20080229 by xiaopangnv

VIEWS: 1 PAGES: 59

									Elektronische gegevensuitwisseling:
opportuniteit voor hogere efficiëntie,
 maar bedreiging voor de privacy ?


                     Frank Robben
                     Administrateur-generaal
                     Kruispuntbank van de Sociale Zekerheid
                     Sint-Pieterssteenweg 375
                     B-1040 Brussel
                     E-mail: Frank.Robben@ksz.fgov.be
                     Website KSZ: www.ksz.fgov.be
                     Persoonlijke website: www.law.kuleuven.ac.be/icri/frobben
               Enkele opportuniteiten
   • elektronische toegang door zorgverleners tot de
     relevante gegevens bewaard in zorgdossiers bij andere
     zorgverleners/zorginstellingen

   • vereenvoudiging en informatisering van de
     administratieve formaliteiten van zorgverleners en
     zorginstellingen

   • elektronische zorgvoorschriften

   • codering en anonimisering van persoonsgegevens met
     het oog op beleids- en onderzoeksondersteuning

Frank Robben                     2                        29 februari 2008
Minimaal mededeelbare inhoud zorgdossier
   • afspraken over de minimale inhoud van een zorgdossier
     die elektronisch kan worden meegedeeld
        – informatie over patiënt
        – informatie over verstrekte zorgen
        – informatie over resultaten van verstrekte zorgen


   • geen monopolies of erkenning van softwareproducten

   • wel incentives voor zorgverleners/zorginstellingen om
     elektronische zorgdossiers met minimaal mededeelbare
     inhoud bij te houden en permanent elektronisch ter
     beschikking te stellen aan de toegangsgemachtigden

Frank Robben                            3                    29 februari 2008
Minimaal mededeelbare inhoud zorgdossier
   • geleidelijke permanente elektronische toegankelijkheid
     en beschikbaarheid van minimaal mededeelbare inhoud
     zorgdossiers voor de toegangsgemachtigden
        – hetzij bij de zorgverlener zelf
        – hetzij bij een door de zorgverlener gekozen onderaannemer
               •   zorginstelling
               •   samenwerkingsverbanden tussen zorgverleners
               •   eHealth-platform
               •   …



   • met de nodige back-up voorzieningen




Frank Robben                                    4                29 februari 2008
               Vereenvoudiging formaliteiten
   • elektronische toegankelijkheid voor de zorgverleners en
     zorginstellingen van de verzekerbaarheidstoestand in de
     ziekteverzekering en van andere relevante
     administratieve informatie over de patiënt

   • gecoördineerde en eenmalige inzameling, over de
     onderscheiden overheidsdiensten, overheidsniveaus en
     ziekenfondsen heen, van de informatie nodig voor
        – het bekomen van de toelating tot het verstrekken van bepaalde
          zorgen
        – beleids- en onderzoeksondersteuning




Frank Robben                           5                          29 februari 2008
               Elektronische zorgvoorschriften
   • gestandaardiseerde inhoud en elektronisch formaat van
     onderscheiden soorten zorgvoorschriften
   • methoden voor de aanmaak van juridisch geldige,
     elektronische zorgvoorschriften met een minimale
     administratieve last
        – binnen zorginstellingen
        – ambulant
   • methoden voor de elektronische uitwisseling van
     zorgvoorschriften
   • waarborg van de vrije keuze van de zorgverlener door
     de patiënt
   • incentives voor zorgverleners/zorginstellingen om
     elektronische zorgvoorschriften aan te maken en uit te
     wisselen

Frank Robben                        6                   29 februari 2008
               Codering en anonimisering
   • beroep op trusted third party belast met
        – het coderen en anonimiseren van informatie
        – het ter beschikking stellen van de gecodeerde of
          geanonimiseerde informatie aan de actoren in de
          gezondheidszorg, aan beleidsvoerders en aan onderzoekers


   • controle op de conformiteit van de coderings- en
     anonimiseringsmethoden met de wetgeving inzake de
     bescherming van de persoonlijke levenssfeer door het
     Sectoraal Comité

   • trusted third party doet zelf geen beleidsondersteuning of
     studies !!!

Frank Robben                          7                        29 februari 2008
                               Privacy-aspecten
   • goed uitgewerkte reglementering inzake bescherming
     van de persoonlijke levenssfeer bevat basisprincipes
        – eerlijke en rechtmatige verwerking
        – doelbinding:
               • verwerking voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde
                 doeleinden
               • zowel bij verwerving van de gegevens als bij verdere verwerking
                 (verenigbaarheid met initieel doeleinde)
        – evenredigheid: gegevens moeten, in functie van het doeleinde
          van de verwerking,
               • toereikend
               • ter zake dienend
               • en niet overmatig zijn
        – nauwkeurigheid
               • bijwerken
               • verbeteren
               • verwijderen


