AP: toegang tot patiëntenportalen ziekenhuizen betrouwbaar inrichten

Steeds meer ziekenhuizen hebben een patiëntenportaal. Via zo’n portaal kunnen patiënten online hun (medische) gegevens inzien. Het is belangrijk dat alleen de patiënten zelf toegang kunnen krijgen tot hun gegevens en niemand anders. Ziekenhuizen moeten er daarom voor zorgen dat zij op een betrouwbare manier toegang geven tot het patiëntenportaal. De Autoriteit Persoonsgegevens (AP) wijst de Nederlandse Vereniging van Ziekenhuizen (NVZ) er in een brief op dat ziekenhuizen hierin nu nog te vaak tekortschieten.

Bij de toegang tot gegevens die onder het medisch beroepsgeheim vallen, is patiënt-authenticatie - controleren of degene die wil inloggen daadwerkelijk de patiënt is - op het hoogste betrouwbaarheidsniveau vereist.

Tweefactorauthenticatie

Ziekenhuizen moeten daarom gebruikmaken van zogeheten tweefactorauthenticatie. Dat betekent dat het niet betrouwbaar genoeg is als patiënten inloggen met alleen een gebruikersnaam en een wachtwoord, maar dat er nog een verificatiemiddel nodig is. Bijvoorbeeld een token of een sms-code.

Onderzoek patiëntenportalen

De aanleiding voor de brief van de AP is een onderzoek van Nictiz waaruit blijkt dat bij een aanzienlijk aantal patiëntenportalen geen gebruik wordt gemaakt van de vereiste tweefactorauthenticatie (bijvoorbeeld DigiD en sms).

De NVZ gaat in 2017 ziekenhuizen stimuleren om een patiëntenportaal in te richten en biedt daarbij ondersteuning en handreikingen. Ook dat is reden voor de AP om deze brief aan de NVZ te sturen en erop te wijzen dat ziekenhuizen de toegang tot een patiëntenportaal betrouwbaar moeten inrichten.

Maatregelen

Afgaand op het onderzoek van Nictiz, handelt momenteel een behoorlijk aantal ziekenhuizen nog niet in overeenstemming met de eisen uit de Wet bescherming persoonsgegevens. De AP gaat ervan uit dat deze ziekenhuizen snel zullen overstappen op tweefactorauthenticatie. Zo niet, dan kan de AP handhavende maatregelen nemen.