Zorgtoepassingprofiel Geboortezorg
VERSIE: 20-04-2023 STATUS: consultatie
Let op
Dit artikel wordt op dit moment gereviseerd. Aanvullingen/aanpassingen in ontwikkeling:
Authenticatie: introductie van het groeipad t.o.v. de werkwijze op dit moment.
Toelichting
Dit artikel beschrijft het zorgtoepassingprofiel geboortezorg. Dit behelst de specifieke afspraken die, aanvullend aan de Nuts Bolt Zorginzage 2022, gelden voor de zorgtoepassing geboortezorg.
Dit artikel beschrijft achtereenvolgens
de identifier van de zorgtoepassing;
de governance;
de informatiestandaarden;
de toegestane authenticatiemiddelen;
de toegestane grondslagen;
benaming actoren; en
de access policy.
Hierbij wordt waar mogelijk verwezen naar andere onderdelen van het Afsprakenstelsel Interoperabiliteit Geboortezorg.
Identifier van de zorgtoepassing
De identifier van de zorgtoepassing Geboortezorg is 'zorginzage-geboortezorg'.
Governance
De inrichting van de governance wordt beschreven in de Innovatie- & Beheercyclus Gegevensuitwisseling Geboortezorg. Hierin worden het beheer en de doorontwikkeling van de standaarden en afspraken duidelijk vastgelegd.
Informatiestandaarden
De inhoud en structuur van de uit te wisselen informatie voldoet aan het Functioneel Ontwerp Informatiestandaard Geboortezorg: https://informatiestandaarden.nictiz.nl/wiki/Gebz:V3.2_Ontwerpen
De structuur van de uit te wisselen data en de te gebruiken data-interfaces voldoet aan het Technisch Ontwerp Informatiestandaard Geboortezorg: https://informatiestandaarden.nictiz.nl/wiki/Gebz:V1.1_FHIR_IG
Toegestane authenticatiemiddelen
Om veilig gegevens te kunnen delen, tussen verschillende zorgaanbieders, is zorgaanbieder-overstijgende authenticatie van zorgverleners essentieel. Vanuit de NEN wordt gewerkt aan een norm met betrekking tot identificatie en authenticatie. Op het moment dat deze norm gepubliceerd wordt, is deze norm leidend. Om op korte termijn informatie uitwisseling mogelijk te maken kan, tot publicatie van de norm, gebruik gemaakt worden van diverse groeipaden om authenticatie van zorgverleners te borgen.
Om te waarborgen dat het groeipad past en voldoet aan wensen van eindgebruikers, wordt deze samen met eindgebruikers opgesteld.
Toegestane grondslagen en bewijzen
Voor de zorgtoepassing geboortezorg worden de volgende grondslagen ondersteund:
‘expliciete toestemming vooraf’
‘veronderstelde toestemming’
In een later stadium kan onder de in de Nuts Bolt Zorginzage beschreven voorwaarden desgewenst de ‘Wabvpz-toestemming vooraf’' worden toegevoegd.
Voor ‘expliciete toestemming vooraf’ zijn de volgende bewijzen toegestaan:
registratie in het bronsysteem (bijvoorbeeld door middel van een 'vinkje')
ingescand, door de betrokkene ondertekend, toestemmingsformulier
Voor ‘veronderstelde toestemming’ zijn de volgende bewijzen toegestaan:
registratie in het bronsysteem
mondeling gegeven toestemming
Benaming actoren
De actoren in de Nuts Bolt Zorginzage kunnen als volgt aan de actoren in het Afsprakenstelsel Interoperabiliteit Geboortezorg worden gerelateerd.
Nuts Bolt Zorginzage | Afsprakenstelsel Interoperabiliteit Geboortezorg |
|---|---|
Afnemersysteem | Het afnemersysteem is een geheel van applicaties dat bestaat uit de volgende actoren uit het Afsprakenstelsel Interoperabiliteit Geboortezorg:
|
Nuts-node van afnemer | Knooppunt van afnemer |
Bronsysteem | Het bronsysteem is een geheel van applicaties dat de gegevens van de bronhouder beheert dat bestaat uit de volgende actoren uit het Afsprakenstelsel Interoperabiliteit Geboortezorg:
|
Nuts-node van bronhouder | Knooppunt van bronhouder |
Beschikbaarheid
Iedere partij die de zorgtoepassing geboortezorg aanbiedt is zelf verantwoordelijk voor de beschikbaarheid van de eigen infrastructuur, het bron- en/of afnemersysteem en de Nuts-node.
Bronhouders zorgen voor beschikbaarheid van alle componenten die onderdeel uitmaken van de Nuts Bolt Zorginzage conform de eisen aan Beschikbaarheid, Integriteit en Vertrouwelijkheid zoals opgenomen in het artikel Actoren van het Afsprakenstelsel Interoperabiliteit Geboortezorg.
Access Policy
Niet-persoonsgebonden resources
Momenteel niet van toepassing.
Persoonsgebonden resources
Dit hoofdstuk beschrijft de afspraken die gelden voor persoonsgebonden resources.
Autorisatie-record
Het ophalen van geboortezorggegevens vereist een geregistreerd autorisatie-record in de vorm van een Nuts Authorization Credential. Het credential moet voldoen aan de volgende eisen:
De issuer moet het DID bevatten van de bronhouder.
credentialSubject.id moet het DID van de afnemer bevatten.
credentialSubject.purposeOfUse moet gelijk zijn aan zorginzage-geboortezorg.
credentialSubject.legalBase.consentType moet gelijk zijn aan implied bij veronderstelde toestemming of explicit bij expliciete toestemming
credentialSubject.subject moet het BSN bevatten als OID: urn:oid:2.16.840.1.113883.2.4.6.3:999999990.
