Ontbrekende identificatie met BSN in zorgportaal veroorzaker vreemde zaken

 identificatieOnlangs maakte een huisarts mij attent op een apart probleem. Dat heeft te maken met de manier waarop een bepaald zorgportaal, Pharmeon, aan een huisartsinformatiesysteem(HIS) gekoppeld zit. Pharmeon is een bedrijf dat zorgportalen maakt waarmee patiënten online afspraken kunnen maken, eConsulten, herhaalrecepten aanvragen EN inzage kunnen krijgen in het huisartsdossier. De patiënt maakt daarvoor een account aan. Die aanvraag bereikt de huisarts en die moet dan in het  Pharmeon-HIS-koppelvlak, de beheersomgeving, zijn/haar fiat geven aan de koppeling. Daarna kan de patiënt via het portaal de patiëntengegevens inzien. Daarbij ligt de verantwoordelijkheid voor de verificatie of de patiënt degene is die hij/zij zegt te zijn(identificatie) vrij eenzijdig bij de huisarts. Er kan daardoor nog weleens iets mis gaan. Ik zal twee voorbeelden de revue laten passeren.

Geen DigiD

De patiënt die een account aanmaakt in de Pharmeon-omgeving om inzage te gaan regelen doet dat door invullen van zijn naam, geboortedatum, NAW-gegevens plus telefoonnummer en eigen emailadres. Het is niet de bedoeling dat  meerdere mensen uit één woonverband hetzelfde emailadres gebruiken. Dat emailadres is nodig om nadien bij elke keer inloggen met inlognaam en wachtwoord een unieke sessiecode te ontvangen. Zonder die code gaat de sessie niet door. Bij het elektronisch doorsturen van de aanvraag naar het Pharmeon-HIS-koppelvlak vindt matching van de aanvrager met de in het HIS bekende patiëntgegevens plaats op basis van naam en geboortedatum. Tot mijn grote verbazing gebruikt men nog steeds geen DigiD daarbij. Op die manier zou een deel van de identificatie al bij het begin van de aanvraag plaats vinden. Bij DigiD-gebruik zou het BurgerService-Nummer(BSN) automatisch geverifieerd in beeld komen en vergeleken kunnen worden met in het HIS bekende BSN.

Wat stelt Pharmeon?

Bij de informatie die de huisarts krijgt bij de diensten van Pharmeon staat:

“Het is aan u als huisartsenpraktijk hoe wordt omgegaan met de controle van de identiteit van de patiënt voordat de eenmalige koppeling tot stand wordt gebracht. Let op! Leverancier van het HIS en Pharmeon adviseren u om de identiteit van de patiënt in de praktijk zelf te verifiëren, voordat u de koppeling tot stand brengt. U kunt de patiënt specifieke instructies geven ten behoeve van de identiteitscontrole. Dit kan bijvoorbeeld door de patiënt te verzoeken zich in de praktijk te melden of door contact met hem of haar op te nemen via een telefoonnummer dat al bij u bekend is en controlevragen te stellen.”

Huisarts A

Huisarts A kreeg in het Pharmeon-MicroHIS-koppelvlak een nieuwe aanvraag binnen waarbij de matching met patiënten uit zijn HIS aangaf dat er twee mensen bestonden met dezelfde achternaam en geboortedatum. U raadt het al. De koppeling vond plaats met de verkeerde van de twee. Je kunt daarbij natuurlijk stellen dat de identiteitscontrole, die Pharmeon aanraadt, misschien niet helemaal gevolgd zal zijn. Toch is het beslist onvoldoende als bij het matchen van de aanvrager en de personen in het HIS er geen automatische controle is van het BSN.

Bij gebruik van het BSN, gegenereerd via het DigiD-gebruik, had er  een match geweest met slechts één persoon. De matching tussen de aanvrager en de personen in het HIS zou voor een min of meer “fool”-proof moeten zijn.  Huisarts A was dan ook zeer verbaasd dat er geen matching plaats vond op basis van eenduidige identificerende kenmerken, zoals bijv. het BSN. Iets wat automatisch gebeurt zou zijn als het DigiD verplicht was bij het aanmaken van een account en bij het inloggen.

