medea

• behandelbeperking
• medicatie
• allergieën
• vrij tekstveld (bijv. pacemakergegevens, etc)

Mensen die

• medicatie gebruiken
• een allergie hebben
• een wens tot behandelbeperking hebben (niet reanimeren, Jehova's)

• eerste kernconcept binnen medea is decentrale anonimiteit
• de kernbestanddelen van het paspoort zijn gegevens die niet tot een individueel persoon terug te leiden vallen, zo zal de blockchain geen NAW-gegevens, patientennummers, BSN, emailadres, etc. bevatten
• via afgeleide sleutels kan per zorgverleningsinstelling goedkeuring gegeven en ingetrokken om de gegevens in te zien
• er bestaat dus geen landelijke database met naar de persoon terug te leiden medische gegevens die gehackt kan worden, zoals het LSP

tevens:

• de blockchain is versleuteld met een over de tijd wisselende sleutel,
• servers worden alleen bij zorginstellingen geplaatst die een wettelijke verplichting kennen tot geheimhouding,
• deelnemende zorgverleners gaan een contract aan met de stichting waarin een maximale inspanning tot bescherming van de privacy van de deelnemers wordt overeengekomen,

Wat kan wel gebeuren:

• de medische gegevens van een patient kunnen ontvreemd worden door een hack of diefstal van een QR-code, hierdoor kan een koppeling tussen een persoon en een identifier in de blockchain gemaakt worden
• een ziekenhuis kan gehackt worden waarbij alle koppelingen tussen personen en QR-codes die opgeslagen zijn in dat ziekenhuis gestolen worden

• het tweede kernconcept is eenvoud
• deelnemers krijgen een QR-code waar een anonieme identifier in zit en een link naar de internetapplicatie
• het paspoort kan door de patient in korte tijd geopend worden door slechts de camera van een smartphone op de QR-code te richten
• dit geldt ook voor hulpverleners in noodsituaties
• de benodigdheden voor een zorgverlener zijn over het algemeen voorhanden bij een zorgverlener: een webcam en printer
• de QR-code wordt aan de gebruiker gegeven als een print
• de QR-code kan ook als mail verstuurd worden
• de patient kan ook met een computer met/zonder webcam inloggen op het medisch paspoort
• indien men geen webcam heeft kan een unieke woordcombinatie gebruikt worden om in te loggen
• ook zonder computer kan een gebruiker MEDEA gebruiken: hij kan een afdruk van de QR-code meenemen naar het ziekenhuis waar de zorgverlener hem helpt met het updaten van het paspoort, of hij een computer/tablet kan gebruiken
• het ontwerp van de applicatie en blockchain is gericht op eenvoudige koppeling / synchronisatie met EPD's van ziekenhuizen en patienten

• de winst in veiligheid door het gebruik van MEDEA neemt toe met de mate van acceptatie door de doelgroep in Nederland
• deze is het grootst indien de acceptatie nagenoeg maximaal is
• het primaire doel bij het ontwerp is daarom acceptatie: dit is de achterliggende gedachte van de zeer beperkte inhoud en de eenvoud van gebruik
• de ervaring met ICT in de zorg laat zien dat projecten snel te complex worden, duur zijn, mislukken en/of falen door matige acceptatie

• de governance-structuur van de stichting garandeert openheid voor commentaar en verbeteringen door alle stakeholders
• indien gewenst kan een patient kiezen om wel naar de individu terug te leiden gegeven op te nemen in MEDEA

• de Stichting biedt de applicatie aan en stimuleert het gebruik
• de deelnemende zorginstellingen steunen de Stichting
• patient kan gratis deelnemen en is/blijft eigenaar van zijn gegevens
• de patient heeft de mogelijkheid tot een opt-out (blockchain waarin elementen verwijderd kunnen worden!)
• de patient heeft de mogelijkheid tot een opt-in (indien gewenst kan een patient kiezen om wel naar de individu terug te leiden gegeven op te nemen in MEDEA)

Hoewel dit niet het primaire doel is van de applicatie zijn er een aantal spin-offs mogelijk.

Een patient gaat pas een medicijn gebruiken als hij dit bij de apotheek heeft opgehaald. De apotheker is het meest logische startpunt voor deelname. De apothekersassistente kijkt of hij al een identifier van de patient heeft.

• Zo niet, vraagt deze of de patient al gebruiker van MEDEA is.
• Zo ja, wordt de identifier toegevoegd aan het apothekersinformatiesysteem, en de nieuwe medicatie aan de blockchain.
• Zo nee, uitleg en QR-code wordt meegegeven. De identifier wordt opgenomen in de administratie van de apotheker. Het huidige medicatiegebruik wordt toegevoegd aan de blockchain.

De patient krijgt het verzoek thuis in te loggen op de website en zijn medicatiegebruik aan te passen. Dit kan gestimuleerd worden door de mogelijkheid van de App om een fraaie "medicatie-kalender" uit te draaien / mailen.

Als de deelnemer naar een SEH of huisarts of specialist gaat, kan een assistente vragen of de patient gebuiker van MEDEA is.

