Informatie over de techniek
De Whitebox is een klein wit kastje dat bij de huisarts staat. Het kan gezien worden als een uitbreiding van het informatiesysteem van de huisarts (het HIS). De Whitebox is een hardware module waarmee een huisarts heel gericht en per patiënt een of meer andere zorgverleners, zoals de Huisartsenpost, kan autoriseren.
De Whitebox werkt met expliciete autorisatie op basis van zwaar beveiligde web technologie. Daarom kent het systeem geen (regio)grenzen en is het heel schaalbaar en flexibel inzetbaar. Na autorisatie kan een geautoriseerde arts actuele patiëntgegevens - bijv. een medicatielijst - ophalen uit het systeem van de (huis)arts. Dit zijn de gegevens zoals die op dat moment beschikbaar zijn in het systeem van de huisarts, de gegevens zijn dus nooit verouderd.
Gegevens lopen via van begin tot eind beveiligde verbindingen tussen de Whitebox van de arts en de geautoriseerde partij. Het systeem is ontworpen met zeer sterke beveiliging en privacybescherming als eisen voor het ontwerp.
Onderwerpen
- Informatie over de techniek
- Hoe werkt het?
- Hoe wordt de Whitebox aan het HIS gekoppeld?
- In welke situaties kan de Whitebox gebruikt worden?
- Is de Whitebox alleen bedoeld voor huisartsen?
- Hoe verloopt de verbinding met de Huisartsenpost?
- Welke gegevens zijn opvraagbaar vanaf de Huisartsenpost?
- Moet de huisartsenpost ook over een Whitebox te beschikken?
- Werkt de Whitebox alleen met UZI passen?
- Kan de Whitebox naast andere uitwisselingssystemen gebruikt worden?
- Kan elke huisarts(enpost) gegevens opvragen?
- Hoe worden gegevens beveiligd?
- Wat maakt de Whitebox veilig?
- Doen jullie updates aan de systemen van artsen?
- Is het systeem open source?
- Wat voor communicatiestandaard wordt in de Whitebox gebruikt?
- Waarin verschilt de Whitebox standaard van andere standaarden?
- Hoe zit het met back-ups?
Hoe werkt het?
De Whitebox kan autorisaties uitsturen naar andere zorgverleners. Bijvoorbeeld, naar de huisartsenpost, een collega-huisarts in de huisartsengroep, of de apotheker. De specifieke geautoriseerde zorgverleners kan gegevens ophalen, en niemand anders.
De opvragende (geautoriseerde) partij autoriseert zich met een zorgverlenerspas, een zogeheten UZI pas. Vaak is de ontvanger op voorhand bekend. In situaties waar de ontvanger onderdeel uitmaakt van een grotere organisatie, zoals een maatschap of een huisartsenpost, kan Whitebox Systems een speciale component leveren waarmee de betreffende organisatie de passen van die organisatie kan administreren.
Hoe wordt de Whitebox aan het HIS gekoppeld?
De Whitebox is een kastje dat in de praktijk van de (huis)arts staat, en dat via een speciale interface gekoppeld is aan het HIS van de huisarts. Dit gebeurt eenmalig bij de installatie van de Whitebox, daarna kan het HIS de interface gebruiken om gegevens aan te melden voor, bijvoorbeeld, de Huisartsenpost.
In welke situaties kan de Whitebox gebruikt worden?
Whitebox koppelingen worden één-op-één gelegd en kunnen eenvoudig worden ingepast in diverse toepassingen. Het protocol is zo ontworpen dat het eenvoudig kan worden gebruikt in bestaande processen en tools, zoals bij doorverwijzingen of het versturen van een recept. Zo kunnen andere artsen eenvoudig geautoriseerd worden, waarbij het (bestaande) zorgproces gevolgd wordt.
Is de Whitebox alleen bedoeld voor huisartsen?
De Whitebox is ontwikkeld in samenwerking met huisartsen en wordt op dit moment alleen door huisartsen gebruikt om gegevens met de Huisartsenpost te delen.
De standaard die in de Whitebox wordt gebruikt is geschikt voor vele toepassingen. Elke beroepsgeheimhouder, bijvoorbeeld ook specialisten en apothekers - maar in de toekomst misschien zelfs advocaten en notarissen - kunnen een Whitebox gebruiken om gegevens gecontroleerd te ontsluiten voor andere partijen zónder dat deze gegevens bij onbevoegden kunnen terechtkomen. De Whitebox is dus niet alleen voor huisartsen bedoeld, maar algemeen toepasbaar, ook voor communicatie tussen andere zorgverleners. We willen op korte termijn al werken aan een Whitebox voor apothekers, waarmee zij met collegae en met de dienstapotheek of huisartsenpost kunnen communiceren.
