Toelichting op uitdagingen, wetgeving en de implementatie van de herziening UZI
In een zorglandschap dat meer en meer digitaliseert, is het belangrijk dat alleen bevoegde zorgprofessionals digitale toegang krijgen tot (medische) informatie. Veilige identificatie en authenticatie van professionals met betrouwbare inlogmiddelen en een door de overheid beheerd register liggen daaraan ten grondslag. Daar moet de Wet Diaz voor zorgen. Tijdens de internetconsultatie kon het zorgveld feedback geven op het wetsvoorstel.
In dit artikel bespreken Laurens Kielman (senior beleidsadviseur ministerie van VWS) en Bob van Os (programmamanager Digitale Toegang bij Nictiz) de uitkomsten van de internetconsultatie. Welke uitdagingen spelen er in het zorgveld? Hoe gaat wetgeving hierin voorzien? En wat betekent dit voor de implementatie van toegang voor zorgprofessionals?
Wat regelt het wetsvoorstel Diaz?
Het wetsvoorstel DIAZ behelst een wijziging in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz). Deze wetswijziging regelt dat zorgprofessionals in plaats van UZI-middelen andere goedgekeurde en betrouwbare inlogmiddelen kunnen gebruiken om digitale toegang te krijgen. Bijvoorbeeld met DigiD of een digitale wallet. Samen met een door de overheid beheerd register van zorgaanbieders en zorgmedewerkers moeten deze inlogmiddelen veilige en flexibele toegang van zorgprofessionals tot (medische) informatie mogelijk maken. Het wetsvoorstel draagt daarmee bij aan de elektronische gegevensuitwisseling in de zorg.
Internetconsultatie Wetsvoorstel Diaz
Om veilige identificatie en authenticatie van zorgprofessionals wettelijk mogelijk te maken, riep het ministerie van VWS op om mee te denken over de Wet digitale identificatie en authenticatie in de zorg (Diaz). Ook Nictiz verspreidde deze oproep in haar netwerk waarop diverse instanties, organisaties en professionals uit de zorgketen reageerden.
Wetsvoorstel ziet op meer dan alleen het uitwisselen van gegevens
In het wetsvoorstel wordt beschreven dat voor toegang door professionals tot zorginformatie- en uitwisselingssystemen het register van zorgaanbieders en zorgmedewerkers met zorgidentiteiten en de inlogmiddelen kan worden gebruikt. Het voorstel benoemt dat dit ten behoeve is van elektronische gegevensuitwisseling in de zorg. Uit de internetconsultatie blijkt dat het veld denkt dat het wetsvoorstel uitsluitend betrekking heeft op digitale toegang met als doel digitale gegevensuitwisseling. Bob van Os licht toe: ‘De toename van digitale gegevensuitwisseling is een belangrijke reden om digitale toegang voor professionals veilig in te regelen, maar niet de enige. Ook voor lokale toegang bij een zorgaanbieder zonder dat er direct gegevens worden uitgewisseld, moet de identificatie en authenticatie van professionals veilig worden ingeregeld. Bijvoorbeeld bij inzage in het elektronisch patiëntendossier.’
Toegang in breedste zin
Laurens Kielman benadrukt dat toegang tot zorginformatie- en uitwisselingssystemen zonder dat er direct gegevens worden uitgewisseld met dit wetsvoorstel niet is uitgesloten: ‘Het doel van het wetsvoorstel is om de inlogmiddelen en het register zorgbreed in te kunnen zetten voor onder meer toegang tot alle systemen waarbij persoons- en medische gegevens worden verwerkt.’ Daarbij benadrukt Laurens Kielman dat authenticatie op het betrouwbaarheidsniveau eIDAS hoog niet alleen vereist is voor het uitwisselen van gegevens, maar ook noodzakelijk is voor lokale toegang: ‘Hoewel het wetsvoorstel zich primair richt op toegang tot het BSN-register via de SBV-Z en toegang tot zorginformatie- en uitwisselingssystemen, wordt breder gebruik niet uitgesloten, bijvoorbeeld voor toegang tot andere systemen of gebouwen.’ Zorgaanbieders zijn wettelijk verplicht om de identiteit en het burgerservicenummer van een cliënt vast te stellen. Hiervoor maken zij gebruik van de SBV-Z. Daarvoor kunnen op dit moment uitsluitend de UZI-pas of een UZI-certificaat worden gebruikt. ‘Sterker nog,’ gaat Laurens Kielman verder: ‘door de inlogmiddelen en de identiteiten uit het register voor interne én externe doeleinden te gebruiken, kan er meer uniformiteit en efficiëntie behaald worden.’
Verplichting overgangstermijn eIDAS zorgveld
Bob van Os vertelt: ‘Waar in Nederland de inspanningen om een digitale identiteit beschikbaar te maken voor burgers en bedrijven verankerd is in de Wet digitale overheid (Wdo), is in Europa sinds 2014 de eIDAS in werking. Met eIDAS hebben de Europese lidstaten afspraken gemaakt over onder andere de betrouwbaarheidsniveaus laag, substantieel en hoog.’ Naar aanleiding van de internetconsultatie Wet Diaz heeft de Autoriteit Persoonsgegevens (AP) geadviseerd om een termijn te stellen aan de verplichting voor het zorgveld om inlogmiddelen van het eIDAS-betrouwbaarheidsniveau ‘hoog’ te hanteren. Deze termijn past niet binnen de reikwijdte van het wetsvoorstel Diaz, vertelt Laurens Kielman. ‘Het wetsvoorstel Diaz omvat geen verplichting voor het gebruik van het UZI-register én de inlogmiddelen voor toegang tot alle zorginformatie- en uitwisselingssystemen die de zorgaanbieder gebruikt, maar alleen een verplichting voor toegang tot de SBV-Z.’
Veiligheid en gebruiksvriendelijkheid
Naar aanleiding van het Festival Digitale Toegang dat door Nictiz werd georganiseerd in samenwerking met het Ministerie van VWS in november 2023, schreef Zorgvisie een artikel over het botsen van veiligheid en gebruiksvriendelijkheid in digitale zorg. Een terugkerend signaal bij Nictiz, onderschrijft Bob van Os: ‘Zowel zorgaanbieders, zorgprofessionals als patiënten vragen om gebruiksvriendelijke inlogmiddelen.’ Het inloggen in de zorg op het juiste eIDAS-betrouwbaarheidsniveau vereist vaak meer handelingen. Het zorgveld is huiverig dat het verrichten van deze handelingen afdoet aan gebruiksvriendelijkheid.
Een universele sleutel
Toch kunnen veiligheid en gebruiksvriendelijkheid ook hand in hand gaan, licht Laurens Kielman toe: ‘De toekomst van digitale zorg begint bij veilige en betrouwbare digitale toegang. Iedereen in de zorg moet zeker weten dat alleen de juiste zorgprofessionals bij (medische) informatie kunnen. Zo weten patiënten dat hun gegevens veilig zijn en professionals dat ze de juiste persoon toelaten in het digitale dossier.’ Het wetsvoorstel Diaz maakt keuzevrijheid uit verschillende erkende inlogmiddelen mogelijk. Laurens benoemt dat dit juist ook kan bijdragen aan gebruiksvriendelijkheid: ‘Professionals kunnen een sleutel kiezen die past bij hun werkwijze en voorkeur en ook universeel te gebruiken is. Geen hele sleutelbos aan verschillende middelen, maar een universele sleutel waarmee alle toegang geregeld kan worden.’
Brede definitie ‘zorgmedewerker’
Diverse reacties op de internetconsultatie pleiten voor inperking van de definitie zorgmedewerker. Met de huidige definitie bestaat de kans dat onbevoegden toegang krijgen tot medische – en daarmee zeer privacygevoelige – informatie. Laurens Kielman licht toe dat de verbreding van het begrip zorgmedewerker in het nieuwe UZI-stelsel niet zal leiden tot digitale toegang voor onbevoegden: ‘Het wetsvoorstel gaat niet over autorisatie. Pas als er een bevoegdheden toegevoegd worden aan een registratie in het UZI-register, dan wordt bepaalde toegang ontsloten. De gedachte achter de definitie van zorgmedewerker is dat iedereen een UZI-nummer kan verkrijgen. Iedereen die medische gegevens elektronisch raadpleegt en/of uitwisselt moet uniek herkenbaar zijn. Dat zorgt voor transparantie voor de patiënt/cliënt die kan zien welke zorgmedewerker er in een dossier toegang heeft gehad of gegevens heeft uitgewisseld. Door beperkingen tot het UZI-register weg te nemen, wordt het flexibeler. Flexibiliteit is een belangrijk kenmerk van het nieuwe UZI-stelsel.’
Administratielast register beperkt
In het zorgveld spelen ook vragen op het gebied van inschrijven, intrekken en uitschrijven in het register. Bob van Os: ‘Voor zorgprofessionals is het belangrijk dat administratieve lasten worden beperkt.’ Laurens Kielman verduidelijkt dat de herziening van UZI de administratieve lasten daarentegen verlicht: ‘Het UZI-register wordt hét register voor het verstrekken van identiteiten van zorgaanbieders en zorgmedewerkers. Hierbij maakt het register waar mogelijk gebruik van andere bronregisters, zoals de BRP, KVK, LRZA en BIG.’ Ook worden er HRM-koppelingen ontwikkeld die zorgaanbieders kunnen gebruiken om de in- en uitstroomprocessen van zorgmedewerkers geautomatiseerd te koppelen aan het register. ‘Daarmee worden de administratieve lasten verlicht’, benoemt Laurens Kielman.
Implementatie en kosten herziening UZI
Tot slot leven in het zorgveld vragen omtrent de financiële gevolgen van het wetsvoorstel. Laurens Kielman benoemt dat er een ruwe kosteninschatting van de financiële gevolgen van het wetsvoorstel opgenomen is in de toelichting, maar dat dit verder onderzoek vraagt: ‘De verwachting is dat de totale kosten die een zorgaanbieder kwijt is voor de authenticatie van zorgmedewerkers zullen afnemen.’ Wanneer de middelen breder gebruikt worden, hoeft dat dus niet tot hogere verbruikskosten te leiden. Ook kunnen overige methoden van inloggen vervangen worden door één oplossing. ‘Dit spaart kosten uit van overige authenticatiemiddelen en de ICT-ondersteuning van zorgmedewerkers’, benoemt Laurens Kielman.
Continuïteit als uitgangspunt
Zodra het wetsvoorstel is aangenomen, wordt bepaald wanneer de huidige UZI-middelen worden uitgefaseerd. Om de UZI-middelen te kunnen uitfaseren, moeten er genoeg alternatieve middelen op het betrouwbaarheidsniveau eIDAS hoog beschikbaar zijn. Tot die tijd kunnen de UZI-middelen gebruikt worden zoals dat nu ook gebeurt. Laurens verduidelijkt: ‘Continuïteit is het uitgangspunt. Bij uitfasering moet er een realistische overgangstermijn vastgesteld worden. Dat gebeurt in samenspraak met het zorgveld.’
Nictiz organiseert diverse informatiesessies, ook over de herziening van UZI. Voor meer informatie over de informatiesessies UZI, kijk in de agenda.