Opgelicht?! opgelicht-logo

meer NPO start
Opgelicht?!
  • Minister: 'Inloggen bij huisartsenpraktijk hoeft niet via DigiD'

    Minister: 'Inloggen bij huisartsenpraktijk hoeft niet via DigiD'

    Als jouw huisartsenpraktijk je online laat inloggen op een zorgportaal, hoeven ze daarvoor niet verplicht gebruik te maken van DigiD. Alternatieve inlogmethoden volstaan ook, mits de mate van beveiliging maar van een 'passend hoog niveau' is. Dat stelt minister Knops van Binnenlandse Zaken naar aanleiding van kamervragen.

    Aanleiding voor de kamervragen is een huisartsenpraktijk uit Uden die patiënten niet via DigiD, maar via de IRMA-app liet inloggen. IRMA staat voor 'I Reveal My Attributes' en is eigenlijk een gepersonaliseerd digitaal paspoort op je telefoon. Je kunt bepaalde persoonsgegevens zoals leeftijd en adresgegevens opslaan, en met de app kun je op verschillende websites en apps inloggen zonder dat je voor elke website of app een apart gebruikersprofiel moet hebben.

    De app zorgt ervoor dat deze websites en apps alleen toegang krijgen tot de voor het doeleinde noodzakelijke gegevens. Je kunt de app bijvoorbeeld gebruiken om aan te tonen dat je meerderjarig bent, zonder dat je je exacte geboortedatum door hoeft te geven. De huisartsenpraktijk uit Uden, Medipark, maakt gebruik van IRMA om patiënten toegang te verlenen tot een zorgportaal waar je afspraken kunt plannen, herhaalrecepten kunt opvragen en andere gegevens in kunt zien.

    Patiënten van de huisartsenpraktijk moeten eerst een IRMA-profiel maken en de app installeren voordat ze toegang krijgen tot het portaal.

    'Geen DigiD met tweefactorauthenticatie'

    Kamerlid Evert-Jan Slootweg van het CDA stelde de vraag of patiënten vanwege wetgeving niet standaard verplicht via DigiD in moeten loggen, maar dat is niet zo. Minister Knops stelt dat het - afhankelijk van de aard van de gegevens die worden ontsloten - verplicht is om een inlogniveau van een 'passende betrouwbaarheid' (pdf) te bieden. Aangezien er in dit geval sprake is van extra privacygevoelige medische gegevens, moet het inlogniveau 'hoog' zijn, maar volgens Knops is dat niveau in DigiD nog niet beschikbaar.

    Daarmee wordt vermoedelijk 'niet breed beschikbaar' bedoeld. 'DigiD Hoog' bevindt zich nog in een pilotfase en zal naar verwachting pas over 5-10 jaar (pdf) operationeel zijn:

    'Daarnaast dient de gebruiker voor gebruik van DigiD Hoog te beschikken over een nieuw identiteitsbewijs met daarvoor benodigde technologie op de chip. Deze worden uitgegeven via het bestaande uitgifteproces van identiteitsdocumenten. Dit proces kent een vervangingstermijn van tien jaar waardoor de komende jaren niet alle burgers beschikken over een identiteitsbewijs waarmee zij op Hoog kunnen inloggen. Net als bij Substantieel is de dekkingsgraad van de mobiele oplossing voor DigiD Hoog te laag om als enige oplossing te kunnen fungeren voor het inloggen op de digitale overheid.'

    Beveiliging inlogmethode dient van een 'passend hoog niveau' te zijn

    De Autoriteit Persoonsgegevens heeft echter aangegeven dat authenticatie voor data met een 'passend hoog niveau' op zijn minst via tweefactorauthenticatie plaats dient te vinden. DigiD in combinatie met een sms-bericht voldoet hieraan. Als de Wet digitale overheid in werking treedt (naar verwachting medio 2020), wordt het mogelijk om alternatieve inlogmethoden toe te laten, zolang ze in termen van beveiliging maar aan een passend beveiligingsniveau voldoen. 

    Het is overigens ook de bedoeling dat tweefactorauthenticatie voor diensten van MijnOverheid in combinatie met DigiD in de loop van dit jaar verplicht wordt gesteld. Meer weten? Volg onderstaande button.

    'Inloggen op MijnOverheid vanaf 2020 verplicht via tweefactorauthenticatie'

    Wettelijke basis voor verwerking burgerservicenummer

    Kamerlid Slootweg vroeg tevens of zorgaanbieders en lokale overheden de wet niet overtreden als ze burgers via de IRMA-app identificeren. Knops stelt dat het momenteel zo is dat alléén DigiD een wettelijke basis heeft om een burgerservicenummer te verwerken. 'Andere (private) inlogmiddelen kunnen deze wettelijk basis ook krijgen als de Wet digitale overheid van kracht wordt en zij als middel worden toegelaten', aldus Knops.

    Ook is het volgens Knops de eigen verantwoordelijkheid van overheden om adequate beveiliging te bieden, dus ook op het vlak van identificatie: 'Welke mate van beveiliging zij moeten hanteren hangt af van de dienstverlening die wordt aangeboden en de gegevens die daarbij worden ontsloten. Of het gebruik van de IRMA-app rechtmatig is hangt daarom af van de dienstverlening die wordt ontsloten, de gegevens die daarbij worden ontsloten en het betrouwbaarheidsniveau dat IRMA beoogt te bieden.

    Bron: Digitaleoverheid.nl / Rijksoverheid.nl / Security.nl / Tweedekamer.nl / Privacy By Design

  • Ook interessant