Minister: DigiD niet verplicht voor inloggen bij huisartsenpraktijk
Huisartsenpraktijken die patiënten online op een zorgportaal laten inloggen hoeven geen gebruik van DigiD te maken, zo heeft minister Knops van Binnenlandse Zaken laten weten. De minister reageerde op Kamervragen over een huisartsenpraktijk uit Uden die patiënten via de IRMA-app toegang tot een online zorgportaal geeft.
RMA staat voor 'I Reveal My Attributes' en is een soort van gepersonaliseerd paspoort dat op de telefoon van de gebruiker wordt opgeslagen. Gebruikers kunnen allerlei persoonlijke attributen aan de app toevoegen zoals adresgegevens, leeftijd of onderwijsidentiteit. Vervolgens is het mogelijk om met de IRMA-app op allerlei websites en apps in te loggen, zonder dat de gebruiker hiervoor een apart gebruikersprofiel hoeft aan te maken.
Verder zorgt IRMA ervoor dat websites alleen de echt noodzakelijke gegevens van de gebruiker krijgen. Met de app kan iemand bijvoorbeeld laten zien dat hij ouder is dan 18 jaar zonder dat de geboortedatum en andere persoonsinformatie zichtbaar zijn. Huisartsenpraktijk Medipark Uden geeft patiënten via de IRMA-app toegang tot een online zorgportaal waar herhaalrecepten zijn aan te vragen, gegevens zijn in te zien, afspraken zijn in te plannen en e-consulten zijn te sturen. Voordat patiënten op het portaal aan de slag kunnen moeten ze eerst de IRMA-app installeren en een bijbehorend account aanmaken.
CDA-Kamerlid Slootweg vroeg Knops of patiënten van de praktijk op basis van de huidige wetgeving eigenlijk alleen via DigiD mogen inloggen. Dat is niet het geval. "In de zorgsector is het, evenals in andere sectoren, verplicht een inlogniveau van passend betrouwbaarheidsniveau aan te bieden, afhankelijk van de gegevens die worden ontsloten. Bij gegevens die onder het medisch beroepsgeheim vallen is dat niveau "hoog". Bij het gebruik van DigiD zijn nu de niveaus "substantieel" en "hoog" nog niet beschikbaar", antwoordt de minister.
In afwachting van het breder beschikbaar komen van inlogmethoden met een passend hoog niveau heeft de Autoriteit Persoonsgegevens aangegeven dat authenticatie dient plaats te vinden met tenminste tweefactorauthenticatie. DigiD in combinatie met sms voldoet hieraan. Andere mogelijkheden worden echter niet uitgesloten, merkt Knops op. Zodra de Wet digitale overheid in werking treedt wordt het mogelijk om private inlogmiddelen toe te laten die een hoog betrouwbaarheidsniveau aanbieden.
Wetgeving
Slootweg wilde ook weten of lokale overheden en zorgaanbieders de wet overtreden wanneer ze burgers via de IRMA-app identificeren. Volgens Knops heeft alleen DigiD op dit moment een wettelijke basis om het BSN te verwerken. "Andere (private) inlogmiddelen kunnen deze wettelijk basis ook krijgen als de Wet digitale overheid van kracht wordt en zij als middel worden toegelaten", stelt de minister.
Knops voegt toe dat overheden een eigen verantwoordelijkheid hebben om adequate beveiliging van gegevens in te richten, waaronder de identificatie. "Welke mate van beveiliging zij moeten hanteren hangt af van de dienstverlening die wordt aangeboden en de gegevens die daarbij worden ontsloten. Of het gebruik van de IRMA-app rechtmatig is hangt daarom af van de dienstverlening die wordt ontsloten, de gegevens die daarbij worden ontsloten en het betrouwbaarheidsniveau dat IRMA beoogt te bieden."
De minister laat weten dat hij in het algemeen positief staat tegenover het gebruik van attribuut gebaseerde authenticatie. "Mits deze voldoet aan de Europese eisen aan privacy (AVG) en inlogmiddelen (eIDAS)." Daarnaast is er het aandachtspunt dat attributiediensten het mogelijk maken dat burgers laagdrempelig gegevens kunnen wisselen, ook met instanties die daartoe geen recht hebben, maar waarvan ze wel afhankelijk zijn.
Nadeel is dat de meeste partijen die 2fa via SMS aanbieden dan ook meteen password reset via SMS voor je aanzetten.
