Samenvatting
| Waarom is deze RFC nodig? | Gebruiksvriendelijk inloggen |
|---|---|
| Oplossingsrichting | Meer attributen gebruiken |
| Aanpassing van | MedMij |
| Impact op rollen | Ja |
| Impact op beheer | Nee |
| Gerelateerd aan (Jira issues) | |
| Eigenaar | Joris |
| Implementatietermijn | |
| Motivatie verkorte RFC procedure (patch) |
Goedkeuring
| Beoordelaar | Datum | Reactie | Toelichting |
|---|---|---|---|
| Productmanager | |||
| Ontwerpteam | |||
| ? |
Principe's
| Principe | Principe | ||
|---|---|---|---|
1 Het MedMij-netwerk is zoveel mogelijk gegevensneutraal | Positief | 11 Stelselfuncties worden vanaf de start ingevuld | Positief |
| 2 Dienstverleners zijn transparant over de gegevensdiensten | Positief | 12 Het afsprakenstelsel is een groeimodel | Positief |
| 3 Dienstverleners concurreren op de functionaliteiten | Positief | 13 Ontwikkeling geschiedt in een half-open proces met verschillende stakeholders | Positief |
| 4 Dienstverleners zijn aanspreekbaar door de gebruiker | Positief | 14 Uitwisseling is een keuze | Positief |
| 5 De persoon wisselt gegevens uit met de zorgaanbieder | Positief | 15 Het MedMij-netwerk is gebruiksrechten-neutraal | Positief |
| 6 MedMij spreekt alleen af wat nodig is | Positief | 16 De burger regisseert zijn gezondheidsinformatie als uitgever | Positief |
| 7 De persoon en de zorgaanbieder kiezen hun eigen dienstverlener | Positief | 17 Aan de persoonlijke gezondheidsomgeving zelf worden eisen gesteld | Positief |
| 9 De dienstverleners zijn deelnemers van het afsprakenstelsel | Positief | 18 Afspraken worden aantoonbaar nageleefd en gehandhaafd | Positief |
| 10 Alleen de dienstverleners oefenen macht uit over persoonsgegevens bij de uitwisseling | Positief | 19 Het afsprakenstelsel snijdt het gebruik van normen en standaarden op eigen maat | Positief |
Uitwerking
Deze RFC is de eerste in een serie die ervoor moet zorgen dat authenticatie in het afsprakenstelsel blijft aansluiten bij ontwikkelingen in de buitenwereld. Hierbij wordt tegelijkertijd ook gekeken naar mogelijkheden om authenticatie gebruiksvriendelijker te maken.
Omgevingsanalyse
Een aantal belangrijke ontwikkelingen in de buitenwereld. Namelijk de brief van de staatssecretaris BZK waarin aangegeven wordt over te gaan naar een "systeem van meer open toelating" om authenticatiemiddelen naast DigiD te introduceren. De staatssecretaris schrijft onder andere:
Het innovatietempo ligt zeer hoog, de ontwikkeling van inlogmiddelen versnelt en het aantal partijen dat innovatieve oplossingen aanbiedt neemt toe. Hierbij past een meer wendbare en daarmee meer toekomstvaste toelatingssystematiek.
In aansluiting op deze door de staatssecretaris ingegeven richting komt in deze RFC de verplichting voor DVZA om DigiD te gebruiken te vervallen.
Verder heeft de Autoriteit persoonsgegevens een brief geschreven over betrouwbaarheidsniveaus in de zorg. De Autoriteit Persoonsgegevens (AP) is de handhavende instantie voor de Algemene Verordening Gegevensbescherming (AVG). Wanneer MedMij deelnemers onvoldoende (conform de AVG en gerelateerde regelegeving) privacy- en beveiligingsmaatregelen toepassen dan kan de AP (hoge) boetes opleggen. De taak van MedMij strekt zich uit om deelnemers goed te informeren over hun verantwoordelijkheden conform AVG. MedMij kan dergelijke verantwoordelijkheden niet overnemen en moet actief de schijn tegengaan dat wanneer er aan MedMij voldaan wordt er automatisch ook aan de AVG voldaan wordt.
