Toegang tot zorgapplicaties moet straks voldoen aan de Wet digitale overheid (Wdo). De Wdo regelt het veilig en betrouwbaar inloggen door Nederlandse burgers en bedrijven bij de (semi-)overheid. Zorg valt onder de semi-overheid.
De Wdo eist dat zorgaanbieders een veilige en betrouwbare manier van inloggen bieden aan hun patiënten wanneer zij hen digitaal toegang verlenen tot hun medische gegevens. Praktisch gezien zal de ICT-leverancier deze inlogmiddelen moeten implementeren in het patiëntportaal of de persoonlijke gezondheidsomgeving indien geboden door de zorgaanbieder.
Het inlogmiddel wordt eID genoemd. Dat refereert aan het feit dat het inlogmiddel zeker moet stellen dat alleen die ene patiënt toegang krijgt tot zijn eigen informatie, er is dus identificatie nodig. Bij eID wordt altijd DigiD genoemd, althans een verbeterde versie van het DigiD. Toch is het zeker de bedoeling dat er ook inlogmiddelen door de private sector worden ontwikkeld en aangeboden, en niet alleen in Nederland maar mogelijk ook vanuit de rest van de Europa. Lees hier meer over eID.
Een leverancier van een patiëntportaal zal zeker niet in alle gevallen staan te springen om (ook) een dergelijk inlogmiddel te ontwikkelen en te onderhouden. Bij het onderhoud zal ook doorontwikkeling horen om de beveiliging op het niveau “substantieel” of “hoog” te kunnen handhaven. Gevolg is dat het maken van een inlogmiddel dat voldoet aan de regelgeving en de juiste certificeringen heeft, een aparte tak van sport wordt. Daar is een oplossing voor bedacht.
Dat is de ToegangVerleningService (TVS). Het Ministerie van Volksgezondheid, Welzijn en Sport, het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Logius en DICTU hebben samen de TVS ontwikkeld. Middels een koppeling met de TVS kan er in één keer gekoppeld worden met de verschillende eID's waaronder ook het DigiD. Het idee is dat elke patiënt (en burger) dan vrij kan kiezen welk eID hij gebruikt. Via de koppeling met de TVS kan er dan ingelogd worden bij de dienst van de specifieke ICT-leverancier. De ICT-leverancier hoeft dan dus niet allerlei koppelingen met verschillende eID-leveranciers te onderhouden.
Er is door de overheid een factsheet opgesteld over het koppelen met TVS. Zowel voor de zorgaanbieder als voor de ICT-leverancier is informatie opgenomen over welke stappen ondernomen moeten worden om te koppelen met de TVS en zo te gaan voldoen aan de Wdo.
Een patiënt moet over een inlogmiddel kunnen beschikken waarmee de patiënt veilig en betrouwbaar kan inloggen op een applicatie waarmee de patiënt inzage krijgt in zijn medische gegevens. Op dit moment biedt de overheid ons het DigiD. Daarover zegt de overheid nu zelf:
“(..)Met veilig en betrouwbaar inloggen wordt bedoeld dat burgers elektronische identificatiemiddelen (eID) krijgen met een hogere mate van betrouwbaarheid dan het huidige DigiD.”
Het is de bedoeling dat DigiD in eerste instantie het beveiligingsniveau "substantieel" gaat bieden en uiteindelijk ook "hoog". Uiteraard is het uiteindelijk vereiste niveau “hoog” omdat het hier gaat om medische persoonsgegevens. Maar wat houdt hoog dan in? Voor de patiënt zal zichtbaar zijn dat er meer eisen worden gesteld aan de identificatie, het middel zal alleen uitgegeven worden als de patiënt zich op een bepaalde manier heeft geïdentificeerd. Minder zichtbaar zal zijn dat er ook hogere eisen worden gesteld aan bijvoorbeeld de versleuteling van data.
1 juli 2021 zou de Wdo worden ingevoerd. De invoering is uitgesteld tot volgend jaar, eerst wordt er nog gewerkt aan een wijziging in het kader van de privacybescherming. Nog geen stappen ondernomen? Bekijk dan in ieder geval even de factsheet over de TVS.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.