Frank Robben                                     8                                29 februari 2008
                                  Privacy-aspecten
   • goed uitgewerkte reglementering inzake bescherming
     van de persoonlijke levenssfeer bevat basisprincipes
        – redelijke bewaarduur
        – informatieverstrekking
               • bij inzameling van gegevens bij de betrokkene
               • bij registratie/mededeling van gegevens
        – gepaste technische en organisatorische veiligheidsmaatregelen,
          gebaseerd op een afweging tussen
               • stand van de techniek en kosten van de maatregelen
               • aard van de gegevens en potentiële risico’s
        – rechten van het data-subject
               •   informatie
               •   kennisname
               •   verbetering
               •   verwijdering
        – specifieke regelen voor de verwerking van gezondheids-
          gegevens

Frank Robben                                     9                    29 februari 2008
          Voorstel van concrete vormgeving
   • nood aan homogeen geheel van maatregelen over alle
     betrokken instanties heen: de zwakste schakel bepaalt
     de graad van veiligheid
        –      structureel: beveiligende effecten voortvloeiend uit het concept
        –      organisatorisch
        –      qua personeel
        –      juridisch
        –      technisch
        –      fysisch
   • informatieveiligheid en privacybescherming zou moeten
     worden opgenomen in het waardenkader van elke
     informatieverwerkende instantie en dus een
     dagdagelijkse bekommernis zijn van elkeen bij elke
     taakuitvoering, en vanaf de ontwerpfase in
     informatiesystemen worden ingebouwd
Frank Robben                                 10                           29 februari 2008
      Voorstel van structurele maatregelen
   • vermijden van onnodige centrale gegevensopslag
   • oprichting van het sectoraal comité sociale zekerheid en
     gezondheid in de schoot van de Commissie voor de
     Bescherming van de Persoonlijke Levenssfeer (CBPL)
        – bestaande uit
               • vertegenwoordigers van de CBPL
               • onafhankelijke specialisten inzake sociale zekerheid resp. gezondheidszorg
                 aangewezen door de Kamer van Volksvertegenwoordigers
        – taken
               • verstrekken van machtigingen tot (elektronische) uitwisseling van
                 persoonsgegevens inzake de gezondheid, buiten de gevallen waarin dit is
                 toegelaten bij wet
               • vaststellen van organisatie en policies inzake informatieveiligheid bij de
                 verwerking van persoonsgegevens inzake de gezondheid
               • verstrekking van adviezen en aanbevelingen inzake informatieveiligheid bij
                 de verwerking van persoonsgegevens inzake de gezondheid
               • behandeling van klachten inzake inbreuken op informatieveiligheid bij de
                 verwerking van persoonsgegevens inzake de gezondheid

Frank Robben                                      11                                29 februari 2008
      Voorstel van structurele maatregelen
   • preventieve controle op de rechtmatigheid van de
     uitwisseling van persoonsgegevens door een instantie
     die onafhankelijk is van de betrokken partijen: eHealth-
     platform
   • informatieveiligheidsdienst bij elke betrokken organisatie
   • erkende, gespecialiseerde informatieveiligheids-
     dienst(en)
   • werkgroep inzake informatieveiligheid en
     privacybescherming in de gezondheidssector




Frank Robben                     12                      29 februari 2008
               Kader voor andere maatregelen
   • kader voor maatregelen op organisatorisch, technisch, fysisch en
     personeelsvlak: ISO-normenreeks 27000
        –      beveiligingsbeleid, stapsgewijze verfijnd via policies
        –      beveiligingsorganisatie
        –      classificatie en beheer van bedrijfsmiddelen
        –      beveiligingseisen t.a.v. personeel
        –      fysieke beveiliging van de omgeving (oa encryptie)
        –      beheer van communicatie- en bedieningsprocessen
        –      toegangsbeveiliging
        –      ontwikkeling en onderhoud van systemen
        –      bijzondere eisen bij de verwerking van persoonsgegevens
        –      continuïteitsmanagement
        –      interne en externe controle op de naleving
        –      communicatie t.a.v. de klanten en publieke opinie over het beleid en de
               maatregelen inzake informatieveiligheid en privacybescherming


Frank Robben                                    13                             29 februari 2008
                    Doel eHealth-platform
   • hoe ?
        – aan de hand van een goed georganiseerde elektronische
          onderlinge dienstverlening en informatie-uitwisseling tussen alle
          actoren in de gezondheidszorg
        – en met de nodige waarborgen op het vlak van de
          informatieveiligheid en de bescherming van de persoonlijke
          levenssfeer
   • wat ?
        – optimaliseren van de kwaliteit en de continuïteit van de
          gezondheidszorgverstrekking
        – optimaliseren van de veiligheid van de patiënt
        – vereenvoudiging van de administratieve formaliteiten voor alle
          actoren in de gezondheidszorg
        – degelijk ondersteunen van het gezondheidszorgbeleid

Frank Robben                            14                           29 februari 2008
      Wat het eHealth-platform niet beoogt
   • wijzigingen aanbrengen aan de inhoudelijke
     taakverdeling tussen de onderscheiden actoren in de
     gezondheidszorg
   • centraal opslaan van persoonsgegevens
   • monopoliseren van de elektronische dienstverlening aan
     de eindgebruikers
   • zelf uitvoeren van studies
   • zelf verstrekken van inhoudelijke beleidsondersteuning
     op het vlak van de gezondheidszorg
   • aangestuurd worden op basis van technologie eerder
     dan vanuit de doelstellingen vervat in de visie


