Authenticatie, Autorisatie & Logging

Vergelijkbare documenten
Factsheet juridische informatie MedMij

mhealth en de AVG Mobile Healthcare 8 november 2018 Sofie van der Meulen

Zorgverzekeraars en NEN 7510

eid in de zorg Wat betekent dit voor u? Bob van Os Nictiz Ruben de Boer - Ministerie van VWS 20 juni 2019

Aanmelding Basisgegevensset Zorg (BgZ) aan de Basisinfrastructuur

VERENIGING ZORGAANBIEDERS VOOR ZORGCOMMUNICATIE

Elektronische gegevensuitwisseling in de zorg: van wet naar praktijk. Anton Ekker juridisch adviseur, Nictiz 20 mei 2011

20 jaar RSO Groot Amsterdam samen sterk. Symposium RSO Nederland 21 september 2017 Jeroen Straatman, SIGRA/EZDA

Programma GTS TOESTEMMING DOOR DE PATIËNT VOOR UITWISSELING GEZONDHEIDSGEGEVENS

Verwijsoplossingen op juridische hoofdlijnen

Handreiking Interoperabiliteit tussen XDS Affinity Domains. Vincent van Pelt

Resultaten versnellingskamer. PGO regio Friesland. Alliade/Meriant & Tjongerschans initiators in de regio

VZVZ PROVES TOETST MEDMIJ EN GTS IN DE PRAKTIJK VERENIGING ZORGAANBIEDERS VOOR ZORGCOMMUNICATIE. Vereniging van Zorgaanbieders voor Zorgcommunicatie

Deelnemen aan MedMij #medmijevent

Patiëntauthenticatie. Onderzoek betrouwbaarheidsniveau. elektronische gegevensuitwisseling. 7 oktober 2016, VZVZ-Leveranciersdag

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 20 april 2018 Betreft Kamervragen. Geachte voorzitter,

Toelichting op de architectuurkeuzes voor ggzinstellingen

Informatiebijeenkomst VIPP. Datum 8 februari 2018

Aanmelding Model van zorginformatiebouwstenen (zib s) aan de Basisinfrastructuur

Tweede Kamer der Staten-Generaal

Koppeltaal GGZ Nederland

Privacy en wet- en regelgeving rondom IHE XDS netwerken

Richtlijnen analyse module eoverdracht

Dr M. (Michiel) Sprenger. 20 juni 2019 Congres Architectuur in de Zorg

Verslag Werkbezoek Informatieberaad Zorg aan het Radboudumc, 10 mei 2019

Programma GTS TOESTEMMING VOOR UITWISSELING GEZONDHEIDSGEGEVENS DOOR DE PATIËNT. Drachten, presentatie GERRIT-podium 19 okt 2017.

Integrale Oncologische Zorg

SPILTERRAPPORTAGE. Meet up baas over eigen gezondheid

Elektronische gegevensuitwisseling in de Zorg. Consultsessie Fysiotherapie Informatieberaad

Resultaten praktijkproef blockchain kraamzorg Een werkende blockchain voor de zorg: Mijn Zorg Log Zorginstituut Nederland

Elektronische gegevensuitwisseling in de zorg. De Wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg

IN DE TOEKOMST. Nieuwe ontwikkelingen bij vzvz in de 2 e lijn. 13 december 2018 Rolf Ehrencron en Herre Uittenhout (VZVZ)

Informatiebeveiliging en Privacy; beleid CHD

Wat betekent dit voor de zorg?

Bram van der Sluijs Sylvia Veereschild. Projectleiders MedMij

Thema 2: aanschaf en gebruik van e-healthtoepassingen

Samen werken aan privacy. Special AVG voor itour 24 april Pieter de Groot & Henk-Jan van der Molen

Architectuurscenario s. 24 april 2019

De juiste informatie, op de juiste plek, op het juiste moment. Voor zorgverlener en patiënt.

Opleiding FG. De belangrijkste wettelijke kaders. Luuk Arends (advocaat)

Advies voor het opnemen van basisprincipes als kaders voor het informatiestelsel van de zorg. 1. Inleiding

De uitdaging: verandering in rol en relatie van zorggebruiker en zorgverlener

Uw partner voor uitwisseling van medische data.

Privacy Statement Sa4-zorg

Belangrijkste uitdagingen voor landelijke versnelling van verwijzen

Samenwerkingsverbanden en de AVG

ehealth & interoperabiliteit

Privacy Statement INTRAMED. Juni Versie 1.0

Verwerkingsverantwoordelijke of verwerker?

