Wet digitale identificatie en authenticatie in de zorg (Wet Diaz)

Reactie

Vraag1

In de documenten afwisselend alleen (m.i. te restrictief) alleen over gegevensuitwisseling (bijvoorbeeld in het beleidskompas waar de omvang van het probleem beschreven wordt als “alle elektronische gegevensuitwisseling in de zorg”, maar ook in de definitie van “inlogmiddel” in het wetsvoorstel zelf) of (m.i. dus terecht) ook over toegang tot “zorginformatiesystemen” (zoals in de tweede alinea van paragraaf 1.3). M.i. is de laatstgenoemde brede interpretatie noodzakelijk en dus de juiste en zou dat consequent moeten worden doorgevoerd. Goede authenticatie (op eIDAS niveau hoog) is ook voor toegang tot lokaal al bekende gegevens noodzakelijk en gebruik van hetzelfde middel voor lokale toegang als nodig is voor gegevensuitwisseling kan de extra drempel van aparte authenticatie voor gegevensuitwisseling wegnemen. Overigens komt soms ook een combinatie voor waar het wél gaat over “zorginformatiesystemen” maar toch alleen “ten behoeve van gegevensuitwisseling’.

In paragraaf 2.2 van de MvT onderaan p.9 onder 1 worden WDO-middelen, PKI-o-middelen en zorgspecifieke middelen benoemd. Daar ontbreken m.i. eIDAS middelen die zijn erkend in andere landen en dus niet onder de WDO. Bovendien moeten deze middelen nog expliciet worden geaccepteerd door de minister (van VWS). Hoe voldoet dit aan eIDAS? En wat betekent dit voor niet-Nederlandse zorgverleners? Hoe realistisch is de verwachting uit hoofdstuk 3 van de MvT dat voor buitenlandse middelen het traject voor erkenning onder de WDO zal worden doorlopen?

In de tweede alinea onder Certificering en goedkeuring van zorgspecifieke middelen wordt ten onrechte beweerd dat een NEN werkgroep naast een norm ook een certificeringsschema opstelt. Dat gebeurt echter door een expertgroep.

In de Memorie van Toelichting kwam ik verder nog de nodige taalfouten tegen. Deze vermeld ik in een bijlage bij deze reactie.

Bijlage