Auteur Thijs Doorenbosch
ICT-leveranciers in de zorg bereiden zich voor op nieuwe methoden waarmee zorgverleners zich elektronisch kunnen identificeren om toegang te krijgen tot gevoelige gegevens, zoals patiëntdata. Zorgverleners zijn namelijk vanuit de Europese eIDAS-verordening verplicht om vanaf november 2026 een Europese Digitale Identiteit (EUDI of EDI)-wallet te accepteren.
De verplichting volgt uit de invoering van het Dezi-stelsel. Dit landelijk stelsel voor identificatie en authenticatie van zorgverleners vervangt op termijn het UZI-stelsel (de UZI-pas) en de Wet Digitale Identificatie en Authenticatie in de Zorg (Wet DIAZ). Identitywallets gaan een prominente rol spelen in het nieuwe identificatieproces als goedgekeurde inlogmiddelen in het Dezi‑stelsel. Volgens de Europese eIDAS-verordening moet elk van de 27 lidstaten minimaal één digitale identitywallet aanbieden. In Nederland is ervoor gekozen om een publieke NL-wallet te ontwikkelen, maar daarnaast kunnen ook private partijen hun eigen implementatie van de eIDAS-verordening ontwikkelen.
Privacy-by-design
Tijdens de algemene ledenvergadering van OIZ op 26 maart lichtte Dibran Mulder, CTO bij Caesar Groep, toe hoe de Yivi-wallet daarvoor is opgezet en in de zorgsector al getest.
Yivi is een spin-off van de onderzoeksgroep van privacyhoogleraar Bart Jacobs van de Radboud Universiteit. Die groep is onder meer bekend van het kraken van de OV-chipkaart in 2015 en de ontwikkeling van het concept van IRMA (I Reveal My Attributes). Het uitgangspunt voor de groep is de ontwikkeling van identiteitstechnologie volgens privacy-by-design, die breder inzetbaar is dan huidige inlogmiddelen. Mulder: “Nu is DigiD eigenlijk niks anders dan een middel om op een bepaald betrouwbaarheidsniveau een BSN (Burgerservicenummer) van iemand te krijgen. Met dat BSN gaat een organisatie naar de Basisregistratie Personen (BRP). Die kan daar met een BSN in principe de hele administratie van iemand leegtrekken, dus wie de vader en moeder zijn, wie de kinderen zijn, waar diegene woont of heeft gewoond, etc. Die gegevens zijn vaak helemaal niet nodig voor de dienst die deze persoon wil afnemen.”
Yivi brengt daar verandering in. De app op je telefoon bevat een reeks digitale kaartjes ofwel cryptografisch ondertekende attributen, die de eigenaar inzet om alleen die informatie af te geven die een dienstverlener nodig heeft. Zo is er bijvoorbeeld een gevalideerd kaartje met naam en adres, een met het rijbewijs, een voor elk behaald diploma en in het geval van de zorg de BIG- en de AGB-code. Een dienstverlener krijgt alleen de kaartjes of de attributen te zien die relevant zijn voor het gebruik van een specifieke dienst.
Verdienmodel onduidelijk
Welke identitywallets nu precies verplicht worden gesteld als authenticatiebron voor zorgprofessionals, is nog onduidelijk. Het concept van de EUDI-wallet is namelijk voornamelijk ontwikkeld voor individueel gebruik, terwijl de wallet die een rol krijgt in het Dezi-stelsel een professioneel karakter heeft. “Europa is hard op weg naar een verordening over business wallets, maar die moet eerst politiek worden bekrachtigd. Vervolgens moet de verordening nog geïmplementeerd worden”, vertelt Mulder. De EUDI-wallet moet bijvoorbeeld gratis zijn, net als DigiD nu een gratis voorziening is. De professionele variant daarvan – eHerkenning – is een betaald authenticatiemiddel, maar of een uitgever een vergoeding kan vragen voor een business wallet, is nog niet bekend. Daarmee is het bedrijfsmodel voor aanbieders van zo’n professionele wallet uiterst onzeker.
Zorg voor flexibiliteit
Mulder benadrukt dat de Yivi-wallet volledig open source is en voor burgers gratis beschikbaar. Hij verwacht dat er rondom de wallet voldoende betaalde diensten mogelijk zijn, die voor de Caesar Groep voldoende opleveren om de investering in de ontwikkeling van Yivi terug te verdienen. De Yivi-wallet is inmiddels uitgebreid getest, vooral in de zorgsector. Mulder: “Bijvoorbeeld in een pilot met de ambulancezorg in Amsterdam, maar ook voor patiëntentoegang in combinatie met software van ChipSoft.”
Het advies aan ICT-leveranciers in de zorg is om de voorwaarden van het Dezi-stelsel te implementeren voor authenticatie, maar de software wallet-agnostisch te ontwerpen. Omdat het nog een open vraag is hoe de verdienmodellen voor de wallets worden vormgegeven en wie ervoor gaat betalen, is het vooral belangrijk zo flexibel mogelijk te zijn.