Het eHealth-platform gaat voor goud
Frank Robben Administrateur-generaal Kruispuntbank van de Sociale Zekerheid Sint-Pieterssteenweg 375 B-1040 Brussel E-mail:
[email protected] Website KSZ: www.ksz.fgov.be Persoonlijke website: www.law.kuleuven.ac.be/icri/frobben
Structuur van de uiteenzetting • doel van het eHealth-platform • enkele opportuniteiten • voorziene bouwstenen – – – –
• • • •
samenwerkingsplatform ontsluitingskanalen aangepast juridisch kader eHealth-platform als organisatie
bescherming van de persoonlijke levenssfeer stand van zaken nieuwe aanvragen om ondersteuning kritische succesfactoren
Frank Robben
2
22 mei 2008
Doel eHealth-platform • hoe ? – door een goed georganiseerde, onderlinge elektronische dienstverlening en informatie-uitwisseling tussen alle actoren in de gezondheidszorg – met de nodige waarborgen op het vlak van de informatieveiligheid en de bescherming van de persoonlijke levenssfeer
• wat ? – optimaliseren van de kwaliteit en de continuïteit van de gezondheidszorgverstrekking – optimaliseren van de veiligheid van de patiënt – vereenvoudigen van de administratieve formaliteiten voor alle actoren in de gezondheidszorg – degelijk ondersteunen van het gezondheidszorgbeleid Frank Robben
3
22 mei 2008
Wat het eHealth-platform niet beoogt • wijzigingen aanbrengen aan de inhoudelijke taakverdeling tussen de onderscheiden actoren in de gezondheidszorg • centraal opslaan van persoonsgegevens • monopoliseren van de elektronische dienstverlening aan de eindgebruikers • zelf uitvoeren van studies • zelf verstrekken van inhoudelijke beleidsondersteuning op het vlak van de gezondheidszorg • aangestuurd worden op basis van technologie eerder dan vanuit de doelstellingen vervat in de visie
Frank Robben
4
22 mei 2008
Enkele opportuniteiten • elektronische toegang door zorgverleners tot de relevante gegevens bewaard in zorgdossiers bij andere zorgverleners/zorginstellingen • vereenvoudiging en informatisering van de administratieve formaliteiten van zorgverleners en zorginstellingen • elektronische zorgvoorschriften • codering en anonimisering van persoonsgegevens met het oog op beleids- en onderzoeksondersteuning Frank Robben
5
22 mei 2008
Minimaal mededeelbare inhoud zorgdossier • afspraken over de minimale inhoud van een zorgdossier die elektronisch kan worden meegedeeld – informatie over patiënt – informatie over verstrekte zorgen – informatie over resultaten van verstrekte zorgen
• bepaling, door de patiënt en het onafhankelijk Sectoraal Comité (zie lager) – – – – –
Frank Robben
welke soorten zorgverleners/ zorginstellingen in welke situaties mededeling kunnen krijgen van welke soorten gegevens over welke soorten patiënten en over welke periodes
6
22 mei 2008
Minimaal mededeelbare inhoud zorgdossier • incentives voor zorgverleners/zorginstellingen om elektronische zorgdossiers met minimaal mededeelbare inhoud bij te houden en permanent elektronisch ter beschikking te stellen aan de toegangsgemachtigden • geleidelijke permanente elektronische toegankelijkheid en beschikbaarheid van minimaal mededeelbare inhoud zorgdossiers voor de toegangsgemachtigden – hetzij bij de zorgverlener zelf – hetzij bij een door de zorgverlener gekozen onderaannemer • zorginstelling • samenwerkingsverbanden tussen zorgverleners • …
• met de nodige back-up voorzieningen Frank Robben
7
22 mei 2008
Vereenvoudiging formaliteiten • elektronische toegankelijkheid voor de zorgverleners en de zorginstellingen van de verzekerbaarheidstoestand in de ziekteverzekering en van andere relevante administratieve informatie over de patiënt • gecoördineerde en eenmalige inzameling, over de onderscheiden overheidsdiensten, overheidsniveaus en ziekenfondsen heen, van de informatie nodig voor – het bekomen van de toelating tot terugbetaling van bepaalde zorgen – beleids- en onderzoeksondersteuning
Frank Robben
8
22 mei 2008
Elektronische zorgvoorschriften • gestandaardiseerde inhoud en elektronisch formaat van onderscheiden soorten zorgvoorschriften • methoden voor de aanmaak van juridisch geldige, elektronische zorgvoorschriften met een minimale administratieve last – binnen zorginstellingen – ambulant
