Access Policy

Inleiding:

Dit artikel beschrijft de Access Policy voor geboortezorg. In het Access policy (Applicatielaag) worden technische afspraken gemaakt over de toegang tot geboortezorggegevens. Deze zijn gebaseerd op functionele afspraken over toegang zoals opgenomen in het artikel toegangsbeleid (Informatielaag).

6.1 Geboortezorg

6.1.1 Service naam

zorginzage-geboortezorg

6.1.2 Access policy zorginzage-geboortezorg

6.1.2.1 Niet-persoonsgebonden resources

Niet van toepassing.

6.1.2.2 Persoonsgebonden resources

Het ophalen van geboortezorggegevens vereist een geregistreerd autorisatie-record in de vorm van een Nuts Authorization Credential. Het credential moet voldoen aan de volgende eisen:

  • De issuer moet het DID bevatten van de bronhouder.

  • credentialSubject.id moet het DID van de afnemer bevatten.

  • credentialSubject.purposeOfUse moet gelijk zijn aan zorginzage-geboortezorg.

  • credentialSubject.legalBase.consentType moet gelijk zijn aan implied bij veronderstelde toestemming of explicit bij expliciete toestemming

  • credentialSubject.subject moet het BSN bevatten als OID: urn:oid:2.16.840.1.113883.2.4.6.3:999999990.

De Zorginzage-geboortezorg access policy geeft alleen toegang tot gegevens die zijn gerelateerd aan de EpisodeOfCare-resources die onder resources vermeld staan in het credential. Het resources-element van het autorisatie-record moet minimaal 1 element bevatten dat het relatieve pad naar de EpisodeOfCare-resource van het geboortezorgtraject bevat, conform:



{

path: /EpisodeOfCare/[ID], 

operations: ["read"], 

userContext: true 

}



Bij de aanvraag van het access token moet het credential volgens bovenstaande eisen meegestuurd worden in het credentials-veld. Daarnaast moet er gebruikersinformatie meegestuurd worden in het usi veld. Het purposeOfUse veld moet de waarde zorginzage-geboortezorg bevatten.



Wanneer een bronhouder een binnenkomend request afhandelt, moet op basis van de bsn en de EpisodeOfCare-ID die genoemd zijn in het autorisatie-record toegang worden gegeven tot de volgende gerelateerde resources:

  1. Patient-resource van de vrouw/moeder, behorende bij bsn in element credentialSubject.subject van autorisatie-record

  2. EpisodeOfCare-resource die is genoemd in resources-element van autorisatie-record

  3. Condition-resources gerelateerd aan EpisodeOfCare-resource genoemd in 2

  4. Observation-resources gerelateerd aan EpisodeOfCare-resource genoemd in 2

  5. Encounter-resources gerelateerd aan EpisodeOfCare-resource genoemd in 2

  6. Procedure-resources gerelateerd aan EpisodeOfCare-resource genoemd in 2

  7. Patient-resource van het kind, dat subject is van een Procedure-resource van type "Geboorte" die plaats vindt binnen de context van de EpisodeOfCare-resource genoemd in 2

De Zorginzage-geboortezorg access policy verplicht de bronsysteem tot het toepassen van search narrowing. Voor binnenkomende generieke requests (bijv. /Patient) geldt:

  • Het response bevat alleen de 1 of meer Patient-resources waarvoor de Afnemer op basis van het autorisatie-record en de access policy toegang heeft

  • De response heeft het verwachte formaat voor het binnenkomende request. Bijv. een binnenkomend request "/Patient" of "EpisodeOfCare" dient een response in de vorm van een bundle op te leveren



In de tabel hieronder wordt verduidelijkt op welke wijze search narrowing dient te worden toegepast. De linkerkolom beschrijft de requests die de afnemer kan versturen. De rechterkolom beschrijft hoe deze requests in relatie tot de autorisatie-records door de bronhouder dienen te worden uitgevoerd.



Door afnemer te versturen request

Door bronhouder uit te voeren request

GET Patient

Vrouw: GET Patient?identifier=http://fhir.nl/fhir/NamingSystem/bsn|[bsn uit autorisatie-record]



Kind: GET Patient?_has:Procedure:patient:code=http://snomed.info/sct|3950001 

GET EpisodeOfCare

GET EpisodeOfCare/[EpisodeOfCare-ID uit autorisatie-record]

GET Condition

GET Condition?context=EpisodeOfCare/[EpisodeOfCare-ID uit autorisatie-record]

GET Observation

GET Observation?context=EpisodeOfCare/[EpisodeOfCare-ID uit autorisatie-record]

GET Encounter

GET Encounter?context=EpisodeOfCare/[EpisodeOfCare-ID uit autorisatie-record]

GET Procedure

GET Procedure?context=EpisodeOfCare/[EpisodeOfCare-ID uit autorisatie-record]



6.1.3 Intrekken autorisatie

Er zijn verschillende redenen denkbaar voor het intrekken van een autorisatie:

  • Wanneer een autorisatie is gebaseerd op een expliciete toestemming dient deze te worden ingetrokken wanneer de expliciete toestemming wordt beëindigd.

  • Wanneer een autorisatie is gebaseerd op een verwijzing dient deze te worden ingetrokken wanneer het niet langer nodig of gewenst is voor de afnemer om gegevens op te halen. 

Het autorisatie-record moet in deze gevallen worden ingetrokken door de bronhouder.