Invloed nieuwe wetgeving op gebruiksvriendelijke authenticatiemiddelen

Zorg vraagt gebruiksgemak

Behalve hoogbetrouwbaar zijn de straks in DIAZ toegestane middelen ook gebruikersefficiënt. ‘WDO-goedgekeurde authenticatiemiddelen die breder binnen overheidsdiensten in gebruik zijn, vragen vaak meerdere handelingen van de gebruiker. Hoe hoger het betrouwbaarheidsniveau, hoe lastiger bruikbaar. Nu is dat voor een ondernemer die een enkele keer moet inloggen bij de Belastingdienst niet zo’n punt, maar wél voor een zorgverlener die twintig patiënten per dag ziet en elke keer het zorgproces moet onderbreken om zich te authenticeren. Dat kost tijd en die heeft men niet. Voor algemeen gebruikte inlogmethoden is daarom binnen de zorg weinig draagvlak. Dus bewegen zorgleveranciers richting DIAZ-goedgekeurde zorgspecifieke authenticatiemiddelen.’

ZORG-ID ontzorgt

Los van de huidige ontwikkelingen op het gebied van wetgeving is inloggen op een hoog betrouwbaarheidsniveau altijd al een eis geweest binnen de zorg. ‘Wettelijk of via uitspraken door de Autoriteit Persoonsgegevens. Met AORTA-LSP doen we het op dat punt heel goed. En met het authenticatieplatform ZORG-ID ontzorgen we leveranciers. De cryptografie in authenticatiemiddelen is een randvoorwaarde, dat is niet hun core business. Wij zorgen ervoor dat die zo veilig mogelijk is, zodat leveranciers zich kunnen focussen op het leveren van meerwaarde aan zorgverleners.’

Pieter gaat in op het vereenvoudigd gebruik van de UZI-pas (VGU). ‘We verplaatsen daarmee de authenticatiehandelingen van het zorgproces naar het administratieve proces: de zorgverlener doet eenmalig de werkproces verstorende handelingen en kan zich daarna blijvend en eenvoudig authenticeren, gedurende de geldigheidsduur van de UZI-pas. VGU wordt ingezet in combinatie met een eIDAS/WDO hoog middel (de UZI-pas) en voldoet aan de beveiligingsrichtlijnen NEN 7510, 7512, 7513. 

Toekomstige wetgeving vraagt attribuut-gebaseerde authenticatie

Wetgeving en techniek staan intussen niet stil. Zowel eIDAS als WDO worden herzien en krijgen een tweede versie. eIDAS-2 gaat uit van een meer privacyvriendelijke, attribuut-gebaseerde authenticatie, waarbij de UZI-attributen van een hoog betrouwbaarheidsniveau los van de middelenuitgever op het authenticatiemiddel staan. In Nederland werkt de overheid intussen aan een project Toekomstbestendige UZI. De NEN 7518 – waarnaar DIAZ verwijst – sorteert voor op al deze ontwikkelingen. In de korte toelichting op het wetsvoorstel staat: ‘Het voornemen is om inlogmiddelen goed te keuren die zijn erkend onder de WDO zoals DigiD, gecertifceerd zijn onder de NEN 7518 en die beschikken over een PKI-O-certifcaat. Deze nieuwe veilige inlogmiddelen gaan op termijn de huidige UZI-middelen vervangen.’

Pieter vertelt dat VZVZ al volop bezig is met de attribuut-gebaseerde techniek die eIDAS-2, WDO-2 en de NEN-7518 straks zullen eisen. ‘In ZORG-ID Smart passen we deze e-wallet-technologie al toe, het is een wallet-app. Iedereen is ermee bezig, het is de actuele stand van de techniek. Daar moeten we aan voldoen. Ook in het overheidsproject Toekomstbestendige UZI is VZVZ gesprekspartner. We denken samen na over de architectuur en straks moeten er testomgevingen worden gebouwd.’

Blijven praten

Met elkaar praten en blijven praten, dát is volgen Pieter van Gemeren de belangrijkste randvoorwaarde om binnen deze voortdurend schuivende wettelijke panelen in de snelle wereld van de techniek tot gedragen oplossingen te komen. 

‘De kosten, de veiligheid en de gebruikersvriendelijkheid - op die drie punten stellen we met elkaar hoge eisen. De Europese, Nederlandse en sectorale wetgeving aan de ene kant, de stand van de techniek aan de andere: het moet allemaal bij elkaar komen. En het is allemaal in ontwikkeling. We proberen er met onze productontwikkeling zo nauw mogelijk op aan te sluiten, zo flexibel mogelijk in mee te bewegen. Alleen als we blijvend met elkaar in gesprek zijn, zullen we de juiste balans vinden tussen veiligheid, kosten en gebruiksvriendelijkheid. Zorgverleners, beleidsmakers, privacyspecialisten, juristen, financiers, architecten, mensen met verstand van gebruiksvriendelijke systemen… iedereen moet proberen elkaars gezichtspunt te begrijpen. En we moeten ervoor waken dat een van de partijen het overwicht krijgt, want dan kom je niet tot betaalbare, werkbare én veilige oplossingen.’