26 643 Informatie- en communicatietechnologie (ICT)

Nr. 629 BRIEF VAN DE MINISTER VOOR MEDISCHE ZORG

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 4 september 2019

Voor goede zorg is het belangrijk dat patiënten en zorgaanbieders op tijd de juiste informatie (elektronisch) kunnen uitwisselen. Daarbij moeten mensen er wel op kunnen vertrouwen dat dit veilig gebeurt. Daarvoor kennen we het UZI-certificaat. UZI staat voor Unieke Zorgverlener Identificatie. UZI-certificaten worden verstrekt door het CIBG, een uitvoeringsorganisatie van het Ministerie van VWS.

De UZI-certificaten vallen onder de public key infrastructure (PKI) van de Nederlandse overheid. Dit is een afsprakenstelsel om digitale certificaten uit te geven en te beheren, met als doel veilig internetverkeer.

Uitvoeringsorganisatie Logius is namens het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties toezichthouder op het PKIoverheid-stelsel.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties informeerde uw Kamer eerder dit jaar over het vervangen van PKIoverheid-certificaten.1 De aanleiding voor deze Kamerbrief was dat een deel van de tussen 30 september 2016 en 30 december 2017 uitgegeven certificaten niet voldoen aan een strengere uitleg van één van de basiseisen die browserpartijen, zoals Apple, Google en Mozilla, stellen.

Onlangs heeft toezichthouder Logius aan twee certificaatverstrekkers, waaronder CIBG, laten weten dat deze vervanging versneld moet gebeuren. 1 oktober 2019 is de uiterste datum waarop deze certificaten vervangen moeten zijn. Met deze Kamerbrief informeer ik u, mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, over de aanleiding van de noodzakelijke versnelde vervanging en mijn aanpak hiervan voor de UZI-certificaten.

Toezichthouder Logius heeft half april een vervangingsplan in werking gesteld om een deel van de uitgegeven certificaten die niet aan de strengere uitleg van de basiseis voldeden, te laten vervangen. Het gaat om certificaten die voor het raadplegen van websites gebruikt worden en daarmee moeten voldoen aan de eisen die browserpartijen stellen. UZI-certificaten worden alleen gebruikt voor verkeer tussen computers onderling. Versnelde vervanging van UZI-certificaten viel daarmee niet onder dit plan. De vervanging van deze certificaten zou via het natuurlijk verstrijken van de uiterste geldigheidsdatum verlopen. Het laatste UZI-certificaat zou daarmee omstreeks maart 2020 zijn vervangen.

Onlangs hebben browserpartijen, zoals Apple, Google en Mozilla, gevraagd hoe het staat met het vervangingsplan. Ook hebben zij nu specifiek een vraag gesteld over de UZI-certificaten. Hoewel deze certificaten niet voor gebruik in internetverkeer zijn uitgegeven, is het wel mogelijk ze voor internetverkeer te gebruiken. Hiermee moeten ook deze certificaten volgens de browserpartijen voldoen aan de eisen die de browserpartijen stellen.

Naar aanleiding van de vraag van browserpartijen heeft Logius de UZI-certificaten nader onderzocht. Hieruit is gebleken dat deze certificaten niet alleen moeten worden vervangen vanwege de strengere uitleg van één van de basiseisen, maar dat zij ook op andere onderdelen niet altijd voldoen aan de basiseisen. De veiligheid van het uitwisselen van (medische) gegevens in de zorg is hierbij niet in het geding geweest.

De toezichthouder heeft naar aanleiding van deze bevindingen besloten dat het natuurlijk laten verlopen van deze certificaten schadelijk is voor het vertrouwen in het PKIoverheid-stelsel. Bovendien bestaat het risico dat browserpartijen deze certificaten niet meer accepteren wanneer ze te lang worden aangehouden. Daarmee zou de elektronische gegevensuitwisseling worden gehinderd. De betreffende set UZI-certificaten zal daarom alsnog voor 1 oktober moeten worden vervangen en ingetrokken. Het CIBG is hier in opdracht van de toezichthouder nu mee aan de slag.

Alle zorgverleners die een certificaat moeten vervangen, hebben hierover eind augustus een e-mail en een brief ontvangen. Ook zijn de drie koepels van de grootste doelgroepen (Stichting InEen, LHV, KNMP) op de hoogte gesteld, zodat zij hun achterban kunnen oproepen de UZI-certificaten te vervangen. Vernieuwing moet voor dinsdag 17 september aanstaande bij het CIBG worden aangevraagd. Als het vervangende certificaat is uitgegeven, wordt het oude certificaat na 7 kalenderdagen ingetrokken.

Elektronische gegevensuitwisseling is de afgelopen jaren steeds belangrijker geworden in de zorg. Ik wil voorkomen dat zorgprocessen vertragen doordat het meer tijd kost om geverifieerde informatie beschikbaar te krijgen. Daarom ondersteunt het CIBG zorgaanbieders waar het kan bij tijdige vervanging. Ik zal zelf dit proces de komende weken bewaken.

Ik zal uw Kamer begin oktober weer informeren over de voortgang van de vervanging van de certificaten.

De Minister voor Medische Zorg, B.J. Bruins


X Noot
1

Kamerstuk 26 643, nrs. 599 en 608.

Naar boven