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 9 oktober 2018 Betreft Kamervragen. Geachte voorzitter,

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz

RSO Nederland: digitale samenwerking vanuit de regio s

De carrousel Cliënt in regie en digitalisering. 12 oktober 2018 Annemiek Mulder, senior beleidsadviseur ActiZ

Privacyverklaring Wonen bij September

Digitaal is het nieuwe normaal

Uitwisseling van medische gegevens en patiënttoestemming

programma Elektronische Gegevensuitwisseling in de Zorg consultatiesessies over zorginfrastructuur- en uitwisseldiensten

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

Datum 6 maart 2019 Betreft Kamervragen van de leden Van der Molen, Pieter Heerma en Van den Berg (allen CDA)

Quli in één minuut. met informatie, business cases en gratis account

Factsheet. Verwerkingsverantwoordelijke of verwerker?

Algemene ontwikkelingen IAM Onderwijs Jaap Kuipers Platform Identity Management Nederland Utrecht

AVG Routeplanner voor woningcorporaties

Privacy by Design & MedMij Gegevensdeling in zorg PI.Lab en ECP bij HagaZiekenhuis

DIGITALE ZORG EN PRIVACY

BESLISBOOM VERWERKERSOVEREENKOMST

Het Patiëntgeheim. position paper Patiëntenfederatie Nederland

Het Patiëntgeheim. position paper Patiëntenfederatie Nederland

Tweede Kamer der Staten-Generaal

BESLISBOOM VERWERKERSOVEREENKOMST

VRAGEN EN ANTWOORDEN over de elektronische uitwisseling van medische gegevens

Digitaal is het nieuwe normaal

Vereniging van Zorgaanbieders voor Zorgcommunicatie

Privacyregeling DeniseZorg, KinderZorg Bijzonder

Betrouwbaar, veilig en gebruiksvriendelijk inloggen bij overheid en bedrijfsleven

Informatielandschap in de Zorg Start de presentatie. PROVES als bewijs van samenwerking

Tweede Kamer der Staten-Generaal

Handreiking bescherming persoonsgegevens cliënten

Organiseren van architectuur op stelselschaal ARCHITECTUURCOMMUNITY ZORG

Tweede Kamer der Staten-Generaal

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG

Juridische aspecten van Specialisatie in de Cloud. Silvia van Schaik - bureau Brandeis

De Voorzitter van de Eerste Kamer der Staten-Generaal Postbus EA Den Haag

Algemene verordening gegevensbescherming (AVG)

Generieke overdrachtsgegevens in Nederland

Terugkoppeling markttoets MedMij Afsprakenstelsel

Algemene Verordening Gegevensbescherming. Skipr Masterclass 3 april 2018 Sofie van der Meulen

Tweede Kamer der Staten-Generaal

Informatiebeveiliging

De Minister van VWS, de heer drs. J.F. Hoogervorst Postbus EJ DEN HAAG. mw. mr. V.C. Lucieer

Privacy wetgeving: Wat verandert er in 2018?

Wij verwerken uw gegevens om u de best mogelijke behandeling te bieden en om te voldoen aan wettelijke

Symposium Flanders Care Gegevens delen in de zorg = betere zorg

Doorbraak: GGZ koppeltaal

Eventjes iets uitwisselen. Maar dan begint het pas,.

Transcriptie:

Authenticatie, Autorisatie & Logging in een samenhangende, open landelijke zorginfrastructuur Consultatiesessies Landelijke Infrastructuur ZorgICT 15 mei 2019 Bert L. Kabbes, RI CMC Kabbes&Partners, D&A Medical, HL7 Nederland

Inhoud 1. Casus - parallellen met consultatiesessies 2. Relatie met 7-lagen model voor interoperabiliteit 3. Desk research uitkomsten : Andere branches/sectoren Vertaling 3 hoofdvormen naar de zorgsector 4. Conclusies 5. Discussie vragen aan de zaal

CASUS Profiel : - Grote zorgorganisatie, vestigingen in heel NL - Vestigingen juridisch deels onder 1 rechtspersoon en deels gelieerd via samenwerkingsafspraken - ICT-toepassingen personeel en financieel centraal, overige toepassingen decentraal Problemen authenticatie/autorisatie/logging : - Grote tijdbesteding inrichting en beheer autorisaties, lange doorlooptijd, synchronisatie perikelen - Personeelsverloop, werken op meerdere locaties, tijdelijke medewerkers, externen, etc. - Hoe omgaan met bijzondere positie behandelaren, maatschappen, VOF s - Informatie-uitwisseling met externe ketenpartijen - Ingewikkelde wet- en regelgeving : risico s, wie aansprakelijk voor wat, audit trails, logging, borging Vraagstelling : - Inrichting authenticatie/autorisatie/logging : juridisch, beleid, organisatorisch, procedureel? - Keuze criteria, ervaringen elders, pro en contra s? - Keuze toepassing(en) identity & access mangement (IAM)? - Koppelingen / integraties?

