Zorgtoepassingprofiel Geboortezorg

  • 20-04-2023

    • Toelichtende tekst bij “Toegestane authenticatiemiddelen“ bijgewerkt.

  • 30-03-2022

    • Eerste publicatie artikel

VERSIE: 20-04-2023 STATUS: consultatie

Let op
Dit artikel wordt op dit moment gereviseerd. Aanvullingen/aanpassingen in ontwikkeling:

  • Authenticatie: introductie van het groeipad t.o.v. de werkwijze op dit moment.

Toelichting
Dit artikel beschrijft het zorgtoepassingprofiel geboortezorg. Dit behelst de specifieke afspraken die, aanvullend aan de Nuts Bolt Zorginzage 2022, gelden voor de zorgtoepassing geboortezorg.

Dit artikel beschrijft achtereenvolgens

  • de identifier van de zorgtoepassing;

  • de governance;

  • de informatiestandaarden;

  • de toegestane authenticatiemiddelen;

  • de toegestane grondslagen;

  • benaming actoren; en

  • de access policy.

Hierbij wordt waar mogelijk verwezen naar andere onderdelen van het Afsprakenstelsel Interoperabiliteit Geboortezorg.

 

Identifier van de zorgtoepassing

De identifier van de zorgtoepassing Geboortezorg is 'zorginzage-geboortezorg'.

Governance

De inrichting van de governance wordt beschreven in de Innovatie- & Beheercyclus Gegevensuitwisseling Geboortezorg. Hierin worden het beheer en de doorontwikkeling van de standaarden en afspraken duidelijk vastgelegd.

Informatiestandaarden

Toegestane authenticatiemiddelen

Om veilig gegevens te kunnen delen, tussen verschillende zorgaanbieders, is zorgaanbieder-overstijgende authenticatie van zorgverleners essentieel. Vanuit de NEN wordt gewerkt aan een norm met betrekking tot identificatie en authenticatie. Op het moment dat deze norm gepubliceerd wordt, is deze norm leidend. Om op korte termijn informatie uitwisseling mogelijk te maken kan, tot publicatie van de norm, gebruik gemaakt worden van diverse groeipaden om authenticatie van zorgverleners te borgen.

Om te waarborgen dat het groeipad past en voldoet aan wensen van eindgebruikers, wordt deze samen met eindgebruikers opgesteld.

Toegestane grondslagen en bewijzen

Voor de zorgtoepassing geboortezorg worden de volgende grondslagen ondersteund:

  • ‘expliciete toestemming vooraf’

  • ‘veronderstelde toestemming’

In een later stadium kan onder de in de Nuts Bolt Zorginzage beschreven voorwaarden desgewenst de ‘Wabvpz-toestemming vooraf’' worden toegevoegd.

Voor ‘expliciete toestemming vooraf’ zijn de volgende bewijzen toegestaan:

  • registratie in het bronsysteem (bijvoorbeeld door middel van een 'vinkje')

  • ingescand, door de betrokkene ondertekend, toestemmingsformulier

Voor ‘veronderstelde toestemming’ zijn de volgende bewijzen toegestaan:

  • registratie in het bronsysteem

  • mondeling gegeven toestemming

Benaming actoren

De actoren in de Nuts Bolt Zorginzage kunnen als volgt aan de actoren in het Afsprakenstelsel Interoperabiliteit Geboortezorg worden gerelateerd.

Nuts Bolt Zorginzage

Afsprakenstelsel Interoperabiliteit Geboortezorg

Nuts Bolt Zorginzage

Afsprakenstelsel Interoperabiliteit Geboortezorg

Afnemersysteem

Het afnemersysteem is een geheel van applicaties dat bestaat uit de volgende actoren uit het Afsprakenstelsel Interoperabiliteit Geboortezorg:

  • Requestor

  • Viewer

  • Query Builder

  • Translator

Nuts-node van afnemer

Knooppunt van afnemer

Bronsysteem

Het bronsysteem is een geheel van applicaties dat de gegevens van de bronhouder beheert dat bestaat uit de volgende actoren uit het Afsprakenstelsel Interoperabiliteit Geboortezorg:

  • Registrator

  • Extractor

  • Convertor

  • Resource Server

Nuts-node van bronhouder

Knooppunt van bronhouder

Beschikbaarheid

  • Iedere partij die de zorgtoepassing geboortezorg aanbiedt is zelf verantwoordelijk voor de beschikbaarheid van de eigen infrastructuur, het bron- en/of afnemersysteem en de Nuts-node.

  • Bronhouders zorgen voor beschikbaarheid van alle componenten die onderdeel uitmaken van de Nuts Bolt Zorginzage conform de eisen aan Beschikbaarheid, Integriteit en Vertrouwelijkheid zoals opgenomen in het artikel Actoren van het Afsprakenstelsel Interoperabiliteit Geboortezorg.

Access Policy

Niet-persoonsgebonden resources

Momenteel niet van toepassing.

Persoonsgebonden resources

Dit hoofdstuk beschrijft de afspraken die gelden voor persoonsgebonden resources.

Autorisatie-record

Het ophalen van geboortezorggegevens vereist een geregistreerd autorisatie-record in de vorm van een Nuts Authorization Credential. Het credential moet voldoen aan de volgende eisen:

  • De issuer moet het DID bevatten van de bronhouder.

  • credentialSubject.id moet het DID van de afnemer bevatten.

  • credentialSubject.purposeOfUse moet gelijk zijn aan zorginzage-geboortezorg.

