Push autorisatie

Push autorisatie (PA) is een zeer privacy-vriendelijke manier om patiëntgegevens uit te wisselen.

Om toegang te krijgen tot medische informatie zijn een aantal zaken nodig:

  • autorisatie: wie mag toegang krijgen tot welke gegevens?
  • addressering: hoe kun je gegevens naar iemand toesturen?
  • lokalisatie: waar zijn gegevens op te halen?
  • identificatie: wie probeert toegang te krijgen?

Vaak worden voor deze zaken ‘voorzieningen’ gebouwd: centrale diensten om de voor toegang benodigde zaken te regelen. Vaak houden dit soort voorzieningen in dat de zeggenschap over wie op welke manier toegang krijgt tot gegevens verschuift – van patiënt en arts, naar de voorziening.

Bij push autorisatie wordt lokalisatie en autorisatie informatie direct (en letterlijk) opgestuurd naar een ontvanger. Bij push autorisatie stuurt de partij die toegang geeft een link (een URL) op naar een beoogd ontvanger. Deze link kan slechts door één persoon gebruikt worden. Alternatief kan ook een code opgestuurd worden, waarmee de link kan worden opgehaald en geopend.

De ontvanger kan met zo’n link of code de beschikbaar gestelde gegevens ophalen en inzien.

Het gemak waarmee een URL of een korte code van 6 of 7 cijfers kan worden overgedragen maakt dat gericht beschikbaar stellen van gegevens in vrijwel elk zorgproces realiseerbaar is. Een URL is makkelijk digitaal op te sturen, bijvoorbeeld als deel van een elektronische verwijsbrief. Maar wanneer dat niet kan is het ook mogelijk om een code mondeling, telefonisch of op papier door te geven aan een andere zorgverlener. Een patiënt kan dit ook zelf doen, door een (spoed)code in zijn portemonnee of op een App bij zich te dragen. Zo kan de patiënt een zorgverlener zelf toegang geven tot zijn gegevens.

De flexibiliteit van push autorisatie zorgt dat het goed inpasbaar is in elk zorgproces. Er is altijd een manier om gegevens op een veilige manier over te dragen naar de zorgverlener die deze nodig heeft.

Onderstaande figuur illustreert dit voor een aantal zorgprocessen.

Figuur 1: push autorisatie in verschillende zorgprocessen.

Via push autorisatie kunnen reguliere zorgprocessen worden ondersteund (boven de gestreepte lijn), maar ook ‘ingewikkelde’ zoals spoed waarbij op voorhand niet voorspelbaar is wie gegevens gaat opvragen (onder de gestreepte lijn).

In figuur 1 zijn verschillende soorten zorgprocessen te zien.

  • Boven de gestreepte lijn worden ‘reguliere zorgprocessen’ getoond – dit zijn processen die grotendeels planbaar zijn, waarbij patiëntgegevens van zorgpartij naar zorgpartij worden overgedragen, bijvoorbeeld bij een verwijzing of het versturen van een recept.
  • Onder de gestreepte lijn staan spoedprocessen beschreven. Belangrijk in de spoedketen is de huisartsenpost, die in de ANW (avonden, nachten en weekenden) de diensten overneemt van de huisarts, en in die periodes dus feitelijk de rol van de huisarts overneemt.
  • Vanuit de huisartsenpost zijn veel spoedprocessen te organiseren, denk aan overdracht naar de spoedeisende hulp (SEH) en/of het uitsturen van een ambulance.

Zonder dat patiëntgegevens op voorhand voor een grote groep zorgaanbieders en zorgverleners open hoeven te worden gesteld.

Uitwerking voorbeeld (referentie) zorgprocessen

Er zijn een aantal voorbeelden van het gebruik van push autorisatie uitgewerkt voor verschillende zorgprocessen. Bijvoorbeeld:

  • Spoedproces (acute zorg)
  • Beelduitwisseling
  • Geboortezorg

Voor de nadere uitwerking van deze referentie use cases wordt een standaardisatieproces gestart, waarin verschillende stakeholders meedoen om te komen tot een adequate en volledige beschrijving van de usecase, die de basis vormt voor een security policy die vastlegt wat er wel en niet mogelijk is voor (bij) push autorisatie in deze zorgprocessen.

Voorbeeld:

  • reguliere zorgprocessen, waarin patiëntgegevens op reguliere wijze overgedragen worden van partij naar partij, bijvoorbeeld via verwijzingen. Push autorisaties kunnen in deze processen eenvoudig meegestuurd worden.
  • (acute) situaties waar meer tijdsdruk op staat, zoals een overdracht van de huisartsenpost naar de SEH.

