Beantwoording Kamervragen over gebruik IRMA-app in huisartsenpost

07-01-2020

Minister Knops beantwoordt vragen over het bericht dat de IRMA-app wordt gebruikt in een huisartsenpost.

Vraag 1
Heeft u kennisgenomen van het bericht 'Medipark Uden gaat live met HiX'?(1)

Antwoord 1
Ja.

Vraag 2
Klopt het bericht dat patiënten van Medipark Uden via het geïntegreerde online Zorgportaal eenvoudig en veilig hun herhaalmedicatie kunnen aanvragen op basis van de actuele medicatie van de patiënt?

Antwoord 2
Het klopt dat patiënten van Medipark Uden via het online Zorgportaal hun herhaalmedicatie kunnen aanvragen.

Vraag 3
Klopt het dat de patiënten van Medipark Uden dit doen door in te loggen via I Reveal My Attributes (IRMA) op het online portaal?

Antwoord 3
Ja.

Vraag 4
Klopt het dat IRMA een applicatie is die patiënten in staat stelt om zelf online aan te geven welke gegevens zij wel en niet willen delen, een methode die de privacy beschermt door 'privacy by design'?

Antwoord 4
Volgens de informatie van IRMA houdt het ontwerp van de IRMA app rekening met privacy met een focus op dataminimalisatie, een van de privacybeginselen zoals opgenomen in de Algemene Verordening Gegevensbescherming.

Vraag 5
Klopt het dat in de meest recente nationale en Europese wetgeving 'privacy by design' wordt vereist voor nieuwe ICT-systemen?

Antwoord 5
Ja.

Vraag 6
Is het juist dat Medipark Uden te horen heeft gekregen dat gebruik van IRMA in strijd is met artikel 87 van de Algemene Verordening Gegevensbescherming (AVG), artikel 46 van de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) en de wet Elektronisch Berichtenverkeer (wet EBV)?

Antwoord 6
Nee, er is navraag gedaan bij Medipark Uden en zij heeft aangegeven niet hierover geïnformeerd te zijn.

Vraag 7
Klopt het dat op basis van de huidige wetgeving patiënten van Medipark Uden eigenlijk alleen via DigiD mogen inloggen?

Antwoord 7
Nee. In de zorgsector is het, evenals in andere sectoren, verplicht een inlogniveau van passend betrouwbaarheidsniveau aan te bieden, afhankelijk van de gegevens die worden ontsloten. Bij gegevens die onder het medisch beroepsgeheim vallen is dat niveau “hoog”. Bij het gebruik van DigiD zijn nu de niveaus “substantieel” en “hoog” nog niet beschikbaar. De Autoriteit Persoonsgegevens heeft bij brief van 4 oktober 2018 (kenmerk: z2018- 17511) gereageerd op vragen hieromtrent van VWS. De AP heeft geantwoord dat authenticatie dient plaats te vinden met ten minste tweefactorauthenticatie, in afwachting van het breder beschikbaar komen van authenticatiemethoden met een passend hoog niveau. Hieraan voldoet onder andere DigiD in combinatie met sms. Andere mogelijkheden worden echter niet uitgesloten. Zodra de Wet digitale overheid in werking treedt wordt het mogelijk om private inlogmiddelen toe te laten die een hoog betrouwbaarheidsniveau aanbieden.

Vraag 8
Klopt het dat wanneer Medipark Uden DigiD zou gebruiken voor elektronische identificatie, zij 14 eurocent zou moeten betalen voor elke succesvolle inlog?(2)

Antwoord 8
In 2017 heeft de ministerraad besloten dat vanaf 2018 alle kosten voor beheer en exploitatie van DigiD worden doorbelast aan dienstverleners die zijn aangesloten op DigiD. Deze kosten worden dus niet aan burgers doorbelast. Voor 2019 is het bedrag door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties vastgesteld op €0,117 per succesvolle inlog, excl. BTW. Dit bedrag wordt ieder jaar opnieuw vastgesteld voor het daaropvolgende jaar. De prijs is afhankelijk van de kosten voor de doorontwikkeling van DigiD en de onderliggende infrastructuur. Overigens is het zo dat de minister van Volksgezondheid, Welzijn en Sport de kosten voor het gebruik van DigiD in de zorg vergoedt. Medipark Uden hoeft daarom niet per succesvolle inlogpoging te betalen.

Vraag 9
Klopt het dat deze 14 eurocent per inlog gaan naar het bedrijf Logius, dat dan de beheerder is van de gegevens van de burger?

Antwoord 9
Ja. Logius brengt het werkelijke gebruik in rekening bij de dienstverlener die gebruikmaakt van DigiD (in dit geval het ministerie van VWS). Ik benadruk dat Logius geen bedrijf is, maar een baten-lastendienst die onderdeel is van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties, en onder andere DigiD beheert. Logius verwerkt voor DigiD enkel gegevens van de burger die nodig zijn voor het gebruik van DigiD. Voor een volledig overzicht verwijs ik naar het Besluit verwerking persoonsgegevens digitale infrastructuur en de privacyverklaring van DigiD (zie https://www.digid.nl/wat-is-digid/privacy).

