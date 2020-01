Huisartsenpraktijken die patiënten online op een zorgportaal laten inloggen hoeven geen gebruik van DigiD te maken, zo heeft minister Knops van Binnenlandse Zaken laten weten. De minister reageerde op Kamervragen over een huisartsenpraktijk uit Uden die patiënten via de IRMA-app toegang tot een online zorgportaal geeft.

RMA staat voor 'I Reveal My Attributes' en is een soort van gepersonaliseerd paspoort dat op de telefoon van de gebruiker wordt opgeslagen. Gebruikers kunnen allerlei persoonlijke attributen aan de app toevoegen zoals adresgegevens, leeftijd of onderwijsidentiteit. Vervolgens is het mogelijk om met de IRMA-app op allerlei websites en apps in te loggen, zonder dat de gebruiker hiervoor een apart gebruikersprofiel hoeft aan te maken.

Verder zorgt IRMA ervoor dat websites alleen de echt noodzakelijke gegevens van de gebruiker krijgen. Met de app kan iemand bijvoorbeeld laten zien dat hij ouder is dan 18 jaar zonder dat de geboortedatum en andere persoonsinformatie zichtbaar zijn. Huisartsenpraktijk Medipark Uden geeft patiënten via de IRMA-app toegang tot een online zorgportaal waar herhaalrecepten zijn aan te vragen, gegevens zijn in te zien, afspraken zijn in te plannen en e-consulten zijn te sturen. Voordat patiënten op het portaal aan de slag kunnen moeten ze eerst de IRMA-app installeren en een bijbehorend account aanmaken.

CDA-Kamerlid Slootweg vroeg Knops of patiënten van de praktijk op basis van de huidige wetgeving eigenlijk alleen via DigiD mogen inloggen. Dat is niet het geval. "In de zorgsector is het, evenals in andere sectoren, verplicht een inlogniveau van passend betrouwbaarheidsniveau aan te bieden, afhankelijk van de gegevens die worden ontsloten. Bij gegevens die onder het medisch beroepsgeheim vallen is dat niveau "hoog". Bij het gebruik van DigiD zijn nu de niveaus "substantieel" en "hoog" nog niet beschikbaar", antwoordt de minister.

In afwachting van het breder beschikbaar komen van inlogmethoden met een passend hoog niveau heeft de Autoriteit Persoonsgegevens aangegeven dat authenticatie dient plaats te vinden met tenminste tweefactorauthenticatie. DigiD in combinatie met sms voldoet hieraan. Andere mogelijkheden worden echter niet uitgesloten, merkt Knops op. Zodra de Wet digitale overheid in werking treedt wordt het mogelijk om private inlogmiddelen toe te laten die een hoog betrouwbaarheidsniveau aanbieden.

Wetgeving

Slootweg wilde ook weten of lokale overheden en zorgaanbieders de wet overtreden wanneer ze burgers via de IRMA-app identificeren. Volgens Knops heeft alleen DigiD op dit moment een wettelijke basis om het BSN te verwerken. "Andere (private) inlogmiddelen kunnen deze wettelijk basis ook krijgen als de Wet digitale overheid van kracht wordt en zij als middel worden toegelaten", stelt de minister.

Knops voegt toe dat overheden een eigen verantwoordelijkheid hebben om adequate beveiliging van gegevens in te richten, waaronder de identificatie. "Welke mate van beveiliging zij moeten hanteren hangt af van de dienstverlening die wordt aangeboden en de gegevens die daarbij worden ontsloten. Of het gebruik van de IRMA-app rechtmatig is hangt daarom af van de dienstverlening die wordt ontsloten, de gegevens die daarbij worden ontsloten en het betrouwbaarheidsniveau dat IRMA beoogt te bieden."

De minister laat weten dat hij in het algemeen positief staat tegenover het gebruik van attribuut gebaseerde authenticatie. "Mits deze voldoet aan de Europese eisen aan privacy (AVG) en inlogmiddelen (eIDAS)." Daarnaast is er het aandachtspunt dat attributiediensten het mogelijk maken dat burgers laagdrempelig gegevens kunnen wisselen, ook met instanties die daartoe geen recht hebben, maar waarvan ze wel afhankelijk zijn.