• methoden voor de elektronische uitwisseling van zorgvoorschriften • waarborg van de vrije keuze van de zorgverlener door de patiënt • incentives voor zorgverleners/zorginstellingen om elektronische zorgvoorschriften aan te maken en uit te wisselen Frank Robben
9
22 mei 2008
Codering en anonimisering • beroep op trusted third party belast met – het coderen en anonimiseren van informatie – het ter beschikking stellen van de gecodeerde of geanonimiseerde informatie aan de actoren in de gezondheidszorg, aan beleidsvoerders en aan onderzoekers
• controle op de conformiteit van de coderings- en anonimiseringsmethoden met de wetgeving inzake de bescherming van de persoonlijke levenssfeer door het Sectoraal Comité • trusted third party doet zelf geen beleidsondersteuning of studies !!! Frank Robben
10
22 mei 2008
Voorziene bouwstenen • samenwerkingsplatform voor de veilige elektronische uitwisseling van informatie tussen alle actoren in de gezondheidszorg – netwerk – basisdiensten – ICT-gerelateerde functionele en technische normen, standaarden, specificaties en basisarchitectuur
• ontsluitingskanalen aangepast aan de gebruikers • aangepast juridisch kader • het eHealth-platform als organisatie Frank Robben
11
22 mei 2008
Samenwerkingsplatform en -standaarden • gebruik van bestaande netwerkinfrastructuur (internet, Carenet, extranet sociale zekerheid, FedMAN, …) met end-to-end encryptie van de inhoudelijke informatie (concept van virtuele private netwerken (VPN)) • door het eHealth-platform aangeboden basisdiensten – – – – – – –
gebruikers- en toegangsbeheer orchestratie van processen verwijzingsrepertorium logging codering en anonimisering time stamping portaalomgeving met o.a. een content management system en een zoekmotor – persoonlijke elektronische brievenbus voor elke zorgverlener Frank Robben
12
22 mei 2008
Samenwerkingsplatform en -standaarden • zoveel mogelijk uitwisseling aan de hand van gestructureerde elektronische berichten van toepassing tot toepassing • zoveel mogelijk uitwisseling op basis van open standaarden of, op zijn minst, open specificaties
Frank Robben
13
22 mei 2008
Gebruikers- en toegangsbeheer • doel – waarborgen dat enkel toegangsgerechtigde zorgverleners/zorginstellingen toegang krijgen – tot die persoonsinformatie waartoe zij toegang mogen hebben overeenkomstig de wet, de machtigingen van het Sectoraal Comité en/of de toestemming van de patiënt – en m.b.t. de patiënten waarover zij de betrokken persoonsinformatie nodig hebben voor de zorgverstrekking
Frank Robben
14
22 mei 2008
Gebruikers- en toegangsbeheer • vereisten – beheer van toegangsautorisaties met aanduiding • • • • • •
welke zorgverlener/zorginstelling/toepassing in welke hoedanigheid in welke situatie toegang mag hebben tot welke soorten gegevens m.b.t. welke patiënten over welke periode
– authenticatie van de identiteit van de zorgverlener – on-line verificatie van de hoedanigheid van de zorgverlener – eventueel on-line verificatie van het mandaat van de gebruiker om op te treden namens een zorgverlener/ zorginstelling – authenticatie van de identiteit van de patiënt, behalve • indien er een vaste zorgrelatie geregistreerd is tussen de zorgverlener/zorginstelling en de patiënt (zie lager, verwijzingsrepertorium) • in noodgevallen Frank Robben
15
22 mei 2008
Gebruikers- en toegangsbeheer • uitgewerkte organisatie – de autorisatie tot gebruik van een toepassing wordt verstrekt door de aanbieder van de dienst, indien nodig mits een machtiging door het Sectoraal Comité – de conformiteit van een concrete vraag om toegang met de toegangsautorisaties wordt preventief gevalideerd door de onafhankelijke instelling die het samenwerkingsplatform beheert – alle toegangen worden elektronisch gelogd op het niveau van de gebruiker om in geval van klachten achteraf te kunnen nagaan of de toegang rechtmatig was (enkel wie-wat-wanneer, geen inhoud) – de toegang tot de loggings is strikt beveiligd
