IZO Architectuur (Informatievoorziening Zorg en Ondersteuning) Deel 3c: PSA Knooppunten (voor 1 januari 2015) Status Definitief – versie 1.0 Auteur(s) Paul van Raaij Opdrachtgever Elke Buis (VWS) Directie Directie Langdurige Zorg (DLZ) en Directie Maatschappelijke Ondersteuning (DMO) Datum 15 september 2014 IZO Architectuur Deel 3c PSA voor de knooppunten Versiebeheer Versie Datum 0.0.2 06-07-2014 0.0.4 Auteur(s) Status Input van René Hietkamp (VECOZO) Paul van Raaij (ICTU) Concept 06-07-2014 Input van Evert Jan Rietbergen (BKWI) Paul van Raaij (ICTU) Concept 0.0.5 11-07-2014 Voorgelegd aan de IZO Architectuurboard van 14 juli 2014. Paul van Raaij (ICTU) Concept 0.0.6 06-08-2014 Opmerkingen van Ronald de Zwart verwerkt. Paul van Raaij (ICTU) Concept Paul van Raaij (ICTU) Concept Paul van Raaij (ICTU) Defintief 0.1.1 02-09-2014 1.0 15-09-2014 Omschrijving / Wijzigingen Onderscheid doelarchitectuur en PSA aangebracht. Besproken in de Architectuurboard van 15 september 2014. Opmerkingen Architectuurboard verwerkt en het document vastgesteld. Pagina 2 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten IZO Architectuur: PSA voor de knooppunten Voor u ligt een uitwerking van de IZO-Architectuur van het domein van zorg en ondersteuning. In een eerder stadium zijn Deel 1 (kaders en richtlijnen van de onder IZO vallende projecten) en Deel 2 (het ontwerp van de Architectuur) al opgeleverd. In Deel 2 is een aantal voorzieningen geïdentificeerd, welke nu in Deel 3 in project start architecturen (PSA) worden uitgewerkt. Feitelijk bestaat Deel 3 van de IZO-Architectuur uit een verzameling van PSA’s. Een PSA beschrijft één van de architectuurproducten die aan een project bij aanvang wordt meegegeven. Zo wordt geborgd dat vernieuwingen in samenhang en context met hun omgeving worden gerealiseerd. Een PSA (IZO-Architectuur, deel 3) wordt in principe voor de start van het project samen met het projectplan ter besluitvorming aangeboden. Een PSA geeft richting aan de oplossing die een project gaat realiseren. Normaliter richt de PSA zich daarbij op kaders en richtlijnen die op een project van toepassing zijn en de impact van deze kaders op de beoogde verandering. In het IZO traject zijn deze kaders echter al in Deel 1 en Deel 2 van de IZO-Architectuur beschreven en worden deze overerft naar de doelarchitecturen en PSA’s die in Deel 3 worden gerealiseerd. Daarom richten de doelarchitecturen en PSA’s die in Deel 3 worden gemaakt zich veel meer op de koppelvlakken die de projecten voor de voorzieningen moeten opleveren en de eisen waaraan deze koppelvlakken moeten voldoen. Daarnaast worden de belangrijkste diensten van het koppelvlak en de functies van de bouwsteen zelf beschreven. “Hoe” deze koppelvlakken door de voorzieningen worden gerealiseerd is aan de projecten en de opdrachtnemers van deze projecten. De zogenaamde “black box” benadering. In eerste instantie – op weg naar het in werking treden van de wetten Wlz, Wmo 2015 en Zvw per 1 januari 2015 – wordt gefocust op de volgende voorzieningen: Het indicatieregister (wie heeft er een indicatie voor de Wlz). PGB trekkingsrechten (de afhandeling van persoonsgebonden budgeten). De knooppunten (het afhandelen van het berichtenverkeer). De informatie-uitwisseling tussen (zorg)aanbieders en gemeenten Voor elk van bovenstaande voorzieningen is een PSA (IZO-Architectuur, deel 3) beschikbaar. Pagina 3 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten Dit document beschrijft de PSA voor de knooppunten. In Deel 2 van de IZO-Architectuur is de context en samenhang voor het afhandelen van het berichtenverkeer middels de knooppunten al beschreven. Feitelijk betreft het geheel uit: Een knooppunt in het private domein (VECOZO) voor de (zorg)aanbieders, zorgkantoren en zorgverzekeraars. Een gemeentelijk knooppunt voor gemeenten (Inlichtingenbureau). Een koppeling tussen het publieke – en private domein (RINIS), zodat berichten tussen beide domeinen kunnen worden uitgewisseld. De IZO-Architectuur schrijft de Digipoort voor. De aansluiting van de overige publieke ketenpartijen (CAK, CIZ, SVB) via Digikoppeling en DigiNetwerk. De aansluiting van het Landelijk Register Zorgaanbieders (LRZa) en het Basis Register Personen (BRP – het voormalig GBA) ook via Digikoppeling en DigiNetwerk. Bij het BRP wordt gebruik gemaakt van de e-Overheidsdiensten Digilevering en Digimelding. Pagina 4 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten Leeswijzer Dit document beschrijft de infrastructurele voorzieningen voor gegevensuitwisseling in de ketens van de langdurige zorg en maatschappelijke ondersteuning. Zo worden in hoofdstuk 1 summier de ambities van de hervorming van de langdurige zorg en maatschappelijke ondersteuning nog eens beschreven. In hoofdstuk 2 wordt de ketenpartijen die informatie uitwisselen kort besproken. De informatie in de ketens betreft gevoelige medische gegevens van kwetsbare in de maatschappij. Daarom worden er hoge eisen aan privacy gesteld. De uitkomsten en maatregelen die hieruit voortvloeien worden in hoofdstuk 3 beschreven. In de hoofdstukken 4 en 5 worden de knooppunten in resp. het publieke – en private domein beschreven. In hoofdstuk 6 komt vervolgens het koppelpunt tussen beide domeinen aan bod. Hoofdstuk 7 beschrijft samenvattend hoe het geheel van infrastructurele voorzieningen in de keten. Hoofdstuk 8 beschrijft tot slot waar de PSA van de Doelarchitectuur wordt afwijkt en waarom dat zo is. Tevens worden afspraken gemaakt wanneer en hoe de migratie van het projectresultaat op 1 januari 2015 naar de doelarchitectuur op hoofdlijnen zal plaatsvinden. Pagina 5 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten Managementsamenvatting Op basis van een aantal beleidsambities verandert er veel in de Langdurige Zorg en Maatschappelijke Ondersteuning. Er zal meer worden uitgegaan van wat mensen nog kunnen en wat daarbij de eigen mogelijkheden zijn, dan naar wat ze niet meer kunnen. De beleidsambities richten zich daarbij op een integraal aanbod van zorg en ondersteuning, meer regie bij de burger en decentralisatie van de zorg, dichtbij de burger en met meer toegankelijkheid. Dit is de inzet van de hervorming van de langdurige zorg. Door deze hervorming moet er gebouwd worden aan een duurzaam fundament voor de informatievoorziening. IZO is verantwoordelijk voor de realisatie van de voorzieningen die nodig zijn voor de informatie-uitwisseling tussen partijen die taken uitvoeren in de langdurige zorg en maatschappelijke ondersteuning. Uitgangspunt hierbij is dat de informatievoorziening effectief en in samenhang wordt opgezet, zodat een duurzaam fundament wordt gelegd voor de langdurige zorg en maatschappelijke ondersteuning. Een fundament dat allicht zelfs breder inzetbaar is in de zorg. Om een beeld te krijgen wat hiervoor nodig is, zijn in dit document de noodzakelijke infrastructurele voorzieningen van de IZO architectuur beschreven. De PSA beschrijft: een publiek knooppunt voor gemeenten. een privaat zorgknooppunt voor zorgverzekeraars, (zorg)aanbieders en zorgkantoren. het koppelpunt tussen het publieke – en private domein. de aansluiting op de infrastructuur van de overige publieke ketenpartijen (het CIZ, CAK en de VSB), het LRZa en de basisregistratie BRP. Deze PSA wordt aan de projecten meegegeven bij de realisatie van de voorzieningen per 1 januari 2015, die nodig zijn om de informatie-uitwisseling tussen ketenpartijen in het domein van langdurige zorg en maatschappelijke ondersteuning mogelijk te maken. Tevens dient het document als de leidraad tijdens de realisatie van de in deze PSA beschreven voorzieningen. De IZO Architectuur Board zal de gerealiseerde oplossingen a.d.h.v. deze PSA toetsen. Pagina 6 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten INHOUDSOPGAVE VERSIEBEHEER ............................................................................................................................. 2 IZO ARCHITECTUUR: PSA VOOR DE KNOOPPUNTEN .............................................. 3 LEESWIJZER ................................................................................................................................... 5 MANAGEMENTSAMENVATTING ............................................................................................ 6 1 HERVORMING LANGDURIGE ZORG ........................................................................... 9 1.1 1.2 1.3 2 INFORMATIEVOORZIENING LANGDURIGE ZORG ............................................11 2.1 2.2 2.3 2.4 2.5 3 PRIVACY...............................................................................................................................14 MAATREGELEN IN DE INFORMATIEBEVEILIGING ...............................................................16 CHECKLIST T.A.V. PRIVACY EN INFORMATIEBEVEILIGING ...............................................17 KNOOPPUNT VOOR GEMEENTEN IN HET PUBLIEKE DOMEIN ...................18 4.1 (IB) 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11 5 BETROKKEN KETENPARTIJEN ..............................................................................................11 INFORMATIE-UITWISSELING TUSSEN DE KETENPARTIJEN ...............................................11 BERICHTENVERKEER ...........................................................................................................12 INFORMATIE-UITWISSELING MET EN TUSSEN KLEINE PARTIJEN VIA EEN WEB PORTAAL 13 KNOOPPUNTEN VOOR DE AFHANDELING VAN BERICHTENVERKEER .................................13 PRIVACY EN INFORMATIEBEVEILIGING ..............................................................14 3.1 3.2 3.3 4 DOELSTELLINGEN VAN DE HERVORMING LANGDURIGE ZORG .......................................... 9 HERVORMING LANGS DRIE HOOFDLIJNEN .......................................................................... 