Burgers moeten in de komende jaren sneller en gemakkelijk digitaal toegang krijgen tot hun eigen medische gegevens. Minister Schippers heeft hiervoor samen met alle betrokken partijen een ambitieuze agenda neergezet voor huisartsen, ziekenhuizen en andere zorgaanbieders. Die toegang moet natuurlijk wel zo betrouwbaar zijn dat de privacy van burgers goed is geregeld. En daar wringt hem de schoen. Want het dertien jaar oude DigiD, de enige overheidsdienst waarmee je je digitale identiteit kunt aangeven, voldoet niet meer aan de eisen die de overheid aan digitale communicatie anno 2017 stelt. Probleem: een opvolger voor grootschalige inzet is nog niet beschikbaar.
In de zorg is in de afgelopen tijd in pilots geëxperimenteerd met nieuwe oplossingen die meer privacy en beveiliging bieden. De zorgorganisaties die meewerken bieden diensten als patiëntportalen, online ondersteuning voor fysiotherapie en digitale diensten voor huisartspraktijken en apothekers. Vorige week stuurde minister Plasterk van Binnenlandse Zaken een evaluatierapport over deze zogeheten eID-pilots in de zorg naar de Tweede Kamer.
Volgens de minister is de belangrijkste uitkomst van deze evaluatie dat gebruikers positief zijn over de alternatieven voor DigiD, maar dat de duur en de complexiteit van het aanvraagproces voor de nieuwe inlogmiddelen als een hindernis worden ervaren. Bovendien willen de betrokken zorginstellingen meer helderheid over de kosten van de nieuwe oplossingen, en merken ze dat hun klanten het onhandig vinden dat ze de nieuwe manieren van inloggen niet bij veel meer diensten kunnen gebruiken. Dat zou de acceptatie verbeteren, aldus de evaluatie. Gebruikers ervaren qua gemak en snelheid nog niet zo veel voordelen ten opzichte van bestaande middelen als DigiD, maar ze schatten de betrouwbaarheid wel hoger in.
Gebruikers overwegend tevreden over nieuwe inlogmiddelen
Meerdere aanbieders en technische oplossingen
Het ging bij de pilots niet om één specifieke techniek. Het idee was om te experimenteren met verschillende technische oplossingen van verschillende leveranciers. Wat ze gemeen hebben is dat het betrouwbaarheidsniveau hoger is dan wat DigiD nu kan bieden. Zo krijg je een inlogmiddel of toegangscode bijvoorbeeld niet zomaar per post toegestuurd, maar moet je identiteit in persona worden gecontroleerd bij de uitgifte. Daarnaast maken de nieuwe diensten ook slimmer gebruik van de voorzieningen van je smartphone. Daardoor kunnen ze beter voldoen aan de eisen die de wetgever stelt aan de beveiliging van medische gegevens.
Publieke en private oplossingen naast elkaar
De zorg is een speerpunt in het kabinetsbeleid rond de invoering van een nieuw stelsel voor digitale herkenning. De zorgpilots waarover Plasterk rapporteerde sluiten aan bij de filosofie dat er niet één enkele opvolger moet komen voor het bestaande DigiD. De overheid wil zelfs blijven werken aan een uitbreiding van DigiD, waarmee veel hogere betrouwbaarheidsniveau mogelijk is. Dat zou voor de hoogste niveaus moeten werken op basis van een chip in een rijbewijs of elektronische identiteitskaart. De doelstelling is om deze voorziening in 2018 beschikbaar te hebben. DigiD krijgt dus een opvolger met een extra beveiligingslaag.
Extra beveiliging voor DigiD?
Maar daarnaast wil de regering dat burgers voor de communicatie met de overheid ook gebruik kunnen gaan maken van identificatiemiddelen die door het bedrijfsleven zijn ontwikkeld. Zodat je bijvoorbeeld met je elektronisch bankieren app of met gezichtsherkenning kunt inloggen bij de Belastingdienst. In de visie van de overheid zou er een nieuwe infrastructuur moeten komen, waarbij de burger zelf kan kiezen welk veilig inlogmiddel hij of zij wil gebruiken om toegang te krijgen tot digitale diensten. Die inlogmiddelen moeten vanzelfsprekend aan specifieke eisen voldoen. Het is niet de bedoeling dat je met je Facebook-login doorschakelt naar je patiëntendossier.
Met je bankapp inloggen bij de overheid?
Zware bevalling
Het opzetten van zo’n nieuw landelijk stelsel voor digitale herkenning is een zware bevalling waarvan de eindstreep nog niet in zicht is. Hoe zorg je ervoor dat er geen oneerlijke concurrentie komt tussen de publieke diensten en de diensten van commerciële aanbieders? Aan welke technische eisen moet zo’n infrastructuur voldoen wanneer je privacy als eerste uitgangspunt wilt nemen? Wat gaat het kosten, en wie gaat de infrastructuur betalen en beheren? Welke nieuwe wetgeving is nog nodig om de nieuwe infrastructuur een solide wettelijke basis te geven?
Na toenemende politieke druk stuurde minister Plasterk eind vorig jaar een aantal lang verwachte documenten naar de Tweede Kamer. Het belangrijkste daarvan is de Uniforme Set van Eisen. Dat is een complex technisch document, dat beschrijft waaraan herkenningsmiddelen van de overheid en private aanbieders moeten voldoen om mee te kunnen doen in de landelijke infrastructuur.
Uniforme set van Eisen moet privacy waarborgen
Wat levert het op?
Plasterk stuurde ook een financiële onderbouwing voor die nieuwe infrastructuur. Die zogeheten business case geeft een gedetailleerd inzicht in de kosten. Tot 2017 gaat het naar schatting om zo'n 650 miljoen euro. De baten blijken veel moeilijker in zicht te krijgen. De onderzoekers zien de grootste besparing in tijdwinst voor de burger, die voortaan zaken digitaal kan afwikkelen waarvoor hij of zij nu nog zelf bij een balie moet verschijnen. Bij 30 miljoen nieuwe digitale transacties per jaar en een ‘uurtarief’ voor de burger van 15 euro tikt dat flink aan, zeggen de opstellers van de business case. Daarnaast voorziet men een afname van identiteitsfraude. De kosten daarvan kunnen oplopen tot vele tienduizenden euro’s per geval. Een voorstel voor de benodigde nieuwe wetgeving voor eID (de wet Generieke Digitale Infrastructuur) zal pas na de verkiezingen naar de Tweede Kamer worden gestuurd, zei Plasterk in het meest recente overleg met die kamer. Het concept-voorstel is nu overigens al wel in te zien als consultatie-document.
Tweede kamer is er nog niet gerust op
Tweede Kamer nog niet gerustgesteld
De huidige Tweede Kamer is nog niet gerust op de goede afloop. Enerzijds vinden sommige kamerleden dat het allemaal veel te traag gaat, dat deadlines voortdurend verschuiven, en we steeds meer gaan achterlopen bij andere Europese landen. Tegelijk is men beducht voor wéér een uit de hand lopend grootschalig ICT-project. Vooral de samenwerking tussen overheid en marktpartijen zorgt voor vragen over toezicht en privacy, en daarmee extra complexiteit. Een nieuwe volksvertegenwoordiging zal er in welke samenstelling dan ook de handen nog aan vol krijgen.
Cruciaal voor eHealth beleid van ministerie van VWS
Minister Schippers zat intussen met de gebakken peren. Haar ministerie is niet de leidende partij in dit traject, maar zij had de nieuwe digitale toegangsmiddelen keihard nodig voor de uitvoering van haar eHealth beleid.
Veel zorgaanbieders willen aan de slag met patiëntportalen en apps die burgers toegang tot hun medische dossier geven. Een kwart van alle ziekenhuizen biedt al dergelijke voorzieningen, net als een groeiend aantal GGZ-instellingen en huisartsenpraktijken. Maar het blijkt voor bestuurders niet gemakkelijk te zijn om bij de Autoriteit Persoonsgegevens, de Inspectie of hun beroepsvereniging boven tafel te krijgen aan welke eisen de inlogprocedures moeten voldoen.
Bestaande beveiliging in zorg vaak onvoldoende
Vorig jaar vroeg het ministerie aan enkele externe deskundigen om een rapport dat een einde moest maken aan al die vragen. In “Onderzoek betrouwbaarheidsniveaus patiëntauthenticatie bij elektronische gegevensuitwisseling in de zorg” concluderen de onderzoekers, na een analyse van de wetgeving, dat voor zorgtoepassingen in veel gevallen toegangsmiddelen van de niveau’s ‘substantieel’ en ‘hoog’ nodig is. Dat zijn codewoorden voor een steeds sterker beveiligingsniveau. DigiD kan dat nu niet bieden. Het was voor minister Schippers één van de redenen om de verplichting om patiënten digitaal inzage te geven in hun dossier met drie jaar uit te stellen. Haar hoop was dat tegen die tijd het nieuwe stelsel volop in gebruik zou zijn.
En daarmee komen we weer terug bij de eerdergenoemde pilots. In deze pilots konden patiënten en zorgaanbieders inloggen met de beveiligingsniveaus ‘substantieel’ en ‘hoog’. Maar de in deze pilot gebruikte systemen zijn nog niet grootschalig beschikbaar, mede omdat de overheid de wettelijke basis en het toezicht erop nog niet rond heeft. Dat moet dit jaar gaan gebeuren, tot die tijd is er sprake van een periode waarin de nieuwe infrastructuur nog niet definitief is.
"Voorsorteren op de toekomst"
Merik Seven was namens Nictiz (het landelijke expertisecentrum voor eHealth) verantwoordelijk voor de coördinatie van het pilotprogramma in de zorgsector. Hij begeleidde met zijn collega’s de zes zorgorganisaties met de implementatie en het testen van de nieuwe middelen.
Merik Seven (Nictiz)
Volgens hem is het belangrijk dat zorgaanbieders nu al beginnen met het nemen van maatregelen, om ervoor te zorgen dat hun ICT-systemen klaar zijn voor de nieuwe vormen van authenticatie, ook al werken ze nu nog met DigiD of zelfs alleen met gebruikersnaam en wachtwoord.
“Het is duidelijk dat we in een overgangsperiode zitten", zegt Seven. "De nieuwe wetgeving en de bijbehorende technische middelen komen er onvermijdelijk aan. De deadlines zijn duidelijk. Ik begrijp dat organisaties op de korte termijn vooral nog heel praktisch omgaan met toegangsbeveiliging. We hebben momenteel geen ander publiek middel dan DigiD met eventueel SMS-beveiliging als extra stap. Iedereen voelt wel aan dat je dit bestaande middel nu niet direct kunt uitfaseren."
Inspelen op strenger toezicht
Maar de pilots hebben volgens hem duidelijk gemaakt dat er, ondanks de problemen die nu eenmaal bij eerste implementaties horen, steeds meer aantrekkelijke en veiligere alternatieven voor DigiD komen. Zorgaanbieders die hier vroeg op inspelen, zullen in 2018 en hoogstens 2019 minder problemen hebben wanneer het toezicht op de nieuwe wetgeving strenger zal gaan worden, zegt Seven. "Dat is nu de grootste waarde van het deelnemen aan deze pilots."
wellicht ook interessant
Wordt er al gekeken naar blockchain?