Nieuwsbrief - Maart 2025 🇳🇱

Beste lezers,

De lente hangt in de lucht en met de maand maart breekt er een periode van vernieuwing en groei aan. In deze nieuwsbrief geven wij een update over een aantal projecten en
ontwikkelingen en leggen wij meer uit over “vertrouwen in de keten” en hetgeen Founda Health hierin kan betekenen.

Veel leesplezier!

Team Founda Health

DUO Haalbaarheidsonderzoek

Niet iedereen zal op de hoogte zijn wat het DUO haalbaarheidsonderzoek is en welke conclusies daaruit getrokken zijn. Toch is het van groot belang voor zorginstellingen die gebruik maken van het Founda Health Platform. DUO is een voorstel vanuit leveranciers en zorginstellingen die inzetten op het gebruik van IHE profielen om zo op een open, duurzame en gestandaardiseerde manier informatie te kunnen uitwisselen en tegelijkertijd vormen van “vendor lock-in” en markt monopolisatie te voorkomen. Het voorstel was het antwoord van voornoemde partijen op het besluit van het DTO vorig jaar maart om groen licht te geven voor de “TLB pilot”. 



De “TLB pilot” heeft parallel aan het DUO haalbaarheidsonderzoek gekeken naar de mogelijkheid voor een tijdelijke oplossing voor het uitwisselen van radiologische informatie die voortbouwt op het bekende DVDExit/Twiin Portaal. Deze tijdelijke oplossing is onder andere gepositioneerd om te kunnen voldoen aan IZA tijdlijnen, en als antwoord op de veel gehoorde roep vanuit zorgprofessionals om vaart te maken met een oplossing. Tegelijkertijd zijn er ook zorgen rondom de (juridische) haalbaarheid, de kosten ervan en de tijdigheid van de TLB oplossing gezien de grote afhankelijkheid van een aantal nationale voorzieningen waarvan de adoptie nog aanzienlijk moet groeien. 

De uitkomst van het DUO haalbaarheidsonderzoek is dat het wel degelijk mogelijk is om bestaande systemen te koppelen zodat uitwisseling van informatie, die nodig is voor een “landelijke tijdslijn” van beschikbare (beeld)informatie, op korte termijn duurzaam te realiseren. Hierdoor is het niet nodig tijdelijke oplossingen uit publieke middelen te financieren, maar in plaats daarvan beschikbare (financiële) middelen in te zetten om toekomstvaste oplossingen te realiseren.

In het DTO van 20 maart jl is deze conclusie bekrachtigd. Founda Health werkt samen met de andere betrokken partijen om op korte termijn de koppeling tussen XDS en TLB infrastructuren te testen zodat zorginstellingen kunnen kiezen om hun bestaande XDS infrastructuur te koppelen met ziekenhuizen die voor mogelijk voor TLB kiezen. Daarnaast zal onder regie van VWS de doorgroei van DUO naar de toekomstige NEN7541 en EHDS richtlijnen worden geborgd

Update TWIIN afsprakenstelsel

In de afgelopen weken hebben de eerste zorginstellingen en leveranciers gecommuniceerd over het TWIIN afsprakenstelsel dat naast een governance raamwerk ook technisch inhoudelijke afspraken vastgelegd hoe, binnen bepaalde use-cases, zorginformatie kan worden uitgewisseld. 

Founda Health, in samenwerking met een aantal andere leveranciers, werkt al een aantal maanden aan het opstellen van een nieuwe “technische afspraak” voor het delen van (medische) beelden en daaraan gerelateerde informatie zoals verslagen. De aanleiding hiervoor is onder meer omdat we vaker de vraag krijgen hoe Founda Health zich tot TWIIN verhoudt. Maar ook omdat vanuit Founda altijd mee willen werken aan informatieuitwisseling op basis van open en internationaal geaccepteerde (communicatie)standaarden. 

