Aanhangsel van de Handelingen
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2018-2019 | 1823 |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2018-2019 | 1823 |
Kunt u bevestigen dat de Unieke Zorgverlener Identificatie (UZI-pas) zal worden gecontinueerd als apart sectoraal eID-middel voor beroepen in de gezondheidszorg?
Ja, de UZI-authenticatiemiddelen zullen vooralsnog gecontinueerd worden voor beroepen in de gezondheidszorg. De UZI-pas is bedoeld voor patiëntherkenning door zorgprofessionals en niet voor de uitwisseling van gegevens tussen UWV en bedrijven. Met de UZI-pas kan het BSN van de patiënt worden opgehaald en vastgelegd in de eigen administratie.
Bent u voornemens om gebruik te maken van de mogelijkheid in de aanstaande Wet digitale overheid om voor een welbepaalde doelgroep (BIG-geregistreerden) af te wijken van de acceptatieplicht van de generieke elektronische identificatiemiddelen?
De aanstaande Wet digitale overheid (WDO) biedt de mogelijkheid om in plaats van een UZI-pas met een publiek identificatiemiddel (bijvoorbeeld DigiD) in te loggen en daarmee de identiteit van de zorgprofessional vast te stellen. Op basis van artikel 8 derde lid WDO kan bij ministeriële regeling worden bepaald dat een publiek identificatiemiddel kan worden gebruikt voor de functie die de UZI-pas nu heeft. Het is nog te vroeg om te zeggen of hier daadwerkelijk gebruik van zal worden gemaakt. Hiernaar is een eerste verkenning gestart.
Klopt het bericht, dat wanneer er sprake is van een apart sectoraal eID-stelsel voor toegang tot gezondheidsgegevens, het Uitvoeringsinstituut Werknemersverzekeringen (UWV) voor het vaststellen van het betrouwbaarheidsniveau, niet alleen naar de generieke Handreiking «Betrouwbaarheidsniveaus voor digitale dienstverlening, een handreiking voor overheidsorganisaties, versie 4» van Forum Standaardisatie moet kijken, maar ook naar de sectorale norm van VWS als vastgelegd in het «Onderzoek betrouwbaarheidsniveau patiëntauthenticatie bij elektronische gegevensuitwisseling in de zorg» (mei 2016, bijlage bij Kamerstuk 26 643, nr. 419)?
Nee, het bericht klopt niet. Het onderzoek dat het Ministerie van Volksgezondheid, Welzijn en Sport heeft laten uitvoeren gaat specifiek over patiëntauthenticatie, en dus over het betrouwbaarheidsniveau (eIDAS Laag, Substantieel of Hoog) dat een patiënt (burger) moet gebruiken om toegang te krijgen tot zijn of haar gezondheidsgegevens. Het inloggen door de zorgverlener is daarbij buiten beschouwing gebleven.
Kunt u bevestigen dat in dit onderzoek wordt gesteld dat, wanneer zonder twijfel vastgesteld kan worden dat er sprake is van gezondheidsgegevens, inzage in het burgerservicenummer (BSN) en toepasselijkheid van het medisch beroepsgeheim geldt: Betrouwbaarheidsniveau Hoog eIDAS?
In het onderzoek – dat dus uitsluitend betrekking had op de patiëntauthenticatie (het burgerdomein) – is inderdaad aangegeven dat voor de situatie waarbij toegang wordt gegeven aan het medische dossier aan patiënten, het betrouwbaarheidsniveau eIDAS Hoog passend is.
Heeft het UWV nieuw onderzoek gedaan en is daarbij vastgesteld dat er sprake is van het beschikbaar stellen, verwerken, muteren en of inzage van gezondheidsgegevens via het werkgeversportaal?
Ja, UWV heeft de risicoanalyse van de verzuimmelder op het werkgeversportaal in 2018 herhaald op basis van versie 4 van de handreiking voor overheidsorganisaties van Forum Standaardisatie. Een eerdere risicoanalyse was uitgevoerd in 2015. Uit beide analyses blijkt dat het niveau substantieel het passende niveau is voor de gegevens die worden verwerkt op het werkgeversportaal. Op het werkgeversportaal kan de werkgever ziekmeldingen en betermeldingen, meldingen van zwangerschaps- en bevallingsverlof, meerlingenverlof en adoptie- of pleegzorgverlof en meldingen van langdurige arbeidsongeschiktheid doorgeven. Dit betreft gezondheidsgegevens die niet onder het medisch beroepsgeheim vallen. Ook kan de werkgever onjuiste meldingen intrekken en een overzicht van de eigen meldingen inzien.
