Exclusief toegankelijk Registreer voor toegang tot Zorgvisie.nl Lees meer

DigiD: Veilige toegang en algemeen geaccepteerd

Sinds 1 juni 2008 mogen ziekenhuizen, gezondheidscentra en zorgverzekeraars DigiD gebruiken om patiënten toegang te bieden tot hun webdiensten. Tot nu toe wordt er nog weinig gebruik gemaakt van deze mogelijkheid, terwijl de voordelen best groot zijn.
DigiD: Veilige toegang en algemeen geaccepteerd

Als het om webdiensten gaat, is het Flevoziekenhuis in Almere een absolute koploper in Nederland. Zo beschikt het ziekenhuis al sinds 2005 over @-pointment, een digitaal afsprakensysteem waarmee patiënten online afspraken kunnen maken voor een polibezoek. Patiënten kunnen tevens vanuit huis digitale vragenlijsten invullen, zodat de specialist tijdens het polibezoek meer tijd kan besteden aan het onderzoek zelf. Specialisten kunnen op hun beurt via internet uitslagen geven en behandelvoorstellen doen aan de patiënt.

Belastingdienst

Om gebruik te kunnen maken van deze diensten, moeten patiënten inloggen met DigiD, het digitale authenticatiesysteem waarmee online de identiteit van burgers wordt vastgesteld aan de hand van het burgerservicenummer. DigiD is vooral bekend van de Belastingdienst, maar wordt inmiddels gebruikt door tal van overheidsinstellingen en publieke dienstverleners. Nu patiëntendossiers gekoppeld zijn aan het burgerservicenummer, kan DigiD ook worden gebruikt in de zorg. Dit is sinds 1 juni 2008 wettelijk geregeld in de Wet gebruik burgerservicenummer in de zorg (Wbsn-z).

Het Flevoziekenhuis startte in 2007 een DigiD-pilot, in samenwerking met GBO.Overheid dat voor het beheer en de ontwikkeling van DigiD verantwoordelijk is. “Dat de Belastingdienst haar webdiensten ermee beveiligd, gaf ons een goed gevoel,” zegt gynaecoloog Bart van Aken, drijvende kracht achter de online diensten van het Flevoziekenhuis. DigiD wordt bovendien steeds meer gemeengoed. Op dit moment hebben circa 7 miljoen Nederlander al een DigiD-inlogcode in huis die ze voor steeds meer online diensten kunnen gebruiken. Dat is ook te merken aan het toenemend gebruik van de webdiensten van het Flevoziekenhuis. Momenteel gebruikt zo’n 19 procent van de patiënten van het Flevoziekenhuis @-pointment. Ze kunnen daarbij kiezen tussen inloggen met hun DigiD of inloggen met hun patiëntnummer, gebruikersnaam en wachtwoord. “Ruim 80 procent kiest voor de eerste optie,” zegt Van Aken.

ONVZ

Zorgverzekeraar ONVZ – sinds november aangesloten op DigiD - merkt eveneens dat klanten eerder voor DidiD kiezen, dan voor de oude toegangsmogelijkheid met gebruikersnaam en wachtwoord. Webmanager Arnoud Witsel: “Ik denk dat DigiD een zekere betrouwbaarheid uitstraalt. Het is een algemeen geaccepteerde manier om veilig toegang te krijgen tot bepaalde diensten.” De DigiD-toegang scheelt de zorgverzekeraar bovendien een hoop administratieve rompslomp. “Mensen kunnen bij ons kiezen op welke manier ze toegang willen krijgen tot MijnONVZ”, zegt Witsel.

“Wanneer ze een account aanvragen met gebruikersnaam en wachtwoord, sturen wij eerst een brief met een authenticatiecode. Daar gaan een paar dagen over heen. Met DigiD is de authenticatie gegarandeerd en hebben wij geen omkijken meer naar het toegangsbeheer. We hoeven geen nieuwe brieven meer te sturen als mensen hun inlogcodes kwijt zijnen klanten hebben direct toegang tot onze webdiensten. Het is voor iedereen veel makkelijker.”

GBO.Overheid

De betrouwbare uitstraling was ook voor gezondheidscentrum Lindenholt in Nijmegen, reden om voor DigiD te kiezen. Sinds november kunnen patiënten met hun DigiD toegang krijgen tot het patiëntenportaal. Hier kunnen ze afspraken maken met de huisarts, hun eigen medicatiedossier inzien en herhaalrecepten aanvragen.
Ook kunnen ze een e-consult aanvragen en persoonlijke meetgegevens aan de huisarts doorgeven. Toch loopt het volgens huiarts Herman Levelink nog niet echt storm. “We hebben er nog niet veel ruchtbaarheid aan gegeven. Aan de andere kant merk ik dat mensen nog niet zo gewend zijn aan DigiD. De meeste mensen gebruiken de code één keer per jaar bij het indienen van hun belastingaangifte en vergeten hem vervolgens. Een nieuwe DigiD aanvragen is toch weer een gedoe.”

