Kan jouw patiënt al toekomstbestendig inloggen?
Bob van Os, programmamanager digitale toegang bij Nictiz, nodigt in deze reeks experts uit om een gastcolumn te schrijven over relevante thema’s binnen het domein veilige, digitale toegang in de zorg. De gastcolumn van deze maand over het aannemen van de Wet digitale overheid is geschreven door mr. drs. Leo van der Lubbe, senior beleidsadviseur bij het ministerie van Volksgezondheid, Welzijn en Sport.
De Eerste Kamer heeft op 21 maart jongstleden de Wet digitale overheid (Wdo) aangenomen. Daarmee eindigt de parlementaire behandeling, en zal deze wet naar verwachting op 1 juli 2023 in werking treden. Er volgt dan een (beperkte) transitieperiode die nog moet worden bepaald. De zorg zal daarna Wdo-proof moeten zijn. Dit betekent dat de burger dan enkel nog met erkende publieke of private inlogmiddelen toegang kan krijgen tot digitale zorgdiensten. Met andere woorden: toegang tot digitale dienstverlening in de zorg met onveilige gebruikersnaam-wachtwoord combinaties is met de Wdo voorgoed verleden tijd. Reden genoeg om u als zorgaanbieder in deze column de route te wijzen langs de belangrijke eisen die de wet stelt aan veilige en betrouwbare digitale toegang in de zorg. Hoewel er nu een transitieperiode aanbreekt, is dat geen reden om nog te wachten. Als het gaat om toekomstbestendig inloggen, regel het liever vandaag dan morgen.
Digitalisering bij de overheid kent een lange geschiedenis. In de jaren ’70 en ’80 van de vorige eeuw begonnen overheden over de hele wereld met het automatiseren van administratieve processen. Daarbij lag de focus op de ontwikkeling van verschillende digitale systemen en softwareprogramma’s die de uitvoering daarvan ondersteunen. Automatisering in die jaren was onderdeel van de bedrijfsvoering. Met de komst van het internet veranderde alles. In de jaren ’90 en 2000 werd de focus verlegd naar het online beschikbaar stellen van overheidsinformatie en het bieden van online diensten aan burgers.
In het Regeerakkoord VVD-PvdA uit eind 2012 kreeg – onder het motto van “Bruggen slaan” – de burger het recht om digitaal diensten met de overheid te kunnen doen. Digitale online dienstverlening bood eindeloos veel mogelijkheden voor het verbeteren van de dienstverlening aan burgers en het vergroten van de efficiëntie. Het leidde tot de ontwikkeling van online portals en websites, waar burgers informatie kunnen vinden over bijvoorbeeld belastingen, uitkeringen, toeslagen én hun medische gegevens. De persoonlijke gezondheidsomgevingen en de portalen zijn inmiddels niet meer weg te denken in de zorg.
Daar waar de kansen van digitale dienstverlening liggen, bestaan ook de risico’s. Bij het ontsluiten van digitale dienstverlening heb je te maken met gevoelige thema’s rondom privacy en veiligheid van data.
Want wanneer is een inlogmethode veilig genoeg? Hoe weet je als dienstverlener met 100% zekerheid met wie je zakendoet? Is het wel echt mijn patiënt, of is er sprake van een ander persoon die namens mijn patiënt handelt?
Met de Wdo wordt een belangrijke stap gezet om deze risico’s te beperken. De Wdo biedt namelijk kaders om de digitale dienstverlening op een verantwoorde wijze en met aandacht voor privacy, veiligheid en digitale inclusie aan burgers te ontsluiten.
De Wdo introduceert onder andere veilige erkende inlogmiddelen en twee betrouwbaarheidsniveau’s (Substantieel en Hoog) voor digitale dienstverlening. Inloggen met een wachtwoord en gebruikersnaam of tweestaps-authenticatie voldoet niet als veilige, betrouwbare manier van inloggen en is daarmee verleden tijd. Een erkend inlogmiddel dat voldoet aan het betrouwbaarheidsniveau ‘Substantieel’ is bijvoorbeeld de DigiD-app, waaraan de eenmalige controle (ID-check) van een paspoort, rijbewijs of identiteitskaart is toegevoegd. Naast het publieke inlogmiddel DigiD kunnen in de toekomst ook private erkende inlogmiddelen op de markt komen. In de zorg zal trapsgewijs naar het betrouwbaarheidsniveau ‘Hoog’ worden toegewerkt.
De inwerkingtreding van de Wdo raakt niet alleen de zorgaanbieder die maatregelen moet treffen om de erkende inlogmiddelen te ontvangen, maar ook patiënten en zorgprofessionals voor het verlenen van toegang tot medische gegevens. Als zorgaanbieder zul je de nodige aanpassingen moeten doen binnen je digitale dienstverlening. Om dit efficiënt en eenvoudig te maken, biedt de overheid een routeringsdienst aan (ToegangsVerleningService) Met deze routeringsdienst hoeft er in de eigen ICT-omgeving niet voor elk erkend inlogmiddel een aparte koppeling te worden gemaakt. Bovendien kan de zorgaanbieder met een aansluiting op deze dienst óók meteen gebruik maken van andere Wdo-voorzieningen zoals digitale vertegenwoordiging.
Met de aansluiting op de routeringsvoorziening ben je als zorgaanbieder Wdo-proof. In de praktijk zullen veel ICT-leveranciers de aansluiting op de TVS realiseren. Dit is echter geen verplichting, ICT-leveranciers kunnen ook voor een eigen oplossing kiezen. Naar mijn mening zal dit echter veel bewerkelijker en daarmee duurder zijn om die oplossing up to date te houden. Als de zorgaanbieder een breed pakket veilige digitale zorgdiensten kan aanbieden, ontstaat er uiteindelijk meer ruimte om betere zorg te leveren. Veilige, betrouwbare toegang tot digitale zorgdiensten draagt namelijk bij aan het verlichten van de hoge druk op de zorgsector en vergroot de toegankelijkheid.
De toekomst laat bovendien niet op zich wachten, er zullen nog veel meer digitale diensten en producten het licht zien. Daarmee zal er nog meer en intensiever gebruik worden gemaakt van digitale dienstverlening. Hoe vertaalt dat toekomstbeeld zich naar de praktijk? Elk individu moet voor identificatie gebruik maken van erkende inlogmiddelen en krijgt hiervoor een brede keuzemogelijkheid. DigiD is het publieke inlogmiddel, daarnaast zullen er erkende private inlogmiddelen komen. Het voordeel is dat je in de praktijk maar één of een beperkte set erkende inlogmiddelen nodig zult hebben om veilig gebruik te kunnen maken van de digitale dienstverlening in de zorg en overheidsdienstverlening. Zo biedt het gebruik van erkende inlogmiddelen niet alleen meer veiligheid, maar ook meer gebruiksgemak en eigen regie.
Dit geschetste toekomstbeeld is met de komst van de Wdo natuurlijk al begonnen. Wie voorziet in online dienstverlening met Wdo erkende techniek, voldoet daarmee aan het toekomstbestendig inloggen. Vanuit het ministerie van VWS is de afgelopen jaren veel inzet geweest om de zorg niet vandaag maar gisteren al Wdo-proof te krijgen. Nu de wet is aangenomen, breekt een transitieperiode aan. Voldoe jij als zorgaanbieder nog niet aan de eisen die de Wdo stelt?
Mijn oproep is om niet meer stil te zitten: kom uit de startblokken!
Kom jij ook in actie? Raadpleeg Amigo! van het programma Digitale Toegang en lees meer over wat de Wdo betekent voor jou als zorgorganisatie.