Frank Robben
16
22 mei 2008
Gebruikers- en toegangsbeheer • uitgewerkte organisatie – de authenticatie van de identiteit van de zorgverlener geschiedt in functie van het vereiste beveiligingsniveau door • de elektronische identiteitskaart • een gebruikersnummer, paswoord en burgertoken • een gebruikersnummer en paswoord
– de verificatie van hoedanigheden en mandaten van de gebruiker geschiedt door een toegang tot gevalideerde authentieke bronnen (zie lager) – de authenticatie van de identiteit van de patiënt geschiedt aan de hand van diens elektronische identiteitskaart of SIS-kaart – het geheel is uitgebouwd via een generiek policy enforcement model
Frank Robben
17
22 mei 2008
Policy Enforcement Model Actie op toepassing GEWEIGERD
Gebruiker Actie op toepassing
Ophalen Policies
Actie op toepassing TOEGESTAAN
Policy Toepassing (PEP) Beslissings aanvraag
Toepassing
Beslissings antwoord
Policy Beslissing (PDP)
Informatie Vraag / Antwoord
Informatie Vraag / Antwoord Autorisatie beheer
Policy Administratie (PAP)
Policy Informatie (PIP)
Policy Informatie (PIP)
Policy
Authentieke bron
Authentieke bron
Beheerder
repository
Frank Robben
18
22 mei 2008
Policy Enforcement Point (PEP) • onderscheppen van de autorisatieaanvraag met alle beschikbare informatie inzake de gebruiker, de gevraagde actie, de resources en de omgeving • de autorisatieaanvraag doorsturen naar het Policy Decision Point (PDP) en een autorisatiebeslissing afdwingen • toegang verlenen tot de toepassing en relevante credentials meegeven Actie op toepassing GEWEIGERD
Gebruiker Actie op toepassing
Policy Toepassing (PEP)
Actie op toepassing TOEGESTAAN
Toepassing
Beslissings Beslissings aanvraag antwoord
Policy Beslissing (PDP)
Frank Robben
19
22 mei 2008
Policy Decision Point (PDP) • op basis van de ontvangen autorisatieaanvraag de passende autorisation policy opzoeken in de Policy Administration Point(s) (PAP) • de policy evalueren en, zo nodig, de relevante informatie ophalen uit de Policy Information Point(s) (PIP) • de autorisatiebeslissing (permit/deny/not applicable) nemen en doorsturen naar het PEP Policy Toepassing (PEP ) Beslissings Beslissings aanvraag antwoord
Ophalen Policies
Policy Beslissing (PDP )
Informatie Vraag / Antwoord
Informatie Vraag / Antwoord
Policy Administratie (PAP )
Frank Robben
Policy Informatie (PIP)
20
Policy Informatie (PIP )
22 mei 2008
Policy Administration Point (PAP) • omgeving voor het bewaren en beheren van de autorisation policies door de bevoegde perso(o)n(en) aangeduid door de verantwoordelijke voor de toepassing • ter beschikking stellen van de autorisation policies aan het PDP Autorisatie beheer
Ophalen Policies
PAP
PDP
Beheerder
Policy repository
Frank Robben
21
22 mei 2008
Policy Information Point (PIP) • ter beschikking stellen aan het PDP van informatie voor het beoordelen van de autorisation policies (authentieke bronnen met hoedanigheden, mandaten, …)
Frank Robben
Informatie Vraag/ Antwoord
PDP Informatie Vraag/ Antwoord
22
PIP 1
PIP 2
Authentieke bron
Authentieke bron
22 mei 2008
Architectuur Sociale sector (KSZ)
eHealth-platform USER
USER APPLICATIONS
Authen tication
Authorisation PEP
WebApp XYZ
Role Mapper
Role Provider
Role Provider DB
Authorisation PEP
WebApp XYZ
Role Mapper
APPLICATIONS Authen tication
Authorisation PEP
PDP
PAP ‘’Kephas’’
Role Provider
Role Provider DB
PIP
PIP
PIP
PIP
PIP
PIP
Attribute Provider
Attribute Provider
Attribute Provider
Attribute Provider
Attribute Provider
DB Mandaten
RIZIV
DB XYZ
DB Mandaten
UMAF
DB XYZ
Beheer GAB
23
WebApp XYZ
Role Mapper
Role Mapper DB
Role Mapper DB
Attribute Provider
Frank Robben
Niet-sociale FOD’s (Fedict)
APPLICATIONS Authen tication
Role Mapper DB
PDP
USER
PDP
PAP ‘’Kephas’’
Beheer GAB
Role Provider
Role Provider DB
PIP
PIP
PIP
Attribute Provider
Attribute Provider
Attribute Provider
DB Gerechtsdeurwaarders
DB XYZ
DB XYZ
PAP ‘’Kephas’’
Beheer GAB
22 mei 2008
