Er kan tegenwoordig veel digitaal, ook als het om zorg en gezondheid gaat. Dat betekent dat alle zorgpartijen zorgvuldig met de persoonlijke gegevens van patiënten om moeten gaan.
Gegevens over gezondheid zijn per definitie privacygevoelig en voor de bescherming ervan worden extra hoge eisen gesteld. Daarom is de overheid betrokken bij maatregelen die digitale gegevensuitwisseling in de zorg mogelijk en veilig maken.
Onderstaand een overzicht van vragen die ons hebben bereikt over de toepassing van de Wet digitale overheid binnen het zorgveld. Voor nadere informatie over de wet zelf verwijzen we naar de informatie die hierover is gepubliceerd op digitaleoverheid.nl.
De routeringsdienst TVS is een voorziening onder de Wet digitale overheid (Wdo). De verantwoordelijkheid voor de routeringsvoorziening TVS ligt bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK). DICTU is de uitvoeringspartij die de routeringsdienst TVS heeft ontwikkeld en deze nu beheert.
Nee, dit wordt niet van partijen verwacht. Voor de Wet digitale overheid geldt een nog nader vast te stellen overgangstermijn. Het ministerie van VWS is nauw betrokken bij het vaststellen van deze overgangstermijnen en neemt daarbij de beschikbaarheid van de routeringsdienst TVS in acht.
Het ministerie van VWS verlangt niet van VIPP-partijen dat zij een aansluiting op DigiD realiseren voordat ze aangesloten kunnen worden op de routeringsdienst TVS. Het implementatieteam Digitale Toegang en de VIPP- partijen maken afspraken over hoe het aansluitproces eruit komt te zien, wanneer het kan starten en hoe lang het gaat duren.
De Autoririteit Persoonsgegevens stelt dat medische gegevens op het hoogst breed beschikbare betrouwbaarheidsniveau moeten worden afgeschermd. 2-factor authenticatie via app of sms valt onder het niveau laag en volstaat niet (meer).
Meer informatie over betrouwbaarheidsniveaus en erkende inlogmiddelen
De Wet digitale overheid stelt het verplicht om alle erkende inlogmiddelen te ontsluiten. Dat wil zeggen dat patiënten met elk erkend inlogmiddel moet kunnen inloggen. Na inwerkingtreding en de na de (nog te bepalen) overgangstermijn, zullen alle zorgaanbieders hieraan moeten voldoen.
Zorgaanbieders kunnen kiezen voor directe aansluitingen op elk van deze erkende inlogmiddelen. Het advies is echter om aan te sluiten op de routeringsvoorziening waarmee alle erkende inlogmiddelen in een keer beschikbaar zijn.
De Wet digitale overheid regelt dat publieke dienstverleners verplicht zijn om alleen erkende inlogmiddelen te gebruiken op het juiste betrouwbaarheidsniveau om toegang te geven tot hun online diensten. DigiD is het publieke middel onder de Wdo en is al beschikbaar. Op termijn worden mogelijk ook private inlogmiddelen erkend, als zij voldoen aan de (nog vast te stellen) criteria. Het gebruik van eigen inlogmiddelen is daarmee dan niet meer toegestaan.
Het gebruik van eIDAS is verplicht voor academisch ziekenhuizen en zorgverzekeraars. Voor andere partijen is het gebruik optioneel.
Op dit moment is eIDAS via de routeringsdienst TVS alleen beschikbaar voor academisch ziekenhuizen en zorgverzekeraars. Op termijn zal eIDAS via de routeringsdienst TVS ook beschikbaar komen voor andere partijen.
Het ministerie van Binnenlandse Zaken buigt zich momenteel over de criteria die gaan gelden voor private inlogmiddelen. Aan de hand daarvan kan een proces worden gestart voor het toetsen en erkennen van private inlogmiddelen.
Het gebruik van de routeringsdienst TVS is niet verplicht. Het gebruik van inlogmiddelen op het juiste betrouwbaarheidsniveau is dat al wel (de AVG is immers reeds van kracht en de AP kan hierop handhaven). Met het bekrachtigen van de Wdo wordt ook het gebruik van erkende inlogmiddelen verplicht. Het blijft altijd een keuze van de zorgaanbieder zelf of hij een aansluiting hierop via de TVS realiseert of kiest voor een directe aansluiting.
De Wet digitale overheid gaat niet meer wijzigen. Deze wordt ingevuld door onderliggende wet- en regelgeving (AMVB’s en ministeriële regelingen). Dit betekent dat het kader niet meer verandert: de zorg mag straks alleen nog maar erkende en toegewezen inlogmiddelen gebruiken. Wat precies verstaan wordt onder erkende inlogmiddelen wordt deels bepaald door de Europese verordening eIDAS en deels door nadere invulling van de Wdo zelf. Die laatste invulling is nog niet gereed. We weten dus nog niet precies welke middelen er straks toegelaten gaan worden. Wat wel zeker is, is dat het publieke inlogmiddel DigiD onder de Wdo.
DigiD is het publieke middel en zal onder de Wet digitale overheid verplicht worden voor zorginstellingen. Private inlogmiddelen moeten eerst erkend worden onder de Wet digitale overheid en zijn daarna ook verplicht. Andere inlogmiddelen zijn binnen de kaders van deze wet niet toegestaan. Dat betekent dat eventuele andere door de leverancier gebruikte inlogmiddelen niet volstaan.
Ja, zonder DigiD (of in de toekomst erkende inlogmiddelen) krijgt een patiënt geen digitale toegang meer tot de medische gegevens.
Voor zorgpartijen die aan de Wdo moeten voldoen gaat een overgangstermijn gelden. Echter, de betrouwbaarheidsniveaus van inloggen worden op dit moment al in de AVG vastgesteld. Medische gegevens vallen onder eIDAS betrouwbaarheidsniveau hoog. Er wordt gehandhaafd op het hoogst breed beschikbare betrouwbaarheidsniveau. Het advies is om nu minimaal betrouwbaarheidsniveau DigiD substantieel te hanteren.
Meer informatie over betrouwbaarheidsniveaus en erkende inlogmiddelen