TODO subpagina:

  1. Bij een verwijzing stuurt een huisarts een verwijsbrief op naar een specialist. De huisarts schrijft in de verwijzbrief gegevens op in de verwijsbrief die relevant zijn voor de specialist, en voegt daaraan een PA-URL toe die wijst naar het overzicht van medicatie die de huisarts in zijn dossier heeft. De specialist ontvangt de verwijsbrief en maakt een afspraak met patiënt. Als de patiënt langskomt (dit kan enkele weken later zijn), kan de specialist via de PA-URL het actuele medicatieoverzicht ophalen bij de huisarts.
  2. De specialist komt tot de ontdekking dat de patiënt iets heeft dat een andere specialist beter kan behandelen. De specialist maakt een nieuwe verwijsbrief voor de volgende specialist ‘in de keten’. Deze verwijsbrief bevat een samenvatting van de oorspronkelijke klachten en de nieuwe bevindingen. Vervolgens vraagt de specialist met de PA-URL die zij van de huisarts ontving een nieuwe PA-URL op, en plaatst deze in de verwijsbrief die opgestuurd wordt naar de volgende specialist. Hiermee kan deze ook actuele gegevens (over medicatie) ophalen bij de bron, op het moment dat deze de patiënt voor zich ziet.
  3. De specialist schrijft medicatie voor voor de patiënt, en stuurt een recept op naar de apotheek. Hiermee kan opnieuw een nieuwe PA-URL (die door de specialist is aangevraagd bij de bron) worden meegestuurd, zodat de apotheek ook de actuele medicatielijst bij de huisarts kan ophalen en kan controleren voordat deze de medicatie verstrekt aan de patiënt.

De huisarts en de huisartsenpost (HAP) hebben een permanente verbinding omdat de huisartsenpost een organisatie is die als vervanger van de huisarts in de avonden en weekenden optreedt. Stap 4 in figuur 1 laat dit zien. Een huisarts op de huisartsenpost kan ook een autorisatie aanmaken, die kan worden doorgegeven aan de ambulance, of rechtstreeks met een spoedverwijzing opgestuurd naar de spoedeisende hulp afdeling van het ziekenhuis.

Eigenschappen

Het voordeel van deze techniek is dat alleen de verzender en de ontvanger van een push autorisatie URL (PA-URL) weten dat er gegevens beschikbaar worden gesteld: er zit géén systeem tussen. Omdat de ontvanger de gegevens alleen kan ophalen met een beveiligd identificatiemiddel (bijvoorbeeld, een UZI pas), kan de verzender (de bronhouder) precies zien wie de gegevens op welk moment heeft opgehaald. Het ophalen van gegevens is end-to-end beveiligd. Dat maakt de techniek zeer veilig.

Een belangrijke eigenschap van push autorisatie, is dat iemand die geautoriseerd is zelf ook weer een nieuwe autorisatie kan uitgeven voor een andere partij of persoon die de gegevens moet kunnen opvragen. Alleen als je een autorisatie hebt gekregen, kun je dit doen. Aan de bron kun je precies zien wie een nieuwe PA-URL heeft aangevraagd en heeft doorgegeven, en wie deze nieuwe PA-URL heeft gebruikt. Deze eigenschap zorgt ervoor dat je autorisaties in het zorgproces kunt doorgeven. De toegang “volgt” als het ware het zorgproces.

De patiënt kan bij iedere stap in het zorgproces aangeven dat hij of zij niet wil dat een autorisatie wordt doorgegeven. De patiënt kan ter controle (via een patiëntenportaal) precies zien wie een autorisatie heeft aangemaakt of gebruikt, en kan autorisaties ook intrekken. De patiënt kan ook zelf autorisaties uitgeven of doorgeven.

Beveiligingseigenschappen (moved here)

De push autorisatie standaard beschrijft belangrijke eigenschappen zoals de beveiliging van het systeem. Het legt vast hoe de gegevens beveiligd (versleuteld) zijn, en hoe een zorgverlener moet inloggen, en welke soort zorgverlener welke gegevens kan inzien. Dit kan per zorgproces verschillen.