Huisarts B

In het blad SynthesHIS, tijdschrift voor huisarts en automatisering, uitgegeven door drie HIS-gebruikersverenigingen, stond in jaargang 19, nummer 3 een MicroHIS Praktijksignaal van een huisarts uit Limburg, Caroline Norg-Schulpen. Die had ooit een accountaanvraag voor het portaal geaccordeerd van een meneer P, geb. 5 juni 1967 met zijn emailadres. In de beheersomgeving (het Pharmeon-HIS-koppelvlak) kan je aangeven dat je een notificatie wilt krijgen als een portaalgebruiker zijn of haar persoonlijke gegevens aanpast. De huisarts kreeg de melding dat de zorgportaalgebruiker met het eerder bekende emailadres zijn geboortedatum en geslacht had veranderd. Een blik in het HIS leerde dat de echtgenote van de portaalgebruiker de gemuteerde datum als geboortedatum en het nieuw opgegeven geslacht had. Blijkbaar wilde zij met het emailadres van de man gebruik gaan maken van het portaal. Als de vrouw inlogde in het portaal zag ze wel het dossier van haar man en niet het eigen.

Vervolg huisarts B

Deze huisarts constateerde dan ook terecht dat een verandering van zoiets essentieels als een geboortedatum niet automatisch leidt tot een ontkoppeling van het account met het HIS. De huisarts meldde dit aan Pharmeon, de leverancier van het portaal. Ze kreeg als reactie dat de gebruiker te allen tijde hetteaser3 recht heeft zijn/haar persoonlijke gegevens te wijzigen. De huisarts constateert dan ook dat misverstanden of misbruik hier op de loer  liggen. Ze vraagt zich dan ook in mijn ogen terecht af bij wie de verantwoordelijkheid ligt als dit soort zaken misgaan. In dit geval  had de huisarts de optie om notificaties van wijzingen van accountgegevens te ontvangen aan staan. Volgens stap 1, punt 4, van de Implementatie Handreiking van Pharmeon kan de huisarts die notificaties aan- of uitzetten. Had ze de notificaties uitstaan dan had ze de vreemde accountmutatie nooit gezien. Maar was wel verantwoordelijk geweest voor het eventueel onterecht inzien van een dossier.

Uitleg Pharmeon over aan-/uitzetten notificaties

Uitleg van Pharmeon leerde mij dat als de notificaties uitstaan, het systeem geen veranderd account toe zal staan. Als de notificaties aanstaan, ziet de huisarts deze vreemde poging tot wijziging en kan die verder blokkeren. Of eventueel toch accorderen als bij uitgebreid navragen blijkt dat de patiënt eerder een vergissing maakte bij het aanmaken van het account.

DigiD-beperking door BZK

Naar ik vernomen heb van de directeur van Pharmeon is het niet gebruiken van DigiD op dit moment uitsluitend het gevolg van door de overheid(ministerie van Binnenlandse Zaken) verordonneerde beperkingen van het gebruik van DigiD. Het is beslist geen onwil van Pharmeon. Over enkele dagen zal ik daar in een artikel aandacht aan besteden.  Helaas ligt de identificatie-taak daardoor volledig bij de huisartsen.  Digitalisering van de zorg moet de arts dienen. In dit geval is het geen dienen, maar het verzwaren van een bestaande taak. Die taak is het weten wie je op welk moment voor je hebt. Zowel fysiek als digitaal.

Ik beschreef de aparte zaken bij twee huisartsen. Als het daar gebeurt, moet het in menigvoud ook elders geschieden. Het wordt tijd dat de patiënt voor het aanmaken van accounts EN bij het inloggen op het zorgportaal identificatie-methoden zoals de DigiD gebruikt. Het op dit moment niet kunnen gebruiken van DigiD of andere identificatiemethoden door overheidsbeperkingen beschouw ik als betreurenswaardig.

W.J. Jongejan, 9 juli 2021

Afbeelding van DaModernDaVinci via Pixabay 

09-07-2021: Alinea Uitleg Pharmeon over aan-/uitzetten notificaties toegevoegd na gesprek met leiding van Pharmeon.

11-07-2021: Alinea Misser, nu met kop DigiD-beperking door BZK aangepast na verkrijgen van aanvullende informatie van de leiding van Pharmeon.