Advies invoering patiënttoestemming en BPPC voor de Beelden Documentenservice Regio Rijnmond

Transcriptie

1 Advies invoering patiënttoestemming en BPPC voor de Beelden Documentenservice Regio Rijnmond Aanleiding Zorginstellingen in de regio Rijnmond willen medische patiëntgegevens uitwisselen via de Beeld- en Documentenservice van Stichting RijnmondNet (een XDS-infrastructuur), met als belangrijkste doelen betere patiëntveiligheid, hogere kwaliteit van het zorgproces en meer klantvriendelijkheid. Voor deze uitwisseling is het noodzakelijk om de toestemming van de patiënt te krijgen en vast te leggen. Het Gebruikersoverleg Beeld- en Documentenservice adviseert in deze notitie hoe de patiënttoestemming het beste vastgelegd kan worden, welke toestemmingsopties de patiënt krijgt en welke maatregelen getroffen moeten worden om te garanderen dat de juiste zorgverlener de juiste informatie krijgt. Opmerking: deze notitie is aan het Regionaal Security Officers Rijnmond voorgelegd voor inhoudelijk advies. Dit advies is nog niet afgerond, maar zal uiteindelijk verwerkt worden in een aangepaste versie van dit document. Advies Voor het advies wordt gebruik gemaakt van het onderstaande toegangsmodel tot patiëntgegevens. Achtereenvolgens worden de onderdelen Identificatie & authenticatie, autorisatie, en het informeren van patiënten besproken. Identificatie en authenticatie Voor het identificeren en authenticeren van de zorgverlener wordt bij elke transactie gebruik gemaakt van het IHE-XUA profiel. Dit stelt eisen aan de XDS-componenten van Stichting RijnmondNet en de deelnemende zorginstellingen. Autorisatie Behandelrelatie Het wordt verondersteld dat een behandelrelatie bestaat tussen de zorgverlener en de patiënt, als de zorgverlener een bevraging doet op de Beeld- en Documentenservice. Zorginstellingen zijn verantwoordelijk voor het achteraf controleren van het bestaan van een behandelrelatie op basis van logbestanden. Wel

2 adviseert het gebruikersoverleg om te onderzoeken wat de technische en organisatorische mogelijkheden zijn voor het vooraf controleren van de behandelrelatie. Toestemmingsprofiel Hoe wordt de patiënttoestemming vastgelegd? De toestemming (of weigering) van de patiënt voor het delen van zijn gegevens met andere zorginstellingen wordt vastgelegd in het systeem van de zorginstelling en optioneel schriftelijk en ondertekend door de patiënt. Bovendien wordt de toestemming vastgelegd in een (digitaal) BPPC-document dat wordt aangemeld bij de Registry, maar een weigering wordt niet aangemeld. Elke zorginstelling is zelf verantwoordelijk voor de processen rondom het geven, intrekken en wijzigen van toestemming en voor het juist configureren van de decentrale XDS-componenten. Waarvoor geeft de patiënt toestemming? De patiënt geeft toestemming aan de betreffende zorginstelling voor het publiceren van documenten uit het dossier van de zorginstelling. Het toestemmingsprofiel bepaalt door welke zorginstellingen de documenten opgevraagd kunnen worden. Welke soorten toestemming (toestemmingsprofielen) zijn er? De patiënt kan vijf soorten toestemming geven: voor delen in heel Nederland, voor delen in één of meerdere specifieke regio s, voor delen in één of meerdere specifieke zorginstellingen in de regio, voor noodgevallen (break glass) en generiek bezwaar. In het laatste geval wordt de toestemming (of eigenlijk het bezwaar) alleen in het systeem van de zorginstelling vastgelegd. De toestemming geldt voor vijf jaar, waarna de aangemelde documenten non-actief worden gemaakt. Hoe wordt de patiënttoestemming gehandhaafd (policy enforcement)? De controle op het juist naleven van de door de patiënt gegeven toestemming wordt centraal uitgevoerd door de Registry. Dit betekent dat daar decentraal (bij de deelnemende zorginstellingen) geen maatregelen voor getroffen hoeven te worden. Welke gegevens worden aangemeld bij de registry? Zorginstellingen bepalen zelf welke gegevens zij aanmelden bij de registry, al dan niet in overleg met de patiënt. Autorisatiematrix De autorisatiematrix bepaalt welk type zorgverlener welk type documenten mag inzien. De autorisatiematrix wordt centraal door de Registry gehandhaafd. De invulling van deze matrix wordt door een in te stellen regionale commissie, waarin de zorginstellingen vertegenwoordigd zijn, bepaald. Hoe worden patiënten geïnformeerd? De toestemming voor uitwisseling van patiëntgegevens is juridisch houdbaar als de patiënt geïnformeerd is over waarvoor hij toestemming verleent. De regio trekt gezamenlijk op in het ontwikkelen van communicatiemateriaal, en RijnmondNet krijgt hier een coördinerende rol in. De zorginstellingen zijn zelf verantwoordelijk voor het informeren van patiënten. Toelichting op advies Identificatie en authenticatie Voor het identificeren en authenticeren van de zorgverlener wordt bij elke transactie gebruik gemaakt van het IHE-XUA profiel. Overwegingen: De redenen hiervoor zijn dat door het XUA-profiel te gebruiken de identiteit van de gebruiker kan worden gecommuniceerd via het XDS-netwerk, waardoor de juiste autorisaties kunnen worden toegepast en de transacties op persoonsniveau kunnen worden gelogd.