Een aantal jaren geleden is op eenzelfde manier binnen de “Taskforce Samen Vooruit” al een technische afspraak tot stand gekomen die model heeft gestaan voor de koppelingen tussen verschillende XDS infrastructuren. Zo zijn al sind jaar en dag de infrastructuren van Enovation en Founda Health gekoppeld. Minder bekend is wellicht dat ook de koppelingen met Epic CareEverwhere, het Chipsoft Zorgplatform en het Open Line Vitaly MDO Portaal obv dezelfde afspraken tot stand gekomen zijn. Dagelijks worden er vele duizenden medische documenten en beelden tussen deze infrastructuren uitgewisseld. 

In de afgelopen maanden zijn we met TWIIN in gesprek gegaan om de bestaande Technische Afspraak (TA) om te zetten in een TWIIN TA en daarbij de afspraken op onderdelen te vernieuwen en in lijn te brengen met de NEN7541 die parallel in ontwikkelings is.

We hopen samen met de betrokken partijen in de komende weken voortgang te maken zodat er binnenkort een nieuwe, bijgewerkte TA kan worden gepubliceerd. 

Founda Health wint H3 aansteding in Hamburg

In de afgelopen maanden heeft Founda Health in samenwerking met haar partners Unity AG en Pansoma Gmbh meegedongen naar de uitvraag van het Health Harbor Hamburg (H3) initiatief. Dit initiatief dat in 2019 is gestart, werkt aan een regionale infrastructuur die diverse zorginstellingen in de regio verbindt. Samen met haar partners levert Founda Health een volledige (AWS) cloud gebaseerde infrastructuur die ziekenhuizen in de regio in staat stelt (radiologische) beelden en verslagen met elkaar te delen conform de strikte Duitse regelgeving voor patiënt toestemming.

Ook in Duitsland ligt de nadruk op open en gestandaardiseerde informatie-uitwisseling. Gedurende het aanbestedingsproces hebben Founda Health en haar partners kunnen aantonen dat onze oplossing volledig is gebaseerd op internationaal geaccepteerde en bewezen IHE profielen. Wij zijn dan ook trots gekozen te zijn om onze oplossingen aan zorginstellingen in Hamburg te mogen leveren.   




Vertrouwen in de keten
Wat is “vertrouwen in de keten”

De “circle of trust” is essentieel om systemen van verschillende zorgaanbieders binnen een netwerk voor de uitwisseling van gezondheidsinformatie aan elkaar te koppelen. De ‘cirkel’ wordt gecreëerd door het verspreiden van vertrouwensrelaties ('federated trust') tussen organisaties die gezondheidsinformatie delen. Dergelijke vertrouwensrelaties worden vaak gereflecteerd in gebruikelijke netwerk beveiligingsmaatregelen zoals VPN's, encryptie en systeemcertificaten. Vertrouwen in de keten gaat echter verder dan deze maatregelen omdat het ook inhoudt dat zorginstellingen in het netwerk hun gebruikers op de juiste manier authenticeren en autoriseren, de toestemming van hun patiënten beheren en toepassen, en zich houden aan de overeengekomen juridisch bindende overeenkomsten voor het delen van privacy gevoelige informatie.

Samenvattend: “vertrouwen in de keten” is gebaseerd op de veronderstelling dat je erop kunt vertrouwen dat een zorgverlener die toegang vraagt ​​tot de gezondheidsinformatie die jij bezit, net zo ‘betrouwbaar’ is als jijzelf. 

Omdat we te maken hebben met gezondheidsinformatie die als zeer privacygevoelig wordt beschouwd, en we in een sterk gereguleerd zorgsysteem leven, is het belangrijk dat we vertrouwen kunnen afdwingen binnen een netwerk waarin gezondheidsinformatie wordt uitgewisseld. Naast de eerder genoemde beveiligingsmaatregelen omvat dit onder meer maatregelen om de (digitale) identiteit van een (externe) gebruiker te controleren, toegangscontrole uit te voeren (rol- of attribuut-gebaseerd) en de toestemming van de patiënt te controleren voordat gezondheidsinformatie openbaar wordt gemaakt.  

