Nictiz in gesprek met programmamanager Bob van Os over zijn drijfveren
Patiënten en zorgprofessionals hebben betrouwbare digitale inlogsleutels nodig op basis van hun persoonlijke identiteit om hun zorgwereld mee te ontgrendelen. Het gebruik van een gebruikersnaam, wachtwoord en SMS verificatie is met de komst van de Wet digitale overheid (Wdo) niet meer toegestaan omdat dit niet voldoende betrouwbaar is. Om het zorgveld voor te bereiden op de komst van de Wdo, is in 2018 al bij Nictiz het programma Elektronische Identiteit (eID) gestart. In de beginfase van het programma draaide het vooral om de zoektocht naar een uniforme inlogknop voor inzage in het Elektronisch Patiëntendossier (EPD) en de bewustwording van het zorgveld over de verschillende betrouwbaarheidsniveaus. Nu, zes jaar later, is de Wdo in werking getreden en bevindt het programma zich in een grensoverschrijdend en innovatief landschap van digitale identificatie en authenticatie. Samen met het zorgveld en de ministeries van BZK en VWS wordt er gewerkt om veilig en betrouwbaar inloggen voor iedereen toegankelijk te maken. Wat zijn de drijfveren van programmamanager Bob van Os in deze transitie? En wat zijn de ambities van het programma om digitale toegang in de zorg de toekomst in te loodsen? In dit artikel gaat Nictiz met hem in gesprek.
Terugblik ontstaan programma eID
Het programma eID heeft zijn opvolging gekregen in het programma Digitale Toegang in de Zorg, waar Van Os als manager begon in 2018. Het programma heeft de rol van poortwachter: een betrouwbare digitale identiteit en authenticatie-ecosysteem zijn randvoorwaardelijk voor alle vormen van digitale zorg. Het wetsvoorstel van de Wdo was aanleiding voor de oprichting van het programma. Eén publiek inlogmiddel was onvoldoende om te garanderen dat burgers altijd toegang hadden tot zorg en publieke digitale dienstverlening.
Autoriteit Persoonsgegevens bepaalde dat het digitaal raadplegen van medische gegevens veiliger moest, maar gaf toen tevens aan dat er nog onvoldoende middelen waren om naar het betrouwbaarheidsniveau Substantieel of Hoog te gaan.Daarom startte het Ministerie van BZK het wetgevingstraject van de Wdo waarin grondslagen kwamen voor meerdere (private en publieke) inlogmiddelen, betrouwbaarheidsniveaus, acceptatieplicht van inlogmiddelen en het Stelsel toegang.
De zorg als koploper
Deze Wdo is uiteindelijk medio 2023 aangenomen en in werking getreden. Alle publieke dienstverleners, waaronder de zorg, zullen in de toekomst zowel publieke als private inlogmiddelen moeten accepteren en het betrouwbaarheidsniveau van hun digitale toegang verhogen. Voor de zorg zal door Nictiz en VWS in samenwerking met BZK een planning worden bepaald, waarna het betrouwbaarheidsniveau bij zorgdienstverleners verhoogd moet zijn. Het verlenen van toegang tot digitale dienstverlening met een gebruikersnaam en wachtwoord volstaat dan niet meer”, legt Van Os uit. Maar dat is niet het enige. Omdat iedereen het recht heeft om zich door een ander te laten vertegenwoordigen, moet dit ook langs de digitale weg kunnen. Zorgverleners zijn daarmee verplicht om digitale vertegenwoordiging te ondersteunen.
“Als zorg hebben we indertijd met de komst van het programma, een voortrekkersrol genomen”, legt Van Os uit. Vanuit de wetenschap dat er een acceptatieplicht komt, en de betrouwbaarheidsniveau’s van inloggen in de zorg omhoog moeten, zagen wij het onze taak om het zorgveld hierop voor te bereiden. Bob van Os: “Toen Nictiz het wetsvoorstel van de Wdo voorlegde aan het zorgveld, werd al snel een groot knelpunt zichtbaar. De Wdo betekende in de uitvoering dat zorgdienstverleners een grote hoeveelheid aan koppelvlakken moesten onderhouden voor de afhandeling van de verschillende private- en publieke inlogmiddelen op nationaal en Europees niveau. Daar kwamen ook nog de voorzieningen voor vertegenwoordigen bij.”
