[Req 29]: Als zorgaanbieder wil ik rechtszekerheid en duidelijkheid hoe de verantwoordelijkheid ligt voor zaken zoals het autorisatiebeleid, en wat nodig is om aan deze verantwoordelijkheid te voldoen onder de verschillende grondslagen.

[MLHoekstra]

Discussie

De requirement is onduidelijk en bevat meerdere elementen.

Dit lijkt te gaan over autorisaties. Autorisaties worden geborgd binnen de NEN Autorisaties en de bijbehorende functie en werkgroepen.

Het gaat ook over verantwoordelijkheid en rechtszekerheid. De vraag is net als #28 of het betrekking heeft op een eventueel afsprakenstelsel.

Hoe een OTV werkt heeft impact op het afsprakenstelsel.

Het gaat om de interpretatie van de toestemmingsvraag in het brede geheel van een autorisatie. Daarom kunnen we hem buiten scope plaatsen en zorgen dat dit bij de andere tafels terecht komt.

Dit kan ook nog gaan over de autorisatie binnen de OTV, wie mag wat binnen de functie doen. Autorisatiebeleid van de OTV.

Autorisatie tot de OTV, wie mag wat op de diverse koppelvlakken (APIs en UI).

Er is wel vanuit een behoefte van de zorgaanbieder om scherpte te hebben of de OTV ook over autorisaties gaat.

[stevenvegt]

Zoals besproken op 29 maart: komt te vervallen, ten gunste van de volgende nieuwe requirements:

1. Een OTV moet gebruikers en systemen kunnen autoriseren voor het gebruik van functionaliteiten
2. De vastgelegde toestemmingen moeten gebruikt kunnen worden in een autorisatie(beleid) voor het ontsluiten van gegevens
3. Als zorgaanbieder (dossierhouder) wil ik duidelijkheid over welke autorisaties wel en niet door de OTV worden verricht, zodat het duidelijk is wat mijn verantwoordelijkheid is.