IZO Architectuur (Informatievoorziening Zorg en Ondersteuning)
Deel 3f: Doelarchitectuur iWmo-standaard-berichten
Status
Definitief – versie 1.0
Auteur(s)
Paul van Raaij
Opdrachtgever
Indra Henneman (Projectleider iWmo)
Directie
Directie Maatschappelijke Ondersteuning (DMO)
Datum
15 september 2014
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
Versiebeheer
Versie
Datum
0.0.1
27-08-2014
1.0
15-09-2014
Omschrijving / Wijzigingen
Auteur(s)
Status
Besproken in de Architectuurboard van 15 september 2014.
Paul van Raaij (ICTU)
Concept
Opmerkingen Architectuurboard verwerkt en het document vastgesteld.
Paul van Raaij (ICTU)
Definitief
Pagina 2 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
Architectuur IZO: Doelarchitectuur iWmo-standaard-berichten Voor u ligt een uitwerking van de IZO-Architectuur van het domein van zorg en ondersteuning. In een eerder stadium zijn Deel 1 (kaders en richtlijnen van de onder IZO vallende projecten) en Deel 2 (het ontwerp van de Architectuur) al opgeleverd. In Deel 2 zijn een aantal voorzieningen geïdentificeerd, welke nu in Deel 3 in doelarchitecturen en project start architecturen (PSA’s) worden uitgewerkt. Feitelijk bestaat Deel 3 van de IZO-Architectuur uit een verzameling van doelarchitecturen en PSA’s. Een PSA beschrijft één van de architectuurproducten die aan een project bij aanvang wordt meegegeven. Zo wordt geborgd dat vernieuwingen in samenhang en context met hun omgeving worden gerealiseerd. Een PSA wordt in principe voor de start van het project samen met het projectplan ter besluitvorming aangeboden. De PSA voor de knooppunten beschrijft de meest haalbare oplossing per 1 januari 2015 en geeft zo richting aan de oplossing die een project gaat realiseren. De doelarchitectuur beschrijft de meest optimale en gewenste oplossing op termijn.
Normaliter richt een PSA zich op kaders en richtlijnen die op een project van toepassing zijn en de impact daarvan op de beoogde verandering. In het IZO traject zijn de kaders al in Deel 1 en Deel 2 van de IZO-Architectuur beschreven. Deze worden overerft naar de doelarchitecturen en PSA’s in Deel 3. Daarom richten de doelarchitecturen en PSA’s in Deel 3 zich veel meer op de inrichting van de voorzieningen die moeten worden opgeleverd en de eisen waaraan de voorzieningen moeten voldoen. Daarnaast worden de belangrijkste diensten (informatie-uitwisselingen) in de koppelvlakken en de functies van de bouwsteen zelf beschreven. “Hoe” die diensten door de voorzieningen worden gerealiseerd is aan de projecten en de opdrachtnemers van deze projecten. De zogenaamde “black box” benadering. In eerste instantie – op weg naar het in werking treden van de wetten Wlz, Wmo 2015 en Zvw per 1 januari 2015 – wordt gefocust op de administratieve processen van: Indicatie stellen voor de Wlz. Toewijzen van zorg. Declareren van verleende zorg. De informatie-uitwisseling tussen (zorg)aanbieders en gemeenten
Pagina 3 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
Om dit mogelijk te maken worden voor 1 januari 2015 de volgende voorzieningen gerealiseerd: Het indicatieregister (wie heeft er een indicatie voor de Wlz). PGB trekkingsrechten (de afhandeling van persoonsgebonden budgeten). De knooppunten (het afhandelen van het berichtenverkeer). Voor elk van bovenstaande voorzieningen is een doelarchitectuur en een PSA (IZOArchitectuur, deel 3) beschikbaar. Dit document beschrijft de uitwisseling van iWmostandaard-berichten tussen aanbieders van maatschappelijke ondersteuning en gemeenten. Het beschrijft hoe informatie tussen de ketenpartijen in en tussen de verschillende zorgdomeinen (Wlz, Wmo en Zvw) wordt uitgewisseld. De iWmo-standaardberichten zijn in de zomer 2014 pas vastgesteld en daarom (nog) niet in Deel 2 van de IZO-Architectuur beschreven. De iWmo-standaard-berichten betreffen: 1. Wmo-Toewijzing: De opdracht van de gemeente aan de aanbieder om een maatwerkvoorziening voor een specifieke klant te bieden. 2. Wmo-Declaratie: Het bericht van de aanbieder dat hij betaald wil worden voor de geleverde ondersteuning met de specificatie van de geleverde diensten. 3. AanvangOndersteuning: De melding van de aanbieder dat levering van de ondersteuning is gestart. 4. Wmo-Beëindiging-MutatieOndersteuning: De melding door de aanbieder aan de gemeente dat de ondersteuning is afgerond, of dat de ondersteuning is gewijzigd. Daarmee richt deze doelarchitectuur zich op de diensten tussen aanbieders en gemeenten. In de tekening is deze in het rood omcirkeld. Zo wordt goed zichtbaar welke deel van IZO met deze doelarchitectuur wordt opgepakt. In de figuur staan ook berichten voor betalingen en contractering. Deze maken geen onderdeel uit van de iWmostandaard-berichten.
Pagina 4 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
Deze doelarchitectuur beschrijft vooral de berichten. De kaders, koppelvlakken en infrastructurele voorzieningen die deze berichten gebruiken worden meer gedetailleerd in de IZO Architectuur, Deel 3c over de knooppunten beschreven. Deze worden daarom in deze doelarchitectuur meer zijdelings besproken, vooral om de route van de berichten zichtbaar te maken. De doelarchitectuur en PSA voor de knooppunten (IZO Architectuur Deel 3c PSA – Knooppunten) is daarmee impliciet onderdeel van deze PSA. Deze doelarchitectuur (iWmo-standaard-berichten ) beschrijft de gewenste oplossing, zoals deze uiteindelijk moet worden gerealiseerd. Hiermee wordt ervoor gezorgd dat de oplossing uiteindelijk onder architectuur wordt gerealiseerd en dat de gegevensuitwisseling tussen de aanbieders van maatschappelijke ondersteuning en gemeenten soepel verloopt. De IZO Architectuurboard zal uiteindelijk toetsen of de gerealiseerde oplossing conform deze doelarchitectuur en de PSA wordt gerealiseerd.
Pagina 5 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
Leeswijzer Dit document beschrijft de informatie dienst voor de iWmo-standaard-berichten in de keten van de maatschappelijke ondersteuning. Zo worden in hoofdstuk 1 summier de ambities van de hervorming van de langdurige zorg en maatschappelijke ondersteuning nog eens beschreven. In hoofdstuk 2 wordt de processen van toegang tot maatschappelijke ondersteuning, de toewijzing en declaratie en het stopzetten van de ondersteuning uit de Wmo kort besproken. In deze processen worden gegevens tussen ketenpartijen uitgewisseld. Deze worden in hoofdstuk 3 toegelicht. De iWmo-standaard-berichten tussen gemeenten en aanbieders van maatschappelijke ondersteuning maken hier onderdeel van uit. De informatie in de ketens betreft gevoelige medische gegevens van kwetsbare in de maatschappij. Daarom worden er hoge eisen aan privacy gesteld. De uitkomsten en maatregelen die hieruit voortvloeien worden in hoofdstuk 4 beschreven. Vervolgens wordt in de hoofdstukken 4 en 5 worden het berichtenverkeer en de knooppunten in het resp. het publieke – en private domein beschreven. Hoofdstuk 7 beschrijft de eisen die aan de iWmo berichten worden gesteld en hoe ze worden beheerd. De beschikbaarheid, betrouwbaarheid en integriteit van de iWmo berichten worden hier benoemd. Hoofdstuk 8 somt tot slot een checklist op, waarop de IZO Architectuurboard het project resultaat zal toetsen.