Frank Robben                   15                     29 februari 2008
                  Voorziene bouwstenen
   • samenwerkingsplatform voor de veilige elektronische
     uitwisseling van informatie over de patiënten, de
     verstrekte zorgen en de resultaten van de verstrekte
     zorgen, en van de elektronische zorgvoorschriften
     tussen alle actoren in de gezondheidszorg
        – netwerk
        – basisdiensten
        – ICT-gerelateerde functionele en technische normen,
          standaarden, specificaties en basisarchitectuur
   • ontsluitingskanalen aangepast aan de gebruikers
   • aangepast juridisch kader
   • het eHealth-platform als organisatie


Frank Robben                          16                       29 februari 2008
 Samenwerkingsplatform en -standaarden
   • gebruik van bestaande netwerkinfrastructuur (internet,
     extranet sociale zekerheid, FedMAN, …) met end-to-end
     encryptie van de inhoudelijke informatie (concept van
     virtuele private netwerken (VPN))
   • door het eHealth-platform aangeboden basisdiensten
        – gebruikers- en toegangsbeheer
        – orchestratie van processen
        – verwijzingsrepertorium
        – logging
        – codering en anonimisering
        – time stamping
        – portaalomgeving met o.a. een content management system en
          een zoekmotor
        – persoonlijke elektronische brievenbus voor elke zorgverlener
Frank Robben                          17                         29 februari 2008
 Samenwerkingsplatform en -standaarden
   • zoveel mogelijk uitwisseling aan de hand van
     gestructureerde elektronische berichten van toepassing
     tot toepassing
   • zoveel mogelijk uitwisseling op basis van open
     standaarden of, op zijn minst, open specificaties




Frank Robben                    18                     29 februari 2008
               Gebruikers- en toegangsbeheer
   • doel
        – waarborgen dat enkel toegangsgerechtigde
          zorgverleners/zorginstellingen toegang krijgen
        – tot die persoonsinformatie waartoe zij toegang mogen hebben
          overeenkomstig de wet of de machtigingen van het Sectoraal
          Comité
        – en m.b.t. de patiënten waarover zij de betrokken
          persoonsinformatie nodig hebben voor de zorgverstrekking
   • vereisten
        – beheer van toegangsautorisaties met aanduiding
               •   welke zorgverlener/zorginstelling/toepassing
               •   in welke hoedanigheid
               •   in welke situatie toegang mag hebben
               •   tot welke soorten gegevens
               •   m.b.t. welke patiënten
               •   over welke periode


Frank Robben                                       19             29 februari 2008
               Gebruikers- en toegangsbeheer
   • vereisten
        – authentisering van de identiteit van de zorgverlener, bijvoorbeeld
          aan de hand van diens elektronische identiteitskaart
        – on-line verificatie van de hoedanigheid van de zorgverlener door
          een elektronische raadpleging van de authentieke
          gegevensbank(en) van zorgverleners
        – on-line verificatie van de mandaten van de gebruiker om op te
          treden namens een zorgverlener/ zorginstelling door een
          elektronische raadpleging van de authentieke gegevensbank(en)
          met de mandaten
        – authentisering van de identiteit van de patiënt aan de hand van
          diens elektronische identiteitskaart of SIS-kaart, behalve
               • indien er een vaste zorgrelatie geregistreerd is tussen de
                 zorgverlener/zorginstelling en de patiënt (zie hoger, verwijzingsrepertorium)
               • in noodgevallen


Frank Robben                                       20                                 29 februari 2008
               Gebruikers- en toegangsbeheer
   • uitgewerkte organisatie
        – de autorisatie tot gebruik van een dienst met toegevoegde
          waarde wordt verstrekt door de aanbieder van de dienst, indien
          nodig mits een machtiging door het Sectoraal Comité
        – de conformiteit van een concrete vraag om toegang met de
          toegangsautorisaties wordt preventief gevalideerd door de
          onafhankelijke instelling die het samenwerkingsplatform beheert
        – alle toegangen worden elektronisch gelogd op het niveau van de
          gebruiker om in geval van klachten achteraf te kunnen nagaan of
          de toegang rechtmatig was (enkel wie-wat-wanneer, geen
          inhoud)
        – de toegang tot de loggings is strikt beveiligd




Frank Robben                           21                         29 februari 2008
               Gebruikers- en toegangsbeheer
   • uitgewerkte organisatie
        – de authenticatie van de identiteit geschiedt in functie van het
          vereiste beveiligingsniveau door
               • de elektronische identiteitskaart
               • een gebruikersnummer, paswoord en burgertoken
               • een gebruikersnummer en paswoord
        – de verificatie van hoedanigheden en mandaten geschiedt door
          een toegang tot gevalideerde authentieke bronnen
        – het geheel is uitgebouwd via een generiek policy enforcement
          model




Frank Robben                                  22                      29 februari 2008
                          Policy Enforcement Model
                                                          Actie
                                                           op
                                                       toepassing                                         Actie
                                                      GEWEIGERD           Policy                           op
                                                                                                       toepassing
                              Gebruiker                                Toepassing                    TOEGESTAAN         Toepassing
                                                        Actie             ( PEP)
                                                         op
                                                     toepassing     Beslissings   Beslissings
                                                                     aanvraag      antwoord
                                                                                                                    Informatie
                                                                                                                      Vraag /
                                          Ophalen                         Policy                                    Antwoord
                                          Policies
                                                                      Beslissing ( PDP)