Vraag 10
Klopt het dat de AVG, de UAVG en de wet EBV alleen toestemming verlenen aan DigiD omdat de firma Logius, als beheerder van de gegevens van de burger, als enige toestemming heeft om Burger Service Nummers (BSN) van burgers te verwerken?

Antwoord 10
De verwerking van het BSN vereist een wettelijke basis. Het BSN mag verwerkt worden door overheidsinstanties voor het uitvoeren van hun publiekrechtelijke taak. Organisaties buiten de overheid mogen het BSN verwerken als dat wettelijk is bepaald. Denk in dit geval aan pensioenfondsen en zorgverleners. In de wet EBV is geregeld dat de minister van BZK persoonsgegevens, waaronder het BSN, verwerkt voor de werking van DigiD. Op dit moment is het zo dat DigiD het enige publieke elektronische identificatiemiddel is en daarmee ook het enige middel waarbij werking van het BSN is toegestaan. Het wetsvoorstel digitale overheid dat nu in behandeling is, beoogt ook andere (private) inlogmiddelen toe te laten, waarbij – ten behoeve van het inloggen bij de overheid– het BSN wordt verwerkt.

Vraag 11
Overtreden lokale overheden of - zoals in het geval van Medipark - zorgaanbieders de wet wanneer een burger zich middels de IRMA-app identificeert?

Antwoord 11
Op dit moment heeft alleen DigiD een wettelijke basis om het BSN te verwerken. Andere (private) inlogmiddelen kunnen deze wettelijk basis ook krijgen als de Wet digitale overheid van kracht wordt en zij als middel worden toegelaten. In het antwoord op vraag 7 gaf ik aan dat de Autoriteit Persoonsgegevens toeziet op het passend beveiligen van gegevens. De Autoriteit Persoonsgegevens heeft IRMA nog niet uitgesloten. Daarnaast geldt dat overheden een eigen verantwoordelijkheid hebben om adequate beveiliging van gegevens in te richten, waaronder de identificatie. Welke mate van beveiliging zij moeten hanteren hangt af van de dienstverlening die wordt aangeboden en de gegevens die daarbij worden ontsloten. Of het gebruik van de IRMA-app rechtmatig is hangt daarom af van de dienstverlening die wordt ontsloten, de gegevens die daarbij worden ontsloten en het betrouwbaarheidsniveau dat IRMA beoogt te bieden.

Vraag 12
Kunt u uitleggen op welke wijze de stichting achter IRMA het BSN verwerkt?

Antwoord 12
Zover mij bekend heeft de stichting dit als volgt ingericht. Het BSN wordt, via de inlog met DigiD, door de gemeente verwerkt bij het ophalen van de gegevens uit de BRP. Vervolgens worden het BSN en de overige gegevens uit de BRP in de IRMA app geplaatst. De gebruiker van de IRMA app kan deze gegevens, waaronder het BSN, onder zijn eigen verantwoordelijkheid verstrekken aan derden.

Vraag 13
Wat is uw opvatting over attribuut gebaseerde authenticatie als wijze van elektronische identificatie?

Antwoord 13
Ik sta in zijn algemeenheid positief tegenover het gebruik van attribuut gebaseerde authenticatie, mits deze voldoet aan de Europese eisen aan privacy (AVG) en inlogmiddelen (eIDAS).

Vooropgesteld merk ik op dat bij (elektronische) identificatie het erom gaat om iemands identiteit vast te stellen. Dit kan via een WID maar langs elektronische weg ook bijvoorbeeld via gezichtsherkenning in combinatie met een ander attribuut. Bij authenticatie wordt gecontroleerd of iemand is wie hij zegt dat hij is. Als we het hebben over authenticatie als wijze van elektronische identificatie, gaat het om de stap nadat een gebruiker zich heeft geïdentificeerd middels een bewijs van identiteit. Of de authenticatie kan plaats vinden met een attribuut zal afhangen van de vraag of de dienstverlener kan vertrouwen op de juistheid en actualiteit van de attributen en dat deze daadwerkelijk toebehoren aan de betrokken burger. Hoe hoger het vereiste betrouwbaarheidsniveau bij het inloggen, hoe meer eisen aan dit vertrouwen zullen worden gesteld. Ik kijk met interesse uit naar middelen die aan deze eisen voldoen.

Vraag 14
Kunt u voorbeelden geven van een app die een rechtspersoon of een natuurlijk persoon is?

Antwoord 14
Een app is geen van beide. Een app is software die gemaakt wordt en/of geëxploiteerd wordt door een natuurlijke of rechtspersoon en onder diens verantwoordelijkheid valt.

Vraag 15
Wanneer iemand een BSN intypt op een tekstverwerker en diegene gebruikmaakt van Microsoft, dient Microsoft als verwerker van het BSN dan ook een wettelijke grondslag te hebben?