Parallellen casus met vraagstelling consultatie sessies (Toelichting punt F) ( ) Als gegevensuitwisselingen elektronisch plaatsvinden moet er wel infrastructuur beschikbaar zijn om de gegevens ook daadwerkelijk over te brengen. En wel tussen alle zorgverleners en in alle domeinen van de zorg. Hiervoor bestaan tientallen infrastructuren die verschillende soorten gegevensuitwisselingen ondersteunen. Dat zijn er zo veel omdat de zorg groot en divers is, er meerdere regionale samenwerkingen zijn en vanwege de grote variatie aan soorten gegevens. Er zal in de Nederlandse zorg daarom ook nooit één infrastructuur zijn voor gegevensuitwisseling. Het belangrijkste is dat de verschillende infrastructuren voldoen aan de gemaakte afspraken, dat alle zorgaanbieders, ongeacht welke infrastructuur ze gebruiken, met elkaar verbonden zijn en dat benodigde voorzieningen zoals een digitaal adresboek beschikbaar zijn. Om dit te bereiken denk ik aan certificering van infrastructuren, waarop ik in het wetgevingstraject zal terugkomen. ( ) Het vergezicht Hoe mooi zou het zijn als in onze Nederlandse zorginfrastructuur de oplossingen die er nu zijn voor uitwisseling onderdeel gaan uitmaken van een samenhangende, open infrastructuur. Een infrastructuur waarin nieuwe partijen kunnen toetreden en hun diensten aanbieden. Waarin concurrentie plaatsvindt en we het met elkaar betaalbaar houden en er nog steeds innovatie kan plaatsvinden. En die transparant is in hoe het werkt en wat de kwaliteit is, zonder beperkingen van sectoren, regio s of locaties. Een samenhangend infrastructureel stelsel waar de minister van VWS van kan uitleggen dat het werkt en hoe het werkt, en die zorgprofessionals in staat stelt om elkaar digitaal te kunnen vinden.

Authenticatie, autorisatie, logging : afgebeeld op 7-lagen model Authenticatie, autorisatie en logging zijn leidend voor invulling van alle lagen!

UITKOMSTEN DESK RESEARCH ANDERE BRANCHES/SECTOREN Algemeen : - Zeer veel publicaties over producten, technische architecturen, pro s en contra s, beheer, etc. - Veel publicaties over juridische aspecten, wet- en regelgeving - Weinig publicaties over beleid, organisatie, processen/procedures, keuze criteria - Heel weinig over zorgsector Samenvattend : - Effecten AVG op IAM zijn groot : juridisch, aansprakelijkheden, auditing, beheer, rollen - Authenticatie, autorisatie en logging zijn leidend voor veilige, betrouwbare informatie-uitwisseling - Accent moet liggen op operationele organisatie, inrichting en beheer - niet op technische inrichting : Centralisatie IAM : single point of failure, kwetsbaar, eenvoud beheer/auditing Combinatie centrale-decentrale IAM : complex, synchronisatie, beheer, auditing Decentralisatie IAM : inrichting afhankelijk van organisatievorm, rol, omgeving, keten/netwerk Saillante uitspraken : - Er bestaan nauwelijks verkeerde IAM toepassingen : wel organisaties die verkeerde toepassingen kiezen - Als ik zorg nodig heb mag iedereen mijn informatie zien : ik maak me meer zorgen over internet bankieren - Waarom neemt de zorgsector geen bewezen systemen over uit het bedrijfsleven? - Waarom niet zoals bij mijn bankrekening zorginformatie i.p.v. geld ontvangen en overboeken?