Hoe verloopt de verbinding met de Huisartsenpost?
Via de Whitebox kan de huisarts een verbinding leggen met de Huisartsenpost. Vervolgens kunnen huisartsen op de huisartsenpost een professionele samenvatting van de gegevens van een patiënt opvragen. De Whitebox stuurt per aangemelde patiënt een autorisatie naar een kastje op de huisartsenpost, de zogeheten Hapbox. Deze Hapbox controleert of een huisarts die toegang zoekt geautoriseerd is, en zorgt er vervolgens voor dat de huisarts een professionele samenvatting op kan vragen. Alleen artsen die op de post bekend zijn, zijn geautoriseerd om gegevens op te vragen. De huisarts die de gegevens heeft aangemeld bij de HAP, kan precies zien wie gegevens vanaf de huisartsenpost heeft opgevraagd.
Welke gegevens zijn opvraagbaar vanaf de Huisartsenpost?
Wat in de samenvatting staat die vanaf de Huisartsenpost opvraagbaar is, is afhankelijk van wat de huisarts zelf instelt: dit kunnen minimale gegevens zijn zoals alleen medicatie-informatie en de namen van enkele belangrijke episodes (hoofdstukken) uit uw ziektegeschiedenis, maar ook uitgebreidere verslagen die opgenomen zijn in het dossier als dat voor de besluitvorming op de huisartsenpost relevant kan zijn. Welke gegevens ontsloten worden wordt met de patiënt overlegd. Meestal zijn dit de minimale gegevens, met toestemming van de patiënt.
De inhoud van de professionele samenvatting is per patiënt zeer fijnmazig in te stellen.
Moet de huisartsenpost ook over een Whitebox te beschikken?
De HAP dient te beschikken over een Whitebox voor de HAP, de Hapbox.
Werkt de Whitebox alleen met UZI passen?
Ja, op dit moment werkt de Whitebox alleen met UZI passen. In theorie is het mogelijk om met andere vormen van passen of 2-factor authenticatie te werken, echter gegeven de algemene beschikbaarheid van UZI passen hebben we hiervoor gekozen.
Kan de Whitebox naast andere uitwisselingssystemen gebruikt worden?
De Whitebox kan zowel in plaats van of naast het LSP gebruikt worden. Het kan gezien worden als alternatief voor het LSP, maar het systeem kan er ook naast gebruikt worden omdat het andere functionaliteiten biedt.
Kan elke huisarts(enpost) gegevens opvragen?
Nee. De Whitebox wordt door de huisarts gekoppeld aan één (of in uitzonderlijke gevallen, twee) Huisartsenposten. Alleen huisartsen die op die Huisartsenpost werken kunnen gegevens bij de Whitebox opvragen.
Bij het installeren van de Whitebox wordt deze eerst aangemeld bij de Hapbox via een speciaal beveiligd protocol. Via dit registratieprotocol wordt de Whitebox geautoriseerd. Pas nadat dit protocol plaatsgevonden heeft, kunnen Whitebox en Hapbox elkaar herkennen en zullen ze aanmeldingen of opvragingen accepteren. Zo wordt voorkomen dat willekeurige Whitebox gegevens kunnen aanmelden, of dat willekeurige (artsen van willekeurige) Hapboxen gegevens kunnen opvragen.
Hoe worden gegevens beveiligd?
De Whitebox maakt gebruik van end-to-end beveiliging. Dit betekent dat elk communicatiekanaal waar medische gegevens over getransporteerd worden van begin tot eind versleuteld is, zodat niemand tussen verzender en ontvanger van gegevens de gegevens kan inzien - en dus ook niet kan afluisteren. Dit is de reden dat de Whitebox werkt met een model van directe autorisatie van een andere partij: alleen díe partij kan gegevens opvragen, via een van begin tot eind versleutelde verbinding. Zo wordt voorkomen dat partijen of systemen tussen zorgverleners in gegevens kunnen inzien.
Wat maakt de Whitebox veilig?
De belangrijkste reden waarom de architectuur van het Whitebox systeem veiliger is dan reguliere "pull based" systemen is dat het systeem zo ontworpen is dat de kans dat derden toegang kunnen krijgen zo klein mogelijk is. Factoren die in dit opzicht tot onzekerheid kunnen leiden zijn uit het ontwerp verwijderd.
Allereerst krijgen zo min mogelijk zorgverleners toegang: van een gegeven patiënt zijn de gegevens alleen door (vaak slechts tijdelijk) geautoriseerde partijen opvraagbaar. Partijen die niets van doen hebben met de zorg voor de patiënt krijgen dus gewoon geen toegang. Via een hack van een systeem buiten de kring van geautoriseerde partijen kan een hacker zich daarom geen toegang verwerven tot gegevens van deze patiënt. Dit betekent dat het aanvalsvlak voor patiëntgegevens veel minder groot is dan het geval is bij landelijke of (grotere) regionale systemen.
De impact van een eventuele hack is ook veel kleiner: ten hoogste de voor dat gehackte systeem beschikbaar gemaakte gegevens zijn kwetsbaar. Het "netwerk van toegang" is, kortom, zo klein mogelijk.
Verder wordt end-to-end beveiliging toegepast. Dit betekent dat alle gegevens van begin tot eind versleuteld worden: componenten op het pad tussen verzender en ontvanger kunnen dus geen gegevens inzien of wijzigen.
Als resultaat van deze aanpak worden de risico's van het systeem sterk verminderd in vergelijking met andere systemen - zoals het LSP, maar ook vele andere pure "pull" systemen zoals IHE XDS - waarbij gegevens vanaf heel veel plaatsen opgevraagd kunnen worden.
Doen jullie updates aan de systemen van artsen?
Ja. We zorgen er uiteraard voor dat de implementatie van de Whitebox zo goed mogelijk beveiligd is en blijft. Dat betekent dat we regelmatig beveiligingsupdates uitvoeren. Automatische updates van het intern gebruikte Linux systeem en van de Whitebox-toepassingen zijn bij de licentie van het systeem inbegrepen. Op termijn willen we overigens alle updates op source-code niveau verifieerbaar maken. Zie het volgende blokje.
Is het systeem open source?
Nee, de source code is niet open in de zin dat we deze weggeven, maar de code is wel open in de zin dat deze inspecteerbaar is door derden. De beveiliging van ons product moet namelijk onafhankelijk gecontroleerd kunnen worden. We gaan hiervoor een 'published source' model gebruiken. De code is dan wel inzichtelijk, maar niet (commercieel) bruikbaar voor derden.
Wat voor communicatiestandaard wordt in de Whitebox gebruikt?
In de Whitebox wordt een nieuwe standaard gebruikt, die specifiek is ontwikkeld om directe autorisatie van diverse partijen (ziekenhuizen, artsen, apothekers) in de zorg mogelijk te maken. Deze standaard is een voortvloeisel van onderzoek van de UvA. De standaard is zoveel gebaseerd op bestaande web technologie, zoals web services, om adoptie door de Zorg-ICT sector eenvoudig mogelijk te maken.
De focus van de standaard ligt op privacybescherming en fijnmazige autorisatie, niet op de wijze van representeren van medische gegevens in berichten. Voor het laatste bestaan al veel standaarden. Intern kunnen daarom veel van de in de zorg reeds bestaande gegevensstandaarden worden gebruikt, zoals die voor het LSP en het oude OZIS ontwikkeld zijn. Dit maakt de standaard flexibel toepasbaar.
We zijn bezig om de Whitebox standaard te verfijnen. Zodra deze verder uitontwikkeld is, onder meer met behulp van pilots, willen we deze in een stichting beleggen om deze als op duurzame wijze als open standaard te (laten) beheren. Daarbij moet privacybescherming hoog in het vaandel blijven staan. Zodra het zover is, kondigen we dit aan via onze site.
Waarin verschilt de Whitebox standaard van andere standaarden?
Veel andere standaarden in de zorg richten zich primair op de inhoud van uitgewisselde gegevens, en veel minder op beveiliging. De Whitebox is bij uitstek gericht op beveiligd transport van medische gegevens. De nadruk hierbij ligt op de mogelijkheid om een (decentraal) autorisatie beleid te definieren - een zogeheten 'policy' voor het uitwisselen van gegevens. Deze policy wordt door de eigenaar van de Whitebox bepaald, en afgedwongen in de Whitebox.
Welke gegevens uitgewisseld worden kan flexibel worden bepaald, in geval van een huisarts door de huisarts wordt dit in het HIS bepaald. Dit kan door middel van diverse (bestaande) berichten te transporteren.
Hoe zit het met back-ups?
Whitebox Systems gebruikt versleutelde back-ups. De (niet-medische) gegevens die op de Whitebox staan - zoals logfiles - moeten regelmatig geback-upt worden. De backups worden versleuteld voordat deze opgeslagen worden op een centrale server. De versleuteling vindt plaats met een sleutel die alléén de klant heeft. Niemand behalve de klant/huisarts kan dus toegang tot de gegevens in de backup krijgen.