Het uitwisselingskompas

Het uitwisselingskompas helpt zorgaanbieders en zorgverleners afspraken met elkaar te maken en na te leven. Het kompas laat in één oogopslag zien over welke onderwerpen afspraken worden gemaakt. Wanneer het delen van medische gegevens binnen de zorgorganisatie plaatsvindt, worden afspraken gemaakt over de bovenste laag; het vertrouwensmodel. Wanneer de gegevensuitwisseling tussen zorgorganisaties plaatsvindt zijn afspraken nodig op beide lagen; het gehele uitwisselingskompas. Deze grafische weergave van het uitwisselingskompas laat zien dat alle onderwerpen met elkaar samenhangen. Worden afspraken over een van de onderwerpen aangepast, dan heeft dat onherroepelijk gevolgen voor een of meerdere onderwerpen in het kompas. Het kompas helpt daarmee afspraken te maken die met elkaar zorgen voor de benodigde vertrouwelijkheid.

Medische gegevens en vertrouwen

Om de gegevens in medische dossiers te beschermen tegen misbruik treffen zorgaanbieders adequate maatregelen door bepaalde waarborgen te implementeren. De patiënt moet er op kunnen vertrouwen dat de zorgaanbieder waar hij in behandeling is of is geweest, vertrouwelijk met zijn gegevens omgaat, zowel binnen de zorgorganisatie als in het contact met andere zorgorganisaties. Ook de zorgverlener moet erop kunnen vertrouwen dat de informatie die hij/zij in het dossier noteert, niet door onbevoegden binnen of buiten de zorgorganisatie worden geraadpleegd. Op medische gegevens berust immers het beroepsgeheim waar zowel de zorgverlener als de zorgaanbieder aan gehouden is.

Bij uitwisselingen maakt de zorgaanbieder afspraken met de zorgaanbieders waarmee hij uitwisselt. Wanneer de uitwisseling tussen verschillende zorgaanbieders plaatsvindt, worden de afspraken over de waarborgen vaak vastgelegd in een afsprakenstelsel, zoals bijvoorbeeld het AORTA-afsprakenstelsel voor uitwisselingen via het LSP of het Twiin Afsprakenstelsel. 
 

Het uitwisselingskompas

Het uitwisselingskompas bestaat uit twee lagen. De bovenste laag is het vertrouwensmodel dat VZVZ in het programma Twiin heeft ontwikkeld. Aan deze laag wordt invulling gegeven als uitwisseling van medische gegevens binnen de muren van de zorgorganisatie plaatsvindt; tussen zorgverleners en met patiënten. Bij uitwisseling tussen zorgaanbieders wordt er door de partijen die uitwisselen invulling gegeven aan de beide lagen, welke samen het uitwisselingskompas vormen.

De bovenste laag: het vertrouwensmodel

De zeven onderdelen van de bovenste laag geven invulling aan het vertrouwensmodel. Deze onderdelen hangen samen; keuzes in het ene onderdeel zijn van invloed op keuzes in het andere onderdeel. De verschillende onderdelen van het vertrouwensmodel kennen een wettelijke basis. Sommige onderdelen van het vertrouwensmodel zijn specifieker beschreven, bijvoorbeeld de logging in de norm NEN7513. De onderdelen staan, met de klok mee, ruwweg op volgorde en geen enkel kan worden overgeslagen. Elke zorgaanbieder vertaalt binnen de eigen instelling, als er geen gegevens uitgewisseld worden met andere zorgaanbieders, de waarborgen van het vertrouwensmodel naar intern beleid om te voldoen aan wet- en regelgeving, normen en richtlijnen. Denk aan de WGBO, Wabpz, NEN7510, NEN7512 en NEN 7513, etc. Door intern beleid wordt het interne vertrouwensmodel gedefinieerd.  

Beide lagen: het uitwisselingskompas

Bij uitwisselingen van medische gegevens tússen zorgaanbieders maken (vertegenwoordigers van) zorgaanbieders, zorgverleners en patiënten niet alleen afspraken over de onderdelen van het vertrouwensmodel, maar ook over het faciliteren van die uitwisseling binnen de wettelijke kaders (lokalisatie en adressering). Het uitwisselingskompas is onafhankelijk van de informatie die uitgewisseld wordt of de techniek waarmee dit gebeurt. Bij uitwisseling van medische gegevens worden dus afspraken gemaakt over negen onderdelen die samen zorgen de waarborgen voor uitwisseling vormen.

Het uitwisselingskompas
Figuur 1: Het uitwisselingskompas

Bekijk het interactieve uitwisselingskompas of lees hieronder verder.
 

Identificatie

Identificatie beschrijft op basis van welke attributen patiënten, organisaties en zorgverleners geïdentificeerd worden. Vaak gebeurt dit aan de hand van een toegewezen rol of een nummer. Bij uitwisselingen in Nederland is het bijvoorbeeld verplicht om patiënten te identificeren op basis van het BSN. Zorgaanbieders kunnen geïdentificeerd worden op basis van KvK-nummer, AGB-code of het URA-nummer. Zorgverleners hebben een personeelsnummer en/of een UZI-nummer. Bij de uitwisseling van medische gegevens is het van belang dat er afspraken zijn over hoe personen, organisaties en bijvoorbeeld systemen worden geduid.

Authenticatie

Authenticatie beschrijft de manier waarop een identiteit bewezen kan worden. In het dagelijks leven kunnen personen zich identificeren met een paspoort, Europese identiteitskaart of eventueel een rijbewijs. Bij uitwisselingen zijn afspraken nodig op basis waarvan authenticatie van personen en organisaties plaatsvindt. Het type uit te wisselen gegevens bepaalt de eisen die aan de betrouwbaarheid van het authenticatiemiddel worden gesteld volgens eIDAS. De UZI-pas is een voorbeeld van een authenticatiemiddel in de zorg. 

Autorisatie

Via autorisatie wordt bepaald of en welke gegevens de dossierhoudende zorgaanbieder beschikbaar mag stellen aan de (interne en externe) zorgverleners. Een zorgaanbieder richt daarvoor een autorisatiematrix in. Ook voor uitwisselingen tussen zorgaanbieders moeten autorisatieafspraken worden gemaakt. Dit heeft tot doel te regelen dat alleen de noodzakelijke medische gegevens worden uitgewisseld, passend bij het zorgproces. De afspraken gaan over welke, bij een opvragende zorgverlener horende, rol zich toegang mag verschaffen tot bepaalde informatie. Gegevensuitwisselingen moeten proportioneel zijn en gebaseerd op een bepaald doel. Autorisatieafspraken dragen hier aan bij. Afspraken zijn ook nodig om te bepalen wie de autorisaties bepaalt (opvragende zorgaanbieder, brondossier houdende zorgaanbieder of via landelijke afspraken) en waar deze autorisaties worden gecontroleerd (bij de opvragende zorgaanbieder, bij de brondossier houdende zorgaanbieder, regionaal of via een centrale voorziening).

Behandelrelatie

Een zorgverlener mag alleen toegang hebben tot (medische) gegevens, wanneer deze een behandelrelatie met de patiënt heeft. Dit geldt zowel voor zorgverleners die in hun eigen zorgorganisatie een dossier benaderen als voor zorgverleners die gegevens raadplegen bij een andere zorgaanbieder, via een uitwisselingssysteem. De behandelrelatie moet digitaal toetsbaar zijn en dat kan op verschillende manieren.

Patiënttoestemming

Gegevens over een persoon mogen alleen verwerkt worden met diens toestemming. Wanneer een behandelrelatie ontstaat tussen een patiënt en een zorgaanbieder, zal de toestemming om (medische) persoonsgegevens te verwerken veelal impliciet zijn. Wanneer de patiënt besluit gebruik te maken van de dienstverlening van de zorgaanbieder, zal deze ook instemmen met registratie van (medische) persoonsgegevens. Dit hoort bij goed patiëntschap.

Bij elektronische uitwisseling van medische gegevens geldt dat de patiënt toestemming moet geven voor het beschikbaar stellen van zijn gegevens voor mogelijke raadpleging door een andere zorgaanbieder in de toekomst. De zorgaanbieder moet de patiënt informeren welke medische gegevens eventueel op te vragen zijn door andere zorgaanbieders. Op basis daarvan geeft de patiënt uitdrukkelijk wel of geen toestemming voor het beschikbaar stellen van de gegevens. Bij een doorverwijzing naar een andere zorgaanbieder zal de huidige zorgverlener altijd noodzakelijke medische gegevens meesturen naar de andere zorgaanbieder. Hiervoor geldt een veronderstelde toestemming van de patiënt voor het versturen van de noodzakelijke medische gegevens, bij instemming met de doorverwijzing. 

Logging

Logging heeft twee functies. Logging maakt het mogelijk het beheer van uitwisselingen goed in te richten. Wanneer er technische problemen zijn bij het tot stand brengen van de uitwisseling kan via de logging nagegaan worden waar het probleem in de keten ligt. De andere functie van logging is dat logging van transacties het mogelijk maakt om te controleren of de uitwisselingen volgens de afspraken plaatsvinden. Dit betreft altijd controle achteraf.

Het inrichten van het onderdeel logging biedt de mogelijkheid om achteraf na te gaan wie inzage heeft gehad in medische gegevens. Bij inzage door een zorgverlener die in dienst is bij een zorgaanbieder, kan de zorgaanbieder de logging inzien en steekproefsgewijs controleren of de eigen medewerkers zich aan de beleidsafspraken houden.

De patiënt kan bij de zorgaanbieders waar hij in behandeling is (geweest) inzage in de logging vragen. Op deze manier kan ook de patiënt controleren of de zorgaanbieder vertrouwelijk met de medische gegevens omgaat. Bij uitwisseling tussen zorgaanbieders zijn afspraken over de logging nodig. Deze afspraken gaan over de inzage in en controle op de logging, zodat de naleving van de gemaakte afspraken kan worden gecontroleerd.

Transparantie

Het onderdeel transparantie behelst afspraken over hoe zorgaanbieders, zorgverleners en patiënten kunnen weten wat de afspraken over de waarborgen in het vertrouwensmodel zijn. De patiënt kan de logging opvragen en moet worden geïnformeerd over de klachtenprocedure. Zorgverleners moeten op de hoogte zijn van het beleid op de waarborgen van het vertrouwensmodel, zowel intern als bij uitwisseling tussen zorgaanbieders. Alvorens in te stemmen met deelname aan uitwisselingen met andere zorgaanbieders zullen zorgaanbieders, de verantwoordelijken voor de uitwisselingen, op de hoogte willen zijn van de afspraken die zijn vastgelegd. De zorgaanbieder zal daar, net als de andere deelnemende zorgaanbieders, aan moeten voldoen. De patiënt moet weten waarvoor hij toestemming geeft, wanneer hij toestemming geeft om gegevens beschikbaar te stellen voor uitwisseling.

Lokalisatie

Waarborgen ten aanzien van lokalisatie zijn nodig in het geval gegevens ongericht beschikbaar gesteld zijn voor opvragen. In het geval van het ongericht beschikbaar stellen van gegevens worden na toestemming van de patiënt gegevens beschikbaar gesteld aan andere zorgorganisaties, zonder dat vooraf bekend is welke zorgorganisatie de gegevens op welk moment zal opvragen. Een raadplegende zorgaanbieder mag niet zomaar aan alle zorgaanbieders laten weten dat hij een patiënt in behandeling heeft, door aan alle andere zorgaanbieders te vragen om informatie over de patiënt omdat hij niet weet bij welke zorgaanbieders informatie beschikbaar is. Dit wordt overbevraging genoemd en druist in tegen het proportionaliteits- en subsidiariteitsbeginsel uit de AVG. Om dit te voorkomen is een functie nodig om overbevraging te voorkomen en toch antwoord te kunnen geven op de vraag waar informatie over de patiënt beschikbaar is. Gegevens kunnen alleen beschikbaar worden gesteld met de uitdrukkelijke toestemming van de patiënt. Het kan voorkomen dat de zorgaanbieder wel over gegevens van de patiënt beschikt, maar dat de patiënt geen toestemming heeft gegeven om deze gegevens te delen. In dat geval mag deze zorgaanbieder niet geduid worden als zorgaanbieder waar gegevens beschikbaar zijn.

Adressering

Adressering is zowel noodzakelijk bij het ongericht beschikbaar stellen als bij het gericht versturen van informatie. Bij het gericht versturen van gegevens worden gegevens vanuit het systeem van de brondossierhouder direct naar een bekende ontvanger gestuurd. Hier geeft adressering antwoordt op de vraag, wat het “digitale adres” van de ontvanger is. Bij het ongericht beschikbaar stellen van gegevens geeft adressering de opvragende zorgaanbieder antwoord op de vraag wat het “digitale adres” van de bron is.
 

Meer informatie

Wilt u meer weten over het uitwisselingskompas? Heeft u vragen of opmerkingen? Neem gerust contact op.

Kirsten de Wilde

Kirsten de Wilde

Klinisch Informaticus