Met de Whitebox worden gegevens direct, één-op-één beveiligd uitgewisseld met andere zorgverleners. Door tussenschakels te vermijden is de techniek minder kwetsbaar voor aanvallers. Bovendien is er geen kans op ‘policy creep’: de neiging van systemen om de toegang tot gegevens op te rekken ten koste van de veiligheid. De techniek is flexibel en eenvoudig te begrijpen. Want de uitwisseling van gegevens binnen het zorgproces is heel natuurlijk: het volgt verwijzingen en receptstromen. Het gebruik van de Whtitebox is daarom eenvoudig en doeltreffend.
De Whitebox werkt met gerichte autorisatie van zorgverleners: push autorisatie. Met push autorisatie stuurt u een autorisatie naar een andere zorgaanbieder. Dat kan bijvoorbeeld door een code op een verwijsbrief of op een recept te zetten. Alleen met de ontvanger van een push-autorisatie kan gegevens opvragen. Andere zorgaanbieders kunnen er niet bij.
Push autorisaties hebben de vorm van een URL, of van een 5 of 6-cijferige code die kan worden omgezet naar een URL. Alle systemen kunnen omgaan met URLs, dit maakt integratie van push autorisatie eenvoudig. Codes kunnen op allerlei manieren verstuurd worden, bijvoorbeeld via een versleuteld Signal bericht of via een papieren recept of een verwijsbrief. URLs zijn lang en moeilijk over te tikken, en zijn daarom meer geschikt voor elektronische recepten of verwijsbrieven, al kunnen die ook een autorisatiecode bevatten.
Een patiënt kan zelf ook een autorisatiecode genereren of meenemen, bijvoorbeeld vanuit een patiëntenportaal. Dit maakt het systeem bijzonder eenvoudig toe te passen.
Autorisaties zijn zo beveiligd dat alleen de ontvanger deze kan gebruiken. Er wordt altijd gecheckt of de ontvanger een een arts is, en bij gebruik van een autorisatiecode of de opvragende partij de juiste code heeft. Een eenmaal gebruikte autorisatie kan niet door een ander gebruikt worden. Dit maakt het systeem zeer goed beveiligd.
Bij Whitebox krijgen alleen direct betrokken (geautoriseerde) zorgaanbieders toegang tot uw gegevens. Door verwijzingen, een receptenstroom of andere middelen te gebruiken die in het zorgproces beschikbaar zijn, sluit het systeem nauw aan bij het bestaande zorgproces.
Veel traditionele systemen geven toegang tot groepen gebruikers, bijvoorbeeld “de apothekers” of “alle specialisten van type X” – rolgebaseerde toegangscontrole heet dit. Dit grofmazige beveiligingsbeleid maakt dat veel meer zorgverleners (en dus potentieel hackers, bijvoorbeeld na het inbreken in een zorgaanbiedersysteem) bij de gegevens kunnen.
Door de toegang te beperken tot alleen direct bij de behandeling betrokken hulpverleners worden gegevens beter beschermd. Daarnaast is het niet nodig om toestemming te vragen voor het delen van gegevens met heel veel zorgverleners tegelijk. Push autorisatie volgt de privacybeschermende principes van specifieke toestemming.
Door het gericht delen (pushen) van autorisaties ontstaat een ‘netwerk van toegang’ rondom de patiënt. Doordat de opbouw van dit netwerk plaatsvindt vanuit het bestaande netwerk van vertrouwde zorgverleners – zoals de huisarts, de eigen apotheker en een betrokken specialist – ontstaat een vertrouwd (patiënt-specifiek) netwerk om de patiënt. Alleen mensen binnen het vertrouwde netwerk kunnen erbij. Vergelijk dit eens met het model van rolgebaseerde toegangscontrole (zie boven) – zelfs social media biedt betere (fijnmaziger) beveiliging dan dat…
Push autorisatie is het best denkbare beveiligingsmodel voor de zorg. Gegevens verlaten de controle van huisarts en patiënt nooit, én de toegang komt alleen terecht bij zorgverleners die bij de behandeling betrokken zijn, met toestemming (verondersteld) van de patiënt.
