Topmenu

De Wet Digitale Overheid

Deel:

Eind september bezocht ik een informatiebijeenkomst over de Wet Digitale Overheid (WDO). Deze wet kan de zorgaanbieder uiteindelijk verplichten om een hoger niveau van authenticatie zoals DigiD en andere Europees erkende inlogmiddelen aan te bieden bij digitale dienstverlening. Op dit moment zijn we nog niet zover.

De Europese eIDAS verordening vraagt al een hoger niveau van authenticatie. De eIDAS is echter toegespitst op dienstverlening door overheden in Europese landen. Via de Wet Digitale Overheid en de bijbehorende regelingen, kunnen ook andere organisaties in Nederland deze verplichting opgelegd krijgen. In eerste instantie heeft de overheid ervoor gekozen dat zorgverzekeraars en academische ziekenhuizen eIDAS middelen gaan inzetten in hun digitale dienstverlening aan patiënten. Voor de rest van de zorg geldt dit dus eerst nog niet. De WDO biedt wel de ruimte om door middel van ministeriële regelingen de eisen en reikwijdte van de wet verder uit te breiden. Bij regeling is nu tijdelijk een lager niveau van authenticatie toegestaan dan eigenlijk wenselijk voor medische gegevens, omdat authenticatiemiddelen op het juiste niveau nog niet breed beschikbaar zijn.

Routeringsdienst

Logius ontwikkelt namens BZK een publieke routeringsdienst en doet pilots. Een publieke routeringsdienst is een technisch koppelvlak om een online dienst op aan te sluiten, zodat een gebruiker kan inloggen met de authenticatiemiddelen die zijn opgenomen binnen deze routeringsdienst. Uitgangspunten daarbij zijn, dankzij aandringen vanuit VWS, één contract, één aansluitproces en één factuur voor zowel de kosten van DigiD, private en eIDAS middelen bij elkaar, die deel uitmaken van de routeringsdienst. Er was daarnaast een aanbesteding voor een privaat ontwikkelde routeringsdienst, zodat er geen nieuw single point of failure ontstaat. Vanwege de prijzen in de reacties op de aanbesteding wordt echter uitgeweken naar alternatieve, reeds bestaande opties: de Identity Bridge en de Toegangs Verlenings Service die binnen Economische Zaken al in gebruik is. Verder loopt er nog discussie of ook eHerkenning en Idensys binnen pilots betrokken gaan worden. Voor de duidelijkheid: dit zijn allemaal koppelvlakken, waar dienstverleners op aan kunnen sluiten, om vervolgens de patiënt in staat te stellen zelf te kiezen met welk middel hij inlogt. Zoals we inmiddels gewend zijn om bij online betaling te kunnen kiezen tussen bijvoorbeeld iDEAL en Paypal. Omdat net als een enkel middel, ook een enkel koppelvlak uit zou kunnen vallen door technische problemen of cyberaanvallen, is het de bedoeling dat meerdere koppelvlakken naast elkaar beschikbaar zijn.

DigiD

DigiD wordt doorontwikkeld naar een hoger niveau, tot en met het eerste kwartaal van 2019. DigiD machtigen wordt tevens doorontwikkeld, zelfs de komende 1,5 jaar. Nu kunt u bijvoorbeeld uw partner al machtigen om namens u uw belastingaangifte te doen. U hoeft hiervoor dus niet uw eigen DigiD account beschikbaar te stellen. Dit machtigen moet eenvoudiger gaan werken en goed traceerbaar zijn. Eind 2019 komt de ouder-kind relatie beschikbaar in DigiD. En vanaf 2020 en verder worden er mogelijkheden ontwikkeld op basis van het gezagsregister, mogelijkheden voor nabestaanden en voor bewindvoerders en curatoren. Aan de zorg en de ICT-leveranciers dus de boodschap om alvast na te denken over het omgaan met deze gegevens. Bijvoorbeeld: wanneer geeft u toegang tot het dossier van een kind, als u via DigiD binnenkrijgt dat iemand de ouder is van het kind?

Authenticatie en PGO’s

Doel van een PGO, vanuit de overheid, is om de patiënt in staat te stellen zijn dossierinformatie levenslang te houden. Gegevens blijven beschikbaar in het PGO, ook als de zorgaanbieder de gegevens vernietigd heeft na het verstrijken van de wettelijke bewaartermijn. De patiënt zou vrij moeten zijn om zijn PGO in te richten onder een fictieve naam. Omdat PGO’s het BSN niet mogen verwerken, zal de patiënt moeten inloggen met een privaat middel van een toereikend niveau. DigiD kan niet gebruikt worden, omdat DigiD aan de hand van het BSN verifieert wie u bent. Op het moment dat de patiënt vanuit de PGO data van de zorgverlener wil ophalen, volgt een authenticatiestap met het BSN, zodat de juiste data worden binnengehaald. Hier zou DigiD dus wel gehanteerd kunnen worden. Uitdaging aan het veld is om uit te zoeken of er handige principes gehanteerd kunnen en mogen worden om vervolgens deze data te blijven actualiseren als dat de wens van de patiënt is.

Van zorgaanbieder naar zorgaanbieder

De authenticatieverplichtingen in de WDO gaan nog niet over communicatie tussen zorgaanbieder en zorgaanbieder. Maar het is zeer goed mogelijk dat het wel die kant op gaat. De mogelijkheid is in de wet opengehouden. Waarschijnlijk zal er dan een ministeriële regeling komen die de UZI-pas (Unieke Zorgaanbieder Identificatie) laat vervangen door de nieuwere middelen.

Planning

De WDO wordt naar verwachting in juni 2019 aangenomen, als de inhoud niet teveel vragen oproept. Daarna kunnen de bijbehorende regelingen 'het proces in'. Want de regelingen kunnen pas behandeld worden, als de wet waar zij bij horen vastgesteld is. Een van deze regelingen is een aansluitschema, waarin opgenomen zal worden in welke fasering welke organisaties moeten gaan voldoen aan de hogere niveaus van authenticatie. Dit moet alle partijen voldoende tijd te geven om de functionaliteit te realiseren. Een heel traject nog dus, dat in de loop van 2019 duidelijker wordt, als de wet en regelingen er komen. Zeker interessant in combinatie met de deadline voor VIPP A2 voor de medisch specialistische zorg, waarin het eind 2019 verplicht zou kunnen worden om deze hogere niveaus van authenticatie aan te bieden.

Voor nu: De Autoriteit Persoonsgegevens zal een brief gaan sturen over wat zij een reëel niveau van authenticatie in de zorg vinden op dit moment. Dat zal nog steeds gaan om twee factor authenticatie met SMS. Mee ontwikkelen met de routeringsdienst die eraan komt, zal helpen om klaar te zijn voor de verdere ontwikkelingen.

Marianne-Knoop-Pathuis-Baarda-Medicore
Auteur
Marianne Knoop Pathuis - Baarda, Productmanager

 

cyber-security