9 TOEKOMSTBEELD IZO 2016 ............................................................................................10 GEMEENTELIJK KNOOPPUNT IN HET PUBLIEKE DOMEIN: HET INLICHTINGENBUREAU 18 FUNCTIONALITEIT VAN HET GEMEENTELIJK KNOOPPUNT .................................................19 DIGINETWERK IN HET PUBLIEKE DOMEIN .........................................................................19 INFORMATIE-UITWISSELING IN HET PUBLIEKE DOMEIN VOLGENS DIGIKOPPELING ......20 GEBRUIKTE PROTOCOLLEN BIJ INFORMATIE-UITWISSELING VAN BERICHTEN................20 IDENTIFICATIE, AUTHENTICATIE EN AUTORISATIE BIJ BERICHTENVERKEER ..................21 TRACKING, TRACING EN AUDITTRAILS ..............................................................................21 BEHEER VAN HET KNOOPPUNT ...........................................................................................21 METADATA VAN BERICHTEN ...............................................................................................21 WAT MOET ER GEBEUREN ...................................................................................................22 AFHANKELIJKHEDEN IN DE KETEN .....................................................................................22 KNOOPPUNT IN HET PRIVATE DOMEIN ................................................................23 5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8 5.9 FUNCTIONALITEIT VAN HET VECOZO KNOOPPUNT.........................................................23 GEBRUIK VAN BEVEILIGD INTERNET IN HET PRIVATE DOMEIN ........................................24 INFORMATIE-UITWISSELING IN HET PRIVATE DOMEIN VOLGENS VSP-KOPPELING .......24 INFORMATIE-UITWISSELING MET EN TUSSEN KLEINE PARTIJEN VIA EEN WEB PORTAAL 25 GEBRUIKTE PROTOCOLLEN BIJ INFORMATIE-UITWISSELING VAN BERICHTEN................25 IDENTIFICATIE, AUTHENTICATIE EN AUTORISATIE BIJ BERICHTENVERKEER ..................26 OPSPOREN EN VOLGEN VAN BERICHTEN (TRACKING EN TRACING) ................................26 AUDIT TRAIL ........................................................................................................................26 BEHEER ................................................................................................................................26 Pagina 7 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten 5.10 5.11 5.12 6 KOPPELPUNT TUSSEN HET PUBLIEKE EN PRIVATE DOMEIN ....................29 6.1 6.2 6.3 6.4 6.5 6.6 6.7 6.8 6.9 6.10 6.11 7 DIGIPOORT ALS KOPPELING TUSSEN HET PRIVATE EN PUBLIEKE DOMEIN .....................29 RINIS ALS KOPPELING TUSSEN HET PRIVATE EN PUBLIEKE DOMEIN .............................29 HET VERSTUREN VAN BERICHTEN: PUBLIEK NAAR PRIVAAT EN VISA VERSA ..................30 KOPPELING MET HET PUBLIEKE - EN PRIVATE DOMEIN ....................................................31 GEBRUIKTE PROTOCOLLEN BIJ INFORMATIE-UITWISSELING VAN BERICHTEN................31 IDENTIFICATIE, AUTHENTICATIE EN AUTORISATIE BIJ BERICHTENVERKEER ..................31 TRACKING, TRACING EN AUDITTRAILS ..............................................................................31 BEHEER VAN HET KNOOPPUNT ...........................................................................................32 METADATA VAN BERICHTEN ...............................................................................................32 WAT MOET ER GEBEUREN ...................................................................................................32 AFHANKELIJKHEDEN IN DE KETEN .....................................................................................32 KNOOPPUNTEN IN DE KETEN EN HERGEBRUIK ................................................34 7.1 7.2 7.3 8 METADATA VAN BERICHTEN ...............................................................................................27 WAT MOET ER GEBEUREN ...................................................................................................27 AFHANKELIJKHEDEN IN DE KETEN .....................................................................................28 OVERZICHTSPLAAT VAN DE KETEN ....................................................................................34 EISEN AAN DE KNOOPPUNTEN EN AAN TE SLUITEN KETENPARTIJEN ...............................34 HERGEBRUIK VAN DE INFRASTRUCTUUR BUITEN DE LANGDURIGE ZORG .......................34 AFWIJKINGEN VAN DE DOELARCHITECTUUR ....................................................35 DIGIPOORT VS. RINIS ......................................................................................................35 OIN VS. CBS GEMEENTE CODE ........................................................................................35 AGB VS. NHR ....................................................................................................................36 WEB PORTAAL VOOR GEMEENTEN IN HET GEMEENTELIJKE KNOOPPUNT .........................36 PLATEAU PLANNING T.A.V. DIGIKOPPELING (RELIABLE ENCRYPTED MESSAGING VARIANT) ..........................................................................................................................................36 8.6 VERSLEUTELING VAN INHOUDELIJKE BERICHTEN .............................................................36 8.7 DIGINETWERK VS. GEMNET ..............................................................................................37 8.8 DIGINETWERK VAN HET INLICHTINGENBUREAU VIA RINIS ..........................................37 8.1 8.2 8.3 8.4 8.5 Pagina 8 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten 1 Hervorming Langdurige Zorg De zorg is in beweging. Op basis van een aantal beleidsambities verandert er veel in de Langdurige Zorg en Maatschappelijke Ondersteuning. Zo worden zorgfuncties van de AWBZ overgeheveld naar de Wmo en de Zvw, regelfuncties van de zorgkantoren worden verlegd naar de zorgverzekeraars en de indicatiestelling wordt steeds meer neergelegd bij de zorgaanbieders. De doelstellingen kunnen kort worden weergegeven als ‘eenvoud voor de klant’, ‘administratieve lastenverlichting voor de organisaties in de zorg’ en ‘modernisering van de gegevensuitwisseling’. Daarom een hervorming. Meer uitgaan van wat mensen nog kunnen en wat daarbij de eigen mogelijkheden zijn, dan naar wat ze niet meer kunnen. De beleidsambities richten zich daarbij op een integraal aanbod van zorg en ondersteuning, meer regie bij de burger en decentralisatie van de zorg, dicht bij de burger en met meer toegankelijkheid. De uitbreiding van de Wmo is daarbij een belangrijke ontwikkeling. Het betekent dat steeds meer ondersteuning onder de verantwoordelijkheid van de gemeenten komt. 1.1 Doelstellingen van de hervorming langdurige zorg De hervorming van de langdurige zorg heeft drie hoofddoelen: Aanpassing van de organisatie van de zorg Mensen zoveel mogelijk zelfstandig thuis laten wonen met ondersteuning van het eigen sociale netwerk of (gemeentelijke) thuiszorgvoorzieningen. Wanneer zelfstandig thuis wonen niet meer mogelijk is, moeten goede instellingen de zorg overnemen met oog voor het individu en de kwaliteit van leven. Financieel houdbaar houden van de langdurige zorg, ook voor toekomstige generaties De AWBZ is overbelast geraakt. Teveel zaken die we zelf zouden kunnen regelen, worden uit de collectieve middelen betaald. Dit leidt tot hoge premies die op termijn de zorg uithollen en onhoudbaar zijn. Langdurige zorg passend houden hoe men in Nederland met elkaar om wil gaan Creëer een participatiesamenleving waar primair zorg uit de directe eigen omgeving wordt gegeven en waar betaalde en verzekerde zorg wordt gegeven waar of wanneer dat niet mogelijk is. 1.2 Hervorming langs drie hoofdlijnen De hervorming heeft zijn weerslag en vraagt om een integrale aanpak over de verschillende wetten (AWBZ, Wmo en Zvw). Vanuit de daaruit voortvloeiende ketens is noodzakelijk om de gestelde doelstellingen te halen. Namelijk: 1. Participeren in eigen omgeving met steun via de Wmo Gemeenten en zorgverzekeraars worden de komende jaren verantwoordelijk voor de ondersteuning en begeleiding van mensen met een beperking die tot op heden door AWBZ-instellingen en zorgaanbieders wordt geleverd. Huidige klanten behouden hun recht op zorg in een instelling, maar voor nieuwe klanten gaan nieuwe afbakeningscriteria gelden. 2. Samenhangende zorg in de Zorgverzekeringswet (Zvw) Zorg gericht op herstel of het tegengaan van verslechtering wordt vanuit de AWBZ naar de Zvw overgeheveld. Verpleging en verzorging bij herstel komt zo in één pakket en klanten hebben één aanspreekpunt. 3. Recht op zorg voor kwetsbare mensen via de Wlz Pagina 9 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten Zorg op grond van de Wlz is bestemd voor kwetsbare mensen, volwassenen en kinderen, die vanwege beperkingen echt niet meer in staat zijn in de thuisomgeving te wonen. Het betreft de zwaarste vormen van langdurige zorg. 1.3 Toekomstbeeld IZO 2016 De hervorming en samenwerking tussen de drie wetten vraagt om een integrale informatievoorziening voor de zorg en ondersteuning. Voor de informatievoorziening is daarom in het platform IZO (Informatievoorziening Zorg en Ondersteuning) een visie “Toekomstbeeld IZO 2016” opgesteld. Deze stip aan de horizon is destijds vastgesteld in de stuurgroep HLZ en wordt breed gedragen. In het toekomstbeeld zijn drie ambities beschreven: eenvoud en transparantie voor de klant, lastenverlichting (en kostenbesparing) voor de organisaties in de zorg, modernisering van de gegevenshuishouding. Om deze ambities waar te maken is een informatievoorziening nodig, die gebruik maakt van gestandaardiseerde gegevens, die hergebruikt kunnen worden. Door de (administratieve) bedrijfsfuncties meer te uniformeren sluiten de onderlinge stappen en fasen beter op elkaar aan, waardoor uitwisseling en hergebruik tussen de zorgketens vergemakkelijkt wordt. Pagina 10 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten 2 Informatievoorziening langdurige zorg De maatregelen uit het IZO toekomstbeeld 2016 hebben consequenties voor de wijze waarop organisaties met elkaar samenwerken op het terrein van de informatievoorziening. De hervorming betekent dat klantprocessen veranderen, werkprocessen herontworpen moeten worden en de gegevensuitwisseling moet worden aangepast aan de nieuwe situatie. 2.1 Betrokken ketenpartijen Bij de hervorming van de langdurige zorg zijn vele ketenpartijen betrokken. In de figuur zijn deze geïllustreerd. Tussen deze ketenpartijen lopen informatiestromen en worden gegevens uitgewisseld. De relatie tussen de klant en zorgaanbieder staat daarbij centraal. 2.2 Informatie-uitwisseling tussen de ketenpartijen Tussen de ketenpartijen in en tussen de verschillende zorgdomeinen (Wlz, Wmo en Zvw) wordt informatie uitgewisseld. De volgende informatie-uitwisselingen tussen de ketenpartijen zijn onderkend in het zorgdomein van de Wlz: 1. De WAT-informatie van Wlz indicaties vanuit het CIZ (bronhouder) naar de klant, het CAK (inkomen/vermogen toets t.b.v. maximale eigen bijdrage) en zorgkantoren. 2. De DAT-informatie van Wlz indicaties (ja/nee) vanuit het CIZ (bronhouder) naar de gemeenten en zorgverzekeraars, zodat bekend is dat er een Wlz indicatie is. 3. De toewijzing van zorg inclusief leveringsvorm (ZIN, PGB of VPT) van het zorgkantoor (bronhouder) naar de klant, zorgaanbieders (zorgverlening) en het CAK (vaststellen maximale eigen bijdrage). In geval van een PGB krijgt ook het SVB de zorgtoewijzing van het zorgkantoor. 4. Het opsturen van declaraties van zorgaanbieders naar: Zorgkantoren bij ZIN en VPT. Zorgkantoren betalen na controle de declaratie. De SVB wanneer sprake is van PGB. Het CAK voor de vaststellen van de eigen bijdrage per declaratie. 5. Het door het CAK versturen van facturen aan klanten t.b.v. het betalen van een eigen bijdrage per declaratie. Vanuit de maatschappelijke ondersteuning (Wmo) zijn de volgende informatieuitwisselingen geïdentificeerd: 1. Het gemeentelijk toekenningsbesluit voor maatschappelijke ondersteuning vanuit de Wmo inclusief leveringsvorm (ZIN en PGB). Dit besluit van de gemeente wordt: In het geval van ZIN naar de klant en – voor zover van toepassing – het CAK (vaststellen maximale eigen bijdrage) gestuurd. Pagina 11 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten Door de gemeente gebruikt voor de zorgtoewijzing naar aanbieders van maatschappelijke ondersteuning. In het geval van PGB naar de klant, naar SVB en naar het CAK (vaststellen eigen maximale bijdrage) gestuurd. 