Patiënt identificatie en authenticatie voor zorgportalen; de stand van zaken.
PATIENT GEZONDHEID 2.0 BEVEILIGING Datum
ID Nummer
11 november 2010
KA10044
Auteur Nictiz - Gé Klein Wolterink
Zorgportalen spelen een belangrijke rol op het gebied van zorginnovatie. Ze zijn voor zorgaanbieders en andere instellingen het middel om nieuwe producten en diensten beschikbaar stellen aan burgers en patiënten.
Samenvatting
Voorwaarde voor acceptatie is dat identificatie en authenticatie van de patiënten op een veilige en eenduidige manier geregeld worden. Toch is er vaak nog onduidelijkheid over de beste oplossing daarvoor, zowel bij de aanbieders van portalen en diensten als bij de gebruikers van deze zorgportalen.
Oplossingen zoals DigiD in een aantal varianten en alternatieve mogelijkheden zoals het gebruik van openID, bankpas en andere authenticatie middelen worden op een rij gezet. De belangrijkste praktische aspecten worden beschreven.
In dit kennisartikel bespreken we de stand van zaken rond dit thema. Het artikel biedt een overzicht met praktische aspecten en een duidelijke conclusie.
©Nictiz
Er wordt een aantal belangrijke aspecten rond identificatie en authenticatie toegelicht zoals Single-Sign-On (SSO), het belang van verschillende veiligheidsniveaus en het concept federatieve authenticatie.
De conclusie is dat voor identificatie het Burger Service Nummer (BSN) de logische keuze is. Voor authenticatie geldt dat DigiD SMS+ met face-toface controle door de zorgaanbieder een praktische en veilige oplossing is en een goed uitgangspunt vormt voor toekomstige ontwikkelingen.
Vraagstelling Het gebruik van portalen Webportalen worden ook op het gebied van gezondheid en zorg steeds meer gebruikt door allerlei instanties en voor allerlei diensten. Voor zorgaanbieders en –instellingen vormen portalen een krachtig middel om de patiënt centraal te stellen en de dienstverlening uit te breiden. Voor de patiënten geldt dat de inzet van portalen de mogelijkheid biedt om meer betrokken te zijn bij het zorgproces en daarover ook meer regie te nemen. Een portaal (van bijvoorbeeld een huisarts, een ziekenhuis of een regionale organisatie van samenwerkende zorgaanbieders) biedt toegang tot achterliggende informatie en diensten. Daarbij wordt gebruik gemaakt van Single-Sign-On (SSO): één keer inloggengeeft toegang tot alle achterliggende diensten.
Op dit moment worden er verschillende oplossingen voor identificatie en authenticatie gebruikt, is er veel onduidelijkheid over wat wel of niet veilig is en heeft de gebruiker geen eenduidige oplossing (en moet bijvoorbeeld verschillende gebruikersnamen en wachtwoorden onthouden).
Wat is de beste keuze? In dit artikel wordt een inventarisatie gemaakt van praktische oplossingen. Wat is de beste keuze op dit moment? Wat betekent dat voor toekomstige ontwikkelingen?
Uitwerking Nieuwe ontwikkelingen
Identificatie en authenticatie Voor een brede acceptatie van portalen is het regelen van veilige toegang een essentiële voorwaarde. Veilige toegang betekent in ieder geval veilige identificatie en authenticatie van de gebruiker van het portaal1. Identificatie houdt in "zeggen wie je bent" en authenticatie betekent "bewijzen dat je bent wie je zegt dat je bent".
1
Voor veilige toegang zullen betrokken partijen veel meer zaken moeten regelen rond verantwoordelijkheden, procedures maar ook bv. autorisatie: wat mag je als je eenmaal ingelogd bent. Die aspecten komen in dit artikel niet aan de orde.
2
Burgers (en patiënten) worden geconfronteerd met allerlei nieuwe initiatieven rond het gebruik van internet. Denk bijvoorbeeld aan de ontwikkelingen op het gebied van sociale netwerken. Ook op het gebied van diensten rond zorg en gezondheid zien we die ontwikkelingen. Maar waar we in geval van de sociale netwerken nog relatief gemakkelijk omgaan met het delen van onze persoonlijke informatie ligt dat bij de zorg en gezondheidsdiensten anders.
Veiligheidsniveaus Welk veiligheidsniveau wenselijk of noodzakelijk is, is afhankelijk van de soort informatie of diensten die ontsloten worden. Vergelijk bijvoorbeeld: publiek beschikbare informatie over bijwerkingen van medicijnen het maken van afspraken en bestellen van herhaalmedicatie het inzien van medische informatie uit het eigen dossier Het is belangrijk om dat onderscheid in veiligheidsniveau mee te nemen in het ontwerp van het portaal.
11 november 2010 | patiënt identificatie en authenticatie voor zorgportalen; stand van zaken | ID nummer: 10044
Identificatie op basis van BSN
Multi-factor authenticatie.
Nederland is in de unieke positie, in vergelijking met veel andere landen, dat er een nationale oplossing is voor identificatie ("wie ben je") van de patiënt, namelijk het Burger Service Nummer (BSN). Zorgaanbieders zijn verplicht om bij informatieuitwisseling met andere partijen gebruik te maken van het BSN. Het ligt dan ook voor de hand om voor identificatie van de patiënt uit te gaan van het BSN. De partij die BSN gebruikt moet wel zorgaanbieder zijn.
Om de betrouwbaarheid van de authenticatie te vergroten, is het mogelijk om verschillende authenticatie methodes met elkaar te combineren. Te denken valt aan het gebruik van SMS authenticatie in combinatie met een pincode. In een brief3 rond het EPD aan het Ministerie van VWS stelt het College Bescherming Persoonsgegevens (CBP) geen expliciete eisen aan het EPD authenticatiemiddel maar stelt dat het gebruik van “2-factor authenticatie” voor de hand ligt”.
Authenticatie
Federatieve authenticatie
De controle of de patiënt daadwerkelijk de persoon is die deze beweert te zijn, heet authenticatie. Er zijn diverse authenticatie-mechanismes die verschillende voor- en nadelen hebben. De mate van zekerheid waarmee authenticatie plaats vindt heet het authenticatieniveau. In de norm NEN 75122 worden drie authenticatieniveaus onderscheiden, zwak, matig en sterk, die gebruikt kunnen worden voor verschillende soorten informatie en veiligheidsniveaus. NEN 7512 stelt dat toegang tot medische informatie beveiligd moet worden met sterke authenticatie. In 2008 is op verzoek van het Ministerie van VWS een rapport opgesteld dat uitgebreid in gaat op de eisen wat betreft identificatie en authenticatie voor toegang van de zorgconsument tot een EPD [1].
Een belangrijke eigenschap van een portaal is dat het Single-Sign-On (SSO) toegang biedt tot meerdere diensten. Daarbij wordt veelal gebruik gemaakt van federatieve authenticatie: een aantal partijen maakt gezamenlijk afspraken over het identificeren en authenticeren van een gebruiker of patiënt.
Bij authenticatie zijn de volgende algemene mechanismes in gebruik die de authenticatie sterker of zwakker maken: Iets dat je weet (kennis). Bijvoorbeeld een wachtwoord of een pincode. Iets dat je bezit (een object dat gebruik wordt). Bijvoorbeeld smartcard of mobiele telefoon (SMS). Iets wat je bent (persoonlijke eigenschap). Bijvoorbeeld een vingerafdruk of irisscan.
Naast de portaal- en dienstenaanbieder (ziekenhuis, huisarts) en de patiënt is er in dat geval een derde partij, de zogenaamde identity provider die feitelijk de identificatie en authenticatie voor zijn rekening neemt: als een patiënt gebruik wil maken van het portaal en de achterliggende diensten wordt de identity provider gevraagd om de identificatie en authenticatie van de patiënt uit te voeren. Er ontstaat een zogenaamde "trusted" omgeving waarin meerdere portaal- en dienstenaanbieders gebruik maken van dezelfde identity provider.
2
3
NEN 7512: Medische informatica - Informatiebeveiliging in de zorg - Vertrouwensbasis voor gegevensuitwisseling
3
Zie de brief “Identificatie en authenticatie bij toegang patiënt tot het EPD” dd. 7 augustus 2008.
