Voor mijn gevoel halen Haga ziekenhuis, en gedeeltelijk ook AP, authenticatie en autorisatie door elkaar. Voor mijn gevoel zit het knelpunt in de autorisatie, in het Need-to-Know principe (er voor zorgen dat personeel bij de (gedeelten van) de dossiers kan die ze ook daadwerkelijk nodig hebben voor de behandeling dan wel de zorg, maar dan ook alleen die). Dat moet haast kunnen, medische instanties houden sowieso van moment tot moment bij wie een bepaalde persoon behandelt en waarvoor. De dossiers hebben dus in hun eigen informatie wat er nodig is om tot een goede, levende, autorisatiematrix te komen. Een zekere mate van fraude blijft mogelijk, maar dat is al een hele verbetering. De authenticatie lijkt niet zozeer gefaald te hebben. Een dergelijke pas heeft gewoonlijk een private key en certificaat, een sterke authenticatie. Je kan met een gecachede PIN nog steeds heel behoorlijk vaststellen wie bij een bepaald dossier is geweest. Wel kan je vraagtekens stellen bij de audit als 85 medewerkers (blijkbaar ...