Operationeel gezien lag de focus in de beginfase van het programma op het integreren van één uniforme inlogknop. Maar door samen met het zorgveld aan de slag te gaan, kwam Van Os er al snel achter dat digitale toegang niet zo simpel is als het implementeren van één nieuwe inlogknop. Hij reflecteert: “Door het veld in te gaan, kwamen we er steeds meer achter wat de brede impact van elektronische toegang is op het zorgproces, de patiënt en de zorgprofessional”.
Routeringsdienst
Als programma hebben wij dit toen aan het ministerie van VWS teruggegeven: “Je kan niet aan elke huisarts, tandarts, fysio of huisartsenpost vragen om voor elk huidig en toekomstig erkend inlogmiddel een losse koppeling te implementeren”, aldus Van Os. Het ministerie van VWS (VWS) erkende dit knelpunt en nam actie. Een bestaande voorziening binnen de overheid, genaamd routeringsdienst ToegangVerleningService(TVS), bood uitkomst.
In 2021 heeft VWS in samenwerking met DICTU de voorziening duurzaam ingericht voor de zorg: “Een eenmalige aansluiting op de TVS integreert meervoudige aansluitingen op verschillende publieke en private (Europese) inlogmiddelen, waaronder de voorzieningen voor digitale vertegenwoordiging”. Zorgdienstverleners hoeven nu via de TVS of andere routeringsdiensten maar één koppeling te beheren.
Nu de Wdo in werking is getreden, is het ministerie van BZK bezig met de realisatie van stelsel Toegang waarbij de TVS een centraal onderdeel zal zijn. In afwachting van de realisatie van overige voorzieningen zoals de bevoegheidsverklaringsdienst is de naderende acceptatieplicht wel al steeds meer voelbaar in de zorg: “De eerste zorgorganisaties zijn met hun digitale dienstverlening al volledig overgestapt op een hoger betrouwbaarheidsniveau”, vertelt van Os.
Hogere betrouwbaarheidsniveaus
Patiënten kunnen de voordeur tot hun digitale zorgwereld binnenkort alleen nog maar ontgrendelen met wettelijk erkende inlogmiddelen met passende betrouwbaarheidsniveaus, zoals DigiD Substantieel. Dat zorgverleners en patiënten nog massaal gebruikmaakten van inlogmethoden zoals gebruikersnaam en wachtwoord, was voor de pandemie heel normaal. Dat veranderde toen bleek dat de DigiD app nodig was voor het gebruik van de CoronaCheck-app. Tijdens de pandemie sloten er daarom steeds meer dienstverleners in aan op de TVS of rechtstreeks op DigiD. Een positieve bijkomstigheid was dat steeds meer burgers met de DigiD-app de stap van het betrouwbaarheidsniveau Laag naar Substantieel maakten: “Dat was in de pandemie ruim 400.000 burgers per maand”, blikt Van Os terug.
Hoewel de pandemie ertoe heeft bijgedragen dat steeds meer mensen gebruik maakten van betrouwbare toegang tot digitale dienstverlening in de zorg, is er nog steeds een grote groep patiënten die beperkt of helemaal geen toegang heeft tot digitale zorg: “Het gebruik van DigiD Substantieel vraagt van burgers dat zij zelf hun betrouwbaarheidsniveau eenmalig verhogen met de hulp van een smartphone, Nederlands Identiteitsbewijs en de ID-check via de DigiD-app. Dat is niet voor iedereen vanzelfsprekend.” Daarom is de ontwikkeling van digitale vertegenwoordiging zo belangrijk: “Met vrijwillig machtigen of ouderlijk gezag kunnen patiënten die niet kunnen, willen of mogen óók toegang krijgen tot digitale dienstverlening in de zorg”, legt Van Os uit.