3 Gevolgen: Alle actoren in het XDS-netwerk (dus ook bij de zorginstellingen) moeten het XUA-profiel ondersteunen. Daarnaast moet de RAD-55 transactie voor het inzien van beelden (de WADO-retrieve) in alle gevallen vervangen worden door de RAD-69 transactie, omdat alleen die laatste XUA ondersteunt. Autorisatie Behandelrelatie Het wordt verondersteld dat een behandelrelatie bestaat tussen de zorgverlener en de patiënt, als de zorgverlener een bevraging doet op de Beeld- en Documentenservice. Overwegingen: Het door een zorgverlener opzoeken van een patiënt in de Beeld- en Documentenservice is een bewuste handeling, waar een behandelrelatie aan ten grondslag moet liggen. In sommige Consumers bestaat de mogelijkheid om telkens voordat de zorgverlener de gegevens van een patiënt raadpleegt de vraag te stellen of er een behandelrelatie bestaat. Deze extra handeling ziet het Gebruikersoverleg als overbodig en zonder toegevoegde waarde. Gevolgen: Zorginstellingen zijn verantwoordelijk voor het achteraf controleren van het bestaan van een behandelrelatie op basis van logbestanden. Dat betekent dat zij procedures moeten inrichten om deze controle uit te voeren. RijnmondNet zorgt voor toegang tot de logbestanden. Wel adviseert het gebruikersoverleg om te onderzoeken wat de technische en organisatorische mogelijkheden zijn voor het vooraf controleren van de behandelrelatie. Denk hierbij aan het vooraf vastleggen van de behandelrelatie door de patiënt of zorgverlener, of door het toetsen aan feitelijke omstandigheden, zoals het bestaan van een afspraak tussen de zorgverlener en de patiënt. Toestemmingsprofiel Hoe wordt de patiënttoestemming vastgelegd? De keuze wordt gemaakt voor het gebruik van BPPC, omdat dit de manier is voor het vastleggen van patiënttoestemming in XDS-netwerken. Overwegingen: We volgen hier de IHE-standaard. Het schriftelijk en door de patiënt ondertekend vastleggen van de toestemming is juridisch niet noodzakelijk, wel is er een juridische noodzaak tot het ontegenzeggelijk verkrijgen van de toestemming van de patiënt. Om de bewijslast te vergemakkelijken kan een zorginstelling er voor kiezen de patiënt een verklaring te laten ondertekenen als hij toestemming geeft voor uitwisseling van zijn gegevens via de Beeld- en Documentenservice. Gevolgen: De gevolgen hiervan zijn dat alle XDS-componenten binnen de regio Rijnmond dit moeten ondersteunen en correct geconfigureerd moeten zijn, en dat zorginstellingen processen inrichten voor het door patiënten geven, intrekken en wijzigen van toestemming voor het delen van informatie. Waarvoor geeft de patiënt toestemming? De patiënt geeft toestemming voor zowel het publiceren van de gegevens in het XDS-netwerk door de betreffende zorginstelling, als voor het inzien van deze gegevens door zorgverleners binnen zorginstellingen. Het door de patiënt gekozen toestemmingsprofiel (BPPC-policy) bepaalt welke zorginstellingen binnen welke regio, of bijvoorbeeld heel Nederland, de gegevens mogen inzien. De toestemming van de patiënt beperkt zich tot de gegevens die gegenereerd worden door de betreffende zorginstelling, de brondossierhouder. Overwegingen: de gekozen werkwijze zorgt er voor dat de brondossierhouder verantwoordelijk blijft voor het toestemming vragen aan de patiënt. De variant waarbij de patiënt in een keer toestemming geeft voor het publiceren van informatie van alle deelnemende zorginstellingen, wordt als onwenselijk gezien. Gevolgen: Bij elke zorginstelling moet opnieuw toestemming gegeven worden door de patiënt voor het publiceren van gegevens van de betreffende zorginstelling.

