In november 2017 heeft ChipSoft diverse Verdiepingssessies georganiseerd omtrent Zorgplatform. Tijdens de sessies zijn vragen gesteld. De beantwoording leest u hieronder.
De beantwoording is opgedeeld in de volgende onderdelen:
- Aansluiten
- Gegevens overnemen
- Financieel
- API's
- Gespecificeerde Toestemming - GTS
- Privacy
- Overig
Aansluiten
Zien jullie meerdere zorgplatforms in Nederland ontstaan? Wat is jullie visie op uitwisseling van gegevens tussen meerdere zorgplatforms?
Ja. Er zijn al meerdere regionale XDS-platformen. Hier sluit Zorgplatform graag op aan. Momenteel is ChipSoft bezig met de ontwikkeling van XCA, waarmee Zorgplatform kan aansluiten op andere XDS-netwerken.
Waarom zou ik als PGO aansluiten op én MedMij en het CS Zorgplatform?
Het grote voordeel van het aansluiten van een PGO op het Zorgplatform door middel van de MedMij API's, is dat dit een eenmalige aansluiting is waarmee een PGO in één keer alle aangesloten klanten kan bedienen.
Is standaard content benodigd voor aansluiting op zorgplatform?
Standaard content is geen vereiste. Elke instantie kan aansluiten op Zorgplatform.
Wat zijn de exacte technische requirements om aan te kunnen sluiten voor een instelling?
De requirements zullen z.s.m. op onze development website verschijnen.
Heeft ChipSoft overleg met leveranciers van HIS'en over aansluiting op Zorgplatform?
ChipSoft wil met iedereen in de zorg samenwerken en is dus constant met veel leveranciers in overleg, waaronder ook HIS-leveranciers. Zorgplatform kan met ieder HIS communiceren dat de door Zorgplatform geboden standaard API's ondersteunt. Met name de XDS.b API is hier van toepassing. Daarnaast biedt ChipSoft sinds dit jaar ook een oplossing voor de huisartsenzorg, waarbij wij standaard bij ons HIS-aanbod ook een aansluiting op Zorgplatform realiseren op basis van de BGZ.
Wat is het commercieel model van de ChipSoft APIs? Moet bijvoorbeeld een PGO-leverancier per API of per ZIB betalen?
Voor de aansluiting op de huidige Medmij API's worden aan PGO-leveranciers geen kosten berekend. De PGO-leverancier moet dus voldoen aan MedMij. Zodra zij hieraan voldoen en als zodanig worden erkend door MedMij, kunnen zij aansluiten op de huidige Medmij API's.
Wat is het kostenmodel / licentiemodel om aan te sluiten voor PGO-leveranciers? Is dit gelijk aan instellingen, etc.?
De PGO-leverancier moet voldoen aan MedMij. Zodra zij aan MedMij voldoen en als zodanig door hen worden erkend, kunnen zij aansluiten op Zorgplatform. In de eerste fase zal dit gaan om de huidige verzamel use-case van MedMij.
In één van de slides stond een architectuurplaat met daarin Zorgplatform gepositioneerd als enige centrale gateway binnen het MedMij-stelsel. Vanwaar deze opzet? De keuze vanuit MedMij om met 2 gateways te werken zorgt er voor dat een PGO maar met 1 gateway hoeft te koppelen. Dit suggereert dat een PGO voor de ziekenhuizen met Zorgplatform moet koppelen en met andere zorgorganisaties via een andere MedMij gateway en dat er dus dubbel werk is.
MedMij kent per PGO een PGO gateway en per Zorgaanbieder een Zorgaanbieder gateway. Zorgplatform vervult de rol van Zorgaanbieder Gateway voor alle klanten die op Zorgplatform zijn aangesloten.
Gaan jullie ook toegang bieden voor onderzoeksdoeleinden. Hoe is hiervoor het commercieel model?
Nee, het doel van Zorgplatform is het uitwisselen van zorginformatie voor de continuïteit van zorg.
Wat is het plan om te koppelen met een partij die een soortgelijk platform heeft? Wie sluit aan op wie en wie gaat die inspanning leveren? Zijn we dan niet gewoon weer terug bij 1-op-1 koppelingen?
Nee, want Zorgplatform ondersteunt daartoe beoogde standaarden, waaronder XCA. En na aangesloten te zijn is het direct beschikbaar voor alle op Zorgplatform aangesloten organisaties en met toestemming van patiënt.
Kunnen jullie al iets vertellen over de kosten om als zorg-app (categorie 3) aan te sluiten?