Niet alle informatie wordt gedeeld; ook dit is precies regelbaar. Er worden standaard filters toegepast om alleen gegevens te ontsluiten die belangrijk zijn in een bepaalde situatie. Dit is mede afhankelijk van de rol van de ontvanger. Zo ziet een apotheker alleen een medicatieoverzicht, intoleranties en allergieën, terwijl een huisarts ook zogeheten ‘episodes’ en soms een aantal consultverslagen te zien krijgt. Welke gegevens precies gedeeld worden is desgewenst per patiënt en per situatie instelbaar, op verzoek van de patiënt.
De huisarts heeft een spilfunctie bij heel veel processen in de zorg. De huisarts is poortwachter van de zorg en als verwijzer voor de meeste zorgprocessen het startpunt. De huisarts wordt geacht op de hoogte te zijn van de belangrijkste ziekte-episodes van patiënt. De huisarts heeft de beste positie om de vertrouwenspersoon van de patiënt te zijn.
Startend een klein “basisnetwerk” rond de patiënt — de huisarts, de eigen apotheek en de huisartsenpost — hebben de belangrijkste partijen in de zorg toegang de belangrijkste informatie van patiënt. De huisarts of diens waarnemer kan een andere zorgverlener toegang geven tot bepaalde gegevens van de patiënt als dat nodig is. Vaak kan dit via het doorgeven van een eenvoudige autorisatiecode.
Een autorisatie geeft de geautoriseerde hulpverlener via een van begin tot eind (end-to-end) beveiligd communicatiekanaal toegang tot relevante gegevens.Met dit communicatiekanaal kan ook informatie teruggestuurd worden naar de (huis)arts. Zo blijft de huisarts op de hoogte van wat zich afspeelt rondom de patiënt.
De zorgverlener is een vertrouwenspersoon voor de patiënt. Een belangrijke voorwaarde voor dit vertrouwen is dat de zorgverlener zelf bepaalt wie welke gegevens mag inzien, en wie niet.
Elke arts heeft de artseneed afgelegd, waar het beroepsgeheim deel uitmaakt. Het ‘geheim houden van al wat de arts in diens praktijk ter oren komt’ (Eed van Hippocrates) is voor elke zorgverlener een zware plicht.
Niemand kan een zorgverlener dwingen om gegevens over zijn patiënt af te staan, zelfs een rechter niet. Elke arts heeft een zogeheten “verschoningsrecht”: dit betekent dat de arts in een rechtzaak niet hoeft te spreken over zaken die een patiënt aangaan, tenzij in zeer uitzonderlijke situaties (denk aan het kunnen voorkomen van een terroristische aanval).
Door bestaande processen rond het delen van medische gegevens – zoals verwijzen of het sturen van een recept – die direct onder regie van een zorgverlener plaatsvinden als uitgangspunt te nemen voor autorisaties, kan gewaarborgd worden dat heel voorzichtig met de persoonlijke gegevens van patiënten omgegaan wordt. Bovendien sluit het systeem hierdoor aan bij de manier van werken die (huis)artsen in de praktijk gewend zijn.
Doordat het systeem aansluit bij de (bestaande) zorgpraktijk is het systeem voor artsen intuïtief te gebruiken. De feedback van gebruikers en patiënten naar aanleiding van een pilot die van 2016 tot 2018 in Amsterdam gedraaid heeft – en die heeft geleid tot in productiename van het systeem door de Huisartsenposten Amsterdam – bevestigt deze aanpak.
Pilot resultatenSpoed stelt specifieke eisen aan de beschikbaarheid van gegevens. Voor situaties van spoed stellen wij twee oplossingen beschikbaar (1) een spoedcode, waarbij de patiënt zelf een zogeheten spoedcode meeneemt waarmee de spoedeisendehulparts een samenvatting van de belangrijkste gegevens bij de huisarts kan ophalen; en (2) een vermelding in een (niet-geanonimiseerde) index via welke zorgverleners de patiënt direct kunnen opzoeken (met een BSN) en de huisartssamenvatting kunnen ophalen.
Beide opties zijn integreerbaar met bestaande systemen, zoals EHDS en het LSP, maar de systemen kunnen ook stand-alone gebruikt worden.