eID in de zorg

Betrouwbaarheidsniveau​

Zowel dienstverleners in de zorg als patiënten willen bij het gebruik van eHealth zeker zijn van de identiteit van de ander wanneer zij medische gegevens met elkaar uitwisselen. Hoe hoog deze zekerheid (het zogenaamde betrouwbaarheidsniveau) moet zijn hangt af van de aangeboden online dienst en het risico op misbruik. ​

Een inlogmethode die vaak wordt gebruikt is het opgeven van gebruikersnaam en wachtwoord (een-factor-authenticatie) eventueel in combinatie met sms (twee-factor-authenticatie). Volgens de standaarden van de Europese Verordening elektronische identiteiten (eIDAS) spreken we in dit geval van een laag betrouwbaarheidsniveau. In eIDAS wordt een onderscheid gemaakt tussen de niveaus ‘laag’, ‘substantieel’ en ‘hoog’. Dit verschil is voor de patiënt zowel zichtbaar (aanvraag- en uitgifteproces, gebruik van het middel) als onzichtbaar (versleuteling van de data).

Drie betrouwbaarheidsniveaus

In onderstaand overzicht staan de drie betrouwbaarheidsniveaus en de criteria die bij de niveaus horen. Een volledig overzicht is te vinden in de handreiking ‘Betrouwbaarheidsniveaus voor digitale dienstverlening​’ van Forum Standaardisatie.

Niveau

​Crite​ria

​​Praktijkvoorbeeld

​​Geen ​​Geen verwerking van het BSN of persoonsgegevens.​ Anoniem bezoeken van websites.
​​Laag ​​Verwerking BSN wat zelf door de burger is verstrekt, in combinatie met niet bijzondere persoonsgegevens. ​​Registreren gepersonaliseerde portalen (zonder verwerking van gegevens over de gezondheidssituatie van de patiënt).
​​Substantieel ​​Verwerking BSN in combinatie met bijzondere en/of financiële gegevens. ​Het maken of wijzigen van een afspraak met de zorgverlener.
​​Hoog ​Verwerking bijzondere en geheime persoonsgegevens. ​​Raadplegen van het medisch dossier, bijvoorbeeld het inzien van het huisartsdossier of medicatiegegevens.

 

Aan welk betrouwbaarheidsniveau moet de zorgsector voldoen?

In mei 2016 is door PrivacyCare en PBLQ onderzoek​ gedaan naar de uitwisseling van gegevens in de zorg tussen zorgaanbieders en patiënten (pdf). De onderzoekers kwamen, met inachtneming van de Wet Bescherming Persoonsgegevens en overige relevante kaders, tot de conclusie dat voor de uitwisseling van medische gegevens minimaal niveau ‘substantieel’ noodzakelijk is. Het hoogste niveau is vereist als het gaat om gegevens waarop het medisch beroepsgeheim van de zorgverlener rust.