Impact op zorgproces
In de transitie naar hogere betrouwbaarheidsniveaus, aangejaagd door de pandemie en de inwerkingtreding van de Wdo, ging het dus niet meer alleen over de technische implementatie, maar over inclusiviteit, regie, gebruiksvriendelijkheid maar bijvoorbeeld ook juridische haalbaarheid. Van Os vult aan: “Als je bijvoorbeeld iemand machtigt in de zorg, is de vraag die opkomt: “Mag die persoon dan alles lezen in het medisch dossier van de vertegenwoordigde?” En de vervolgvraag: hoe moeten zorgverleners dat vormgeven?”
In dat opzicht is de zorg een buitenbeentje, meent Van Os: “De foutmarge in de zorg moet zo klein mogelijk zijn, het gaat immers om zeer persoonsgevoelige medische informatie.” Daarbij komt ook de uitzonderingspositie voor toegang van kinderen in de leeftijdsgroep 12 tot 16 jaar. Bij jongeren in deze leeftijdsklasse is zowel toestemming van de ouders of voogd als van de jongere zelf vereist. Om een ouder of verzorger toegang te geven tot het digitale dossier, moet er een controle worden uitgevoerd op het hebben van gezag. “Maar kinderen in die leeftijdsgroep moeten ook toestemming geven. Het vraagstuk is niet alleen hoe we dit technisch kunnen inregelen, maar vooral hoe zorgverleners erop kunnen vertrouwen dat jongeren zich bewust zijn van die verantwoordelijkheid.”
Het programma Digitale Toegang onderzoekt op dit moment daarom samen met een expertgroep van professionals, artsen en experts de verschillende knelpunten en impact van de gezagsvoorziening op de praktijk. Van Os ziet de rol van het programma veranderen: “Je informeert eerst over inloggen op een applicatie en betrouwbaarheidsniveaus; nu onderzoeken en informeren we steeds meer welke impact digitale toegang heeft op de dossiervoering, op vertrouwen in de behandelrelatie en op de ervaring van de gebruiker en zijn of haar naaste kring. Daarmee geven we ook een duidelijke shift aan richting beleid: “Het zorgproces blijft leidend”.
Om het zorgproces te kunnen borgen, is soms aanpassing nodig van beleid of wetgeving. Van Os benoemt de verwerking van het BSN van vertegenwoordigers in de zorg: “Met de VWS-Verzamelwet II wordt er een wettelijke grondslag gecreëerd om digitaal vertegenwoordigen te kunnen ondersteunen. De zorgaanbieder kan dan controleren of diegene die namens een patiënt inlogt ook daadwerkelijk daartoe bevoegd is. Op basis van het BSN van die vertegenwoordiger kan de zorgaanbieder gegevens verwerken en zien tot welke delen van het dossier toegang verleend wordt.” Door deze aanpassing van de wet krijgen patiënten zelf de regie over het verlenen van toegang tot (delen van) het medisch dossier.
Regie bij patiënt en zorgprofessional
De trend waarbij het zorgproces leidend is, ziet Van Os ook terug in de introductie van Dezi (Dé zorgidentiteit), het nieuwe inlogstelsel voor zorgprofessionals. Dezi levert betrouwbare identiteitsverificatie voor zorgaanbieders en zorgprofessionals, met diverse opties voor erkende inlogmiddelen. Deze flexibiliteit stelt zorgprofessionals in staat om in te loggen met een inlogmiddel dat aansluit bij hun werkproces en persoonlijke voorkeuren.
Dit kan op elk systeem, op iedere werkplek en met verschillende middelen, zodat het binnen elk zorgproces past. “Daar zie je dat nieuwe ontwikkeling niet meer gebonden is aan een pas en paslezer, maar een los attribuut voor verschillende gebruikscontexten”, legt Van Os uit. Met het Dezi-stelsel beweegt digitale toegang steeds meer naar de professional toe: “De zorgprofessional kiest wat past binnen zijn of haar werkproces en heeft de regie”, aldus Van Os.