                                                                                        Informatie
                                                                                          Vraag /
                                                                                        Antwoord

            Autorisatie
             beheer       Policy Administratie                                    Policy Informatie                 Policy Informatie
                                ( PAP)                                                  ( PIP)                            ( PIP)
Beheerder




                                 Policy                                             Authentieke bron                 Authentieke bron
                               repository


 Frank Robben                                                           23                                                              29 februari 2008
               Policy Enforcement Point (PEP)
   • onderscheppen van de autorisatieaanvraag met alle
     beschikbare informatie inzake de gebruiker, de
     gevraagde actie, de resources en de omgeving
   • de autorisatieaanvraag doorsturen naar het Policy
     Decision Point (PDP) en een autorisatiebeslissing
     afdwingen
   • toegang verlenen tot de toepassing en relevante
     credentials meegeven
                                   Actie
                                    op
                                toepassing                                  Actie
                                                                             op
                               GEWEIGERD         Policy                  toepassing
                  Gebruiker                    Toepassing              TOEGESTAAN     Toepassing
                                 Actie           (PEP )
                                  op
                              toepassing     Beslissings Beslissings
                                              aanvraag    antwoord



                                                   Policy
                                             Beslissing (PDP )



Frank Robben                                               24                                      29 februari 2008
               Policy Decision Point (PDP)
   • op basis van de ontvangen autorisatieaanvraag de
     passende autorisation policy opzoeken in de Policy
     Administration Point(s) (PAP)
   • de policy evalueren en, zo nodig, de relevante informatie
     ophalen uit de Policy Information Point(s) (PIP)
   • de autorisatiebeslissing (permit/deny/not applicable)
     nemen en doorsturen naar het PEP
                                            Policy
                                          Toepassing
                                            (PEP )
                                        Beslissings Beslissings
                                         aanvraag antwoord
                                                                        Informatie
                                                                          Vraag /
                            Ophalen           Policy                    Antwoord
                            Policies
                                        Beslissing (PDP )

                                                          Informatie
                                                            Vraag /
                                                          Antwoord



                 Policy Administratie             Policy Informatie    Policy Informatie
                        (PAP )                          (PIP )               (PIP )



Frank Robben                                           25                                  29 februari 2008
           Policy Administration Point (PAP)
   • omgeving voor het bewaren en beheren van de
     autorisation policies door de bevoegde perso(o)n(en)
     aangeduid door de verantwoordelijke voor de toepassing
   • ter beschikking stellen van de autorisation policies aan
     het PDP

                            Autorisatie                     Ophalen
                             beheer                         Policies
                                            PAP                        PDP

                Beheerder




                                            Policy
                                          repository




Frank Robben                                           26                    29 februari 2008
               Policy Information Point (PIP)

   • ter beschikking stellen                              Informatie
                                                           Vraag/
                                                           Antwoord
                                     PDP
     aan het PDP van
     informatie voor het                   Informatie
                                            Vraag/
                                            Antwoord
     beoordelen van de
     autorisation policies                  PIP 1              PIP 2

     (authentieke bronnen met
     hoedanigheden,
     mandaten, …)
                                      Authentieke bron   Authentieke bron




Frank Robben                    27                              29 februari 2008
                                                          Architectuur

               eHealth-platform                                                Sociale sector                                         Niet-sociale FOD’s
    USER                                                      USER                 (KSZ)                             USER                   (Fedict)
                                           APPLICATIONS                                               APPLICATIONS                                              APPLICATIONS
  Authen -    Authorisation                                 Authen -     Authorisation                               Authen -       Authorisation
  tication       PEP                          WebApp        tication        PEP                          WebApp      tication          PEP                        WebApp
                     Role                                                       Role                                                    Role
                    Mapper
                                               XYZ                             Mapper
                                                                                                          XYZ                          Mapper
                                                                                                                                                                   XYZ




                                  Role                                                       Role                                                    Role
                                 Mapper                                                     Mapper                                                  Mapper
                                  DB                                                          DB                                                      DB



              PDP                Role                                   PDP                  Role                                      PDP            Role
                                                                                                                                                                     PAP
                                                PAP                                                        PAP                          Role        Provider
               Role             Provider
                                             ‘’Kephas’’
                                                                         Role              Provider
                                                                                                        ‘’Kephas’’                    Provider         DB         ‘’Kephas’’
             Provider             DB                                   Provider              DB




  PIP         PIP             PIP                           PIP          PIP             PIP                              PIP           PIP          PIP
                                                                                                                        Attribute     Attribute     Attribute
Attribute    Attribute       Attribute                    Attribute    Attribute        Attribute
                                                                                                                        Provider      Provider      Provider
Provider     Provider        Provider                     Provider     Provider         Provider




