E-gezondheidszorg kan met én zonder PKI

Computable 16 juni 2004 - Een goed initiatief, een poging om de huisarts mee te nemen in 'Nederland gaat digitaal', meent Luuk Roovers.

Automatiseringsgids – Een goed initiatief, een poging om de huisarts mee te nemen in ‘Nederland gaat digitaal’, meent Luuk Roovers. De door Henk Kloepping in ‘Wachtwoord wekt illusies’ (Computable, 16 april 2004) voorgestelde aanpak, waarin pki een belangrijke rol speelt, roept bij hem echter een aantal vragen op.

gepubliceerd in automatiseringsgids Na de diverse initiatieven vanuit de verzekeringsmaatschappijen, zoals de Zorgpas, gaan nu de huisartsen online. Wanneer gaat dat lukken? Zie het als een film huren. Van de verhuurder krijg ik een pasje. Als ik dit pasje laat zien, mag ik een film meenemen. Laat ik dit pasje in een andere videotheek zien, dan is het in principe niets waard. Als echter de twee videotheken een contract met elkaar afsluiten, kun je als klant wel bij beide terecht. Op termijn kunnen meerdere videotheken zich aansluiten, maar je zult zien dat met die groei het aantal misbruikgevallen stijgt. Wie is verantwoordelijk in geval van misbruik waarbij de pas aangevraagd blijkt te zijn met een vals identiteitsbewijs? Als een valse pas (kopie) is gebruikt, kan dan de klant van de originele pas aansprakelijk worden gesteld? Zolang je alleen zaken doet met de lokale videotheek lossen dit soort problemen zich op omdat je elkaar kent. De gezondheidszorg is een veel complexere omgeving, met zorgverleners, verzekeringsmaatschappijen, apotheken, alternatieve geneeswijzen, gedragscodes, privacy en vele (commerciële) belangen en voorschriften. Er gaan veel persoonlijke gegevens in om. Het is al met al ingewikkelder dan een video uitlenen. Ik vertrouw mijn huisarts tot op zekere hoogte als het gaat om gezondheidszorg. Dat artsen echter ook betalingen en identiteit tegenover derden gaan garanderen is voor mij als consument een stap te ver.

Afhankelijk

Bij het aanmelden wordt op veel websites tegenwoordig inderdaad de identiteit van de gebruiker vastgelegd, soms met gebruikersnaam en wachtwoord, soms door middel van een ‘cookie’. Meestal zit hier een (commercieel) belang voor de webdienstleverancier achter. Waar sprake is van grotere belangen worden aanvullende maatregelen gebruikt, bijvoorbeeld bij webwinkels. De betaaltransactie (geld ontvangen) is dan in feite het aanvullende bewijs ‘dat het wel goed zit’. Het blijft een uitdaging om vertrouwelijke dossiers via internet ter beschikking te stellen. Het is mogelijk om via uitgebreide beveiligingsmaatregelen het misbruik te beperken, maar te voorkomen is het niet. Pki kan helpen bij het veilig distribueren van informatie, maar dan zouden alle dienstverleners in de zorg een eigen publieke- en privésleutel moeten krijgen. De patiëntinformatie zou meerdere keren moeten worden opgeslagen, vercijferd met de verschillende publieke sleutels van de individuele dienstverleners (op initiatief of na akkoord van de patiënt). Hoewel dit de privacy van de patiënt behoorlijk waarborgt, is dit in de praktijk (zeker in noodsituaties) niet wenselijk. Dosis gebruikt pki dus vermoedelijk vooral als authenticatiemiddel (het pasje) van de virtuele patiënt (en mogelijk voor de artsen tegenover het centrale systeem). Na authenticatie wordt toegang tot het systeem verleend, meer niet. De beschreven methode levert een redelijke zekerheid aan de arts. Hij heeft immers een kopie van het identiteitsbewijs in zijn kluis liggen, (vermoedelijk) een contract met de patiënt en het pki-certificaat uitgegeven. De patiënt daarentegen zit hierbij in een afhankelijke positie (net als bij het huren van een videoband). De digitale pas is weliswaar uitgegeven door zijn eigen arts (redelijk vertrouwd), maar zijn gegevens worden door Nederland superredundant verspreid. Deze gegevens zijn weliswaar versleuteld, maar wie beheert de sleutels? Hebben we hier niet stiekem weer te maken met een gedeeld ‘publiek’ geheim tussen alle dienstverleners in de zorg? Hebben patiënten dan niet nog minder te vertellen over hun eigen gegevens?

