[Req 87]: Als betrokkene wil ik dat er mitigerende maatregelen zijn voor de risico's die komen bij het vastleggen van de keuzes door een zorgaanbieder voor een andere zorgaanbieder

[stevenvegt]

Risico's zoals:

• Niet-zorgaanbieder zonder behandel relatie die zichzelf toegang tot gegevens verleent.
• Geen opdracht van de patient voor het vastleggen van de toestemming
• Toestemming vastgelegd onder dwang
• Per ongelijk verkeerde patient aanklikken
• Zorgaanbieder legt meer toestemmingen vast dan eigenlijk nodig
• Goedbedoelde zorgverlener die de opdracht van een frauderende patient volgt
• Gecompromiteerde systemen maken misbruik van deze optie

[PascalvanderHall]

Te breed geformuleerd, opsplitsen in meerdere (specifieke) requirements.

[Guidonoord]

Dit is een alternatief voor (of naast) 86 (en 22), maar géén vervanging.

Zie mijn comment bij 86 voor een voorbeeld van een mitigerende maatregel, bijv. een alternatief voor 'namens de patient' registreren door 'voor de patient klaarzetten' van een toestemmingskeuze waarbij de patient - of diens gemandateerde mantelzorger/... - de toestemming alleen nog hoeft te bevestigen.

Er is op dit vlak veel meer mogelijk dan nu bedacht is/wordt.

Omdat risico's bij vastleggen van toestemming door een ander dan de bronhouder of de patient reëel zijn, dient er tijd en creativiteit in deze mitigerende maatregelen gestoken te worden. Deze moeten concreet worden uitgewerkt, mogelijk voor verschillende use cases, voordat geoordeeld wordt of deze wel of niet haalbaar zijn (en dat moet niet alleen door 'gebruikers' beoordeeld worden die alles teveel werk vinden :).

(iets) meer werk voor de arts en privacy van de patient zijn beiden belangrijke kanten van de balans - bovendien is de afweging geen zero sum game, soms is 'werk' voor een arts nauwelijks of geen werk als een stap in een werkproces kan worden ingebouwd.