                                              Beheer                                                     Beheer           DB
                                                                                                                       Gerechts-         DB           DB           Beheer
  DB                           DB                           DB                            DB
              RIZIV                                                     UMAF                                           deurwaar-        XYZ           XYZ
Mandaten                       XYZ             GAB        Mandaten                        XYZ             GAB                                                       GAB
                                                                                                                         ders




  Frank Robben                                                                             28                                                         29 februari 2008
      Principe van "cirkels van vertrouwen"
   • doel
        – vermijden van onnodige centralisatie
        – vermijden van onnodige bedreigingen voor de bescherming van de
          persoonlijke levenssfeer
        – vermijden van meervoudige identieke controles en opslag van loggings
   • methode: taakverdeling tussen de bij elektronische dienstverlening
     betrokken instanties met duidelijke afspraken inzake
        – wie welke authenticaties, verificaties en controles verricht aan de hand
          van welke middelen en daarvoor verantwoordelijk en aansprakelijk is
        – hoe tussen de betrokken instanties de resultaten van de verrichte
          authenticaties, verificaties en controles op een veilige wijze elektronisch
          worden uitgewisseld
        – wie welke loggings bijhoudt
        – hoe ervoor wordt gezorgd dat bij onderzoek, op eigen initiatief van een
          controle-orgaan of n.a.v. klacht, een volledige tracing kan geschieden
          van welke natuurlijke persoon welke dienst of transactie m.b.t. welke
          burger of onderneming wanneer, via welk kanaal en voor welke
          doeleinden heeft gebruikt

Frank Robben                                 29                              29 februari 2008
                   Verwijzingsrepertorium
   • inhoud
        – aanduiding, op vraag van de patiënt, geïdentificeerd aan de
          hand van zijn patiëntidentificatienummer, van de plaatsen waar
          welke soort elektronische informatie beschikbaar is over de
          patiënt, de verstrekte zorgen en de resultaten van de verstrekte
          zorgen
        – enerzijds tabel met actuele vaste zorgrelaties tussen
          zorgverleners en hun patiënten, de aard van de relatie, en de
          begin- en einddatum van de relatie
        – anderzijds tabel met plaatsen waar buiten een vaste zorgrelatie
          elektronische informatie over de onderscheiden patiënten
          aanwezig is
        – eventueel via een getrapt systeem (algemeen
          verwijzingsrepertorium verwijst door naar specifieke
          verwijzingsrepertoria per groep van zorgverleners of per
          zorginstelling)
        – geen inhoudelijke informatie !!!

Frank Robben                            30                          29 februari 2008
                  Verwijzingsrepertorium
   • functies
        – preventieve controle op de rechtmatigheid van de toegang tot
          informatie over een bepaalde patiënt
        – routering van vragen om informatie naar de plaatsen waar
          informatie over de betrokken patiënt beschikbaar is
        – mogelijkheid tot automatische mededeling van informatie aan
          bepaalde zorgverleners




Frank Robben                           31                         29 februari 2008
               Codering en anonimisering
   • eHealth-platform als trusted third party (TTP) belast met
        – het coderen en anonimiseren van informatie
        – het ter beschikking stellen van de gecodeerde of
          geanonimiseerde informatie aan de actoren in de
          gezondheidszorg, aan beleidsvoerders en aan onderzoekers


   • controle op de conformiteit van de coderings- en
     anonimiseringsmethoden met de wetgeving inzake de
     bescherming van de persoonlijke levenssfeer door het
     Sectoraal Comité

   • het eHealth-platform doet zelf geen beleids-
     ondersteuning of studies !!!

Frank Robben                         32                        29 februari 2008
 Ontsluitingskanalen aangepast aan gebruikers
   • verschillende devices
        –      (draagbare) PC
        –      PDA
        –      GSM
        –      …
   • voor elke doelgroep bij voorkeur georganiseerd door de
     bestaande dienstverleners aan die doelgroep (geen
     monopolie van het eHealth-platform !)
   • voor elke doelgroep minstens één gratis en algemeen
     toegankelijke toepassing voor de geïntegreerde
     ontsluiting van de informatie, residuair gebouwd door het
     eHealth-platform als webtoepassing indien nodig
   • zoveel mogelijk geïntegreerde ontsluiting van informatie
     die de gebruiker mag verkrijgen over informatiebronnen
     heen
Frank Robben                     33                     29 februari 2008
               Aangepast juridisch kader
   • instelling van het eHealth-platform als organisatie, met
     de bepaling van de juridische structuur, de opdrachten,
     de beheers- en overlegorganen en hun samenstelling

   • mogelijkheid resp. verplichting tot gebruik van het
     patiëntidentificatienummer

   • bewijskracht van elektronische voorschriften en
     elektronische gegevensuitwisselingen

   • aanpassing van specifieke regelgeving in functie van de
     uit te voeren projecten

Frank Robben                     34                        29 februari 2008
               eHealth-platform als organisatie
   • opdrachten
        – ontwikkelen van een visie en strategie inzake de veilige
          elektronische dienstverlening en gegevensuitwisseling in de
          gezondheidszorg, met respect voor de bescherming van de
          persoonlijke levenssfeer
        – vastleggen van ICT-gerelateerde, functionele en technische
          normen en standaarden voor elektronische dienstverlening en
          gegevens-uitwisseling in de gezondheidszorgsector
        – nagaan of softwarepakketten voor het beheer van elektronische
          patiëntendossiers voldoen aan deze normen en standaarden
        – concipiëren, ontwikkelen en beheren van een
          samenwerkingsplatform voor de veilige elektronische
          gegevensuitwisseling met de bijhorende basisdiensten (zie
          hoger)