Door de verplichting voor DigiD te laten vallen, komt mogelijk IRMA in beeld als authenticatiemiddel bij DVZA's. Recent hebben de ministers van VWS en BZK vragen beantwoord over de toepassing van IRMA bij een huisartsenpost.
In de beantwoording van vraag 7 geven de ministers aan dat het gebruik van DigiD geen verplichting is en in vraag 17 wordt gevraagd of de minister bezwaar heeft tegen het gebruik van IRMA. Het antwoord hierop luidt:
Het is belangrijk dat burgers een adequate beveiliging wordt geboden bij de digitale toegang tot hun medische gegevens. Betrouwbaar inloggen is daarvoor essentieel. Onder de Wet digitale overheid kies ik bewust voor het toelaten van private middelen (op minimaal betrouwbaarheidsniveau
substantieel) vanuit het oogpunt van brede dekking en innovatie. De Wet digitale overheid stelt hier regels voor die aansluiten bij de Europese regels (eIDAS) voor inlogmiddelen. Ook IRMA zal hieraan moeten voldoen, om na inwerkingtreding van de Wet digitale overheid als Nederlands middel
toegelaten te kunnen worden. Dit is nog niet vastgesteld. Daarnaast geldt dat IRMA ook als Europees middel niet genotificeerd is. In Europa zijn op dit moment enkele tientallen middelen eIDAS-genotificeerd. Voor IRMA geldt dat dit nog niet heeft plaatsgevonden.
In de pensioen- en verzekeringssector is onlangs onderzoek naar IRMA gedaan, in de samenvatting van dat onderzoek staan (op pagina 34) de volgende zwaktes:
- Betrouwbaarheidsniveau van IRMA-attributen is voor sommige toepassingen te laag.
- Governance nog te onvolwassen om eventueel toekomstige groei en serieuze zakelijke toepassingen van IRMA in goede banen te leiden.
- Beveiliging van de IRMA-app moet zich nog bewijzen en lijkt nog niet te voldoen aan alle eisen voor betrouwbaarheidsniveaus Substantieel en Hoog.
- Beoogde businessmodel moet zich nog verder uitkristalliseren en bewijzen.
- Op dit moment nog weinig controleurs aangesloten, wat de adoptie van IRMA in de weg staan.
- Nog onduidelijk wat de gebruiker/consument ervan vindt qua gebruikerservaring en vertrouwen.
- Uitstraling IRMA en stichting Privacy by Design als trusted party voor de gebruiker moet nog worden opgebouwd.
Wijzigingsvoorstel
De verplichting tot DigiD te laten vervallen zoals deze in processen en informatie staat (https://afsprakenstelsel.medmij.nl/display/PUBLIC/Processen+en+informatie). Het juridisch kader van MedMij (https://afsprakenstelsel.medmij.nl/display/PUBLIC/Juridisch+kader) verplicht geen DigiD maar spreekt van “een door BZK aangewezen authenticatiemiddel”. Dit loopt vooruit hier vooruitgelopen op het wetsvoorstel Digitale Overheid (https://zoek.officielebekendmakingen.nl/kst-34972-2.html ) specifiek artikel 9. Op dit moment bestaan er nog geen door BZK aangewezen authenticatiemiddelen (ook niet DigiD). De wet is ook nog niet aangenomen. Dit zou ter verduidelijking aan het bestaande juridische kader toegevoegd moeten worden en hierbij tegelijkertijd verwijzen naar de verplichtingen onder de AVG en de zienswijze van de handhaver van de AVG, namelijk de brief van de AP.
Bij het vervallen van de verplichting voor DigiD is het waarschijnlijk nodig om een factsheet te publiceren over de mogelijkheden, de voor- en nadelen van IRMA (met verwijzing naar de bestaande bronnen). In deze factsheet zou ook aandacht moeten zijn voor de dekkingsgraad onder zorggebruikers.