Antwoord 15
Wanneer iemand een natuurlijke persoon is en bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit een BSN intypt in een clouddienst, dan is de AVG niet van toepassing. In de overige gevallen waar een BSN wordt ingetypt en opgeslagen in een clouddienst, is degene die de clouddienst aanbiedt verwerker. De clouddienst wordt conform AVG aangemerkt als een verwerker wanneer hij ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens verwerkt. In de meeste gevallen bestaat er bij een clouddienst een dergelijke situatie. Voor de verwerking geldt dan de grondslag voor gegevensverwerking van de verwerkingsverantwoordelijke. In dat geval is een verwerkersovereenkomst verplicht. Deze verwerkersovereenkomst zal dan meestal onderdeel uitmaken van de algemene voorwaarden waaronder de clouddienst wordt aangeboden. Wanneer een BSN wordt ingetypt in een offline softwareapplicatie waarbij het BSN niet op een server wordt opgeslagen, tijdelijk vastgehouden of op een of andere manier via een clouddienst wordt verwerkt, is de aanbieder van de softwareapplicatie geen verwerker. Dit laat overigens de verantwoordelijkheid van de aanbieder van een applicatie om zorg te dragen voor een veilige applicatie onverlet.

Vraag 16
Waarom zijn volgens u de gegevens van de burger, die nu in handen zijn van het overheidsbedrijf Logius (door het gebruik van DigiD), veiliger en betrouwbaarder belegd dan wanneer ze in handen van de burger zelf blijven, wanneer hij of zij zich elektronisch identificeert via het gebruik van de persoonlijke kluis van IRMA?

Antwoord 16
Veiligheid hangt af van inrichting en waarborgen die met betrekking tot gegevensverwerking worden getroffen. Daarbij maakt het niet uit of de gegevensverwerking plaatsvindt onder verantwoordelijkheid van de overheid of van een private organisatie. Hierbij moet rekening gehouden worden met alle privacybeginselen uit de AVG, waaronder het helpen van de persoon over wie gegevens worden verwerkt in geval van problemen, bijvoorbeeld als zijn identificatiemiddel is gestolen. Deze mogelijkheid wordt beperkt indien niet te achterhalen is op welk moment tijdens het inloggen wie wat heeft gedaan. Dit is het geval wanneer gegevens enkel in handen van de burger zelf blijven. De verwerking van gegevens door de minister van BZK/Logius is met specifieke wettelijke waarborgen omkleed (in de Wet EBV en Besluit verwerking persoonsgegevens digitale infrastructuur), die vooralsnog tot inwerkingtreding van de Wet digitale overheid voor private middelen ontbreken. Een aandachtspunt bij attributendiensten is wel dat het mogelijk maakt dat burgers zo laagdrempelig gegevens kunnen wisselen, ook met instanties die daartoe geen recht hebben, maar waarvan de burger afhankelijk is. In dit kader verwijs ik naar het overheidsbrede programma Regie op Gegevens dat de minister van BZK gestart is en dat beoogt om kaders te stellen voor het digitaal delen van persoonsgegevens die afkomstig zijn uit overheidsregistraties.

Vraag 17
Heeft u, mede in het licht van de Wet Digitale Overheid, bezwaar tegen het gebruik van IRMA in de zorg, zoals nu bijvoorbeeld gerealiseerd door Medipark Uden? Zo ja, hoe gaat u vormgeven aan uw bezwaar?

Antwoord 17
Het is belangrijk dat burgers een adequate beveiliging wordt geboden bij de digitale toegang tot hun medische gegevens. Betrouwbaar inloggen is daarvoor essentieel. Onder de Wet digitale overheid kies ik bewust voor het toelaten van private middelen (op minimaal betrouwbaarheidsniveau substantieel) vanuit het oogpunt van brede dekking en innovatie. De Wet digitale overheid stelt hier regels voor die aansluiten bij de Europese regels (eIDAS) voor inlogmiddelen. Ook IRMA zal hieraan moeten voldoen, om na inwerkingtreding van de Wet digitale overheid als Nederlands middel toegelaten te kunnen worden. Dit is nog niet vastgesteld. Daarnaast geldt dat IRMA ook als Europees middel niet genotificeerd is. In Europa zijn op dit moment enkele tientallen middelen eIDAS-genotificeerd. Voor IRMA geldt dat dit nog niet heeft plaatsgevonden.

(1) ICT & health, 3 oktober 2019, 'Medipark Uden gaat live met HiX' (https://www.icthealth.nl/nieuws/medipark-uden-gaat-live-met-hix/).
2) Volkskrant, 24 september 2017, 'DigiD gaat geld vragen aan gebruikers - dat gaat pensioenfondsen 2 miljoen euro extra kosten'.


Dit beleidsstuk is ook te vinden de dossiers Privacy in de zorg en Informatiebeveiliging

bron: Rijksoverheid

Van onze partners

Cursus: werken aan een privacybewuste organisatie

Na deze afwisselende en interactieve cursus kunnen deelnemers een privacybewustzijnsproces in hun eigen organisatie initiëren.

→ Lees meer

Examentraining CIPP / E Certified Information Privacy Professional Europe

→ Lees meer

Examentraining CIPM / Certified Information Privacy Manager

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer