KPN is als eerste inlogmiddelen-leverancier aangesloten op de proeftuin van het ministerie van Volksgezondheid, Welzijn en Sport (VWS). Met deze proeftuin zet VWS de basis neer voor veilige identificatie en authenticatie voor zorgmedewerkers en -instellingen. Onderdeel van de proef is een werkende identificatieketen. Daarvoor heeft KPN Health het data-uitwisselplatform Health Exchange en de 'KPN Identiteits-wallet' gekoppeld aan de proeftuin. KPN’s Cefas Dam en Harm Roosendaal vertellen: “Het kan voor zorgverleners zowel makkelijker als veiliger. De technologie is er klaar voor, vanuit de koppeling op de proeftuin zijn we goed voorbereid op de uitdaging om het uit te rollen.”
Momenteel zijn in de zorg ongeveer 100.000 UZI-passen uitgegeven, waarmee zorgverleners zich betrouwbaar kunnen identificeren en authentiseren. Deze pas wordt veel gebruikt als ze medische gegevens willen opvragen, of medicatie willen voor-/aanschrijven. Dat is nodig omdat medische data heel privacygevoelig zijn. Het proces van identificatie en authenticatie om gegevens te kunnen uitwisselen, moet daarom zeer betrouwbaar en veilig zijn.
Een van de huidige uitdagingen met identificatie is echter dat de uitgegeven UZI-passen minder dan 10 procent van de zorgmedewerkers bereikt. Terwijl bij zo ongeveer elke ‘datatransactie’ de identiteit betrouwbaar moet worden vastgesteld conform NEN 7510 en NEN 7518. Dit kost tijd en onderbreekt het werk van zorgmedewerker.
Het aanvragen van een UZI-pas kost momenteel ook veel tijd, zo’n twee tot drie weken. Verder is het een statische pas die niet met de zorgmedewerker meebeweegt: een nieuwe baan betekent een nieuwe pas. Ook de kosten zijn substantieel, waardoor de UZI-pas alleen bij de meest essentiële identificaties wordt ingezet. Daarom wil VWS de pas geleidelijk vervangen. Het UZI-register blijft bestaan, maar de informatie erin kan straks ook met andere, digitale zorginlogmiddelen worden ingezet.
Koppeling met proeftuin
“We hebben nu een werkende identificatieketen opgezet in de proeftuinomgeving”, vertelt Harm Roosendaal, Productmanager KPN Identity. “Het doel is om elke zorgverlener een hoogwaardige en veilige identiteit te bieden, waarmee hij of zij overal kan werken. Of het nou gaat om een waarnemend arts, of een ZZP- er die als verpleegkundige voor enkele dagen ondersteunt: zij kunnen eenvoudig een digitale identiteit aanvragen en voor die dagen de juiste rechten krijgen om in te loggen in systemen en datatransacties uit te voeren.”
Niets nieuws
Voor KPN is dit niets nieuws, stelt Cefas Dam, directeur Health Exchange bij KPN. Met deze Health Exchange ondersteunt KPN de veilige uitwisseling van medische data. Deze gegevens kunnen met de zorgmedewerker ‘mee reizen’. Het platform bepaalt bij elke datatransactie of de medewerker op dat moment toegang mag krijgen tot bepaalde informatie. De Health Exchange doet dit op transparante wijze, met een model dat het hoogste betrouwbaarheidsniveau biedt. KPN breidt deze Health-dienst uit met de Identity-oplossingen binnen KPN, die volledige compliancy en gebruikersgemak kan waarborgen voor zorginstellingen en -professionals.
Dam hierover: “Om ervoor te zorgen dat compliancy, identificatie en authenticatie eenvoudig kunnen plaatsvinden, zijn we gaan nadenken hoe we één procesketen konden ontwerpen die altijd hetzelfde werkt: ongeacht het soort systeem, soort gegevensuitwisseling, of een medewerker van instelling A tijdelijk bij instelling B werkt, et cetera.”
Hier komen Health Exchange – gegevensuitwisseling - en Identity – veilige, betrouwbare identificatie en authenticatie – samen. Tegelijkertijd werd duidelijk dat VWS bezig was met het nieuwe Dezi-stelsel en de proeftuin voor veilig inloggen, ook om meer eenvoud en gebruiksvriendelijkheid voor de zorgmedewerker te realiseren. Een perfect moment om samen op te trekken, meent Dam.
Stelselvernieuwing nodig
“Technologisch kan er al heel veel. Tot nu toe konden we onze innovatie op het gebied van bijvoorbeeld fraudebestrijding in telco-land echter niet doorvoeren in onze zorgproducten. Er was een stelselvernieuwing nodig zoals nu bij de UZI-pas, en dat gaat verandering brengen.”
Het voorlopige resultaat: een digitaal identificatiemiddel waarmee een zorgmedewerker zich in enkele minuten kan identificeren en zijn UZI-registratie kan koppelen, om daarna op een specifieke locatie alle toegestane datatransacties uit te kunnen voeren, voor een vooraf vastgestelde periode. Alles op het hoogste beveiligings- en hoogste betrouwbaarheidsniveau.
Dit kan zowel in legacy-systemen werken als in nieuwe systemen, benadrukt Dam. “Systemen van bijvoorbeeld ChipSoft of Nedap werken al met UZI-passen, en als de proeftuin wordt opgeschaald, straks ook met ons identificatiemiddel. Er zijn geen aanpassingen nodig. Zo brengen we bewegingsvrijheid terug in de sector, met zeer beperkte aanpassingen, allemaal op een mobiele telefoon, wat overal werkt. Schaalbaar, gebruiksvriendelijk en goed beveiligd.”