In alle gevallen zal de opvragende zorgverlener een erkend inlogmiddel nodig hebben om de gegevens daadwerkelijk op te halen, waarop de naam van de zorgverlener en diens ‘rolcode’ oftewel specialisme staat. Zo kan de bronhouder altijd nagaan welke zorgverlener een link heeft gekregen, kan de bronhouder de actie (inzien gegevens, doorautoriseren) goed kan vastleggen in een logboek.

Lost/found

De documentatie van de push autorisatie standaard beschrijft hoe lang een autorisatielink geldig is, wat voor soort gegevens via de link opvraagbaar zijn, en en welke acties er naast inzage nog meer mogelijk zij, zoals bijvoorbeeld het opsturen van informatie naar een bronhouder, of het doorzetten van een autorisatie naar iemand anders (doorautoriseren).

(uit inleiding) [TMD] Naast het opsturen van een URL via de basis push autorisatie standaard, kan ook een service gebruikt worden om de URL (tijdelijk) te vervangen door een 6 of 7-cijferige code, waarmee het BSN van de patiënt en daarmee de zoeksleutel in een index wordt versleuteld. Deze code wordt ook wel verwijscode, spoedcode of gewoon autorisatiecode genoemd. De ontvanger kan met deze code in combinatie met het BSN de zoeksleutel reconstrueren en de gegevens opvragen.

OPMERKINGEN:

  • Met een PA-URL worden gegevens altijd bij de oorspronkelijke bron opgehaald, ongeacht hoeveel ‘doorautorisaties’ er tussen bron en ontvanger (opvrager) inzitten.
  • Behalve voor het ophalen van gegevens, is een PA-URL ook geschikt om gegevens terug te sturen naar de bron (in dit geval, de huisarts). Zo kan specialist 1 aan de huisarts doorgeven waarom deze de patiënt heeft doorverwezen naar een andere specialist. De tweede specialist kan ter kennisgeving een afschrift van het recept naar de huisarts sturen, en de apotheker kan de verstrekking van medicatie op basis van het recept doorgeven aan de huisarts.
  • PA-URLs zijn in de regel beperkte tijd geldig, voor een duur die is ingesteld aan de bron. De geldigheidsduur van een URL kan afhangen van de specifieke stap in het zorgproces. Bijvoorbeeld, een apotheker minder lang toegang nodig hebben tot een brondossier dan een specialist, en meestal ook niet hoeven doorautoriseren. Bij standaardisatie van de PA-URLs (door Decozo) zullen voor verschillende zorgprocessen verschillende policies worden ontwikkeld waarin wordt vastgelegd welke partijen, hoe lang welke gegevens kunnen opvragen.

Doorautoriseren in vogelvlucht

Een schematische uitleg van doorautoriseren wordt getoond in de volgende figuur:

Figuur 2: schematisch overzicht van doorautoriseren

Zichtbaar is dat een bronhouder (de huisarts in figuur 1) een autorisatie – uitgebeeld als een ‘sleuteltje’ opstuurt naar een tweede partij. Met dit sleuteltje kan de tweede partij gegevens ophalen bij de bron. Ook kan de tweede partij een nieuw sleuteltje aanvragen bij de bron, en deze doorsturen naar een derde partij. De derde partij kan hetzelfde doen richting een vierde partij. Zo zijn er uiteindelijk drie sleuteltjes uitgegeven die alle drie naar de oorspronkelijke bron wijzen.

De drie PA-URLs zijn verschillend en bevatten zowel lokalisatie als autorisatie informatie. Elk sleuteltje (elke URL) is onafhankelijk van de andere sleuteltjes, en apart als nieuwe URL uitgegeven door de bron en apart traceerbaar voor de bron. Een bronhoudende zorgverlener en de patiënt kunnen elk sleuteltje op elk moment intrekken.

De rol van de burger

Push autorisaties (PA-URLs) kunnen niet alleen met een zorgpartij worden uitgewisseld, maar ook met de patiënt. In Nederland bestaat sinds 2018 het MedMij initiatief, waarin zogeheten Persoonlijke Gezondheids Omgevingen (PGO’s) zijn ontwikkeld waarin patiënten medische gegevens kunnen ophalen bij verschillende bronnen, en deze gegevens kunnen opslaan en beheren. Ook kunnen zij zelf gegevens (zoals zelfmetingen) opslaan in hun PGO.

Behalve de medische gegevens zelf, kunnen PGO’s ook in theorie PA-URLs ophalen bij verschillende bronnen, die kunnen worden opgeslagen in het PGO. Zie stap 5 in figuur 1. (Merk op: dit is nog niet in een PGO geïmplementeerd).