Frank Robben                          35                         29 februari 2008
               eHealth-platform als organisatie
   • opdrachten
        – afspreken van een taakverdeling inzake de inzameling, de
          validatie, de opslag en de terbeschikkingstelling van gegevens
          die over het samenwerkingsplatform worden uitgewisseld en van
          kwaliteitsnormen terzake
        – bevorderen en coördineren van de verwezenlijking van
          programma’s en projecten die de visie en strategie uitvoeren en
          gebruik maken van het samenwerkingsplatform en/of de
          bijhorende basisdiensten
        – coördineren van de ICT-gerelateerde aspecten van
          gegevensuitwisseling in het kader van elektronische
          patiëntendossiers en elektronische medische voorschriften
        – optreden als onafhankelijke trusted third party (TTP) voor het
          coderen en anonimiseren van persoonsgegevens m.b.t. de
          gezondheid

Frank Robben                           36                         29 februari 2008
               eHealth-platform als organisatie
   • opdrachten
        – motor zijn van nodige veranderingen voor de uitvoering van de
          visie en strategie
        – organiseren van de samenwerking met andere overheids-
          instanties die belast zijn met de coördinatie van de elektronische
          dienstverlening




Frank Robben                            37                           29 februari 2008
               eHealth-platform als organisatie
   • organen
        – Beheerscomité
               • zorgverleners en zorginstellingen
               • Ordes van Geneesheren en Apothekers
               • ziekenfondsen
               • overheidsdiensten met bevoegdheden inzake gezondheidszorg: FOD
                 Volksgezondheid, RIZIV, FOD Sociale Zekerheid, Federaal Kenniscentrum
                 voor de Gezondheidszorg, Federaal Agentschap voor Geneesmiddelen en
                 Gezondheidsproducten
               • vertegenwoordigers van de Ministers van Volksgezondheid, Sociale Zaken,
                 Informatisering en Begroting
               • met raadgevende stem, vertegenwoordigers van de Kruispuntbank van de
                 Sociale Zekerheid
        – Overlegcomité met werkgroepen: alle relevante stakeholders




Frank Robben                                    38                               29 februari 2008
                   Stand van zaken
   • bestaande eHealth-platform



   • bestaande basisdiensten



   • bestaande gevalideerde authentieke bronnen



   • bestaande en in uitbouw zijnde diensten met
     toegevoegde waarde

Frank Robben                    39                 29 februari 2008
                          Het eHealth-platform
                                         Patiënten en
        PortaHealth                      zorgverleners                             Portaal SZ
                SVA
                 SVA                                                                   SVA
                                                                                        SVA
                  SVA
                  DTW                                                                    SVA
                                                                                         DTW
                        Site FOD SZ                                 Site RIZIV
                            SVA
                             SVA        Portal        MyCareNet         SVA
                                                                         SVA
                              SVA
                              DTW      eHealth                            SVA
                                                                          DTW
                                                         SVA
                                                          SVA
                                                           SVA
                                                           DTW

Gebruikers

   eHealth-
   platform                 Platform met basisdiensten


        GAB             GAB           GAB             GAB         GAB            GAB
Leveranciers

 Frank Robben                                    40                                29 februari 2008
                    Het eHealth-platform
   • basisdienst
        – een dienst ontwikkeld en ter beschikking gesteld door het
          eHealth-platform, die door de aanbieder van een dienst met
          toegevoegde waarde kan worden gebruikt bij het ontwikkelen en
          aanbieden van een dienst met toegevoegde waarde


   • dienst met toegevoegde waarde (DTW)
        – een dienst die ter beschikking wordt gesteld van de patiënten
          en/of van de zorgverleners
        – de instantie die instaat voor de ontwikkeling en de terbeschik-
          kingstelling van een dienst met toegevoegde waarde kan hiertoe
          gebruik maken van de basisdiensten aangeboden door het
          eHealth-platform



Frank Robben                           41                         29 februari 2008
                    Het eHealth-platform
   • gevalideerde authentieke bron (GAB)
        – een gegevensbank met informatie waarop het eHealth-platform
          een beroep doet
        – de beheerder van de gegevensbank is verantwoordelijk voor de
          beschikbaarheid en de (organisatie van de) kwaliteit van de ter
          beschikking gestelde informatie




