Uitwisseling medische gegevens vereist hoog betrouwbaarheidsniveau

vr 19 oktober 2018 - 07:58
MobileIron-Cordaan
Privacy
Nieuws

Toegang tot medische persoonsgegevens voor patiënten vereist inloggen op een hoog betrouwbaarheidsniveau. Dat heeft de Autoriteit Persoonsgegevens (AP) op 4 oktober 2018 aan de zorgsector laten weten, meldt het Informatieberaad Zorg. De toezichthouder schreef hierover een brief aan secretaris-generaal Erik Gerritsen van VWS.

De AP reageert met de brief op een verzoek van Gerritsen zelf. Eind juli had hij bij de privacy-instantie aandacht gevraagd voor patiëntauthenticatie bij digitale uitwisseling van medische gegevens tussen zorgaanbieders en patiënten. Gerritsen gaf aan dat in het zorgveld opnieuw vragen waren ontstaan over welk niveau van patiëntauthenticatie op dit moment gebruikt dient te worden voor het uitwisselen van medische gegevens tussen zorgverleners en patiënten. Gezien het streven van volledige digitalisering en standaardisatie van opslag en uitwisseling van patiëntgegevens, lijkt deze vraag de komende jaren nog belangrijker te worden. De AP geeft aan dat innovatieve technologie in de gezondheidszorg goed is, mits privacy van patiënten is gewaarborgd.

Inloggen op hoog betrouwbaarheidsniveau

De toezichthouder maant alle betrokken organisaties dan ook om inloggen op een hoog betrouwbaarheidsniveau snel mogelijk te maken. Organisaties die toewerken naar dit hoge niveau moeten nu in ieder geval voor het inloggen DigiD en SMS geregeld hebben en aanvullende maatregelen nemen om risico’s te beperken. De komende jaren neemt het aanbod van online dienstverlening in de zorg verder toe. Bekende voorbeelden zijn telezorg/zorg-op-afstand voor chronische patiënten en digitale beslisondersteuning, maar ook patiëntportalen en Persoonlijke Gezondheidsomgevingen (PGO’s). Die moeten patiënten inzicht (gaan) geven in al hun medische gegevens. De AP staat in beginsel positief tegenover deze technologische ontwikkelingen. Die ontwikkelingen kunnen namelijk bijdragen aan kwalitatief goede, veilige en doelmatige zorg voor patiënten. De AP voegt daar aan toe dat patiënten erop moeten kunnen vertrouwen dat de informatie die zij met hun arts delen geheim blijft. Daarom gelden voor de bescherming van gezondheidsgegevens extra hoge eisen. Daarnaast moeten de betrokken zorgorganisaties passende maatregelen nemen en moeten zij aan de juiste NEN-normen voldoen.

Passende veiligheidsmaatregelen

Op grond van privacywetgeving moet een organisatie die persoonsgegevens verwerkt ‘passende’ veiligheidsmaatregelen treffen. Wat passend precies is, hangt af van de concrete omstandigheden van het geval. Algemene uitspraken zijn hier niet mogelijk. De AP zoekt voor de invulling hiervan aansluiting bij algemeen geaccepteerde beveiligingsstandaarden, zoals de Code voor Informatiebeveiliging of de ICT-beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum. Verder wordt aansluiting gezocht bij normen voor informatiebeveiliging opgenomen in de ISO/NEN 27001 en 27002. Voor wat betreft de zorgsector zijn deze normen uitgewerkt in NEN 7510:2017 en in aanvulling daarop NEN 7512:2015 en NEN 7513:2018. De AP ziet deze normen als een beveiligingsstandaard die organisaties binnen de zorgsector moeten toepassen. De AP stelt zich ervan bewust te zijn dat patiëntauthenticatie op betrouwbaarheidsniveaus ‘substantieel’ en ‘hoog’ op dit moment (nog) niet breed beschikbaar is als gebruik wordt gemaakt van DigiD. De staatssecretaris van BZK heeft toegezegd om in het zogenoemde BSNdomein, waarin doorgaans gebruik wordt gemaakt van DigiD, deze inlogmethoden mogelijk te maken.

Geen uitwisseling medische gegevens

Vooralsnog is het uitgangspunt van de AP dat, zolang een passend betrouwbaarheidsniveau voor patiëntauthenticatie niet kan worden gerealiseerd, elektronische uitwisseling van gegevens over gezondheid tussen zorgaanbieders en patiënten in beginsel niet mag plaatsvinden. Brede beschikbaarheid van betrouwbaarheidsniveaus ‘substantieel’ en ‘hoog’ voor alle patiënten zal echter nog enige tijd in beslag nemen. Het zou niet goed zijn – en ook niet in het belang van de patiënt – als zorginnovaties stilstaan totdat die betrouwbaarheidsniveaus binnen het eID-programma breed beschikbaar zijn. Daarom is het in eerste instantie van belang dat de nodige voortvarendheid wordt betracht bij de ontwikkeling en het beschikbaar maken van de benodigde betrouwbaarheidsniveaus binnen het eID-stelsel. Dat past ook bij de uitgangspunten van de staatssecretaris van BZK.’

Gebruik VIPP, MedMij

Verder moet de zorgsector bekijken welke mogelijkheden – eventueel buiten DigiD om – momenteel wél beschikbaar zijn om te gebruiken voor patiëntauthenticatie. Voorbeelden zijn volgens de AP Versnellingsprogramma Informatie-uitwisseling Patiënt en Professional (VIPP) en het MedMij-programma. ‘Het is van belang dat op basis daarvan op zo kort mogelijke termijn wordt geëvalueerd of de nieuwe middelen op niveau ‘substantieel’ en ‘hoog’ werken zoals beoogd. Zo wordt duidelijk op welke wijze het nieuwe eID-stelsel bij patiënten en zorgaanbieders kan worden geïmplementeerd,’aldus de AP in haar brief. In afwachting van het breder beschikbaar komen van authenticatiemethoden met een passend hoog niveau, dient authenticatie plaats te vinden met tenminste tweefactorauthenticatie (zoals DigiD in combinatie met sms). Een lagere betrouwbaarheid is in ieder geval niet aanvaardbaar.   Openingsmanifestatie van de e-healthweek 2019 Meer weten over hoe, waarmee en met wie de zorg haar toekomst implementeert? Bezoek dan op 21 januari 2019 de jaarlijkse ICT&health Openingsmanifestatie van de e-healthweek. Entreekaarten zijn gratis, dus wacht niet en meld u snel aan want op is op!