Veilige en flexibele digitale toegang tot gezondheidsgegevens voor zorgprofessionals. Daar moet het wetsvoorstel Diaz (digitale identificatie en authenticatie in de zorg) voor zorgen. Tijdens een internetconsultatie hebben zorgprofessionals feedback op het wetsvoorstel gegeven. Het voorstel wordt goed ontvangen. Vragen zijn er wel.
Wat regelt het wetsvoorstel?
Het wetsvoorstel DIAZ behelst een wijziging in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz). Deze wetswijziging regelt dat zorgprofessionals in plaats van de huidige UZI-middelen andere goedgekeurde en betrouwbare inlogmiddelen gaan gebruiken om toegang te krijgen. Samen met een door de overheid beheerd register moeten deze inlogmiddelen veilige en flexibele toegang van zorgprofessionals tot (medische) informatie mogelijk maken. Het wetsvoorstel draagt daarmee bij aan de elektronische gegevensuitwisseling in de zorg.
Wetsvoorstel ziet op meer dan alleen het uitwisselen van gegevens
Uit de internetconsultatie blijkt dat in het zorgveld aangenomen wordt dat het wetsvoorstel uitsluitend betrekking heeft op digitale toegang met als doel digitale gegevensuitwisseling. Dat is niet het geval, aldus Van Os. “De toename van digitale gegevensuitwisseling is een belangrijke reden om toegang voor professionals veilig in te regelen, maar niet de enige. Ook bijvoorbeeld bij inzage in het elektronische patiëntendossier moet de identificatie en authenticatie van professionals veilig worden ingeregeld.” Kielman vult aan: “Het doel van het wetsvoorstel is om de inlogmiddelen en het register zorgbreed in te kunnen zetten voor onder meer toegang tot alle systemen waarbij medische en persoonsgegevens worden verwerkt.”
Toegang in de breedste zin
Kielman legt verder uit dat authenticatie op het eIDAS-betrouwbaarheidsniveau ‘hoog’ niet alleen vereist is voor het uitwisselen van gegevens, maar ook voor lokale toegang. “Hoewel het wetsvoorstel zich primair richt op toegang tot het BSN-register via de SBV-Z (sectorale berichtenvoorziening in de zorg) en toegang tot zorginformatie- en uitwisselingssystemen, wordt breder gebruik voor bijvoorbeeld toegang tot interne systemen of gebouwen niet uitgesloten. Sterker nog,” gaat Kielman verder, ”door de inlogmiddelen en de identiteiten uit het register voor interne én externe doeleinden te gebruiken, kan meer uniformiteit én efficiëntie behaald worden.”
In Nederland zijn de inspanningen om een digitale identiteit beschikbaar te maken voor burgers en bedrijven verankerd in de Wet digitale overheid (Wdo). In Europa geldt sinds 2014 de eIDAS-verordening (EU nr. 910/2014). Europa wil met eIDAS bijdragen aan het wegnemen van digitale grenzen tussen landen uit de Europese Economische Ruimte. In de verordening zijn drie betrouwbaarheidsniveaus bepaald: laag, substantieel en hoog.
Verplichting overgangstermijn eIDAS zorgveld
Naar aanleiding van de internetconsultatie heeft de Autoriteit Persoonsgegevens (AP) geadviseerd om een termijn te stellen aan de verplichting voor het zorgveld om inlogmiddelen van het eIDAS-betrouwbaarheidsniveau ‘hoog’ te hanteren. Deze termijn past niet binnen de reikwijdte van het wetsvoorstel Diaz, vertelt Kielman. “Het wetsvoorstel Diaz omvat geen verplichting voor het gebruik van het register én de inlogmiddelen voor toegang tot alle zorginformatie- en uitwisselingssystemen die de zorgaanbieder gebruikt, maar alleen een verplichting voor toegang tot de SBV-Z.”
De SBV-Z is voor de zorgsector dé toegangspoort tot de beheervoorziening van burgerservicenummers (BSN). Met het wetsvoorstel wordt het straks mogelijk om naast de UZI-middelen ook andere (erkende) inlogmiddelen te gebruiken en het register van zorgaanbieders breder in te zetten dan alleen voor toegang tot de SBV-Z.
Veiligheid en gebruiksvriendelijkheid hand in hand
In de praktijk kunnen de twee aspecten veiligheid en gebruiksvriendelijkheid wringen. Dat zorgaanbieders, zorgprofessionals én patiënten vrezen dat het wetsvoorstel ten koste gaat van de gebruiksvriendelijkheid, onderschrijft ook Van Os. “Het inloggen op het juiste eIDAS-betrouwbaarheidsniveau vereist vaak meer handelingen. Het zorgveld is huiverig dat het verrichten van deze handelingen afdoet aan het gebruiksgemak.”
