Voordelen Self Sovereign Identity (SSI) voor de zorg

ma 15 juni 2020 - 09:03
Inloggen-authenticatie-smartphone
Privacy
Blog

Het is een actueel vraagstuk in de zorg: hoe kunnen zorginstellingen en -aanbieders zorgvuldig omgaan met de gegevens van cliënten? Dat de zorgsector koploper is als het gaat om het aantal gemelde datalekken bij de Autoriteit Persoonsgegevens, is meer dan een teken aan de wand. Daarnaast zoeken instellingen naar betrouwbare methodes voor cliënten om zich te authenticeren. De recent in de Tweede Kamer aangenomen Wet Digitale Overheid biedt mogelijkheden. Het principe van Self Sovereign Identity (SSI) speelt daarbij een sleutelrol.

Met SSI bepaalt de eigenaar van identiteitsgegevens zelf welke gegevens (attributen) met welke partij worden gedeeld en onder welke omstandigheden. Bovendien blijft de eigenaar ook daadwerkelijk de enige eigenaar van de data, waarmee de kans op het (onopzettelijk) lekken van gegevens kleiner wordt.

Gebruikers hebben op hun beurt meer garantie dat alleen relevante persoonsgegevens worden gedeeld. Waar je bij een digitale identiteit zoals DigiD geen keuze hebt in wat je aan gegevens inzichtelijk maakt, is dit juist het uitgangspunt van een op SSI en attributen gebaseerde identiteit.

Welke concrete problemen kan SSI oplossen voor de vraagstukken in de zorgsector? We zetten er vier op een rij.

Effectievere bescherming

Zoals beschreven, met SSI bepaalt de eigenaar van de gegevens wat er met wie wordt gedeeld. Dit levert gebruiksvriendelijke mogelijkheden op als het gaat om het (gedwongen) beheer van zorggegevens door derden, bijvoorbeeld in het geval van wilsonbekwaamheid. Hiervoor wordt nu nog meestal toegang tot de DigiD-omgeving verleend. Maar dit levert enkele complicaties op. Allereerst praktisch, aangezien DigiD met tweestapsverificatie via sms werkt en de telefoon van de eigenaar dus altijd nodig is om in te kunnen loggen. Daarnaast heeft de eigenaar van de gegevens geen zeggenschap over welke gegevens er gedeeld worden, het is alles of niets. Terwijl een zaakwaarnemer in het merendeel van de gevallen niet alle gegevens nodig heeft.

Opkomst IoT-zorgtoepassingen

IoT is al een tijd bezig aan een gestage opkomst in de zorg, vooral als het gaat om toepassingen die bepaalde waardes (zoals glucose of bloeddruk) monitoren en delen met een behandelaar. Dit vraagt in toenemende mate om garanties, zodat de privacy van gebruikers gewaarborgd blijft. Denk hierbij aan weten via welke partij gegevens worden gedeeld, waar deze data worden opgeslagen en wie er toegang tot deze gegevens heeft. Met SSI kan die zekerheid worden geboden, doordat gebruikers de zeggenschap behouden over de gedeelde gegevens. De kans dat (kwaadwillende) derden bij deze gegevens kunnen, wordt bovendien teruggedrongen met het gebruik van SSI

Koppeling van data

Een grote bron van frustratie voor zorgcliënten is het gevoel van bureaucratie. Bij elke nieuwe zorginstantie moeten weer dezelfde gegevens doorgegeven worden, terwijl een uitwisseling van data tussen de instellingen vaak niet mogelijk is omdat er met verschillende systemen wordt gewerkt. Een deel van de oorzaak ligt in het gegeven dat niet alle zorgpartijen en -oplossingen toegang hebben tot DigiD. Dit is voorbehouden aan overheden en organisaties die een overheidstaak uitvoeren. SSI-oplossingen zijn in dat opzicht toegankelijker doordat het gebruik niet is voorbehouden aan (semi-)overheidsinstellingen. Bovendien zorgt dit voor meer gebruiksgemak en efficiëntie doordat relevante gegevens direct gedeeld kunnen worden door cliënten, zonder dat hiervoor hele formulieren ingevuld hoeven te worden

Voldoen aan AVG

Sinds de AVG van kracht is, zijn bedrijven (en dus ook zorgaanbieders) verplicht inzicht te geven in welke persoonsgegevens ze waar opgeslagen hebben, en met welke reden. Bovendien hebben gebruikers het recht om vergeten te worden, wat betekent dat ze te allen tijde kunnen vragen om hun gegevens te verwijderen. Deze regelgeving zorgt voor een andere omgang met zorggegevens en leidt bovendien tot hogere kosten voor het adequaat beheer van zorgdata. Met een SSI-toepassing wordt een deel van deze beheerzorgen bij organisaties weggenomen, omdat gegevens decentraal verwerkt worden. Oftewel: persoonsgegevens blijven eigendom van de gebruiker en worden niet centraal bij de zorginstelling opgeslagen.

Belangrijke vragen over SSI

De door de Tweede Kamer aangenomen Wet Digitale Overheid (WDO) zal voor een groter speelveld zorgen voor SSI-toepassingen, omdat hierdoor het gebruik van private inlogmiddelen wordt toegestaan om namens gebruikers BSN-nummers te verwerken. Dit recht is nu nog voorbehouden aan DigiD. De vraag is nu welke keuzes er door de Nederlandse overheid worden gemaakt over welke partijen en onder welke voorwaarden wordt toegestaan om SSI-toepassingen aan te bieden. Daarvoor worden vragen over hoe gegevens worden opgeslagen (centraal of decentraal) en wat voor organisatie er achter het initiatief zit (bijvoorbeeld een stichting of commercieel bedrijf) belangrijk.

Dat bleek al tijdens het debat dat in de Tweede Kamer werd gevoerd over WDO. Verschillende Kamerleden wezen tijdens dit debat op het privacy-vriendelijke identiteitsplatform IRMA als voorbeeld van een oplossing waar de zeggenschap over gegevens bij de gebruiker ligt. Ook het gegeven dat IRMA ondergebracht is in een stichting, werd tijdens het debat in positieve zin genoemd. Minister van Binnenlandse Zaken Knops gaf dan ook aan geen belemmeringen te zien om een SSI-toepassing zoals IRMA toe te staan als wettelijk inlogmiddel, mits aan alle WDO-regels en -voorwaarden wordt voldaan.

Zodra de Wet Digitale Overheid ook door de Eerste Kamer wordt aangenomen (en er zijn weinig redenen om hieraan te twijfelen) kunnen zorginstellingen SSI-toepassingen, waaronder IRMA, gaan inzetten om effectiever en efficiënter met de zorggegevens van hun cliënten om te gaan. Waarmee het privacyvraagstuk in de zorg weer iets verder opgelost wordt.