In de zorg log je als patiënt vaak nog in met een gebruikersnaam en wachtwoord, soms in combinatie met een SMS. Dit verandert met de ‘Wet digitale overheid’ (Wdo). Het waarborgen van een veilig digitaal slot op medische gegevens betekent vervanging van ‘een- en tweefactorauthenticatie’ door een digitaal slot met een hoger betrouwbaarheidsniveau. In de praktijk kan een patiënt de voordeur tot zijn digitale zorgomgeving alleen nog ontgrendelen met een wettelijk erkend inlogmiddel dat aan deze betrouwbaarheidseisen voldoet, zoals DigiD Substantieel. Nu de eerste zorgorganisaties volledig overstappen op DigiD Substantieel, wordt de impact op patiënten en de dienstverlening steeds zichtbaarder.
Volgens het Integraal Zorgakkoord (IZA) is de transitie naar hybride zorg essentieel om de zorg toegankelijk, betaalbaar en kwalitatief te houden. Om alle huidige en toekomstige vormen van digitale zorg voor iedereen beschikbaar te houden, moet identificatie en authenticatie met hogere betrouwbaarheidsniveaus met minimaal Substantieel het ‘nieuwe normaal' worden. Dat vereist de Wdodie vorig jaar in werking is getreden en is verankerd in de Europese Verordening elektronische identiteiten en vertrouwensdiensten (eIDAS). De wet onderscheidt drie niveaus van betrouwbaarheid van inloggen: ‘Laag’, ‘Substantieel’ en ‘Hoog’.
Nog in ontwikkeling
Hoewel de acceptatieplicht van deze inlogmiddelen steeds meer voelbaar is in het zorgveld, benadrukt Leo van der Lubbe (VWS) dat de voorzieningen onder de Wdo nog in ontwikkeling zijn: “Het betrouwbaarheidsniveau Hoog en private inlogmiddelen zijn momenteel nog lang niet breed beschikbaar. Ook de vertegenwoordigingsvoorziening is nog niet gereed. Het nieuwe stelsel ‘Toegang’ waaronder de toekomstige voorzieningen vallen, wordt momenteel gerealiseerd door het Ministerie van BZK”. Voordat hogere betrouwbaarheidsniveaus in de zorg breed kunnen worden geaccepteerd, is de realisatie van het stelsel ‘Toegang’ dus noodzakelijk.
De verplichte overgang naar hogere betrouwbaarheidsniveaus zal daarom gefaseerd ingaan. Met de komst van het stelsel Toegang, gebruiken Nictiz en VWS de overgangsfase om te inventariseren wat het zorgveld nodig heeft in de praktijk. Dit om de balans tussen veiligheid en toegankelijkheid van inlogmiddelen te borgen en de overstap in reële termen mogelijk te maken. Hiermee worden ook de ambities uit het IZA voor hybride zorg nagestreefd.
DigiD Substantieel in de praktijk
Nictiz ging in gesprek met koplopers Radboudumc, Revalidatie Friesland en Topicus over hun praktijkervaring. Revalidatie Friesland is als een van de eerste zorgorganisaties in Nederland volledig over op het niveau DigiD Substantieel. De aanleiding was de inwerkingtreding van de Wdo, vertelt Rinze Smit, projectleider en teamcoördinator functioneel beheer. “Dat er een overgangsfase voor de implementatie van de Wdo geldt, was ons niet duidelijk. We wilden zo snel mogelijk aan de verplichte wet- en regelgeving voldoen door onze diensten te ontsluiten op een hoger betrouwbaarheidsniveau met DigiD Substantieel”.
De aanleiding om aan te sluiten was voor Radboudumc berichtgeving vanuit de overheid dat het ontsluiten van digitale dienstverlening op een hoger betrouwbaarheidsniveau met erkende inlogmiddelen verplicht werd. Deze inlogvereisten vloeiden voort uit al bestaande juridische kaders van de AVG en de eIDAS rondom het verwerken van gezondheidsgegevens en het medisch beroepsgeheim. Hoewel de Wdo nog niet was aangenomen, volgde daarop het besluit van het Radboudumc meteen over te stappen op DigiD Substantieel. Applicatiebeheerder Arjan van den Udenhout: “Wij plaatsten een bericht op onze website dat men binnenkort niet meer kon inloggen met gebruikersnaam, wachtwoord en tweefactorauthenticatie. Dit leverde veel ophef op."
Klanten meenemen in verandering
ICT-leverancier Topicus trof met een aansluiting op de routeringsdienst TVS voor zijn twee zorgplatforms Spreekuur.nl en Mijn Kinddossier ook voorbereidingen om aan de wet- en regelgeving te voldoen voor digitale toegang. De afweging om DigiD Substantieel uit te rollen, is van tevoren goed geanalyseerd en voorgelegd aan klanten. Product Owner Jorian Pieneman van Spreekuur.nl: “We hebben onze klanten, veelal huisartspraktijken en zorggroepen, meegenomen in de verandering en geïnformeerd over de nieuwe manier van inloggen.”
Toch werden de praktische implicaties van het gebruik van DigiD op het niveau Substantieel onderschat. Vlak na de overgang overstroomde de helpdesk van beide zorgplatforms. Product Owner Matthea Vrijmoeth van Mijn Kinddossier vertelt hierover: “Om van DigiD Substantieel gebruik te maken, heb je een Nederlands identiteitsbewijs nodig. De groep gebruikers die niet meer kon inloggen tot het ouderportaal was te groot, waaronder veel expats, Oekraïense vluchtelingen en bewoners uit grensstreken.”
Lees het hele artikel in ICT&health 3, die op 14 juni verschijnt.
