TNO onderzoekt gebruik inlogmiddelen in zorgsector

wo 6 juli 2022 - 15:30
Biometric identification concept with fingerprints
ICT
Nieuws

TNO heeft enkele voorlopige uitkomsten van het onderzoek naar de beschikbaarheid en het gebruik van inlogmiddelen in de zorg gepresenteerd. Dit gebeurde tijdens de klankbordgroep van het project ‘toekomstbestendig maken UZI-middelen’. Voor dit onderzoek werden zowel zorgverleners, leveranciers als experts geïnterviewd. Het onderzoeksdoel: een groeimodel ontwikkelen voor sterkere authenticatie in de Nederlandse zorg.

VWS werkt hard aan een oplossingsrichting om met erkende inlogmiddelen in te loggen en medische gegevens te raadplegen en uit te wisselen. Om de wensen en behoeften van het zorgveld in kaart te brengen blijft VWS met hen in gesprek door middel van expertsessies en een klankbordgroep. Het TNO-onderzoek naar de beschikbaarheid en het gebruik van inlogmiddelen is hierbij belangrijk.

Digitale gegevensuitwisseling

In de zorg worden steeds meer gegevens digitaal uitgewisseld. Een voorwaarde voor veilige gegevensuitwisseling is dat zorgprofessionals zich kunnen identificeren en authentiseren. Zo krijgen zij toegang tot de juiste informatie op het juiste moment. Om bij deze informatie te komen maken zorgprofessionals onder andere gebruik van de UZI (Unieke Zorgverlener Identificatie) middelen zoals de UZI-pas. VWS is gestart met een project dat zich richt op het ontwikkelen van een oplossing zodat nieuwe inlogmiddelen de bestaande UZI-middelen op termijn kunnen vervangen. De nieuw te ontwikkelen middelen moeten klaar zijn voor de toekomst en grootschalig gebruikt kunnen worden in de zorg. Veiligheid, gebruiksgemak en de behoefte van de gebruikers staan hierbij centraal.

Goede authenticatie is essentieel

Een goede authenticatie is in de zorg vanwege de privacygevoeligheid van gegevens erg belangrijk. Er zijn drie betrouwbaarheidsniveaus voor authenticatie: laag, substantieel en hoog. Aldus staat te lezen op de website van het ministerie van VWS. TNO: ‘De meeste geïnterviewden werken met het betrouwbaarheidsniveau laag en substantieel omdat deze relatief gebruiksvriendelijk zijn. Bij een laag niveau werkt de zorgverlener met één factor authenticatie, vaak alleen een gebruikersnaam en wachtwoord. Dit wordt meestal gebruikt bij elektronische patiëntendossiers (EPD’s).’

Bij tweefactor authenticatie logt men in met een wachtwoord in combinatie met een fysiek bezit, zoals een token of een app die telkens een eenmalig pincode genereert. Slechts een klein deel van de zorgverleners werkt met een inlogmiddel dat voldoet aan het hoogste betrouwbaarheidsniveau, zoals bijvoorbeeld de UZI-pas. Deze optie ervaart de zorgverlener echter als minder gebruiksvriendelijk.  

Authenticatie op hoogste betrouwbaarheidsniveau

In de toekomst moeten alle inlogmiddelen voldoen aan het hoogste betrouwbaarheidsniveau. Een sterke authenticatie moet echter wel werkbaar blijven voor de zorgverlener en mag optimale zorg aan de patiënt niet in de weg staan.

Zorgverleners gaven in het onderzoek duidelijke voorkeuren voor authenticatie aan. In de praktijk vinden ze het onderwerp belangrijk, maar meestal hebben ze er niet zoveel verstand van geven ze het niet zo’n hoge prioriteit. Vooral het beroepsgeheim en fysieke databeveiliging vinden ze belangrijk. Zorgorganisaties zelf hebben meestal wel de benodigde kennis in huis.

Voorkeur voor biometrie of smartphone

Zorgverleners hebben een duidelijke voorkeur voor  een methodiek die ze niet snel kunnen vergeten of kwijtraken. Denk met name aan biometrie, de smartphone of een sleutelbos. Snelheid vinden ze uiteraard ook belangrijk, want het proces moet niet de interactie met de patiënt verstoren. Om die reden moet ook voorkomen worden dat er tijdens een consult meerdere keren moet worden ingelogd.

Leveranciers en experts die ook in het TNO-onderzoek werden betrokken, willen graag meedenken over toekomstige ontwikkelingen, maar wachten nu vooral de ontwikkelingen, vragen en behoeftes van klanten af. De Nederlandse markt kent omvangrijke wetgeving en een complex zorgdomein. Technisch verwachten de leveranciers geen problemen bij sterkere authenticatie.