DigiD kan veiliger, ook in de zorg

[Exclusief] Het online-identificatiesysteem DigiD komt eind 2013 in het nieuws als blijkt dat criminelen DigiD-gegevens van 150 burgers hebben onderschept. De daders konden gegevens van slachtoffers wijzigen om uitkeringen en toeslagen op hun eigen rekening te laten storten. Zorgorganisaties maken ook gebruik van het DigiD. Is het veilig genoeg?
DigiD kan veiliger
Foto: ANP - Valerie Kuypers

Nictiz, het Nederlandse expertisecentrum op het gebied van ict in de zorg en e-health, laat weten geen signalen te hebben ontvangen van zorginstellingen over problemen of afname in vertrouwen in DigiD. ‘De kracht van het DigiD is nog geen 100 procent, omdat bij de uitgifte het DigiD naar het huisadres wordt gestuurd dat bekend is bij de gemeente’, vertelt Johan Krijgsman, consultant Nictiz. ‘Om in de zorg de betrouwbaarheid te verhogen, zouden patiënten eigenlijk altijd face-to-face de inloggegevens moeten afhalen bij het ziekenhuis en zich identificeren met een paspoort. Op dat moment heb je een hogere zekerheid dat het de patiënt zelf is die het portaal gebruikt.’

Andere uitgifte

Ook minister Ronald Plasterk van Binnenlandse Zaken ziet de problemen met de verspreiding van codes per post. Hij laat onderzoeken welke maatregelen er genomen kunnen worden om de uitgifte van DigiD’s veiliger te maken. Daarbij denkt de minister aan het niet meer versturen van activatiecodes aan mensen die in gebieden wonen waar er een verhoogd risico is op fraude.

DigiD in de zorg

Op de website van DigiD staan ruim dertig zorgorganisaties vermeld die werken met DigiD. Zij kiezen doorgaans voor DigiD omdat het een door de overheid uitgegeven authenticatiemiddel is dat breed en kosteloos beschikbaar is. Het beheer ligt voornamelijk in handen van de overheid, waardoor de organisaties zelf minder hoeven te regelen. Voor patiënten betekent het dat zij niet bij elke zorgverlener worden geconfronteerd met een ander systeem en/of middelen. Daarnaast kennen zij het systeem al van verschillende overheidsinstanties, zoals de belastingdienst. Hedde van der Lugt, manager standaarden en kwaliteit bij het Nictiz, benadrukt dat het DigiD, mits goed toegepast, nog steeds een van de meest veilige systemen is. ‘Bovendien is voor DigiD geen aanvullende apparatuur nodig, zoals een paslezer. Ander voordeel is dat DigiD gekoppeld is aan een burgerservicenummer, dat bij het delen van gegevens in de zorg altijd moet worden gebruikt.’

Verificatie in het ziekenhuis

Om toegang te krijgen tot het patiëntportaal van het Radboudumc moeten patiënten inloggen met een gebruikersnaam, wachtwoord en code die zij via sms toegestuurd krijgen. Daarnaast checkt het umc of de patiënt een geverifieerd BSN-nummer heeft. De patiënt wordt gevraagd met een geldig idententiteitsbewijs naar het ziekenhuis te komen, om te controleren of het BSN daadwerkelijk bij de patiënt hoort. ‘DigiD op de wijze waarop wij het nu inzetten voldoet aan de vigerende normen op dat gebied, waaronder de handreiking patiëntauthenticatie van het Nictiz’, vertelt een woordvoerder van het ziekenhuis. Ze vertelt dat het ziekenhuis tot nu toe goede ervaringen heeft met het inloggen via DigiD. ‘Sommige patiënten ervaren het inloggen met DigiD met sms als omslachtig, maar een aantal reageert ook positief op het veiligheidsniveau dat we hiermee nastreven.’

Wanneer er veiligheidsproblemen dreigen met het DigiD en het portaal gevaar loopt, wordt het ziekenhuis daarvan op de hoogte gebracht. ‘Het Radboudumc heeft via de ISAC (Information Sharing and Analysis Center) een connectie met het Nationaal Cyber Security Centrum (NCSC). Via die lijn krijgen we relevante informatie.’

Geen sms-authenticatie

Isala in Zwolle werkt met DigiD zonder sms-authenticatie voor het patiëntenportaal. Het ziekenhuis heeft voor DigiD gekozen vanwege het gemak en de hoge veiligheid. Alexander van Rossem, manager beleid en strategie ict bij Isala: ‘DigiD is een standaard en daardoor eenvoudiger in te voeren. Daarnaast wordt het gebruikt door verschillende overheidsdiensten waardoor we ervan uit moeten kunnen gaan dat het veilig genoeg is. En het werkt ook goed. We hebben geen klachten en het systeem ligt er zelden uit. In december hebben we nog een DigiD-assessment gedaan van het beheerbedrijf Logius om het systeem te testen. We haalden 27 van de 28 normen en werken aan het laatste punt. We hebben erg veel geleerd van deze test en weten nu hoe wij ervoor staan. Aan de andere kant hebben we geen grip op de DigiD-authenticatie zelf omdat we dat niet beheren. Problemen, zoals in Amsterdam, zorgen wel voor vragen hoe goed het systeem werkt. Maar tot dusver hebben we zelf niet ontdekt of gehoord dat het systeem onveilig is.’

eID wordt opvolger

In 2015 moet er een nieuw online-identificatiesysteem komen, als opvolger van DigiD. Het nieuwe systeem (eID) moet helpen tegen cybercrime en identiteitsfraude, omdat beter kan worden vastgesteld of een persoon ook echt is wie hij zegt te zijn. Daarnaast maakt eID het mogelijk dat organisaties online de leeftijd van iemand kunnen controleren.

Handreiking patiëntauthenticatie

Het Nictiz presenteerde in september 2013 een handreiking waarin staat hoe de authenticatie voor patiëntportalen geregeld moet worden. De handreiking is verkrijgbaar op de website van het Nictiz.

Geef je reactie

Om te kunnen reageren moet je ingelogd zijn. Heb je nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.