2. Declaraties van aanbieders van maatschappelijke ondersteuning naar: Gemeenten bij ZIN. Gemeenten betalen na controle de declaratie. De SVB wanneer sprake is van PGB. De SVB betalen na controle de declaratie en rekenen met gemeenten af (is op basis van bevoorschotting). Het CAK voor de vaststellen van de eigen bijdrage per declaratie. 3. Het door het CAK versturen van facturen aan klanten t.b.v. het betalen van een eigen bijdrage per declaratie. 4. De iWmo standaard berichten. Deze berichten betreffen een melding van Wmotoewijzing, Wmo declaratie, aanvang van Wmo ondersteuning door aanbieder en wijziging of einde Wmo ondersteuning door aanbieder. 2.3 Berichtenverkeer Informatie wordt middels berichtenverkeer van bronhouders naar ketenpartijen gerouteerd. Wanneer berichtenverkeer (nog) niet mogelijk is, wordt gebruik gemaakt van up-/download functies via web portalen. Berichtenverkeer werkt eigenlijk hetzelfde als het versturen van een brief, maar nu op een geautomatiseerde en digitale wijze. Daarbij kan: De brief vervangen door broninformatie (de indicatieberichten, declaraties, toewijzingsbeschikkingen, etc.). Dit noemen wij het bericht. De fysieke envelop vervangen door een interfacebeschrijving (wsdl). De adressen van afzender en ontvanger wordt vervangen door een uniek identificerend kenmerk zoals bijvoorbeeld het Overheidsidentificatienummer (OIN), AGB code of de CBS-gemeentecode. De brievenbus is de webservice endpoint aan de kant van de bronhouder door een Digitale koppeling met het knooppunt, het distributiecentrum door een knooppunt (Vecozo, IB en Digipoort), de brievenbus van de geadresseerde (de ketenpartijen, zoals CIZ, CAK, zorgkantoren, gemeenten, etc.) vervangen door een digitale koppeling. Hierbij wordt gebruik gemaakt van standaarden voor interoperabiliteit en informatieuitwisseling. Binnen het publieke domein wordt gebruik gemaakt van overheidsbouwstenen. Pagina 12 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten 2.4 Informatie-uitwisseling met en tussen kleine partijen via een web portaal Er is een aantal kleine zorgaanbieders met een beperkt aantal klanten. Voor deze aanbieders is het te kostbaar om een VSP-koppeling met berichtenverkeer te realiseren. Voor deze instellingen wordt een alternatieve route – via een web portaal – geboden om informatie uit te wisselen. Zo kunnen bij informatie-uitwisselingen: Beide partijen gebruik maken van webservices. Beide partijen gebruik maken van het webportaal. Een partij gebruik maken van webservice en de ander van een webportaal. 2.5 Knooppunten voor de afhandeling van berichtenverkeer Om de ambities van het IZO toekomstbeeld 2016 te realiseren heeft gegevensuitwisseling in de IZO architectuur een prominente plaats gekregen. Onderkend is dat er één of meerdere knooppunten nodig zijn om de bovenstaande gegevensuitwisseling via berichtenverkeer tussen de vele ketenpartijen te kunnen afhandelen. Wordt dit verkeer zonder knooppunten ingericht, ontstaat er een explosief aantal verbindingen tussen de ketenpartijen. Door het gebruik van knooppunten hoeven ketenpartijen niet meer met iedere ketenpartij een eigen verbinding te realiseren, maar wordt het berichtenverkeer langs een knooppunt gerouteerd, waarop de andere ketenpartijen ook zijn aangesloten. Het knooppunt regelt routeert vervolgens de berichten naar een andere op het knooppunt aangesloten ketenpartijen of naar een ander verkeersknooppunt. Voordeel is dat iedere ketenpartij nog maar één koppeling hoeft te realiseren i.p.v. een koppeling met iedere ketenpartner. Dit leidt tot aanzienlijke besparingen. Zo worden knooppunten ingezet om de efficiency te vergroten en de administratieve lasten te verlagen. Daarnaast hoeven ketenpartijen, wanneer het knooppunt eenmaal gerealiseerd is, geen nieuwe infrastructurele maatregelen meer te nemen, wanneer ze berichten met andere ketenpartijen willen afhandelen. Het knooppunt wordt dan hergebruikt! De bij de maatschappelijke ondersteuning en langdurige zorg betrokken ketenpartijen bevinden zich zowel in het publieke domein (CIZ, CAK, SVB en gemeenten) als het private domein ((zorg)aanbieders, zorgkantoren en zorgverzekeraars). De ketenpartijen in het publieke – en private domein hebben daarin verschillende verantwoordelijkheden. Wel hebben deze domeinen – zeker bij de uitwisseling van gegevens in de ketens – veel met elkaar te maken. Daarom worden twee knooppunten ingericht en een koppelpunt tussen deze knooppunten: Een knooppunt voor gemeenten die berichten voor gemeenten afhandelt via een DigiKoppeling en het DigiNetwerk. De overige publieke ketenpartners (CAK, CIZ, SVB), het LRZa en basisregistraties (BPR, NHR en BRI) maken ook gebruik van DigiKoppeling en DigiNetwerk. Een knooppunt in het private domein (het verkeer in de zorg) die berichten via een beveiligd internet en VSP koppeling naar de private ketenpartners (zorgkantoren, (zorg)aanbieders en zorgverzekeraars) routeert. Een koppeling via RINIS dat de uitwisseling van berichten tussen het publieke – en private domein vertaalt (van VSP naar DigiKoppeling en visa versa) en routeert. Feitelijk zijn dit drie aparte projecten die met elkaar de keten realiseren. Bij de inrichting worden bestaande knooppunten en voorzieningen hergebruikt. De opsomming aan voorzieningen worden in de komende hoofdstukken uitgewerkt. Pagina 13 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten 3 Privacy en informatiebeveiliging De Wbp is van toepassing op uit te wisselen persoonsgegevens. In de langdurige zorg en maatschappelijke ondersteuning gaat het om zeer vertrouwelijke gegevens (voorheen klasse 3) van kwetsbare groepen uit de samenleving. Met betrokken partijen (bronhouders, eindgebruikers en de intermediair van de voorzieningen) moeten afspraken worden gemaakt hoe met medische gegevens van burgers om te gaan. De juridische aspecten van het uitwisselen van informatie van de zorg naar de generieke voorzieningen zijn getoetst. Uitkomst is dat uitwisseling van de betreffende gegevens is toegestaan, mits er sprake is van doelbinding en wordt voldaan aan privacy (PIA’s) en de beveiligingsrisico’s (A&K analyses) . Met andere woorden, gegevens die bijvoorbeeld in het kader van het verlenen van zorg zijn verzameld mogen worden gedeeld, mits deze de gegevens ook gebruiken in het kader van zorgverlening, zoals bedoeld in de wetten. Voorzieningen in dat kader moeten daarom worden getoetst. Dit geldt ook voor de infrastructurele voorzieningen (netwerken en knooppunten) , waardoor de medische gegevens van burgers via berichtenverkeer worden uitgewisseld. 3.1 Privacy Daar waar met gevoelige medische gegevens van burgers wordt gewerkt is de bescherming van de privacy van de betrokkenen van het grootste belang. Het gebruiken van deze gegevens moet daarom conform de reikwijdte van bestaande privacy wet- en regelgeving (Wbp) gebeuren. Daarnaast moet ook naar de voorgestelde Europese privacy verordening (Epv) worden gekeken, die rechtstreeks op alle lidstaten van toepassing wordt. Deze uitgangssituatie leidt tot enkele te hanteren principes 1 en te volgen eisen bij het gebruik en uitwisselen van persoonsgegevens: Doelspecificatie: het doel waarvoor gegevens verzameld worden, moet worden aangegeven. Doelbinding: Persoonsgegevens mogen alleen verstrekt worden voor gerechtvaardigde doeleinden. In de knooppunten worden geen vertrouwelijke persoons- of medische gegevens langdurig verzameld of opgeslagen. Er worden slechts berichten gerouteerd. Wel wordt metadata van het berichtenverkeer verzameld en opgeslagen voor een periode van 1,5 jaar bewaard. Dit is repressieve controles op het gebruikt van de infrastructuur. Denk aan tracking, tracing en audit trails doeleinden van het berichtenverkeer. In de praktijk zal een zeer tijdelijke opslag (caching) van berichten onvermijdelijk zijn om te voorkomen dat berichten verloren gaan als de geadresseerde partij onbereikbaar is. Aan deze opslag worden eisen gesteld zowel qua duur als qua vormgeving (encryptie van de opslag, fysieke beveiligingsmaatregelen). Gegevensbeperking: alleen de vereiste persoonsgegevens worden verzameld. In de knooppunten worden geen vertrouwelijke persoons- of medische gegevens verzameld. Dit is daarom niet van toepassing. Toestemming: personen moeten toestemming geven voor het verzamelen, gebruik of onthullen van hun gegevens, tenzij dit in de wet anders is vastgelegd. In de knooppunten worden geen vertrouwelijke persoons- of medische gegevens verzameld. Dit is daarom niet van toepassing. 1 Deze principes zijn gebaseerd op de door OESO vastgestelde Privacy Guide Lines 2013 Pagina 14 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten Gegevenskwaliteit: persoonsgegevens moeten proportioneel zijn voor het gespecificeerde doel en bovendien dienen de gegevens accuraat, compleet en up to date te zijn. In de knooppunten worden geen vertrouwelijke persoons- of medische gegevens verzameld. Dit is daarom niet van toepassing. Beveiliging: persoonsgegevens moeten worden beschermd tegen o.a. verlies, vernietiging en ongeautoriseerde toegang. o Dit leidt tot eisen aan de identificatie, authenticatie en autorisatie bij bevragingen, waarbij de knooppunten garanderen dat degene die informatie bij een andere ketenpartij opvraagt volgens de wet daartoe bevoegd is (identificatie en authenticatie). Vervolgens bepaalt de bronhouder welke bevraging de aanvrager mag doen (autorisatie). o Gegevens 'in transit' zijn d.m.v. encryptie van de transport laag TLS/SSL beveiligd tijdens transport tussen A en B. Indien er tussenliggende partijen zijn die zorg dragen voor de routering, betekent dit dat het bericht door verschillende tunnels naar de eindbestemming wordt gebracht. Dan moet worden gekeken wat er tussen de tunnels gebeurt. Dit is af te vangen door ook de inhoud van het bericht te encrypten, waarvan alleen de eindgebruiker de sleutel van heeft. Gelet op de omvang van het aantal partijen (Vecozo, Digipoort, RINIS en IB) wat tussen informatie wordt uitgewisseld, is dit een complexe maatregel (qua implementatie en prijs). Versleuteling op berichtniveau wordt momenteel daarom niet toegepast. Voor bijzondere gegevens geldt dat deze moeten worden beveiligd tegen ongeoorloofd gebruik. Het toepassen van encryptie op de inhoud van het bericht is dan wenselijk. Wordt geen gebruik gemaakt van het encrypten van de inhoud van het bericht dan moeten bewerkers ten minste maatregelen treffen die ongeoorloofd toegang tot de inhoud van het bericht onmogelijk maakt. o Wanneer berichten om wat voor reden ook niet afgeleverd kunnen worden, worden deze tijdelijk in het knooppunt vastgehouden. Het bericht wordt dan versleuteld opgeslagen in een (database)queue gedurende de periode dat het bericht nog niet is afgeleverd. De aflevering kan door technische storingen of een service interval bij de geadresseerde enige tijd in beslag nemen. Gedurende de periode dat de aflevering niet kan plaatsvinden, blijft het knooppunt proberen het bericht af te leveren. Dit wordt een 'retry-mechanisme' genoemd. Door automatische of procedurele signalen wordt de geadresseerde op de hoogte gebracht van het probleem en zal om een oplossing worden verzocht, zodat het bericht alsnog kan worden afgeleverd. o De bewerker treft maatregelen (SLA) om oneigenlijk toegang tot informatie te voorkomen. Openheid: privacy policies moeten vrij beschikbaar zijn. Alle betrokken partijen betreffende de knooppunten (VECOZO/IB/Digipoort/RINIS) publiceren de privacy policies rondom het berichtenverkeer aan de klanten en op de website. Rechten van de betrokkene: de betrokkene moet ingelicht worden over het gebruik van zijn persoonsgegevens en moet hiertegen bezwaar kunnen maken. Dit hoeft niet wanneer dit in de wet anders is vastgelegd. In de knooppunten worden geen vertrouwelijke persoons- of medische gegevens verzameld. Dit is daarom niet van toepassing. Accountability: iemand moet verantwoordelijk zijn voor het voldoen aan privacy policies. De verantwoordelijke partijen betreffende de knooppunten hebben een privacy officer benoemd die verantwoordelijk is voor privacy policies. Daarnaast worden er audits Pagina 15 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten uitgevoerd op het naleven van de privacy policies. Tevens worden er audits uitgevoerd voor het berichtenverkeer door de keten heen. Om deze aspecten in kaart te brengen moet de keten aan infrastructurele voorzieningen en knooppunten – die nodig is om het berichtenverkeer t.b.v. de langdurige zorg en maatschappelijke ondersteuning – een Privacy Impact Assessment (PIA) worden uitgevoerd. De uitkomsten van de PIA en de te ondernemen maatregelen moeten worden geadresseerd in de realisatie van de infrastructurele voorzieningen en knooppunten. Deze uitkomsten leiden ook tot een aantal eisen t.a.v. van te nemen maatregelen. Deze zijn: Bronhouders die berichten aan ketenpartijen versturen zijn er zeker van dat degene die een bevraging doet is wie die zegt dat die is (identificatie en authenticatie). Vervolgens bepaalt de bronhouder welke bevraging de aanvrager mag doen (autorisatie). Daar berichten vertrouwelijk persoons- en medische gegevens (voorheen klasse 3) bevatten, worden berichten door de gehele keten over een Encrypted transport laag verzonden. Specifieke beveiligingseisen t.a.v. tijdelijke opslag (caching). 3.2 Maatregelen in de informatiebeveiliging De voorzieningen die door het programma worden gerealiseerd moeten voldoen aan maatregelen van de wettelijke vereisten voor informatiebeveiliging. Kader stellend hierbij zijn de Baseline Informatiebeveiliging Rijksdienst2, de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG3), het beveiligingskatern van de NORA4, het VIR-BI5 en standaarden NEN 270016 en NEN 7510 en 75127. In dit kader is ook de Concept AMvB8 bij Wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens relevant, waarin aanvullende (NEN–) normen genoemd worden. Naast het ontwikkelen van de communicatie-infrastructuur – die gebruikt wordt bij het verzamelen en uitwisselen van gegevens zelf – heeft dit ook zijn weerslag op de beheerstaken van de voorzieningen. Daarnaast moeten ook de bron- en afnemende organisaties binnen de eigen organisatie beveiligingsmaatregelen treffen. Het spreekt vanzelf dat de verzendende partij maatregelen treft om te garanderen dat de verzonden berichten vrij zijn van virussen en andere ongerechtigheden. De gegevensverwerkende apparatuur van de ketenpartijen dient lege artis up to date en vrij van mal- en spyware te worden gehouden. Partijen voldoen aan de aansluitvoorwaarden van de voorziening dat jaarlijks in een EDPaudit wordt getoetst volgens een in het normenkader vervatte verantwoordingsrichtlijn. Deze maakt het mogelijk om de uitkomsten van de EDP-audits onderling te vergelijken. 2 http://www.wikixl.nl/wiki/ictu/index.php/Component_baseline_informatiebeveiliging_Rijksdienst http://www.kinggemeenten.nl/king-kwaliteitsinstituut-nederlandse-gemeenten/over-king/nieuws/2013/king-publiceertbaseline-informatiebeveiliging-nederlandse-gemeenten 4 http://e-overheid.nl/onderwerpen/e-overheid/988-factsheet-informatiebeveiliging 5 VIR-BI betreft bijzondere informatie, zoals staatsgeheimen en overige bijzondere informatie waarvan kennisname door niet gerechtigden nadelige gevolgen kan hebben voor de belangen van de Staat, van zijn bondgenoten of van één of meer ministeries. Zie http://wetten.overheid.nl/BWBR0016435/geldigheidsdatum_05-06-2013 6 ISO 27001 is een ISO standaard voor informatiebeveiliging 7 De norm NEN 7510 is een door het Nederlands Normalisatie-instituut ontwikkelde norm voor Informatiebeveiliging voor de zorgsector in Nederland 3 8 http://www.rijksoverheid.nl/documenten-en-publicaties/besluiten/2013/11/19/concept-amvb-bij-wetsvoorstel-clientenrechtenbij-elektronische-verwerking-van-gegevens.html Pagina 16 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten 3.3 Checklist t.a.v. privacy en informatiebeveiliging Elke organisatie heeft de beveiligingsnormen die voor die organisatie van toepassing zijn ingericht. In de keten zijn hierover duidelijke afspraken gemaakt met de intermediairs en afnemers van de informatie. Bovenstaande eisen leiden tot de volgende checklist van maatregelen die de knooppunten in ieder geval moeten nemen: Berichten worden door de knooppunten uitsluitend opgeslagen als dat voor de gegarandeerde aflevering ervan noodzakelijk is. Aan de opslagtermijn is een maximum verbonden. Het medium waarop deze berichten worden opgeslagen is versleuteld. De apparatuur waarop deze berichten staan opgeslagen zijn logisch en fysiek beschermd tegen ongeoorloofde toegang De knooppunten identificeren en authentiseren afzender en ontvanger van berichten. Berichtenverkeer vindt uitsluitend over met TLS versleutelde verbindingen plaats. Er wordt geen gebruik gemaakt van het encrypten van de inhoud van het berich.t Daarom moeten bewerkers (kwaliteitscontroles) ten minste maatregelen treffen die ongeoorloofd toegang tot de inhoud van het bericht onmogelijk maakt. De knooppunten richten een adequate vorm van incident-, problem- en changemanagement in en stemmen deze onderling op elkaar af. De knooppunten publiceren hun privacy policies op hun website De knooppunten hebben een privacy en/of security officer aangesteld die verantwoordelijk is voor de naleving en verantwoording van bovengenoemde maatregelen. Jaarlijks vindt een EDP-audit plaats waarvan de resultaten openbaar worden gemaakt. Pagina 17 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten 4 Knooppunt voor gemeenten in het publieke domein Belangrijke ketenpartijen in de ketens van langdurige zorg en maatschappelijke ondersteuning zijn de gemeenten. Deze zijn primair verantwoordelijk voor de maatschappelijke ondersteuning. Gemeenten krijgen daardoor te maken met meer burgers die een beroep op de Wmo doen en met meer zorgaanbieders. Om de communicatie tussen die partijen optimaal te laten verlopen, wordt zoveel als mogelijk gebruik gemaakt van elektronische informatie-uitwisseling. Om te voorkomen dat elke opdrachtverstrekkende gemeente met vele aanbieders een individuele communicatielijn moet opzetten, dan wel dat elke regionale aanbieder van maatschappelijke ondersteuning individuele communicatielijnen op moet zetten, is de inzet van een sectoraal knooppunt een voorwaarde. Hiermee hoeft elke partij maar één communicatielijn in te richten en te onderhouden om vele anderen te bereiken. Daarnaast is er interactie met de keten van langdurige zorg en de zorg die voortvloeit uit de zorgverzekeringswet en Jeugdwet. Ook deze interactie wordt door het gebruik van een infrastructureel knooppunt voor gemeenten vereenvoudigd. 4.1 Gemeentelijk knooppunt in het publieke domein: het InlichtingenBureau (IB) Uitgangspunt bij het inrichten van dit knooppunt is hergebruik. Daarom is er primair gekeken wat er al beschikbaar is. Momenteel is er nog geen gemeentelijk knooppunt voor de zorg beschikbaar. Wel is er bij het inlichtingenbureau (IB) al een brede basis gelegd voor een gemeentelijke infrastructuur in het kader van de Suwi wetgeving. Hiermee is een infrastructureel knooppunt gecreëerd die door gemeenten ook voor de keten van de langdurige zorg en maatschappelijke ondersteuning kan worden hergebruikt. Dit knooppunt is aangesloten op het DigiNetwerk, dat voorziet in het publieke gedeelte van het netwerk. DigiNetwerk is voor gemeenten beschikbaar via de infrastructuur van het Suwinet of als dienst via GemNet of NDIX. BZK-BPR schrijft het gebruik van DigiNetwerk voor, bijvoorbeeld in het kader van de nieuwe GBA-v, WOZ, etc. Inmiddels is ongeveer de helft van de gemeenten, waaronder de G4, al langs één van de beschikbare wegen aangesloten op DigiNetwerk. Dit aantal is groeiende. Voor die gemeenten die nog geen DigiNetwerk aansluiting hebben heeft het IB een alternatieve route via GemNet beschikbaar gemaakt. In dat kader wordt het Inlichtingen Bureau door gemeenten al binnen het sociale domein gebruikt als knooppunt bij de routering van berichten naar gemeenten. Samen dekken de routes via DigiNetwerk en GemNet 100 % van het gemeentelijk veld. Hiermee is een brede basis gelegd voor de inrichting van een gemeentelijk knooppunt dat hergebruikt kan worden in de ketens van de langdurige zorg en maatschappelijke ondersteuning. Kanttekening is dat het IB nog geen DigiKoppeling heeft. Deze is wel in de maak en wordt naar verwachting in het tweede kwartaal 2015 geïmplementeerd. Tot die tijd maakt het Pagina 18 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten IB gebruik van de DigiKoppeling van RINIS. Berichten worden vervolgens naar een bij het IB geplaatste server binnen het RINIS netwerk. 4.2 Functionaliteit van het gemeentelijk knooppunt Het gemeentelijke knooppunt levert de volgende functionaliteiten: 1. Het ontvangen van berichten via een webservice of een upload. 2. Het verifiëren van berichten via een technische controle. (Well formed, well formatted) 3. Het routeren van berichten. 4. Het afleveren van berichten via een webservice (push en pull) of een download. 5. Het gemeentelijk knooppunt treft de maatregelen genoemd in paragraaf 3.3. Overige diensten zijn: 1. Controle van de authenticiteit van afzenders en geadresseerden van berichten. 2. Het monitoren en loggen van berichtenverkeer. Verder wordt invulling gegeven aan tracking en tracing van berichten. 3. De encryptie van opgeslagen berichten. Er wordt bij transport geen encryptie op de berichten zelf toegepast. 4. Gebruikersondersteuning bij bijvoorbeeld het aansluiten van klanten. 