Het bezit of (tijdelijke) toegang tot je tweede sleutel maakt het dan mogelijk je eerste sleutel te resetten
Als je gemachtigd bent om namens iemand die zelf geen online toegang heeft de zorgpolis te beheren lijkt toegang alleen nog mogelijk met Digid met 2fa via SMS. Dan moet je wel die gemachtigde voor zorg ook toegang geven tot het telefoonnummer van je DigiD account en dat is een probleem.
Via Digid kan je iemand machtigen voor specifieke zaken. Voor de belastingaangifte moet voor elk jaar apart toestemming worden gegeven en krijgt een gemachtigde alleen toegang tot die functie en blijft andere informatie privé.
Voor zorg lijkt dat niet mogelijk en moet je gelijk alles overdragen aan de hulp voor de zorgpolis. Met de bescherming voor privacy voor de zorg moet je dus privacy voor alle andere zaken opgeven en toegang geven tot alles wat via DigiD loopt en daarmee raak je ook het beheer van je eigen account kwijt.
Als een ouder echtpaar met alleen één vaste telefoonlijn hun zaken willen afhandelen moeten zij dan beide een eigen telefoon met SMS of een tablet aanschaffen? Of moet de gemachtigde voor ieder persoon een aparte sim / telefoonnummer nemen en sim kaarten wisselen voor elk contact?
Wat mij niet duidelijk is hoe in ontwerp van 2fa via Digid rekening is gehouden met veilige toegang voor bijvoorbeeld zorg zonder dat je alles moet overdragen.
Ik nam aan dat daar in is voorzien maar ik kan daar niets over vinden. Weet iemand wat de mogelijkheden zijn? Een Digid machtiging voor zorg lijkt de beste oplossing maar die is niet mogelijk.
Omdat ik niet via het telefoonmenu rond wil klikken en dan naam van het medicijn moet uitspreken om een herhaalrecept te krijgen. Ik wil dat gewoon op een website kunnen doen.
Omdat ik graag zelf de resultaten wil (blijven) bekijken van mijn bloedonderzoek en niet alleen de samenvatting van de arts wil horen. Zodat ik zelf kan zien hoe de resultaten wijzigen in de loop van de tijd.
Omdat ik graag direct de resultaten wil bekijken als die binnen zijn en niet nog een week wil wachten tot ik een afspraak heb.
Omdat ik het verslag dat de chirurg naar mijn huisarts heeft gestuurd rustig wil inzien. Zodat ik met relevante vragen kan komen op de afspraak. Of eventueel met een partner of andere specialist kan overleggen.
Peter
Misschien omdat je bijvoorbeeld een afspraak wilt inplannen. Zelfde redenen als waarom je eventueel je arts zou willen bellen, bezoeken, wat dan ook ? Beetje domme vraag.
Nadeel is dat de meeste partijen die 2fa via SMS aanbieden dan ook meteen password reset via SMS voor je aanzetten.
Het bezit of (tijdelijke) toegang tot je tweede sleutel maakt het dan mogelijk je eerste sleutel te resetten
U bedoeld waarschijnlijk de situatie waarbij de telefoon in iemands bezit is gekomen en geopend is . Dan heb je ook niets meer aan IRMA daar dit ook een APP is. Elke "wat je bezit" (een van de wat je weet, wat je bent, wat je hebt) mioet dan ook alleen in de handen van de eigenaar zijn anders kun je met fatsoen niets meer gebruiken .
Nadeel is dat de meeste partijen die 2fa via SMS aanbieden dan ook meteen password reset via SMS voor je aanzetten.
Het bezit of (tijdelijke) toegang tot je tweede sleutel maakt het dan mogelijk je eerste sleutel te resetten
U bedoeld [sic] waarschijnlijk de situatie waarbij de telefoon in iemands bezit is gekomen en geopend is . Dan heb je ook niets meer aan IRMA daar dit ook een APP is.
Toch wel want daar heeft men dus uitgebreid over nagedacht: The IRMA app does not contain a single unique identifier of the user like the traditional identity platforms. In IRMA there is a user secret key (as explained in section 2.1). This key is not visible for the user. [*] Waardoor je niet simpelweg met bv. een sms'je kan resetten.
[*] https://privacybydesign.foundation/pdf/Backup-and-Recovery-of-IRMA-credentials-thesis.pdf - https://shorturl.at/qDT57
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
