albertvlug
commented
1 day ago De autoriteit persoonsgegevens beschouwt de combinatie URA-BSN (of algemener: zorgaanbieder-id in combinatie met patient-id) als gegevens over een persoon betreffende diens gezondheid. Bijzondere persoonsgegevens dus. Deze vallen onder beroepsgeheim van behandelaar en vereisen dus toestemming (verondersteld dan wel uitdrukkelijk) om dat beroepsgeheim te doorbreken. Voor het elektronisch beschikbaar stellen van deze lokalisatiegegevens is uitdrukkelijk toestemming vereist (kan niet verondersteld worden). Een uitdrukkelijke toestemming moet specifiek zijn, dus aan een bronhouder gegeven kunnen worden, maar specifiek voor een bepaalde groep zorgaanbieders. Dat houdt in dat de NVI tbv autorisatie een zorgaanbiedertype moet bevatten. Immers als een huisarts de eigen patienten-ids upload in de NVI, maar de patient heeft die huisarts tostemming gegeven om alleen met ziekenhuizen uit te wisselen, dan mag een apotheek die vraagt bij welke huisarts de patient zit, niets zien.
Aanleiding
Bij het raadplegen van een NVI en LMR worden er persoonsgegevens vrijgegeven over o.a. de behandelrelatie en zorgcontext. Mag iedereen deze informatie zien? Zo niet, wie bepaald dit en wie moet dit afdwingen?
Stel een fysiotherapeut vraagt lokalisatiegegevens op bij de NVI, mogen ze zien dat er dossiergegevens bij een GGZ instelling zijn?
Opties
Er wordt een autorisatiematrix bijgebouden welke door de NVI wordt afgedwongen. Bij een raadpleging moet de raadpleger zich authentiseren dmv een organisatietype of rolcode. De NVI weet van elke regel het type bronhouder en filtert op basis van het organisatie-type van de bronhouder, rolcode van de raadpleger en type zorg de resultaten.
Dit betekent wel dat de data uit het NVI, alleen gedeeld mag worden met partijen die deze filtering kannen en mogen uitvoeren.
Dit moet samen met het Stelsel Autorisaties worden uitgewerkt.