11 november 2010 | patiënt identificatie en authenticatie voor zorgportalen; stand van zaken | ID nummer: 10044
DigiD DigiD is een systeem voor federatieve authenticatie waarbij de overheid optreedt als de identity provider. DigiD gebruikt BSN als identificatie middel en kent verder een aantal niveaus met elk een eigen authenticatiemethode en een bijbehorend authenticatieniveau. DigID
Methode
Naam
Laag
Inlogcode: gebruikers-
DigiD
Zwak
(1)
naam, wachtwoord
Midden
Inlogcode + SMS op
DigiD SMS
Matig
(2)
mobiele telefoon
Hoog
Toekomst: elektroni-
eNIK
Sterk
(3)
sche identiteitskaart
niveau
Authenticatie niveau
Op dit moment worden de varianten DigiD laag (1) en DigiD midden (2) gebruikt voor diverse overheidsdiensten waarvan de belastingdienst de meest bekende is. Naast overheidsinstellingen mogen ook zorginstellingen inmiddels gebruik maken van DigiD als authenticatie middel. Dat sluit prima aan bij het gebruik van BSN binnen de instellingen voor identificatie van de patiënt. Toegang tot medische informatie moet met een sterk authenticatiemiddel beveiligd zijn. Dat komt overeen met niveau DigiD hoog (3). Daarvoor is in de toekomst een oplossing in de vorm van een elektronische Nederlandse Identiteitskaart (eNIK) voorzien. Deze kaart is te vergelijken met de UZI-pas die gebruikt wordt voor identificatie en authenticatie van zorgverleners. De ontwikkeling van de eNIK is vertraagd en op dit moment is niet te voorzien wanneer deze oplossing beschikbaar zal zijn.
deel van) de geheime code niet per post gebeurt maar face-to-face. Door de code persoonlijk en met controle op identiteit op te halen bij een daarvoor aangewezen loket vindt controle plaats. Inmiddels is dit traject in de wachtstand gezet vanwege gesignaleerde kwetsbaarheid van DigiD SMS door de mogelijkheid om t.z.t. de SMS code te kraken [2]. Voor toegang tot de landelijke infrastructuur is dat beoordeeld als een te groot risico naar de toekomst. Tot nader order is die kwetsbaarheid van de SMS code echter een risico en geen realiteit. Voor een minder grootschalige toepassing op lokale of regionale schaal blijft authenticatie op basis van DigiD SMS+ een uitstekende oplossing mits ingevoerd op basis van lokale face-to-face controle door de betrokken zorgaanbieder(s). Daarbij komt een patiënt die in het bezit is van een DigiD inlogcode langs bij een betrokken zorgaanbieder. Die verifieert de identiteit aan de hand van een identiteitsbewijs en controleert of het mobiele nummer dat is geregistreerd klopt doordat het systeem een SMS genereert naar dat nummer. Zie [1] in de literatuurlijst waar dit proces uitgebreid is beschreven.
Andere mogelijkheden Er zijn in principe ook andere mogelijkheden om patiënt identificatie en authenticatie te regelen. De belangrijkste daarvan worden hieronder op een rijtje gezet.
DigiD SMS+
OpenID OpenID is een voorbeeld van federatieve authenticatie zoals dat kan worden gebruikt voor een relatief laag veiligheidsniveau. Identificatie vindt plaats op basis van een gebruikersnaam. OpenID levert een authenticatieniveau op vergelijkbaar met DigiD laag (gebruiksnaam, wachtwoord). Gebruikers kunnen zelf hun identity provider kiezen. Dat is meestal een commerciële organisatie als Yahoo of Google.
Het Ministerie van VWS heeft eerder het initiatief genomen om een variant van DigiD midden (2) te ontwikkelen als zogenaamd EPD-DigiD met een niveau tussen midden (2) en hoog (3). De gekozen variant heet DigiD SMS+. De aanvulling op DigiD SMS is dat uitgifte van (een
Portaal aanbieder als identity provider De portaalaanbieder, b.v. een ziekenhuis of een regionale samenwerkingsorganisatie, kan als identity provider optreden: er moet een “trusted” relatie worden aangegaan tussen alle partijen die deel uit maken van
4
11 november 2010 | patiënt identificatie en authenticatie voor zorgportalen; stand van zaken | ID nummer: 10044
deze omgeving en de juiste authenticatiemiddelen moeten worden ingezet. Daarvoor zijn praktische mogelijkheden: er zijn marktpartijen die authenticatie middelen aanbieden (tokens, passen met certificaten etc.) die veiligheidsniveaus kunnen bieden die vergelijkbaar zijn met DigiD laag, midden en hoog. Met zo’n implementatie gaan kosten gepaard zoals het opzetten en onderhouden van een "trusted" omgeving, uitgifte van de middelen etc. Als er op verschillende plaatsen verschillende keuzes gemaakt worden zal dat het onderling uitwisselen van informatie compliceren. Gebruik van de bankpas De financiële wereld is het voorbeeld van een omgeving waar transacties via het internet en internet portalen inmiddels gemeengoed zijn. Er wordt gebruik gemaakt van 2-factor authenticatie: een bankpas met pincode en een eenmalig wachtwoord via "token" of "randomreader". Het beveiligingsniveau dat gerealiseerd wordt kan vergeleken worden met DigiD midden (2). De mogelijkheid om deze middelen ook in te zetten op het gebied van gezondheid en zorg lijkt voor de hand te liggen maar er zitten nogal wat haken en ogen aan. Zo vind er strikt genomen geen face-to-face controle plaats bij uitgifte van de authenticatiemiddelen. Verder moeten er afspraken met meerdere partijen (banken) worden gemaakt om een acceptabele dekking te garanderen. En er moet duidelijkheid komen over de aansprakelijkheidsvraag: wie is verantwoordelijk bij identiteitsfraude op het gebied van zorgdiensten bij het gebruik van bancaire middelen? Naar verwachting zijn deze aspecten niet op korte termijn op te lossen.
Conclusie Er zijn verschillende praktische oplossingen om in de praktijk patiënt identificatie en authenticatie te regelen. Het gebruik van BSN (in plaats van bijvoorbeeld een gebruiksnaam) is de voor de hand liggende keuze voor patiënt identificatie. Voor authenticatie biedt DigiD SMS+ met lokale faceto-face controle bij een deelnemende zorgaanbieder de beste oplossing. De belangrijkste argumenten zijn: DigiD sluit aan bij BSN als identificatiemiddel DigiD SMS+ met lokale face-to-face controle levert een authenticatie niveau tussen midden en sterk op Het is relatief simpel in te voeren op basis van bestaande middelen en voorzieningen Het is een goede basis voor de toekomst (bijvoorbeeld migratie naar de eNIK) Voor een veilige portaalomgeving moeten daarnaast ook diverse andere zaken goed geregeld worden zoals autorisatie en logging en aspecten van organisatorische en procesmatige aard.
eNIK De elektronisch Nederlandse Identificatiekaart (eNIK) is een oplossing die op langere termijn voorzien wordt en die een authenticatieniveau biedt vergelijkbaar met DigiD hoog. Deze oplossing naar verwachting voorlopig (de eerstkomende jaren) nog niet beschikbaar.
5
11 november 2010 | patiënt identificatie en authenticatie voor zorgportalen; stand van zaken | ID nummer: 10044
Literatuur [1] Beveiligingseisen ten aanzien van identificatie en authenticatie voor toegang zorgconsument tot het Elektronisch Patiëntendossier (EPD) door prof. dr. Bart Jacobs c.s. (2 december 2008).
[2] Document "Risicoanalyse EPD-DigiD, naar aanleiding van de A5/1 kwetsbaarheid in GSM" van de Radbout Universiteit Nijmegen en PricewaterhouseCoopers (30 juni 2010).
Voor een beschrijving van het proces voor DigiD SMS+ met lokale face-to-face controle wordt verwezen naar [1], paragraaf 4.2.2 “Face-to-face authenticatie van mobiel nummer (SMS+)” en wel variant 1 “Verificatie van mobiele telefoonnummer door middel van een applicatie”.
Nictiz is het landelijke expertisecentrum dat ontwikkeling van ICT in de zorg faciliteert. Met en voor de zorgsector voorziet Nictiz in mogelijkheden en randvoorwaarden voor elektronische informatieuitwisseling voor en rondom de patiënt. Wij doen dit ter bevordering van de kwaliteit en doelmatigheid in de gezondheidszorg. Nictiz, Oude Middenweg 55 2491 AC Den Haag Postbus 19121 2500 CC Den Haag T 070 317 3409 E
[email protected] www.nictiz.nl
6
11 november 2010 | patiënt identificatie en authenticatie voor zorgportalen; stand van zaken | ID nummer: 10044
