| Ingediend | 5 februari 2019 |
|---|---|
| Beantwoord | 7 maart 2019 (na 30 dagen) |
| Indieners | Joba van den Berg-Jansen (CDA), Enneüs Heerma (CDA), Harry van der Molen (CDA) |
| Beantwoord door | Raymond Knops (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (CDA), Wouter Koolmees (minister sociale zaken en werkgelegenheid) (D66), Hugo de Jonge (viceminister-president , minister volksgezondheid, welzijn en sport) (CDA) |
| Onderwerpen | organisatie en beleid werk |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2019Z02027.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20182019-1823.html |
Ja, de UZI-authenticatiemiddelen zullen vooralsnog gecontinueerd worden voor beroepen in de gezondheidszorg. De UZI-pas is bedoeld voor patiëntherkenning door zorgprofessionals en niet voor de uitwisseling van gegevens tussen UWV en bedrijven. Met de UZI-pas kan het BSN van de patiënt worden opgehaald en vastgelegd in de eigen administratie.
De aanstaande Wet digitale overheid (WDO) biedt de mogelijkheid om in plaats van een UZI-pas met een publiek identificatiemiddel (bijvoorbeeld DigiD) in te loggen en daarmee de identiteit van de zorgprofessional vast te stellen. Op basis van artikel 8 derde lid WDO kan bij ministeriële regeling worden bepaald dat een publiek identificatiemiddel kan worden gebruikt voor de functie die de UZI-pas nu heeft. Het is nog te vroeg om te zeggen of hier daadwerkelijk gebruik van zal worden gemaakt. Hiernaar is een eerste verkenning gestart.
Nee, het bericht klopt niet. Het onderzoek dat het Ministerie van Volksgezondheid, Welzijn en Sport heeft laten uitvoeren gaat specifiek over patiëntauthenticatie, en dus over het betrouwbaarheidsniveau (eIDAS Laag, Substantieel of Hoog) dat een patiënt (burger) moet gebruiken om toegang te krijgen tot zijn of haar gezondheidsgegevens. Het inloggen door de zorgverlener is daarbij buiten beschouwing gebleven.
In het onderzoek – dat dus uitsluitend betrekking had op de patiëntauthenticatie (het burgerdomein) – is inderdaad aangegeven dat voor de situatie waarbij toegang wordt gegeven aan het medische dossier aan patiënten, het betrouwbaarheidsniveau eIDAS Hoog passend is.
Ja, UWV heeft de risicoanalyse van de verzuimmelder op het werkgeversportaal in 2018 herhaald op basis van versie 4 van de handreiking voor overheidsorganisaties van Forum Standaardisatie. Een eerdere risicoanalyse was uitgevoerd in 2015. Uit beide analyses blijkt dat het niveau substantieel het passende niveau is voor de gegevens die worden verwerkt op het werkgeversportaal. Op het werkgeversportaal kan de werkgever ziekmeldingen en betermeldingen, meldingen van zwangerschaps- en bevallingsverlof, meerlingenverlof en adoptie- of pleegzorgverlof en meldingen van langdurige arbeidsongeschiktheid doorgeven. Dit betreft gezondheidsgegevens die niet onder het medisch beroepsgeheim vallen. Ook kan de werkgever onjuiste meldingen intrekken en een overzicht van de eigen meldingen inzien.
UWV heeft bij het vaststellen van het betrouwbaarheidsniveau gebruik gemaakt van het classificatiemodel conform de eIDAS-verordening. Hierbij is zowel rekening gehouden met de aard van de gegevens als de wijze waarop met de gegevens om wordt gegaan. De weging is op basis van de zes criteria uit het classificatiemodel. Daarnaast is gekeken naar risicoverhogende en risicoverlagende factoren conform de handreiking van het Forum Standaardisatie. In de risicoanalyse is het noodzakelijke niveau bepaald op «substantieel».
Nee, UWV heeft in 2018 een nieuwe risicoanalyse uitgevoerd. De reden dat UWV eHerkenning niveau 3 (substantieel) heeft geïmplementeerd is omdat uit de analyse blijkt dat dit het passende betrouwbaarheidsniveau is voor het werkgeversportaal.
De Autoriteit Persoonsgegevens schrijft in alinea 57 dat de analyse van UWV uit 2015 is gebaseerd op versie 3 van de Handreiking. Daarnaast stelt de Autoriteit Persoonsgegevens dat de Algemene verordening gegevensbescherming voorschrijft dat rekening wordt gehouden met de stand van de techniek. Inmiddels is versie 4 van de Handreiking beschikbaar. In alinea 58 stelt de Autoriteit Persoonsgegevens dat Handreiking versie 4 een ander toetsingskader hanteert dan versie 3. Derhalve heeft de Autoriteit Persoonsgegevens geconcludeerd dat UWV de risicoanalyse uit 2015 opnieuw dient uit te voeren (alinea 65). UWV heeft deze risicoanalyse in 2018 opnieuw uitgevoerd. Uit deze nieuwe risicoanalyse blijkt dat niveau substantieel het juiste niveau is. Ik deel niet de mening dat sprake is van het voorschrijven van eHerkenningsmiddelen op een verkeerd niveau.
Ik deel niet de mening dat sprake is van het voorschrijven van eHerkenningsmiddelen op een verkeerd niveau. Van een herstelactie is daarom geen sprake.
Zoals aangegeven in mijn brief aan uw Kamer van 26 november 2018 zijn er circa 157.000 werkgevers en circa 2.700 intermediairs (zoals arbodiensten, administratiekantoren of accountants), die geautoriseerd zijn voor ruim 25.000 werkgevers, die beschikken over een toegangsaccount voor het werkgeversportaal. Het is niet met zekerheid te zeggen of dit ook betekent dat hetzelfde aantal eHerkenningsmiddelen zal worden aangeschaft. In de huidige situatie hebben veel accounts voor het werkgeversportaal slechts één gemachtigde, maar in de praktijk wordt dat account vaak gedeeld en gebruikt als bedrijfsaccount. Een eHerkenningsmiddel is persoonsgebonden en op niveau «substantieel» worden aan identificatie en authenticatie meer eisen gesteld. Of dit invloed heeft op een toename van het aantal gebruikers moet blijken.
Nee, de kosten zijn niet te laag ingeschat. In de memorie van toelichting van de Wet digitale overheid wordt uitgegaan van een prijs van € 30 per jaar bij het afsluiten van een driejarig contract voor een eHerkenningsmiddel niveau substantieel. De schatting gaat uit van een volwassen markt met optimale concurrentie over ongeveer 5 jaar. Dat wil zeggen een situatie waarin vrijwel alle overheidsorganisaties zijn aangesloten en vrijwel alle bedrijven een middel hebben. Die situatie hebben we nog niet bereikt, maar de prijs van een driejarig contract ligt momenteel al rond de € 100 ofwel € 33 per jaar. Zie ook het leveranciersoverzicht: https://www.eherkenning.nl/inloggen-met-eherkenning/leveranciers/leveranciersoverzicht/.
Hierbij moet worden opgemerkt dat in de memorie van toelichting geen kosten voor machtigingen zijn opgenomen. Reden is dat 96% van het bedrijfsleven uit ZZP’ers en microbedrijven bestaat en aangenomen is dat deze bedrijven geen extra middelen of machtigingen zullen aanschaffen, omdat ze geen of weinig personeel hebben. Daarin verschilt de casus van UWV. De relatie met UWV bestaat juist, omdat er personeel in dienst is. In de praktijk zullen klanten van UWV vaak hun medewerkers of intermediairs machtigen om namens hen meldingen te doen. De prijs van het koppelen van een (extra) machtiging aan een eHerkenningsmiddel substantieel ligt momenteel op rond de € 8 per machtiging per jaar bij een driejarig contract.
Nee, dat is niet waar. Het UZI-authenticatiemiddel dient voor het vaststellen van het BSN van de patiënt door de zorgprofessional (zie vraag 1). De medewerkers verzuimbeheersing bij UWV werken sinds 1 januari 2019 onder de verantwoordelijkheid van de arts. De Autoriteit Persoonsgegevens heeft aangegeven dat deze werkwijze voldoet aan de Algemene verordening gegevensbescherming.
De Minister voor Medische Zorg en Sport is verantwoordelijk voor de uitgifte van de UZI-authenticatiemiddel, en zal daarom deze vraag beantwoorden.
Nee, de UZI-pas is alleen bedoeld voor het vaststellen van het BSN van de patiënt door de zorgprofessional.
Nee, het UZI-middel wordt gebruikt om het BSN te verkrijgen van de patiënt. Arbo en bedrijfsartsen en verzuimmedewerkers van werkgevers dienen eHerkenning te gebruiken voor de online toegang tot het werkgeversportaal.
De beantwoording van deze vragen heeft vanwege zorgvuldige afstemming meer tijd gevergd.