Push autorisatie

Push autorisatie (PA) is een moderne, zeer privacy-vriendelijke manier om patiëntgegevens uit te wisselen.

Autorisatiegegevens (wie krijgt toegang tot wat?) en lokalisatie informatie (waar zijn gegevens op te halen?) worden met dit systeem direct opgestuurd naar een ontvanger om deze toegang te geven tot medische gegevens. Deze informatie staat in een link (een URL) die slechts door één persoon gebruikt kan worden. Zo kan de ontvanger vanuit een systeem óf via een web browser, de beschikbaar gestelde gegevens ophalen en inzien. Deze manier van uitwisselen werkt flexibel in elk zorgproces, zonder dat patiëntgegevens op voorhand voor een brede groep zorgverleners open (beschikbaar) hoeven te worden gesteld.

Het voordeel van deze techniek is dat alleen de verzender en de ontvanger van een push autorisatie URL (PA-URL) weten dat er gegevens beschikbaar worden gesteld: er zit géén systeem tussen. Omdat de ontvanger de gegevens alleen kan ophalen met een beveiligd identificatiemiddel (bijvoorbeeld, een UZI pas), kan de verzender (de bronhouder) precies zien wie de gegevens op welk moment heeft opgehaald. Het ophalen van gegevens is end-to-end beveiligd. Dat maakt de techniek zeer veilig.

Een belangrijke eigenschap van push autorisatie, is dat iemand die geautoriseerd is zelf ook weer een nieuwe autorisatie kan uitgeven voor een andere partij of persoon die de gegevens moet kunnen opvragen. Alleen als je een autorisatie hebt gekregen, kun je dit doen. Aan de bron kun je precies zien wie een nieuwe PA-URL heeft aangevraagd en heeft doorgegeven, en wie deze nieuwe PA-URL heeft gebruikt. Deze eigenschap zorgt ervoor dat je autorisaties in het zorgproces kunt doorgeven. De toegang “volgt” als het ware het zorgproces.

De patiënt kan bij iedere stap in het zorgproces aangeven dat hij of zij niet wil dat een autorisatie wordt doorgegeven. De patiënt kan ter controle (via een patiëntenportaal) precies zien wie een autorisatie heeft aangemaakt of gebruikt, en kan autorisaties ook intrekken. De patiënt kan ook zelf autorisaties uitgeven of doorgeven.

Push autorisaties in het zorgproces

Via een autorisatiecode (spoedcode) kunnen ook ‘ingewikkelde’ zorgprocessen zoals spoed ondersteund worden. Het plaatje hieronder laat zien hoe dit werkt:

Figuur 1: push autorisatie in verschillende zorgprocessen.

In figuur 1 zijn verschillende soorten zorgprocessen te zien. Boven de gestreepte lijn worden ‘reguliere zorgprocessen’ getoond – dit zijn processen die grotendeels planbaar zijn, waarbij patiëntgegevens van zorgpartij naar zorgpartij worden overgedragen, bijvoorbeeld bij een verwijzing of het versturen van een recept. Onder de gestreepte lijn staan spoedprocessen beschreven. Belangrijk in de spoedketen s de huisartsenpost, die in de ANW (avonden, nachten en weekenden) de diensten overneemt van de huisarts, en in die periodes dus feitelijk de rol van de huisarts overneemt. Vanuit de huisartsenpost zijn veel spoedprocessen te organiseren, denk aan overdracht naar de spoedeisende hulp (SEH) en/of het uitsturen van een ambulance.

Hieronder worden voorbeelden van het gebruik van push autorisatie beschreven in reguliere zorgprocessen, waarin patiëntgegevens op reguliere wijze overgedragen worden van partij naar partij, bijvoorbeeld via verwijzingen. Push autorisaties kunnen in deze processen eenvoudig meegestuurd worden. Vervolgens wordt een beschrijving gegeven van (acute) situaties waar meer tijdsdruk op staat, bijvoorbeeld overdrachten van de huisartsenpost naar de SEH.