Principe van "cirkels van vertrouwen" • doel – vermijden van onnodige centralisatie – vermijden van onnodige bedreigingen voor de bescherming van de persoonlijke levenssfeer – vermijden van meervoudige identieke controles en opslag van loggings
• methode: taakverdeling tussen de bij elektronische dienstverlening betrokken instanties met duidelijke afspraken inzake – wie welke authenticaties, verificaties en controles verricht aan de hand van welke middelen en daarvoor verantwoordelijk en aansprakelijk is – hoe tussen de betrokken instanties de resultaten van de verrichte authenticaties, verificaties en controles op een veilige wijze elektronisch worden uitgewisseld – wie welke loggings bijhoudt – hoe ervoor wordt gezorgd dat bij onderzoek, op eigen initiatief van een controle-orgaan of n.a.v. klacht, een volledige tracing kan geschieden van welke natuurlijke persoon welke dienst of transactie m.b.t. welke burger of onderneming wanneer, via welk kanaal en voor welke doeleinden heeft gebruikt Frank Robben
24
22 mei 2008
Verwijzingsrepertorium • inhoud – aanduiding, op vraag van de patiënt, geïdentificeerd aan de hand van zijn patiëntidentificatienummer, van de plaatsen waar welke soort elektronische informatie beschikbaar is over de patiënt, de verstrekte zorgen en de resultaten van de verstrekte zorgen – enerzijds tabel met actuele vaste zorgrelaties tussen zorgverleners en hun patiënten, de aard van de relatie, en de begin- en einddatum van de relatie – anderzijds tabel met plaatsen waar buiten een vaste zorgrelatie elektronische informatie over de onderscheiden patiënten aanwezig is – eventueel via een getrapt systeem (algemeen verwijzingsrepertorium verwijst door naar specifieke verwijzingsrepertoria per groep van zorgverleners of per zorginstelling) – geen inhoudelijke informatie !!! Frank Robben
25
22 mei 2008
Verwijzingsrepertorium • functies – preventieve controle op de rechtmatigheid van de toegang tot informatie over een bepaalde patiënt – routering van vragen om informatie naar de plaatsen waar informatie over de betrokken patiënt beschikbaar is – mogelijkheid tot automatische mededeling van informatie aan bepaalde zorgverleners
Frank Robben
26
22 mei 2008
Codering en anonimisering • eHealth-platform als trusted third party (TTP) belast met – het coderen en anonimiseren van informatie – het ter beschikking stellen van de gecodeerde of geanonimiseerde informatie aan de actoren in de gezondheidszorg, aan beleidsvoerders en aan onderzoekers
• controle op de conformiteit van de coderings- en anonimiseringsmethoden met de wetgeving inzake de bescherming van de persoonlijke levenssfeer door het Sectoraal Comité • het eHealth-platform doet zelf geen beleidsondersteuning of studies !!! Frank Robben
27
22 mei 2008
Ontsluitingskanalen aangepast aan gebruikers • verschillende devices – – – –
(draagbare) PC PDA GSM …
• voor elke doelgroep bij voorkeur georganiseerd door de bestaande dienstverleners aan die doelgroep (geen monopolie van het eHealth-platform !) • voor elke doelgroep minstens één gratis en algemeen toegankelijke toepassing voor de geïntegreerde ontsluiting van de informatie, residuair gebouwd door het eHealth-platform als webtoepassing indien nodig • zoveel mogelijk geïntegreerde ontsluiting van informatie die de gebruiker mag verkrijgen over informatiebronnen heen Frank Robben
28
22 mei 2008
Aangepast juridisch kader • instelling van het eHealth-platform als organisatie, met de bepaling van de juridische structuur, de opdrachten, de beheers- en overlegorganen en hun samenstelling • verplichting tot gebruik van het unieke patiëntidentificatienummer bij gebruik van het eHealth-platform • bewijskracht van elektronische voorschriften en elektronische gegevensuitwisselingen • aanpassing van specifieke regelgeving in functie van de uit te voeren projecten Frank Robben
29
22 mei 2008
