Eindrapportage PoC Elektronische Toegangsdiensten gepubliceerd
Op 11 oktober 2021 is de eindrapportage van de Proof of Concept (PoC) Elektronische Toegangsdiensten (eTD) vanuit PROVES-MedMij opgeleverd aan Stichting MedMij.
Het eTD Afsprakenstelsel is een set van technische, functionele, juridische en organisatorische afspraken. Binnen het eTD Afsprakenstelsel wordt eHerkenning geleverd, waarmee ondernemers, bedrijven, organisaties en intermediairs veilig en betrouwbaar online zaken kunnen doen met (overheids)organisaties en bedrijven. In deze eindrapportage staan bevindingen opgedaan tijdens de technische beproeving van authenticeren en verzamelen van gegevens met behulp van eHerkenning en een aantal aanbevelingen.
Hier vind je de eindrapportage. Hier vind je de video met de flow PoC eTD.
Doelstellingen
Om het authenticeren en verzamelen van gegevens met behulp van eHerkenning technisch te beproeven werden de volgende doelstellingen gesteld:
- Beproeven van de mogelijkheid om niet opnieuw te hoeven authenticeren bij herhaalde opvraging van gegevens bij dezelfde zorgaanbieder.
- Beproeven van een oplossing die authenticatie op electronic IDentities And Trust Services (eIDAS) niveau Substantieel mogelijk maakt.
- Borgen dat de zorggebruiker die inlogt in de PGO dezelfde is als degene die inlogt bij de zorgaanbieder.
- Generiek technisch koppelvlak definiëren tussen dienstverlener persoon (DVP), dienstverlener zorgaanbieder (DVZA) en eHerkenningsleveranciers.
- Beproeven van een alternatief authenticatiemiddel naast DigiD.
Resultaten en deelnemers
Gedurende 2020 en 2021 realiseerden de leveranciers:
- een succesvolle generieke koppeling tussen eHerkenning (gebaseerd op het eTD-stelsel) en het MedMij-stelsel
- dienstbemiddeling DVP: waarbij een zorggebruiker voorafgaand aan het verzamelen van gegevens kan aangeven bij welke zorgaanbieder de zorggebruiker meerdere gegevensdiensten wil verzamelen
- dienstbemiddeling DVZA (Single Sign On beleving) waarbij de zorggebruiker niet opnieuw hoeft te authenticeren bij herhaaldelijke opvraging van gegevens bij dezelfde zorgaanbieder
- theoretische beproeving van dynamische dienstbemiddeling: waarvoor leveranciers zich verdiepten in het technisch realiseren van de mogelijkheid om bij meerdere zorgaanbieders, meerdere gegevensdiensten te verzamelen.
Bij de toepassing van het stelsel binnen de PoC werkt de DVP met een (versleuteld) pseudoniem en de DVZA met een (versleuteld) BSN die cryptografisch onderling verbonden zijn en daardoor aantoonbaar van dezelfde persoon zijn. Hierdoor kan de DVP met de DVZA betrouwbaar, veilig en privacy-vriendelijk communiceren over een zorggebruiker zonder dat:
- de DVP het BSN en de DVZA het (DVP-specifieke) pseudoniem van de zorggebruiker kent
- de DVP en de DVZA ooit eerder contact hebben gehad over deze zorggebruiker
- ‘MedMij/PGO-specifieke’ onboardingsprocedures van de zorggebruiker bij de (DV)ZA noodzakelijk zijn.
Lees voor meer informatie over de pseudoniemen en identiteiten in de context van de PoC pagina 10 van de rapportage.
Aan de PoC werkten de volgende leveranciers mee:
- DVP: Drimpy en Zorg & Welzijn Connect
- DVZA-rol: VECOZO
- eHerkenningsmakelaar: Signicat
- Authenticatiedienst (eHerkenningsleverancier): UnifiedPost (Z-login)
- BSNk: Logius
Lees voor meer informatie over de invulling van de rollen binnen het eTD Afsprakenstelsel pagina 9 van de rapportage.
Bevindingen
Het authenticeren en verzamelen van gegevens met behulp van eHerkenning binnen het MedMij-netwerk is succesvol beproefd en er werden bevindingen opgedaan. Deze bevindingen worden in de eindrapportage gecategoriseerd als noodzakelijk, ter suggestie of ter overweging en zijn besproken met Stichting MedMij en beheerorganisatie eTD.
Een belangrijke bevinding is dat het aansluiten op eHerkenning binnen het MedMij-netwerk als zeer complex werd ervaren. Voor leveranciers van beide stelsels is het andere stelsel nieuw, waardoor er niet over gebaande paden kan worden gelopen. Het eTD SAML-koppelvlak wordt als zodanig complex ervaren door DVP’s dat ondersteuning door eTD-partijen noodzakelijk is. ETD-leveranciers geven aan dat ze graag meer onderzoek doen naar waar de behoeftes voor ondersteuning van DVP’s en DVZA’s liggen.
Een tweede belangrijke bevinding is dat er meer onderzoek gedaan moet worden naar de wijze van samenbrengen van de twee stelsels, met de daarbij horende consequenties. Leveranciers gaven bijvoorbeeld aan dat zowel het eTD Afsprakenstelsel als het MedMij Afsprakenstelsel een dienstencatalogus hanteert. Bij het samenbrengen van de twee stelsels moet er vooraf onderzocht zijn wat de impact is als beide stelsels alle zorgaanbieders gaan opnemen in hun eigen dienstencatalogus. Daarnaast geven leveranciers aan dat de huidige beproefde oplossingen voor het niet opnieuw authenticeren (dienstbemiddeling DVP & DVZA) nog efficiënter kan, waardoor het samenbrengen van de twee stelsels makkelijker wordt en meer voordelen met zich meebrengt.
Een derde belangrijke bevinding is dat bepaalde aspecten naast de techniek, zoals kosten en beleid, als gevolg van het samenbrengen van de twee stelsels moeten worden onderzocht. Op dit moment is het bijvoorbeeld niet vastgesteld bij wie de kosten voor het gebruik van eHerkenningsmiddelen binnen het burgerdomein landen. De benodigde juridische borging om eHerkenning in de praktijk te kunnen inzetten in het burgerdomein en binnen het MedMij Afsprakenstelsel valt buiten scope van deze technische beproeving.
Stichting MedMij, beheerorganisatie eTD en PROVES (VZVZ) kijken terug op een geslaagde technische beproeving en een prettige samenwerking met leveranciers. De PoC heeft veel waardevolle inzichten opgeleverd op basis waarvan stappen genomen kunnen worden om authenticatie binnen MedMij gebruiksvriendelijker te laten verlopen.