4 Welke soorten toestemming (toestemmingsprofielen) zijn er? De patiënt kan vijf soorten toestemming geven: voor delen in heel Nederland, voor delen in één of meerdere specifieke regio s, voor delen in één of meerdere specifieke zorginstellingen in de regio, voor noodgevallen (break glass) en generiek bezwaar. In het laatste geval wordt de toestemming (of eigenlijk het bezwaar) alleen in het systeem van de zorginstelling vastgelegd. De toestemming geldt voor vijf jaar, waarna de aangemelde documenten non-actief worden gemaakt. Overwegingen: Bij het vaststellen van de te gebruiken toestemmingsprofielen (BPPC policy s) volgen we grotendeels de door Nictiz geadviseerde profielen. We wijken af door een profiel toe te voegen: toestemming voor een specifieke zorginstelling. De verwachting is dat patiënten en zorgverleners gemakkelijker de uitwisseling van patiëntgegevens in de regio zullen accepteren, als de mogelijkheid bestaat een of meerdere specifieke zorginstellingen aan te wijzen die de gegevens mogen inzien. De beheerlast wordt niet onevenredig uitgebreid. Wel geeft Nictiz aan dat zij niet centraal de regio-specifieke toestemmingsprofielen (die voor toestemming voor een bepaalde zorginstelling) zullen beheren, en dat we ook niet kunnen verwachten dat alle XDS-implementaties in Nederland deze regio-specifieke policies kennen. Het generiek bezwaar wordt alleen vastgelegd in het systeem van de zorginstelling, omdat dan geen enkele informatie over de patiënt in het XDS-netwerk gepubliceerd wordt. De geldigheidsperiode van toestemming van vijf jaar is gebaseerd op redelijkheid, volgens advies van Nictiz. Gevolgen: De Registry, Consumers en Repositories moeten worden ingericht om de toestemmingsprofielen te ondersteunen. RijnmondNet en de zorginstellingen richten beheerprocessen in voor het onderhoud van de toestemmingsprofielen: elke keer dat een nieuwe zorginstelling of regio wordt toegevoegd, moeten de actoren en systemen (zoals het EPD) aangepast worden om deze te ondersteunen. Overigens werkt de uitwisseling nog steeds als er decentraal geen aanpassingen worden doorgevoerd, de zorginstelling kan dan enkel geen toestemming verlenen voor de toegevoegde zorginstellingen / regio s. Na vijf jaar verloopt de toestemming. Op dat moment moeten de aangemelde documenten non-actief worden gemaakt door de zorginstelling die ze heeft aangemeld (brondossierhouder). De zorginstellingen richten een procedure in voor het opnieuw vragen van toestemming, als deze verlopen is. Hoe wordt de patiënttoestemming gehandhaafd (policy enforcement)? De controle op het juist naleven van de door de patiënt gegeven toestemming wordt centraal uitgevoerd door de Registry. Overwegingen: IHE specificeert dat de Consumer (dus de opvragende partij) het BPPC-document controleert en handhaaft. Het gebruikersoverleg adviseert echter om de handhaving centraal door de Registry te laten plaatsvinden. Technisch gezien is hiervoor geen bezwaar. De twee redenen hiervoor zijn betere informatieveiligheid en efficiëntie. Ten eerste wordt de kans dat onbedoeld patiëntgegevens worden ingezien door ongeautoriseerde personen wordt kleiner, doordat op slechts een plek handhaving plaatsvindt. Er hoeft op maar een plek getest te worden dat het goed werkt. Dit geldt ook voor het geval dat er wijzigingen worden doorgevoerd in de toestemmingsprofielen. Daarnaast geeft de Registry geen patiëntgegevens door als de ontvangende partij daar geen recht op heeft. Bij decentrale handhaving ontvangt de decentrale consumer deze gegevens wel maar toont ze niet aan de gebruiker. Hetzelfde geldt bij het koppelen met de Registry van een andere regio (volgens het XCA-profiel): ook dan worden de patiëntgegevens niet verstuurd als daar geen patiënttoestemming voor bestaat. Ten tweede kost het inrichten en testen van de handhaving in totaal minder tijd, omdat dit op slechts een plek wordt gedaan.

