Dat stellen ministers Bruno Bruins (Medische Zorg) en Raymond Knops (Binnenlandse Zaken) in reactie op Kamervragen uit november 2019 over het gebruik van de IRMA-app als inlogmethode voor patiënten bij Medipark Uden). De vragen waren gesteld door Tweede Kamerlid Evert-Jan Slootweg (CDA), onder meer naar aanleiding van berichtgeving van ICT&health en de Volkskrant.
Primeur met Zorgportaal, IRMA
Medipark Uden, een samenwerking tussen vijf huisartsenpraktijken met negen huisartsen, had in oktober 2019 de primeur van het online Zorgportaal as a service. Via dit portaal kunnen patiënten eenvoudig en veilig hun herhaalmedicatie aanvragen, op basis van de actuele medicatie van de patiënt. Ook kunnen zij zelf afspraken inplannen en econsults voeren met hun zorgverleners.
Patiënten loggen via IRMA in op het online portaal. IRMA staat voor I Reveal My Attributes en stelt patiënten in staat om zelf online aan te geven welke gegevens zij wel en niet willen delen. Deze privacy-bescherming wordt privacy by design genoemd en zit ingebakken in het systeem. In de meeste recente nationale en Europese wetgeving wordt privacy by design vereist voor nieuwe ICT-systemen.
Kamerlid Slootweg wilde onder meer weten of het Medipark Uden verboden is om de IRMA-app te gebruiken op basis van privacy-regulering en of in plaats hiervan gebruik gemaakt moet worden van DigiD (vanwege de verwerking van BSN-gegevens), waarvoor aan overheidsbedrijf Logius (onderdeel van BiZa) 14 eurocent per succesvolle login betaald dient te worden.
De ministers geven aan dat de betrokken huisartsen niet over een dergelijk verbod is geïnformeerd. Ook is DigiD niet de enige inlogmethode met voor de zorgsector verplicht tweefactorauthenticatie (bijvoorbeeld DigiD in combinatie met sms) en vergoed VWS de kosten voor het gebruik van DigiD in de zorgsector.
Momenteel alleen DigiD toegestaan
Wel zal het afhangen van de invoering van de Wet Digitale overheid voordat private inlogmethoden toegestaan worden die een hoog betrouwbaarheidsniveau aanbieden. 'Op dit moment is het zo dat DigiD het enige publieke elektronische identificatiemiddel is en daarmee ook het enige middel waarbij werking van het BSN is toegestaan. Het wetsvoorstel digitale overheid dat nu in behandeling is, beoogt ook andere (private) inlogmiddelen toe te laten, waarbij – ten behoeve van het inloggen bij de overheid- het BSN wordt verwerkt.'
Momenteel heeft ook alleen DigiD een wettelijke basis om het BSN te verwerken. Andere (private) inlogmiddelen kunnen deze wettelijk basis ook krijgen als de Wet digitale overheid van kracht wordt en zij als middel worden toegelaten. Dat betekent echter niet dat IRMA nu verboden is. Zo heeft de Autoriteit Persoonsgegevens IRMA nog niet uitgesloten. 'Of het gebruik van de IRMA-app rechtmatig is hangt daarom af van de dienstverlening die wordt ontsloten, de gegevens die daarbij worden ontsloten en het betrouwbaarheidsniveau dat IRMA beoogt te bieden (minimaal substantieel).'
De Wet digitale overheid stelt hier regels voor die aansluiten bij de Europese regels (eIDAS) voor inlogmiddelen. Ook IRMA zal hieraan moeten voldoen, om na inwerkingtreding van de Wet digitale overheid als Nederlands middel toegelaten te kunnen worden. Dit is nog niet vastgesteld. Daarnaast geldt volgens Bruins en Knops dat IRMA ook als Europees middel niet genotificeerd is. In Europa zijn op dit moment enkele tientallen middelen eIDAS-genotificeerd. Voor IRMA geldt dat dit nog niet heeft plaatsgevonden.