4.3 DigiNetwerk in het publieke domein DigiNetwerk9 bestaat uit een aantal gekoppelde besloten netwerken van diverse samenwerkende overheden (GemNet, Suwinet, Rinisnet, Jusitienet, OT2006 van KPN en BT) die met elkaar worden verbonden door een gemeenschappelijke voorziening ‘basiskoppelnetwerk’. Het is een besloten publiek netwerk dat overheidsorganisaties op eenvoudige gestandaardiseerde wijze met elkaar verbindt. Digi Netwerk levert de noodzakelijke beveiligde connectiviteit om elektronisch samen te kunnen werken via een standaard koppeling. Zo kunnen overheden veilig gegevens met elkaar uitwisselen. De gegevens uit de minimale – en aanvullende dataset bevatten vertrouwelijke en privacy gevoelige informatie, reden waarom wordt gekozen voor het beveiligde domein van DigiNetwerk. Naast het gemeente knooppunt hebben ook de andere publieke ketenpartijen in de langdurige zorg en maatschappelijke ondersteuning (CIZ, CAK en SVB) toegang tot het 9 http://www.logius.nl/producten/gegevensuitwisseling/diginetwerk/ Pagina 19 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten DigiNetwerk. Dit geldt overigens ook voor de basisregistraties, zoals het Gemeentelijke Basis Administratie (GBA), het Nieuw Handels Register (NHR) en de Basis Registratie Inkomen (BRI). Verder is ook de LRZa in de figuur opgenomen. Op deze manier kunnen alle ketenpartijen in het publieke domein veilig gegevens met elkaar uitwisselen. Tot slot is in de figuur ook de route van het IB naar gemeenten via het GemNet ingetekend. Dit is een tijdelijke route voor gemeenten die nog geen DigiKoppeling hebben geïmplementeerd. Verder is ook het tijdelijke gebruik van de DigiKoppeling van RINIS door het IB getekend. 4.4 Informatie-uitwisseling in het publieke domein volgens Digikoppeling De koppelingen worden gemaakt conform de DigiKoppeling10 standaard (o.a. SOAP – het uitwisselen van gegevens als XML bericht) voor elektronisch berichtenverkeer tussen overheidsorganisaties. DigiKoppeling is binnen de overheid de standaard voor de uitwisseling van gegevens tussen overheidsorganisaties. Een DigiKoppeling is een set van afspraken en beschrijft feitelijk uit adapters en een infrastructurele voorziening (DigiNetwerk), waarover de adapters met elkaar kunnen praten. DigiKoppeling realiseert zo een point-to-point verbinding tussen een zender en een afnemer. DigiKoppeling onderkent twee hoofdvormen van berichtenverkeer, namelijk de WUS- en ebMS adapter. Tot DigiKoppeling 2.0 had de WUS-adapter beperkingen t.a.v. betrouwbare meldingen. Echter, door de toevoeging van WSRM aan de WUS-koppelvlak standaard (in DigiKoppeling 3.0) is WUS nu ook geschikt voor betrouwbare meldingen. Hiermee heeft de WUS-adapter feitelijk dezelfde functionaliteit als de ebMS-adapter, maar is deze minder complex. Daarnaast is in DigiKoppeling 3.0 ook non-repudiation toegevoegd. Dit is de waarborg dat ontvangst en/of verzending van een bericht zowel door ontvanger als verzender niet kan worden ontkend. Daarom wordt voor push-berichten gekozen voor de Reliable Encrypted Messaging variant van de WUS adapter (WSRM). Hiermee zijn asynchrone11 uitwisselingen mogelijk die ondersteuning bieden voor betrouwbaarheid en is het mogelijk om binnen WUS een melding met End-to-End security met een hoge betrouwbaarheid incl. encryptie te bieden. Bij End-to-End security wordt het bericht getekend door de verzender, waarbij de ontvanger een bevestiging terug stuurt ter invulling van een non-repudiation eis. 4.5 Gebruikte protocollen bij informatie-uitwisseling van berichten De technisch applicatie architectuur beschrijft de werking van de oplossing in technische componenten op applicatie niveau. De onderstaande tabel geeft hier een overzicht van. Het WUS-koppelvlak (Digikoppeling) in het publieke domein wordt gerealiseerd via SOAP. Dit betekent dat het XML bericht “ingepakt” zit in een SOAP envelop. T.b.v. het webportaal wordt gebruik gemaakt van HTTPS en TCP/IP. De gebruikte protocollen zijn: Laag Adapters Applicatie / inhoud Logistiek Protocol Digikoppeling (WUS-RM) in het publieke domein, alternatief SuwiML tussen IB en gemeenten XML STUF (gemeenten) SOAP (Berichten), HTTPS (Webportaal en 10 http://www.logius.nl/producten/gegevensuitwisseling/digikoppeling/ asynchroon betekent dat de afzender het versturen van informatie initieert. Er is dus geen verzoek vanuit de afnemende partijen. 11 Pagina 20 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten Transport burgerportaal) TLS/SSL, (Berichten), TCP/IP (Webportaal en burgerportaal) In bijlage 1 is de bovenstaande tabel in een overzichtsplaat uitgewerkt. Bij EI-berichten worden aanbieders geïdentificeerd d.m.v. de AGB-code. Daarbij worden ook het servicebureau, (zorg)verlener, praktijk en instelling vastgelegd. Ook het voor de verzending gebruikte softwarepakket en de versie daarvan worden meegegeven. 4.6 Identificatie, authenticatie en autorisatie bij berichtenverkeer De WUS-RM standaard voorziet in de identificatie en authenticatie van afzender en ontvanger van berichten. Het Inlichtingenbureau maakt voor Identificatie, authenticatie en autorisatie van het berichtenverkeer gebruik van e-Herkenning. Het webportaal zal een specifiek softwarepakket en –versiecode hebben. GemNet levert in dit geval alleen connectiviteit en moet verder overal van afblijven. Gemeenten loggen met een eigen code (User-ID, password). 4.7 Tracking, tracing en audittrails De Metadata rond het berichtenverkeer en de up-/downloads van naar web portalen (wanneer zond wie welk bericht aan wie over welke burger) worden door afzender, ontvanger en knooppunt(en) ieder voor zich gelogd. Deze loggings worden periodiek met elkaar vergeleken in een GAP-analyse. Over de uitkomst daarvan wordt aan de Minister en de Gemeenteraad verslag gedaan. 4.8 Beheer van het knooppunt De door het IB gegarandeerde Service Levels voldoen aan het bepaalde in de Keten-SLA voor de Gezamenlijke elektronische Voorzieningen Suwi (GeVS) 12. De hele keten van langdurige zorg en maatschappelijke ondersteuning zijn in hun processen t.b.v. het berichtenverkeer afhankelijk van de diensten die de hele keten van knooppunten biedt. Daarom worden er eisen gesteld aan de beschikbaarheid, integriteit en vertrouwelijkheid van deze service. Deze eisen zijn vastgelegd in een Service level agreement. 4.9 Metadata van berichten Van elk verzonden bericht wordt Metadata opgeslagen in het knooppunt. Deze metadata wordt in het knooppunt in een database opgeslagen. Dit o.a. voor tracking en tracing doeleinden. Bij ontvangst van het bericht in het knooppunt (via berichtenverkeer of webportaal) betreft de volgende Metadata13: 12 13 Metadata bij ontvangst in knooppunt Specificatie Authenticiteit verzender Authenticiteit geadresseerde Unieke identificatie van afzender Unieke identificatie van afzender Object van zorg Datum bericht ontvangen BSN zorgafnemer ISO 8601 YYYY-MM-DDThh:mm:ss Datum bericht opslaan Datum van verzenden bevestiging ontvangen bericht ISO 8601 YYYY-MM-DDThh:mm:ss ISO 8601 YYYY-MM-DDThh:mm:ss Te vinden op http://www.bkwi.nl/downloads/item/gevs-keten-sla-80/ De metadata in de tabel is richtinggevend. Pagina 21 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten Datum bericht verwerkt Datum security controle ISO 8601 YYYY-MM-DDThh:mm:ss ISO 8601 YYYY-MM-DDThh:mm:ss Security controle Datum volledigheid controle Fout- of goed melding ISO 8601 YYYY-MM-DDThh:mm:ss Volledigheid controle Datum bericht verwijderd Fout- of goed melding ISO 8601 YYYY-MM-DDThh:mm:ss Ook elk vanuit het knooppunt verzonden bericht wordt voorzien van metadata. Deze wordt in het knooppunt in een database opgeslagen. Het betreft: Metadata bij verzenden van knooppunt Specificatie Datum bericht aangemaakt Authenticiteit geadresseerde ISO 8601 YYYY-MM-DDThh:mm:ss Unieke identificatie van afnemer Datum bericht verzonden Datum van ontvangen bevestiging verzonden bericht ISO 8601 YYYY-MM-DDThh:mm:ss Datum security controle Security controle ISO 8601 YYYY-MM-DDThh:mm:ss Fout- of goed melding Datum volledigheid controle Volledigheid controle ISO 8601 YYYY-MM-DDThh:mm:ss Fout- of goed melding Datum bericht verwijderd ISO 8601 YYYY-MM-DDThh:mm:ss ISO 8601 YYYY-MM-DDThh:mm:ss 4.10 Wat moet er gebeuren Voor toepassing van het knooppunt op de langdurige zorg en maatschappelijke ondersteuning moet er nog het een en ander gebeuren. Denk daarbij aan: De voorzieningen van het IB worden waar mogelijk hergebruikt (kopie). Het realiseren (versturen en ontvangen) van het berichtenverkeer (inclusief retourberichten) voor de ketens van de langdurige zorg. Het realiseren van een koppeling met RINIS voor het kunnen ontvangen en afleveren van berichten t.b.v. private domain. Het via DigiNetwerk aansluiten van de andere publieke ketenpartijen (CIZ, CAK, SVB) in de keten van de langdurige zorg en maatschappelijke ondersteuning t.b.v. het uitwisselen van berichten (Wlz indicatie, Wmo toekenningen, etc.). Het zorg dragen voor een beveiligd berichtenverkeer, waarbij o.a. identificatie en authenticatie van ketenpartijen, de volgbaar- en herleidbaarheid van berichten (zie ook metadata van berichten), de privacy van cliënten, etc. is geregeld. Het uitwerken van rapportages. 4.11 Afhankelijkheden in de keten In de keten zitten de volgende afhankelijkheden: Voor het inrichten van een tracking en tracing van berichten is het noodzakelijk dat berichten in de gehele keten kunnen worden opgespoord en gevolgd. Retourberichten moeten aan berichten gekoppeld kunnen worden, waardoor de conversatie in beeld kan worden gebracht. IB hanteert hiervoor een identificatie voor de conversatie die door de hele keten intact gehouden moet worden. Identificatie en authenticatie. IB mag ervan uitgaan dat VECOZO de private kant heeft geverifieerd en visa versa. Pagina 22 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten 5 Knooppunt in het private domein Voor het private deel van de gegevensuitwisseling is een volledig functionele netwerkinfrastructuur voorhanden die beheerd wordt door VECOZO. Zij verbindt de zorgaanbieders, zorgkantoren en zorgverzekeraars onderling. VECOZO is daarmee het communicatieknooppunt voor private ketenpartijen in de zorg, waarlangs partijen snel, veilig en eenvoudig gegevens kunnen uitwisselen die voortvloeien uit hun administratieve processen. Primair richt VECOZO zich op diensten voor zorgverzekeraars, zorgaanbieders en zorgkantoren. Er worden echter ook diensten voor andere partijen uitgevoerd, zolang deze een relatie hebben met zorg. Voorbeeld is e-Facturatie waarmee o.a. medisch specialisten een vergoeding kunnen declareren voor informatieverstrekking aan het UWV. VECOZO is daarmee een bestaand knooppunt dat hergebruikt kan worden. 5.1 Functionaliteit van het VECOZO knooppunt Het private knooppunt van VECOZO levert de volgende basisfunctionaliteit: 1. Het ontvangen van berichten via een webservice of een upload. 2. Het verifiëren van berichten via een technische controle, waarbij controles op verschillende niveaus kunnen worden uitgevoerd. Met betrekking tot de controleniveaus moet gedacht worden aan: N1:Bestandniveau zoals bestand gevonden, leesbaarheid bestand, bestaande berichtspecificatie en juist bestandsformaat; N2:Bestandsregels zoals recordtype juiste gegevenstype, behoort recordtype tot EI-standaard, recordtype aanwezig op de regel (volgorde juist), juiste lengte record etc. N3: Regelopbouw (formaat) zoals numerieke rubriek is ook daadwerkelijk numeriek, rubrieken van juiste formaat (indien datum of gespecificeerd) en verplichte velden zijn gevuld. N4: Regelinhoud, waarbij de waarde van de rubriek moet overeenkomen met de reguliere expressie in de berichtdefinitie. N5: Relaties tussen rubrieken waarbij controles kunnen worden uitgevoerd zoals “indien rubriek A gevuld, dan rubriek B gevuld” of “waarde rubriek A >= waarde rubriek B”. 