Onderzoek TNO naar gebruik inlogmiddelen

Tijdens de klankbordgroep van het project toekomstbestendig maken UZI-middelen presenteerde TNO enkele voorlopige uitkomsten van hun onderzoek naar de beschikbaarheid en het gebruik van inlogmiddelen. Voor dit onderzoek werden zowel zorgverleners, leveranciers als experts geïnterviewd. Doel van dit onderzoek is om tot een groeimodel te komen voor sterkere authenticatie in de Nederlandse zorg met als voorwaarden dat het werkbaar is voor de zorgverlener en optimale zorg aan patiënt en cliënt blijvend kan worden verleend.

Betrouwbaarheidsniveau huidige authenticatiediensten

Er zijn drie betrouwbaarheidsniveaus voor authenticatie (eIDAS): laag, substantieel en hoog. De meeste geïnterviewden werken met het betrouwbaarheidsniveau laag en substantieel (*). Deze zijn relatief gebruiksvriendelijk. Bij een laag niveau werkt de zorgverlener met één factor authenticatie, vaak alleen een gebruikersnaam en wachtwoord. Dit wordt meestal gebruikt bij elektronische patiëntendossiers (EPD’s).
Bij tweefactor authenticatie logt men in met een wachtwoord in combinatie met een fysiek bezit, zoals een token of een app die telkens een eenmalig pincode genereert. Als de token voldoet aan CWA14169 eisen en via fysieke verschijning is uitgereikt kan deze methode het niveau hoog krijgen. Incidenteel wordt door gebrek aan andere voorzieningen privémail, Whatsapp en WeTransfer gebruikt en worden wachtwoorden en passen gedeeld met collega's. Zorgverleners werken vaak met verschillende authenticatiediensten, maar ook brief, geprinte informatie en fax worden nog veel gebruikt. Slechts een klein deel van de zorgverleners werkt met een inlogmiddel dat voldoet aan het hoogste betrouwbaarheidsniveau, zoals bijvoorbeeld de UZI-pas (mits gebruikt door één persoon). Deze optie ervaart de zorgverlener echter als minder gebruiksvriendelijk.

In de toekomst moeten alle inlogmiddelen voldoen aan het hoogste niveau. Voorkeuren van zorgverleners voor toekomstige authenticatie zijn:

  • Niet snel te verliezen/vergeten, bijvoorbeeld biometrie, telefoon of sleutelbos.
  • Snelle authenticatie om de interactie met de patiënt niet te verstoren.
  • Niet meerdere keren inloggen tijdens een consult met een patiënt.

*Disclaimer: Authenticatieniveaus zijn geschat op basis van de middelen. Zorgverleners hebben over het algemeen te weinig inzicht in het proces om dit te beoordelen.

Zorgverleners

Zorgverleners blijken over het algemeen weinig kennis te hebben over databeveiliging. Voorlichting en educatie over databeveiliging, veilig digitaal werken en authenticatie (vaststellen van iemands identiteit) is er nauwelijks. Hoewel deze onderwerpen in het algemeen als belangrijk worden ervaren, hebben ze geen prioriteit onder zorgverleners. Bij hen staat vooral het beroepsgeheim en de fysieke databeveiliging voor (bijvoorbeeld het op slot van ruimtes waar vertrouwelijke informatie ligt ). Op zorgorganisatieniveau is wel kennis over en betrokkenheid op databeveiliging in huis.

Leveranciers en experts

Leveranciers en experts: Leveranciers willen graag meedenken over toekomstige ontwikkelingen, maar wachten nu vooral de ontwikkelingen, vragen en behoeftes van klanten af. De Nederlandse markt kent omvangrijke wetgeving en een complex zorgdomein. Technisch verwachten de leveranciers geen problemen bij sterkere authenticatie.

Oplossingsrichting

VWS werkt hard aan een oplossingsrichting om met erkende inlogmiddelen in te loggen en medische gegevens te raadplegen en uit te wisselen. Om de wensen en behoeften van het zorgveld in kaart te brengen blijft VWS met hen in gesprek door middel van expertsessies en een klankbordgroep.