Gedetailleerd wijzigingsvoorstel
Hieronder een tabel met een opsomming van wanneer DigiD genoemd wordt. Het wijzigingsvoorstel kent een aantal kleuren. Groen wanneer er geen wijziging noodzakelijk is, rood wanneer er alleen sprake is van verwijdering, en paars wanneer de tekst gewijzigd wordt.
| locatie | tekst | wijzigingsvoorstel |
|---|---|---|
| Afsprakenstelsel in de praktijk | Toen ik weer thuis was, ging ik verder in de app. Ik klikte op de optie om verbinding te maken. Vervolgens kon ik DigiD gebruiken, dat had ik al eens samen met mijn zoon gebruikt voor toeslagen bij de Belastingdienst. | laten staan |
| Changelog release 1.1.1 | Eisen van DigiD inzake uitloggen. | laten staan |
| Changelog release 1.1.2 | In release 1.1.2 wordt naast het SAML-koppelvlak ook het CGI-koppelvlak van DigiD toegestaan, onder de kanttekening dat voor DigiD het SAML-koppelvlak de toekomstvast keuze is. | laten staan |
| Processen en informatie | Toelichting Op de Applicatie-laag wordt beschreven dat de identiteit van de Zorggebruiker uitgedrukt wordt door een BSN en die passende zekerheid wordt verkregen door middel van DigiD. | verwijderen |
| Applicatie | Het is de rol PGO User Agent die verbonden wordt met de rollen OAuth User Agent en Authentication User Agent. De PGO User Agent spreekt uiteindelijk dus ook de Authentication Server van DigiD aan. | Het is de rol PGO User Agent die verbonden wordt met de rollen OAuth User Agent en Authentication User Agent. De PGO User Agent spreekt uiteindelijk dus ook de Authentication Server. |
| Applicatie | DigiD DigiD is dus de enig toegestane Authentication Service in de deze release van het MedMij Afsprakenstelsel. Zie hiervoor verder het Authorization interface. | verwijderen |
| Applicatie | De Authorization Server heeft de rol om, namens de Zorgaanbieder, op verzoek van de Persoon, autorisaties uit te delen aan de PGO Server. Om dat betrouwbaar te kunnen doen, en om aan een wettelijke verplichting van de Zorgaanbieder invulling te geven, schakelt de Authorization Server de Authentication Service van DigiD in. | De Authorization Server heeft de rol om, namens de Zorgaanbieder, op verzoek van de Persoon, autorisaties uit te delen aan de PGO Server. Om dat betrouwbaar te kunnen doen, en om aan een wettelijke verplichting van de Zorgaanbieder invulling te geven, schakelt de Authorization Server de (externe) Authentication Service in. |
| Applicatie | Bij beide krijgt de Client (bij OAuth de Client en bij SAML de Service Provider) niet onmiddellijk de gewenste informatie (bij OAuth het access token en bij SAML de gebruikersidentiteit, bij DigiD het BSN), maar via een ophaalbewijs (bij OAuth de authorization code, bij SAML het artefact). Het ophaalbewijs gaat voorlangs (via de User Agent), waarna achterlangs met het ophaalbewijs de gewenste informatie wordt opgehaald. | todo |
| Applicatie | MedMij-verkeer In artikel 7 wordt het MedMij-verkeer afgebakend, met het oog op de Netwerk-laag. Al het MedMij-verkeer is over domeingrenzen. Bovendien maakt noch eventueel verkeer tussen PGO Presenter en PGO User Agent, noch eventueel verkeer tussen Authorization Server en Resource Server deel uit van MedMij-verkeer. Authenticatieverkeer is uitgesloten, omdat het MedMij Afsprakenstelsel geen eisen oplegt aan het koppelvlak met DigiD. Deze afbakening is bovendien de opmaat voor punt 8 erna. Het daarin gemaakte onderscheid tussen frontchannel- en backchannelverkeer is nodig voor het formuleren van verantwoordelijkheden over beveiliging (zie Netwerk-laag). In punt 7 moet ermee rekening gehouden worden dat er ook een use case-implementatie is op de Netwerk-laag: UCI Opvragen WHL. | todo |
| Applicatie | het gebruik van DigiD (Applicatie-laag); | todo |
| todo! |
Risico's
Zorgaanbieders realiseren zich onvoldoende dat de keuze voor een authenticatiemiddel grotendeels een eigen verantwoordelijkheid is.