Als zorgtoepassing wil ik dat zorgverleners en zorgaanbieders toegang kunnen krijgen tot de centrale adresseringsfunctie met een passende autorisatiefunctie.

[stevenvegt]

Niet alle gegevens in de adresseringsfunctie zijn relevant voor alle bevragingen. Op basis van de autorisatie worden bepaalde gegevens wel of niet doorgegeven cq. beschikbaar gesteld.

[VWSLANS]

Niet voor deze werkgroep. Wordt in de andere werkgroepen opgepakt

[ldebruinvecozo]

Wat is de reden dat dit niet als requirement op de generieke functie adressering wordt gezien? In welke werkgroep wordt het opgepakt? Het lijkt me in ieder geval wel belangrijk om vanuit de werkgroep Adressering iets te vinden over welke partijen voor welke doeleinden toegang moeten krijgen tot welke adresgegevens. Twee gedachten daarbij:

1. Voor adresgegevens die herleidbaar zijn tot natuurlijke personen (bijv. persoonlijk emailadres) zal raadpleging waarschijnlijk vanuit de AVG technisch beperkt moeten worden tot gebruik vanuit een heldere wettelijke grondslag (of expliciete toestemming betrokkene).
2. Voor adresgegevens die niet herleidbaar is tot natuurlijke personen, is mijn voorstel om uit te gaan van 'raadpleegbaar voor zorg gerelateerde partijen, tenzij er een zwaarwegende reden is hiervan af te wijken'. Tenslotte is het idee dat we het makkelijk gaan maken om te adresseren.

[Settelsm]

Ik onderschrijf commentaar hierboven. Het inrichten van een beheerfunctie voor zowel de registers, leveranciers, regio-organisaties, data-leveranciers (technische endpoints) vereist goede afstemming en invulling. Alle gegevens in het zorgadresboek moeten een eigenaar hebben maar ook voorzien van toestemming voor publicatie.

[GTukker]

Kunnen we dit punt 26-03-24 bespreken?

[CS-Olav]

Waarom is autorisatie voor toegang tot adressen noodzakelijk? Het postadres van een zorginstelling staat over het algemeen ook gewoon op hun website en wordt niet geheim gehouden, niet om te vermijden dat er onbedoelde berichten heen worden gestuurd, noch om te vermijden dat iemand vuurwerk in de brievenbus gooit om maar iets te noemen. Als dit als beveiligingsmaatregel is bedoeld lijkt het "security by obscurity", wat over het algemeen geen goed idee is. Ik mis een uitleg op wat het doel van deze requirement dan wel is.

[ldebruinvecozo]

Waarom is autorisatie voor toegang tot adressen noodzakelijk? Het postadres van een zorginstelling staat over het algemeen ook gewoon op hun website en wordt niet geheim gehouden, niet om te vermijden dat er onbedoelde berichten heen worden gestuurd, noch om te vermijden dat iemand vuurwerk in de brievenbus gooit om maar iets te noemen. Als dit als beveiligingsmaatregel is bedoeld lijkt het "security by obscurity", wat over het algemeen geen goed idee is. Ik mis een uitleg op wat het doel van deze requirement dan wel is.

Het doel van de adresseringsfunctie is om de adressen van zorgpartijen eenvoudig vindbaar te maken. Het uitgangspunt lijkt mij dan ook te moeten zijn dat de adresgegevens in de basis door alle gebruikers van de adresseringsvoorziening geraadpleegd kunnen worden. In de werkgroep is ook besproken dat er mogelijk uitzonderingen zijn op deze regel. Gesproken is o.a. over adresgegevens die herleidbaar zijn tot natuurlijke personen of adresgegevens waarvoor bij de oorspronkelijke verstrekking contractuele afspraken gemaakt zijn over de voorwaarden waaronder de gegevens gedeeld mogen worden. Voor dit soort situaties lijkt een vorm van autorisatie gewenst.

[stevenvegt]

Zoals besproken in de werkgroep 23 april:

Kern zit in het woord passend, voor publieke gegevens hoeft er misschien niet geautoriseerd te worden, maar voor de persoonlijke gegeven van bijv. je collega's moet je kunnen aantonen dat zelf ook een zorgverlener bent. Dus het moet mogelijk zijn bepaalde gegevens af te schermen zijn, afhankelijk van de context.