Binnen het programma Implementatie generieke functies is een belangrijke vervolgstap gezet: de tweede fase van de Proof of Concept (PoC) Netwerkzorg is succesvol afgerond.
In deze fase is Policy Based Access Control (PBAC) beproefd als methode voor autorisatie – een cruciaal onderdeel van veilige en doelgerichte gegevensuitwisseling binnen netwerkzorg. De resultaten van de beproeving tonen aan dat PBAC een werkbare en effectieve aanpak voor autorisatie in netwerkzorg is.
Waar de eerste PoC zich richtte op het kunnen vinden van volledige patiëntgegevens, stond in deze tweede fase de vraag centraal: hoe zorgen we dat alleen díe zorgverleners toegang krijgen tot de juiste gegevens, op het juiste moment, vanuit hun rol en verantwoordelijkheid?
Het doel van deze PoC was om PBAC als implementatie van de generieke functie Autorisatie te toetsen in een realistische setting. Hierbij werd gekeken naar de praktische toepasbaarheid van PBAC-concepten en het beproeven van autorisatieregels in relatie tot netwerkzorg.
PBAC stelt ons in staat om toegang tot gezondheidsinformatie precies af te stemmen op wet- & regelgeving en beleid: alleen zorgverleners die aan specifieke voorwaarden voldoen – zoals rol of behandelrelatie – krijgen toegang tot gezondheidsinformatie. Dat verhoogt niet alleen het vertrouwen bij patiënten. Het maakt ook veilige samenwerking over de organisatiegrenzen heen mogelijk en eenvoudiger.
Marieke Lieverdink, Implementatiemanager netwerkzorg CareCodex – CMIO
Er is een technische proeftuin opgezet, waarin verschillende componenten en systemen met elkaar zijn verbonden. De policy’s – opgesteld in de open source taal Rego – zijn uitgerold op Open Policy Agents (OPA) binnen zowel de Nationale Verwijs Index (NVI) als in de open source viewer ORCA.
Belangrijke elementen uit de eerste fase – zoals de NVI, de Landelijk Metadata Registers (LMR’s) en de IHE Directory – zijn hergebruikt om tot een representatieve proeftuin te komen. Dit zorgde voor een samenhangende en realistische testomgeving.
Gerard Freriks, Voorzitter van de werkgroep bij CEN – NEN was aanwezig bij de PoC: Fijn om te zien dat internationale specificaties die bijvoorbeeld door IHE, ISO en OMG op papier worden bedacht ook te realiseren zijn in praktijk.
De resultaten van deze tweede fase zijn veelbelovend:
PBAC-concepten zijn succesvol toegepast op meerdere systemen.
Autorisatieregels zijn in Rego opgesteld op basis van representatieve use cases en correct uitgevoerd op zowel de NVI als ORCA.
Aangetoond is dat dezelfde policy overal correct werkt – een belangrijke stap richting eenduidige en herbruikbare autorisatie.
Het gebruik van open source technologieën versterkt transparantie en samenwerking tussen partijen.
Deelnemende partijen in deze tweede fase waren, net als in fase 1:
Santeon
CareCodex
Daarnaast leverde Vecozo gericht advies op het gebied van PBAC. Door deze samenwerking is een solide, praktijkgerichte proeftuin ontstaan waarin beleid en techniek samenkomen.
Met deze tweede fase is weer een mijlpaal bereikt in het realiseren van generieke functies voor veilige gegevensuitwisseling in de zorg. Mogelijke vervolgstappen zijn:
Het beproeven van de werking van rolcodes
Het beproeven van Toestemmingen
Deze vervolgstappen bouwen voort op het fundament dat met PBAC is gelegd en dragen bij aan het realiseren van betrouwbare, toekomstbestendige netwerkzorg. Hiermee zetten we samen weer een stap naar kwalitatief goede, toegankelijke en betaalbare zorg voor iedereen.
Het vertalen van landelijke afspraken over generieke functies naar werkende software is essentieel om te komen tot databeschikbaarheid. Mooi om te zien dat na lokalisatie en adressering nu ook voor de generieke functie autorisatie werkende software is gemaakt die open source beschikbaar wordt gesteld. Zo wordt de drempel om de landelijke afspraken te implementeren steeds lager! - Jorrit Spee & Bram Wesselo - Santeon
