BDO Nederland gebruikt cookies en trackingtechnologieën om het browser-gebruik op onze site te verbeteren, gepersonaliseerde content te tonen en traffic te analyseren. Door het gebruik van onze website, stemt u in met het gebruik van functionele cookies. Door op onderstaande button te klikken, stemt u in met analytische cookies. Lees meer over ons cookiebeleid en privacybeleid.
Artikel:

eIDAS beveiligingsniveau; veranderde regelgeving rondom authenticatie-eisen

28 maart 2019

De zorgsector is het afgelopen jaar druk bezig geweest met het inrichten van patiëntportalen. Het online beschikbaar stellen van medische gegevens wordt steeds gebruikelijker. De uitwisseling van gegevens tussen medische instanties wordt hiermee gerealiseerd, echter is het voor de patiënt belangrijk dat hij zelf de touwtjes in handen heeft. Veel zorginstellingen bieden patiënten nu al de mogelijkheid zelf in te loggen via een patiëntportaal om zo hun medische gegevens in te kunnen zien. Het Versnellingsprogramma Informatie-uitwisseling Patiënt en Professional (VIPP), een subsidieprogramma dat de informatie-wisseling tussen patiënt en professional stimuleert, heeft deze ontwikkeling in een stroomversnelling gebracht. Een belangrijke schakel voor beveiliging van de gegevens is authenticatie. De spelregels voor betrouwbare authenticatie wijzigen echter regelmatig. Voor zorgorganisaties is het zaak hier tijdig op te anticiperen. Zeker in relatie tot het VIPP subsidieprogramma en de gestelde eisen voor participatie binnen het programma. 

Wat is eIDAS?

Om internationale gegevensuitwisseling tussen publieke organisaties te vereenvoudigen heeft de Europese Unie de Europese eIDAS-verordering op 29 september 2018 in het leven geroepen. eIDAS staat voor ‘Electronic Identities And Trust Services’. Met eIDAS worden gelijkwaardige begrippen, betrouwbaarheidsniveaus en een onderlinge digitale infrastructuur voor alle Europese lidstaten afgedwongen. eIDAS wordt gezien als een betrouwbare online identiteitscheck. 

Sinds september 2018 moeten publieke organisaties en private organisaties met een publieke taak Europees binnen de digitale dienstverlening erkende inlogmiddelen accepteren binnen de digitale dienstverlening. Deze verplichting geldt onder andere voor organisaties die gebruik maken van DigiD en eHerkenning. Om toegang te krijgen tot patiëntportalen wordt meestal gekozen voor een DigiD aansluiting. Daarom is deze nieuwe wetgeving ook van toepassing op alle zorginstellingen die gebruik maken van patiëntportalen in combinatie met DigiD.

Betrouwbaarheidsniveaus 

Om de authenticatie van de patiënt zo veilig mogelijk te laten verlopen zijn de eIDAS beveiligingsniveaus voor authenticatiemiddelen vastgelegd. Binnen dit wettelijke kader zijn drie verschillende niveaus te onderscheiden: laag, substantieel en hoog. 
Met DigiD kan de patiënt nu met een persoonlijke gebruikersnaam en wachtwoord inloggen. Dit wordt gezien als het laagste beveiligingsniveau. Sinds de eIDAS-verordering van kracht is, volstaat deze vorm van authenticatie echter niet meer. Aangezien zorginstellingen met uiterst sensitieve gegevens werken, is een veilige manier van authenticatie van belang en wordt het hoogste beveiligingsniveau wettelijk afgedwongen (ofwel een two-factor authenticatie middels een app en ID kaart).

Helaas is de techniek nog niet ver genoeg ontwikkeld en worden de niveaus substantieel en hoog niet aangeboden. Hierdoor volstaat het laagste beveiligingsniveau nu nog. Om de authenticatie desondanks toch zo veilig mogelijk te maken is het raadzaam dat gebruikers inloggen met de DigiD-app of via een sms controle. 

Belang van betrouwbare authenticatie 

Het inloggen via de DigiD-app of via een sms controle, genaamd twee-staps-verificatie, is een vorm van multi-factor-authenticatie. Gedurende 2019 zullen ook andere manieren van multi-factor-authenticatie verder ontwikkeld worden om het beveiligingsniveau op te schalen naar substantieel of hoog. Aangezien wachtwoorden steeds makkelijker te achterhalen zijn is het van groot belang dat zorginstellingen overstappen naar deze methode van inloggen. Daarnaast is het de opmaat naar het gewenste authenticatie niveau hoog (two-factor met app en ID kart). 

VIPP-audit/DigiD-audit

Vanuit het VIPP wordt voor de modules – gedefinieerde doelstellingen binnen het programma - A1 en B1 het beveiligingsniveau substantieel voor authenticatie gevraagd, voor de modules A2 en B2 zelfs het hoogste niveau. Om te voldoen aan deze eisen wordt, totdat de beveiligingsniveaus substantieel en hoog beschikbaar zijn, verwacht dat zorginstellingen twee-staps-verificatie ingericht hebben. Wij adviseren u dit nu al in te regelen omdat VIPP B1 en B2 betrekking heeft op het gebruik van het patiëntportaal of PGO. Het gebruik wordt bepaald op basis van een percentage van patiënten welke zijn ingelogd na het bezoek aan de betreffende instelling. In de praktijk is de bereidheid om in te loggen lager als dit voor de gebruiker extra moeite kost. Tenslotte moet de gebruiker een app installeren of een mobiel nummer bij DigiD registreren. Echter is de beveiliging van gegevens middels two-factor authenticatie van groot belang en moet dus nu worden ingeregeld.  

Mocht u vragen hebben over DigiD, VIPP of informatiebeveiliging, neem dan gerust contact op met één van onze adviseurs.