Pagina 6 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
Managementsamenvatting Op basis van een aantal beleidsambities verandert er veel in de Langdurige Zorg en Maatschappelijke Ondersteuning. Er zal meer worden uitgegaan wat mensen nog kunnen en wat daarbij de eigen mogelijkheden zijn, dan naar wat ze niet meer kunnen. De beleidsambities richten zich daarbij op een integraal aanbod van zorg en ondersteuning, meer regie bij de burger en decentralisatie van de zorg, dichtbij de burger en met meer toegankelijkheid. Dit is de inzet van de hervorming van de langdurige zorg. Door de hervorming moet er ook worden gebouwd aan een duurzaam fundament voor de informatievoorziening. IZO is verantwoordelijk voor de realisatie van de voorzieningen die nodig zijn voor de informatievoorziening in de langdurige zorg en maatschappelijke ondersteuning. Uitgangspunt hierbij is dat de informatievoorziening effectief en in samenhang wordt opgezet, zodat een duurzaam fundament wordt gelegd voor de langdurige zorg en maatschappelijke ondersteuning. Een fundament dat wellicht zelfs breder inzetbaar is in de zorg. Onderdeel van de hervorming zijn de gegevensuitwisselingen tussen de gemeenten en de aanbieders van maatschappelijke ondersteuning. Nadat een klant toegang tot maatschappelijke ondersteuning heeft verkregen, ontstaat een samenspel tussen de gemeente (als opdrachtgever tot ondersteuning) en de aanbieder (als verstrekker van ondersteuning) en visa versa. Denk daarbij aan: Opdrachtverstrekking van de gemeente tot ondersteuning door de aanbieder, start en beëindiging van ondersteuning door de aanbieder, declaratie van de verleende ondersteuning door de aanbieder. Dit samenspel van informatie-uitwisseling kan digitaal via berichtenverkeer worden afgehandeld en is vastgelegd in de iWmo-standaard-berichten. Deze berichten betreffen gevoelige en vertrouwelijke persoonsgegevens. Dit leidt tot eisen t.a.v. de privacy en gegevensbescherming. In dit document is beschreven hoe deze gegevensuitwisseling gaat verlopen en welke eisen hieraan worden gesteld. Deze uitwerking wordt aan gemeenten en aanbieders meegegeven bij de realisatie van deze informatie diensten. Zo wordt geborgd dat de gegevensuitwisseling tussen de gemeenten en aanbieders in de Wmo vloeiend en efficiënt verloopt. Hiermee wordt voorkomen dat de gegevensuitwisseling stagneert en dat administratieve lasten en operationele kosten bij de uitwisseling van gegevens toenemen. Tevens dient het document als leidraad tijdens de realisatie van de informatie dienst voor Wlz indicatiebesluiten en het aanwezig zijn van Wlz indicaties. De IZO Architectuur Board zal de gerealiseerde oplossing a.d.h.v. de doelarchitectuur Wlz indicatie en deze PSA toetsen.
Pagina 7 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
INHOUDSOPGAVE VERSIEBEHEER ............................................................................................................................. 2 ARCHITECTUUR IZO: DOELARCHITECTUUR IWMO-STANDAARDBERICHTEN...................................................................................................................................... 3 LEESWIJZER ................................................................................................................................... 6 MANAGEMENTSAMENVATTING ............................................................................................ 7 1
HERVORMING LANGDURIGE ZORG ..........................................................................10 1.1 1.2 1.3 1.4 1.5 1.6
2
DOELSTELLINGEN VAN DE HERVORMING LANGDURIGE ZORG .........................................10 HERVORMING LANGS DRIE HOOFDLIJNEN .........................................................................10 TOEKOMSTBEELD IZO 2016 ............................................................................................11 INFORMATIEVOORZIENING LANGDURIGE ZORG ................................................................11 BETROKKEN KETENPARTIJEN ..............................................................................................11 INFORMATIE-UITWISSELING TUSSEN AANBIEDER EN GEMEENTEN..................................11
PROCESSEN IN DE WMO .................................................................................................13 2.1 2.2 2.3
HET TOT STAND KOMEN VAN EEN WMO TOEKENNINGSBESCHIKKING ............................13 HET KETENPROCES NA TOEWIJZING VAN ONDERSTEUNING IN DE WMO (ZIN) ............14 HET STOPZETTEN VAN MAATSCHAPPELIJKE ONDERSTEUNING IN DE WMO ....................15
3 IWMO STANDAARD: BERICHTEN TUSSEN GEMEENTEN EN AANBIEDERS .................................................................................................................................17 3.1 3.2 3.3 4
PRIVACY EN INFORMATIEBEVEILIGING ..............................................................20 4.1 4.2 4.3
5
DE BERICHTEN UIT DE IWMO-STANDAARD ......................................................................17 DE RETOURBERICHTEN UIT DE IWMO-STANDAARD .........................................................18 INFORMATIE IN DE IWMO-STANDAARD BERICHTEN.........................................................18
PRIVACY...............................................................................................................................20 MAATREGELEN IN DE INFORMATIEBEVEILIGING ...............................................................22 CHECKLIST T.A.V. PRIVACY EN INFORMATIEBEVEILIGING ...............................................22
IWMO-STANDAARD-BERICHTEN VOLGENS BERICHTENVERKEER ........23 INFORMATIE-UITWISSELING VIA WEB SERVICES..............................................................23 INFORMATIE-UITWISSELING VIA EEN WEB PORTAAL........................................................23 RAPPORTAGE AFNAME WLZ INDICATIES ...........................................................................23 IDENTIFICATIE, AUTHENTICATIE EN AUTORISATIE BIJ BERICHTENVERKEER EN WEB PORTAAL ............................................................................................................................................23 5.5 DE TRACKING, TRACING, LOGGING EN AUDITTRAILS VAN BERICHTEN...........................24 5.6 ENCRYPTIE BIJ OPSLAG EN VERZENDEN VAN BERICHTEN ................................................24 5.1 5.2 5.3 5.4
6
GEBRUIKTE KNOOPPUNTEN BIJ DE IWMO-STANDAARD-BERICHTEN 25 6.1
OVERZICHTSPLAAT VAN DE KNOOPPUNTEN VOOR DE AFHANDELING VAN
BERICHTENVERKEER .........................................................................................................................25
AFHANDELING VAN BERICHTENVERKEER VOOR DE IWMO-STANDAARD BERICHTEN .....26 AFHANDELING VAN BERICHTENVERKEER VOOR DE IWMO-STANDAARD-RETOUR BERICHTEN ........................................................................................................................................26 6.2 6.3 7
BEHEER VAN DE IWMO-STANDAARD-BERICHTEN ..........................................27 7.1
BESCHIKBAARHEID .............................................................................................................27
Pagina 8 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
7.2 7.3 8
INTEGRITEIT ........................................................................................................................27 VERTROUWELIJKHEID .........................................................................................................27
CHECKLIST VOOR DE IZO ARCHITECTUURBOARD ..........................................28
Pagina 9 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
1
Hervorming Langdurige Zorg
De zorg is in beweging. Op basis van een aantal beleidsambities verandert er veel in de Langdurige Zorg en Maatschappelijke Ondersteuning. Zo worden zorgfuncties van de AWBZ overgeheveld naar de Wmo en de Zvw, regelfuncties van de zorgkantoren worden verlegd naar de zorgverzekeraars en de indicatiestelling wordt steeds meer neergelegd bij de zorgaanbieders. De doelstellingen kunnen kort worden weergegeven als ‘eenvoud voor de klant’, ‘administratieve lastenverlichting voor de organisaties in de zorg’ en ‘modernisering van de gegevensuitwisseling’. Daarom een hervorming. Meer uitgegaan van wat mensen nog kunnen en wat daarbij de eigen mogelijkheden zijn, dan naar wat ze niet meer kunnen. De beleidsambities richten zich daarbij op een integraal aanbod van zorg en ondersteuning, meer regie bij de burger en decentralisatie van de zorg, dicht bij de burger en met meer toegankelijkheid. De uitbreiding van de Wmo is daarbij een belangrijke ontwikkeling. Het betekent dat steeds meer ondersteuning onder de verantwoordelijkheid van de gemeenten komt.