3. Het routeren van berichten. Routeren kan op verschillende manieren worden uitgevoerd. Basisfunctionaliteit is point-to-point waarbij een afzender een bericht laat bezorgen bij een geadresseerde. Het is echter ook mogelijk om d.m.v. een publish-subscribe berichten te verzenden. Een afzender publiceert een bericht waarbij het bericht bezorgd zal worden bij de partijen die geabonneerd zijn op de publicatie. 4. Het afleveren van berichten via een webservice (push en pull) of een download. 5. Het knooppunt in het private domein treft de maatregelen genoemd in paragraaf 3.3. Overige diensten zijn: 1. Controle van de authenticiteit van afzenders en geadresseerden van berichten. 2. Het monitoren en loggen van berichtenverkeer. Verder wordt invulling gegeven aan tracking en tracing van berichten en een audit trail voor berichten. 3. De encryptie van opgeslagen berichten. Er wordt geen encryptie op de berichten zelf toegepast. 4. Security controles op bijvoorbeeld virussen, mal- en spyware, etc. 5. Gebruikersondersteuning bij bijvoorbeeld het aansluiten van klanten. Pagina 23 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten 5.2 Gebruik van beveiligd Internet in het private domein In het private domein wordt gebruik gemaakt van een Beveiligd Internet om ketenpartijen (zorgverzekeraars, zorgaanbieders en zorgkantoren) met het VECOZO knooppunt te verbinden. Zo kunnen de genoemde partijen veilig gegevens met elkaar uitwisselen. Om beveiligd verkeer mogelijk te maken wordt gebruik gemaakt van X.509-certificaten voor de identificatie van de gebruikers. In combinatie met een correcte Pincode kan een gebruiker toegang verkrijgen tot het webportaal van VECOZO en gebruik maken van de diensten waartoe gebruikers zijn gerechtigd. Het transport van gegevens tussen de betreffende partij en VECOZO wordt beveiligd m.b.v. SHA-2 encryptie (SSL/TLS). Het transport van berichten wordt via SSL/TLS op basis van deze certificaten beveiligd. In het proces voor het aansluiten van een partij op VECOZO wordt gecontroleerd op de registratie in het handelsregister. Eveneens wordt bij het uitgeven van een persoonlijk certificaat (t.b.v. de identificatie van de gebruiker) de identiteit van de persoon gecontroleerd. Een zorgaanbieder moet geregistreerd zijn in het AGB-register (het Algemeen Gegevens Beheer Zorgaanbieders heeft de koppeling tussen ondernemingen, vestigingen en zorgverleners die daar werkzaam zijn) om een aansluiting op VECOZO te kunnen verkrijgen. Op basis van de kwalificaties geregistreerd in het AGB wordt een contract opgesteld en wordt bepaald welke diensten (en daarmee de autorisaties) de partij kan afnemen. Naast de persoonlijke certificaten worden ook een systeemcertificaat uitgegeven. Hiermee kan een systeem zich als gebruiker identificeren en zo gebruik maken van de webservice integratiemogelijkheden. 5.3 Informatie-uitwisseling in het private domein volgens VSP-koppeling De koppelingen worden gemaakt met de VSP-koppeling. VSP in deze staat voor het VECOZO Schakelpunt. Het is een standaard op basis van SOAP voor het uitwisselen van gegevens als XML bericht voor elektronisch berichtenverkeer tussen de ketenpartijen. Het is eigenlijk een vergelijkbare koppeling zoals de DigiKoppeling in het publieke domein. De VSP-koppeling realiseert zo een point-to-point verbinding tussen een zender en een afnemer. Pagina 24 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten De VSP-koppeling is een laagdrempelige minimalistische standaard, waarin een aantal basiszaken zijn geregeld zoals adressering en identificatie van het type bericht. Door de laagdrempeligheid zijn een groot aantal zorgaanbieders in staat om hun systemen te integreren met VECOZO. 5.4 Informatie-uitwisseling met en tussen kleine partijen via een web portaal Er is een aantal kleine zorgaanbieders met een beperkt aantal klanten. Voor deze aanbieders is het te kostbaar om een VSP-koppeling met berichtenverkeer te realiseren. De koppeling heeft het niet voldoende toegevoegde waarde t.o.v. het portaal. De voordelen vs. kosten voor het realiseren van de koppeling zijn dusdanig dat het de investering niet rechtvaardigt. Voor deze instellingen wordt een alternatieve route – via een web portaal – geboden. Het initiatief tot verzenden ligt bij deze kleine aanbieders en er zal geen request-response service plaatsvinden. 5.5 Gebruikte protocollen bij informatie-uitwisseling van berichten De technisch applicatie architectuur beschrijft de werking van de oplossing in technische componenten op applicatie niveau. De onderstaande tabel geeft hier een overzicht van. Het VSP koppelvlak in het private domein wordt gerealiseerd via SOAP. Dit betekent dat het XML bericht “ingepakt” zit in een SOAP envelop. T.b.v. het webportaal wordt gebruik gemaakt van HTTPS en TCP/IP. De gebruikte protocollen zijn: Laag Adapters Applicatie / inhoud Logistiek Transport Protocol De VSP-koppeling in het private domein XML SOAP (Berichten), HTTPS (Webportaal) TLS/SSL, (Berichten), TCP/IP (Webportaal en burgerportaal) In bijlage 1 is de bovenstaande tabel in een overzichtsplaat uitgewerkt. Pagina 25 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten 5.6 Identificatie, authenticatie en autorisatie bij berichtenverkeer In het kader van het berichten verkeer wordt een bericht ingediend door een partij. Deze partij wordt geïdentificeerd door middel van een X.509-certificaat dat door VECOZO is uitgegeven. Het certificaat is gekoppeld aan een partij waarmee VECOZO een overeenkomst heeft afgesloten voor de aansluiting op VECOZO en de diensten die de partij kan gebruiken omdat zij daarmee een doelbinding heeft. VECOZO sluit de overeenkomsten voor de diensten die betrekking hebben op de Zvw af als bewerker. De zorgverzekeraars zijn voor de Zvw-diensten de verantwoordelijke. In het kader van de AWBZ zijn de zorgverzekeraars eveneens verantwoordelijke. Voor het berichtenverkeer dat voor de Wmo en voor de Jeugdwet wordt uitgevoerd zullen gescheiden overeenkomsten worden afgesloten, naast de reeds bestaande overeenkomsten. Een andere partij14 dan de zorgverzekeraars is namelijk de verantwoordelijke voor de verwerking van de persoonsgegevens ten behoeve van de Wmo en de Jeugdwet. Aan aanbieders zal worden gevraagd of zij een doelbinding hebben met de Wmo of met de Jeugdwet alvorens autorisatie zal worden verleend tot het berichtenverkeer voor de Wmo of de Jeugdwet. Een geïdentificeerde partij verkrijgt op deze wijze alleen toegang tot de diensten waartoe zij een doelbinding heeft. VECOZO maakt onderscheid tussen indiener en afzender, en eveneens onderscheid tussen ontvanger en geadresseerde. Dit is noodzakelijk omdat veel zorgaanbieders gebruik maken van softwarediensten van derden. Door middel van toestemmingsverklaringen, en daaraan gekoppelde autorisaties, wordt bewaakt dat een indiener namens een afzender optreed. Eveneens ontvangt een ontvanger berichten namens een geadresseerde. De identificatie via het web portaal verloopt via VECOZO certificaten. De uitwisseling van de authenticatie verloopt via SAML. 5.7 Opsporen en volgen van berichten (tracking en tracing) Geautoriseerde afnemers van de diensten maken gebruik van tracking en tracing voor het opsporen en volgen van de berichten die zijn verzonden. D.m.v. statuswijzigingen verkrijgen afnemers inzicht in de huidige stand van zaken. Op dit moment wordt tracking en tracing geboden via het webportaal van VECOZO. Het opvragen van de status d.m.v. webservices ontbreekt momenteel. 5.8 Audit trail De uitgevoerde processtappen worden d.m.v. statusveranderingen vastgelegd. Er wordt een historie van statusveranderingen (welke processtappen en bewerkingen hebben wanneer plaatsgevonden) bijgehouden. 5.9 Beheer VECOZO voert alles in eigen beheer uit. Dit betekent dat zowel de software, het platform als de technische infrastructuur door VECOZO worden beheerd. Daarnaast worden de diensten ook functioneel door VECOZO beheerd. De hele keten van langdurige zorg en maatschappelijke ondersteuning zijn in hun processen t.b.v. het berichtenverkeer afhankelijk van de diensten die de hele keten van knooppunten biedt. Daarom worden er eisen gesteld aan de beschikbaarheid, integriteit en vertrouwelijkheid van deze service. Deze eisen worden vastgelegd in een Service level agreement. 14 De gemeenten, en namens hen, of in opdracht van VNG, het IB. We willen dus een normenkader (zie 3.2) waartegen de VNG namens zichzelf en de gemeenten ‘ja’ kan zeggen en waaraan het IB zich controleerbaar conformeert. Pagina 26 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten 5.10 Metadata van berichten Van elk verzonden bericht wordt Metadata opgeslagen in het knooppunt. Deze metadata wordt in het knooppunt in een database opgeslagen. Bij ontvangst van het bericht in het knooppunt (via berichtenverkeer of webportaal) betreft de volgende Metadata15: Metadata bij ontvangst in knooppunt Specificatie Authenticiteit indiener AGB code voor aanbieders, UZOVI code voor zorgkantoren en zorgverzekeraars Gemeente code (CBS) voor Gemeenten, Authenticiteit afzender Authenticiteit geadresseerde Idem indiener Idem indiener Authenticiteit ontvanger Datum bericht ontvangen Idem indiener ISO 8601 YYYY-MM-DDThh:mm:ss Datum bericht opslaan Datum van verzenden bevestiging ontvangen bericht Datum bericht verwerkt ISO 8601 YYYY-MM-DDThh:mm:ss Datum security controle Security controle ISO 8601 YYYY-MM-DDThh:mm:ss Fout- of goed melding Datum volledigheid controle Volledigheid controle ISO 8601 YYYY-MM-DDThh:mm:ss Fout- of goed melding Datum bericht verwijderd ISO 8601 YYYY-MM-DDThh:mm:ss ISO 8601 YYYY-MM-DDThh:mm:ss ISO 8601 YYYY-MM-DDThh:mm:ss Ook elk vanuit het knooppunt verzonden bericht wordt voorzien van metadata. Deze wordt in het knooppunt in een database opgeslagen. Het betreft: 5.11 Metadata bij verzenden van knooppunt Specificatie Datum bericht aangemaakt Authenticiteit geadresseerde ISO 8601 YYYY-MM-DDThh:mm:ss Idem indiener vorige tabel Datum bericht verzonden Datum van ontvangen bevestiging verzonden bericht Datum security controle ISO 8601 YYYY-MM-DDThh:mm:ss Security controle Datum volledigheid controle Fout- of goed melding ISO 8601 YYYY-MM-DDThh:mm:ss Volledigheid controle Datum bericht verwijderd Fout- of goed melding ISO 8601 YYYY-MM-DDThh:mm:ss ISO 8601 YYYY-MM-DDThh:mm:ss ISO 8601 YYYY-MM-DDThh:mm:ss Wat moet er gebeuren Om VECOZO in de langdurige zorg en maatschappelijke ondersteuning te kunnen hergebruiken moeten er nog wel een aantal dingen gebeuren: Het realiseren (versturen en ontvangen) van het berichtenverkeer (inclusief retourberichten) voor de ketens van de langdurige zorg. Het realiseren van een koppeling met RINIS voor het kunnen ontvangen en afleveren van berichten t.b.v. publieke domain. Denk aan: 15 De metadata in de tabel is richtinggevend. Pagina 27 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten a. 5.12 Het registeren van (zorg)aanbieders (voor zover deze nog niet zijn aangesloten) en autoriseren voor berichtenverkeer. Dit geldt vooral voor aanbieders in het Wmo domein. b. Het zorg dragen voor een beveiligd berichtenverkeer, waarbij o.a. identificatie en authenticatie van ketenpartijen, de volgbaar- en herleidbaarheid van berichten (zie ook metadata van berichten in hoofdstuk 5), de privacy van cliënten, etc. is geregeld. Rapportages. Afhankelijkheden in de keten Voor het inrichten van een tracking en tracing van berichten is het noodzakelijk dat berichten in de gehele keten kunnen worden opgespoord en worden gevolgd. Retourberichten moeten aan berichten gekoppeld kunnen worden, waardoor de conversatie in beeld kan worden gebracht. VECOZO hanteert hiervoor een identificatie voor de conversatie die door de hele keten intact gehouden moet worden. Identificatie en authenticatie. VECOZO mag ervan uitgaan dat IB de publieke kant heeft geverifieerd en visa versa. Pagina 28 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten 6 Koppelpunt tussen het publieke en private domein In de voorgaande hoofdstukken zijn de knooppunten in het publieke en private domein besproken. Nu heeft de IZO-Architectuur Deel 2 al laten zien dat er in de ketens van de langdurige zorg en maatschappelijke ondersteuning veel berichtenverkeer tussen ketenpartijen in het publieke – en private domein is. Een koppeling tussen beide domeinen is daarom noodzakelijk. 6.1 DigiPoort als koppeling tussen het private en publieke domein Voor de uitwisseling van berichten tussen het publieke – en private domein wordt gebruik gemaakt van de e-Overheidsbouwsteen DigiPoort. DigiPoort zorgt voor de snelle en veilige bezorging van berichten tussen private organisaties en de overheid. Dat is handig en efficiënt als een organisatie buiten het publieke domein regelmatig gegevens moet aanleveren aan de overheid. Daarnaast zorgt DigiPoort dat de overheid zeker weet dat de informatie die zij ontvangt ook echt afkomstig is van de juiste private organisatie. DigiPoort voldoet aan de hoge eisen van betrouwbaarheid, beschikbaarheid en beveiliging die nodig zijn voor digitale informatie-uitwisseling. DigiPoort is de centrale voorziening in de infrastructuur van de e-Overheid, waarop overheden en private organisaties kunnen aansluiten om gemakkelijk en betrouwbaar gegevens met elkaar te kunnen uitwisselen. Aan te sluiten partijen die DigiPoort willen gebruiken moeten ieder voor zich deze vormvereisten implementeren in hun eigen systemen. Daar nog niet alle betrokken ketenpartijen van de DigiPoort gebruik kunnen maken wordt tijdelijk een alternatieve route via RINIS aangeboden als koppelpunt tussen het private – en publieke domein. 6.2 RINIS als koppeling tussen het private en publieke domein Feitelijk is het private domein in langdurige zorg een privaat domein, waarin invulling wordt gegeven aan een publieke taak met een wettelijke grondslag (zorgverzekeraars en zorgkantoren). Dat zet het berichtenverkeer via DigiPoort in een ander daglicht. Daarom is DigiPoort voor individuele private partijen een goede oplossing. Voor informatie knooppunten, waarbij aan load, performance, beschikbaarheid en betrouwbaarheid hogere eisen worden gesteld zal RINIS een betere oplossing zijn. RINIS is een berichtendienst voor volledig geautomatiseerde gegevensuitwisselingen en helpt organisaties om snel en veilig gegevens uit te wisselen. RINIS richt deze uitwisselingen in en beheert ze. Zo kunnen bij RINIS aangesloten partijen gegevens uitwisselen met andere deelnemers aan het RINUS-netwerk. Denk daarbij aan: Uitvoeringsorganisaties of ministeries in het publieke domein. Bedrijfstakken, bijvoorbeeld de zorgverzekeraars. Portalen voor burgers en bedrijven, zoals DigiPoort en de Berichtenbox van MijnOverheid. Pagina 29 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten Basisregistraties, zoals de Gemeentelijke Basisregistratie (GBA), de Basisregis ratie Inkomen (BRI) van de belastingdienst, en het Handelsregister (NHR) van de Kamer van Koophandel. Deze uitwisselingen verlopen via DigiKoppeling, DigiLevering (dat alle gegevens ontsluit) en DigiMelding (waarmee afnemers fouten kunnen terug melden aan de basisregistraties). Uitwisselingen met Europese overheidsorganisaties en uitvoerders van publieke taken via het Europese netwerk sTesta. t Daarom wordt er onderscheid gemaakt tussen individuele private partijen en knooppunten. Individuele private partijen koppelen via DigiPoort. Knooppunten maken – indien de berichten een wettelijke grondslag hebben – gebruik van RINIS. Een extra argument voor RINIS is, dat RINIS vanwege een point-to-point verbinding kan garanderen dat er op de draad tussen IB en VECOZO uitstuitend ketenpartijen zitten die actief zijn in het domein van langdurige zorg en maatschappelijke ondersteuning. De Stichting RINIS (Routering Instituut Nationale en internationale Informatie Stromen) kan zoals gezegd de dienst DigiPoort leveren om zo de gegevensuitwisseling tussen het private – en publieke domein te realiseren. Zodoende kunnen: Berichten tussen gemeenten en zorgaanbieders worden uitgewisseld. Partijen die nog niet aan de DigiPoort standaard voldoen, leveren berichten tijdelijk (tot 1 januari 2016) op een andere wijze bij RINIS aan. Daarbij verstaat RINIS de kunst om native standaarden in die van DigiPoort te vertalen en andersom. RINIS is zo in staat berichten vervolgens via de DigiPoort te verwerken. Met deze aanpak wordt een latere migratie naar de DigiPoort standaard vergemakkelijkt. Iedere partij in de keten kan vervolgens conform eigen planning de overgang naar de DigiPoort standaard maken zonder dat andere partijen hoeven te wachten. VECOZO heeft een RINIS-aansluiting, zodat berichten tussen private – en publieke partijen in de keten van de langdurige zorg kunnen worden verwerkt. RINIS heeft daarmee een bewezen dienstverlening, waarop IB en VECOZO al zijn aangesloten. Daarnaast is RINIS in staat om de envelop standaard te vertalen tussen IB en VECOZO. Deze voorziening wordt daarom hergebruikt in de keten om berichtenverkeer t.b.v. de langdurige zorg en maatschappelijke ondersteuning mogelijk te maken. 6.3 Het versturen van berichten: publiek naar privaat en visa versa In het private domein worden andere berichten standaarden en koppelingen gebruikt dan in het publieke domein. Het koppelpunt (DigiPoort of als alternatief RINIS) heeft daarom de functionaliteit in zich om: te kunnen koppelen met knooppunten in zowel het publieke – als private domein (VECOZO, IB), de achter deze knooppunten liggende organisaties en met ketenpartijen in het publieke domein (CIZ, CAK, SVB en een aantal basisregisters). Pagina 30 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten gebruikte berichten standaarden uit het publieke – (DigiKoppeling) en private domein (VSP-koppeling) naar elkaar en visa versa te kunnen vertalen. Feitelijk wordt het bericht uit de ene standaard uitgepakt en in de andere standaard ingepakt. RINIS treft de maatregelen genoemd in paragraaf 3.3. Zo kunnen berichten via het koppelpunt naar ketenpartijen in het publieke – en private domein toch naar elkaar worden gerouteerd en kunnen gegevens worden uitgewisseld. 6.4 Koppeling met het publieke - en private domein DigiPoort en RINIS fungeert als koppelpunt tussen het publieke – en private domein. Daarom zal DigiPoort en RINIS met koppelingen moeten realiseren met beide domeinen: 1. Een DigiKoppeling voor de gegevensuitwisseling met het publieke domein. 2. Een VSP-koppeling voor de gegevensuitwisseling met het private domein. Beide koppelingen zijn bij DigiPoort en RINIS al beschikbaar. 6.5 Gebruikte protocollen bij informatie-uitwisseling van berichten De technisch applicatie architectuur beschrijft de werking van de oplossing in technische componenten op applicatie niveau. De onderstaande tabel geeft hier een overzicht van. Het WUS-koppelvlak (DigiKoppeling) met het publieke domein wordt gerealiseerd via SOAP. Hetzelfde geldt voor het koppelvlak in het private domein. Dit betekent dat het XML bericht “ingepakt” zit in een SOAP envelop. T.b.v. het webportaal wordt gebruik gemaakt van HTTPS en TCP/IP. De gebruikte protocollen zijn: Laag Adapters Applicatie / inhoud Logistiek Transport Protocol DigiKoppeling (WUS-RM) met het publieke domein, De VSP-koppeling in het private domein XML SOAP (Berichten), HTTPS (Webportaal en burgerportaal) TLS/SSL, (Berichten), TCP/IP (Webportaal en burgerportaal) In bijlage 1 is de bovenstaande tabel in een overzichtsplaat uitgewerkt. 6.6 Identificatie, authenticatie en autorisatie bij berichtenverkeer DigiPoort en RINIS fungeren slechts als doorgeefluik tussen VECOZO en IB en realiseert daarvoor een point-to-point-verbinding tussen deze partijen. Deze architectuur garandeert dat er geen andere dan de aangesloten partijen over deze verbinding kunnen communiceren. 6.7 Tracking, tracing en audittrails DigiPoort en RINIS rapporteren periodiek over de omvang van de gegevensstroom. Bij incidenten zijn individuele berichten te traceren. Pagina 31 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten 6.8 Beheer van het knooppunt Logius ontwikkelt en beheert alle ingezette hard- en software. Op de dienstverlening is een SLA van toepassing vastgesteld. RINIS ontwikkelt en beheert alle ingezette hard- en software zelf. Op de dienstverlening is de SLA RINIS van toepassing. De hele keten van langdurige zorg en maatschappelijke ondersteuning zijn in hun processen t.b.v. het berichtenverkeer afhankelijk van de diensten die de hele keten van knooppunten biedt. Daarom worden er eisen gesteld aan de beschikbaarheid, integriteit en vertrouwelijkheid van deze service. Deze eisen worden vastgelegd in een Service level agreement. 6.9 Metadata van berichten Bij de doorgeleiding van het publieke – naar het private domein of andersom worden berichten ook voorzien van de benodigde metadata. Deze metadata16 wordt in het koppelpunt (DigiNetwerk of RINIS) opgeslagen en betreft: Metadata bij verzenden tussen privaat en publiek knooppunt Authenticiteit verzender Specificatie Afkomstig van knooppunt Authenticiteit geadresseerde VECOZO, IB, Internet, DigiNetwerk OIN van afzender Verzonden naar knooppunt Datum bericht ontvangen VECOZO, IB, Internet, DigiNetwerk ISO 8601 YYYY-MM-DDThh:mm:ss Datum van verzenden bevestiging ontvangen bericht ISO 8601 YYYY-MM-DDThh:mm:ss OIN van afzender Datum bericht verzonden Datum van ontvangen bevestiging verzonden bericht ISO 8601 YYYY-MM-DDThh:mm:ss Datum security controle Security controle ISO 8601 YYYY-MM-DDThh:mm:ss Fout- of goed melding Datum bericht opslaan Datum bericht verwijderd ISO 8601 YYYY-MM-DDThh:mm:ss ISO 8601 YYYY-MM-DDThh:mm:ss ISO 8601 YYYY-MM-DDThh:mm:ss 6.10 Wat moet er gebeuren Om DigiPoort en RINIS in de langdurige zorg en maatschappelijke ondersteuning te kunnen hergebruiken moeten er nog wel een aantal dingen gebeuren: Het realiseren (versturen en ontvangen) van het berichtenverkeer (inclusief retourberichten) voor de ketens van de langdurige zorg en maatschappelijke ondersteuning. Het realiseren van een koppeling met het private zorgknooppunt (VECOZO), het gemeentelijke knooppunt (Inlichtingenbureau) en publieke ketenpartijen (CIZ, CAK, SVB en basisregistraties) voor het kunnen ontvangen en afleveren van berichten tussen het publieke – en private domain. Het zorg dragen voor een beveiligd berichtenverkeer, waarbij o.a. identificatie en authenticatie van ketenpartijen, de volgbaar- en herleidbaarheid van berichten (zie ook metadata van berichten), de privacy van cliënten, etc. is geregeld. Rapportages. 6.11 Afhankelijkheden in de keten Alle partijen die via Digipoort gegevens of berichten willen uitwisselen hebben een aansluiting op de Digipoort. Alle partijen die via RINIS gegevens of berichten willen 16 De metadata in de tabel is richtinggevend. Pagina 32 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten uitwisselen dienen deelnemer van RINIS te zijn. Zowel IB als Vecozo voldoen aan deze voorwaarde. Pagina 33 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten 7 Knooppunten in de keten en hergebruik In de voorgaande hoofdstukken is de architectuur van de knooppunten en netwerken in kaart gebracht, waarvan het berichtenverkeer verloopt. In dit hoofdstuk wordt samenvattend het overzicht van de knooppunten in de keten in zijn geheel weergegeven. Verder worden de mogelijkheden tot hergebruik besproken. 7.1 Overzichtsplaat van de keten Hieronder is een overzichtsplaat getekend hoe de gehele infrastructuur gegevensuitwisseling volgens de architectuur er uit zou moeten zien. voor 7.2 Eisen aan de knooppunten en aan te sluiten ketenpartijen Deze infrastructuur moet voor de ketens van de langdurige zorg in zijn geheel samenvattend voldoen aan de volgende eigenschappen: 1. Ketenpartijen zijn in staat naar elkaar berichten te verzenden en per bericht een retourbericht te ontvangen met een bevestiging van ontvangst. 2. Keten partijen krijgen via de knooppunten ondersteuning bij het aanvragen van toegang tot de keten, het realiseren van de aansluiting op de keten en bij het gebruik maken van de ketenprocessen. 3. De privacy en bescherming van persoonsgegevens van cliënten zijn gewaarborgd. 4. Berichten moeten onweerlegbaar ongewijzigd en onweerlegbaar van de afzender afkomstig zijn. 5. Ketenpartijen kunnen berichten ontvangen zonder dat dit administratieve lasten voor de ketenpartijen met zich meebrengt. 6. Berichten kunnen in de keten worden opgespoord en gevolgd. 7.3 Hergebruik van de infrastructuur buiten de langdurige zorg De beoogde oplossing kan ook dienen als platform voor uitwisseling in de volgende domeinen of situaties: In het Jeugddomein: voor de uitwisseling van (beleids)informatie tussen gemeenten, zorgaanbieders en het CBS. Samenwerking gemeenten en zorgverzekeraars: mogelijkheid tot beveiligd uitwisselen van informatie. 18 jarigen GGZ: gegevensuitwisseling tussen gemeente en zorgverzekeraar op het moment dat verzekerde 18 jaar wordt. Pagina 34 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten 8 Afwijkingen van de doelarchitectuur Gezien de tijdsdruk van het operationeel worden van de wetten per 1 januari 2015 is het niet mogelijk alle voorzieningen onder de beschreven doelarchitectuur (IZO Architectuur Deel 3c) te realiseren. Daarmee wordt voor bepaalde voorzieningen een tijdelijke afwijking van de doelarchitectuur geaccepteerd. Vervolgens worden afspraken gemaakt om deze later weer onder architectuur te brengen. Dat wil zeggen: de oplossing wordt uiteindelijk gerealiseerd zoals in de doelarchitectuur beschreven. Deze afwijkingen van de doelarchitectuur zijn in dit hoofdstuk beschreven. Tevens zijn afspraken vastgelegd op welke termijn de voorzieningen conform de doelarchitectuur worden gerealiseerd. Dit conform het principe: ‘comply or explain and commit’. Voldoe aan de doelarchitectuur of leg uit waarom je afwijkt. Wanneer je afwijkt, maak dan afspraken hoe en wanneer deze afwijking voldoet aan de doelarchitectuur. 8.1 Digipoort vs. RINIS Voor de uitwisseling van berichten tussen het publieke – en private domein zou gebruik worden gemaakt van de e-Overheid bouwsteen Digipoort. Digipoort zorgt voor de snelle en veilige bezorging van berichten tussen private organisaties en de overheid. Daarnaast zorgt Digipoort dat de overheid zeker weet dat de informatie die zij ontvangt ook echt afkomstig is van de juiste private organisatie. Nu is het niet mogelijk om de koppeling via DigiPoort voor 1 januari 2015 bij alle partijen geïmplementeerd te krijgen. Daarom wordt naast Digipoort tijdelijk (tot 1 januari 2016) ook een alternatieve route ingericht via RINIS. RINIS heeft een bewezen dienstverlening, waarop IB en VECOZO al zijn aangesloten. Daarnaast is RINIS in staat om de envelop standaard te vertalen tussen IB en VECOZO. Ketenpartijen hebben zo tot 1 januari 2016 de tijd om een koppeling via Digipoort te realiseren. Na die datum wordt de uitwisseling van berichten via RINIS uit gefaseerd. 8.2 OIN vs. CBS gemeente code Het Overheid Identificatie Nummer (OIN) is binnen het publieke domein het unieke kenmerk en de e-Overheid standaard, dat bij het adresseren en routeren van digitale berichten (DigiKoppeling) wordt gebruikt. Omdat nog niet alle gemeenten een DigiKoppeling hebben geïmplementeerd, wordt nu veel de CBS gemeente code gebruikt. Pagina 35 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten Daarom wordt gemeenten tot 1 januari 2016 de tijd gegeven om een DigiKoppeling (de WUS-RM variant) te realiseren. Tot die tijd kan de CBS gemeente code als uniek kenmerk bij adressering en routering worden gebruikt. Na die datum wordt het OIN gebruikt. 8.3 AGB vs. NHR Er wordt bij (zorg)aanbieders vooralsnog voor AGB codes gekozen, omdat de NHR nog niet aan de eisen (subcontractors) voldoet. 8.4 Web portaal voor gemeenten in het gemeentelijke knooppunt Niet alle gemeenten kunnen op basis van web services gegevens uitwisselen en verwerken. Daarom wordt bij het Inlichtingenbureau een web portaal met up-/download voorzieningen ingericht. Het web portaal maakt vervolgens gebruik van de web services. Wanneer gegevensuitwisseling via web services over de DigiKoppeling mogelijk wordt, kan het web portaal worden uitgefaseerd. De WUS-RM gegevensuitwisseling gaat uit van transparante knooppunten die uitsluitend berichten routeren. Daar is het gemeentelijk veld nog niet aan toe. Zolang WUS-RM nog niet is geïmplementeerd zal voor identificatie, authenticatie en autorisatie e-herkenning worden gebruikt. 8.5 Plateau planning t.a.v. DigiKoppeling (Reliable Encrypted Messaging variant) In de architectuur wordt voor push-berichten gekozen voor de Reliable Encrypted Messaging variant van de WUS adapter (WUS-RM). Hiermee zijn asynchrone uitwisselingen mogelijk die ondersteuning bieden voor betrouwbaarheid en is het mogelijk om binnen WUS een melding met End-to-End security met een hoge betrouwbaarheid incl. encryptie te bieden. Bij End-to-End security wordt het bericht getekend door de verzender, waarbij de ontvanger een bevestiging terug stuurt ter invulling van een nonrepudiation eis. In de WUS-RM gegevensuitwisselingen is tevens de identificatie en authenticatie geregeld. Niet alle ketenpartijen in het publieke domein zijn op DigiKoppeling aangesloten, laat staan op de WUS-RM variant. Daarom kan tot 1 januari 2016 van de gekozen variant worden afgeweken, door gebruik te maken van de XML-variant van de door Vektis beheerde EI-standaard. Deze staat een latere migratie naar WUS-RM niet in de weg en wordt wel door alle partijen ‘verstaan’. 8.6 Versleuteling van inhoudelijke berichten Gegevens 'in transit' zijn d.m.v. encryptie van de transport laag TLS/SSL beveiligd tijdens transport tussen A en B. Indien er tussenliggende partijen zijn die zorg dragen voor de routering, betekent dit dat het bericht door verschillende tunnels naar de eindbestemming wordt gebracht. Dan moet worden gekeken wat er tussen de tunnels gebeurt. Dit is af te vangen door ook de inhoud van het bericht te encrypten, waarvan alleen de eindgebruiker de sleutel van heeft. Echter, in de knooppunten worden technische kwaliteitscontroles op het berichtenverkeer uitgevoerd. Gelet op de omvang van het aantal partijen (VECOZO, RINIS en IB) wat tussen informatie wordt uitgewisseld, is het qua implementatie en prijs niveau een complexe maatregel om encryptie op het van inhoudelijke berichten toe te passen. Versleuteling op berichtniveau wordt momenteel daarom niet toegepast, terwijl het toepassen van encryptie op de inhoud van het bericht wel wenselijk is. Consequentie is dat. Het geen gebruik maken van het encryptie op de inhoud van het bericht wordt tot 1 januari 2016 geaccepteerd, onder de conditie dat bewerkers maatregelen hebben getroffen die ongeoorloofd toegang tot de inhoud van het bericht onmogelijk maakt. Na die datum wordt gebruik gemaakt van de WUS-RM variant van berichtenverkeer. Deze Pagina 36 van 37 IZO Architectuur Deel 3c PSA voor de knooppunten variant biedt End-to-End security met een hoge betrouwbaarheid incl. encryptie. Kwaliteitscontroles hoeven dan niet meer door de bewerkers in de knooppunten te worden uitgevoerd, maar worden via XML tabellen bij de verzender en ontvanger uitgevoerd. Het uitfaseren van flat file EI berichten en het overstappen op XML berichten is een voorwaarde om dit te kunnen realiseren. 8.7 DigiNetwerk vs. GemNet DigiNetwerk is voor gemeenten beschikbaar via de infrastructuur van het Suwinet of als dienst via GemNet of NDIX. BZK-BPR schrijft het gebruik van DigiNetwerk voor, bijvoorbeeld in het kader van de nieuwe GBA-v, WOZ, etc. Inmiddels is ongeveer de helft van de gemeenten, waaronder de G4, al langs één van de beschikbare wegen aangesloten op DigiNetwerk. Dit aantal is groeiende. Voor die gemeenten die nog geen DigiNetwerk aansluiting hebben, heeft het IB een alternatieve route via GemNet beschikbaar gemaakt. In dat kader wordt het Inlichtingen Bureau door gemeenten al binnen het sociale domein gebruikt als knooppunt bij de routering van berichten naar gemeenten. Dit is een tijdelijke route tot 1 januari 2016 voor gemeenten die nog geen DigiKoppeling hebben geïmplementeerd. Samen dekken de routes via DigiNetwerk en GemNet 100 % van het gemeentelijk veld. Na 1 januari 2016 wordt GemNet uit gefaseerd en wordt door gemeenten gebruik gemaakt van het DigiNetwerk. 8.8 DigiNetwerk van het InlichtingenBureau via RINIS Het Inlichtingenbureau heeft nog geen DigiKoppeling en is op dit moment niet zelfstandig aangesloten op het Diginetwerk. RINIS is wel aangesloten op het Diginetwerk. De zelfstandige aansluiting neemt meer tijd in beslag dan er op dit moment is. Een aansluiting voor 1 januari 2015 is niet mogelijk. Daarom is ervoor gekozen om de aansluiting van publieke partijen gewoon via RINIS over het Diginetwerk te laten verlopen, waar RINIS op is aangesloten en de berichtenstroom verder over de beveiligde tunnel tussen RINIS en IB te routeren. De stelling is dus dat publieke partijen conform de Rijksbrede afspraken via het Diginetwerk informatie uitwisselen. Pagina 37 van 37
© Copyright 2024 ExpyDoc