5 Gevolgen: We wijken af van de IHE-standaard voor de toepassing van BPPC. De Registry van RijnmondNet moet correct geconfigureerd worden. Welke gegevens worden aangemeld bij de registry? Zorginstellingen bepalen zelf welke gegevens zij aanmelden bij de registry, al dan niet in overleg met de patiënt. Overwegingen: alleen voor het zorgproces relevante patiëntgegevens mogen worden gedeeld. Het zal mede afhangen van de use case welke patiëntgegevens gedeeld worden binnen de Beeld- en Documentenservice. Ook is het belangrijk dat de patiënt zeggenschap heeft over welke gegevens gedeeld worden, rekening houdend met de technische en organisatorische mogelijkheden. Gevolgen: Zorginstellingen stellen procedures op en richten hun processen en systemen zo in dat zij de juiste patiëntgegevens kunnen delen in het XDS-netwerk, daarbij rekening houdend met de eisen uit het zorgproces en de wensen van de patiënt. Autorisatiematrix De autorisatiematrix bepaalt welk type zorgverlener welk type documenten mag inzien. De autorisatiematrix wordt centraal door de Registry gehandhaafd. De invulling van deze matrix wordt door een in te stellen regionale commissie, waarin de zorginstellingen vertegenwoordigd zijn, bepaald. Overwegingen: zie de overwegingen onder het kopje Hoe wordt de patiënttoestemming gehandhaafd (policy enforcement)? voor de redenen waarom centraal gehandhaafd wordt. De autorisatiematrix is aan verandering onderhevig, omdat nieuwe documenttypen worden toegevoegd en inzichten over informatiebeveiliging en autorisatie kunnen veranderen. Er is nog geen landelijke autorisatiematrix, dus daarom wordt een regionale commissie ingesteld die hier voor gaat zorgen. Gevolgen: RijnmondNet zorgt voor het juist configureren van de autorisatiematrix. Er moet nog besloten worden wat de vorm wordt van de regionale commissie die de autorisatiematrix bepaalt. Hoe worden patiënten geïnformeerd? De toestemming voor uitwisseling van patiëntgegevens is juridisch houdbaar als de patiënt geïnformeerd is over waarvoor hij toestemming verleent. De regio trekt gezamenlijk op in het ontwikkelen van communicatiemateriaal, en RijnmondNet krijgt hier een coördinerende rol in. De zorginstellingen zijn zelf verantwoordelijk voor het informeren van patiënten. Overwegingen: De informatie die patiënten van wie de patiëntgegevens gedeeld worden via de Beeld- en Documentenservice moeten krijgen, is voor alle betrokken zorginstellingen gelijk. Daarom is het efficiënter als het communicatiemateriaal gezamenlijk ontwikkeld wordt. Omdat patiënten toestemming geven aan de zorginstelling, is het noodzakelijk dat de zorginstelling zelf de patiënt informeert. Gevolgen: Stichting RijnmondNet maakt en beheert in samenspraak met de aangesloten zorginstellingen het communicatiemateriaal voor patiënten. Bronnen Notulen gebruikersoverleg Beeld- en Documentenservice 20 mei 2014, v1.1 BPPC Uitgangspunten RijnmondNet, Robert Breas, MedicalPHIT, maart 2013 Richtlijn voor implementatie van toestemmingsprofielen binnen XDS-netwerken, Anton Ekker, Henk Hutink, Albert-Jan Spruyt, Nictiz, juli Albert-Jan Spruyt (Nictiz) BPPC toestemmingsprofielen d.d. 11 juni 2014