1.1
Doelstellingen van de hervorming langdurige zorg De hervorming van de langdurige zorg heeft drie hoofddoelen: Aanpassing van de organisatie van de zorg Mensen zelfstandig thuis laten wonen met ondersteuning van het eigen sociale netwerk of (gemeentelijke) thuiszorgvoorzieningen. Wanneer zelfstandig thuis wonen niet meer mogelijk is, moeten goede instellingen de zorg overnemen met oog voor het individu en de kwaliteit van leven. Financieel houdbaar houden van de langdurige zorg, ook voor toekomstige generaties De AWBZ is overbelast geraakt. Teveel zaken die we zelf zouden kunnen regelen, worden uit de collectieve middelen betaald. Dit leidt tot hoge premies die op termijn de zorg uithollen en onhoudbaar zijn. Langdurige zorg passend houden hoe men in Nederland met elkaar om wil gaan Creëer een participatiesamenleving waar primair zorg uit de directe eigen omgeving wordt gegeven en waar betaalde en verzekerde zorg wordt gegeven waar of wanneer dat niet mogelijk is.
1.2
Hervorming langs drie hoofdlijnen De hervorming heeft zijn weerslag en vraagt om een integrale aanpak over de verschillende wetten (AWBZ, Wmo en Zvw). Vanuit de daaruit voortvloeiende ketens is noodzakelijk om de gestelde doelstellingen te halen. Namelijk: 1. Participeren in eigen omgeving met steun via de Wmo Gemeenten en zorgverzekeraars worden de komende jaren verantwoordelijk voor de ondersteuning en begeleiding van mensen met een beperking die tot op heden door AWBZ-instellingen wordt geleverd. Huidige klanten behouden hun recht op zorg in een instelling, maar voor nieuwe klanten gaan nieuwe afbakeningscriteria gelden. 2. Samenhangende zorg in de Zorgverzekeringswet (Zvw) Zorg gericht op herstel of het tegengaan van verslechtering wordt vanuit de AWBZ naar de Zvw overgeheveld. Verpleging en verzorging bij herstel komt zo in één pakket en klanten hebben één aanspreekpunt. 3. Recht op zorg voor kwetsbare mensen via de Wlz Zorg op grond van de Wlz is bestemd voor kwetsbare mensen, volwassenen en kinderen, die vanwege beperkingen echt niet meer in staat zijn in de thuisomgeving te wonen. Het betreft de zwaarste vormen van langdurige zorg.
Pagina 10 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
1.3
Toekomstbeeld IZO 2016 De hervorming en samenwerking tussen de drie wetten vraagt om een integrale informatievoorziening voor de zorg en ondersteuning. Voor de informatievoorziening is daarom in het platform IZO (Informatievoorziening Zorg en Ondersteuning) een visie “Toekomstbeeld IZO 2016” opgesteld. Deze stip aan de horizon is destijds vastgesteld in de stuurgroep HLZ en wordt breed gedragen. In het toekomstbeeld zijn drie ambities beschreven: eenvoud en transparantie voor de klant, lastenverlichting (en kostenbesparing) voor de organisaties in de zorg, modernisering van de gegevenshuishouding. Om deze ambities waar te maken is een informatievoorziening nodig, die gebruik maakt van gestandaardiseerde gegevens, die hergebruikt kunnen worden. Door de (administratieve) bedrijfsfuncties meer te uniformeren sluiten de onderlinge stappen en fasen beter op elkaar aan, waardoor uitwisseling en hergebruik tussen de zorgketens vergemakkelijkt wordt.
1.4
Informatievoorziening langdurige zorg De maatregelen uit het IZO toekomstbeeld 2016 hebben consequenties voor de wijze waarop organisaties met elkaar samenwerken op het terrein van de informatievoorziening. De hervorming betekent dat klantprocessen veranderen, werkprocessen herontworpen moeten worden en de gegevensuitwisseling moet worden aangepast aan de nieuwe situatie.
1.5
Betrokken ketenpartijen Bij de hervorming van de langdurige zorg zijn vele ketenpartijen betrokken. In de figuur zijn deze geïllustreerd. Tussen deze ketenpartijen lopen informatiestromen en worden gegevens uitgewisseld. De relatie tussen de klant en zorgaanbieder staat daarbij centraal.
1.6
Informatie-uitwisseling tussen aanbieder en gemeenten Tussen de ketenpartijen in, maar ook tussen de verschillende zorgdomeinen (Wlz, Wmo en Zvw) wordt informatie uitgewisseld. Veelal vanuit een bron naar een afnemer. In het kader van de iWmo-standaard-berichten gaat het om zeven berichten met hun retourberichten, met daarin de volgende informatie diensten tussen aanbieders van maatschappelijke ondersteuning en gemeenten: WMO301 - Wmo-toewijzing: De opdracht van de gemeente aan de aanbieder om de ondersteuning te bieden. WMO303 - Wmo-Declaratie: Het bericht van de aanbieder dat hij betaald wil worden voor de geleverde ondersteuning met de specificatie van de geleverde diensten. WMO305 - AanvangOndersteuning: De melding van de aanbieder dat levering van de ondersteuning is gestart.
Pagina 11 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
WMO307 - Wmo-Beëindiging-MutatieOndersteuning: De melding door de aanbieder aan de gemeente dat de ondersteuning is afgerond, of dat de ondersteuning is gewijzigd.
Voor deze vier berichten zijn specificaties opgesteld en wordt technische ondersteuning gegeven. Voor drie andere berichten zijn ook specificaties opgesteld, maar wordt geen technische ondersteuning gegeven. Deze betreffen: WMO309: Wmo-Wachtlijst. WMO311: Wmo-Indicatie. WMO313: AanvraagIndicatie. Alle communicatie tussen gemeenten en aanbieders verlopen in de toekomst op een digitale wijze. De laatste drie genoemde berichten vallen hier ook onder.
Pagina 12 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
2
Processen in de Wmo De Wet maatschappelijke ondersteuning (Wmo) regelt dat mensen met een beperking ondersteuning kunnen krijgen in de thuissituatie. Het kan gaan om ouderen, gehandicapten of mensen met psychische problemen. Zij krijgen bijvoorbeeld huishoudelijke hulp of een rolstoel. De financiële beheersbaarheid van de Wmo wordt in de eerste plaats geborgd door een goede regulering van de toegang tot de maatschappelijke ondersteuning, maar ook het tijdig beëindigen ervan. Het proces van zorgvraagbeoordeling en de indicatiestelling in het kader van de Wmo, is in het geheel een verantwoordelijkheid van gemeenten. Iedere gemeente heeft beleidsvrijheid om zelf te bepalen op welke manier ze dat doen.
2.1
Het tot stand komen van een Wmo toekenningsbeschikking Het is aan gemeenten om te beoordelen of een klant toegang krijgt tot maatschappelijke ondersteuning, zoals bedoeld in de Wmo. Hiertoe neemt een gemeente een Wmo toekenningsbeschikking. Om zo'n beschikking te kunnen toekennen, beoordeelt de gemeente of een klant hiervoor in aanmerking komt. Wanneer een klant behoefte aan ondersteuning heeft, doet deze een aanvraag bij de gemeente. Het is aan de gemeente om te bepalen hoe de beoordeling tot stand komt. Er geldt gemeentelijke beleidsvrijheid. Bij de beoordeling van de aanvraag kan de gemeente indicatieadvies inwinnen. Daarnaast toetst de gemeente bij het CIZ of er een Wlz indicatie ja/nee bestaat. Is deze aanwezig, dan hoeft de gemeente geen maatschappelijke ondersteuning te verlenen en wordt doorverwezen naar langdurige zorg via het Zorgkantoor.
WMO301
Pagina 13 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
Bij de toekenning van de Wmo zijn de volgende partijen betrokken: gemeenten, mogelijk een indicatie orgaan en het CAK. Wordt de aanvraag positief beoordeeld, dan geeft de gemeente een Wmo toekenningsbeschikking af. Deze gaat: 1. Ter informatie naar de klant. 2. Naar de aanbieder die maatschappelijke ondersteuning via Zorg In Natura (ZIN) toewijst. Hiertoe wordt maatschappelijke ondersteuning bij aanbieders ingekocht. 3. Naar de SVB in het geval er een PGB is toegekend, zodat de klant zelf maatschappelijke ondersteuning kan inkopen. 4. Naar het CAK voor de vaststelling van de maximale eigen bijdrage. Dit loopt via een abonnement op het Wmo register. Informatiestromen De volgende informatiestromen zijn herkend bij het tot stand komen van een Wmo toekenningsbeschikking: Indicatieadvies (Wmo) door Indicatieadvies orgaan voor gemeente Om toegang te krijgen tot maatschappelijke ondersteuning uit de Wmo doen klanten een aanvraag bij hun gemeente. Er bestaat gemeentelijke beleidsvrijheid hoe dit vast te stellen, maar de gemeente zal – om de ondersteuning vast te stellen – een beroep kunnen doen op een indicatieadvies orgaan. Deze geeft een indicatieadvies af aan de gemeente, die dit gebruikt bij de vaststelling van het arrangement uit de Wmo. Is deze beoordeling positief, dan leidt dit tot een toekenningsbeschikking. Dit kan zijn in de vorm van een ‘zorg in natura (ZIN)’ of een ‘persoonsgebonden budget (PGB)’. Vanwege de gemeentelijke beleidsvrijheid is niet eenduidig wat er in het indicatieadvies staat en hoe dit aan de gemeente wordt verstrekt. Denkbaar is dat in het indicatieadvies persoonsgegevens en de beperking staan. Toekenningsbeschikking ZIN door gemeente (Wmo) Als de klant zorg-in-natura krijgt, dan kan de afdeling toewijzing van de gemeente de klant helpen bij de zorgvraag. Dit wordt in een toekenningsbeschikking vastgelegd. In deze beschikking staan Persoonsgegevens, de toegekende zorg en de rechten en plichten van de klant beschreven. Toekenningsbeschikking PGB van gemeente (Wmo) Op het moment dat de aanvraag juist en compleet is ingediend, ontvangt de klant bij een positieve beoordeling de toekenningsbeschikking van de gemeente. In deze beschikking staat het bruto bedrag dat de klant aan PGB ontvangt, en welke rechten en plichten de klant heeft. Dit betekent dat van de klant wordt verwacht dat het bedrag waarvoor de klant op basis van de indicatie in aanmerking komt, ook aan ondersteuning wordt besteed. Wmo ja/nee naar het Wmo register en het CAK Hierin staat de DAT-informatie (BSN plus het feit of er ondersteuning uit de Wmo is). Het iWmo standaard bericht WMO301 Wmo-toewijzing De opdracht van de gemeente aan de aanbieder om de ondersteuning te bieden.
2.2
Het ketenproces na toewijzing van ondersteuning in de Wmo (ZIN) De Wmo vormt de basis van het stelsel van Zorg en Welzijn en verplicht de gemeente om burgers keuze te bieden. Dit kan met maatschappelijke ondersteuning Zorg In Natura (ZIN) of via een persoonsgebonden budget (PGB). Bij de uitvoering van de Wmo (ZIN) zijn de volgende partijen betrokken: aanbieders van maatschappelijke ondersteuning, gemeenten en het CAK. Informatiestromen De volgende informatiestromen zijn herkend na het toewijzen van maatschappelijke ondersteuning:
Pagina 14 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
Toewijzing van maatschappelijke ondersteuning van gemeente naar aanbieder De gemeente heeft beleidsvrijheid hoe de opdracht aan aanbieders te verlenen. Denkbaar is dat er in de toewijzing zaken staan als: de doelen, de activiteiten, de rol van de begeleider, de aanpak/methodiek, de middelen en de uitkomsten. Declaratie voor verleende ondersteuning van aanbieders naar gemeente. Aanbieder dient declaraties voor verleende ondersteuning in bij: a. SVB bij PGB (Wmo) en b. gemeenten (Wmo - ZIN). In de declaratie van de aanbieder staan in feite de persoonsgegevens van de klant aan wie zorg is verleend, welke ondersteuning is verleend en de kosten voor de verleende zorg. De betreffende partijen controleren de declaraties a.d.h.v. de productieafspraken (gemeenten), budget/zorgplannen vanuit de PGB (SVB) of zorgovereenkomsten tussen aanbieders enerzijds en gemeenten anderzijds. Het iWmo standaard bericht WMO305 AanvangOndersteuning. De melding van de aanbieder aan de gemeente dat is gestart met de ondersteuning aan de klant. Het iWmo standaard bericht WMO303 Wmo-Declaratie Het bericht van de aanbieder dat hij betaald wil worden voor de geleverde ondersteuning met de specificatie van de geleverde diensten.
Hieronder is het proces voor ZIN uit de Wmo na zorgtoewijzing geschetst.
WMO305
WMO303
Bij PGB wordt de ondersteuning door de klant zelf ingekocht. Dit wordt in het volgende hoofdstuk uitgewerkt.
2.3
Het stopzetten van maatschappelijke ondersteuning in de Wmo Tot slot zijn er ook triggers waardoor de maatschappelijke ondersteuning uit de Wmo wordt stopgezet. Deze zijn: Na evaluatie blijkt dat maatschappelijke ondersteuning uit de Wmo niet meer nodig door verbetering van de situatie van de klant. Eventueel is het Indicatie Adviesorgaan er bij betrokken. De klant is overleden of verhuist. Dit bericht wordt via een abonnement (Digilevering) uit het Basisregister Personen (BRP) geleverd.
Pagina 15 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
De klant heeft van het CIZ een indicatie gekregen voor intramurale zorg vanuit de Wlz.
Informatiestromen De volgende informatiestromen zijn onderkend bij het stopzetten van de ondersteuning uit de Wmo. Dit zijn: De klant. In het geval van een Wlz indicatie wordt de klant doorverwezen naar het zorgkantoor. De aanbieder van maatschappelijke ondersteuning. Deze moet worden stopgezet. Het Wmo register bij het InlichtingenBureau. De klant moet op Wmo nee worden gezet. Het CAK voor het stopzetten van eigen bijdragen en de SVB voor het stopzetten van financiering via PGB’s. Deze worden geïnformeerd via een abonnement op het Wmo register. Het iWmo standaard bericht WMO307 Wmo-Beëindiging-MutatieOndersteuning De melding door de aanbieder aan de gemeente dat de ondersteuning is beëindigd, of dat de ondersteuning is gewijzigd. Dit is weergegeven in de volgende figuur.
WMO307
Pagina 16 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
3
iWmo standaard: berichten tussen gemeenten en aanbieders Op 1 juli 2014 is de standaard iWmo gepubliceerd. Deze standaard ondersteunt de berichtenuitwisseling tussen gemeenten en aanbieders. Door de hervorming neemt het aantal aanbieders (voorheen AWBZ) dat met gemeenten te maken krijgt toe. De communicatie tussen gemeenten en aanbieders over klanten en de geleverde ondersteuning, zal daardoor in omvang aanzienlijk toenemen. De iWmo-standaard is ontwikkeld voor het digitaliseren van deze communicatie en het spreken van dezelfde taal. Dit bevordert de snelheid, helpt fouten te voorkomen en bespaart uitvoeringskosten. De iWmo-standaard bestaat uit landelijke afspraken over techniek en taal voor de communicatie tussen aanbieder en gemeente over de maatwerkvoorziening voor de burger. Dit resulteert in: Maximale flexibiliteit en beperking uitvoeringskosten. Standaardisatie administratieve processen in het sociale domein. Afstemming in de ketens van het sociaal domein en de zorg
3.1
De berichten uit de iWmo-standaard De iWmo-standaard bestaat uit 7 berichten met hun retourbericht. Voor vier van deze berichten zijn specificaties opgesteld en wordt technische ondersteuning gegeven. Het gaat om: Berichtcode
Naam
Functie
WMO301
Wmo-Toewijzing
De opdracht van de gemeente aan de aanbieder om de ondersteuning te bieden.
WMO303
Wmo-Declaratie
Het bericht van de aanbieder dat hij betaald wil worden voor de geleverde ondersteuning met de specificatie van de geleverde diensten.
WMO305
WmoAanvangOndersteuning
De melding van de aanbieder dat levering van de ondersteuning is gestart.
WMO307
Wmo-BeëindigingMutatieOndersteuning
De melding door de aanbieder aan de gemeente dat de ondersteuning is afgerond, of dat de ondersteuning is gewijzigd.
Voor drie andere berichten zijn ook specificaties opgesteld, maar wordt geen technische ondersteuning gegeven. Deze betreffen: WMO309: Wmo-Wachtlijst. WMO311: Wmo-Indicatie. WMO313: Wmo-AanvraagIndicatie. Om te kunnen werken met de standaard hoeven niet alle berichten te worden gebruikt. Afhankelijk van de gemaakte procesafspraken wordt een keuze voor de te gebruiken berichten gemaakt. Het is aan de gemeenten hieraan invulling te geven.
Pagina 17 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
3.2
De retourberichten uit de iWmo-standaard Berichten met de codes WMO302, WMO304, WMO306, WMO308, WMO310, WMO312 en WMO314 betreffen respectievelijk de retourberichten met de ontvangstbevestiging behorend bij de bovengenoemde berichten. Het gebruik van deze retourberichten is verplicht. Het retourproces gaat dan als volgt: Code
Functie
1a
Het bericht is technisch niet correct: Vecozo stuurt een retourbericht met foutmelding naar de verzender.
1b
Het bericht is technisch correct: Vecozo stuurt het bericht door naar de ontvanger. De ontvanger controleert de inhoud.
2a
Het bericht is inhoudelijk correct: de ontvanger stuurt het retourbericht als ontvangstbevestiging.
2b
Het bericht is inhoudelijk niet correct: de ontvanger stuurt de foutmelding in het retourbericht.
In het onderstaande processchema is het Wmo-Declaratie (WMO303) bericht en het Wmo-Declaratie-Retour (WMO304 – 1a, 1b, 2a, 2b) bericht conform de bovenstaande tabel uitgewerkt, om het proces van de retourberichten te duiden.
3.3
Informatie in de iWmo-standaard berichten Een korte beschrijving van de inhoud van de vier iWmo-standaard-berichten. Het bericht Wmo-Toewijzing (WMO301) In dit bericht geeft de gemeente de aanbieder de opdracht tot levering van ondersteuning voor een specifieke klant. De adressering van het bericht hangt af van de afspraken die de aanbieder daarover met de gemeente heeft gemaakt. Het bericht bevat technische gegevens en inhoudelijke. Van de inhoudelijke gegevens is de kern: BSN en NAW van de cliënt. De te leveren ondersteuning, zoals die door de gemeente is bepaald (conform de beschikking):
Pagina 18 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
a.
•
De productcategorie: de soort ondersteuning dat geleverd moet worden conform de afspraak met de gemeente. Hiervoor is een landelijke tabel opgesteld met coderingen op het niveau van hoofdcategorieën van maatwerkvoorzieningen. b. De productcode, dit is de specificatie van de productcategorie. Hiervoor wordt een landelijke tabel opgesteld die optioneel is Het volume van de ondersteuning: a. De eenheid waarin het volume is uitgedrukt: tijd, geld, stuks, aantal. b. Het volume. c. De ingangsdatum van de ondersteuning. d. De einddatum van de ondersteuning.
Het bericht WMO-Declaratie (WMO303) Dit bericht stuurt de aanbieder naar de gemeente. De adressering van het bericht hangt af van de werkwijze van de gemeente en van de afspraken die de gemeente met de aanbieder heeft gemaakt. Het bericht bevat de noodzakelijke gegevens waarop de factuur is gebaseerd: de uitgevoerde prestatie/geleverde ondersteuning, het bedrag, tijdvak ed. Kern van dit bericht: • BSN en NAW van de klant waaraan de ondersteuning is geleverd. • De productcategorie: de soort ondersteuning die geleverd is. • Optioneel: de productcode, dit is de specificatie van de productcategorie. • De periode waarover gedeclareerd wordt. • Het bedrag. Het bericht Wmo-AanvangOndersteuning (WMO305) Dit bericht stuurt de aanbieder zodra de ondersteuning is gestart. Kern van het bericht is: • BSN en NAW van de klant waaraan de ondersteuning is geleverd. • Het soort (productcategorie en eventueel –code) en de omvang (volume) van de ondersteuning die gestart is. • Begindatum van levering van de ondersteuning. Het bericht Wmo-Beëindiging-MutatieOndersteuning (WMO307) Dit bericht stuurt de aanbieder zodra de ondersteuning wordt beëindigd of wanneer er sprake is van een mutatie in de ondersteuning. Hij geeft daarin aan wat de reden van beëindiging of mutatie is. Kern van het bericht is: • BSN en NAW van de klant waaraan de ondersteuning is geleverd. • Mutatiecode: de reden van mutatie of beëindiging. • De wachtstatus van de cliënt. • Datum waarop de mutatie of beëindiging heeft plaatsgevonden.
Pagina 19 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
4
Privacy en informatiebeveiliging
De Wbp is van toepassing op uit te wisselen persoonsgegevens. In de langdurige zorg en maatschappelijke ondersteuning gaat het om zeer vertrouwelijke gegevens (vroeger klasse 3) van kwetsbare groepen uit de samenleving. Met betrokken partijen (bronhouders, eindgebruikers en de eigenaar van de voorzieningen) moeten afspraken worden gemaakt hoe met medische gegevens van burgers om te gaan. De juridische aspecten van het uitwisselen van informatie van de zorg naar de generieke voorzieningen zijn getoetst. Uitkomst is dat uitwisseling van de betreffende gegevens is toegestaan, mits er sprake is van doelbinding en wordt voldaan aan privacy (PIA’s) en de beveiligingsrisico’s (A&K analyses) . Met andere woorden, gegevens die bijvoorbeeld in het kader van het verlenen van zorg zijn verzameld mogen worden gedeeld, mits deze de gegevens ook gebruiken in het kader van zorgverlening zoals bedoeld in de wetten. Verder wordt ervan uitgegaan dat de ketenpartijen de normenkaders 1 voor informatiebeveiliging hebben geïmplementeerd die op hun organisaties van toepassing zijn. Denk voor: gemeenten bijvoorbeeld aan de BIG, het CAK, CIZ en de SVB aan de BIR, organisaties in het private domein (zorgkantoren, zorgaanbieders) aan de ISO/NEN 27001/27002 normen. Voorzieningen moeten daarom worden getoetst. Dit geldt ook voor berichtenverkeer rondom Wlz indicaties, waar medische gegevens worden uitgewisseld.
4.1
Privacy Daar bij de iWmo-standaard-berichten met gevoelige medische gegevens van burgers wordt gewerkt, is de bescherming van de privacy 2 van de betrokkenen van het grootste belang. Het gebruiken van deze gegevens moet daarom conform de reikwijdte van bestaande privacy wet- en regelgeving (Wbp) gebeuren. Daarnaast moet ook naar de voorgestelde Europese privacy verordening (Epv) worden gekeken, die rechtstreeks op alle lidstaten van toepassing wordt. Deze uitgangssituatie leidt tot enkele te hanteren principes 3 en te volgen eisen bij het gebruik en uitwisselen van persoonsgegevens: Doelspecificatie: het doel waarvoor gegevens verzameld worden, moet worden aangegeven. Bij de iWmo-standaard-berichten worden geen gegevens verzameld. Het betreft meldingen van gebeurtenissen tussen gemeenten en aanbieders die nodig zijn voor de toewijzing van ondersteuning en het afhandelen van administratieve processen. Doelbinding: persoonsgegevens mogen alleen verstrekt worden voor gerechtvaardigde doeleinden. De persoonsgegevens worden alleen gebruikt bij de meldingen die relevant zijn in het afhandelen van de administratieve processen. Het gebruik van de persoonsgegevens in de administratieve processen van toewijzing, mutaties en declaraties is nodig, omdat anders niet duidelijk is om welke klant het gaat. Gegevensbeperking: alleen de vereiste persoonsgegevens worden verzameld. In paragraaf 3.3 is de inhoud van ieder bericht beschreven. De hierin beschreven
1
Zie ook IZO Architectuur hoofdstuk 3 over Informatiebeveiliging Zie ook IZO Architectuur hoofdstuk 3 over Privacy en gegevensbescherming 3 Deze principes zijn gebaseerd op de door OESO vastgestelde Privacy Guide Lines 2013 2
Pagina 20 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
objecten zijn nodig in de administratieve processen van toewijzing, mutaties en declaraties. De gebruikte informatie-objecten zijn geclassificeerd naar mate van vertrouwelijkheid en het benodigde niveau van authenticatie (MARIJ MP12). Toestemming: personen moeten toestemming geven voor het verzamelen, gebruik of onthullen van hun gegevens, tenzij dit in de wet anders is vastgelegd. In de berichten wordt onderscheid gemaakt tussen verplichte en optionele velden. Het gebruik van de verplichte velden is in de Wmo 2015 vastgelegd. Gegevenskwaliteit: persoonsgegevens moeten proportioneel zijn voor het gespecificeerde doel en bovendien dienen de gegevens accuraat, compleet en up to date te zijn. Het gebruik van de persoonsgegevens in de administratieve processen van toewijzing, mutaties en declaraties is nodig, omdat anders niet duidelijk is om welke klant het gaat. De uitgewisselde gegevens moeten accuraat, compleet en up to date zijn. Dit wordt m.b.v. kwaliteitscontroles getoetst. Anders leidt dit tot fouten in de administratieve afhandeling, met onjuiste financiële stromen of mogelijk zelfs fraude. Beveiliging: persoonsgegevens moeten worden beschermd tegen o.a. verlies, vernietiging en ongeautoriseerde toegang. Dit leidt tot eisen aan de identificatie, authenticatie en autorisatie bij de uitwisseling van gegevens in het berichtenverkeer. Gemeenten en aanbieders moeten kunnen vaststellen dat degene die berichten verstuurt volgens de wet daartoe bevoegd zijn (identificatie en authenticatie). De beveiliging van het berichtenverkeer over de infrastructurele knooppunten is opgenomen in de IZO-Architectuur Deel 3c over de knooppunten. Openheid: privacy policies moeten vrij beschikbaar zijn. Het gemeenten en aanbieders publiceren de privacy policies rondom de administratieve afhandeling middels de iWmo-standaard-berichten aan de klant en op de website. Rechten van de betrokkene: deze betrokkene moet ingelicht worden over het gebruik van zijn persoonsgegevens en moet bezwaar hiertegen kunnen maken. Dit hoeft niet wanneer dit in de wet anders is vastgelegd. Er wordt aan de klant om toestemming gevraagd. Accountability: iemand moet verantwoordelijk zijn voor het voldoen aan privacy policies. Gemeenten en aanbieders hebben bij voorkeur een privacy officer benoemd die verantwoordelijk is voor het privacy beleid. Daarnaast worden er audits uitgevoerd op het naleven van het privacy beleid. Ook worden er audits uitgevoerd voor het berichtenverkeer door de keten.
Om deze aspecten in kaart te brengen moet een Privacy Impact Assessment (PIA) worden uitgevoerd. De uitkomsten van de PIA en de hierboven beschreven maatregelen worden geadresseerd t.a.v. de iWmo-standaard-berichten. Deze verantwoordelijkheid is belegd bij de Wpb-verantwoordelijke van VWS. Deze uitkomsten leiden ook tot een aantal eisen t.a.v. van de te nemen maatregelen. Deze zijn: Gemeenten en aanbieders hebben vastgelegd welke informatie van de klant is vastgelegd, wie toegang tot die informatie heeft en wie toegang tot die gegevens hebben gehad. Gemeenten en aanbieders zijn er zeker van dat degene waarmee informatie wordt uitgewisseld is wie die zegt dat die is (identificatie en authenticatie). Daar de inhoud van de iWmo-standaard-berichten vertrouwelijke informatie betreft , worden berichten door de gehele keten op de transport laag encrypted over met TLS versleutelde verbindingen verzonden.
Pagina 21 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
4.2
Versleuteling op berichtniveau wordt vanwege kwaliteitscontroles nog niet toegepast. Wel geldt voor bijzondere gegevens dat deze beveiligd moeten worden tegen ongeoorloofd gebruik. Bewerkers moeten dan ten minste maatregelen treffen die ongeoorloofd toegang tot de inhoud van het bericht onmogelijk maakt. Vanuit de Epv gedachte registreren gemeenten en aanbieders welke gegevens zij van een klant vasthoudt, wie toegang tot die gegevens hebben en wie toegang tot die gegevens hebben gehad.
Maatregelen in de informatiebeveiliging De voorzieningen die door het programma worden gerealiseerd moeten voldoen aan maatregelen van de wettelijke vereisten voor informatiebeveiliging. Kader stellend hierbij zijn de Baseline Informatiebeveiliging Rijksdienst4, de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG5), het beveiligingskatern van de NORA 6, het VIR-BI7 en standaarden NEN 270018 en NEN 75109. In dit kader is ook de Concept AMvB10 bij Wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens relevant, waarin aanvullende (NEN–) normen genoemd worden. Naast het ontwikkelen van de communicatie-infrastructuur – die gebruikt wordt bij het verzamelen en uitwisselen van gegevens zelf – heeft dit ook zijn weerslag op de beheerstaken van de voorzieningen. Daarnaast moeten ook gemeenten en aanbieders van maatschappelijke ondersteuning binnen de eigen organisatie beveiligingsmaatregelen treffen. Het spreekt vanzelf dat de verzendende partij maatregelen treft om te garanderen dat de verzonden berichten vrij zijn van virussen en andere ongerechtigheden. De gegevensverwerkende apparatuur van de ketenpartijen dient lege artis up to date en vrij van mal- en spyware te worden gehouden. Partijen voldoen aan de aansluitvoorwaarden van de voorziening dat jaarlijks in een EDPaudit wordt getoetst volgens een in het normenkader vervatte verantwoordingsrichtlijn. Deze maakt het mogelijk om de uitkomsten van de EDP-audits onderling te vergelijken.
4.3
Checklist t.a.v. privacy en informatiebeveiliging Bovenstaande eisen leiden tot de volgende checklist van maatregelen die gemeenten en aanbieders in ieder geval moeten nemen: Gemeenten en aanbieders bepalen op basis van identificatie en authenticatie welke berichten naar wie worden gestuurd (autorisatie). Gemeenten en aanbieders publiceren hun privacy policies op hun website Gemeenten en aanbieders hebben een privacy en/of security officer aangesteld die verantwoordelijk is voor de naleving en verantwoording van bovengenoemde maatregelen. Jaarlijks vindt een EDP-audit plaats waarvan de resultaten openbaar worden gemaakt. Er wordt filtering toegepast (bijvoorbeeld: valt deze postcode binnen de opvragende gemeente), white - of black listing (TV-sterren, bekende voetballers, leden van het koninklijk huis, etc.). De sturing voldoet aan het NORA katern ‘Keten is de baas’. 4
http://www.wikixl.nl/wiki/ictu/index.php/Component_baseline_informatiebeveiliging_Rijksdienst http://www.kinggemeenten.nl/king-kwaliteitsinstituut-nederlandse-gemeenten/over-king/nieuws/2013/king-publiceertbaseline-informatiebeveiliging-nederlandse-gemeenten 6 http://e-overheid.nl/onderwerpen/e-overheid/988-factsheet-informatiebeveiliging 7 VIR-BI betreft bijzondere informatie, zoals staatsgeheimen en overige bijzondere informatie waarvan kennisname door niet gerechtigden nadelige gevolgen kan hebben voor de belangen van de Staat, van zijn bondgenoten of van één of meer ministeries. Zie http://wetten.overheid.nl/BWBR0016435/geldigheidsdatum_05-06-2013 8 ISO 27001 is een ISO standaard voor informatiebeveiliging 9 De norm NEN 7510 is een door het Nederlands Normalisatie-instituut ontwikkelde norm voor Informatiebeveiliging voor de zorgsector in Nederland 10 http://www.rijksoverheid.nl/documenten-en-publicaties/besluiten/2013/11/19/concept-amvb-bij-wetsvoorstel-clientenrechtenbij-elektronische-verwerking-van-gegevens.html 5
Pagina 22 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
5
iWmo-standaard-berichten volgens berichtenverkeer Informatie wordt middels berichtenverkeer van gemeenten naar aanbieders en visa versa gerouteerd. Berichtenverkeer betekent het versturen van informatie op een geautomatiseerde en digitale wijze. In de tekening is een voorbeeld van het versturen van een bericht van een aanbieder van maatschappelijke ondersteuning naar een gemeente. Het knooppunt is een samenspel van VECOZO, Digipoort en het gemeente knooppunt.
Gegevensuitwisseling vindt plaats op twee mogelijke alternatieven. Via een web services of via een web portaal. De route van berichtenverkeer via web services verdient de voorkeur (zeker bij grotere volumes), echter ook een bevraging een web portaal is mogelijk.
5.1
Informatie-uitwisseling via web services In de tekening is gegevensuitwisseling via web services getekend. De verzender (in dit geval een aanbieder) biedt informatie (web) services aan, welke door de gemeente wordt ontvangen. Deze uitwisseling verloopt via geautomatiseerd berichtenverkeer. Om dit mogelijk te kunnen maken, moeten aanbieders een VSP-koppeling en gemeenten een DigiKoppeling realiseren, zodat informatie kan worden uitgewisseld.
5.2
Informatie-uitwisseling via een web portaal Er is een aantal kleine zorgaanbieders met een beperkt aantal klanten. Voor deze aanbieders is het te kostbaar om een VSP-koppeling met berichtenverkeer te realiseren. Voor deze instellingen wordt een alternatieve route – via een web portaal – geboden om informatie uit te wisselen. Zo kunnen bij informatie-uitwisselingen: Beide partijen gebruik maken van webservices. Beide partijen gebruik maken van het webportaal. Een partij gebruik maken van webservice en de ander van een webportaal.
5.3
Rapportage afname over het gebruik van iWmo-standaard-berichten Het IB levert rapportages over welke gemeenten wel en geen gebruik maken van het iWmo-standaard-berichten verkeer via web services of het web portaal.
5.4
Identificatie, authenticatie en autorisatie bij berichtenverkeer en web portaal Gemeenten en aanbieders zijn er zeker van dat verzender die berichten stuurt is wie die zegt dat die is (identificatie en authenticatie via eHerkenning). Dit wordt per gemeente en
Pagina 23 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
aanbieder gelogd, op zijn minst op organisatie niveau, maar per voorkeur per geanonimiseerde gebruiker. Deze dienst (controle van de authenticiteit van afzenders en geadresseerden van berichten) wordt geleverd door de informatieknooppunten (IB, VECOZO en Digipoort) in de keten. Deze informatie (controle authenticiteit van aanvrager) wordt door de informatieknooppunten toegevoegd aan de metadata van het bericht. Op basis hiervan kunnen gemeenten en aanbieders vertrouwen dat de controle is uitgevoerd en juist is.
5.5
De tracking, tracing, logging en audittrails van berichten De informatie knooppunten leveren diensten t.b.v. tracking en tracing. Geautoriseerde afnemers in de keten kunnen van deze diensten gebruik maken bij het opsporen en volgen van de berichten die zijn verzonden. D.m.v. statuswijzigingen verkrijgen afnemers inzicht in de huidige stand van zaken. De uitgevoerde processtappen worden hierbij d.m.v. statusveranderingen vastgelegd. Er wordt een historie van statusveranderingen (logging van welke processtappen en bewerkingen wanneer hebben plaatsgevonden) bijgehouden. Hierop kunnen audits worden uitgevoerd.
5.6
Encryptie bij opslag en verzenden van berichten De versleuteling van het berichtenverkeer kan op twee niveaus plaatsvinden, namelijk op transportniveau en op berichtniveau. Op transportniveau wordt versleuteling toegepast d.m.v. het SSL/TLS protocol. Bij opslag worden gegevens encrypted opgeslagen. Berichten worden op berichtenniveau encrypted uitgewisseld. De inhoudelijke kwaliteitscheck van de berichten worden via XML tabellen bij zowel de verzender als afnemer getoetst.
Pagina 24 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
6
Gebruikte knooppunten bij de iWmo-standaard-berichten Om de gegevensuitwisseling middels berichtenverkeer tussen de vele ketenpartijen af te handelen is onderkend dat er knooppunten nodig zijn. Wordt dit verkeer zonder knooppunten ingericht, ontstaat er een explosief aantal verbindingen tussen de ketenpartijen. Door het gebruik van knooppunten hoeven ketenpartijen niet meer met iedere ketenpartij een eigen verbinding te realiseren, maar worden het berichten langs een knooppunt gerouteerd waarop de andere ketenpartijen ook zijn aangesloten. Zo kunnen berichten van afzenders naar afnemers worden gestuurd en worden administratieve kosten aanzienlijk bespaard, immers iedere ketenpartij hoeft nog maar één koppeling te realiseren i.p.v. een koppeling met iedere ketenpartner. Daarnaast kunnen koppelingen die eenmaal gerealiseerd zijn ook hergebruikt worden voor ander berichtenverkeer met aangesloten ketenpartijen. In de IZO Architectuur (Deel 3c – Knooppunten) is de architectuur van de knooppunten uitgewerkt. Het berichtenverkeer verloopt via deze infrastructuur. De doelarchitectuur en PSA voor de knooppunten is daarmee impliciet onderdeel van deze PSA.
6.1
Overzichtsplaat van de knooppunten voor de afhandeling van berichtenverkeer De bij de maatschappelijke ondersteuning en langdurige zorg betrokken ketenpartijen bevinden zich zowel in het publieke domein (CIZ, CAK, SVB en gemeenten) als het private domein ((zorg)aanbieders, zorgkantoren en zorgverzekeraars). De ketenpartijen in het publieke – en private domein hebben daarin verschillende verantwoordelijkheden. Daarbij hebben deze domeinen – zeker bij de uitwisseling van gegevens in de ketens – veel met elkaar te maken. Daarom worden twee knooppunten ingericht en een koppelpunt tussen deze knooppunten: Een knooppunt voor gemeenten die berichten voor gemeenten afhandelt via het DigiNetwerk. Een knooppunt in het private domein (het verkeer in de zorg) die berichten via het Internet naar de private ketenpartners (zorgkantoren, (zorg)aanbieders en zorgverzekeraars) routeert. Een koppelpunt dat de uitwisseling van berichten tussen het publieke – en private domein vertaalt en routeert.