Normatieve einddatum autorisatie
Bij het aanmaken van een autorisatie-record dient door middel van het veld 'expirationDate' een einddatum aan de autorisatie te worden gegeven. Ten eerste dient deze einddatum gebaseerd te zijn op de wensen van de cliënt in kwestie. De zorgverlener dient de cliënt te vragen naar de gewenste duur van een toestemming. Wanneer de wens van de cliënt ten aanzien van de duur van de toestemming niet is vastgelegd, gelden de volgende normen
Bij een 'expliciete toestemming vooraf' is de einddatum van de autorisatie gelijk aan de huidige datum plus 365 dagen.
Dit is gebaseerd op de reguliere duur van een zwangerschap plus de nazorgperiode
Bij een 'veronderstelde toestemming' is de einddatum van de autorisatie gelijk aan de huidige datum plus 365 dagen.
Dit is gebaseerd op de reguliere duur van een zwangerschap plus de nazorgperiode
Intrekken autorisatie
Er zijn verschillende redenen denkbaar voor het intrekken van een autorisatie:
Wanneer een autorisatie is gebaseerd op een expliciete toestemming dient deze te worden ingetrokken wanneer de expliciete toestemming wordt ingetrokken.
Wanneer een autorisatie is gebaseerd op een verwijzing dient deze te worden ingetrokken wanneer het niet langer nodig of gewenst is voor de afnemer om gegevens op te halen.
Het autorisatie-record moet in deze gevallen worden ingetrokken door de bronhouder.
Access token
Bij de aanvraag van het access token moet het autorisatie-record volgens bovenstaande eisen worden meegestuurd in het credentials-element. Daarnaast moet er gebruikersinformatie meegestuurd worden in het usi-element. Het purposeOfUse-element moet de waarde 'zorginzage-geboortezorg' bevatten.
Levensduur access token: 300 seconden (5 minuten)
Authenticatiecontract
Levensduur authenticatiecontract: 36.000 seconden (10 uur)
Resources
Bronhouders dienen alleen toegang te verlenen tot gegevens die zijn gerelateerd aan de EpisodeOfCare-resources die onder het resources-element vermeld staan in het autorisatie-record. Het resources-element van het autorisatie-record moet minimaal 1 element bevatten dat het relatieve pad naar de EpisodeOfCare-resource van het geboortezorgtraject bevat, conform:
{
path: /EpisodeOfCare/[ID],
operations: ["read"],
userContext: true
}Regels gegevenstoegang
Wanneer een bronhouder een binnenkomend request afhandelt, moet op basis van de BSN en de EpisodeOfCare-ID die genoemd zijn in het autorisatie-record toegang worden gegeven tot de volgende gerelateerde resources:
Patient-resource van de vrouw/moeder, behorende bij BSN in element credentialSubject.subject van autorisatie-record
EpisodeOfCare-resource die is genoemd in resources-element van autorisatie-record
Condition-resources gerelateerd aan EpisodeOfCare-resource genoemd in 2
Observation-resources gerelateerd aan EpisodeOfCare-resource genoemd in 2
Encounter-resources gerelateerd aan EpisodeOfCare-resource genoemd in 2
Procedure-resources gerelateerd aan EpisodeOfCare-resource genoemd in 2
Patient-resource van het kind, dat subject is van een Procedure-resource van type "Geboorte" die plaats vindt binnen de context van de EpisodeOfCare-resource genoemd in 2
De toegang tot gegevens wordt niet bepaald aan de hand van zorgverlener-rol.
Search narrowing
Het bronsysteem is verplicht om search narrowing toe te passen. Voor binnenkomende generieke requests (bijv. /Patient) geldt:
Het response bevat alleen de gevraagde resources waar de afnemer op basis van de autorisatie-records en de access policy toegang tot heeft
Het response heeft het verwachte formaat voor het binnenkomende request. Bijv. een binnenkomend request "/Patient" of "/EpisodeOfCare" dient een response in de vorm van een bundle op te leveren
In de tabel hieronder wordt verduidelijkt op welke wijze search narrowing dient te worden toegepast. De linkerkolom beschrijft de requests die de afnemer kan versturen. De rechterkolom beschrijft hoe deze requests in relatie tot de autorisatie-records en de access policy door de bronhouder dienen te worden uitgevoerd.
Door afnemer te versturen request | Door bronhouder uit te voeren request |
GET Patient | Vrouw: GET Patient?identifier=http://fhir.nl/fhir/NamingSystem/bsn|[BSN uit autorisatie-record] Kind: GET Procedure?context=EpisodeOfCare/[EpisodeOfCare-ID uit autorisatie-record]&code=http://snomed.info/sct|3950001&_include=Procedure:subject |
GET EpisodeOfCare | GET EpisodeOfCare/[EpisodeOfCare-ID uit autorisatie-record] |
GET Condition | GET Condition?context=EpisodeOfCare/[EpisodeOfCare-ID uit autorisatie-record] |
GET Observation | GET Observation?context=EpisodeOfCare/[EpisodeOfCare-ID uit autorisatie-record] |
GET Encounter | GET Encounter?context=EpisodeOfCare/[EpisodeOfCare-ID uit autorisatie-record] |
GET Procedure | GET Procedure?context=EpisodeOfCare/[EpisodeOfCare-ID uit autorisatie-record] |