Deze beweging naar meer ‘regie’ is niet alleen zichtbaar voor de professional, maar ook voor de burger. Er zijn, vanuit de Europese Commissie, grote ambities om burgers meer regie over hun digitale identiteit te geven en de mogelijkheid te bieden om veiliger digitaal zaken te kunnen doen binnen de Europese Unie. Dit heeft begin 2024 geleid tot de herziening van de eIDAS-verordening. Van Os licht toe: “Deze herziening belooft met het vrijwillige gebruik van digitale ID-wallets nieuwe mogelijkheden zoals gemak, regie, dataminimalisatie, betrouwbaarheid, veiligheid en efficiëntie.” Een digitale ID-wallet is een app op je smartphone die dient als inlogmiddel waarmee je je als burger digitaal kunt identificeren op eIDAS betrouwbaarheidsniveau Hoog en bijvoorbeeld bewijzen kunt uitwisselen zoals een diploma of rijbewijs.
De tijdlijn van eIDAS 2.0 is dat iedere burger naar verwachting eind 2026 over een digitale wallet kan beschikken. Van Os ziet de mogelijkheden van een digitale wallet voor de zorg als een gamechanger: “Een digitale ID-wallet haalt diverse bestaande problemen binnen eHealth weg, zoals de huidige afgrenzing tussen het private en publieke BSN-domein en de beschikbaarheid van middelen op het hogere betrouwbaarheidsniveau. Maar het belangrijkste is dat de burger, en daarmee ook iedere patiënt, met dit instrument volledig in regie is over zijn digitale identiteit”, aldus Van Os.
Digitale Identiteit
Op door Nictiz georganiseerde informatiebijeenkomsten krijgt Van Os geregeld de vraag of het niet onveilig is om alles maar te digitaliseren. Dat draait Van Os om: “We zijn bezig om een analoge wereld te digitaliseren, maar gebruiken die wereld zonder veilige digitale identiteit. Wanneer mensen hun medische gegevens, diploma of kopie van een paspoort via e-mail sturen, beseffen ze zich niet hoe onveilig dat gedrag is. Het probleem is niet dat we alles willen digitaliseren, maar dat we nog niet overal gebruikmaken van een veilige, betrouwbare digitale identiteit.”
Daarom beseft Van Os zich dat het gesprek over bewustwording breder moet zijn dan alleen vanuit het zorgperspectief: “In groep 8 krijg je een verkeersdiploma, maar kinderen krijgen geen les over verantwoordelijk gebruik van hun digitale identiteit terwijl het je hele leven meegaat.” In de zorg komen er voor kinderen ook nog eens extra rechten en plichten bij. Van Os vult aan: “Als programma plotten we dit maatschappelijke vraagstuk in de zorg. Het is belangrijk dat patiënten en professionals dezelfde bewustwordingen hebben. Dat nemen we mee in onze informatievoorziening en kaders van ons werk.”
De zorg werkt namelijk met bijzonder persoonsgevoelige data. Daarom heeft de Autoriteit Persoonsgegevens vastgesteld dat toegang tot medische informatie alleen mag plaatsvinden met inlogmiddelen van het hoogste betrouwbaarheidsniveau. “En dat moet ook, het is in de zorg letterlijk van levensbelang. Gelukkig zien we bij alle ontwikkelingen op het gebied van digitale toegang in de zorg nu dat het voor de gebruiker inclusiever wordt. Onder de Wdo komen er meer inlogmiddelen, wat meer keuzevrijheid oplevert. Ook bepaalt de gebruiker wat hij of zij uitwisselt en wordt er steeds meer nadruk gelegd op gebruiksvriendelijkheid, wat met pilots wordt beproefd binnen het nieuwe inlogstelsel Dezi voor zorgprofessionals”, vult van Os aan.
Ambities
In het Integraal Zorgakkoord (IZA) wordt veel aandacht besteed aan passende zorg, ofwel de Juiste Zorg op de Juiste Plek. Daarbij gaat het om het voorkomen van zorg, het verplaatsen van zorg (dichter bij mensen thuis waar dat kan, verder weg als dat moet) en het vervangen van zorg door andere efficiënte vormen van digitale en hybride zorg. Alleen met betrouwbare digitale toegang waar iedereen gebruik van kan maken, kan deze beweging richting integrale gezondheidszorg worden gerealiseerd.
“Hybride zorg neemt een vogelvlucht. Dienstverleners en zorgprofessionals willen steeds meer zorg op afstand aanbieden. Als patiënten op de bank met thuismonitoring bijvoorbeeld hun bloedwaarden willen bijhouden via het EPD, moeten we er blind op kunnen vertrouwen dat deze data bij de juiste patiënt hoort. De beschikbaarheid van deze erkende inlogmiddelen zijn randvoorwaardelijk voor het behalen van de IZA-doelstellingen voor hybride zorg in het Integraal Zorgakkoord.” Met het stelsel Toegang, dat hier duurzame generieke bouwstenen voor realiseert, wordt hier de komende periode aan gewerkt.
In de tussentijd heeft Van Os vertrouwen in het vliegwiel van de Wdo: “Ik ga ervan uit dat steeds meer zorgaanbieders op technisch niveau voorbereid zijn op de toekomst van veilige, betrouwbare digitale toegang. Dat zien we ook in de rapportages van DICTU en Logius met steeds meer aansluitingen op de TVS. De focus van het programma ligt vooral op de uitdagingen voorbij de techniek, “om digitale toegang zo inclusief mogelijk te maken”, aldus Van Os. Daarin ziet hij de taak van het programma om continu voor aansluiting te zorgen tussen generieke bouwstenen van de efficiënte overheid en het zorgproces: “Soms moeten we bouwstenen aanpassen, en soms processen in de zorg.”
Het programma blijft hierin een brugfunctie vervullen: “Wij informeren en adviseren het zorgveld over digitale toegang en geven belangrijke signalen en behoeften uit het zorgveld terug aan VWS.” Dat de signalen en behoeften snel veranderen in deze transitiefase, ziet hij als uitdaging: “Het EPD draait bijvoorbeeld nog heel erg om het individuele zorgproces van de patiënt. Hoe kunnen we systemisch behandelen digitaliseren, zodat ook de omgeving van een patiënt kan worden behandeld? Deze behoefte speelt in verschillende zorgdomeinen, zoals de jeugd-GGZ. Dit soort vraagstukken nemen we mee in de plannen voor de toekomst.”
Ook start het programma digitale toegang in samenwerking met VWS een project om samen met het zorgveld een ‘best-ractice’ op te stellen om het gebruik van hogere betrouwbaarheidsniveaus in de zorg te stimuleren onder gebruikersgroepen die beperkt of helemaal geen toegang hebben tot digitale zorg. Van Os: “De focus op digitalisering in de zorg is enorm, maar hoe krijgen we iedereen mee? Dat is de vraag die centraal staat in deze transitiefase.” Door digitale toegang zo toegankelijk mogelijk te maken, heeft Van Os de ambitie dat elke patiënt of professional de middelen heeft om betrouwbaar, veilig én gemakkelijk toegang te krijgen tot zijn of haar zorgwereld. Daar bouwt het programma op voort vanuit zijn vier pijlers: het Dezi inlogstelsel, Digitale Wallet, routeringsdienst TVS en digitale vertegenwoordiging.
Aan de slag
Wil jij ook aan de slag met veilige digitale toegang voor jouw organisatie of onderzoeken waar voor jullie zorgorganisatie de implementatiekansen liggen? Ga dan naar Amigo! Voor vragen kun je contact opnemen met onze expert Bob van Os via onderstaande knop.