Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2009–2010 Aanhangsel van de Handelingen Vragen gesteld door de leden der Kamer, met de daarop door de regering gegeven antwoorden PKI-overheid certificaten een als basis te nemen voor de 1173 beveiligingsniveau van 5 en daarmee beveiliging van het EPD? Zo niet, het hoogst mogelijke niveau kan waarom niet? Vragen van het lid Zijlstra (VVD) aan leveren? de minister van Volksgezondheid, 1 Handelingen II, vergaderjaar 2008–2009, Welzijn en Sport over de beveiliging 5 nr. 43, blz. 3769–3794. van het elektronisch patiëntendossier Is het waar dat het ministerie van 2 «Beveiligingeisen ten aanzien van (EPD). (Ingezonden 26 november Binnenlandse Zaken en identificatie en authenticatie voor toegang 2009) Koninkrijksrelaties gebruik gaat zorgconsument tot het Elektronisch maken van de beveiligingstechniek Patiëntendossier (EPD)» PWC, Radboud 1 Universiteit Nijmegen en Universiteit Tilburg met PKI-overheid certificaten? Is het Staat u nog steeds achter uw (2 december) 2008. waar dat de Belastingdienst vanwege uitspraak dat «het landelijk EPD moet veiligheidsredenen afscheid neemt veilig zijn en de privacy van de Antwoord van DigiD en zal overstappen naar de mensen moet zijn gewaarborgd. Daar beveiligingstechniek met Antwoord van minister Klink werken wij niet alleen hard aan, die PKI-overheid certificaten? (Volksgezondheid, Welzijn en Sport) privacy is zelfs gegarandeerd»?1 (ontvangen 11 januari 2010) 6 2 Is het waar dat het Nationaal ICT 1 Bent u bekend met de uitspraak van Instituut in de Zorg (Nictiz) u heeft Ja. Zoals ik heb vermeld in mijn Price Waterhouse Coopers, de voorgesteld een pilot met deze brief van 27 november jl. Radboud Universiteit Nijmegen en de techniek op te zetten en dat u tot op (MEVA/ICT-2973937) biedt de Universiteit Tilburg in een heden hieraan geen gevolg heeft landelijke infrastructuur van het EPD gezamenlijk rapport dat DigiD+ een te gegeven? Kunt u toelichten waarom u een hoogwaardig beveiligingsniveau lage bescherming biedt voor een dergelijke pilot tot op heden niet met strenge privacyeisen, die met medische patiëntgegevens?2 Wat is hebt opgestart? het College Bescherming uw mening over deze uitspraak? Persoonsgegevens is afgestemd. 7 3 Kunt u uiteenzetten hoe u de 2 Bent u bekend met de uitspraak «het landelijk EPD moet Ja. Dit rapport, dat in opdracht van beveiligingstechniek die gebruik veilig zijn en de privacy van de mij is gemaakt, heb ik als bijlage aan maakt van Public Key Infrastructure mensen moet zijn gewaarborgd. Daar u aangeboden bij mijn brief over het (PKI)-overheid certificaten? Kunt u werken wij niet alleen hard aan, die EPD van 12 december 2008 (TK ingaan op de stelling dat deze privacy is zelfs gegarandeerd» denkt 2008–2009, 27 529, nr. 53). techniek aanzienlijk veiliger en ook waar te maken als u vast blijft houden In het rapport wordt beargumenteerd goedkoper is dan DigiD+? aan DigiD+ als beveiligingstechniek dat het huidige niveau DigiD-midden 4 voor het EPD? niet voldoet vanwege het Is het waar dat DigiD+ een uitgifteproces. Het rapport beveelt 8 beveiligingsniveau van 2+ kan daarom een variant aan op Bent u bereid de beveiligingstechniek leveren en dat de DigiD-midden, met een verbeterd met PKI-overheid certificaten, of een beveiligingstechniek met uitgifteproces op basis van andere niveau 5 beveiligingstechniek, KVR38922 2009Z22694 0910tkkvr1173 ISSN 0921 - 7398 Sdu Uitgevers ’s-Gravenhage 2010 Tweede Kamer, vergaderjaar 2009–2010, Aanhangsel 2485 face-to-face uitgifte aan een balie. groot aantal andere Volgens de analyse van het rapport overheidsorganisaties – gebruik van kan daarmee het vereiste beveiligingstechnieken op basis van beveiligingsniveau worden PKI-overheid. gerealiseerd. Deze aanbeveling wordt De Belastingdienst heeft destijds een op dit moment opgevolgd met de belangrijke impuls aan het gebruik ontwikkeling van EPD-DigiD. van DigiD gegeven door het gebruik van (het basisniveau van) DigiD 3 verplicht te stellen voor het doen Ja. Voor de toegang van de van elektronische aangifte zorgaanbieder tot het EPD met de inkomstenbelasting. De met DigiD UZI-pas wordt gebruik gemaakt van opgedane ervaringen zijn zonder PKI-overheid certificaten. In mijn brief meer positief, zodat de van 12 december 2008 heb ik Belastingdienst geen enkel aangegeven hoe ik, rekening voornemen heeft om af te stappen houdend met deze context, ben van DigiD. gekomen tot de ontwikkeling van EPD-DigiD. Hierbij is aangesloten bij 6 het generieke middel voor Bij de gedachtevorming over de authenticatie voor burgers voor toegang van de patiënt tot het EPD is diensten van de overheid (DigiD), dat de eNIK onderwerp van gesprek zodanig wordt aangevuld dat het geweest tussen Nictiz en VWS. aansluit bij het niveau van beveiliging Vanwege de onzekere en privacy uit eerder genoemd realisatietermijn van de eNIK is hier rapport van PWC en adviezen van het geen verdere uitwerking aan CBP. gegeven. Het Nictiz is op dit moment nauw betrokken bij de ontwikkeling 4 van de toegang van de patiënt tot het In het rapport is aangegeven dat bij EPD. Vanuit Nictiz heeft mij geen het ontwerp van DigiD is uitgegaan concreet voorstel bereikt voor een van drie zekerheidsniveaus voor pilot op basis van PKI-overheid authenticatie, namelijk basis (niveau techniek. 1), midden (niveau 2) en hoog (niveau 3). De onderzoekers stellen dat gelet 7 op de juridische en technische Zie het antwoord op vragen 2 en 3. beveiligingseisen rondom het EPD, 8 een zekerheidsniveau van meer dan 2 Zie het antwoord op vragen 2 en 3. noodzakelijk is. Het hoogste zekerheidsniveau zoals benoemd in het rapport is niveau 3. In het rapport wordt aangegeven dat authenticatie met zekerheidsniveau 3 via de eNIK zal kunnen plaatsvinden. Bij de eNIK zal gebruik worden gemaakt van PKI-overheid. Zoals ik heb aangegeven in mijn brief van 12 december 2008 is echter uit gesprekken met het ministerie van Binnenlandse Zaken en Koninkrijksrelaties duidelijk geworden dat de eNIK de komende jaren niet gereed zal zijn. Gelet op de prioriteit om de zorgconsument toegang te geven tot een deel van diens medische gegevens, is besloten om alternatieve toegangsmiddelen in kaart te brengen met een zekerheidsniveau hoger dan het huidige zekerheidsniveau «midden». Op basis hiervan heb ik besloten het EPD-DigiD te laten ontwikkelen. 5 Het ministerie van BZK, dat de beheerder is van het stelsel van PKI-overheid, maakt zelf – net als een Tweede Kamer, vergaderjaar 2009–2010, Aanhangsel 2486