Which level of assurance is needed for LSP and other patient portals?

lock

More and more health providers offer patient portals. These portals can contribute more efficient and effective health care. In addition, because since they provide easy access to personal health records and personalized health information, they can contribute to more patient empowerment. But there is also a risk: the wrong person (i.e., an identity thief) may get access to this very personal information.

Novay participated in a working group that developed a guide for health providers to help them determine how secure the authentication solution for patient portals should be, i.e., which levels of assurance is needed. My colleague Mettina Veenstra and myself tried out this new guide on the Dutch national infrastructure for the exchange of personal health records. This infrastructure is in Dutch called Landelijk Schakelpunt (LSP), which I have no idea how to translated in English (it resembles what the EU epSOS project calls a National Contact Point). The LSP recently added the possibility for patients to see which health professionals used the LSP to access their health records. It does not provide access for patients to the actual health records. Nevertheless, if an identity thief can see that e.g. an oncologist accessed your medication record as stored by your local pharmacy, then it implies something you may not want to share. The blog post discusses this, including the relationship to the national identity solution in the Netherlands (DigiD which is STORK 2, and lack of STORK 3 solution in the Netherlands).

The full blog post is only in Dutch, see here and copied below for convenience. For non-Dutch speakers, this is what Google translate makes of it.

Hoe veilig moet de authenticatie voor patiëntenportalen?

Door: Mettina Veenstra & Maarten Wegdam

Patiëntportalen worden steeds gebruikelijker, en kunnen bijdragen aan een effectievere en efficiëntere zorg (zie hier voor een overzicht van patiëntportalen). Doordat patiëntportalen op een makkelijke manier toegang kunnen geven tot patiëntendossiers en op het ziektebeeld toegespitste informatie kunnen bieden, dragen ze ook bij aan patient empowerment.

Maar patiëntportalen brengen het risico met zich mee dat de verkeerde persoon toegang krijgt tot privacygevoelige gezondheidsinformatie. Ook kan identity theft leiden tot het doorgeven van verkeerde informatie aan een zorgverlener, bijvoorbeeld een fictieve bloeddrukwaarde, wat in theorie zelfs tot een verkeerde behandeling van de patiënt zou kunnen leiden.

Kortom, de zorgaanbieder moet wel zeker (genoeg) weten wie er inlogt. Ondanks dat er wetgeving (Wet bescherming persoonsgegevens (Wbp), Wet op de geneeskundige behandelingsovereenkomst) en normen (NEN7510/7512) zijn, is het in de praktijk niet duidelijk hoe veilig die authenticatie van de patiënt moet zijn.  Het gaat hier namelijk niet simpelweg om de aller veiligste authenticatieoplossing. Er moet een balans gevonden worden tussen veiligheid, kosten, beschikbaarheid van oplossingen en gebruikersgemak.

Binnen het Platform Patiënt & eHealth heeft een werkgroep (met o.a. Novay) een Handreiking Patiëntauthenticatie ontwikkeld. Deze heeft nu de status ‘concept voor publieke review’, maar zal heel binnenkort in een definitieve versie uitgebracht worden. Deze handreiking moet zorgaanbieders en hun leveranciers helpen te bepalen hoe veilig hun authenticatieoplossing moet zijn. Hierbij wordt gebruik gemaakt van de zogenaamde STORK betrouwbaarheidsniveaus, die authenticatieoplossingen op vier niveaus indelen. Deze niveaus zijn een paar jaar geleden in opdracht van MinBZK door Novay gedefinieerd in het Europese STORK project. In de nieuwe handreiking wordt een stappenplan beschreven waarmee aan de hand van het risicoprofiel van een specifiek patiëntportaal bepaald wordt welk STORK betrouwbaarheidsniveau nodig is.

Bij wijze van experiment passen wij in deze blogpost de Handreiking Patiëntauthenticatie toe op de huidige stand van zaken van het Landelijk SchakelPunt (LSP) zoals VZVZ die nu beheert. Het LSP wordt ook vaak aangeduid met de naam van het vroegere en stopgezette landelijk EPD. Het LSP geeft apothekers, huisartsen en medisch specialisten toegang tot een overzicht van de medicatiegegevens zoals bekend bij de apotheek, en huisartsenposten tot een samenvatting van dossiers bij de huisarts. Het geeft patiënten geen toegang tot deze gegevens, maar wel inzage in welke zorgverleners via het LSP deze gegevens hebben ingezien.

