Zorgverlener authenticatie

Zorgverlener authenticatie ()

VEREISTE
 - Zorgaanbieders moeten de voor de uitwisseling verantwoordelijke zorgverlener met zekerheid kunnen identificeren.  

VERANTWOORDELIJKHEID
- Bij raadpleegbaar maken:
De raadplegende zorgaanbieder moet zijn eigen gebruiker identificeren en authenticeren (NEN7510). De dossierhouder moet de identiteit kunnen controleren (d.m.v. een cryptografisch bewijs als een elekronische handtekening, volgens NEN7512).

- Bij verzenden:
De verzendende partij moet zijn eigen gebruiker identificeren en authenticeren (NEN7510). De dossierontvanger moet de identiteit kunnen controleren (d.m.v. een cryptografisch bewijs als een elekronische handtekening, volgens NEN7512). 


INVULLING TWIIN
Bij raadpleegbaar maken:
- De dossierraadpleger dient zijn eigen gebruikers te authenticeren op eIDAS hoog betrouwbaarheidsniveau.
- De authenticatie van van de gebruikers door het Twiin netwerk heen is nog niet mogelijk.
- Door het nog ontbreken van landelijke afspraken over cryptografisch bewijs hiervan / ondertekening wordt dit door Twiin nog niet vereist. De dossierhouder kan de externe gebruiker daarmee wel identificeren maar niet met zekerheid (authenticeren).

Bij verzenden:
- De dossierhouder dient zijn eigen gebruikers te authenticeren op eIDAS hoog betrouwbaarheidsniveau.
- De authenticatie van van de gebruikers door het Twiin netwerk heen is nog niet mogelijk.
- Door het nog ontbreken van landelijke afspraken over cryptografisch bewijs hiervan / ondertekening wordt dit door Twiin nog niet vereist. Op welke manier en met welk betrouwbaarheidsniveau deze ondertekening moet plaats vinden hangt ook af van de NEN7512 risicoklasse waar de betreffende gegevensuitwisseling onder valt.
- De dossierontvanger kan de externe gebruiker daarmee wel identificeren maar niet met zekerheid (authenticeren). 

TOELICHTING
- NEN7512:2022 bepaalt het volgende: “Authenticatie van gebruikers van uit te wisselen persoonlijke gezondheidsinformatie moet in overeenstemming met eIDAS zijn, waarbij het betrouwbaarheidsniveau ‘hoog’ moet worden gebruikt.” Dit betekent dat de initiërende gebruiker geauthenticeerd moet worden.

Ondertekening van het uitgewisselde is ook verplicht (NEN7512:2022): “Ondertekening bij uitwisseling dient twee doelen. Ten eerste de toegenomen zekerheid omtrent de integriteit van de uitgewisselde gegevens en ten tweede de zekerheid omtrent de afzender. Immers, veel instellingen hebben grote hoeveelheden medewerkers en voorkomen behoort te worden dat een niet daartoe geautoriseerde medewerkere de indruk kan wekken dat een onjuiste uitwisseling eigenlijk een goede uitwisseling is.“ Ondertekening van gegevens is bedoelt voor de ontvanger. De ontvanger is gehouden op basis van NEN7512:2022 om de ondertekening te controleren, dus bij raadplegen de dossierhouder en bij verzenden de dossierontvanger. De risicoklasse van de uitwisseling bepaalt welk betrouwbaarheidsniveau vereist is voor de handtekening.



v05.02c Zorgverlener authenticatie
5.2 Vertrouwen: Authenticatie



beïnvloedt	Zorgverlener authenticatie	2.4 Beveiliging
beïnvloedt	Zorgverlener authenticatie	5.10 Authenticatie
beïnvloedt	Zorgverlener authenticatie	5.11
beïnvloedt	Zorgverlener authenticatie	2.5 Privacy
beïnvloedt	Zorgverlener authenticatie	Auth-01 Zorgverlener authenticatie
bevat vereiste	5.2 Vertrouwen: Authenticatie	Zorgverlener authenticatie
	5.0 Vertrouwensmodel	Zorgverlener authenticatie