Dit is geheel afhankelijk van het aantal ZIB's dat de digitale zorg app dient te sturen/ontvangen. De kosten voor de zorginstelling zijn per ZIB. Mocht u al een ZIB hebben aangesloten op Zorgplatform, dan zijn er geen kosten aan verbonden als u die met een ander medium (lees: Zorginstelling, PGO, digitale zorg app ) wilt uitwisselen.
Gegevens
Als je gegevens overgenomen hebt, zie je dan ook nog terug waar het vandaan kwam? Niet alleen vanuit de zorginstelling, maar ook op arts/specialisme niveau?
Zodra de zorgverlener de gegevens overneemt, is hij/zij ook de nieuwe bron van de gegevens. U kunt dus niet in HiX terugzien van wie deze gegevens kwamen. Wel kunt u altijd opnieuw gegevens van de patiënt opvragen via de on-demand inzagefunctie, waarna u precies kunt zien waar de gegevens van de patiënt staan.
API's
Kijkt ChipSoft ook naar OpenEHR en de set aan APIs die daar bestaan?
In de Nederlandse situatie is ervoor gekozen om uit te wisselen d.m.v. HL7.cda standaarden. Dit beperkt helaas de implementatie van OpenEHR API's en dit is iets dat ChipSoft betreurt.
Welke APIs staan op de roadmap?
Momenteel zijn de volgende API's beschikbaar in de verschillende domeinen:
Domein: XIS - XIS communicatie
Beschikbaar: XDS.b API
In ontwikkeling: XCA API
Domein: PGO
In ontwikkeling: MedMij API ten behoeve van medicatieveiligheid en BGZ
Domein: Digitale zorg
Beschikbaar: FHIR API ten behoeve van Homemonitoring,
Daarnaast verwachten wij in de nabije toekomst de nieuwe API's binnen het domein PGO en binnen het domein Digitale Zorg (bijv. tbv. Integratie van keuzenhulpen en verwijsapplicaties, etc)
Wanneer stelt ChipSoft open en SMART geformuleerde API's o.b.v. CDA en FHIR beschikbaar? Maken deze API's read/write transacties mogelijk?
Voor alle klanten van ChipSoft zijn alle HL7 en andere API's specificaties beschikbaar. Voor Zorgplatform geldt dat deze, zoals aangegeven in de presentatie, beschikbaar komen in de Zorgplatform developer website per Q1 2019.
Uit de presentatie lijkt het alsof alle API's document gebaseerd zijn. Geen XML of andere methoden? Als dat beeld klopt: kun je die keuze uitleggen?
Dit klopt niet, alle XDS API's zijn document gebaseerd en FHIR API's zijn resource gebaseerd en beide gevallen wordt data als XML en/of JSON geformatteerd. Dit kan ook niet anders als men gestructureerd data wil uitwisselen.
Zou een Zorgplatform API oproep ook binnen de muren van het ziekenhuis kunnen blijven? Zoals een app die de arts op zak heeft?
Dit kan als het past binnen de verschillende domeinen die Zorgplatform beschikbaar stelt. Vraag is wel of dit de aangewezen weg is. ChipSoft biedt vele andere API's die mogelijk geschikter zijn voor dit doel.
Welke IHE XDS actoren gaan HiX en het Zorgplatform ondersteunen? Denk aan Registry in het Zorgplatform, Consumer en Repository/Source in HiX.
XDS Actoren:
HiX/Comez implementeert de Document Consumer en de Integrated Document Source/Repository. Met de laatste term wordt bedoeld dat de actoren Document Source en Document Repository geïmplementeerd worden binnen een geïntegreerd systeem.
Zorgplatform implementeert de Document Registry actor. Daarnaast ondersteunt Zorgplatform ook de Retrieve Document Set en Provide & Register transacties van de Document Repository, met dien verstande dat deze transacties doorgestuurd worden naar één van de aangesloten HiX-en.
XCA Actoren:
Zorgplatform implementeert de actoren Initiating Gateway en Responding Gateway.
MedMij gaat IHE WIA ondersteunen voor medische beelden. Het is een FHIR interface die werkt op XDS-I. Gaat dit werken via de PGO API van het Zorgplatform?
Op dit moment wordt alleen de use-case verzamelen voor de informatiestandaard basis gegevensset zorg ondersteund. We sluiten niet uit de andere informatiestandaarden in de toekomst ook te gaan ondersteunen.
Gespecificeerde Toestemming - GTS
Er is sprake dat GST via VZVZ landelijk geregeld gaat worden. Gaat Zorgplatform hierop aansluiten? Wat gebeurt er dan met de reeds geregistreerde toestemmingen?
Ja, ChipSoft moedigt dit ook aan en geeft waar nodig VZVZ advies bij het ontwikkelen van GTS. Doordat de onderliggende standaard gelijk is (XACML) is semantische compatibiliteit geborgd.
