Overslaan en naar de inhoud gaan
Achtergrond PRO
28 april 2005 leestijd 5 minuten 0 reacties

Zeker in de Zorg

Vorig najaar kwamen in een streng beveiligde ruimte bij PinkRoccade in Apeldoorn iemand van het Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG), de Policy Authority PKIoverheid en Pink zelf bijeen. Hoewel de aanleiding feestelijk was, werden geen foto’s gemaakt. Er mocht ook niemand bij zijn, buiten een cameraman die alles vastlegde voor een beeldverslag met bewijskracht.
Peter Mom
Peter MomMeer van deze auteur
Tech & Toekomst
Shutterstock
Shutterstock

"Ik heb een code ingetikt en een handtekening gezet. Dat was het dan," zegt Irma Turenhout. De plaatsvervangend directeur van het CIBG, agentschap van het ministerie van Volksgezondheid, wil met die wat luchtige weergave bepaald geen afbreuk doen aan de ernst van de zaak. Ieder van het drietal bracht een deel van de informatie in om het zogenoemde CSP-certificaat van het CIBG te koppelen aan het door PinkRoccade voor de Staat der Nederlanden beheerde stamcertificaat van PKIoverheid. Daarmee werd het CIBG Certification Service Provider, en mag het chipkaarten uitgeven, waarmee men zich bekend kan maken (identificatie/authenticatie), berichten kan beschermen (versleuteling) en onweerlegbaar maken (e-handtekening). "PKI is een vertrouwensinfrastructuur. We bieden de garantie dat dokter Jansen echt dokter Jansen is. Daarop kun je vertrouwen omdat registratie, productie en uitgifte van pasjes met waarborgen zijn omgeven. Het was een technische handeling in Apeldoorn, maar als ermee gerommeld zou worden, zou alles wat onder het CSP-certificaat gebeurt, zijn betrouwbaarheid verliezen." Turenhout benadrukt dat de chipkaart een ‘individueel waardedocument’ is, dat zorgvuldige behandeling eist. "Dat moet bij gebruikers goed tussen de oren, want in de vertrouwensketen moet elke schakel even dik zijn." Het CIBG is dus toegetreden tot PKIoverheid, waarvoor al in 1999 de basis werd gelegd. In de zorg gaan zich naar verwachting de eerste grote toepassingen ontwikkelen. Met kleine stapjes, consultaties van het veld, tussenevaluaties en planbijstellingen introduceert het CIBG moderne hulpmiddelen in een nogal behoudende sector. "We zijn al vijf jaar bezig met ICT in de zorg. Zoals het elektronisch medicatie- en patiëntendossier. Dan moet je dingen regelen, waaronder identificatie en authenticatie." Daarvoor richtte het CIBG het UZI-register in (Unieke Zorgverlener Identificatie) dat, onder Turenhouts leiding, de PKI-activiteiten ontplooit en daartoe de UZI-pas uitgeeft. "We hadden in 2001 al een definitiestudie klaar voor identificeren. Er zijn ook aanpalende thema’s opgepakt. Dat moet in 2005 allemaal bij elkaar komen. Zoals autorisatie. Wat mag je met de gegevens doen? Wij richten ons op: wie/wat ben je? Niet op: wat mag je? Dat is aan zorgverleners en patiënten." Daarop broeden nu werkgroepen. Aanpalend is ook een verwijsindex (‘landelijk schakelpunt’) die zegt waar men moet zijn voor informatie over patiënt-X. Daarvoor loopt een aanbesteding. De UZI-pas is er voor twee categorieën. Allereerst voor zorgverleners, actief in eigen praktijk of bij een instelling. Ze moeten ingeschreven zijn in het BIG-register (Beroepen Individuele Gezondheidszorg), dat het CIBG bijhoudt en 350.000 artsen, tandartsen, apothekers, verpleegkundigen, fysiotherapeuten, gezondheidszorgpsychologen, verloskundigen en psychotherapeuten telt. Of in het Kwaliteitsregister Paramedici, bijgehouden door een gelijknamige stichting. Het omvat twaalf beroepsgroepen, zoals diëtisten, logopedisten en mondhygiënisten, in totaal 18.000 personen. Ook voor medewerkers (assistenten, baliepersoneel) is er