Sluitend bewijs

Gesuggereerd wordt dat pki aantoont dat diegene die zich aanmeldt de juiste patiënt is. Volgens mij toont pki alleen aan dat iemand inlogt met een door een arts uitgegeven certificaat. Er is derhalve geen bewijs dat het de patiënt is. Later in het artikel wordt beschreven dat de patiënt ‘als borglijntje’ ook een wachtwoord moet intoetsen. Heeft Kloepping niet zelf uitgelegd dat tweezijdig bekende wachtwoorden onveilig zijn? Het is dus hooguit een zeer sterk vermoeden dat de betreffende patiënt zich heeft aangemeld en geen juridisch sluitend bewijs. Grotere (juridische) zekerheid is te bieden door aan te sluiten bij de huidige wetgeving rondom de elektronische handtekening. Scheiding van kennis en bezit speelt hierbij een grote rol. Als kennis kan je gebruik maken van een eenzijdig bekend wachtwoord. Als bezit is het in het belang van de patiënten om gebruik te maken van een ‘token’ dat op unieke wijze aan de patiënt verbonden is, onder zijn uitsluitende controle valt te houden en het mogelijk maakt de patiënt uniek te identificeren. Alleen een certificaat met wachtwoord voldoet daaraan niet. Kloepping suggereert dat het werken met pki veiliger is dan de conventionele aanpak. Als er puur technisch naar wordt gekeken, is dat zo. Echter, doordat je denkt dat het veilig is, zullen meer gegevens en diensten online ter beschikking worden gesteld. We leven al in een cultuur waarin termen als ‘foutje van de computer’ en ‘de computer zegt het’ te vaak het sluitstuk zijn in een discussie. Hoe meer het persoonlijke aspect wordt weggehaald, hoe groter de kans op fouten en misbruik is. Hoe weet een onkundige gebruiker zeker dat hij met de echte website van de dokter is verbonden? De procedure is makkelijk te faken (zie de recente nep-banksites), waardoor patiënten ongewild hun identiteit (wachtwoord) prijsgeven. Voor een deskundige is het niet echt moeilijk om een certificaat van de harde schijf af te halen, veel gebruikers zullen hiervoor ook desgevraagd gewoon op ‘ok’ drukken. Op dit punt zijn dus bij gevoelige diensten (bijvoorbeeld het bestellen van medicijnen) aanvullende maatregelen nodig.

Bewaken

Kloepping beweert dat gebruikers dom zijn als ze hun certificaat niet beschermen met een wachtwoord. Is het niet zo dat ict gebruikers juist moet helpen? Vergeten we niet af en toe dat slechts een relatief beperkte laag van de bevolking hoger opgeleid is? Om de rest gelijk dom te noemen gaat mij toch echt te ver. Grootschalige uitrol van pki op deze wijze heeft inderdaad risico’s; gebruikers zullen hun certificaat niet vanzelf beschermen met een wachtwoord, computers worden doorverkocht en wie heeft nu het besef dat het dan beter is om de harde schijf eerst helemaal leeg te halen? Niet alleen voor dit ene certificaat, maar wat dacht u van al die wachtwoorden die opgeslagen zijn om automatisch op websites aan te loggen? Het systeem zal dus zo moeten worden opgezet dat gebruikers een wachtwoord verplicht voor hun pki-certificaat moeten gebruiken en het certificaat zal regelmatig moeten worden verlengt. Ook mis ik het gebruik van wachtwoordreferenties. Hierbij is aan de zijde van de server niet het wachtwoord bekend en valt dit ook niet te reproduceren. Na invoering van het wachtwoord door de gebruiker wordt een wiskundige berekening toegepast. Het resultaat daarvan wordt vergeleken met de op de server opgeslagen referentie. Bij een inbraak op de server zijn de wachtwoorden in dit geval niet te dupliceren of te reconstrueren. Wie bewaakt de belangen van de patiënt? Gezien de benodigde technische en administratief organisatorische kennis kan dit beter bij een onafhankelijk orgaan worden ondergebracht. Dit orgaan kan dan onder andere toezien op waarborging van de privacy van patiënten. Wellicht ligt hier ook een rol voor de overheid.