Frank Robben                           42                          29 februari 2008
          Reeds beschikbare basisdiensten
   • netwerk, gebaseerd op bestaande infrastructuur
     (internet, Carenet, extranet sociale zekerheid, FedMAN,
     …)
   • portaalomgeving (https://www.behealth.be), met o.a.
        – content management system
        – zoekmotor
   • persoonlijke elektronische brievenbus voor elke
     zorgverlener
   • geïntegreerd gebruikers- en toegangsbeheer
   • orchestratie van processen
   • beheer van loggings
   • in ontwikkeling
        – codering en anonimisatie
        – time stamping
Frank Robben                          43               29 februari 2008
Portaal
Portaal
         Gevalideerde authentieke bronnen
   • kadaster van de zorgverleners
        – beheerder: FOD Volksgezondheid, Veiligheid van de
          Voedselketen en Leefmilieu
        – bevat informatie over het diploma en de specialiteit van een
          zorgverlener geïdentificeerd aan de hand van zijn
          identificatienummer sociale zekerheid (INSZ)
   • gegevensbank met de RIZIV-erkenningen
        – beheerder: RIZIV
        – bevat informatie over de erkenning door het RIZIV van een
          zorgverlener geïdentificeerd aan de hand van zijn INSZ
   • gegevensbank met de personen die gemandateerd zijn
     om op te treden namens een zorginstelling
        – beheerder: RSZ (onderdeel gebruikersbeheer ondernemingen)
        – bevat informatie over welke personen geïdentificeerd aan de
          hand van hun INSZ gemandateerd zijn om namens een
          zorginstelling welke toepassingen te gebruiken
Frank Robben                            46                          29 februari 2008
         Diensten met toegevoegde waarde
   • in productie
        – invoer in en raadpleging van Kankerregister
        – Medattest


   • in test
        – elektronische geboorte-aangifte (eBirth)
        – facturatie derde betaler


   • in ontwikkeling
        – Medic-e
        – ondersteuning elektronisch zorgvoorschrift in ziekenhuizen
        – ondersteuning anonimisering en codering voor RIZIV en IMA


Frank Robben                            47                       29 februari 2008
      Invoer en raadpleging Kankerregister
   • aanbieder: Stichting Kankerregister

   • gebruikers: oncologen binnen zorginstellingen en laboratoria

   • functionaliteit: op een elektronische wijze informatie ingeven in het
     Kankerregister en toegang hebben tot de ingebrachte informatie

   • gebruikte basisdiensten:
        –      identificatie en authenticatie van de identiteit van de gebruiker (eID)
        –      verificatie van de hoedanigheid van arts met een RIZIV-erkenning
        –      elektronische brievenbus (publicatie van documenten)
        –      logging



Frank Robben                                     48                                29 februari 2008
                                  Medattest
   • aanbieder: RIZIV

   • gebruikers: artsen, tandartsen, kinesisten, verplegers, logopedisten,
     orthopedisten, zorginstellingen en hun mandatarissen

   • functionaliteit: on-line bestellen van zorgvoorschriften

   • gebruikte basisdiensten
        – identificatie en authenticatie van de identiteit van de gebruiker
          (eID of gebruikersnummer-paswoord-burgertoken)
        – verificatie van de hoedanigheid van de gebruikers
        – verificatie van het mandaat
        – logging


Frank Robben                                 49                               29 februari 2008
               Elektronische geboorteaangifte
   • aanbieders: Fedict, Rijksregister en Kruispuntbank Sociale
     Zekerheid

   • gebruikers: artsen, vroedvrouwen en verplegers in ziekenhuizen

   • functionaliteit: elektronisch aangeven van de geboorte van een kind

   • gebruikte basisdiensten
        – portaal
        – identificatie en authenticatie van de identiteit van de gebruiker
          (eID of gebruikersnummer-paswoord-burgertoken)
        – verificatie van de hoedanigheid van de gebruikers
        – verificatie van het mandaat
        – logging

Frank Robben                                 50                               29 februari 2008
                  Facturatie derde betaler
   • aanbieder: Nationaal Intermutualistisch College

   • gebruikers: verplegers, hun groeperingen en mandatarissen

   • functionaliteit: op een elektronische wijze de facturen derde betaler
     overmaken aan de ziekenfondsen

   • gebruikte basisdiensten
        – identificatie en authenticatie van de identiteit van de gebruiker
          (eID of gebruikersnummer-paswoord-burgertoken)
        – verificatie van de hoedanigheid van verpleger met een RIZIV-erkenning
        – verificatie van het mandaat
        – elektronische brievenbus (publicatie van documenten)
        – logging

Frank Robben                              51                            29 februari 2008
                                  Medic-e
   • aanbieder: FOD Sociale Zekerheid

   • gebruikers: artsen die gehandicapten evalueren

   • functionaliteit: op een elektronische wijze de evaluatie van de
     gehandicapten inbrengen in het informatiesysteem van de FOD
     Sociale Zekerheid

   • gebruikte basisdiensten
        – identificatie en authenticatie van de identiteit van de gebruiker
          (eID of gebruikersnummer-paswoord-burgertoken)
        – verificatie van de hoedanigheid van arts met een RIZIV-erkenning
        – elektronische brievenbus (publicatie van documenten)
        – logging