In de figuur is een overzichtsplaat getekend van de gehele infrastructuur van knooppunten voor de gegevensuitwisseling en het berichtenverkeer in het Wlz, Wmo en Zvw domein. Voor de iWmo-standaard-berichten zijn alleen de gemeenten, aanbieders en knooppunten (VECOZO, Digipoort en het IB) relevant.
Pagina 25 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
6.2
Afhandeling van berichtenverkeer voor de iWmo-standaard berichten In de onderstaande figuur is de route van de iWmo-standaard berichten door de informatie knooppunten geschetst.
WMO301
Het betreft de route van gemeenten naar aanbieders van maatschappelijke ondersteuning (WMO301) of visa versa (WMO303, WMO305 en WMO307). Het WMO301 bericht wordt vanaf de DigiKoppeling van een gemeente via DigiNetwerk naar de Digikoppeling van het Inlichtingenbureau (feitelijk wordt de DigiKoppeling van RINIS gebruikt) gestuurd. Het Inlichtingenbureau routeert het bericht vervolgens naar RINIS alwaar het bericht wordt vertaald van een DigiKoppeling envelop naar een VSP (VECOZO Schakelpunt) envelop. Vervolgens wordt het bericht via de VSP-koppeling van RINIS naar VECOZO gestuurd. Via het VECOZO knooppunt wordt het tot slot via een beveiligd internet naar de VSP koppeling van de aanbieder gestuurd. Voor de WMO303, WMO305 en WMO307geldt dezelfde route, maar dan in omgekeerde richting.
6.3
Afhandeling van berichtenverkeer voor de iWmo-standaard-retour berichten Op dezelfde wijze is de route van de iWmo-standaard-retour berichten beschreven.
WMO304 1a WMO304 2a/2b WMO303 WMO304 1b
In de figuur is de route van WMO304 getekend als routerbericht van WMO303 (in rood). Het laat de WMO304 berichten 1a (blauw), 1b (rood) en 2a en 2b (blauw), zoals getekend in het processchema in paragraaf 3.2 op pagina 18.
Pagina 26 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
7
Gebruik van de iWmo-standaard-berichten
Gemeenten en aanbieders zijn in hun administratieve processen van elkaar afhankelijk. Met o.a. de iWmo-standaard-berichten wordt deze afhankelijkheid beschreven. Daarom worden er eisen gesteld aan de beschikbaarheid, integriteit en vertrouwelijkheid van deze service. Deze eisen en de frequentie van rapporteren over de performance worden vastgelegd in een service level agreement (SLA). Deze wordt ingevuld door de knooppunten, maar ook door de beschikbaarheid van de voorzieningen bij de gemeenten en aanbieders zelf.
7.1
Beschikbaarheid De iWmo-standaard-berichten worden gebruikt in de administratieve verwerking van de Wmo. Wanneer deze diensten niet beschikbaar zijn, kunnen administratieve processen niet worden opgestart. Dit is lastig, maar overkomelijk. In de SLA worden met de ketenpartijen afspraken gemaakt over de termijnen dat de elektronische bevraging bij het uitvallen van de service niet beschikbaar mag zijn. Komt het niet beschikbaar zijn buiten deze termijn, dan wordt een alternatieve gegevensuitwisseling aangeboden.
7.2
Integriteit Wanneer de informatie in de iWmo-standaard-berichten niet klopt, wordt het risico gelopen dat bij: Foute zorg wordt verleend, Zorg niet op tijd wordt opgestart of wordt stopgezet, Mutaties of wijzigingen niet door komen, Declaraties niet kloppen of over onjuiste perioden wordt gedeclareerd. Daarom moeten kwaliteitscontroles worden ingebouwd.
7.3
Vertrouwelijkheid Wanneer de vertrouwelijkheid (ongewenste toegang) van de iWmo-standaard-berichten in het geding is, wordt het risico gelopen dat medische indicatie gegevens op straat komen te liggen. De privacy van klanten is daarmee in het geding, waarmee de politieke en ambtelijke top in de problemen kunnen komen. Daarom wordt hier via PIA's en A&K analyses aandacht aan geschonken. In de knooppunten (IZO Architectuur, Deel 3c) zijn voldoende maatregelen genomen t.b.v. de iWmo berichten.
7.4
Beheer Het beheer van de Wlz indicatie ja/nee service is belegd bij het CIZ.
Pagina 27 van 28
IZO Architectuur Deel 3a: Doelarchitectuur voor de iWmo-standaard-berichten
8
Checklist voor de IZO Architectuurboard
Hieronder is een checklist opgenomen van zaken waarop de IZO Architectuurboard de opgeleverde oplossing van de voorziening van Wlz indicatie zal toetsen. Informatie De iWmo-standaard-berichten leveren de informatie, zoals die beschreven is. Diensten Het gemeenten het WMO301 bericht kunnen leveren en dat aanbieders de WMO303, WMO305 en WMO307 berichten kunnen leveren. Informatie-uitwisseling Voor een aantal gemeenten en aanbieders, die (nog) geen berichtenverkeer via web services kunnen afhandelen, wordt als alternatieve route een up-/downfunctie via een web portaal geboden. Privacy en informatiebeveiliging Gemeenten en aanbieders hebben de volgende maatregelen genomen: Er is vastgelegd welke informatie van de klant is vastgelegd, wie toegang tot die informatie heeft en wie toegang tot die gegevens hebben gehad (Epv). Op basis van identificatie en authenticatie (eHerkenning) wordt vastgesteld dat de verzender die berichten stuurt is wie die zegt dat die is. Daar iWmo-standaard-berichten vertrouwelijke informatie betreffen , worden berichten door de gehele keten over een Encrypted transport laag verzonden. Gemeenten en aanbieders publiceren de privacy policies rondom administratieve afhandeling voortvloeiend uit de iWmo-standaard-berichten aan de klant en op de website. Er is per organisatie een privacy officer benoemd die verantwoordelijk is voor privacy. Daarnaast worden er audits uitgevoerd op het naleven van de privacy policies. Ook worden er audits uitgevoerd voor het berichtenverkeer door de keten heen. Gemeenten en aanbieders voldoen aan de Baseline Informatiebeveiliging Rijksdienst (BIR) en/of de ISO/NEN 27001/27002 normen. Een beveiliging officer is verantwoordelijk is voor informatiebeveiliging. Daarnaast worden er audits uitgevoerd op het naleven van de informatiebeveiligingsbeleid. Jaarlijks vindt een EDP-audit plaats waarvan de resultaten openbaar worden gemaakt. Er wordt filtering toegepast (bijvoorbeeld: valt deze postcode binnen de opvragende gemeente), white - of black listing (TV-sterren, bekende voetballers, leden van het koninklijk huis, etc.). Infrastructurele knooppunten De infrastructurele knooppunten die op de Wlz indicatie berichten van toepassing zijn, is in de IZO Architectuur (Deel 3c PSA – Knooppunten) uitgewerkt. De PSA voor de knooppunten en de checklist uit die PSA is daarmee impliciet onderdeel van deze PSA. Gebruik van de iWmo-standaard-berichten Er zijn maatregelen nodig t.b.v. de beschikbaarheid van de berichtenservice tussen ketenpartijen. Gezien de aard van de berichten (administratieve afhandeling) is t.b.v. de beschikbaarheid is een adequate back up procedure voldoende.
Pagina 28 van 28