een pas, al dan niet op naam. Dat laatste voor bijvoorbeeld tijdelijk meelopende co-assistenten. Dan garandeert de instelling dat de pas door bevoegde personen wordt gebruikt. Hoe word je CSP? Turenhout verhaalt van het schrijven van een bestek, het testen van een proefmodel en het opstellen van een nieuw bestek, waarbij steeds aandacht is voor technische, juridische en organisatorische kanten. Het komt (fase 1) aan op deugdelijke registratie, waarbij moet worden getoetst of de aanvrager recht heeft op een pas, en het genereren van een productieopdracht. Dat doet het UZI-register. De productie (2) doet PinkRoccade, met Enschede/Sdu als onderaannemer. UZI-passen gaan dan naar postkantoren, ingeschakeld (3) voor de uitgifte. Het proces is geaudit door KPMG Certification. Vervolgens vond registratie plaats bij Opta, wat de e-handtekening rechtskracht geeft. Tenslotte is een contract gesloten met de Policy Authority PKIoverheid, dat onder verantwoordelijkheid van de minister van Binnenlandse Zaken het PKI-stelsel beheert. Het CIBG heeft nu een snelweg met invoegstroken, tolhuisjes en slagbomen voor elkaar gekregen, maar wie gaat eroverheen en waarnaartoe? Turenhout wijst op de ‘kip/ei-discussie’ die een doorbraak van PKI lang heeft opgehouden. Veel van het verkeer kan toe met lichtere beveiliging. Vandaar de snelle opmars van authenticatievoorziening die met alleen gebruikersnaam en wachtwoord werkt. Maar, benadrukt ze, bij uitstek in de zorg heeft vertrouwelijkheid prioriteit. "Door er te zijn willen we een doorbraak realiseren. Het bestaat. Niet meer als iets in aanbouw of om uit te proberen, maar als regulier product. Men kan bij ons terecht." Indachtig de kleine stappen in de aanloop, gaat het CIBG er in de operationele praktijk ook ‘prudent’ mee om. "Voorzichtig en zorgvuldig. Het moet echt meerwaarde hebben." Om te beginnen kan wat in pilots is beproefd, ‘officieel’ worden en zich verspreiden. Zoals het teledermatologisch consult, waarmee ziekenhuis Nij Smelinghe in Drachten en huisartsen werken. De arts stuurt een digitale foto van de huidaandoening naar de specialist in het ziekenhuis, die per e-mail adviseert over behandeling of verwijzing. Alles beveiligd met UZI-pas en pincode. Of de landelijke traumaregistratie, waarmee het Tilburgse Sint Elisabeth Ziekenhuis ervaring opdeed als een der tien traumacentra, die de spoedeisende medische hulpverlening coördineren. Of de controle van verzekeringsgerechtigdheid, die hulpverleners via een website van zorgverzekeraars CZ, OZ en VGZ kunnen uitvoeren. Verder valt te denken aan digitaal declareren door zorgverleners bij verzekeraars. Specificaties om met de UZI-pas te kunnen werken staan op de website van het UZI-register. Leveranciers kunnen ermee aan de gang om toepassingen te ontwikkelen. Als belangrijke toepassing noemt Turenhout natuurlijk ook, al gaat het daarmee niet van een leien dakje, het elektronisch medicatie- en patiëntendossier. Aan de kosten van de UZI-pas zal het niet liggen. De eerste verstrekking (ze zijn drie jaar geldig) betaalt de minister. Tegen de 400.000 werkers in de gezondheidszorg kan het CIBG tot zijn doelgroep rekenen. Ofschoon er geen ‘volumeafspraak’ is, kwaliteit is immers leidend, mikt Turenhout in eerste instantie op 100.000 gebruikers. "Hoe snel dat wordt gehaald, is lastig te zeggen. Ik denk een jaar of drie."

Lees dit PRO artikel gratis

Maak een gratis account aan en geniet van alle voordelen:

  • Toegang tot 3 PRO artikelen per maand
  • Inclusief CTO interviews, podcasts, digitale specials en whitepapers
  • Blijf up-to-date over de laatste ontwikkelingen in en rond tech

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in