Health by technology Privacy van de patiënt en hoe gaat de regering om met het beleid hier rond? Jo De Cock Administrateur-generaal RIZIV 20/02/2016 AZ Damiaan Oostende 2 1
ENKELE EVOLUTIES IN DE GEZONDHEIDSZORG Meer chronische zorg (vs louter acute zorg) Zorg op afstand (monitoring, bijstand, raadpleging, diagnose, operatie, ), oa thuiszorg Mobiele zorg Geïntegreerde, multidisciplinaire en transmurale zorg Patiëntgerichte zorg en empowerment van de patiënt Snel evoluerende kennis => nood aan betrouwbaar en gecoördineerd kennisbeheer en -ontsluiting Dreiging van te tijdrovende administratieve processen Degelijke ondersteuning van het gezondheidszorgbeleid en onderzoek vergt degelijke, geïntegreerde en geanonimiseerde informatie Grensoverschrijdende mobiliteit 3 ENKELE EVOLUTIES IN DE GEZONDHEIDSZORG Een samenwerking tussen alle actoren in de gezondheidszorg Efficiënte en veilige elektronische communicatie tussen alle actoren in de gezondheidszorg Kwaliteitsvolle, specialisme-overschrijdende elektronische patiëntendossiers Zorgplannen en zorgtrajecten Geoptimaliseerde administratieve processen Technische en semantische interoperabiliteit Waarborgen inzake informatieveiligheid bescherming van de persoonlijke levenssfeer naleving van het beroepsgeheim van de zorgverleners 4 2
E-GEZONDHEID IN DE PRAKTIJK 5 Health portal DTW Gebruikers Site RIZIV DTW E-HEALTH PLATFORM Basisarchitectuur Patiënten, zorgverleners en zorginstellingen portaal ehealthplatform MyCareNet DTW Software zorginstelling DTW Software zorgverlener DTW Netwerk Basisdiensten ehealth-platform GAB Leveranciers GAB GAB GAB GAB GAB 6 3
E-HEALTH PLATFORM Doelstellingen Hoe? door een goed georganiseerde, onderlinge elektronische dienstverlening en informatie-uitwisseling tussen alle actoren in de gezondheidszorg met de nodige waarborgen op het vlak van de informatieveiligheid, de bescherming van de persoonlijke levenssfeer en het beroepsgeheim Wat? optimaliseren van de kwaliteit en de continuïteit van de gezondheidszorgverstrekking optimaliseren van de veiligheid van de patiënt vereenvoudigen van de administratieve formaliteiten voor alle actoren in de gezondheidszorg degelijk ondersteunen van het gezondheidszorgbeleid 7 E-HEALTH PLATFORM 10 opdrachten Ontwikkeling van een visie en van een strategie inzake ehealth. Organiseren van de samenwerking met andere overheidsinstanties die belast zijn met de coördinatie van de elektronische dienstverlening. De motor van de noodzakelijke veranderingen zijn voor de uitvoering van de visie en de strategie inzake ehealth. Vastleggen van functionele en techische normen, standaarden, specificaties en basisarchitectuur inzake ICT. 8 4
E-HEALTH PLATFORM 10 opdrachten Registreren van software voor het beheer van elektronische patiëntendossiers. Concipiëren, uitwerken en beheren van een samenwerkingsplatform voor de veilige elektronische gegevensuitwisseling met de bijhorende basisdiensten. Een akkoord bereiken over een taakverdeling en over de kwaliteitsnormen en nagaan of de kwaliteitsnormen worden nageleefd. 9 E-HEALTH PLATFORM 10 opdrachten Als onafhankelijke trusted third party (TTP) optreden voor het coderen en anonimiseren van persoonsgegevens m.b.t. de gezondheid voor rekening van bepaalde, in de wet opgesomde instanties ter ondersteuning van het wetenschappelijk onderzoek en het beleid. De totstandkoming van programma's en projecten promoten en coördineren. De ICT-aspecten van de gegevensuitwisseling beheren en coördineren in het kader van de elektronische patiëntendossiers en van de elektronische medische voorschriften. 10 5
ROADMAP egezondheid 2015-2019 Principes samenwerking: coalition of the willing betrokkenheid van alle stakeholders responsabilisering van alle stakeholders betrouwbare basisdiensten en business continuity acties vereenvoudiging waar mogelijk klemtoon op concrete resultaten eerder dan op eeuwigdurende discussies gestage vooruitgang door SMART doelstellingen en actiepunten multidisciplinaire aanpak, miv vorming en financiële aspecten basis voor synergieën noodzakelijk voor een kwalitatief hoogstaande en betaalbare gezondheidszorg 11 WWW.PLAN-EGEZONDHEID.BE 12 6
20 SPECIFIEKE ACTIEPUNTEN 1. GMD = EMD Sumehr 2. Ziekenhuis-EPD 3. Medicatieschema 4. Elektronisch voorschrift 5. Gegevens delen via het systeem hubs & metahub voor algemen en universitaire ziekenhuizen 6. Delen om samen te werken 7. Psychiatrische en andere instellingen en het systeem hubs & metahub 8. Invoering van een uniform evalutie-instrument (BelRAI) 9. Incentives voor Gebruik 10. Toegang tot de gegevens door de patiënt (PHR) 11. Communicatie 12. Opleiding en ICT-ondersteuning van zorgverstrekkers 13. Standaarden en terminologiebeleid 14. MyCareNet 15. Administratieve vereenvoudiging 16. Traceerbaarheid van de implantaten en van de geneesmiddelen 17. Veralgemeend gebruik van de ehealthbox en gegevens van zorgverstrekkers beschikbaar in CoBRHA 18. Inventarisatie en consolidatie van registers 19. Mobile Health 20. Governance, roll out en monitoring e-gezondheid 13 Reeks diensten met toegevoegde waarde aangeboden door de ziekenfondsen via het ehealth-platform: Dienst Verzekerbaarheid Dienst Facturatie Derde Betaler Medisch-administratieve dienst Beheer van de hospitalisatie Administratie van het GMD 14 7
HUBS METAHUBS - SCHEMA 5 hubs Collaboratief Zorgplatform (Cozo) Antwerpse Regionale Hub (ARH) Vlaams Ziekenhuisnetwerk KU Leuven (VZN) Réseau Santé Wallon (RSW) Réseau Santé Bruxellois (RSB) 15 HUBS METAHUBS - VROEGER 16 8
HUBS METAHUBS - VANDAAG 3. Retrieve data from hub A A 4: All data available B C 17 HUBS METAHUBS - KLUIZEN A InterMed Brusafe B C 18 9
19 Delen van gegevens elke actor houdt zijn eigen dossier bij maar kan bepaalde onderdelen ervan delen met andere actoren Voorbeelden medicatieschema SumEHR parameters journaal 20 10
Toegang voor zorgverstrekkers met een zorgrelatie afhankelijk van hun rol Geen toegang voor IT-administrators, hoster,.. ehealth-platform overheid zonder de actieve medewerking van de houder van de 2e sleutel 21 22 11
23 De zorgverstrekker opent een e-health sessie via zijn programma met e-id en pin-code 5 uur voor een arts 12 uur voor een apotheker De voorschrijver: maakt zijn voorschriften met het programma voor het medisch dossier van zijn patiënten, drukt het voorschrift af en overhandigt het aan de patiënt; simultaan wordt het elektronisch naar recip-e verstuurd De apotheker: leest de bar-code in, bovenaan het voorschrift dat de patiënt hem overhandigt; hij ontvangt het voorschrift + verzekerbaarheid (indien nodig) op zijn scherm. 24 12
25 26 13
27 28 14
29 30 15
31 32 16
RISICOBEHEER Opportuniteiten Elektronische patiëntdossiers en elektronische gegevensuitwisseling tussen actoren in de zorg verhogen kwaliteit van de zorg verhogen patiëntveiligheid verminderen administratieve lasten ondersteunen beter onderzoek en beleid Te beheren risico s Nood aan waarborgen op vlak van bescherming van de persoonlijke levenssfeer van de patiënt bescherming van het beroepsgeheim van de zorgverlener informatieveiligheid 33 RISICOBEHEER Identificeer risico s Meet, controleer en monitor Cultuur op alle niveaus van de organisatie Analyseer en evalueer risico s Implementeer maatregelen Plan maatregelen 34 17
RISICODOMEINEN Confidentiality (vertrouwelijkheid): toegang tot informatie door onbevoegden Integrity (integriteit): ongewenste verandering of vernietiging van informatie Availability (beschikbaarheid): onbeschikbaarheid van informatiesystemen Ook aandacht voor non-repudation (onweerlegbaarheid van bepaalde elektronische verwerkingen) auditability (auditeerbaarheid) 35 RISICOBRONNEN mensen opzettelijk: ongeoorloofde toegang, sabotage (denial of service, malware), inbraak, diefstal, staking, extern: hackers, concurrenten intern: eigen personeel, personeel van onderaannemers niet opzettelijk: nalatigheid, fouten, niet-naleving van procedures en regels, extern: cliënten, partners, leveranciers intern:eigen personeel, personeel van onderaannemers fysische omstandigheden, bvb stroomonderbreking, brand, overstroming, temperatuurschommelingen, 36 18
