Skip to end of metadata
Go to start of metadata

Twiin heeft gekozen voor de dienst Mitz van het OTV-programma voor invulling van lokalisatie en toestemming.

https://www.programma-otv.nl/aansluiten-op-mitz/

Aansluiten op Mitz is een eis om het veilig en betrouwbaar uitwisselen van gegevens, zowel technisch als juridisch, te garanderen. De dienst Mitz is productieklaar, en kan gebruikt worden na het doorlopen van een aansluit traject van GtK's en zorgaanbieders. De verwachting is dat dit in de periode 2021 - 2022 gaat plaatsvinden.  Twiin wil, voor de korte termijn, niet afhankelijk zijn van aansluiting op Mitz  en ondertussen wel stappen zetten in het verbinden van bestaande netwerken.  

  • Voor toestemming kan zolang gebruik worden gemaakt van de huidige mogelijkheden waarop toestemmingen worden vastgelegd, zolang deze  tussen de netwerken onderling zijn afgestemd en zorgaanbieders en GtK's hier onderling hun vertrouwen over hebben uitgesproken en dit vertrouwen hebben vastgelegd.
  • Voor lokalisatie is het de vraag in hoeverre binnen Twiin netwerken al verbonden kunnen worden, voordat ze zijn aangesloten op Mitz.



Het doel van Twiin is om landelijke dekking te realiseren, waarbij GtK's en zorgaanbieders aan duidelijke en scherpe afspraken moeten voldoen. Oplossingen bedacht voor lokale of regionale uitwisselingen kunnen niet zomaar door vertaald worden naar landelijk niveau, omdat de schaalgrootte groter is.  Vanwege die landelijke dekking moet Twiin streng zijn, en kan op het vlak van WBGO en AVG geen concessies doen.


In onderstaand kader volgt een toelichting over hoe Twiin stappen zet in de realisatie van een landelijk dekkend netwerk, rekening houdende met toestemming en lokalisatie voor een veilige en betrouwbare uitwisseling, totdat GtK's en Zorgaanbieders zijn aangesloten op Mitz.  


Toelichting Twiin & Mitz

1. Twiin projecten 2021

Binnen het project Knoop. worden meerdere netwerken aan elkaar gekoppeld. Er wordt gestart met een aantal RSO netwerken die IHE-XDS(i) gebaseerd zijn. Binnen een XDS-regio is sprake van twee smaken:

  1. Meerdere zorgaanbieders die samenwerken en elkaar via een regionale XDS-index bevragen.
  2. Meerdere zorgaanbieders die elk hun eigen XDS-index hebben en via een Gateway de vraag uitzetten naar de andere Zorgaanbieders met eigen XDS-index.

In beide gevallen worden de IHE-XDS infrastructuren on-premise binnen het ziekenhuis gehost, of  bevinden ze zich in een cloud omgeving.

Het project Beeldbeschikbaarheid heeft als doel om aan te tonen dat de tijdlijn, een chronologisch overzicht van beelden en verslagen per patiënt, op te roepen is in binnen de eigen werkomgeving van de zorgverlener.  Gestart wordt met radiologische onderzoeken op de werkplek van de radioloog. In 2021 vindt een eerste beproeving  plaats door in een aantal ziekenhuizen achter reeds gekoppelde netwerken, de tijdlijn “in te bouwen”. Het project Knoop. en het project Beeldbeschikbaarheid (tijdlijn) liggen in elkaars verlengde en zijn gebaseerd op hetzelfde afsprakenstelsel, inclusief architectuur.

Bij beide projecten is het (over)bevragen van meerdere zorgaanbieders om gegevens van een specifieke patiënt, ook al is de patiënt daar niet bekend, een relevant discussiepunt .

  • Relevant als een landelijk dekkend netwerk wordt nagestreefd en er meerdere XDS-regio’s aan elkaar gekoppeld worden.
  • Relevant als een groot aantal zorgaanbieders zijn aangesloten op een cloud omgeving, waarin grotere aantallen logisch gescheiden indexen van zorgaanbieders bevraagd kunnen worden.

2. Werking lokalisatievoorziening

Binnen het programma OTV is uitgebreid nagedacht over het overbevraging vraagstuk van patiëntgegevens bij meerdere zorgaanbieders. Als oplossing voor overvraging is een lokalisatie voorziening ontwikkeld als onderdeel van Mitz.

  • Als 1e stap wordt gevraagd bij welke zorgaanbieders een patiënt bekend is, inclusief een controle of de patiënt toestemming heeft gegeven dat de zorgverlener dit mag weten.
  • Als 2e stap (niet onderdeel van Mitz) worden alleen die zorgaanbieders om gegevens gevraagd die in het antwoord van de 1e stap zitten. 
  • Als 3e stap wordt vanuit elke zorgaanbieder aan Mitz gevraagd of er toestemming is om gegevens beschikbaar te stellen aan de opvrager.

De lokalisatievoorziening beperkt hiermee het overmatig bevragen vanuit privacy oogpunt.

3. Wat is juridisch toegestaan en waar ligt de grens?

Is het voor een beperkt aantal zorgaanbieders die samenwerken toegestaan om bij elke opvraging van patiëntgegevens alle losse indexen per zorgaanbieder in het samenwerkingsverband te bevragen? Met andere woorden is het juridisch een probleem wanneer alle aangesloten zorgaanbieders in een samenwerkingsverband worden bevraagd om gegevens van een specifieke patiënt, terwijl de patiënt niet bij al deze zorgaanbieders bekend is? Als er geen toestemming is gegeven door de patiënt, of de patiënt is niet bekend bij een zorgaanbieder, zal er geen antwoord terug worden gegeven. Maar is dus wel bekend dat deze persoon patient is en er een vraag om (specifieke) gegevens is. 

Welke maatregelen zijn nodig om zonder een lokalisatie voorziening (Mitz) te kunnen in de huidige fase? 

Wat zijn de overwegingen die meegenomen worden in het aangeven/definiëren van het aantal zorgaanbieders dat bevraagd mag worden? 

Juridisch perspectief

Vanuit juridisch oogpunt is de beantwoording van bovenstaande vragen genuanceerd en is er geen harde lijn te trekken. 

Waar het om gaat is dat door een vraag te stellen je eigenlijk zegt: “ik heb hier BSN 123456 en wil daarvan relevante gegevens xyz opvragen. Wie o wie?” Omdat je geen lokalisatie hebt stel je de vraag aan iedereen. En hoe meer je koppelt aan hoe meer zorgaanbieders je het vraagt. Oftewel voor een enkele patiënt doe je een bevraging bij iedereen. Een antwoord komt slechts van een enkele of geen enkele zorgaanbieder. Er is dus heel veel -achteraf- onnodig dataverkeer.

Gelet op de WGBO eisen dat patiëntdata niet gedeeld mag worden, als dat niet noodzakelijk is, is dat een bijzondere situatie. Je vertelt namelijk aan iedereen dat je BSN 123456 bij jou hebt als patiënt. Bij een lokalisatievoorziening beperk je dat (in hoeveelheid), maar tegelijkertijd maak je met zo’n register weer bekend wie waar al patiënt is. Maar dat is in het berichtenverkeer zelf alleen gericht en aan een medebehandelaar. Ook dat is wel een WGBO issue, maar veel geringer en met meer waarborgen.  

Op grond van de AVG is het een vereiste dat in een ICT systeem of dataomgeving privacy ‘by default' en ‘by design’ wordt toegepast. Dataverkeer moet dus zo ‘privacy enhanched’ mogelijk worden ingericht. Het idee bij de dienst Mitz is om al dat onnodige dataverkeer te beperken met een abonnee register. Daarmee ontstaat dus een soort behandelingsovereenkomst-index, zoals hierboven beschreven. Maar omdat je ook iets nodig hebt om melding te maken van nieuwe toestemmingen kom je daar niet goed omheen. Immers anders zou je die informatie ook naar iedereen moeten sturen of de zorgaanbieder zou dat steeds moeten opvragen bij de centrale bron. Geen van al deze situaties is ideaal. Uiteindelijk wordt uit bevragingen toch wel bekend wie waar patiënt is of is geweest. Je zou dat bijvoorbeeld uit logging kunnen afleiden. De lokalisatievoorziening door gebruik van een abonneeregister is daarmee meest privacyvriendelijke oplossing.

De belangrijkste waarborgen voor de privacy op basis van bovenstaande lijken dan te zijn om dit afgeleide inzicht uit logging en registratie zeer goed te beveiligen, zodat onbevoegde toegang wordt voorkomen, en daarnaast het onnodige bulk dataverkeer zoveel mogelijk te beperken omdat het dan toch gaat om het ongericht rondzenden van BSN informatie vanuit een bepaalde zorgverlener.

 Het is niet mogelijk om aantallen mee te geven in de concrete vraag. Vandaar het inzicht in de uitgangspunten van de wetgeving om gegevensbescherming zoveel mogelijk te borgen en het beroepsgeheim zo min mogelijk te doorbreken, behoudens op goede gronden. De logica waartoe dit geleid heeft bij de dienst Mitz binnen het OTV-programma is de goede lijn om door te zetten, met als onderbouwing bovenstaande achtergrond.

Wat tot slot  meespeelt  in de eigen afweging in de huidige situatie is welk gegevens Twiin mee stuurt met elke vraag. Dat is een relatieve overweging, die aan bod komt na de initiële vraag. Hoe meer herleidbare patiëntdata hoe groter het probleem. Dit zou uiteindelijk helemaal voorkomen moeten worden met de inrichting van de lokalisatievoorziening.

4. Invulling  Twiin

Het gebruiken van een lokalisatievoorziening is uitgangspunt voor Twiin. Het tijdelijk nog niet gebruiken van een lokalisatie voorziening wordt voor beperkte uitwisseling overwogen, totdat Mitz operationeel is en de knooppunten zijn aangesloten, bij gebrek aan een andere voorziening op dit moment. Er is sprake van overbevraging als geen gebruik gemaakt wordt van een lokalisatievoorziening. Voor wat betreft deze overbevraging is geen harde grens aan te geven over hoe klein de ‘proeftuin’ voor de eerste uitwisseling moet zijn. Er kan geen getal genoemd worden voor het aantal te koppelen zorgaanbieders. Een goede onderbouwing van de meest geëigende route is noodzakelijk, waarbij mogelijk een toets/gesprek met AP nodig is.

Om te kunnen starten met de realisatie van Knoop. en Beeldbeschikbaarheid , dient een oplossing gezocht te worden in twee zaken, namelijk alternatieve oplossingen en mogelijke beheersmaatregelen.

4a. Alternatieve invulling lokalisatie

Een mogelijk alternatief voor de lokalisatie voorziening van Mitz is om zelf een lokalisatievoorziening per regio of meerdere regio’s in te richten. Het is dan echter logischer om het aansluitproces op Mitz te starten. Er is kort gekeken naar het gebruik van XCPD, echter bij XCPD is stap één om eerst een patiënt query te doen op alle gateways, om vervolgens een gerichte query te doen op de indexen. Dit komt op dezelfde manier neer op overbevraging.

Zorgaanbieders kunnen alleen zorgaanbieders bevragen als deze ook bekend zijn. Technisch gezien kan een Index alleen andere potentiele bronnen (indexen) bevragen, als deze ook als technisch adres zijn opgenomen.  Door de hoeveelheid andere potentiele bronnen lokaal beperkt te houden (b.v. alleen regionaal) wordt eerste inperking van het aantal bevragingen gerealiseerd.

De hoeveelheid bronnen zou je kunnen baseren op huidige uitwisselingen en zorgpaden, waarbij een patient standaard naar bepaalde zorgaanbieders wordt verwezen voor bepaalde behandelingen.

