Patiëntauthenticatie. Onderzoek betrouwbaarheidsniveau. elektronische gegevensuitwisseling. 7 oktober 2016, VZVZ-Leveranciersdag

Transcriptie

1 Patiëntauthenticatie Onderzoek betrouwbaarheidsniveau elektronische gegevensuitwisseling 7 oktober 2016, VZVZ-Leveranciersdag

2 Heel actueel gekozen onderwerp! 1) Debat over eid-stelsel 29/9: niveau hoog, zorgsector 2) Wet cliëntenrechten elektronische gegevensuitwisseling 4/10 Eerste Kamer akkoord met digitale inzagerecht patiënt, mits niveau hoog. 3) Ambities VZVZ, Informatieberaad, Zorg-ICT (PGO en veel nieuwe producten ): patiëntauthenticatie!

3 Wakker worden!!! Steeds strengere (Europese) Privacywet- en regelgeving (AVG, eidas, NIB): Goed voor innovatie!! Vergelijk de strenge (Europese) regels voor milieu en klimaat: innovaties bij auto s, vliegtuigen, duurzame apparaten, circulaire economie etc. etc. Bij privacy: privacy by design, encryptie, TTP. Vertrouwensketen: identificatie, authenticatie (patiënt, zorgaanbieder, ), autorisatie, logging, etc.

4 Opzet - Onderzoeksvragen - Algemene antwoorden - Passend in de zin van de Wbp/AVG - Criteria - Wat is laag, substantieel en hoog in eidas? Zie bijlage rapport - Usecases - Praktijk - Aanbeveling rapport aan minister - Advies van mij aan jullie

5 Onderzoeksvragen Onderzoeksvraag minister VWS: 1. Welk betrouwbaarheidsniveau is minimaal noodzakelijk voor patiëntauthenticatie bij elektronische gegevensuitwisseling en kwalificeert als passend in de zin van de Wbp? 2. Is er een onderscheid tussen elektronisch inzien en het elektronisch muteren van medische gegevens door de patiënt? Sluit aan bij weergave betrouwbaarheidsniveau aan bij STORK (1 t/m 4) en de eidas-classificatie (laag, substantieel en hoog). NB niet 1:1 vergelijkbaar.

6 Algemene antwoorden op onderzoeksvragen Ad 1. Regime verwerken gezondheidsgegevens + medisch beroepsgeheim + ISO / NEN / FS + vereisten Wet BSN in de zorg + richtsnoeren AP en jurisprudentie: soms substantieel, vaak hoog passend. Ad 2. Bij elektronisch inzien en muteren beide sprake van gezondheidsgegevens, BSN en medisch beroepsgeheim. Toch mogelijk risico anders bij inzien, dan bij muteren. Mogelijk inzage minder risico's dan muteren bij dezelfde soorten gegevens. Vereist betrouwbaarheidsniveau echter toch vaak gelijk.

7 Normatief kader: Passend Passend' (art.13 Wbp en komende AVG). Uitspraken en richtsnoeren AP: Bij patiënt-authenticatie met en onder verantwoordelijkheid zorgaanbieder in beginsel een 'hoog betrouwbaarheidsniveau'. NB: rapport gaat (nog) niet over PGO s.

8 Criteria 1) Gezondheidsgegevens? 2) BSN? 3) Medisch beroepsgeheim?

9 Laag Betrouwbaarheidsniveau Vereiste elementen Laag 1.De persoon in bezit bewijs erkend door lidstaat aanvraag elektronisch identificatiemiddelen dat opgegeven identiteit vertegenwoordigt. 2. Bewijs verondersteld echt, dan wel gezaghebbende bron en geldig. 3.Gezaghebbende bron weet dat opgegeven identiteit bestaat en verondersteld persoon die identiteit opgeeft, dezelfde persoon is.

10 Substantieel Substantieel Niveau laag plus een vd alternatieven 1 tot en met 4: 1.Geverifieerd persoon in bezit bewijs erkend door lidstaat aanvraag elektronische identificatiemiddel, en identiteit vertegenwoordigt; En bewijs gecontroleerd op echtheid; of bestaan volgens gezaghebbende bron bekend en heeft betrekking op werkelijk bestaande persoon; En maatregelen getroffen om risico te minimaliseren dat identiteit persoon niet met opgegeven identiteit overeenstemt, rekening houdend met bijv. risico bewijsstuk verloren, gestolen etc. Of 2.Identiteitsdocument is overgelegd tijdens registratieproces in lidstaat waar document afgegeven, en document persoon overgelegd; En maatregelen getroffen om het risico te minimaliseren dat de identiteit van de persoon niet met de opgegeven identiteit overeenstemt, rekening houdend met bijvoorbeeld het risico dat documenten verloren, gestolen, geschorst, ingetrokken of verlopen zijn. Of 3.Indien procedures die eerder door een publieke of private entiteit in dezelfde lidstaat voor een ander doel dan de uitgifte van elektronische identificatiemiddelen zijn gebruikt, voorzien in betrouwbaarheidscriteria die gelijkwaardig zijn aan betrouwbaarheidsniveau substantieel, dan hoeft de voor de registratie verantwoordelijke entiteit eerdere procedures niet opnieuw uit te voeren. Of 4.Indien elektronische identificatiemiddelen worden uitgegeven op basis van een aangemeld geldig elektronisch identificatiemiddel met betrouwbaarheidsniveau substantieel of hoog, is het, rekening houdend met het risico van een wijziging van de persoonsidentificatiegegevens, niet nodig om het proces van bewijs en verificatie van de identiteit opnieuw uit te voeren.

11 Hoog Er moet zijn voldaan aan vereisten punt 1 of punt 2. 1.Niveau substantieel + alternatieven 1 vd onder a) t/m c) a)indien geverifieerd dat persoon in bezit is van bewijs dat voorzien is van een foto of biometrische gegevens, dat wordt erkend door de lidstaat waar de aanvraag voor het elektronische identificatiemiddel wordt gedaan, en dat de opgegeven identiteit vertegenwoordigt, word bewijs gecontroleerd op geldigheid aan de hand van een gezaghebbende bron; En de door aanvrager opgegeven identiteit wordt geverifieerd door vergelijking van één of meer fysieke kenmerken van de persoon met een gezaghebbende bron. Of b)indien procedures die eerder door een publieke of private entiteit in dezelfde lidstaat voor ander doel dan uitgifte van elektronische identificatiemiddelen zijn gebruikt, dan hoeft de voor de registratie verantwoordelijke entiteit die eerdere procedures niet opnieuw uit te voeren, mits de gelijkwaardigheid van de betrouwbaarheidscriteria is bevestigd. En maatregelen getroffen om aan te tonen dat de resultaten van de eerdere procedures nog steeds geldig zijn. Of c)indien elektronische identificatiemiddelen worden uitgegeven op basis van een aangemeld geldig elektronisch identificatiemiddel met betrouwbaarheidsniveau hoog, is het, rekening houdend met het risico van een wijziging van de persoonsidentificatiegegevens, niet nodig om het proces van bewijs en verificatie van de identiteit opnieuw uit te voeren. Is het als basis dienende elektronische identificatiemiddel niet aangemeld, en er zijn maatregelen getroffen om aan te tonen dat de resultaten van deze eerdere uitgifteprocedure van een aangemeld elektronisch identificatiemiddel nog steeds geldig zijn. OF 2.Indien de aanvrager geen erkend identiteitsdocument met een foto of biometrische kenmerken overlegt, worden dezelfde procedures toegepast die op nationaal niveau van toepassing zijn in de lidstaat van de verantwoordelijke instantie voor de verkrijging van een dergelijk bewijsstuk met foto of biometrische kenmerken.

12 Usecase A Een patiënt controleert zijn inschrijvingsgegevens bij een zorgaanbieder (NAW gegevens die geen betrekking hebben op zijn gezondheid). 2 scenario s: 1) Inschrijfgegevens die - ook samen met gegevens zorgaanbieder - niets zeggen over de gezondheidssituatie van de patiënt en geen inzage is in het BSN. 2) Inschrijfgegevens, incl. BSN en inzicht in specialisme zorgaanbieder. De gegevens vallen in alle gevallen onder medisch beroepsgeheim zorgverlener. Conclusie: In scenario 1 wordt minimaal betrouwbaarheidsniveau substantieel (en STORK 3) en in scenario 2 niveau hoog (en STORK 4) passend geacht.

13 Usecase B Een patiënt wijzigt zijn inschrijvingsgegevens bij een zorgaanbieder (NAW gegevens die geen betrekking hebben op zijn gezondheid). Vergelijkbaar met usecase A, scenario 1 en 2. Conclusie: In scenario 1 wordt minimaal niveau substantieel (en STORK 3) en in scenario 2 niveau hoog (en STORK 4) passend geacht.

14 Usecase C Een patiënt maakt/wijzigt een afspraak met de zorgverlener (bijvoorbeeld voor het spreekuur of een onderzoek). In aansluiting op usecase A1 zou het enkele feit van een afspraak met een algemene zorgaanbieder, zoals een huisarts of tandarts geen gezondheidsgegevens hoeven te bevatten. De afspraakgegevens vallen wel onder het beroepsgeheim van de arts. Conclusie: In een situatie vergelijkbaar met het scenario onder A.1 is niveau substantieel (en STORK 3) passend en in een situatie vergelijkbaar met scenario A.2 is betrouwbaarheidsniveau hoog (en STORK 4) passend, afhankelijk van de soort te wijzigen gegevens.

15 Usecase D Een patiënt raadpleegt zijn medisch dossier (bijvoorbeeld zijn huisartsdossier, laboratoriumuitslagen, beeldverslagen of medicatie). In deze casus is het (gehele) medisch dossier zichtbaar en is er dus geen twijfel over de vraag of er sprake is van gezondheidsgegevens, inzage in het BSN en toepasselijkheid van het medisch beroepsgeheim. Conclusie: betrouwbaarheidsniveau hoog (eidas), dan wel STORK 4 wordt passend geacht

16 Usecase E Een patiënt maakt aanvullingen op zijn medisch dossier (bijvoorbeeld door het toevoegen van resultaten van zelfmetingen van parameters zoals bloedsuikerspiegel, bloeddruk, gewicht). Het muteren van het medisch dossier brengt meer risico s met zich mee dan alleen inzage. Conclusie: Betrouwbaarheidsniveau hoog eidas / STORK 4 wordt passend geacht.

17 Usecase F Een patiënt vraagt een herhaalrecept aan De manier waarop de mogelijkheid wordt geboden maakt verschil in of de verwerking bij de zorgaanbieder begint of bij de patiënt. Het gaat om een het verwerken van een beperkte hoeveelheid gezondheidsgegevens. Er is geen twijfel over de vraag of er sprake is van het verwerken van gezondheidsgegevens, verwerken/inzien van het BSN en toepasselijkheid van het medisch beroepsgeheim op de gegevens die verwerkt worden. Conclusie: Betrouwbaarheidsniveau hoog eidas / STORK 4 wordt passend geacht.

18 Praktijk Patiëntauthenticatie op betrouwbaarheidsniveau STORK niveau 4 / eidas hoog (NB niet 1: 1 vergelijkbaar) is voor de patiënt op dit moment (nog) niet breed beschikbaar. Op dit moment worden er pilots gedaan op niveau STORK 3/ substantieel. Daarbij worden in sommige pilots de mogelijkheden om een hoger betrouwbaarheidsniveau te bereiken onderzocht. Ook zullen er een aantal pilots op niveau hoog plaats vinden, waaronder in de zorg.

19 Aanbeveling rapport Het is aan te bevelen dat de overheid zo spoedig mogelijk het initiatief neemt authenticatiemiddelen op niveau hoog breed beschikbaar te maken, publiek en/of privaat. NB: feitelijk normatief rapport over het geldende recht. Voorkeur publiek of privaat middel is o.a. politiek.

20 Mijn advies voor jullie: groeimodel voor zorgsector! Bijvoorbeeld via Informatieberaad de AP uitspraak ontlokken dat: - In overgangsfase niveau substantieel toereikend is, mits gebruik van middelen met de potentie om over een paar jaar niveau hoog te bereiken.