eHealth-platform als organisatie • opdrachten – ontwikkelen van een visie en een strategie voor een effectieve, efficiënte en goed beveiligde elektronische dienstverlening en informatie-uitwisseling in de gezondheidszorg, met respect voor de bescherming van de persoonlijke levenssfeer en in nauw overleg met de onderscheiden openbare en private actoren in de gezondheidszorg – vastleggen van nuttige ICT-gerelateerde functionele en technische normen, standaarden, specificaties en basisarchitectuur voor een inzet van de ICT ter ondersteuning van deze visie en strategie – nagaan of softwarepakketten voor het beheer van elektronische patiëntendossiers voldoen aan de vastgelegde ICT-gerelateerde functionele en technische normen, standaarden en specificaties, en het registreren van deze softwarepakketten Frank Robben
30
22 mei 2008
eHealth-platform als organisatie • opdrachten – concipiëren, beheren en ontwikkelen van een samenwerkingsplatform voor de veilige elektronische gegevensuitwisseling met de bijhorende basisdiensten (zie hoger) – afspreken van een taakverdeling inzake de inzameling, validatie, opslag en terbeschikkingstelling van gegevens die over het samenwerkingsplatform worden uitgewisseld en van de kwaliteitsnormen waaraan deze gegevens dienen te voldoen, en het verifiëren van de naleving van deze kwaliteitsnormen – bevorderen en coördineren van de verwezenlijking van programma’s en projecten die de visie en strategie uitvoeren en gebruik maken van het samenwerkingsplatform en/of de bijhorende basisdiensten
Frank Robben
31
22 mei 2008
eHealth-platform als organisatie • opdrachten – beheren en coördineren van de ICT-gerelateerde aspecten van gegevensuitwisseling in het kader van elektronische patiëntendossiers en elektronische medische voorschriften – optreden als onafhankelijke trusted third party (TTP) voor het coderen en anonimiseren van persoonsgegevens m.b.t. de gezondheid ter ondersteuning van het wetenschappelijk onderzoek en het beleid – motor zijn van nodige veranderingen voor de uitvoering van de visie en strategie – organiseren van de samenwerking met andere overheidsinstanties die belast zijn met de coördinatie van de elektronische dienstverlening
Frank Robben
32
22 mei 2008
eHealth-platform als organisatie • organen – Beheerscomité • zorgverleners en zorginstellingen • ziekenfondsen • overheidsdiensten met bevoegdheden inzake gezondheidszorg: FOD Volksgezondheid, RIZIV, FOD Sociale Zekerheid, Federaal Kenniscentrum voor de Gezondheidszorg, Federaal Agentschap voor Geneesmiddelen en Gezondheidsproducten • vertegenwoordigers van de Ministers van Volksgezondheid, Sociale Zaken, Informatisering en Begroting • met raadgevende stem, vertegenwoordigers van de Ordes van Geneesheren en Apothekers en van de Kruispuntbank van de Sociale Zekerheid
– Overlegcomité met werkgroepen: alle relevante stakeholders
Frank Robben
33
22 mei 2008
Bescherming van de persoonlijke levenssfeer • goed uitgewerkte reglementering inzake bescherming van de persoonlijke levenssfeer bevat basisprincipes – eerlijke en rechtmatige verwerking – doelbinding: • verwerking voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden • zowel bij verwerving van de gegevens als bij verdere verwerking (verenigbaarheid met initieel doeleinde)
– evenredigheid: gegevens moeten, in functie van het doeleinde van de verwerking, • toereikend • ter zake dienend • en niet overmatig zijn
– nauwkeurigheid • bijwerken • verbeteren • verwijderen
Frank Robben
34
22 mei 2008
Bescherming van de persoonlijke levenssfeer • goed uitgewerkte reglementering inzake bescherming van de persoonlijke levenssfeer bevat basisprincipes – redelijke bewaarduur – informatieverstrekking • bij inzameling van gegevens bij de betrokkene • bij registratie/mededeling van gegevens
– gepaste technische en organisatorische veiligheidsmaatregelen, gebaseerd op een afweging tussen • stand van de techniek en kosten van de maatregelen • aard van de gegevens en potentiële risico’s
– rechten van het data-subject • • • •
informatie kennisname verbetering verwijdering
– specifieke regelen voor de verwerking van gezondheidsgegevens Frank Robben
35
22 mei 2008