Het autoriseren van een PGO via een PA-URL in plaats van het ophalen en opslaan van gegevens in een PGO heeft als voordeel dat het PGO geen medische gegevens hoeft op te slaan, maar belangrijker: een patiënt kan zo via een PGO een nieuwe PA-URL aanvragen bij de bron en deze doorzetten (doorsturen) naar een zorgaanbieder. Deze zorgaanbieder kan zo, met deze PA-URL, de brongegevens rechtstreeks ophalen bij de oorspronkelijke bron, in plaats dat de zorgaanbieder gegevens krijgt of ophaalt bij het PGO. In het laatste geval kunnen de gegevens namelijk aangepast of verouderd zijn.

Bovendien is een voordeel dat zorgaanbieders geen apart technisch protocol hoeven te implementeren voor het bevragen van een PGO: een autorisatie die via een PGO is ontvangen wijst naar dezelfde bron, en kent hetzelfde formaat en dezelfde technsiche specificatie als een PA-URL die rechtstreeks van een andere zorgverlener is ontvangen.

Autorisatiecodes

Naast het ophalen van een nieuwe PA-URL kan de patiënt ook een zogeheten autorisatiecode krijgen van de huisarts. De patiënt kan zo’n code ook elektronisch aanvragen vanuit een PGO (in de toekomst) of via een patiëntenportaal van de huisarts. Artsen kunnen zelf ook een autorisatiecode uitgeven en doorgeven. Bijvoorbeeld vanuit de digitale vistelijst die artsen gebruiken om gegevens in te zien bij huisbezoek. Deze code bestaat uit 6 cijfers en moet gecombineerd worden met een BSN om een PA-URL te kunnen ophalen. Dit gebeurt via een centraal systeem, concreet verwijscode.nl . Dit systeem slaat alleen geanonimiseerde (versleutelde) gegevens op.

Een autorisatiecode is een volwaardige oplossing waarmee je iemand een autorisatie kunt toesturen in een zeer beknopt en handzaam formaat.

Voorbeelden van toepassingen van een autorisatiecode zijn:

  • De patiënt kan een autorisatiecode op een pasje zetten en in de portemonnee doen, of deze in de telefoon plaatsen in het scherm met ‘emergency information’.
  • De arts kan bij een huisbezoek een autorisatiecode genereren via een App en deze op een overdrachtsformulier schrijven dat meegegeven wordt met de ambulance
  • Een huisarts op de huisartsenpost kan een autorisatiecode aanmaken en deze doorbellen naar de spoedeisende hulp van het ziekenhuis waar de patiënt naartoe is gestuurd na een ongeluk.
  • De huisarts op de huisartsenpost kan een autorisatiecode meegeven met een ambulance bij transport naar een ziekenhuis (stap 6 in figuur 1).

Een speciale variant van een autorisatiecode is een spoedcode. Een specifiek systeem dat voor spoed is ontworpen maakt (onder meer) gebruik van dit mechanisme. Het spoedcode systeem zal op een andere pagina in detail worden beschreven, zie https://decozo.org/standaarden.

Figuur 3: een aantal manieren om een spoedcode (autorisatiecode) te transporteren.

Betekenis van de push autorisatie standaard voor de zorg

De push autorisatie is een dynamische, decentrale communicatiestandaard. Deze is gebaseerd op wijd verbreide en algemeen toegepaste web standaarden, en daarom eenvoudig bruikbaar – zelfs in een gewone browser en óók in het buitenland. Mits er afdoende sterke identificatie middelen beschikbaar zijn, zoals de UZI pas of een ander modern identificatiemiddel voor zorgverleners.

De standaard is oorspronkelijk ontwikkeld door Whitebox Systems (een spin-out van de Universteit van Amsterdam) en getest in pilots en verschillende proof-of-concept beproevingen. Het systeem wordt in productie gebruikt in Amsterdam en Maastricht. Zie voor meer informatie https://whiteboxsystems.nl/pilot-resultaten.

Alle eigendomsrechten van de standaard zijn in 2024 overgedragen naar Stichting Decozo met als doel om deze als open, privacybeschermende standaard te laten beheren zodat de hele zorg hier beter van wordt – en natuurlijk, zodat de privacy van burgers in de zorg beter beschermd wordt.

De specificaties voor het push autorisatie mechanisme (PA-URL schema’s, opties en werking) en voor spoedcodes/autorisatiecodes zullen via de site van Decozo beschikbaar worden gesteld.