RINIS worden uit gefaseerd. Feitelijk wordt dan de Doelarchitectuur gerealiseerd. 5.3 Afhandeling van Wlz-indicatie (ja/nee) via een inkijkfunctie Alternatief 3 is voor gemeenten die nog geen berichtenverkeer kunnen afhandelen. Deze gemeenten kunnen bij het IB een bevraging doen via een webportaal bij het IB. Deze inkijkfunctie is in de onderstaande figuur geschetst. De gemeente logt met e-herkenning in op het webportaal en kan met een BSN en een gemeentecode een bevraging doen voor een cliënt. Het webportaal zal via een webservice het CIZ bevragen. In het webportaal wordt vervolgens het aanwezig (ja/nee) zijn van een Wlz indicatie voor de betreffende cliënt getoond. Pagina 25 van 31

6 Indicatieregister versus indicatie service Registers kunnen in diverse verschijningsvormen worden ingericht. Bij de implementatie van een register kan worden gekozen voor o.a.: Fysiek vs. Virtueel, Centraal vs. Federatief, met of zonder verwijsindex, etc. Rechtstreeks als een bevraging vanuit de bron of een register als een aparte bouwsteen. 6.1 Criteria voor het benoemen van registers In de IZO Architectuur Deel 1 zijn criteria voor het benoemen van een bronregistratie als register benoemd. Deze zijn: De registratie betreft broninformatie: a. Vastlegging van gegevens uit de werkelijkheid. b. Besluiten. c. Vastgestelde lijsten en standaards, zoals zorgaanbieders, producten en dienstenlijsten. Gebruik van minimale hoeveelheid gegevens met aantoonbare meerwaarde. Er moet sprake zijn van een ervaren knelpunt. De vastgelegde gegevens en feiten hebben juridische waarde en consequenties. Het belang van de gegevens is zodanig dat specifieke procedures/maatregelen worden ingericht om de kwaliteit te borgen. De reikwijdte en het gebruik zijn als volgt gekwalificeerd: a. Overheidsbreed (Iedere overheidsorganisatie is (indien relevant) verplicht deze bron te gebruiken. b. Sectoraal (bijvoorbeeld Werk & Inkomen, Zorg/Langdurige Zorg). c. Domein (bijvoorbeeld AWBZ/Wlz, Wmo, Zvw, Jeugd). d. Organisatie (bijvoorbeeld eigen contracten, comptabele gegevens). Bij het gebruik van de gegevens zijn er meer gebruikers dan alleen van de registrerende organisatie zelf (volgens het principe: eenmalige opslag, meervoudig gebruik). Denk aan de burger (inzagerecht), verantwoording (VWS) en fraudebestrijding. Al deze secundaire partijen registreren niet en zijn gebruiker en hebben daarom geen kwalificatie om een register te maken. Worden deze criteria beoordeeld, dan voldoet de broninformatie van Wlz-besluiten aan deze criteria. In dat kader kan worden gesproken van een register. 6.2 Wlz indicatie web service Een Wlz indicatie register suggereert dat er een aparte bouwsteen moet worden gebouwd. Echter, in dit geval betreft het bevragingen van ketenpartijen naar een Wlzindicatiebesluiten of bevragingen naar het aanwezig zijn van een Wlz-indicaties. Feitelijk betreft het niet meer dan een informatie dienst die deze informatie na een bevraging door een afnemende ketenpartij rechtstreeks uit de bronadministratie levert. Het realiseren van een web service lijkt meer voor de hand dan het bouwen van een aparte bouwsteen in de vorm van een register. Vanuit de IZO architectuur bezien is het aan de opdrachtgever en het CIZ hoe hier verder invulling aan te geven. 6.3 Wlz indicatie via het web portaal De Wlz indicatie service die het web portaal levert, maakt gebruik van de web service. Pagina 26 van 31

7 Gebruik van de Wlz indicatievoorziening De Wlz indicatievoorziening is belegd bij het CIZ. Verschillende ketenpartijen zijn in hun processen afhankelijk van de Wlz informatie service. Daarom worden er eisen gesteld aan de beschikbaarheid, integriteit en vertrouwelijkheid van deze service. Deze eisen en de frequentie van rapporteren over de performance worden vastgelegd in een service level agreement (SLA). 7.1 Beschikbaarheid Gemeenten nemen de dienst Wlz indicatie ja/nee van het CIZ af. Dit bericht wordt gebruikt in de administratieve verwerking t.b.v. het opstarten van een inkomen- en vermogen toets en tegengaan van samenloop en dubbele financiering. Wanneer deze dienst niet beschikbaar is, kunnen administratieve processen niet worden opgestart. Dit is lastig, maar overkomelijk. In de SLA worden met de ketenpartijen afspraken gemaakt over de termijnen dat de elektronische bevraging bij het uitvallen van de service niet beschikbaar mag zijn. Komt het niet beschikbaar zijn buiten deze termijn, dan biedt het CIZ een alternatieve bevraging aan. 7.2 Integriteit Wanneer de integriteit (niet correcte indicaties) van het Wlz indicatie ja/nee bericht niet klopt, wordt het risico gelopen dat dubbel wordt gefinancierd voor langdurige zorg en maatschappelijke ondersteuning. 7.3 Vertrouwelijkheid Wanneer de vertrouwelijkheid (ongewenste toegang) van de Wlz indicaties in het geding is, wordt het risico gelopen dat medische indicatie gegevens op straat komen te liggen. De privacy van klanten is daarmee in het geding, waarmee de politieke en ambtelijke top in de problemen kunnen komen. Daarom is hier via PIA's en A&K analyses aandacht aan geschonken. 7.4 Beheer Het beheer van de Wlz indicatie ja/nee service is belegd bij het CIZ. Pagina 27 van 31

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback