Eén inlogstelsel voor alle zorgprofessionals in Nederland. Dat is de ambitie van het ministerie van Volksgezondheid, Welzijn en Sport (VWS). Met het aannemen van de Wet elektronische gegevensuitwisseling in de zorg (Wegiz) door de Eerste Kamer groeit de noodzaak om sneller en efficiënter gegevens uit te wisselen én in te zien. “En de identificatie en authenticatie van zorgprofessionals is een randvoorwaarde voor veilige gegevensuitwisseling”, vertelt VWS-beleidsmedewerker Amber Blikslager. “VWS wil een toekomstgerichte oplossing bieden, waarbij zorgprofessionals zelf kunnen kiezen voor een inlogmiddel dat past bij hun behoefte en zorgproces.”
Momenteel gebruiken zorgprofessionals verschillende middelen om toegang tot medische gegevens te verkrijgen. Slechts één ervan - de UZI-pas met kaartlezer die vooral huisartsen en apothekers gebruiken om in te loggen op het Landelijk Schakelpunt - heeft het vereiste ‘eIDAS hoog’ als betrouwbaarheidsniveau. Dit middel is echter niet populair in het zorgveld.
“Het is een technisch ouderwetse oplossing”, vertelt Arthur Eyck, programmamanager digitalisering en informatiebeleid bij InEen. “De aanschaf is prijzig en het verstrekken van de pas via een koerier verstoort het zorgproces regelmatig.” Ook de ouderenzorg ervaart obstakels, vertelt adviseur digitalisering en innovatie Diana Demmer van Actiz: “In onze sector wordt de UZI-pas niet of nauwelijks gebruikt. Zelfs als we dat wel willen, is het voor veel intramurale en ambulante medewerkers onmogelijk. Zij hebben een tablet, Chromebook of een mobiele telefoon en daar werkt de pas niet op. Het is gewoon niet meer van deze tijd.”
Samenwerking met CIBG
Het CIBG is verantwoordelijk voor de UZI-middelen - naast de pas heb je het UZI-certificaat en UZI-register – en herkent de bezwaren. De uitvoeringsinstantie is vanaf dag één nauw betrokken bij de ontwikkeling van een alternatief. “We zagen in dat ons middel niet meer past bij de wensen uit het zorgveld”, vertelt Marco van der Steeg, senior adviseur bij het CIBG en product owner van UZI. Door zijn ruime kennis van het product en de techniek erachter is hij een vast teamlid van het VWS-programma ‘Toekomstbestendig maken UZI-middelen’.
De UZI-pas wordt maar matig door zorgprofessionals in Nederland gebruikt, weet Van der Steeg. “Daarom is dit programma belangrijk en trekken we samen op met VWS. Er moet straks iets werkbaars liggen. Ik heb het dan over de technische aspecten, de uitvoering, het beheer, de regelgeving en het effect op de gebruiker. Op alle punten zijn we in voorbereiding op de verandering.”
Feedback & testen
VWS heeft samen met het CIBG én het zorgveld een nieuw inlogstelsel bedacht, dat momenteel in PoC’s (proof of concepts) en pilots technisch beproefd wordt. Dit nieuwe stelsel gaat de UZI-middelen op termijn vervangen. Het zorgveld geeft sinds het begin in expertsessies en klankbordgroepen feedback. Daaruit kwam snel naar voren dat er verschillende inlogmiddelen nodig zijn die identificatie en authenticatie van zorgprofessionals in diverse werkomgevingen mogelijk maakt.
Het UZI-register blijft onder een nieuwe naam bestaan
“Er is nou eenmaal een grote diversiteit aan zorg in Nederland”, vertelt VWS-beleidsmedewerker Blikslager. “In de thuiszorg wordt bijvoorbeeld bij de cliënt thuis ingelogd. Zorgprofessionals willen dat graag doen met hun mobiel of tablet. In een ziekenhuis wordt vooral ingelogd met een multifunctionele ziekenhuispas. Deze verschillen tonen aan dat het nieuwe inlogstelsel flexibel en gebruiksvriendelijk moet zijn.”
Erkende inlogmiddelen
Hoe gaat VWS in die uiteenlopende behoeften voorzien? Het ministerie werkt aan een oplossingsrichting waarbij een set van erkende inlogmiddelen, zoals DigiD of middelen die de markt levert, beschikbaar komt voor zorgprofessionals. Het is daarbij belangrijk dat de middelen het juiste betrouwbaarheidsniveau hebben en erkend worden onder de Wet digitale overheid (Wdo) die in maart van dit jaar door de Eerste Kamer is aangenomen.
“De Wdo maakt het mogelijk dat private inlogmiddelen naast DigiD kunnen worden gebruikt voor authenticatie van burgers bij de overheid”, licht Blikslager toe. “Deze private middelen zullen ook voor zorgprofessionals beschikbaar worden gesteld om zich te identificeren en authentiseren binnen het zorgdomein.”
Zorgspecifieke middelen
Aanvullend vraagt het zorgveld om het behoud van zorgspecifieke middelen, zoals een ziekenhuispas. Lex Pater, programmamanager digitale zorg bij de Nederlandse Vereniging van Ziekenhuizen (NVZ) en daarvoor 13 jaar IT-manager in het Flevoziekenhuis, snapt als geen ander deze wens. “Op dit moment gebruiken ziekenhuismedewerkers hun pas als tweede authenticatiefactor. De pas zorgt voor een makkelijke workflow, erg belangrijk binnen een organisatie die continu in beweging is. Het gaat 24/7 door: op de OK, bij de spoedeisende hulp en afdeling verloskunde. De pas is makkelijk en een no-brainer. Ze hebben ’m altijd bij zich. Natuurlijk moet zo’n zorgspecifieke pas veilig genoeg zijn en voldoen aan NEN 7510 (de norm voor informatiebeveiliging in de zorg).”
