Op verzoek van het Ministerie van Volksgezondheid, Welzijn en Sport heeft de Autoriteit Persoonsgegevens (AP) een uitspraak gedaan over het betrouwbaarheidsniveau van authenticatie voor gebruikers die toegang willen hebben tot hun medische gegevens. Het AP stelt dat dit op niveau Hoog dient te gebeuren voor gegevens waar een medisch beroepsgeheim van toepassing is. Dit betreft volgens mij de meeste medische gegevens. Indien hiervan geen sprake is voldoet niveau Substantieel.

Eindelijk duidelijkheid dus. Maar over hoe het nu verder moet is het AP veel minder duidelijk en soms zelfs onzorgvuldig waardoor het verkeerde balletje weer wordt teruggelegd bij de zorgsector en de daarvoor verantwoordelijke minister.

Ten eerste impliceert het vereisen van niveau Hoog authenticatie dat de meeste gebruikers de komende 5 á 10 jaar niet digitaal bij hun gegevens kunnen komen. Dit botst met artikel 15 van de AVG dat stelt dat de gebruiker recht op inzage heeft in diens medische gegevens. De zorgsector wordt nu gedwongen om dure en weinig gebruikersvriendelijke processen hiervoor in te richten.

AP “is zich ervan bewust dat patiëntauthenticatie op betrouwbaarheidsniveaus Substantieel en Hoog op dit moment (nog) niet breed beschikbaar is als gebruik wordt gemaakt van DigiD.” Dit klopt inderdaad. DigiD Hoog bevindt zich nog in een pilot fase en zal de komende 5-10 jaar nog niet breed beschikbaar zijn. DigiD Substantieel is al wel operationeel maar ook niet breed inzetbaar totdat iOS NFC open gaat, er een iOS workaround is (bijvoorbeeld door middelenuitgevers toegang te geven tot de BRP) en/of een Substantieel/Hoog privaat middel is aanbesteed. AP gaat er voor het gemak maar even aan voorbij dat dergelijke middelen al enige tijd via Idensys te verkrijgen zijn en er niet gewacht hoeft te worden totdat DigiD klaar is.

Vervolgens stelt AP voor dat de zorgdienstverlener, ter compensatie van het lage betrouwbaarheidsniveau van DigiD, zelf extra maatregelen kan treffen. Dit is een goede oplossing. Echter, de voorbeelden die AP in dit kader benoemt, zoals de code voor informatiebeveiliging en de NCSC ICT-beveiligingsrichtlijnen voor webapplicaties, hebben niets te maken met het verkrijgen van extra identiteitszekerheid. Eerder zou je daar maatregelen verwachten als een 1-cent iDeal transactie of een extra SMS-code. Ook zal het probleem niet worden opgelost door MedMij. Het succes van dat afsprakenstelsel voor gegevensuitwisseling in de zorg wordt juist voor een groot deel bepaald door de aanwezigheid van sterke authenticatiemiddelen. Bovendien participeren in MedMij ook private partijen en is het gebruik van DigiD door deze partijen uitgesloten.

Het eisen van Hoog werkt vaak verlammend. Dienstverleners rest vaak niet veel meer dan af te wachten tot er een bijpassende authenticatie oplossing komt. Verstandiger is de dienstverlener zelf te laten bepalen welk betrouwbaarheidsniveau in zijn context wenselijk is en welke compenserende maatregelen er nodig zijn om gebruikers op een veilige manier wel toegang te kunnen geven tot medische gegevens. De dienst online muteren van de Kamer van Koophandel is hiervan een goed voorbeeld. Ook KvK had de dienst online muteren in eerste instantie als Hoog geclassificeerd. Dat heeft KvK kunnen verlagen door zelf compenserende maatregelen te treffen voor het vergroten van de identiteitszekerheid.  

Het benoemen van eIDAS door AP maakt het er voor de zorgsector ook niet beter op. Krijgen we straks de situatie dat de Duitse gebruikers wel kunnen inloggen bij Nederlandse zorgverleners om hun medische gegevens in te kunnen zien terwijl Nederlandse gebruikers dit niet kunnen? Dat lijkt me lastig te verkopen. Of wil het AP graag dat we allemaal een Hoog Ests eID gaan aanschaffen?

Wellicht biedt artikel 6.4 in de voorgestelde wet Digitale Overheid nog enig soelaas. Hier kan de minister van BZK bepaalde diensten aanwijzen waarvoor het betrouwbaarheidsniveau verlaagd kan worden. Hierdoor is het mogelijk om met een Substantieel authenticatiemiddel toegang te krijgen tot een niveau Hoog dienst. Dit betreft een tijdelijke regeling die kan worden teruggedraaid zodra meer gebruikers een niveau Hoog middel hebben. Maar we weten allemaal dat niets zo permanent is als een tijdelijke oplossing. De vraag is natuurlijk of de minister na een eerder akkefietje met AP over de AVG het nog aandurft om nogmaals de privacy-toezichthouder te passeren en gebruik te maken van dit artikel voor zorgdiensten.

De betrouwbaarheid van de authenticatiemiddelen van professionals is buiten scope in de berichtgeving tussen AP en Min. VWS. Voldoen deze wel aan de eisen voor Hoog? Is hier toezicht op?

Maar de allergrootste vraag is misschien wel wat Min. VWS nu opschiet met het antwoord van AP en besluit te gaan doen om betrouwbare toegang tot medische gegevens door patiënten te realiseren. Ik zou het wel weten.