De 3 HOOFDVORMEN : VERTAALD NAAR DE ZORGSECTOR Juridisch zelfstandige, centraal geleide organisaties (met eventueel) eigen decentrale vestigingen : - Centrale IAM toepassing, geïntegreerd met mainframe/enterprise toepassingen (o.a SAP, IBM, etc.) - Centraal georganiseerd, centrale procedures, centraal beheerd - Eenduidig, consistent, relatief simpel - Voorbeelden : multinationals, banken, verzekeraars, hotelketens, luchtvaart maatschappijen, etc. - Zorgsector : ziekenhuizen, zorgcentra, huisartsen centra, etc. (centraal ZIS, EPD, ECD, HIS, etc.) Formeel geheel of gedeeltelijk samenwerkende zelfstandige organisaties : - Centrale IAM toepassing voor centrale toepassingen, decentrale IAM voor eigen lokale toepassingen - Combinatie van centraal en decentraal beheer : diverse IAM koppelingen t.b.v. synchronisatie - Complex op alle niveaus : inrichting, beheer, auditing - Voorbeelden : franchise-organisaties, coöperaties, reisorganisaties, horeca ketens, etc. - Zorgsector : RSO s, landelijk gespreide zorgorganisaties, fusies (gedeeltelijk centralisatie ICT) Zelfstandige organisaties met gezamenlijk belang bij informele info-uitwisseling : - Decentrale/lokale IAM toepassingen - Vaak alleen functionele en technische afspraken over info-uitwisseling - Voorbeelden : logistiek organisaties, code sharing luchtvaart, reiswereld, etc. - Zorgsector : alle zorgorganisaties en zorgverleners, ongeacht organisatievorm

UITKOMSTEN DESK RESEARCH T.B.V. CASUS Conclusies t.b.v. casus : - Eisen NL wet- en regelgeving zorgsector prevaleren boven functionele en technische aspecten - Volgorde invulling : 1. Wettelijke eisen vertalen naar eigen organisatie structuur, samenwerkingen, positie, juridische aspecten : bizar ingewikkeld! 2. Processen en procedures inrichten, verantwoordelijkheden beleggen, borgen 3. Functionele en technische eisen IAM concept en architectuur bepalen, inclusief integratie intern/extern 4. Selectie IAM toepassing Vertaling naar consultatiesessies landelijke infrastructuur, brief minister, rol Informatieberaad : - Focus ligt op infrastructuur (ICT-oplossingen, producten) in plaats van op structuur NL-zorg, organisatievormen, effecten op operationele bedrijfsvoering, processen, beheer, etc. - Citaat minister : Om dit te bereiken denk ik aan certificering van infrastructuren, waarop ik in het wetgevingstraject zal terugkomen. ( ) :??? - In de zorg komen alle denkbare organisatievormen en IAM invullingen voor : hoezo certificering IAM? - Inrichting IAM is juridisch eigen verantwoordelijkheid individuele zorgorganisaties/zorgverleners - Bijzondere wettelijke rechtspositie zorgverleners : dubbelrollen (persoonlijk, maatschap, medische staf, beroepsgroep)

AVG Overeenkomsten en rechtsrelaties tussen betrokken partijen MedMij Afsprakenstelsel en Informatiestandaard Verwerker of verwerkingsverantwoordelijke Toelichting verwerkingsverantwoordelijke Naleving WGBO en Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg Modelovereenkomst Zorgaanbieder Dienstverlener zorgaanbieder Deelnemersovereenkomst Dienstverlener Persoon Deelnemersovereenkomst Dienstverlener Zorgaanbieder AP biedt ondersteuning AP - Praktijkgids Patiëntgegevens in de cloud Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene Verordening Gegevensbescherming Toelichting op de verantwoordelijkheden en normen in de AVG WGBO Bij een PGO geniet de Persoon niet de bescherming van het medisch beroepsgeheim. In aanvulling op de bestaande privacy wet- en regelgeving wordt daarom binnen het MedMij Afsprakenstelsel van belang geacht om de Persoon tevens bewust te laten zijn van de gevoeligheid van de gezondheidsgegevens. In de Gebruikersvoorlichting zijn hiervoor ondersteunende teksten opgenomen. Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg Handreiking Betrouwbaarheidsniveaus voor digitale dienstverlening Patiëntauthenticatie bij elektronische gegevensuitwisseling in de zorg Wetgeving inzake BSN, authenticatieplicht, verplichtingen zorgaanbieders voor identificatie Toestemmingsverlening zoals beschreven in Architectuur en technische specificaties.