Regie bij zorgmedewerker
De KPN identiteits-wallet kan in elke huisstijl gemaakt worden”, voegt Roosendaal toe. “Als zorgmedewerker begin je met het vaststellen van jouw identiteit, daarna kun je er jouw attributen of informatie zoals je rechten en rollen aan koppelen. Jij als zorgmedewerker hebt de regie. Jij bepaalt wat je deelt, met wie en wanneer.”
KPN is gekoppeld op de proeftuinomgeving, die VWS onlangs heeft aangekondigd als Dezi, het nieuwe inlogstelsel voor zorgprofessionals. De eenvoud die het brengt, geeft volgens Roosendaal zorgmedewerkers hun bewegingsvrijheid terug. “En omdat er altijd zekerheid is dat je bent wie je bent, kunnen we identificatie voor een datatransactie veel meer onder water laten plaatsvinden, bijvoorbeeld binnen een bepaalde locatie. Zo wordt je werkproces minder verstoord en kunnen zorgverleners zich weer richten op de zorg.”
Aanpassen rol CIBG
Dit is een belangrijke stap op weg naar het einddoel. Maar er moet veel meer gebeuren. Zo gaat de rol van het CIBG veranderen. Het CIBG beheert het UZI-register waarin alle mensen die in de zorg actief zijn, geregistreerd zijn. Dit register groeit de komende jaren naar ruim één miljoen geregistreerde zorgverleners. Dit is een van de wijzigingen onder de aankomende wet Diaz (digitale identificatie en authenticatie in de zorg).
Dam: “Die wet geeft ook de optie wanneer een gecertificeerde en geregistreerde identificatie- oplossing beschikbaar is, om de markt voor die systemen vrij te geven. Zorginstellingen krijgen dan bijvoorbeeld de mogelijkheid om zelf een identiteit uit te geven als deze voldoet aan de juiste set normeringen, zoals de nog in ontwikkeling zijnde NEN7518.”
Niet snel genoeg
Voor Dam kan het niet snel genoeg gaan. “Eerlijk gezegd denk ik dat wij met de Identity Wallet de proeftuin en het hierin beproefde concept al voorbij zijn. Het koppelen met de proeftuin helpt ons wel om de Identity Wallet binnen de zorgketen te borgen. Het is mooi om te laten zien hoe je compliant bent zonder hoge administratieve last. In de praktijk betekent dit dat je direct een waarnemer voor je huisartsenpraktijk kunt inschakelen, die binnen 5 minuten toegang heeft met zijn of haar virtuele UZI-pas. Een fysieke UZI-pas aanvragen is dan niet meer nodig.”
Roosendaal tot slot: “Als in plaats van enkele weken, vijf minuten voortaan genoeg is om gekoppeld te worden aan een virtuele UZI-pas, dan is dat een geweldige stap vooruit. Wanneer we daarna elke afzonderlijke datatransactie onderwater kunnen authentiseren, dan gaan we echt met grote stappen vooruit. Ik hoop dat we die potentie de komende jaren in de praktijk kunnen brengen.”
Hoe identificatie via de identiteits-wallet werkt
De eerste stap is controle van een identiteitsbewijs (waarvan de data bekend zijn), gecombineerd met een validatie van je gezicht. Je digitale identiteit wordt gekoppeld aan een PKI-cloud certificaat (Public Key Infrastructure: digitale ondertekening bij het versturen van gegevens en berichten) om het allerhoogste betrouwbaarheidsniveau te garanderen.
Gecombineerd met het gebruik van een pincode zit de zorgmedewerker op hetzelfde niveau als DigiD Hoog, ofwel Eidas Hoog. Zo wordt een vertrouwensketen gerealiseerd waarmee een identiteit als het ware vastgeniet wordt aan het PKI-certificaat. Dit is de basis om ergens in te kunnen loggen of een digitale handtekening te kunnen zetten. Je kan je Identity Wallet overal gebruiken.
Specifiek voor identificatie in de zorg volgt een extra stap, vertelt Roosendaal. “Je gaat rollen en rechten toevoegen die vanuit het CIBG wordt uitgegeven, of vanuit een zorginstelling. Hiervoor kun je een QR-code scannen die op papier of digitaal wordt aangeleverd. Vervolgens wordt gecheckt wat de rol en attributen zijn zoals die in het CIBG-register staan. Deze gegevens worden naar de wallet gestuurd, waarvandaan ze gekoppeld worden.”
"Op dit punt worden registratie in het BIG-register en de URA van de zorginstelling waar iemand (tijdelijk of permanent) werkt, aan elkaar gekoppeld. Vervolgens moet de zorgmedewerker eenmalig inloggen bij die zorginstelling via een nieuwe QR-code die als een digitale UZI-pas geldt, en wordt daarna op de achtergrond telkens gecheckt of een datatransactie die jij wil uitvoeren, ook mag.”
CV
Cefas Dam is als director Health Exchange bij KPN verantwoordelijk voor, is verantwoordelijk voor de ontwikkeling van het Health Exchange portfolio.
Harm Roosendaal is als Productmanager Digitale Identiteiten en Trust Services verantwoordelijk voor de ontwikkeling van KPN’s erkende digitale identiteiten.