Moeten mensen hun toestemming opnieuw gaan geven? Of kunnen de al afgegeven LSP-toestemmingen worden hergebruikt?
Voor Zorgplatform moet opnieuw toestemming worden gevraagd. De toestemmingen gegeven aan het LSP voldoen niet aan de gespecificeerde toestemming zoals die in de wet is beschreven.
Hoe verhoudt Zorgplatform zich tot het LSP?
Er zal deels overlap zijn tussen LSP en Zorgplatform en veel ook niet (LSP doet geen XDS, LSP doet geen PGO's en LSP doet geen Digitale zorg). Er is zeker overlap als het gaat om oversturen van medische gegevens. Daarnaast is er een verschil in toestemming geven (zie de informatie uit dit document). We zien LSP en andere middelen als complementair.
Privacy
Gaat CS een verwerkersovereenkomstmodel voorstellen tussen app-ontwikkelaars en zorgaanbieders?
Nee, dit is een zaak tussen zorgaanbieder en app ontwikkelaar. Als voorbeeld zou het volgende model kunnen dienen, zie hier.
Biedt ChipSoft op termijn inzicht aan de patiënt over uitgewisselde data?
Ja, op de toestemmingswebsite zal de patiënt inzicht krijgen in welke data door welke instelling is opgevraagd (audit trail). Een PGO kan worden ingezet om de daadwerkelijke gegevens uit de zorginstelling op te halen en aan de patiënt te tonen.
Hoe log je als patiënt in op het Zorgplatform? Alleen via CS-Zorgportaal?
Ieder systeem dat SSO op basis van Xaml ondersteunt en een BSN kan opleveren, kan worden gebruikt om in te loggen op de Zorgplatform-toestemmingswebsite. Alle ChipSoft Zorgportalen bieden deze mogelijkheden, maar ook andere systemen die SAML SSO bieden kunnen worden gebruikt om patiënten te authentiseren.
Welke authenticatiemethode ondersteunt Zorgplatform?
Voor patiënten: Iedere SAML SSO die een BSN oplevert en in de toekomst wellicht andere door de overheid/MedMij toegestane authenticatie middelen.
Voor zorgverleners: wordt de authenticatie over gelaten aan het XIS. Dit betekent dat er potentieel vele verschillende authenticatiemiddelen gebruikt kunnen worden, waaronder uzi biometrie etc.
Wat gebeurt er met de gecommuniceerde data?
Wat er gebeurt met de gecommuniceerde data is geheel afhankelijk van wat de ontvangende partij ermee doet. In het geval van gegevensuitwisseling naar een HiX-instelling, kunnen afhankelijk van de situatie gegevens alleen getoond worden, handmatig gestructureerd overgenomen worden (reconciliëren) of automatisch gestructureerd overgenomen worden (bijvoorbeeld bij homemonitoring). Er worden geen medische gegevens opgeslagen in Zorgplatform.
De patiënt lijkt haar eigen portaal te gebruiken. Hoe moet zij zichzelf identificeren? Uiteindelijk moet de koppeling via BSN tot stand komen?
Een patiënt kan toestemming geven via de Zorgplatform-toestemmingswebsite, hiertoe dient de patiënt zich te authentiseren. Hiervoor wordt inderdaad het BSN gebruikt als identificerend attribuut.
Krijg de patiënt ook toegang tot het Zorgplatform?
De patiënt krijgt de mogelijkheid om de toestemmingen te beheren via de Zorgplatform-toestemmingswebsite. Er zijn hier voor de patiënt geen medische gegevens terug te vinden. Deze gegevens kan de patiënt inzien d.m.v. bijvoorbeeld de op Zorgplatform aangesloten PGO's.
Hoe veilig is Zorgplatform?
Dit is een ruime vraag, want privacy en security is een erg breed onderwerp om toch een kort antwoord te formuleren. Zorgplatform hanteert de volgende principes:
Geen data in de cloud
- Er is wel een verwijsindex maar die is gepseudonimiseerd
- Veilig transport op alle lagen van het OSI model en niet alleen de netwerk gerelateerde lagen (zoals VPN).
-Correct toepassen van cryptografische technieken bij authenticatie en encryptie
Is er een centrale opslag van alle BSN's?
Zorgplatform slaat enkel BSN's op en geen medische gegevens. Voor maximale veiligheid worden de BSN-gegevens gepseudonimiseerd opgeslagen.
Bevat Zorgplatform hulpmiddelen voor de authenticatie van patiënten? Ik denk hierbij aan de '3e kolom': bijvoorbeeld externe apps voor thuismetingen.