Toezicht en controle op de naleving Stichting MedMij Controle naleving verplichtingen MedMij Afsprakenstelsel Autoriteit Persoonsgegevens Toezicht naleving wettelijke regels bescherming van persoonsgegevens Autoriteit Consument en Markt Toezicht mededinging, consumentenrecht, gelijk speelveld Inspectie Gezondheidszorg & Jeugd Toezichthouder, handhaving, opsporing van strafbare feiten en bewaken en bevorderen zij de veiligheid en kwaliteit van zorg Nederlandse Zorgautoriteit Toezichthouder zorgaanbieders en zorgverzekeraars m.b.t. regels goede, betaalbare, beschikbare zorg EU Working Party artikel 29 richtlijn (alle toezichthouders op persoonsgegevens in Europa gezamenlijk, in Nederland AP). Opinions hoe de wet geïnterpreteerd moet worden. Zoals de interpretatie van voorwaarden voor anonimiseren, certificeren en PIA s. EU Verordening 2017/745 Medische hulpmiddelen Aanpassingswet richtlijn inzake elektronische handel Implementatiewet richtlijn consumentenrechten Wet gelijke behandeling op grond van handicap en chronische ziekte (wgbh/cz) NEN 7510 etc. Informatiebeveiliging, logging NL-recht aansprakelijkheid Binnen het MedMij Afsprakenstelsel is iedere deelnemer aansprakelijk voor zijn eigen handelen en/of nalaten binnen de rol die hij vervult. De deelnemers mogen en kunnen niet afwijken van de algemene regels van het Nederlands recht. Hoe deze regels in een concreet geval uitwerken, is afhankelijk van de feiten en de omstandigheden van het geval.

DISCUSSIE! Vragen m.b.t. invulling Authenticatie, Autorisatie en Logging (IAM) : 1. Wat zou er op landelijk niveau (VWS, Informatieberaad, koepels) moeten gebeuren op het niveau van beleid, organisatie en processen? (bovenste lagen 7-lagen model) - Focus verleggen naar organisatie zorgveld i.p.v. op producten, leveranciers, infrastructuur - Veld dwingen tot uniformeren/standaardiseren van organisatie en processen - Verplichte landelijke formats voor identificatie, registratie, overdracht, etc. - Vereenvoudiging wet- en regelgeving, rollen toezichthouders - Leren van bedrijfsleven, overnemen bewezen IAM-vormen (banken, reiswereld, douane) - Regelen toelatingswijze nieuwe technieken (blockchain, IRMA, whitebox, Nuts, etc.) 2. Waarop zouden wettelijke maatregelen en certificering m.b.t. IAM zich moeten richten? Wat ontbreekt er in de huidige situatie? Zijn o.a. AVG, WGBO en NEN7510 niet duidelijk genoeg? En moet/kan dat dan (consistent) op alle 7 lagen van het interoperabiliteitsmodel? 3. Hoe verhoudt certificering infrastructuur inclusief IAM zich tot rechtspositie zorgverleners? En hoe tot zorgorganisatie waarin zorgverleners werkzaam zijn? Welke nationale organisatie/orgaan zou moeten gaan certificeren? (AP, IGJ, ACM, NZA, Nictiz, e.a.?) 4. Kan het MedMij concept fungeren als generiek model voor de benadering van IAM aspecten? Lost dit het operationele IAM vraagstuk bij zorgorganisaties/zorgverleners op?

Organisatie, processen, bedrijfsvoering (lagen 1-2-3) visie van Christine Aberson, Chief Nursing Information Officer van de Noordwest Ziekenhuisgroep : Mijn belangrijkste boodschap is dat je zorgprofessionals direct bij innovatie moet betrekken. Alleen dan kun je vernieuwingen efficiënt toepassen. We moeten continu werken aan de verbinding tussen zorgaanbieders, zorgverleners en ICT. Samen eerst kijken naar de processen. Anders werkt het niet. Technische invulling (lagen 4-5) Een patiënt vraagt via zijn PGO een of meerdere bloeddrukken op bij de zorgaanbieder. De communicatie tussen de PGO-applicatie van de patient en de applicatie van de zorgaanbieder verloopt daarbij conform de rollen Dienstverlener Persoon (de patient ) en Dienstverlener Zorgaanbieder. De (applicaties van) patiënt en de zorgaanbieder hebben in een gezamenlijke context onderhandeld via identificatie/authenticatie/autorisatie en dit heeft geleid tot een token waaruit voor de zorgaanbieder duidelijk is voor welke informatiestandaard en versie en onder welk burgerservicenummer de vragen worden gesteld. De Dienstverlener Persoon (patient) stelt dus zijn vraag met het onderhandelde token en vraagt dan Mag ik de laatst gemeten Observation van type bloeddruk, in de vorm FHIR STU3 XML? De Dienstverleners Zorgaanbieder weet welke regels daarvoor gelden en levert een 0..1 bloeddruk volgens de gestelde informatiestandaard. Een PGO dient via een ingekochte of zelf gebouwde systeemrol Dienstverlener Patiënt te communiceren volgens de MedMij spelregels (Afsprakenstelsel/Informatiestandaarden). Hetzelfde geldt voor een zorgaanbieder in de rol van Dienstverlener Zorgaanbieder.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback