Vertrouwen kweken in uitwisseling van gezondheidsdata

do 12 december 2024
Vertrouwen kweken in uitwisseling van gezondheidsdata
Special VWS
Premium

Vanuit de Nationale visie en strategie voor het gezondheidsinformatiestelsel (NVS) werken VWS en het zorgveld samen via gegevensuitwisseling toe naar databeschikbaarheid. Hiervoor zijn een landelijk dekkend netwerk van infrastructuren én zes generieke functies nodig. “De generieke functies maken deel uit van de NVS. Ze moeten ervoor zorgen dat men nog meer vertrouwen heeft in de data en de uitwisseling ervan”, vertelt VWS-programmamanager Carlo Koch.

Het VWS-programma ‘Implementatie generieke functies’ werkt samen met partijen in het zorg- en zorg-ICT-veld aan zes generieke functies: identificatie, authenticatie, toestemming, autorisatie, lokalisatie en adressering. Dit zijn sets van afspraken, standaarden en (gemeenschappelijke) voorzieningen die moeten helpen om de juiste gezondheidsgegevens op het juiste moment op de juiste plek te krijgen.

“De generieke functies zijn nodig voor de realisatie van de nationale en internationale gegevensuitwisselingen onder de Wet elektronische gegevensuitwisseling in de zorg (Wegiz) en de European Health Data Space (EHDS)”, vertelt Koch. “De afgelopen jaren is gebleken dat landelijk werkende oplossingen voor generieke functies zonder de hulp van de overheid onvoldoende tot stand komen.” 

Eén van de afspraken in het Integraal Zorgakkoord (IZA) is daarom dat de zes genoemde generieke functies uiterlijk in 2025 zijn ingevuld met afspraken, standaarden en/of (gemeenschappelijke) voorzieningen, met als belangrijke toevoeging dat zij sectoroverstijgend beschikbaar zijn en in de praktijk kunnen worden gebruikt. “VWS werkt er hard aan om in 2025 voor de zes generieke functies tot oplossingen te komen die landelijk door het zorgveld kunnen worden gebruikt.”

Van aanjager tot ontwikkelaar

De rol van VWS in de samenwerking met het zorgveld verschilt per oplossing en varieert van die van aanjager tot die van ontwikkelaar. Eenmaal ontwikkelde voorzieningen worden getest in 'proofs of concept' (POC’s) en pilots - en in een proeftuin waar ICT-leveranciers zich bij kunnen aansluiten. Ook zijn er verschillende werkgroepen gestart om samen met de zorg-ICT'ers en ICT-leveranciers de generieke functies (door) te ontwikkelen. Koch vult aan: “Via GitHub willen we volledig transparant zijn en ook niet-werkgroepleden de kans geven om het proces te volgen, mee te praten en input te geven. We nodigen iedereen uit om via de QR-codes input te leveren en vragen te stellen.”

Wat zorgverleners al kunnen: naast meepraten kunnen zorgaanbieders ook al meedoen, geeft Koch aan. “Zij kunnen een implementatieplan en -planning opstellen. VWS ontwikkelt hiervoor onder andere een toolkit die in het nieuwe jaar via de website Datavoorgezondheid.nl beschikbaar komt. Ook raden we zorgaanbieders aan de migratie op de ontwikkelagenda van de instellingen te plaatsen. En heel belangrijk: spreek jouw softwareleverancier aan op de diverse afspraken, standaarden en voorzieningen die in ontwikkeling en soms al beschikbaar zijn. En vraag de leverancier ook de applicatie hierop aan te passen.”

Wat ICT-leveranciers al kunnen: ook voor ICT-leveranciers is er genoeg te doen. Zij kunnen bijvoorbeeld de generieke functies op hun ontwikkelroutekaart zetten en de koppelvlakspecificaties van de generieke functies via GitHub verwerken. Koch: “We raden ICT-leveranciers ook aan om samen met hun klanten - de zorgaanbieders - een planning op te stellen. Wat komt eraan en wat is er al mogelijk? Die proactieve houding levert iedereen winst op. Als je samen een planning maakt dan is voor iedereen duidelijk wie wanneer aansluit en migreert.”

Veilig inloggen met Dezi

Ondertussen gaan de werkzaamheden rondom de generieke functies vanuit VWS door. Op het gebied van de identificatie en authenticatie van zorgprofessionals, werkt VWS aan een nieuw inlogstelsel, vertelt Koch.

“Zorgprofessionals gebruiken nu nog de UZI-pas. Maar die is niet breed toepasbaar, niet geschikt voor mobiel gebruik en niet flexibel bij wijziging van beroep of werkgever. Er wordt daarom vanuit VWS gewerkt aan een nieuw inlogstelsel voor zorgprofessionals – Dezi - dat op termijn de UZI-pas vervangt. Dezi staat voor dé zorgidentiteit. Het Dezi-stelsel richt zich op meer veiligheid, flexibiliteit en gebruiksgemak voor alle zorgprofessionals. Met Dezi kunnen zorgprofessionals kiezen voor een inlogmiddel dat past binnen elk gewenst zorgproces en te gebruiken is bij verschillende werkgevers.”

Het Dezi-stelsel is volop in ontwikkeling. Na inwerkingtreding van de Wet digitale identificatie en autorisatie in de zorg (DIAZ) en de implementatie binnen het CIBG, komt Dezi beschikbaar voor implementatie in het zorgveld. Er lopen verschillende pilots om te zorgen dat medio 2025 met Dezi gekoppeld kan worden. 

Koch hierover: “Hoewel leveranciers van inlogmiddelen en zorgapplicaties en -informatiesystemen nu nog niet kunnen aansluiten op het Dezi-stelsel, kunnen zij zich al wel op de komst ervan voorbereiden door via Dezi.nl mee te doen in de digitale proeftuin van VWS en het CIBG. Gebruikers kunnen daar meemaken hoe inloggen via Dezi werkt. En je kunt er de aansluitinstructies vinden.” 

De afgelopen periode is het gebruik van inlogmiddelen door zorgprofessionals beproefd. Op basis van bevindingen in pilots, wordt het stelsel verder bijgeschaafd ter voorbereiding op de grootschalige implementatie na de inwerkingtreding van de wet DIAZ. 

Toestemming van de patiënt 

Voor elke gegevensuitwisseling met andere zorgaanbieders is toestemming van de patiënt nodig. Toestemming maakt ook onderdeel uit van de generieke functies. Sinds vorig jaar is er voor het registreren van de toestemmingskeuzes een proces ontwikkeld, waarbij iedere Nederlander de eigen keuzes kan registreren en beheren via online toestemmingsvoorziening Mitz.

“De implementatie van Mitz gebeurt in samenwerking tussen VWS en VZVZ. VZVZ maakt afspraken met ICT-leveranciers over het realiseren van de technische aansluiting met Mitz. De ICT-leverancier, VZVZ en de zorgaanbieder plannen gezamenlijk wanneer Mitz ‘live’ gaat”, licht Koch toe.

Zorgaanbieders kunnen voor meer informatie contact opnemen met Mitz. Op dit moment wordt ook de norm 7517 Toestemming ontwikkeld. Zorgaanbieders en ICT-leveranciers kunnen de ontwikkeling van deze norm volgen zodat ze op tijd op de hoogte zijn van eventuele (aanvullende) eisen die de norm gaat stellen.  

Autorisatie

De generieke functie ‘autorisatie’ is nodig om landelijk af te spreken wie welke gegevens mag opvragen en inzien. Deze set van afspraken zorgt ervoor dat de privacy van patiënten wordt beschermd. Er worden per gegevensuitwisseling landelijke autorisatie-afspraken gemaakt. Hiervoor wordt de NEN-norm 7520 Autorisatie ontwikkeld. “Deze norm gaat een kader schetsen waar een autorisatie-afspraak aan moet voldoen en welke procescontroles bij de totstandkoming gevolgd moeten worden”, legt Koch uit.

Wanneer de NEN 7520 bekend is en keuzes zijn gemaakt over ‘rolcodes’ moet er vanuit de zorgaanbieders een ‘fitgap-analyse’ gedaan worden om te bepalen of de huidige werkwijze aangepast moet worden binnen de instelling. Ook ICT-leveranciers wordt geadviseerd om de normontwikkeling te volgen. Zodra de norm bekend is, moeten zij ervoor zorgen dat de ‘autorisatiematrix’ per gegevensuitwisseling voldoet aan de eisen. Koch: “Daarnaast moet hun software in staat zijn om een ‘autorisatieverklaring’ af te geven die meegegeven kan worden bij het opvragen van medische gegevens.”

Lokalisatie

De generieke functie ‘lokalisatie’ regelt dat afgesproken gezondheidsgegevens landelijk vindbaar worden. Zorgaanbieders en ICT-leveranciers kunnen de ontwikkeling van de NEN-norm 7519 Lokalisatie volgen op GitHub (zie kader linksonder) zodat ze op tijd op de hoogte zijn van de vereisten. De lokalisatiefunctie wordt op dit moment ontwikkeld. ICT-leveranciers kunnen op basis van de beschikbare specificaties starten met het realiseren van de benodigde koppelingen.

Adressering

Om gezondheidsgegevens veilig te delen, moet het digitale adres van elke zorgaanbieder bekend zijn, stelt Koch. “Iedere zorgaanbieder moet dus nagaan op welk organisatieniveau hij landelijk vindbaar wil zijn voor gegevensuitwisseling. Moet alleen de hoofdvestiging of ook bijvoorbeeld de sublocaties of afdelingen landelijk vindbaar zijn? Zodra dit helder is, is het belangrijk dat de basisregistraties zoals die bij de KVK op orde zijn omdat de adresseringsfunctie daarvan gebruikmaakt.” Verder moeten zorgaanbieders bepalen waar zij gegevens willen ontvangen. Is dat op een centrale afdeling of bijvoorbeeld per afdeling? Over deze afwegingen volgt binnenkort meer informatie. 

Geldt dit ook voor ICT-leveranciers? “ICT-leveranciers moeten aansluiten op een van de landelijke adresboeken”, laat Koch weten. “Ze kunnen ook een eigen oplossing bieden aan de zorgaanbieders, maar moeten dan wel voldoen aan de landelijke eisen.” 

Wat maken de zes generieke functies duidelijk?

  • Identificatie: wie logt er in?
  • Authenticatie: ben je wie je zeg dat je bent?
  • Toestemming: is de patiënt akkoord met het delen van gezondheidsgegevens?
  • Autorisatie: welke gegevens mag jij inzien?
  • Lokalisatie: waar staan de gezochte gegevens?
  • Adressering: wat is het digitale adres waar de gegevens staan en waar ze heen moeten?

Meepraten over de ontwikkeling van generieke functies? Dat kan ook:

Toestemming: Link

Lokalisatie: Link

Adressering: Link

CV

Carlo Koch is programmamanager implementatie generieke functies bij VWS.

Door innovation partner

Ministerie van VWS
Ministerie van VWS

Auteur

David van Loopik
Gastauteur
Special VWS