Desondanks ziet Levelink veel voordelen. “Naarmate mensen meer gebruik gaan maken van DigiD wordt het natuurlijk makkelijker. En voor ons als praktijk is het handig dat de DigiD-toegang op afstand wordt beheerd door GBO.Overheid. Wij hoeven ons dus niet bezig te houden met toegangsbeheer. Als een patiënt problemen heeft met inloggen, mag GBO.Overheid het oplossen.”

Niet 100 procent

Maar is DigiD veilig genoeg voor de privacy-gevoelige informatie waarmee zorginstellingen werken? “Bij het verstrekken van een DigiD vinden een aantal controles plaats,” zegt Marije de Groot, woordvoerder van GBO.Overheid. “Zo moet de aanvrager tijdens het aanvraagproces persoonlijke gegevens invullen op basis waarvan een brief met activeringscode wordt gestuurd naar het adres waarmee hij in de gemeentelijke basisadministratie staat vermeld. Met die activeringscode en zijn gebruikersnaam kan de aanvrager DigiD activeren.” Toch biedt dit geen 100 procent zekerheid of degene aan de andere kant werkelijk is wie hij zegt dat hij is, erkent De Groot. “Voor de aanbieders van diensten is het belangrijk hiervan bewust te zijn en de diensten daarop aan te passen. Dit kan door extra controles in een proces in te bouwen. Denk bijvoorbeeld aan een bevestigingsbrief die per post wordt gestuurd, nadat online een wijziging is doorgevoerd. Een vergunningsaanvraag bij een gemeente bijvoorbeeld wordt veelal eerst nog schriftelijk bevestigd. Hierdoor kan een poging tot misbruik worden onderkend. Een andere mogelijkheid is bepaalde informatie niet online te laten zien of te kunnen laten wijzigen.”

Elektronische afspraken

Bart van Aken van het Flevoziekenhuis maakt zich weinig zorgen over de veiligheid. “Mensen kunnen niet bij de medische gegevens van iemand anders komen. Sterker nog, het is nu veiliger dan toen we alleen telefonisch werkten. Want hoe kun je iemand checken die telefonisch om medische gegevens vraagt?’ Wel loopt hij aan tegen het probleem dat ouders via DigiD geen elektronische afspraken kunnen maken voor hun kinderen omdat zij daarvoor niet gemachtigd zijn. Ook gezondheidscentrum Lindenholt mist die mogelijkheid. “Iedereen met een burgerservicenummer kan een DigiD aanvragen,” reageert Marije de Groot van GBO.Overheid. “DigiD kan vervolgens met een bepaalde zekerheid aangeven wie iemand online is. DigiD bepaalt echter niet of diegene ook gerechtigd is om toegang te krijgen tot de diensten waarvoor hij inlogt. Dat bepaalt de instelling. Een ziekenhuis zou voor kleine kinderen een registratie kunnen opzetten waarmee ouders met hun eigen DigiD toegang kunnen krijgen tot de gegevens van hun kinderen. Binnen de overheid wordt momenteel gewerkt aan een overheidsbrede machtigingsvoorziening, als onderdeel van DigiD, waarmee dit eenvoudiger kan worden geregeld. Deze is naar verwachting in 2010 gereed.”

Veiligheidsniveau’s DigiD

DigiD kent drie niveaus van zekerheid. Op het basisniveau krijgen burgers en bedrijven met een gebruikersnaam en wachtwoord toegang tot de diensten. Op het middenniveau moeten burgers - naast hun gebruikersnaam en wachtwoord - als extra controle een transactiecode invoeren. Die ontvangen zij per sms. Op het hoge niveau hebben burgers een elektronische Nederlandse Identiteitskaart met een PKI-overheidscertificaat nodig. Dit laatste niveau is er nog niet. De desbetreffende zorginstelling beslist zelf welk zekerheidsniveau gewenst is voor de diensten die zij aanbiedt. Bij de uitwisseling van privacygevoelige informatie, zoals het medicatiedossier, adviseert GBO.Overheid een hoger veiligheidsniveau. De implementatie van DigiD kan in vier weken afgerond zijn en er worden geen kosten doorberekend aan de organisaties die DigiD gebruiken voor hun diensten.

Dit artikel verscheen eerder in ICTzorg Magazine.

Mario Gibbels

2 reacties

  • no-profile-image

    A.L. Fransen

    @J.C. Helder: Dit is niet correct. Je DigiD/Wachtwoord typ je in bij DigiD. Als het klopt, stuurt DigiD vervolgens je BSN naar de instantie. Die kan op basis van dat BSN achterhalen wie je bent. Net als Ideal en Paypal, eigenlijk. Alleen sturen die betaalgegevens ipv BurgerServiceNummer.

  • no-profile-image

    J.C. Helder

    Dit begrip ik niet. Ik heb een DigiD, mar als ik dat bij meerdere instanties gebruik, is die DigiD bekend bij die instanties. Zij kunnen dus met mijn DigiD inloggen bij al die instanties en zo mijn gegevens achterhalen. Privacy?

Of registreer u om te kunnen reageren.

Zorgvisie is een uitgave van Bohn Stafleu van Loghum, onderdeel van Springer Media B.V.
Voorwaarden