Voorstel van concrete vormgeving • nood aan homogeen geheel van maatregelen over alle betrokken instanties heen: de zwakste schakel bepaalt de graad van veiligheid – – – – – –
structureel: beveiligende effecten voortvloeiend uit het concept organisatorisch qua personeel juridisch technisch fysiek
• informatieveiligheid en privacybescherming zou moeten worden opgenomen in het waardenkader van elke informatieverwerkende instantie en dus een dagdagelijkse bekommernis zijn van elkeen bij elke taakuitvoering, en vanaf de ontwerpfase in informatiesystemen worden ingebouwd Frank Robben
36
22 mei 2008
Voorstel van structurele maatregelen • vermijden van onnodige centrale gegevensopslag • oprichting van het Sectoraal Comité Sociale Zekerheid en Gezondheid in de schoot van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer (CBPL) – bestaande uit • vertegenwoordigers van de CBPL • onafhankelijke specialisten inzake gezondheidszorg aangewezen door de Kamer van Volksvertegenwoordigers
– taken • verstrekken van machtigingen tot (elektronische) uitwisseling van persoonsgegevens inzake de gezondheid, buiten de gevallen waarin dit is toegelaten bij wet • vaststellen van organisatie en policies inzake informatieveiligheid bij de verwerking van persoonsgegevens inzake de gezondheid • verstrekking van adviezen en aanbevelingen inzake informatieveiligheid bij de verwerking van persoonsgegevens inzake de gezondheid • behandeling van klachten inzake inbreuken op informatieveiligheid bij de verwerking van persoonsgegevens inzake de gezondheid Frank Robben
37
22 mei 2008
Voorstel van structurele maatregelen • preventieve controle op de rechtmatigheid van de uitwisseling van persoonsgegevens door een instantie die onafhankelijk is van de betrokken partijen: eHealthplatform • informatieveiligheidsdienst bij elke betrokken organisatie • erkende, gespecialiseerde informatieveiligheidsdienst(en) • werkgroep inzake informatieveiligheid en privacybescherming in de gezondheidssector
Frank Robben
38
22 mei 2008
Kader voor andere maatregelen • kader voor maatregelen op organisatorisch, technisch, fysiek en personeelsvlak: ISO-normenreeks 27000 – – – – – – – – – – – –
Frank Robben
beveiligingsbeleid, stapsgewijze verfijnd via policies beveiligingsorganisatie classificatie en beheer van bedrijfsmiddelen beveiligingseisen t.a.v. personeel fysieke beveiliging van de omgeving (oa encryptie) beheer van communicatie- en bedieningsprocessen toegangsbeveiliging ontwikkeling en onderhoud van systemen bijzondere eisen bij de verwerking van persoonsgegevens continuïteitsmanagement interne en externe controle op de naleving communicatie t.a.v. de klanten en publieke opinie over het beleid en de maatregelen inzake informatieveiligheid en privacybescherming 39
22 mei 2008
Stand van zaken • bestaande eHealth-platform
• bestaande basisdiensten
• bestaande gevalideerde authentieke bronnen
• bestaande en in uitbouw zijnde diensten met toegevoegde waarde Frank Robben
40
22 mei 2008
Het eHealth-platform PortaHealth SVA SVA SVA DTW
Patiënten en zorgverleners Site FOD SZ SVA SVA SVA DTW
Portaal SZ SVA SVA SVA DTW
Site RIZIV SVA SVA SVA DTW
MyCareNet SVA SVA SVA DTW
Portal eHealth
Gebruikers eHealtheHealthplatform
GAB
Platform met basisdiensten GAB
GAB
GAB
GAB
GAB
Leveranciers Frank Robben
41
22 mei 2008
Het eHealth-platform • basisdienst – een dienst ontwikkeld en ter beschikking gesteld door het eHealth-platform, die door de aanbieder van een dienst met toegevoegde waarde kan worden gebruikt bij het ontwikkelen en aanbieden van een dienst met toegevoegde waarde
• dienst met toegevoegde waarde (DTW) – een dienst die ter beschikking wordt gesteld van de patiënten en/of van de zorgverleners – de instantie die instaat voor de ontwikkeling en de terbeschikkingstelling van een dienst met toegevoegde waarde kan hiertoe gebruik maken van de basisdiensten aangeboden door het eHealth-platform
Frank Robben
42
22 mei 2008
