Actueel

23 juni 2020

Geslaagde Proof of Concept van ‘attribuut-gebaseerde authenticatie’ voor PGO’s met het MedMij-label

In augustus 2019 is binnen het programma PROVES van VZVZ een Proof of Concept (PoC) gestart voor attribuut-gebaseerde authenticatie. Dit is authenticatie op basis van een eigenschap (‘attribuut’) van iemands identiteit, zoals naam, geboortedatum en geslacht. In de afgelopen periode hebben de betrokken leveranciers hard gewerkt aan een oplossing om personen op basis van attributen, die zijn opgeslagen in een app van de gebruiker, te kunnen authentiseren.

Geslaagde test

Medio mei is de eindtest geslaagd: vanuit een persoonlijke gezondheidsomgeving (PGO) zijn medische gegevens verzameld conform het MedMij-afsprakenstelsel met gebruik van attribuut-gebaseerde authenticatie. Er wordt nu gewerkt aan de eindrapportage met bevindingen.

Doelstellingen technische oplossing

De belangrijkste doelstellingen van de PoC waren het verbeteren van de gebruiksvriendelijkheid van de authenticatie en het verbeteren van de betrouwbaarheid van de authenticatie. De PoC is uitgevoerd door experts van de stichting MedMij, Drimpy, Ivido, Chipsoft, AET, VECOZO en VZVZ.

Oplossing vanuit gebruikersperspectief

De beproefde oplossing maakt het mogelijk dat een zorggebruiker met hetzelfde authenticatiemiddel kan inloggen bij zijn PGO en bij de eigen zorgaanbieders.

In de huidige situatie kan dat niet; er dient ingelogd te worden bij een PGO op een manier die bepaald is door de PGO (minimaal twee-factor authenticatie). Bij de zorgaanbieder dient apart geauthentiseerd te worden met DigiD. Het gebruik van twee verschillende authenticatiemiddelen is omslachtig en niet gebruiksvriendelijk voor de zorggebruiker.

Met deze ‘attribuut-gebaseerde authenticatie’ kan dat probleem worden opgelost.

De beproefde oplossing werkt als volgt:

Een zorggebruiker laadt eerst zijn digitale zorgidentiteit in een speciale app (ook wel attributen-wallet genoemd). Die digitale zorgidentiteit bestaat uit een verzameling identificerende attributen. Het laden van de attributen in de app doet de zorggebruiker bij de balie van de zorgaanbieder. De verzameling attributen bevat, naast de naamgegevens en de geboortedatum, ook een zogeheten zorgcode. Alle zorgaanbieders, waar de zorggebruiker zich wil authentiseren, kunnen deze zorgcode transformeren tot een leesbaar BSN. Daarmee is gebruik van de zorgcode dus niet gebonden aan de zorgaanbieder die de zorgcode heeft uitgegeven.

 

Als een zorggebruiker inlogt in zijn PGO, dan verkrijgt de PGO de naamgegevens en de geboortedatum van de zorggebruiker. Wanneer een zorggebruiker via zijn PGO gegevens wil uitwisselen met een zorgaanbieder, dan stuurt de PGO de verkregen naamgegevens en geboortedatum door naar de zorgaanbieder. Wanneer de zorggebruiker vervolgens ook inlogt bij de zorgaanbieder, dan verkrijgt de zorgaanbieder naast opnieuw de naamgegevens en de geboortedatum ook de zorgcode van de zorggebruiker. Op deze manier wordt zeker gesteld dat de gebruiker die is ingelogd in de PGO dezelfde is als de gebruiker die is ingelogd bij de zorgaanbieder.

Daarnaast kan de zorgaanbieder de combinatie van naamgegevens, geboortedatum en zorgcode tijdelijk opslaan. Hierdoor hoeft de zorggebruiker bij een volgende uitwisseling met deze zorgaanbieder niet opnieuw te worden geauthentiseerd. De zorgaanbieder kan dan immers op basis van de -van de PGO verkregen- naamgegevens en geboortedatum, zelfstandig de juiste zorgcode opzoeken.

Eindrapportage

Op dit moment worden alle opgedane bevindingen geïnventariseerd en opgenomen in de eindrapportage. Deze bevindingen hebben betrekking op de beproefde oplossing en op de impact op MedMij. De eindrapportage zal naar verwachting in juli worden gepubliceerd. Daarnaast wordt er onderzocht of de oplossing beproefd kan worden met eindgebruikers in een pilot.