Het Whitebox beveiligingsmodel

De Whitebox gebruikt een systeem van gerichte toegangsverlening, push autorisatie. Hiermee stuur je een autorisatie naar een specifieke partij, die daarmee op een later moment gegevens kan ophalen. Verwijsbrieven, recepten, overdrachten of andere processen kunnen dragers zijn van push autorisaties. Doordat primitieven als verwijzing of overdracht deel uitmaken van de dagelijke gang van zaken in de zorg, sluit het systeem op natuurlijke wijze aan bij het zorgproces.

Veel traditionele systemen regelen toegang in op het niveau van groepen gebruikers, bijvoorbeeld “apothekers” of “longartsen” – rolgebaseerde toegangscontrole heet dit. Dit beveiligingsbeleid is grofmazig maakt dat veel meer zorgverleners/zorgaanbieders dan alleen behandelend artsen bij de gegevens kunnen. Om deze reden is voor het gebruik van deze systemen toestemming nodig. Doordat bij push autorisatie toegang alleen aan direct bij de behandeling betrokken hulpverleners wordt gegeven, worden gegevens beter beschermd en is het vaak niet nodig om toestemming te vragen voor het delen van gegevens (Wgbo; zie ook specifieke toestemming ).

Push autorisatie is zo ontworpen dat het veel voorkomende situaties in de zorg kan ondersteunen. Alleen zorgverleners die concreet bij de behandeling betrokken zijn, krijgen toegang. Dit beveiligingsmodel past bij de verwachtingen van de zorgverlener en de patiënt.

Zorgprocesvolgende toegang - hoe werkt het?

De Whitebox werkt met gerichte autorisatie van zorgverleners: Push Autorisatie (PA). Een zorgverlener stuurt een autorisatie naar een andere zorgaanbieder in de vorm van een URL, of in de vorm van een code. Het opsturen kan binnen het zorgproces, bijvoorbeeld door een code op een verwijsbrief of op een recept te zetten. Of door een URL in een elektronisch recept op te nemen.

Het push autorisatie model is eenvoudig te begrijpen, ook voor patiënten. Want de uitwisseling van gegevens binnen het zorgproces is logisch: het volgt verwijzingen, receptenverkeer of (letterlijk) de patiënt zelf. Dat maakt goed te begrijpen hoe het model werkt.

Push autorisaties hebben de vorm van een web-link (een URL), of desgewenst van een 5 of 6-cijferige autorisatiecode. Zo’n code kan via een systeem dat Decozo aanbiedt worden omgezet naar een URL. Elk systeem in de wereld kan omgaan met een URL. Daardoor is integratie van push autorisatie in zorg informatie systemen heel erg eenvoudig.

URLs en autorisatiecodes kunnen op allerlei manieren verstuurd worden, bijvoorbeeld via een versleuteld Signal bericht of via een papieren recept of een verwijsbrief. URLs zijn lang en moeilijk over te tikken, en zijn daarom vooral geschikt voor elektronische recepten of verwijsbrieven. Bij telefonische overdracht van gegevens past een autorisatiecode beter.

PA-URLs zijn zo beveiligd dat alleen de ontvanger deze kan gebruiken. Er wordt altijd gecheckt of de ontvanger een een arts is en, indien van toepassing, of de opvragende partij de juiste code heeft, voordat toegang wordt verleend. Een eenmaal gebruikte autorisatie kan niet (her)gebruikt worden door een andere zorgverlener. Iemand die geautoriseerd is kan wel een nieuwe push autorisatie URL of code aanvragen en deze ‘doorzetten’, wanneer het beveiligingsbeleid van de URL dit toestaat.

Welke informatie is te zien?

Niet alle informatie wordt gedeeld. Er worden filters toegepast om alleen gegevens te ontsluiten die belangrijk zijn in een bepaalde situatie. Zo ziet een apotheker alleen een medicatieoverzicht, intoleranties en allergieën, terwijl een huisarts ook zogeheten ‘episodes’ en meestal een aantal consultverslagen te zien krijgt.

