Techniek en standaardisatie

De zorg werkt al jaren met dezelfde, veelal inadequate beveiligingsconcepten. Steeds weer wordt gekozen voor techniek die gegevens breed en ongericht toegankelijk maakt, met alle risico’s van dien. Patiënten vinden het vaak prima als gegevens worden uitgewisseld met medebehandelaren, maar niet met iedereen. Waarom zouden ze?

Artsen willen dat beschikbaar gestelde gegevens passen bij de situatie, zoals het beroepsgeheim vereist. Het beschikbaar stellen van een bak ongefilterde informatie alleen maar risico’s van informatie-overload en misinterpretatie. Waarom zouden ze dat willen?

Waarom niet uitgaan van een wendbaar en flexibel systeem dat maatwerk mogelijk maakt?

Whitebox legt de lat hoger

We werken aan nieuwe standaarden waarbij de uitwisseling van gegevens het zorgproces volgt. Daarbij hanteren we een aantal privacybeschermende beginselen.

Privacy en security by design

Privacy by design betekent dat privacy en beveiliging integraal in het ontwerp van systemen wordt toegepast. Dat ‘single points of failure’ worden vermeden. Dat niet meer mensen toegang krijgen tot gegevens, dat de mensen die toegang krijgen, en dat mensen niet meer gegevens zien dan nodig.

Voor de zorg zijn privacy by design en het beroepsgeheim heel mooi gecodeerd in de Wet op de geneeskundige behandelovereenkomst. Vanuit die wet geredeneerd worden autorisaties decentraal bij de - voor het dossier en het beroepsgeheim verantwoordelijke - zorgaanbieder vastgelegd. Alle uitgegeven en openstaande autorisaties zijn controleerbaar voor zowel arts als patiënt. Er is altijd instelbaar welke gegevens gedeeld worden. Tussenschakels die niet noodzakelijk zijn worden geschrapt uit de architectuur. Waar centrale componenten toch nodig zijn, verwerken deze geen persoonsgegevens. Al het dataverkeer moet end-to-end beveiligd zijn.

Met deze eisen blijven we heel dicht bij wat zorgverleners en patiënten verwachten van de uitwisseling van gegevens in de zorg. Zó dicht zelfs dat toestemming voor gegevensuitwisseling vaak niet nodig is, of verondersteld kan worden.

Voor meer details over de interne techniek, zie ook onze technologie blog.

Ontwikkeling en beheer van standaarden

Push autorisatie maakt gebruik van bestaande Internet standaarden, die op een specifieke manier worden toegepast om de mogelijkheid tot gerichte, specifieke autorisaties te creëeren. Het gebruik van web standaarden maakt het systeem minder afhankelijk van de integratie met systemen van huisartsen en andere zorgaanbieders.

Gegevens kunnen vaak ingezien worden via een standaard web-browser als een geldig authenticatiemiddel wordt gebruikt. Dit is een belangrijk pluspunt, omdat een grote afhankelijkheid van leveranciers om (nieuwe) standaarden te implementeren een negatieve invloed hebben op de mate van adoptie - en daarmee uiteindelijk van de privacybescherming die patiënten in de praktijk kunnen verwachten.

Het beheer van de standaard is zo georganiseerd dat leveranciers inspraak en invloed kunnen uitoefenen op de ontwikkeling van de standaarden, maar niet het laatste woord hebben. Dat hebben privacy-orgnaisaties, die een bewakende rol in de governance van de standaard hebben. Zo bewaken we de privacy van het push autorisatie model op de lange termijn.