Het eHealth-platform • gevalideerde authentieke bron (GAB) – een gegevensbank met informatie waarop het eHealth-platform een beroep doet – de beheerder van de gegevensbank is verantwoordelijk voor de beschikbaarheid en de (organisatie van de) kwaliteit van de ter beschikking gestelde informatie
Frank Robben
43
22 mei 2008
Reeds beschikbare basisdiensten • netwerk, gebaseerd op bestaande infrastructuur (internet, Carenet, extranet sociale zekerheid, FedMAN, …) • portaalomgeving (https://www.behealth.be), met o.a. – content management system – zoekmotor
• persoonlijke elektronische brievenbus voor elke zorgverlener • geïntegreerd gebruikers- en toegangsbeheer • orchestratie van processen • beheer van loggings • in ontwikkeling – codering en anonimisatie – time stamping Frank Robben
44
22 mei 2008
Portaal
Portaal
Gevalideerde authentieke bronnen • kadaster van de zorgverleners – beheerder: FOD Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu – bevat informatie over het diploma en de specialiteit van een zorgverlener geïdentificeerd aan de hand van zijn identificatienummer sociale zekerheid (INSZ)
• gegevensbank met de RIZIV-erkenningen – beheerder: RIZIV – bevat informatie over de erkenning door het RIZIV van een zorgverlener geïdentificeerd aan de hand van zijn INSZ
• gegevensbank met de personen die gemandateerd zijn om op te treden namens een zorginstelling – beheerder: RSZ (onderdeel gebruikersbeheer ondernemingen) – bevat informatie over welke personen geïdentificeerd aan de hand van hun INSZ gemandateerd zijn om namens een zorginstelling welke toepassingen te gebruiken Frank Robben
47
22 mei 2008
Diensten met toegevoegde waarde • in productie – invoer in en raadpleging van het Kankerregister – on-line elektronisch bestellen van getuigschriften voor verstrekte hulp en overeenstemmingsstroken voor de zorgverleners (Medattest) – anonimisering en codering van persoonsgegevens voor het RIZIV
Frank Robben
48
22 mei 2008
Diensten met toegevoegde waarde • in test – elektronisch beheer van wachtdiensten van artsen en tandartsen (Medega) – elektronische geboorte-aangifte (eBirth) – elektronische overmaking van facturen derde betaler door verplegers(groeperingen) aan ziekenfondsen – elektronische raadpleging van verzekerbaarheid in de ziekteverzekering door verplegers(groeperingen) – gedeeld elektronisch artritisdossier, met inbegrip van elektronische processen voor terugbetaling van antiTNF-medicatie (Safe - Shared Arthritis File for Electronic use)
Frank Robben
49
22 mei 2008
Diensten met toegevoegde waarde • in ontwikkeling – ondersteuning elektronisch zorgvoorschrift in ziekenhuizen – verdere elektronische processen voor het beheer van registers over verstrekte zorgen en het bekomen van de toelating tot terugbetaling van bepaalde zorgen • heup- en knieprothesen • cardiologische implantaten • …
– elektronische invoer en raadpleging van de evaluatie van de gehandicapten in het informatiesysteem van de FOD Sociale Zekerheid (Medic-e)
Frank Robben
50
22 mei 2008
Elektronisch zorgvoorschrift in zorginstellingen • onderzoek vereiste functionaliteiten – functionaliteiten vooraleer voorschrift kan verwerkt worden • authenticatie van de identiteit van de voorschrijver • verificatie van de hoedanigheid van de voorschrijver • systeem dat waarborgt dat het voorschrift niet meer onmerkbaar gewijzigd kan worden na de toepassing van de methoden voor het waarborgen van de integriteit en de elektronische datering • authenticatie van de identiteit, verificatie van de hoedanigheid van de voorschrijver, waarborgen van de integriteit en elektronische datering moet gebeuren voor elk individueel voorschift • de tijd nodig voor de authenticatie van de identiteit, de verificatie van de hoedanigheid en het waarborgen van de integriteit mag niet meer zijn dan ¼ seconde per voorschrift • eenzelfde voorschrijver moet zonder overhead kunnen switchen tussen meerdere plaatsen van waaruit hij wil voorschrijven • locale validatie dat het voorschrift na het toepassen van de methode voor het waarborgen van de integriteit niet gewijzigd is
Frank Robben
51
22 mei 2008