Bij het toepassen van de criteria van de handreiking blijkt snel dat het cruciale criterium is of een patiënt toegang kan krijgen tot gezondheidsgegevens. En daarmee is de vraag of informatie over welke zorgverlener een patiëntdossier heeft opgevraagd een gezondheidsgegeven is. Ondanks dat het patiëntendossier zelf niet toegankelijk is valt er namelijk af te leiden dat iemand ziek is. Ook valt er af te leiden welke ziektes iemand (mogelijk) heeft op basis van welke zorgverleners er toegang tot een patiëntdossier hebben gekregen via het LSP. Bijvoorbeeld het inzien van het dossier door een oncoloog geeft aan dat de patiënt (mogelijk) kanker heeft.

screendump-lsp-inzage-crop

Gezondheidsgegevens vallen onder de zogenaamde bijzondere persoonsgegevens in de Wbp (artikel 16). De wet zelf definieert dit verder niet, maar in de memorie op de Wbp staat dat het feit dat iemand ziek is, al een bijzonder persoonsgegeven is. Ook het CBP lijkt gezondheidsgegevens ruim op te vatten (zie de website van het CBP  over ‘rechtstreeks verband’).

Kortom, inzage in welke zorgverlener toegang heeft gekregen, lijkt als gezondheidsgegeven te moeten worden opgevat. Dat zou dan betekenen dat er volgens de handreiking een authenticatieniveau STORK 3 nodig is. STORK 3 komt neer op een twee-factor authenticatieoplossing – bijvoorbeeld wachtwoord (eerste factor) in combinatie met SMS (tweede factor) – en een face-2-face controle bij het registratieproces. Een face-to-face controle houdt in bij het uitreiken van het authenticatiemiddel er een fysieke controle is geweest of dit aan de juiste persoon gebeurt. Het LSP gebruikt echter DigiD Midden, wat weliswaar een twee-factor oplossing is (wachtwoord plus SMS) maar zonder face-2-face controle. DigiD wordt namelijk uitgereikt via de post, op basis van het adres in de GBA.

Betekent dit dat de inzage functionaliteit van het LSP niet voldoet aan de Handreiking Patiëntauthenticatie? Niet noodzakelijkerwijs, er kan sprake zijn van wat de handreiking noemt risicoverlagende factoren. Of die in dit geval op gaan vereist een complexere risicoanalyse dan wij in deze blogpost kunnen doen, en vereist ook inzicht in (aanvullende) beveiligingsmaatregelen bij het LSP. Wij geven hieronder wel wat overwegingen:

  • inzage voor patiënten wie er in hun dossier heeft gekeken draagt bij aan de privacy van het LSP omdat misbruik door de patiënt zelf gesignaleerd kan worden,
  • er is maar heel beperkt inzage in gezondheidsgegevens (alleen welke zorgverlener, niet wat er in het dossier zelf staat),
  • de patiënt heeft via opt-in toestemming gegeven  en
  • dat er momenteel simpelweg geen STORK 3  authenticatieoplossing is die het LSP redelijkerwijs zou kunnen gebruiken. Een breed beschikbare STORK 3 of 4 oplossing komt er hopelijk wel snel aan, zie DigiD Hoog en eID stelsel NL plannen.

Ook als bovenstaande overweging positief uitvalt voor de huidige LSP-functionaliteit voor patiënten, moet ons inziens de huidige situatie gezien worden als een tussenoplossing die niet te lang mag duren. Er dient onder meer goed gemonitord te worden of de patiënttoegang misbruikt wordt en er moet haast gemaakt worden met een betrouwbaardere, generiek bruikbare identiteit op STORK 3 of 4 niveau, zoals DigiD Hoog. En als die er is, kan er ook overwogen worden via het LSP de patiënt toegang te geven tot de daadwerkelijke gezondheids-gegevens (medicatie, samenvatting dossier bij huisarts) die uitgewisseld kunnen worden via het LSP.

UPDATE: 23 september 2013 – de handreiking is nu definitief, is aangepast in de blog post

2 Responses to Which level of assurance is needed for LSP and other patient portals?

  1. m van loosbroek says:

    Eindelijk een positief bericht rondom de bewegingen om gegevens uit het LSP op te kunnen halen.

  2. […] is legally allowed to purchase alcohol in online transactions (age verification)? Or how do you reliably grant patients access to their electronic health records? These cases showed how difficult the reality of digital identities truly is. Developments in this […]

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s