De belangrijkste doelstellingen van de PoC waren het verbeteren van de gebruiksvriendelijkheid van de authenticatie en het verbeteren van de betrouwbaarheid van de authenticatie. De PoC is de afgelopen periode uitgevoerd door experts van de stichting MedMij, Drimpy, Ivido, Chipsoft, AET, VECOZO en VZVZ. Alle bevindingen van de PoC worden momenteel geïnventariseerd en geëvalueerd in een eindrapportage die naar verwachting in juli gepubliceerd gaat worden.
Eindtest attribuut-gebaseerde authenticatie
De betrokken leveranciers hebben de afgelopen periode gewerkt aan een oplossing om authenticatie van personen op basis van attributen die opgeslagen zijn in een app van de gebruiker mogelijk te maken. Medio mei werd de geslaagde eindtest uitgevoerd. Daarbij werd gebruik gemaakt van attribuut-gebaseerde authenticatie voor het verzamelen van medische gegevens vanuit een PGO (persoonlijke gezondheidsomgeving) conform het MedMij-afsprakenstelsel.
Met de beproefde oplossing wordt het mogelijk dat een zorggebruiker met hetzelfde authenticatiemiddel kan inloggen bij zowel zijn PGO als de eigen zorgaanbieders. Dat is in de huidige situatie niet mogelijk. De wijze van authentiseren bij een PGO wordt bepaald door de PGO. Daarvoor is minimaal twee-factor authenticatie vereist. Inloggen bij de zorgaanbieder gaat via DigiD.
Het, nu nog, moeten gebruiken van twee verschillende vormen van authenticatie is niet bepaald gebruiksvriendelijk voor zorggebruikers. Dat probleem is verleden tijd wanneer attribuut-gebaseerde authenticatie ingevoerd wordt.
Hoe werkt het?
De zorggebruiker moet zijn digitale zorgidentiteit in een speciale app, de zogenoemde attributen-wallet, laden. De digitale zorgidentiteit is een verzameling van identificerende attributen. Het uploaded van de betreffende attributen in de app doet de zorggebruiker aan de balie van de zorgaanbieder. Een van de attributen is een zogenoemde zorgcode. De zorgaanbieders waar de gebruiker zich wil authentiseren kunnen deze zorgcode omzetten in een leesbaar BSN. Dit betekent tevens dat de zorgcode niet specifiek gebonden is aan de zorgaanbieder die hem uitgeeft.
Om zeker te stellen dat de gebruiker die in de PGO inlogt ook dezelfde is als de gebruiker die ingelogd is bij de zorgaanbieder is het volgende verificatieproces bedacht.
"Als een zorggebruiker inlogt in zijn PGO, dan verkrijgt de PGO de naamgegevens en de geboortedatum van de zorggebruiker. Wanneer een zorggebruiker via zijn PGO gegevens wil uitwisselen met een zorgaanbieder, dan stuurt de PGO de verkregen naamgegevens en geboortedatum door naar de zorgaanbieder. Wanneer de zorggebruiker vervolgens ook inlogt bij de zorgaanbieder, dan verkrijgt de zorgaanbieder naast opnieuw de naamgegevens en de geboortedatum ook de zorgcode van de zorggebruiker."
De zorgaanbieder kan de combinatie van naamgegevens, geboortedatum en zorgcode ook tijdelijk opslaan. Dit zorgt ervoor dat een zorggebruiker bij een volgende uitwisseling met deze zorgaanbieder niet opnieuw geauthentiseerd hoeft te worden. De zorgaanbieder kan dan immers op basis van de -van de PGO verkregen- naamgegevens en geboortedatum, zelfstandig de juiste zorgcode opzoeken.