Elektronisch zorgvoorschrift in zorginstellingen • onderzoek vereiste functionaliteiten – functionaliteiten terwijl voorschrift verwerkt wordt • de elektronische datering moet onmiddellijk na de toepassing voor de methode voor het waarborgen van de integriteit worden aangevraagd en geschieden binnen maximaal 5 minuten na de aanvraag
– organisatorische vereisten • snelheid van vervanging van een authenticatiemiddel indien onbruikbaar • tracability van wie wanneer welke verwerking heeft verricht m.b.t. het aanmaken van het voorschrift (bijgehouden gedurende een vastgelegde periode) • tracability van de inhoud en het moment van elke aanvraag en verwerking van een aanvraag tot revocatie van een authenticatiemiddel
– bijzonder aandachtspunt • er moet worden vermeden dat zorginstellingen met verschillende systemen voor authenticatie van de identiteit, verificatie van de hoedanigheid, waarborgen van de integriteit van documenten, elektronische datering, … worden geconfronteerd voor verschillende soorten van processen
Frank Robben
52
22 mei 2008
Elektronisch zorgvoorschrift in zorginstellingen • voorstel van oplossing – de authenticatie van de identiteit en de verificatie van de hoedanigheid geschiedt locaal en gebeurt minstens aan de hand van een user-id, een paswoord [en iets dat men bezit], op voorwaarde dat elke voorschrijver een document ondertekent dat alles wat qua identiteit en hoedanigheid wordt geauthentiseerd aan de hand van zijn user-id, zijn paswoord [en zijn element van bezit], onder zijn verantwoordelijkheid valt – de voorschriften worden gehasht – de hashingresultaten (dus niet het inhoudelijk voorschrift zelf !) worden door het eHealth-platform getimestamped – er worden duidelijke organisatorische regels inzake het beheer van de user-id’s, de paswoorden [en de elementen van bezit] neergelegd in een KB in uitvoering van artikel 21 van het KB nr. 78, die worden gebaseerd op de resultaten van Elodis – een reglementering wordt uitgewerkt die de voorwaarden aangeeft waaronder naschriften mogelijk zijn Frank Robben
53
22 mei 2008
Nieuwe aanvragen om ondersteuning • FOD Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu – rapportering over MUG-interventies (Smureg) – herziening van de toepassing voor het verstrekken van een machtiging tot orgaandonatie (Orgadon) – toepassing voor het verrichten van een wilsbeschikking inzake euthanasie – informatie over therapeutische projecten – Resident Assessment Instrument (BelRAI) – tracering van bloed
• FOD Mobiliteit – elektronische mededeling van medische attesten met het oog op het verkrijgen van een rijbewijs
Frank Robben
54
22 mei 2008
Nieuwe aanvragen om ondersteuning • consortium ePrescription (apothekers, artsen en ziekenfondsen) – elektronisch voorschift in de ambulante sector
• Federaal Agentschap voor Geneesmiddelen en Gezondheidsproducten – toepassing voor de ethische comités – ontsluiting van een gegevensbank van de geneesmiddelen
• Vlaams Agentschap voor Zorg en Gezondheid – VESTA: platform voor gegevensuitwisseling tussen het Agentschap en de door haar erkende diensten
Frank Robben
55
22 mei 2008
Kritische succesfactoren • samenwerking tussen alle actoren in de gezondheidszorg, gebaseerd op een taakverdeling eerder dan op een centralisering van de taken • adequate maatregelen inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer • vertrouwen van alle stakeholders inzake het behoud van de nodige autonomie en van de veiligheid van het systeem • eerst verdere uitbouw uitwisselingsplatform en instelling benodigde organen (eHealth-platform als organisatie, samenwerkingsplatform, Sectoraal Comité, …), en daarna inhoudelijke uitwerking in de schoot van deze organen • quick wins in combinatie met een visie op lange termijn • wettelijk kader Frank Robben
56
22 mei 2008
Voor meer informatie • portaal eHealth-platform – https://www.behealth.be
• persoonlijke website Frank Robben – http://www.law.kuleuven.ac.be/icri/frobben
• website Kruispuntbank van de Sociale Zekerheid – http://www.ksz.fgov.be
Frank Robben
57
22 mei 2008
D@nk u ! Vragen ?