De architectuur van het Nederlands EPD

In een reeks verschillende opiniebijdragen behandel ik de komende tijd verschillende facetten van het EPD (Elektronisch Patiëntendossier). In deze bijdrage ga ik in op de systeemarchitectuur van het EPD.

Nictiz, het publieke orgaan dat door het Ministerie van VWS is aangewezen als uitvoerende partij, speelt rond de architectuur een grote rol. Nictiz is namelijk de technisch opdrachtgever voor het project en zal uiteindelijk ook het beheer doen. Nictiz is dan ook de partij die de voorwaarden stelt (en certificeert) aan de inrichting en het gebruik van het EPD. Het Nictiz deelt als publieke organisatie gelukkig het ontwerp en veel andere informatie met alle partijen, dus daar had ik dan ook gewoon toegang toe.

Het bijgaande plaatje geeft duidelijk aan hoe het systeem is opgebouwd. Onderaan te beginnen bij de negenduizend zorgaanbieders. Dit kunnen ondermeer huisartsen zijn, ziekenhuizen, fysiotherapeuten, apothekers, etc. Als het geheel van ict-systeem, beheer en organisatie van een zorgaanbieder is goedgekeurd door het Nictiz, dan wordt het GBZ genoemd. GBZ staat voor Goed Beheerd Zorgsysteem. Binnen dat zorgsysteem zijn er zorgverleners die toegang nodig hebben tot dossiers van hun patiënten. Een goedkeuring om GBZ te worden gaat op basis van een zelfevaluatie die ingestuurd moet worden aan het Nictiz. Binnen het Klink-EPD zijn er eisen gesteld aan alle zorginformatiesystemen (met als verzamelnaam XIS) die gekoppeld worden aan het landelijke netwerk.

Een van de eisen is dat er voor gebruikers alleen toegang is tot het XIS en eventueel het landelijke netwerk na identificatie met de UZI-pas, een pas voor elke zorgmedewerker die met een XIS werkt. De UZI-pas bevat unieke digitale certificaten die beschermd zijn met een pincode en wordt gecontroleerd door het UZI-register bij het CIBG (bovenste blokje). Authorisatie (wie welke informatie mag opvragen) vindt plaats volgens de autorisatieprofielen (APF) die opgeslagen staan op het landelijke schakelpunt (LSP-AUT, blokje onder het CIBG). Diezelfde autorisatieprofielen kunnen trouwens ook naar het lokale XIS gekopieerd worden om daar binnen de GBZ ook de autorisatie te sturen. De autorisatieprofielen kunnen in principe door de burger worden aangepast (in eerste instantie via een tussenpersoon, later rechtstreeks).

Na positieve identificatie en de juiste authorisatie mag een zorgverlener aan de slag. Dossiers van de eigen patiënten staan binnen het eigen zorginformatiesysteem. Het feit dat een dossier van die patiënt (geïdentificeerd door het Burger Service Nummer, BSN) lokaal opgeslagen staat, is gemeld bij het Landelijk Schakelpunt. Dat geldt voor elk dossier van elke zorgaanbieder. Dus het opvragen bij de Zorg Informatie Makelaar van het LSP (LSP-ZIM) zal naast een record van het eigen dossier ook de records opleveren van andere zorgaanbieders (van bijvoorbeeld een ziekenhuis) die een (deel)dossier van de patiënt hebben. De arts kan dan de inhoud van zo'n deeldossier bij het LSP-ZIM opvragen welke dan de vraag zal doorspelen naar het XIS van het betreffende ziekenhuis. Dat XIS zal op zijn beurt de informatie beschikbaar stellen aan het ZIM die het vervolgens weer naar de aanvragende arts stuurt. De communicatie tussen alle partijen gaat uitsluitend via Zorg Service Providers (ZSP, tweede lijn van onderen), dat zijn service providers die aan een aantal veiligheidseisen voldoen en de kwalificatie van ZSP hebben aangevraagd bij het Nictiz.

Kortom, een architectuur waar nogal wat processen met elkaar praten. Het is verre van een simpel client server-systeem. Dat hoeft natuurlijk niet per definitie ongerustheid op te wekken. Aan elke speler en elk component van het hele Klink-EPD worden tenslotte serieuze eisen gesteld en daarmee worden logisch gezien risico's beperkt. Of ze genoeg beperkt worden hoop ik in de komende artikelen uit te vinden. Ik heb hiermee een overzicht van de EPD-architectuur gegeven, de volgende verdieping gaat in op de spin in het web, het Landelijk Schakelpunt.