Breadcrumbs

Zx.1b.1 | Identificatie en authenticatie

Zorgaanbieder

De communicerende zorgaanbieders dienen als identificatie van de eigen organisatie (SubjectOrganizationID) de OID zijn zoals vermeld in het HL7 Nederland OID-register (https://hl7.nl/actuele-hl7-nl-oid-register.html ). Indien dit niet mogelijk is, moet een Subject Organization ID worden gebruikt die herleidbaar en verifieerbaar is in een openbaar toegankelijk register, zoals het AGB-register.

Het attribuut SubjectOrganizationID zal uiteindelijk moeten worden gevuld met het URA-nummer. Dit is ook noodzakelijk om een overgang naar Mitz voor toestemmingsbeheer mogelijk te maken. Huidige implementaties mogen voorlopig de HL7 OID blijven gebruiken; echter, een toekomstige patch van deze Twiin Technical Agreement zal het gebruik van het URA-nummer verplicht stellen. De planning en praktische aanpassingen met betrekking tot deze patch zullen voorafgaand aan de handhaving worden afgestemd met leveranciers. Handhaving van deze verplichting is noodzakelijk vanaf het moment dat de eerste partij voornemens is aan te sluiten op Mitz.

Het is toegestaan meerdere coderingen mee te geven. De ontvangende partij zal de waarden verwerken zoals bedoeld.

Overgangsperiode

Totdat de landelijke uitrol van Mitz voor zowel toestemming als lokalisatie operationeel is, geldt de volgende tijdelijke afspraak:

  • De HL7 OID mag worden gebruikt als primaire waarde voor de SubjectOrganizationID.

  • Zodra de migratie naar Mitz formeel is vastgesteld en operationeel is, zal het URA-nummer in een toekomstige versie van deze TTA de verplichte identificatie worden.

  • Twiin zal een overzicht van deelnemende identificaties (inclusief HL7 OID en URA) beschikbaar stellen en onderhouden ter ondersteuning van correcte identificatie gedurende de overgangsperiode.

  • Leveranciers zijn verantwoordelijk voor het implementeren en onderhouden van de mapping tussen HL7 OID en URA binnen hun eigen systemen.

Het aanleveren van meerdere identificaties (bijvoorbeeld HL7 OID en URA) binnen de SubjectOrganizationID blijft gedurende de overgangsperiode toegestaan.

Zorgverlener/gebruiker

Zorgverleners dienen geïdentificeerd te worden op basis van een uniek ID. Waar mogelijk is dit het UZI-nummer, maar ook een lokaal-id i.c.m. een unieke OID of een unieke username* mag gebruikt worden. De zorgverlener/gebruiker dient lokaal geauthenticeerd te worden op eIDAS-niveau hoog. Door de keten heen kan hier nog geen bewijs van worden meegeven zodat andere partijen de zorgverlener ook met zekerheid kunnen authenticeren.

* Het loggen van een user-id bij een gegevensuitwisseling is een verplichting die volgt uit de NEN7513:2024.

GTK

De GTK’s dienen bij het opzetten van de gegevensuitwisseling elkaar te authenticeren op basis van een PKIo-servercertificaat. Gegevens over welk GTK welk servercertificaat gebruikt worden bij aansluiting op Twiin met elkaar uitgewisseld (zie adressering).