Filters zijn soms gestandaardiseerd (bijv. bij medicatie) maar vaak ook *custom*, zoals bij het autoriseren van een huisartsenpost of een bepaalde specialist. Zo kunnen bepaalde episodes geblokkeerd worden of juist geïncludeerd, afhankelijk van doel en ontvanger van de autorisatie. Dit is een normale stap voor een (huis)arts, die ook nu plaatsvindt bij het maken van een verwijsbrief. Belangrijkste verschil is dat gegevenselementen die opgenomen worden in een verwijsbrief nu dynamisch kunnen zijn, in de zin dat de autorisatie bruikbaar is om op een later moment actuele gegevens op te vragen.

De rol van de huisarts

De huisarts heeft een spilfunctie bij heel veel processen in de zorg. Als poortwachter van de zorg en als verwijzer voor de meeste zorgprocessen is de huisarts het startpunt van gegevensoverdracht. Bovendien heeft de huisarts toegang tot historische informatie die bij andere behandelaren vaak ontbreekt. De huisarts wordt geacht op de hoogte te zijn van de belangrijkste ziekte-episodes van patiënt en krijgt daarom vaak ook informatie (terug) van medebehandelaren.

Startend met een klein “basisnetwerk” rond de patiënt — de huisarts, de eigen apotheek en de huisartsenpost — kan de huisarts de belangrijkste partijen in de zorg toegang geven de belangrijkste informatie van patiënt. Desgewenst kan dit via het doorgeven van een eenvoudige autorisatiecode.

Een autorisatie geeft de geautoriseerde hulpverlener via een end-to-end beveiligd communicatiekanaal toegang tot relevante gegevens. Met dit communicatiekanaal kan ook informatie teruggestuurd worden naar de (huis)arts. Zo is het cirkeltje rond en blijft de huisarts op de hoogte van wat zich afspeelt rondom de patiënt. Deze informatie kan vervolgens weer meegestuurd worden bij nieuwe verwijzingen (met instemming van de patiënt en zolang het beroepsgeheim dit toestaat).

De basis: het beroepsgeheim

De zorgverlener is een vertrouwenspersoon voor de patiënt. Elke arts heeft de artseneed afgelegd, waar het beroepsgeheim deel uitmaakt. Het ‘geheim houden van al wat de arts in diens praktijk ter oren komt’ (Eed van Hippocrates) is voor elke zorgverlener een dure plicht. Het is zelfs zo dat een zorgverlener niet gedwongen kan worden om gegevens over zijn patiënt af te staan, zelfs niet aan een rechter. Het zogeheten “verschoningsrecht”: zorgt ervoor dat de arts nooit hoeft te spreken over zaken die een patiënt aangaan.

Door bestaande processen rond het delen van medische gegevens – zoals verwijzen of het sturen van een recept – als uitgangspunt te nemen voor autorisaties, kan gewaarborgd worden dat heel voorzichtig met de persoonlijke gegevens van patiënten omgegaan wordt. Dit sluit ook aan bij de manier van werken die (huis)artsen in de praktijk gewend zijn.

Doordat het systeem aansluit bij de (bestaande) zorgpraktijk is het systeem intuïtief te gebruiken. De feedback van gebruikers en patiënten naar aanleiding van een pilot van 2016 tot 2018 bevestigt dit Bekijk de pilot resultaten

Hoe zit het bij spoed?

Spoed stelt specifieke eisen aan de beschikbaarheid van gegevens. Voor situaties van spoed stellen wij twee oplossingen beschikbaar

  • een spoedcode, waarbij de patiënt zelf een zogeheten spoedcode meeneemt waarmee de spoedeisendehulp-arts een samenvatting van de belangrijkste gegevens bij de huisarts kan ophalen;
  • een vermelding in een index via welke zorgverleners de patiënt direct kunnen opzoeken (met een BSN) om de huisartssamenvatting op te kunnen ophalen.

Het laatste komt neer op ongericht beschikbaar stellen van gegevens. Dit past niet goed bij de Whitebox visie, maar het kan wel een oplossing bieden voor deze (uitzonderlijke) klasse van zorgsituaties waarbij gerichte toegangsverlening binnen het zorgproces niet goed werkt. De eerste oplossing is reeds geïmplementeerd en beschikbaar in de Whitebox.