Frank Robben                               52                             29 februari 2008
 Elektronisch zorgvoorschrift in zorginstellingen
   • onderzoek vereiste functionaliteiten
        – functionaliteiten vooraleer voorschrift kan verwerkt worden
               • authenticatie van de identiteit van de voorschrijver
               • verificatie van de hoedanigheid van de voorschrijver
               • systeem dat waarborgt dat het voorschrift niet meer onmerkbaar gewijzigd
                 kan worden na de toepassing van de methoden voor het waarborgen van de
                 integriteit en de elektronische datering
               • authenticatie van de identiteit, verificatie van de hoedanigheid van de
                 voorschrijver, waarborgen van de integriteit en elektronische datering moet
                 gebeuren voor elk individueel voorschift
               • de tijd nodig voor de authenticatie van de identiteit, de verificatie van de
                 hoedanigheid en het waarborgen van de integriteit mag niet meer zijn dan ¼
                 seconde per voorschrift
               • eenzelfde voorschrijver moet zonder overhead kunnen switchen tussen
                 meerdere plaatsen van waaruit hij wil voorschrijven
               • locale validatie dat het voorschrift na het toepassen van de methode voor
                 het waarborgen van de integriteit niet gewijzigd is



Frank Robben                                      53                                 29 februari 2008
 Elektronisch zorgvoorschrift in zorginstellingen
   • onderzoek vereiste functionaliteiten
        – functionaliteiten terwijl voorschrift verwerkt wordt
               • de elektronische datering moet onmiddellijk na de toepassing voor de
                 methode voor het waarborgen van de integriteit worden aangevraagd en
                 geschieden binnen maximaal 30 seconden na de aanvraag
        – organisatorische vereisten
               • snelheid van vervanging van een authenticatiemiddel indien onbruikbaar
               • tracability van wie wanneer welke verwerking heeft verricht m.b.t. het
                 aanmaken van het voorschrift (bijgehouden gedurende een vastgelegde
                 periode)
               • tracability van de inhoud en het moment van elke aanvraag en verwerking
                 van een aanvraag tot revocatie van een authenticatiemiddel
        – bijzonder aandachtspunt
               • er moet worden vermeden dat zorginstellingen met verschillende systemen
                 voor authenticatie van de identiteit, verificatie van de hoedanigheid,
                 waarborgen van de integriteit van documenten, elektronische datering, …
                 worden geconfronteerd voor verschillende soorten van processen


Frank Robben                                    54                                29 februari 2008
 Elektronisch zorgvoorschrift in zorginstellingen
   • voorstel van oplossing
        – de authenticatie van de identiteit en de verificatie van de
          hoedanigheid geschiedt locaal en gebeurt minstens aan de hand
          van een user-id, een paswoord [en iets dat men bezit], op
          voorwaarde dat elke voorschrijver een document ondertekent
          dat alles wat qua identiteit en hoedanigheid wordt
          geauthentiseerd aan de hand van zijn user-id, zijn paswoord [en
          zijn element van bezit], onder zijn verantwoordelijkheid valt
        – de voorschriften worden gehasht
        – de hashingresultaten (dus niet het inhoudelijk voorschrift zelf !)
          worden door het eHealth-platform getimestamped
        – er worden duidelijke organisatorische regels inzake het beheer
          van de user-id’s, de paswoorden [en de elementen van bezit]
          neergelegd in een KB in uitvoering van artikel 21 van het KB nr.
          78, die worden gebaseerd op de resultaten van Elodis
        – een reglementering wordt uitgewerkt die de voorwaarden
          aangeeft waaronder naschriften mogelijk zijn

Frank Robben                            55                           29 februari 2008
      Nieuwe aanvragen om ondersteuning
   • FOD Volksgezondheid, Veiligheid van de Voedselketen
     en Leefmilieu
        – herziening van de toepassing voor het verstrekken van een
          machtiging tot orgaandonatie (Orgadon)
        – informatie over therapeutische projecten
        – tracering van bloed
   • Federaal Agentschap voor Geneesmiddelen en
     Gezondheidsproducten
        – toepassing voor de ethische comités
   • consortium ePrescription (apothekers, artsen en
     ziekenfondsen)
        – elektronisch voorschift in de ambulante sector
   • Vlaams Agentschap voor Zorg en Gezondheid
        – VESTA: platform voor gegevensuitwisseling tussen het
          Agentschap en de door haar erkende diensten
Frank Robben                            56                        29 februari 2008
               Kritische succesfactoren
   • samenwerking tussen alle actoren in de gezondheids-
     zorg, gebaseerd op een taakverdeling eerder dan op een
     centralisering van de taken
   • adequate maatregelen inzake informatieveiligheid en
     bescherming van de persoonlijke levenssfeer
   • vertrouwen van alle stakeholders inzake het behoud van
     de nodige autonomie en van de veiligheid van het
     systeem
   • eerst uitbouw uitwisselingsplatform en instelling
     benodigde organen (eHealth-platform als organisatie,
     samenwerkingsplatform, Sectoraal Comité, …), en
     daarna inhoudelijke uitwerking in de schoot van deze
     organen
   • quick wins in combinatie met een visie op lange termijn
   • wettelijk kader
Frank Robben                    57                    29 februari 2008
                    Voor meer informatie

   • portaal eHealth-platform
        – https://www.behealth.be



   • persoonlijke website Frank Robben
        – http://www.law.kuleuven.ac.be/icri/frobben




   • website Kruispuntbank van de Sociale Zekerheid
        – http://www.ksz.fgov.be



Frank Robben                           58              29 februari 2008
D@nk u !

Vragen ?

								
To top