GEMEENSCHAPPELIJKE VISIE onderscheiden actoren in de zorg zijn geen op zich staande informatieverwerkende entiteiten meer, maar deel van een heel raderwerk tendens tot toename van gegevensuitwisseling procesintegratie synergieën op vlak van ICT (bvb cloud computing) het risico op vervolgschade en de omvang ervan op alle verbonden informatiesystemen is veel groter dan de schade tgv een risico dat zich voordoet op één informatiesysteem de visie op het vlak van informatieveiligheid en bescherming van de persoonlijke levenssfeer moet gemeenschappelijk zijn 37 GEINTEGREERDE AANPAK (1/4) Systemen zijn zo veilig als de zwakste schakel => nood aan holistische aanpak met structurele en institutionele maatregelen zoals expliciete keuze voor gedecentraliseerde opslag van gezondheidsgegevens EPD blijft bij zorginstelling of individuele zorgverlener (gevalideerde authentieke bronnen (GAB)) wel verwijzing naar plaatsen waar elektronische documenten beschikbaar zijn (hubs-metahubsysteem) sterk beveiligde gezondheidskluis in de cloud waarin samenvattende elektronische informatie (bvb SumEHR) wordt opgeslagen indien de autthentieke bron (bvb EPD van huisarts) niet 24/7 toegankelijk is gebruik van ehealth-basisdiensten oa voor end-to-end vercijfering van gegevenstransport en degelijke toegangscontrole 38 19
GEINTEGREERDE AANPAK (2/4) structurele en institutionele maatregelen zoals instelling ehealth-platform, beheerd door actoren in de zorg, met ondersteunende informatieveiligheidsdiensten (zie lager) instelling onafhankelijk sectoraal comité voor de gezondheid (5 artsen op 6 leden) vastlegging gemeenschappelijke informatieveiligheidspolicies machtigingen tot gegevensuitwisseling na controle op rechtmatigheid van finaliteit, proportionaliteit en informatieveiligheid klachtenbehandeling aanbevelingen controletaken degelijk opgeleide informatieveiligheidsconsulent in elk ziekenhuis 39 GEINTEGREERDE AANPAK (3/4) juridische maatregelen zoals wetgeving tot bescherming van de persoonlijke levenssfeer verplichtingen van de verantwoordelijke van de verwerking, zoals respect finaliteits- en proportionaliteitsbeginsel nemen van gepaste informatieveiligheidsmaatregelen in functie van risico s rechten van het datasubject recht op toegang en verbetering recht op inzicht in de elektronische verwerkingsprocessen reglement inzake elektronische uitwisseling van gezondheidsgegevens vastgelegd door sectoraal comité gezondheid gebaseerd op informed consent van patiënt enkel tussen zorgverleners/instellingen die therapeutische relatie hebben met patiënt 40 20
www.patientconsent.be 41 www.patientconsent.be/folder 42 21
43 44 22
GEINTEGREERDE AANPAK (4/4) Organisatorische en technische maatregelen, gebaseerd op internationale ISO 2700x standaardenreeks beveiligingsbeleid organisatie van informatiebeveiliging beheer van informatiesystemen beveiliging van personeel fysieke beveiliging en beveiliging van de omgeving beheer van communicatie- en bedieningsprocessen toegangsbeveiliging ontwikkeling en onderhoud van informatiesystemen beheer van informatieveiligheidsincidenten continuïteitsbeheer naleving 45 46 23
E-HEALTHPLATFORM: BEVEILIGDE BOUWSTENEN Coördinatie van elektronische deelprocessen Portaal Geïntegreerd gebruikers- en toegangsbeheer Beheer van loggings Timestamping Systeem voor endto-end vercijfering Codering en anonimisering Verwijzingsrepertori um (metahub) ehealthbox Raadpleging van het Rijksregister en van de KSZregisters 47 EN DE TOEKOMST??? 48 24
EN DE TOEKOMST??? 49 EN DE TOEKOMST??? 50 25
EN DE TOEKOMST??? 51 EN DE TOEKOMST??? 52 26
EN DE TOEKOMST??? 53 EN DE TOEKOMST??? 54 27
Bedankt voor uw aandacht! 55 28