Geslaagde proef met alternatieve authenticatie MedMij

vr 24 juli 2020 - 09:30
Laptop-zoeken-3
Samenwerking
Nieuws

PROVES, Stichting MedMij en VZVZ hebben een geslaagde technische beproeving achter de rug met attribuut-gebaseerde authenticatie. Dit moet een gebruiksvriendelijk alternatief voor DigiD bieden. Over de Proof of Concept (PoC) is een rapport gepubliceerd. Vervolgstappen moeten onder meer bepalen hoe authenticatie via attributen (persoonseigenschappen) op een afdoende beveiligingsniveau gerealiseerd kunnen worden.

Authenticatie binnen MedMij kent diverse uitdagingen, stellen de initiatiefnemers. Zo is DigiD niet erg gebruiksvriendelijk. Ook is de koppeling van de identiteit van de zorggebruiker in het persoons- en zorgaanbiedersdomein niet erg sterk. Verder is DigiD op niveau Substantieel nog niet breed beschikbaar en gaat het aansluiten van zorgaanbieders op DigiD gepaard met hoge vaste kosten. Dit alles bemoeilijkt uitrol van MedMij in de praktijk.

Borging digitale identiteit

In de PoC is het concept Zorgidentiteit geïntroduceerd. Dit is een verzameling van attributen van een zorggebruiker die zijn digitale identiteit in de zorg borgt. Een belangrijk onderdeel van de Zorgidentiteit, naast attributen zoals voorletter(s), voornaam, achternaam etc., is het attribuut Zorgcode.

De Zorgcode is een versleuteld attribuut uitgegeven door een zorgaanbieder. Het bestaat uit het BSN, de URA (UZI register abonneenummer) van de zorgaanbieder en een volgnummer. Dit attribuut kan enkel door zorgaanbieders worden ontsleuteld en wordt tussen zorgaanbieders onderling vertrouwd. Dat betekent dat het BSN niet wordt verkregen door niet-rechtmatige partijen.

Werken aan eenmalige authenticatie

In de POC is de Zorgidentiteit uitgewerkt en succesvol technisch beproefd om op basis van attributen te authenticeren in de zorgsector. Attributen worden opgeslagen in een attributen-wallet. De beproefde oplossing laat een zorggebruiker met hetzelfde authenticatiemiddel inloggen bij zijn persoonlijke gezondheidsomgeving (PGO) en de eigen zorgaanbieders. Op dit moment is eenmalige authenticatie nog niet mogelijk binnen MedMij in combinatie met DigiD.

Alle vooraf gestelde doelen van de PoC zijn behaald. Dit betekent dat:

  • De gebruiksvriendelijkheid van authenticatie binnen MedMij wordt verbeterd en herauthenticatie bij een herhaalde opvraging van zorggegevens bij dezelfde zorgaanbieder niet meer nodig is.
  • Tevens is sprake van een sterkere koppeling tussen identiteiten in het persoons- en zorgaanbiedersdomein (ten behoeve van veiligheid).
  • Ook is authenticatie op eIDAS niveau ‘Substantieel’ mogelijk.

De opgedane inzichten moeten leiden tot een ‘raamwerk’ voor een mogelijk nieuw Afsprakenstelsel ‘attribuut-gebaseerd authenticatie’ (onafhankelijk van MedMij). Voor de PoC is altijd het uitgangspunt geweest dat de oplossing moet passen binnen het MedMij Afsprakenstelsel en dat de oplossing generiek moet zijn.

De resultaten van de PoC komen voort uit een goede samenwerking tussen experts vanuit Stichting MedMij, VZVZ, Drimpy, Ivido, ChipSoft, AET en VECOZO. Iedereen leverde een bijdrage aan het uitdenken van de oplossing die de leveranciers vervolgens hebben gebouwd. De eindrapportage bevat veel belangrijke inzichten die gedurende het proces zijn opgedaan.

Verder uitzoeken

Diverse bevindingen zijn randvoorwaardelijk en moeten als eerste stap verder uitgezocht te worden. Dat geldt onder meer voor:

  • De exacte eisen zijn die opgenomen moeten worden om attribuut-gebaseerde authenticatie op betrouwbaarheidsniveau ‘Substantieel’ te realiseren.
  • Een antwoord op de vraag wat de impact zal zijn van de Wet Digitale Overheid zodra die in werking treedt.

PROVES adviseert, na het borgen van deze randvoorwaarden, een gebruikerspanel te organiseren. Dat moet de gebruiksvriendelijkheid van de oplossing met daadwerkelijke eindgebruikers onderzoeken. PROVES is het programma dat de werking van de onderdelen van het MedMij Afsprakenstelsel in de praktijk beproeft.

Lees hier de eindrapportage van de Proof of Concept (PoC) ‘attribuut-gebaseerde authenticatie’.