  • credentialSubject.legalBase.consentType moet gelijk zijn aan implied bij veronderstelde toestemming of explicit bij expliciete toestemming

  • credentialSubject.subject moet het BSN bevatten als OID: urn:oid:2.16.840.1.113883.2.4.6.3:999999990.

Normatieve einddatum autorisatie

Bij het aanmaken van een autorisatie-record dient door middel van het veld 'expirationDate' een einddatum aan de autorisatie te worden gegeven. Ten eerste dient deze einddatum gebaseerd te zijn op de wensen van de cliënt in kwestie. De zorgverlener dient de cliënt te vragen naar de gewenste duur van een toestemming. Wanneer de wens van de cliënt ten aanzien van de duur van de toestemming niet is vastgelegd, gelden de volgende normen

  • Bij een 'expliciete toestemming vooraf' is de einddatum van de autorisatie gelijk aan de huidige datum plus 365 dagen.

    • Dit is gebaseerd op de reguliere duur van een zwangerschap plus de nazorgperiode

  • Bij een 'veronderstelde toestemming' is de einddatum van de autorisatie gelijk aan de huidige datum plus 365 dagen.

    • Dit is gebaseerd op de reguliere duur van een zwangerschap plus de nazorgperiode

Intrekken autorisatie

Er zijn verschillende redenen denkbaar voor het intrekken van een autorisatie:

  • Wanneer een autorisatie is gebaseerd op een expliciete toestemming dient deze te worden ingetrokken wanneer de expliciete toestemming wordt ingetrokken.

  • Wanneer een autorisatie is gebaseerd op een verwijzing dient deze te worden ingetrokken wanneer het niet langer nodig of gewenst is voor de afnemer om gegevens op te halen.

Het autorisatie-record moet in deze gevallen worden ingetrokken door de bronhouder. 

Access token

Bij de aanvraag van het access token moet het autorisatie-record volgens bovenstaande eisen worden meegestuurd in het credentials-element. Daarnaast moet er gebruikersinformatie meegestuurd worden in het usi-element. Het purposeOfUse-element moet de waarde 'zorginzage-geboortezorg' bevatten. 

Levensduur access token: 300 seconden (5 minuten)

Authenticatiecontract

Levensduur authenticatiecontract: 36.000 seconden (10 uur)

Resources

Bronhouders dienen alleen toegang te verlenen tot gegevens die zijn gerelateerd aan de EpisodeOfCare-resources die onder het resources-element vermeld staan in het autorisatie-record. Het resources-element van het autorisatie-record moet minimaal 1 element bevatten dat het relatieve pad naar de EpisodeOfCare-resource van het geboortezorgtraject bevat, conform:

{ path: /EpisodeOfCare/[ID],  operations: ["read"],  userContext: true }

Regels gegevenstoegang

Wanneer een bronhouder een binnenkomend request afhandelt, moet op basis van de BSN en de EpisodeOfCare-ID die genoemd zijn in het autorisatie-record toegang worden gegeven tot de volgende gerelateerde resources:

  1. Patient-resource van de vrouw/moeder, behorende bij BSN in element credentialSubject.subject van autorisatie-record

  2. EpisodeOfCare-resource die is genoemd in resources-element van autorisatie-record

  3. Condition-resources gerelateerd aan EpisodeOfCare-resource genoemd in 2

  4. Observation-resources gerelateerd aan EpisodeOfCare-resource genoemd in 2

  5. Encounter-resources gerelateerd aan EpisodeOfCare-resource genoemd in 2

  6. Procedure-resources gerelateerd aan EpisodeOfCare-resource genoemd in 2

  7. Patient-resource van het kind, dat subject is van een Procedure-resource van type "Geboorte" die plaats vindt binnen de context van de EpisodeOfCare-resource genoemd in 2

De toegang tot gegevens wordt niet bepaald aan de hand van zorgverlener-rol.

Search narrowing

Het bronsysteem is verplicht om search narrowing toe te passen. Voor binnenkomende generieke requests (bijv. /Patient) geldt:

  • Het response bevat alleen de gevraagde resources waar de afnemer op basis van de autorisatie-records en de access policy toegang tot heeft

  • Het response heeft het verwachte formaat voor het binnenkomende request. Bijv. een binnenkomend request "/Patient" of "/EpisodeOfCare" dient een response in de vorm van een bundle op te leveren

In de tabel hieronder wordt verduidelijkt op welke wijze search narrowing dient te worden toegepast. De linkerkolom beschrijft de requests die de afnemer kan versturen. De rechterkolom beschrijft hoe deze requests in relatie tot de autorisatie-records en de access policy door de bronhouder dienen te worden uitgevoerd.

Door afnemer te versturen request

Door bronhouder uit te voeren request

GET Patient

Vrouw: GET Patient?identifier=http://fhir.nl/fhir/NamingSystem/bsn|[BSN uit autorisatie-record]

Kind: GET Procedure?context=EpisodeOfCare/[EpisodeOfCare-ID uit autorisatie-record]&code=http://snomed.info/sct|3950001&_include=Procedure:subject

GET EpisodeOfCare

GET EpisodeOfCare/[EpisodeOfCare-ID uit autorisatie-record]

GET Condition

GET Condition?context=EpisodeOfCare/[EpisodeOfCare-ID uit autorisatie-record]

GET Observation

GET Observation?context=EpisodeOfCare/[EpisodeOfCare-ID uit autorisatie-record]

GET Encounter

GET Encounter?context=EpisodeOfCare/[EpisodeOfCare-ID uit autorisatie-record]

GET Procedure

GET Procedure?context=EpisodeOfCare/[EpisodeOfCare-ID uit autorisatie-record]

 


Â