  1. Bij een verwijzing stuurt een huisarts een verwijsbrief op naar een specialist. De huisarts schrijft in de verwijzbrief gegevens op in de verwijsbrief die relevant zijn voor de specialist, en voegt daaraan een PA-URL toe die wijst naar het overzicht van medicatie die de huisarts in zijn dossier heeft. De specialist ontvangt de verwijsbrief en maakt een afspraak met patiënt. Als de patiënt langskomt (dit kan enkele weken later zijn), kan de specialist via de PA-URL het actuele medicatieoverzicht ophalen bij de huisarts.
  2. De specialist komt tot de ontdekking dat de patiënt iets heeft dat een andere specialist beter kan behandelen. De specialist maakt een nieuwe verwijsbrief voor de volgende specialist ‘in de keten’. Deze verwijsbrief bevat een samenvatting van de oorspronkelijke klachten en de nieuwe bevindingen. Vervolgens vraagt de specialist met de PA-URL die zij van de huisarts ontving een nieuwe PA-URL op, en plaatst deze in de verwijsbrief die opgestuurd wordt naar de volgende specialist. Hiermee kan deze ook actuele gegevens (over medicatie) ophalen bij de bron, op het moment dat deze de patiënt voor zich ziet.
  3. De specialist schrijft medicatie voor voor de patiënt, en stuurt een recept op naar de apotheek. Hiermee kan opnieuw een nieuwe PA-URL (die door de specialist is aangevraagd bij de bron) worden meegestuurd, zodat de apotheek ook de actuele medicatielijst bij de huisarts kan ophalen en kan controleren voordat deze de medicatie verstrekt aan de patiënt.

De huisarts en de huisartsenpost (HAP) hebben een permanente verbinding omdat de huisartsenpost een organisatie is die als vervanger van de huisarts in de avonden en weekenden optreedt. Stap 4 in figuur 1 laat dit zien. Een huisarts op de huisartsenpost kan ook een autorisatie aanmaken, die kan worden doorgegeven aan de ambulance, of rechtstreeks met een spoedverwijzing opgestuurd naar de spoedeisende hulp afdeling van het ziekenhuis.

OPMERKINGEN:

  • Met een PA-URL worden gegevens altijd bij de oorspronkelijke bron opgehaald, ongeacht hoeveel ‘doorautorisaties’ er tussen bron en ontvanger (opvrager) inzitten.
  • Behalve voor het ophalen van gegevens, is een PA-URL ook geschikt om gegevens terug te sturen naar de bron (in dit geval, de huisarts). Zo kan specialist 1 aan de huisarts doorgeven waarom deze de patiënt heeft doorverwezen naar een andere specialist. De tweede specialist kan ter kennisgeving een afschrift van het recept naar de huisarts sturen, en de apotheker kan de verstrekking van medicatie op basis van het recept doorgeven aan de huisarts.
  • PA-URLs zijn in de regel beperkte tijd geldig, voor een duur die is ingesteld aan de bron. De geldigheidsduur van een URL kan afhangen van de specifieke stap in het zorgproces. Bijvoorbeeld, een apotheker minder lang toegang nodig hebben tot een brondossier dan een specialist, en meestal ook niet hoeven doorautoriseren. Bij standaardisatie van de PA-URLs (door Decozo) zullen voor verschillende zorgprocessen verschillende policies worden ontwikkeld waarin wordt vastgelegd welke partijen, hoe lang welke gegevens kunnen opvragen.

Doorautoriseren in vogelvlucht

Een schematische uitleg van doorautoriseren wordt getoond in de volgende figuur:

Figuur 2: schematisch overzicht van doorautoriseren

Zichtbaar is dat een bronhouder (de huisarts in figuur 1) een autorisatie – uitgebeeld als een ‘sleuteltje’ opstuurt naar een tweede partij. Met dit sleuteltje kan de tweede partij gegevens ophalen bij de bron. Ook kan de tweede partij een nieuw sleuteltje aanvragen bij de bron, en deze doorsturen naar een derde partij. De derde partij kan hetzelfde doen richting een vierde partij. Zo zijn er uiteindelijk drie sleuteltjes uitgegeven die alle drie naar de oorspronkelijke bron wijzen.

De drie PA-URLs zijn verschillend en bevatten zowel lokalisatie als autorisatie informatie. Elk sleuteltje (elke URL) is onafhankelijk van de andere sleuteltjes, en apart als nieuwe URL uitgegeven door de bron en apart traceerbaar voor de bron. Een bronhoudende zorgverlener en de patiënt kunnen elk sleuteltje op elk moment intrekken.

De rol van de burger

Push autorisaties (PA-URLs) kunnen niet alleen met een zorgpartij worden uitgewisseld, maar ook met de patiënt. In Nederland bestaat sinds 2018 het MedMij initiatief, waarin zogeheten Persoonlijke Gezondheids Omgevingen (PGO’s) zijn ontwikkeld waarin patiënten medische gegevens kunnen ophalen bij verschillende bronnen, en deze gegevens kunnen opslaan en beheren. Ook kunnen zij zelf gegevens (zoals zelfmetingen) opslaan in hun PGO.

Behalve de medische gegevens zelf, kunnen PGO’s ook in theorie PA-URLs ophalen bij verschillende bronnen, die kunnen worden opgeslagen in het PGO. Zie stap 5 in figuur 1. (Merk op: dit is nog niet in een PGO geïmplementeerd).

Het autoriseren van een PGO via een PA-URL in plaats van het ophalen en opslaan van gegevens in een PGO heeft als voordeel dat het PGO geen medische gegevens hoeft op te slaan, maar belangrijker: een patiënt kan zo via een PGO een nieuwe PA-URL aanvragen bij de bron en deze doorzetten (doorsturen) naar een zorgaanbieder. Deze zorgaanbieder kan zo, met deze PA-URL, de brongegevens rechtstreeks ophalen bij de oorspronkelijke bron, in plaats dat de zorgaanbieder gegevens krijgt of ophaalt bij het PGO. In het laatste geval kunnen de gegevens namelijk aangepast of verouderd zijn.

Bovendien is een voordeel dat zorgaanbieders geen apart technisch protocol hoeven te implementeren voor het bevragen van een PGO: een autorisatie die via een PGO is ontvangen wijst naar dezelfde bron, en kent hetzelfde formaat en dezelfde technsiche specificatie als een PA-URL die rechtstreeks van een andere zorgverlener is ontvangen.

Autorisatiecodes

Naast het ophalen van een nieuwe PA-URL kan de patiënt ook een zogeheten autorisatiecode krijgen van de huisarts. De patiënt kan zo’n code ook elektronisch aanvragen vanuit een PGO (in de toekomst) of via een patiëntenportaal van de huisarts. Artsen kunnen zelf ook een autorisatiecode uitgeven en doorgeven. Bijvoorbeeld vanuit de digitale vistelijst die artsen gebruiken om gegevens in te zien bij huisbezoek. Deze code bestaat uit 6 cijfers en moet gecombineerd worden met een BSN om een PA-URL te kunnen ophalen. Dit gebeurt via een centraal systeem, concreet verwijscode.nl . Dit systeem slaat alleen geanonimiseerde (versleutelde) gegevens op.

Een autorisatiecode is een volwaardige oplossing waarmee je iemand een autorisatie kunt toesturen in een zeer beknopt en handzaam formaat.

Voorbeelden van toepassingen van een autorisatiecode zijn:

  • De patiënt kan een autorisatiecode op een pasje zetten en in de portemonnee doen, of deze in de telefoon plaatsen in het scherm met ‘emergency information’.
  • De arts kan bij een huisbezoek een autorisatiecode genereren via een App en deze op een overdrachtsformulier schrijven dat meegegeven wordt met de ambulance
  • Een huisarts op de huisartsenpost kan een autorisatiecode aanmaken en deze doorbellen naar de spoedeisende hulp van het ziekenhuis waar de patiënt naartoe is gestuurd na een ongeluk.
  • De huisarts op de huisartsenpost kan een autorisatiecode meegeven met een ambulance bij transport naar een ziekenhuis (stap 6 in figuur 1).

Een speciale variant van een autorisatiecode is een spoedcode. Een specifiek systeem dat voor spoed is ontworpen maakt (onder meer) gebruik van dit mechanisme. Het spoedcode systeem zal op een andere pagina in detail worden beschreven, zie https://decozo.org/standaarden.

Figuur 3: een aantal manieren om een spoedcode (autorisatiecode) te transporteren.

Betekenis van de push autorisatie standaard voor de zorg

De push autorisatie is een dynamische, decentrale communicatiestandaard. Deze is gebaseerd op wijd verbreide en algemeen toegepaste web standaarden, en daarom eenvoudig bruikbaar – zelfs in een gewone browser en óók in het buitenland. Mits er afdoende sterke identificatie middelen beschikbaar zijn, zoals de UZI pas of een ander modern identificatiemiddel voor zorgverleners.

De standaard is oorspronkelijk ontwikkeld door Whitebox Systems (een spin-out van de Universteit van Amsterdam) en getest in pilots en verschillende proof-of-concept beproevingen. Het systeem wordt in productie gebruikt in Amsterdam en Maastricht. Zie voor meer informatie https://whiteboxsystems.nl/pilot-resultaten.

Alle eigendomsrechten van de standaard zijn in 2024 overgedragen naar Stichting Decozo met als doel om deze als open, privacybeschermende standaard te laten beheren zodat de hele zorg hier beter van wordt – en natuurlijk, zodat de privacy van burgers in de zorg beter beschermd wordt.

De specificaties voor het push autorisatie mechanisme (PA-URL schema’s, opties en werking) en voor spoedcodes/autorisatiecodes zullen via de site van Decozo beschikbaar worden gesteld.