Nooit gebruikt

Of patiënten met de nieuwe functionaliteit echt iets opschieten is nog de vraag. Dat is echter mijn vak niet. Voor patiënten lijken mij vooral aspecten als privacy, korte wachttijden en goede hulpverlening van belang. Persoonlijk vind ik het niet erg om een afspraak per telefoon te maken; dit via een website doen heeft voor mij geen toegevoegde waarde. Mijn dossier kan ik nu ook al bij mijn huisarts krijgen of inzien. Inzage in wie gegevens over mij heeft vastgelegd en mijn data heeft opgevraagd zou een mooie toevoeging zijn, maar op zich zou dat ook best in een rapportage kunnen staan die ik na schriftelijk verzoek per post ontvang. Was het niet zo dat de Zorgpas niet veel toegevoegde waarde had? Er hebben drie zorgpassen bij mij thuis in een laatje gelegen, nooit gebruikt, niemand in de zorg vroeg erom. Het invoeren van de genoemde functionaliteiten kunnen bijdragen tot optimalisatie van processen binnen de gezondheidszorg. Mogelijk leidt het op termijn zelfs tot kostenbesparingen en verbetering van de dienstverlening. Vooral voor waardevolle internetdiensten, zoals online behandeling, zie ik toegevoegde waarde van verdergaande authenticatie (pki). Voor de betreffende dienst wordt dan een specifiek contract afgesloten met de patiënt en kan een certificaat met beperkte geldigheid worden verstrekt. Na afloop van de behandeling vervalt het certificaat. Aanvullend zie ik de mogelijkheid om recepten op elektronische wijze af te handelen. Op de website van mijn huisarts kan ik nu al een herhaalrecept aanvragen. De huisarts stuurt het recept vervolgens rechtstreeks naar mijn apotheek. Zowel huisarts als apotheek kennen mij en bij de apotheek kom ik het persoonlijk ophalen, dus dit lijkt me onder controle.

Bestaand

Als we dan toch pki in de gezondheidszorg grootschalig gaan invoeren, stel ik voor dat er een onafhankelijke door alle betrokkenen vertrouwde partij komt die de belangen van zorgverleners, verzekeringsinstellingen en patiënten waarborgt. Deze partij moet ook transacties loggen en op verzoek transactiegegevens ter beschikking stellen (vooral ook aan patiënten). Tevens zal er een toezichtfunctie moeten komen die de privacy- en de juridische aspecten waarborgt. Ik daag Dosis en de banken in Nederland uit om op korte termijn gebruik te maken van bestaande, in de markt aanwezige middelen. Te denken valt hierbij aan de ‘calculator’ in combinatie met bankpas zoals deze door een aantal banken wordt gebruikt. In het verleden ben ik zelf betrokken geweest bij enkele ‘derde partij’-implementaties (zowel in de zakelijke dienstverlening als binnen het onderwijs). Het bancaire systeem kan en moet dan op termijn verder geschikt worden gemaakt voor pki. Wat betreft technologie is het wellicht aan te bevelen om aan te sluiten bij de pki-initiatieven van de centrale overheid.

Luuk Roovers, directeur Vicus eBusiness Solutions