Wetgevingstraject
Om grootschalige implementatie van de nieuwe oplossing mogelijk te maken, is VWS een wetgevingstraject gestart. Hierbij wordt de Wet aanvullende bepaling verwerking persoonsgegevens in de zorg (Wabvpz) aangepast. “Zo willen we het onder andere faciliteren dat zorgaanbieders en zorgprofessionals gebruik kunnen maken van onder de Wdo erkende private inlogmiddelen én zorgspecifieke inlogmiddelen, zoals ziekenhuispassen”, vertelt Blikslager. “Daarnaast willen we dat het UZI-register kan worden ingezet voor identificatieprocessen van zorgprofessionals en zorgaanbieders.”
De uitfasering van de UZI-pas betekent dus niet dat het UZI-register verdwijnt, benadrukt Bart Kerver, adviseur bij VWS op het gebied van identificatie en authenticatie. “Het UZI-register blijft onder een nieuwe naam bestaan en wordt zorgbreed ingezet. Het wordt onderdeel van het nieuwe stelsel en zal als ontkoppelpunt functioneren. Dit ontkoppelpunt zorgt ervoor dat zorgprofessionals kunnen kiezen hoe ze zich identificeren en dat hun burgerservicenummer (BSN) wordt omgezet in een zorgidentiteit met een uniek nummer. Deze zorgidentiteit geeft aan bij welke zorgaanbieder de zorgprofessional werkt. Ook wordt de BIG-rolcode meegestuurd om mee te bepalen wat de bevoegdheden van een zorgprofessional zijn.”
Het ontkoppelpunt is als een cilinderslot. Het biedt toegang tot zorgapplicaties en kan worden geopend met verschillende sleutels: erkende middelen die het CIBG gebruikt om de zorgidentiteit vast te stellen. Het cilinderslot zorgt ook voor een eenvoudige aansluiting op open standaarden, waardoor het gebruik van erkende middelen en het omzetten naar een zorgidentiteit makkelijk is voor zorgaanbieders. Omdat niet iedereen die werkt bij een zorgaanbieder een BIG-rolcode heeft, onderzoekt VWS hoe deze groep zorgprofessionals (bijvoorbeeld een kraamverzorgende) een plek kan krijgen in het geheel. Duidelijk is wel dat ook zij een UZI-nummer kunnen krijgen voor unieke identificatie.
Digitale wallet als middel
Een nieuwe trend is het gebruik van digitale wallets als inlogmiddel. Deze ontwikkeling wordt gestimuleerd door de aankomende vernieuwing van de eIDAS-verordening1. Bij deze oplossing krijgt de zorgprofessional zelf de controle over zijn of haar zorgidentiteit. Kerver hierover: “De wallet werkt als volgt: de zorgprofessional bezoekt online het CIBG om een zogenaamde digitale verklaring van zijn of haar zorgidentiteit te krijgen. Om deze te krijgen, moet de zorgprofessional inloggen met een erkend authenticatiemiddel via het ontkoppelpunt. Nadat de identiteit van de zorgprofessional succesvol is vastgesteld, wordt het BSN omgezet in de zorgidentiteit. Het ontkoppelpunt geeft de zorgidentiteit door aan de online voorziening van het CIBG die de verklaringen maakt en cryptografisch ondertekent. De zorgprofessional ontvangt vervolgens de verklaring, slaat deze op in de wallet en kan ‘m gebruiken om in te loggen.”
Flexibel inloggen
CIO Yoanette den Boer van Amstelring, dat ouderen op het gebied van wonen ondersteunt, is blij dat het nieuwe inlogstelsel middelen vanuit de markt toelaat: “De UZI-pas is echt onwerkbaar. We hebben iets slims nodig waar mensen niet omheen gaan werken. En ik waak ervoor dat we niet voor alle applicaties aparte inlogmiddelen nodig hebben. We moeten het werk van de zorgmedewerker makkelijker maken, niet moeilijker. Iedereen binnen onze organisatie werkt met mobiele devices en die zetten ze ook in als tweede authenticatiefactor. Als we iets nieuws verzinnen, moet het bij de mensen passen en lekker werken. Net als met de banken, daar heb je ook niet meer voor elke transactie je identifier nodig.”
De vergelijking met bankverkeer en iDEAL wordt ook bij VWS wel eens gemaakt: “Dat is zeker vergelijkbaar met onze oplossing”, meent Blikslager. “Met iDEAL heb je ook één startscherm waarna je kan kiezen uit meerdere betalingsmiddelen.” Blikslager merkt dat het zorgveld enthousiast is over het nieuwe stelsel en graag over wil naar implementatie. “We voelen de urgentie en doen ons best om alle onderdelen, zoals beleid, gebruikerservaring, techniek en regelgeving, op elkaar te laten aansluiten. De verwachting is dat we vanaf 2025 gereed zijn om uit te rollen.”
Het nieuws rondom UZI is te volgen via de VWS-website2, de nieuwsbrief Digitale Toegang3 van Nictiz en de LinkedIn-kanalen van Informatieberaad Zorg en CIBG.