Toch kunnen veiligheid en gebruiksvriendelijkheid hand in hand gaan, licht Kielman toe. “De toekomst van digitale zorg begint bij veilige en betrouwbare digitale toegang. Iedereen in de zorg moet zeker weten dat alleen de juiste zorgprofessionals bij (medische) informatie kunnen. Zo weten patiënten dat hun gegevens veilig zijn en zorgverleners dat ze de juiste persoon toelaten in het digitale dossier. Het wetsvoorstel Diaz maakt keuzevrijheid uit verschillende erkende inlogmiddelen mogelijk. Geen universele sleutel, maar een hele sleutelbos. Maar dit hoeft niet ten koste te gaan van gebruiksvriendelijkheid. Het zou het juist makkelijker moeten maken voor zorgmedewerkers, omdat zij kunnen inloggen op een manier die bij hun werkwijze en voorkeur past.”
Brede definitie ‘zorgmedewerker’
Diverse reacties op de internetconsultatie pleiten verder voor inperking van de definitie zorgmedewerker. Met de brede definitie uit het wetsvoorstel bestaat volgens hen de kans dat onbevoegden toegang krijgen tot medische – en daarmee zeer privacygevoelige – informatie.
Kielman licht toe dat de verbreding van het begrip zorgmedewerker niet zal leiden tot digitale toegang voor onbevoegden. “Het wetsvoorstel gaat niet over autorisatie. Pas als er een ‘rolcode’ toegevoegd wordt aan een registratie in het UZI-register, wordt bepaalde toegang ontsloten. De gedachte achter de brede definitie van zorgmedewerker is dat iedereen een unieke zorgidentiteit kan verkrijgen. Iedereen die medische gegevens elektronisch raadpleegt of uitwisselt moet uniek herkenbaar zijn. Dat zorgt voor transparantie voor de patiënt of cliënt die kan zien welke zorgmedewerker er in een dossier toegang heeft gehad of gegevens heeft uitgewisseld. Door beperkingen tot het register weg te nemen, wordt het flexibeler. Flexibiliteit is een belangrijk kenmerk van het nieuwe inlogstelsel.”
Administratielast register beperkt
In het zorgveld spelen ook vragen op het gebied van inschrijven, intrekken en uitschrijven in het register voor zorgaanbieders. Zorgprofessionals willen lagere administratieve lasten. Kielman: “Het wetsvoorstel gaat daarvoor zorgen. Het register wordt hét register voor het verstrekken van identiteiten van zorgaanbieders en zorgmedewerkers. Hierbij maakt het waar mogelijk gebruik van andere bronregisters, zoals de BRP, KVK, LRZA en BIG. En er worden HRM-koppelingen ontwikkeld die zorgaanbieders kunnen gebruiken om de in- en uitstroomprocessen van zorgmedewerkers geautomatiseerd te koppelen aan het register. Dat alles verlicht de administratieve lasten.”
Implementatie en kosten herziening UZI
Tot slot leven in het zorgveld vragen over de financiële gevolgen van het wetsvoorstel. “In de toelichting bij het wetsvoorstel is een ruwe inschatting van de financiële gevolgen opgenomen, maar verder onderzoek hiernaar is wel nodig”, zegt Kielman hierover. De totale kosten die een zorgaanbieder kwijt is voor de authenticatie van zorgmedewerkers nemen naar verwachting af. Als de middelen breder gebruikt worden, leidt dat dus niet per se tot hogere verbruikskosten. “Ook kunnen overige inlogmethoden vervangen worden door één oplossing”, voegt Laurens Kielman toe. “Hierdoor bespaar je op overige authenticatiemiddelen en de ICT-ondersteuning van zorgmedewerkers.”
Continuïteit als uitgangspunt
Zodra het wetsvoorstel is aangenomen, wordt bepaald wanneer de huidige UZI-middelen worden uitgefaseerd. Om de UZI-middelen te kunnen uitfaseren, moeten er genoeg alternatieve middelen op het eIDAS-betrouwbaarheidsniveau ‘hoog’ beschikbaar zijn. Tot die tijd kunnen de bestaande UZI-middelen gebruikt worden. Kielman: “Continuïteit is het uitgangspunt. Bij uitfasering moet er een realistische overgangstermijn vastgesteld worden. Dat gebeurt in samenspraak met het zorgveld.”