Authenticatie wordt overgelaten aan de betreffende app. Apps worden alleen aangesloten in opdracht van een zorgaanbieder, dus bepaalt de zorgaanbieder welke authenticatiemiddelen toegestaan zijn. Er wordt een trust geformeerd tussen Zorgplatform en Conform WS-Trust standaard.
Hoe zorg je voor selectieve afscherming, zodat niet iedereen je GGZ-traject kan zien?
We leveren met Zorgplatform geen specifiek psychiatrische zorgtrajecten uit. Echter is het onderscheid moeilijk te maken (denk aan medicatie).
Wij wachten net, als heel Nederland, op meer duidelijkheid ten aanzien van gespecificeerde toestemming. Zodra deze er is, zal die worden geïmplementeerd. Wij zijn hiervoor afhankelijk van andere partijen, waar we ook mee samenwerken en hopelijk z.s.m. tot een optimale oplossing komen.
Overig
Welke chatbot wordt er gebruikt?
ChipSoft ontwikkelt momenteel zelf een chatbot die kan worden ingezet in een zorginstelling.
Op welk niveau van HIMSS EMRAM kan het Zorgplatform functioneren? Zijn er plannen om ook met DIAM te benchmarken?
HIMSS continuity of care model EMRAM gaat over de mate van adoptie in de zorginstellingen en de mate van gebruik van ICT binnen de zorginstelling. Zorgplatform richt zich op transmuraal. In dat geval zou het hoogste niveau - EMRAM niveau 7 (sharing data and data continuity) - van toepassing zijn.
Wat is de definitie van "voorschrijven" bij digitale zorg? Kan digitale zorg ook geautomatiseerd voorgeschreven worden?
Ja, maar een zorgverlener blijft verantwoordelijk voor het gebruik van het digitale hulpmiddel bij een specifieke patiënt. Sommige digitale toepassingen worden bijv. al ingezet voordat de patiënt de eerste afspraak heeft gehad (denk o.a. aan applicaties voor auto-anamnese) of worden standaard ingezet bij alle patiënten op een afdeling. Automatisch kunnen "voorschrijven" is zeker in de eerste en zeer waarschijnlijk ook in de tweede situatie gewenst.
In het developersportal staat "Alleen digitale toepassingen uit de in-house store kunnen door zorgverleners van de zorginstelling worden gebruikt en kunnen communiceren met het EPD van die zorginstelling". Betekent dit dat alle digitale toepassingen die niet in de in-house store staan niet meer gebruikt mogen worden door zorgverleners in een ziekenhuis dat HiX en/of het Zorgportaal gebruikt?
Nee, dit betekent slechts dat alleen Digitale toepassingen die in de in-house store staan van het ziekenhuis zijn aangesloten op Zorgplatform en daarmee zijn geïntegreerd in het EPD. ChipSoft kent ook diverse andere integratieopties waar al volop gebruik van wordt gemaakt. Deze komen met Zorgplatform niet te vervallen.
In het developersportal staat "In de nabije toekomst kunnen aansluitingen van apps (of andere digitale toepassingen) via het ontwikkelaars-portaal van Zorgplatform worden aangevraagd. Zodra de aanvraag is goedgekeurd zal een ontwikkel- en testomgeving ter beschikking worden gesteld. Een geldige aanvraag bevat een opsomming van de door de app vereiste permissies". Zijn er naast de beschrijving van permissies andere beoordelingscriteria waarop een aanvraag voor aansluiting beoordeeld worden? Zo ja, kunnen jullie een totaaloverzicht geven van alle beoordelingscriteria? En een nadere toelichting op het beoordelingsproces/ proces van automatische developer onboarding?
Toelichting zal gegeven worden zodra de omgeving beschikbaar is en voor iedereen toegankelijk is via het developersportal.
Vanaf wanneer treedt het Zorgplatform-beleid en -proces voor digitale zorgtoepassingen in werking? Is het vanaf dat moment nog mogelijk om naast het Zorgplatform met HiX te integreren en/of geïntegreerd te blijven?
Momenteel is het al beschikbaar. De reeds bestaande integraties blijven gewoon ondersteund worden door ChipSoft. ChipSoft biedt een veelheid aan integratieopties en Zorgplatform is er daar een van. In sommige situaties biedt een traditionele aansluiting (bv HL7. Messaging) de voorkeur.
Bovenstaande vragen zijn gesteld tijdens de Verdiepingsessies Zorgplatform van november 2017. Het Zorgplatform is constant in ontwikkeling en de beantwoording dient dan ook gezien te worden als een momentopname. Op basis van voortschrijdend inzicht kan ChipSoft de aanpak veranderen. Aan de beantwoording kunnen dan ook geen rechten ontleend worden.