Kunt u bevestigen dat het beschikbaar stellen, verwerken, muteren en of inzage van gezondheidsgegevens niet per se leidt tot een verschil in het vereiste betrouwbaarheidsniveau? Heeft het UWV hiermee rekening gehouden bij het vaststellen van het betrouwbaarheidsniveau?
UWV heeft bij het vaststellen van het betrouwbaarheidsniveau gebruik gemaakt van het classificatiemodel conform de eIDAS-verordening. Hierbij is zowel rekening gehouden met de aard van de gegevens als de wijze waarop met de gegevens om wordt gegaan. De weging is op basis van de zes criteria uit het classificatiemodel. Daarnaast is gekeken naar risicoverhogende en risicoverlagende factoren conform de handreiking van het Forum Standaardisatie. In de risicoanalyse is het noodzakelijke niveau bepaald op «substantieel».
Klopt het dat het UWV na de risicoanalyse in 2015 geen nieuwe risicoanalyse heeft uitgevoerd en dat het werkgeversportaal nog altijd eHerkenning niveau 3 (Betrouwbaarheidsniveau Substantieel eIDAS) voorschrijft om de door de Autoriteit Persoonsgegevens opgelegde dwangsom te voorkomen?
Nee, UWV heeft in 2018 een nieuwe risicoanalyse uitgevoerd. De reden dat UWV eHerkenning niveau 3 (substantieel) heeft geïmplementeerd is omdat uit de analyse blijkt dat dit het passende betrouwbaarheidsniveau is voor het werkgeversportaal.
Kunt u bevestigen dat de Autoriteit Persoonsgegevens (AP) in alinea 57 van het rapport «Last onder dwangsom UWV werkgeversportaal»1 suggereert dat het UWV mogelijk bezig is met een implementatie van een middel met een te laag betrouwbaarheidsniveau («Het had dan ook op de weg van het UWV gelegen om de reeds in 2015 uitgevoerde risicoanalyse opnieuw uit te voeren aan de hand van de meest recente versie van de Handreiking. Door dit niet te doen ontstaat het risico dat aan het einde van de implementatietermijn van, in dit geval, eHerkenning, mogelijk geen sprake (meer) is van een passend beveiligingsniveau»)? Zo ja, deelt u de mening dat het voorsorteren van het UWV op de Wet digitale overheid door eHerkenningsmiddelen voor te schrijven op een verkeerd niveau voor werkgevers kan leiden tot een investering in de verkeerde middelen?
De Autoriteit Persoonsgegevens schrijft in alinea 57 dat de analyse van UWV uit 2015 is gebaseerd op versie 3 van de Handreiking. Daarnaast stelt de Autoriteit Persoonsgegevens dat de Algemene verordening gegevensbescherming voorschrijft dat rekening wordt gehouden met de stand van de techniek. Inmiddels is versie 4 van de Handreiking beschikbaar. In alinea 58 stelt de Autoriteit Persoonsgegevens dat Handreiking versie 4 een ander toetsingskader hanteert dan versie 3. Derhalve heeft de Autoriteit Persoonsgegevens geconcludeerd dat UWV de risicoanalyse uit 2015 opnieuw dient uit te voeren (alinea 65). UWV heeft deze risicoanalyse in 2018 opnieuw uitgevoerd. Uit deze nieuwe risicoanalyse blijkt dat niveau substantieel het juiste niveau is. Ik deel niet de mening dat sprake is van het voorschrijven van eHerkenningsmiddelen op een verkeerd niveau.
Is in het geval dat het UWV het verkeerde betrouwbaarheidsniveau voorschrijft aan werkgevers de dienst aansprakelijk voor kosten van een herstelactie door werkgevers die eHerkenningsmiddelen moeten omruilen en/of upgraden? Zo ja, kunt u dan een inschatting maken van de hoogte van de kosten? Zo nee, waarom niet?
Ik deel niet de mening dat sprake is van het voorschrijven van eHerkenningsmiddelen op een verkeerd niveau. Van een herstelactie is daarom geen sprake.
Hoeveel eHerkenningsmiddelen moeten er in totaal worden aangeschaft door werkgevers om de huidige geautoriseerde medewerkers toegang te geven tot het werkgeversportaal?
Zoals aangegeven in mijn brief aan uw Kamer van 26 november 2018 zijn er circa 157.000 werkgevers en circa 2.700 intermediairs (zoals arbodiensten, administratiekantoren of accountants), die geautoriseerd zijn voor ruim 25.000 werkgevers, die beschikken over een toegangsaccount voor het werkgeversportaal. Het is niet met zekerheid te zeggen of dit ook betekent dat hetzelfde aantal eHerkenningsmiddelen zal worden aangeschaft. In de huidige situatie hebben veel accounts voor het werkgeversportaal slechts één gemachtigde, maar in de praktijk wordt dat account vaak gedeeld en gebruikt als bedrijfsaccount. Een eHerkenningsmiddel is persoonsgebonden en op niveau «substantieel» worden aan identificatie en authenticatie meer eisen gesteld. Of dit invloed heeft op een toename van het aantal gebruikers moet blijken.
Deelt u de mening dat deze casus aantoont dat er sprake is van een veel te lage inschatting van de financiële lasten voor bedrijven, zoals gesteld op bladzijde 49–50 van de memorie van toelichting van de Wet digitale overheid (Kamerstuk 34 972, nr. 3)? Zo ja, hoe groot moeten dan de financiële lasten voor de bedrijven worden ingeschat? Zo nee, waarom niet?
Nee, de kosten zijn niet te laag ingeschat. In de memorie van toelichting van de Wet digitale overheid wordt uitgegaan van een prijs van € 30 per jaar bij het afsluiten van een driejarig contract voor een eHerkenningsmiddel niveau substantieel. De schatting gaat uit van een volwassen markt met optimale concurrentie over ongeveer 5 jaar. Dat wil zeggen een situatie waarin vrijwel alle overheidsorganisaties zijn aangesloten en vrijwel alle bedrijven een middel hebben. Die situatie hebben we nog niet bereikt, maar de prijs van een driejarig contract ligt momenteel al rond de € 100 ofwel € 33 per jaar. Zie ook het leveranciersoverzicht: https://www.eherkenning.nl/inloggen-met-eherkenning/leveranciers/leveranciersoverzicht/.
Hierbij moet worden opgemerkt dat in de memorie van toelichting geen kosten voor machtigingen zijn opgenomen. Reden is dat 96% van het bedrijfsleven uit ZZP’ers en microbedrijven bestaat en aangenomen is dat deze bedrijven geen extra middelen of machtigingen zullen aanschaffen, omdat ze geen of weinig personeel hebben. Daarin verschilt de casus van UWV. De relatie met UWV bestaat juist, omdat er personeel in dienst is. In de praktijk zullen klanten van UWV vaak hun medewerkers of intermediairs machtigen om namens hen meldingen te doen. De prijs van het koppelen van een (extra) machtiging aan een eHerkenningsmiddel substantieel ligt momenteel op rond de € 8 per machtiging per jaar bij een driejarig contract.
Is het waar dat medewerkers verzuimbeheersing van het UWV zelf voor de verwerking van de persoons- en gezondheidsgegevens, UZI-passen moeten gebruiken om te voldoen aan de bevindingen uit het onderzoek van de Autoriteit Persoonsgegevens inzake de verwerking persoonsgegevens door UWV?2
Nee, dat is niet waar. Het UZI-authenticatiemiddel dient voor het vaststellen van het BSN van de patiënt door de zorgprofessional (zie vraag 1). De medewerkers verzuimbeheersing bij UWV werken sinds 1 januari 2019 onder de verantwoordelijkheid van de arts. De Autoriteit Persoonsgegevens heeft aangegeven dat deze werkwijze voldoet aan de Algemene verordening gegevensbescherming.
Kunt u bevestigen dat in de Wet-BIG wordt geregeld, dat ook bij het UWV voor de verwerking van gezondheidsgegevens de UZI-pas gebruikt moet worden nu dit sectorale eID-middel door de Minister van Volksgezondheid, Welzijn en Sport gecontinueerd zal worden?
De Minister voor Medische Zorg en Sport is verantwoordelijk voor de uitgifte van de UZI-authenticatiemiddel, en zal daarom deze vraag beantwoorden.
Nee, de UZI-pas is alleen bedoeld voor het vaststellen van het BSN van de patiënt door de zorgprofessional.
Zouden arbo en bedrijfsartsen en/of verzuimmedewerkers van werkgevers daardoor niet eHerkenning maar de UZI-pas dienen te gebruiken voor online toegang tot het werkgeversportaal?
Nee, het UZI-middel wordt gebruikt om het BSN te verkrijgen van de patiënt. Arbo en bedrijfsartsen en verzuimmedewerkers van werkgevers dienen eHerkenning te gebruiken voor de online toegang tot het werkgeversportaal.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/ah-tk-20182019-1823.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.