• Zo ja, wordt een uitdraai gemaakt.

De patient wordt gevraagd in de wachtkamer de uitdraai op juistheid te controleren. De patient neemt de gecorrigeerde uitdraai mee naar de arts. De arts heeft de wettelijke plicht te verifieren of de gecorrigeerde uitdraai klopt. De arts wijzigt de blockchain aan de hand van de correcties van de patient en de wijzingen waartoe tijdens het consult besloten wordt.

• Zo niet, kan gekozen worden geen actie uit te voeren of hetzelfde beleid te voeren als de apotheker.

In wezen is het beleid bij opname niet anders.

• De ziekenhuisapothekersassistent / co-assistent kan een deel van de procedure op zich nemen.

De zorgprofessional registreert nooit anoniem in de blockchain.

• Een zorgprofessional kan via zijn zorginstelling indien deze deelneemt (of de Stichting) een account aanvragen.

Deze is gekoppeld aan het BIG-nummer. De QR-code is dan qua beveiliging niet voldoende. Het inloggen kan extra beveiligd worden via

• een extra wachtwoord, en/of
• SMS-token,
• Google Authenticator,

of,

• een hardware token,
• koppeling aan inloggen op computersysteem van ziekenhuis.

Iedere view en wijziging door een zorgprofessional wordt gelogd. Dit kan de patient zien. Dit zijn echter gegevens die de data kunnen terugleiden naar de individu. Twee opties:

• Daarom kunnen deze nooit ingezien worden middels alleen een QR-code, en/of
• Tot de patient in de App toestemming geeft wordt er geen koppeling gemaakt tussen het account van de gebruiker en de zorgprofessional.

Ook "anonieme logs" zijn te zien door de patient: Op 12-12-12- 5:35 zag een arts/apotheker/… uw medicatie-overzicht in.

De patient kan thuis de beveiliging van zijn gegevens vergroten: Opties zijn:

• Google Authenticator
• Extra wachtwoord
• SMS-token

Dit maakt dat de patient de extra gegevens kan inzien. Een professional kan deze ook inzien, indien deze worden bijgehouden, en moet daarvoor ook inloggen.

Iedere controle van het medicatieoverzicht wordt ook gelogd: op 12-12-12 5:35 heeft de patient / een arts / een apotheker (indien gelogd: naam) het medicatieoverzicht bij de patient geverifieerd.

Vraag: kan het doorvoeren van de wijzigingen ook gedelegeerd worden aan een dokterassistent / co-assistent met een account?

• In ieder geval geniet het de voorkeur het inzien door dergelijke gebruikers ook middels een account te laten verlopen.

Een niet-geautoriseerd inzien van de data (dus met alleen de QR-code) leidt tot een break-the-glass procedure, ook dit wordt gelogd.

Bij iedere inlogprocedure wordt bij alle gebuikers de vorige wijziging en vorige inlog datum/tijd getoond.

Door de volledige log kan altijd teruggegaan worden of gekeken worden naar het medicatiegebruik op een bepaalde datum, "een soort Internet Archive".

Welke zorginstellingen de QR-code opgeslagen hebben, wordt ook gelogd.

De QR-codes verwijzen altijd naar een interne hoofdcode. Een QR-code kan gedeactiveerd worden door de gebruiker. Bijv. omdat hij zijn goedkeuring voor gebruik door derden intrekt of omdat hij denkt dat onbevoegden de code hebben. Het gebruiken van een gedeactiveerde code wordt gelogd. Dit is in wezen een tweede ledger.

Per zorginstelling kan een uniek subcode genoteerd worden. Zo kan een gebruiker zien aan welke zorginstellingen hij zijn toestemming heeft gegeven. Deze kan hij per subcode terugtrekken. Dit is in wezen een derde ledger.

De patient kan aan iedereen en iedere partij zijn QR-code geven (of de intrekbare afgeleide hiervan).

Een gebruiker kan ook altijd goedkeuring om gegevens in te zien terugtrekken, middels

• Verwijdering uit blockchain
• Terugtrekken intermediaire code gegeven aan zorginstelling of derde partije.

Uiteraard zullen zorgprofessionals gebonden zijn nooit een QR-code te bewaren buiten de daartoe bestemde plek in het EPD van de zorginstelling.

Ieder deelnemend ziekenhuis moet zijn EVS koppelen aan de blockchain.

Dit kan op 3 manieren:

• EVS legen en 1:1 blockchain overnemen
• blockchain legen en 1:1 vullen met EVS
• een geavanceerde procedure waarbij de verschillen getoond worden en per verschil voor al dan geen overname gekozen kan worden

De eerste twee methoden zijn waarschijnlijk eenvoudig haalbaar

MedMij maakt dat waarschijnlijk niet voor ieder ziekenhuis opnieuw het wiel uitgevonden hoeft te worden. En dat ziekenhuizen verplicht zullen zijn deel te nemen.

Ook kan een EPD de blockchain als poliklinisch medicatieoverzicht gebruiken (en de eigen EPD-module uitschakelen). Dit lijkt alleen niet heel logisch.