4b. Beheer maatregelen

Logging

Het is een voorwaarde binnen het Twiin afsprakenstelsel dat de transacties tussen de verschillende systeemcomponenten worden vastgelegd volgens NEN7513. Hieruit is af te leiden waar welke patiënt bekend is en hoe vaak een patiënt wordt opgevraagd. Om te voorkomen dat hier misbruik van wordt gemaakt, dient de toegang tot de log beperkt te zijn tot personen die als functie monitoren en controleren (incl. de patient zelf). Afspraken hierover zijn opgenomen in het Twiin afsprakenstelsel met verwijzing naar NEN7510, NEN7512 en NEN7513.

Beperking in de hoeveelheid metadata

Zoekvraag 1: Bij het bevragen van zorgaanbieders om gegevens van een patiënt, wordt alleen het BSN meegegeven in de transactie. Daarnaast wordt voor de opvragende zorgverlener, zorginstelling, rolcode en identificatie meegestuurd voor opname in de log en controle achteraf.

Zoekvraag 2: Bij het daadwerkelijk overhalen van de gegevens in een document wordt dit rechtstreeks gedaan bij de desbetreffende zorgaanbieder met behulp van een uniek document ID.

Beperking van gebruik

De aanpak van het project Knoop. bij het daadwerkelijk in de productie omgeving aan elkaar koppelen van netwerken is om te starten met drie UMC’s. Het koppelen zal in eerste instantie zijn het leggen van de verbinding, inclusief de afspraken die daarbij horen. Het testen van de verbinding zal plaatsvinden op meerdere manieren, als het testen met patientdata betreft, dan is die data fictief. Het vastleggen van toestemming is in deze setting gebaseerd op de huidige manier van vastleggen. Het zijn met name de Universitaire centra, waar de inzage en desgewenst overnemen van gegevens door meer gebruikers wordt opgepakt, maar ook daar betreft het met name beeldvormende onderzoeken en zijn het enkele gebruikers per secretariaat. Daarnaast worden de UMC’s en de bijbehorende knooppunten gestimuleerd om aan te gaan sluiten op Mitz.

De aanpak voor beeldbeschikbaarheid is om met een beperkt aantal ziekenhuizen achter reeds twee aan elkaar gekoppelde knooppunten de tijdlijn in te bouwen en te beproeven. We beperken het aantal ziekenhuizen die gaan uitwisselen, en we beperken het aantal gebruikers om de tijdlijn te beproeven. De gebruikte informatie van patiënten zal beperkt zijn en indien mogelijk fictief. De ziekenhuizen en de bijbehorende knooppunten worden gestimuleerd om aan te gaan sluiten op Mitz.

Beoogde datum koppelen met Mitz (specifiek voor lokalisatie)

In de aansluitvoorwaarden van Twiin is  een voorwaarde opgenomen dat een GtK, een roadmap moet hebben met daarin duidelijk aangegeven wanneer de aansluiting op Mitz gereed is.

Dit is inclusief de benodigde aanpassingen in het EPD systemen van de achterliggende zorgaanbieders.

Cloud oplossingen leveranciers

GtK’s dienen invulling te geven aan bovenstaande beheermaatregelen en af te stemmen met leveranciers. Dit geldt voor on-premise installaties en voor cloud oplossingen. In beide gevallen dient een beperkt aantal gebruikers per zorgaanbieder opvragingen te kunnen doen, en in lijn te liggen met organisaties waarmee een samenwerking is afgestemd. Daarnaast dient ook hier een roadmap te worden afgestemd, met hierin een concrete datum waarop wordt gekoppeld aan een lokalisatie voorziening (Mitz).

Uitbreiding en opschaling

Uitbreiden en opschalen, dus meer gekoppelde ziekenhuizen en knooppunten en meer gebruik, kan pas als de lokalisatieservice van Mitz in gebruik is, of als er een volwaardig alternatief is bedacht en/of beter passende maatregelen zijn getroffen.


Toelichting aansluiting Mitz



  • No labels