IHE heeft verschillende profielen die de verschillende aspecten van de vertrouwenscirkel bestrijken. Het Audit Trail and Node Authentication (ATNA) profiel legt bijvoorbeeld het gebruik van systeemcertificaten vast om een ​​vertrouwensrelatie tot stand te brengen tussen verschillende systemen binnen een zorginformatienetwerk. In de IHE XUA- en IUA-profielen wordt uitgelegd hoe je SAML- of Json-webtokens kunt gebruiken om betrouwbare (gebruikers)identiteitsinformatie te delen. Bovendien helpen de IHE BPPC- en APPC-profielen om de toestemming van patiënten vast te leggen op een manier waarop transparant kan worden gemaakt welke toestemmingsopties een patiënt heeft gekozen om zijn/haar gezondheidsinformatie te delen.

Om terug te komen op de vraag "wat is vertrouwen in de keten"? Dat is het vermogen van een deelnemer in een zorginformatienetwerk om "vertrouwde informatie" te delen met andere deelnemers binnen het zorginformatienetwerk, waardoor zij een beslissing kunnen nemen over het al dan niet vrijgeven van gezondheidsinformatie van patiënten.

Hoe werkt het in praktijk

Het Founda Health platform voert altijd drie basiscontroles uit voordat gezondheidsinformatie van een patiënt wordt vrijgegeven.

Controle 1: Valideer de identiteit van het aanvragende systeem

Aangezien een menselijke gebruiker altijd een (digitale) applicatie gebruikt om toegang te krijgen tot informatie binnen een zorginformatienetwerk, valideert ons platform altijd de identiteit van de "vragende applicatie" door het digitaal certificaat van deze applicatie te verifiëren.

Het beheren van certificaten in een groot netwerk vergt tijd en moeite. Er moet bijvoorbeeld worden nagedacht welke certificeringsinstanties worden vertrouwd, en welke niet. Het kan helpen om dit aan derden te delegeren. De Nederlandse UZI servercertificaten zijn een voorbeeld van certificaten die uitgegeven zijn door een vertrouwde derde partij.

Controle 2: Valideer de identiteit van de aanvragende gebruiker

Zodra we erop vertrouwen dat de aanroepende applicatie een transactie namens een gebruiker zal initiëren, volgt de tweede controle: het valideren van de identiteit-claims die de applicatie maakt over zijn gebruiker.

Op vergelijkbare wijze als vertrouwde systeemidentiteiten wordt ook geverifieerd of deze identiteit-claims door een vertrouwde partij worden gemaakt. Bijv. door DigiD of door een Identity en Access Management systeem van een andere deelnemer.

Controle 3: heeft de patiënt toestemming gegeven

De laatste controle bestaat uit het koppelen van de gegevens die in de voorgaande stappen zijn verzameld aan een vooraf gedefinieerd toegangscontrolebeleid. De “toegangscontrole” resulteert in een beslissing of toegang wordt verleend of dat toegang wordt geweigerd. 

Deze laatste stap wordt uitgevoerd met behulp van een intern "Policy Decision Point (PDP)" dat in elke component is ingebouwd. Het PDP wordt "gevoed" met een reeks beleidsregels. Dergelijke regels kunnen in een of meer configuratiebestanden worden opgenomen zodat ze makkelijk gedeeld kunnen worden tussen de diverse componenten van het Founda Health platform. 

Goede beslisbomen maken is een hele kunst waarvoor inhoudelijke kennis van zowel de XACML standaard als lokaal vastgelegde beleidsregels nodig zijn. 

Het interne PDP dat binnen het Founda Health platform wordt gebruikt, is gebaseerd op XACML gedefinieerd door OASIS. In de kern is XACML een "attribuut gebaseerde toegangscontrole"-model waarmee u toegangsbeslissingen kunt nemen door de attributen van zowel de aanvragende entiteit als de "resource" waarvoor toegang wordt gevraagd, te evalueren. Ook de door een patiënt gegeven (of niet gegeven) toestemming kan worden geëvalueerd.

Het Founda Health-platform verzamelt dergelijke attributen van externe systemen en externe gebruikers door gebruik te maken van de hiervoor genoemde IHE ATNA-, XUA-, IUA-, en BPPC-profielen en deze te combineren met document metadata.