Federatief Identity Management in de Zorg

Federatief Identity Management in de Zorg Thema middag EZDA Jaap Kuipers Id Network Amstelveen 31 januari 2013

Identiteit: wie is iemand administratieve identiteit: naam, nummer, code Verpleegster

Fiscaal adviseur, accountant

Wijkverpleegkundige, TBC inspectie Manueel therapeut

Accountant

Orthopeed

Onderwijzeres

Tropen Arts

Verpleegkundige

Fysiotherapeut

Adviseur identity management

Arts

Accountant

Verpleegkundige

Controller

Bewegingsleer, student geneeskunde, verpleeghuisarts, vroedvrouw, orhopedisch schoenmaker, vroedvrouw, student geneeskunde

Administratief: BIG rol, nummer, BSN, klantnummer, geboortedatum+naam, http://www.bigregister.nl/?bignummer=4 9020710202

Achtergrond • • • • • • •

meer dan 10 jaar identity management medeverantwoordelijk voor SURFfederatie betrokken bij DigiD en eHerkenning lid NEN-7521 toegang patiënten data lid OASIS technical committee Trust Elevation Europees en internationaal verbonden inititatiefnemer Platform identity management Nederland www.pimn.nl

Agenda deel 1 • Wat is federatief identity management? • Waarom – elektronische sleutelbos, gemak, veiligheid

• Voorbeelden – Onderwijs (SURFnet, Kennisnet) – Overheid (DigiD, eHerkenning)

• Voordelen • Business case

Agenda deel 2 • Voorbeeld – VECOZO single signon – eHerkenning

• Techniek – protocol

Agenda deel 3 • Architectuur • Stip op de horizon • Mogelijke pilot

Identity management • Identiteit: wie iemand is, hoe iemand administratief bekend is – namen, klantnummers, BSN, BIG-nummer

• Identiteiten beheer – beheren: onstaan, uitreiken, gebruiken,blokkeren, vrijgeven, archiveren, stoppen

• Digitale identiteit – – – –

koppeling van identiteit aan persoon (of apparaat) digitaal: userid (deel van een naam, nummer, emailadres) identiteit drager: pasje, bestandje, in chip, in telefoon, … beveiligd met: wachtwoord, pincode, biometrie, …

Wat is Federatief? • Gebruik identiteit binnen één organisatie (micro niveau, niet federatief) • Gebruik identiteit bij verschillende organisaties • Federatief: afspraak over hergebruik • Federatief: zoals bij reizen en paspoorten, geldautomaten, mobiele telefoons

Federatief inloggen bij een bank • Je hoeft geen rekening (account) te openen bij een andere bank om geld op te kunnen nemen • De banken moeten meedoen aan de federatie. • De “thuis”bank controleert de PINcode en geeft een OK aan de andere bank

Mobiel bellen • Telefoonmaatschappijen laten derden toe op hun netwerk – wie ben je? – waar kom je vandaan? – identiteitscontrole

• Roaming – bellen in het buitenland – afrekenen in binnenland – onderlinge verrekening

Waarom? • voorkomen digitale sleutelbos • hetzelfde password overal gebruiken is niet veilig – het anti-password probleem

• security calculator is duur • inloggen als losse functie, – aparte bouwsteen – iemand anders kan het inloggen voor je regelen

Ontwikkeling van de mogelijkheden A: afdelingsgewijs (elke afdeling beheert eigen identiteiten, is achterhaald) B: Zorginstelling (gecentraliseerd, één identiteit voor de hele organisatie) C: Een doorgeefluik (federatie) D: Confederatie (bijvoorbeeld 2 federaties onderling verbonden)

Bouwstenen Federatie • Techniek en afspraken – Connectis behandelt de techniek

• • • • • • • •

Strategisch bestuur (wie mogen meedoen) Operationeel beheer: planning nieuwe software Juridische afspraken en contracten Meedoen: wie, begin, einde Beveiliging: voorschriften en audit, zaken op orde? Kostenverdeling: aansluitkosten, abonnement Communicatie, voorlichting, helpdesk Techniek: definitie van gegevens (nurse, verpleegkundige, zr-B) in een gegevens schema

voorbeeld Kennisnet federatie • YouTube filmpje over Kennisnet federatie als inleiding • http://www.youtube.com/watch?v=Za5FhIGej48

• • • •

groot aantal scholen, veel diensten (N:M) doorgeven van attributen, rollen is mogelijk gebruiksgemak is belangrijk de ontwikkeling en groei kost jaren

voorbeeld SURFfederatie • YouTube filmpje legt uit hoe het werkt • http://www.youtube.com/watch?v=UF8lYgOYkKA

• Van studentenchipkaart in 1996 naar SURFfederatie in 2007 naar SURFconext • al in 2005 inloggen met bankpas bij LUMC • in 2012 opgenomen in SURFconext

Federatie geeft attributen door

DigiD • 600 elektronische diensten (1:M) • 9 mln gebruikers • Burger mag DigiD gebruiken in groot deel van gezondheidszorg • Voorbeeld – MijnOverheid.nl portaal – eenmalig inloggen – machtigen mogelijk

Social Sign-on

Hybride inlogscherm

Meer inlog mogelijkheden bieden • Bied verschillende mogelijkheden om in te loggen • Sluit aan bij wat consumenten nu normaal gaan vinden • Welkomst pagina voor zorgverlener en patient • Let op eenduidige layout in federatie

• Voordeel – gemak – groeipad naar nieuwe situatie

Betrouwbaarheidsniveaus

e-Identiteiten met verschillende niveaus

Voordelen federatief id management voor de Zorg Gebruiksgemak Betere beveiliging mogelijk Er is veel, voldoende ervaring in Nederland Er zijn producten op de markt EZDA kan een platform bieden

Attentiepunten: Intern zaken op orde brengen (goede eigen gebruikers administratie) Kleine instellingen helpen Meer jaren geduld, groeipad. Leveranciers van diensten voorlichten.

Businesscase Makkelijke argumenten • gebruiksgemak • tijd besparing • besparen op helpdesk • meers token is te duur • betere beveiliging • inspectie eist voldoen aan regelgeving

Lastige aspecten • kostenverdeling • de kosten van het doorberekenen zelf • een andere afdeling, organisatie heeft het voordeel • kosten worden zichtbaar

Geen goede voorbeelden van kwantificering en tarieven. Wel kosten informatie. SURFnet wilde tarief, maar kosten zijn in de overhead gebleven. Overheid neemt de kosten centraal, DigiD is gratis voor burger. Mogelijk: gebruiker betaalt staffel, dienstverlener betaalt abonnement

Deel 2 Connectis • presentatie van Connectis • VECOZO • eHerkenning voor bedrijven • machtigingenregister

Deel 3 Architectuur en toekomst • Architectuur Martijn Kaag • Tijdlijn Jaap Kuipers • Discussie

Tijdlijn, stip op de horizon 2013

2014

2015

2016 2017

proef

Eerste produktie

Federatie beschikbaar

80%

- stip -

Jong volwassen status, het is vanzelfsprekend

 zorgverleners kunnen gemakkelijk en veilig toegang krijgen tot systemen binnen en buiten de organisatie  ondersteuning van diverse samenwerkingsverbanden  kosten zijn uiteindelijk gedaald, er zijn nieuwe mogelijkheden bij gekomen • gebruikers zijn goed geregisteerd, tijdige aan- en afmelding van instroom en vertrek, goed verantwoording af te leggen • samenwerking voldoet aan beveilgings eisen en ontvangt periodiek goedkeuring, systeem is robuust

Enkele begrippen • user-id, password • single log-on, single signon • hybride sign-on • social sign-on • account linking • provisioning, deprovisioning • tokens • broker • autorisatie

• 2 factor authenticatie • identiteitsverstrekker (IdP) • betrouwbaarheidsniveau • NEN-7510 beveiliging • authenticatie • externalisatie van authenticatie • certificaat (soft, hard) • SAML • Oauth, OpenID connect

Hybride inlogscherm

Keuzevrijheid

Patiënt en Zorgverlener op één scherm

Single Sign-on

Vragen? • Platform Identity Management Nederland deelt kennis over identity manangement, onder andere voor de Zorg. • PIMN organiseert netwerkbijeenkomsten en brengt een nieuwsbrief uit. • Deelname door aanmelding via de website www.pimn.nl • Documentatie is beschikbaar voor de deelnemers. • Momenteel circa 1000 deelnemers. • Voor vragen: Jaap Kuipers ([email protected])