Uitgangspunten voor decentrale standaarden
Decozo wil dat standaarden voor gegevensuitwisseling voldoen aan eisen die privacybescherming optimaal beschermen terwijl toch adequate gegevensuitwisseling mogelijk is in de zorg.
Daarom hanteren wij de volgende uitgangspunten voor decentrale standaarden die wij aanbevelen:
Ondersteuning van de zorg:
- Laat toegang tot informatie het zorgproces volgen, om de zorgverlener zo min mogelijk te hinderen met techniek.
- Houd regie volledig bij de patiënt en de zorgverlener. Dus houd de regie decentraal – bij de arts en patiënt – in plaats van dit bij andere partijen te beleggen.
- Zorg dat het delen van gegevens transparant en begrijpelijk is in te regelen in de interactie tussen zorgverlener en patiënt.
Privacy by design:
- Privacy moet vanaf het begin geïntegreerd zijn in de techniek om het medisch beroepsgeheim optimaal te beschermen.
- Informatie wordt gedeeld vanuit de bron, in plaats van dat derden er op eigen initiatief bij kunnen.
- Deel informatie die nodig is voor de zorg, maar niet meer dan dat. Geef alleen (direct) bij de zorg betrokken zorgverleners toegang.
- Deel informatie wanneer mogelijk alleen via tijdelijke toegang
- Zorg dat burgers / patiënten altijd toegang kunnen intrekken
- Maak toegang inzichtelijk en volledig transparant: wie heeft welke gegevens wanneer opgehaald?
Technisch:
- Dwing end-to-end beveiliging af: tenminste end-to-end authenticatie, bij voorkeur ook end-to-end versleuteling.
- Houd data aan de bron. Kopieer geen data maar geef referenties uit die naar de bron wijzen: don’t copy data – copy references.
- Zorg dat deze referenties zo beveiligd zijn dat alleen de ontvanger deze kan gebruiken (openen).
- Verbind voorwaarden (policies) aan het gebruik van autorisaties / referenties, die inzichtelijk zijn voor patiënten / burgers.
Procedureel:
- Zorg dat alle gebruikers (artsen, systemen) de afspraken en policies kennen, en zich hieraan houden. Zoals rond gebruik, bewaren, correctie, en verwijderen van informatie.
- Bevorder en ondersteun autonomie van artsen om te bepalen welke gegevens uitgewisseld worden met wie, in overleg met de patiënt/burger. Maatwerk boven confectie!
Samenvattend:
Het uitgangspunt voor DECOZO is dat makkelijke toegang en goede privacybescherming niet strijdig zijn. Een voorbeeld waaruit blijkt dat dit uitgangspunt uitvoerbaar is, is de Wet op de geneeskundige behandelovereenkomst (Wgbo). Deze wet bakent heel precies af welke uitwisseling van gegevens wel en niet binnen het zorgproces toegestaan is, met afdoende ruimte voor invulling door de professional binnen het zorgproces.
Concreet: als gegevensuitwisseling nodig is binnen de kaders van een behandeling met specialisten of vervangers van de eigen arts, is uitdrukkelijke toestemming voor deze uitwisseling van gegevens niet nodig. Dit betekent dat voor tijdelijke toegang ook gebruik gemaakt kan worden van bestaande processen zoals verwijzen, of het sturen van een medicijnreceptrecept. Als het systeem zo werkt dat alleen de ontvanger van een recept of een verwijzing vervolgens gegevens kan ophalen, zijn privacy en security by design optimaal gewaarborgd.
Aan eisen van security by design kan worden voldaan doordat de toegang beperkt wordt tot die zorgverlener die een verwijzing of een recept krijgt. Door het verlenen van toegang mee te laten lopen met processen zoals het sturen van een verwijsbrief of een recept, hoeft de zorgverlener niet lastig gevallen te worden met de onderliggende techniek. Zo kunnen het zorgproces en gebruiksgemak optimaal ondersteund worden. Een alternatief is het gebruik van autorisatiecodes, waarmee een patient zelf toegang kan geven tot gegevens. Hiermee kunnen het zorgproces en gebruiksgemak optimaal samengaan, en wordt privacy optimaal beschermd.
Werk in uitvoering
Bovenstaande uitgangspunten zijn (nog) niet in steen gebeiteld. De komende periode gaan we de uitgangspunten en de governance structuur die deze uitgangspunten moet bewaken, verder uitwerken. Heb je commentaar of suggesties? Laat het ons weten via info
decozo.org.