Blockchain en het PGB: Privacy

Een visie over het gebruik van de blockchain in de zorg

Bas Geertsema

De blockchain is een fascinerende techiek die tegelijkertijd moeilijk te vatten kan zijn voor niet-ingewijden. Het ontwerp van een blockchain is sterk verstrengeld met de toepassing ervan en dit maakt het voor beleidsmakers, managers en ondernemers niet eenvoudig om te bepalen wat de mogelijkheden van een blockchain zijn en hoe dit effectief kan worden ingezet. Ter inspiratie beschrijf ik in een vijfdelige serie hoe een blockchain meerwaarde kan hebben voor de uitvoer van het Persoonsgebonden Budget (PGB). In dit deel: hoe kunnen we de privacy van budgethouders en zorgverleners waarborgen?

Dit artikel is onderdeel van een serie. Lees ook de andere delen:

  1. Blockchain en het PGB: Introductie
  2. Blockchain en het PGB: Digitale Zorgmunt
  3. Blockchain en het PGB: Privacy
  4. Blockchain en het PGB: Factureren en Uitbetalen
  5. Blockchain en het PGB: Workflow, Innovatie en Uitdagingen

Waarborging privacy en uitwisseling persoonsgegevens

Beveiliging van de blockchain databron

Een blockchain is per definitie decentraal opgezet. Dit houdt in dat er meerdere servers op elkaar worden aangesloten die elkaar vertrouwen maar waarbij er geen enkele server uiteindelijke zeggenschap heeft. Servers zijn verspreid over verschillende instanties en over meerdere geografische locaties. Deze spreiding versterkt de continuïteit van dienstverlening. Elke server heeft een volledige kopie van de blockchain. Dit betekent dat de gegevens in de blockchain in principe leesbaar zijn voor alle servers, en indirect voor de organisaties die deze servers in beheer hebben. De (gehele) blockchain is niet inzichtelijk voor andere partijen die gebruik maken van de blockchain. Bijvoorbeeld budgethouders of zorgaanbieders kunnen dus niet zondermeer de gehele blockchain inzien of downloaden. De servers kunnen eventueel achter firewalls en in beveiligde datacentrums staan om de beveiliging van de databron te vergroten.

Versleuteling gevoelige (persoons)gegevens

De PGB blockchain kan worden gezien als een dienst waar verschillende entiteiten verbinding mee maken. Een entiteit in de context van een blockchain is een breed concept en omvat diverse actoren: budgethouders, zorgverleners, familieleden, publieke en private organisaties, medewerkers, applicaties en servers.

Elke entiteit die verbinding maakt met de PGB blockchain identificeert zichzelf met een digitale sleutel. Een digitale sleutel bestaat uit twee delen die mathematisch met elkaar verbonden zijn: een publieke sleutel en een privésleutel. Dit zijn in feite twee hele grote getallen. Deze combinatie wordt ook een sleutelpaar genoemd. De publieke sleutel is het getal dat ook als identiteitskenmerk wordt gebruikt op de blockchain. De privésleutel is noodzakelijk om aan andere entiteiten te bewijzen dat je ook daadwerkelijk de identiteit bent achter de publieke sleutel. De privésleutel moet dus altijd geheim worden gehouden om te voorkomen dat andere entiteiten zich voordoen als een andere identiteit. Een privésleutel in de verkeerde handen kan bijvoorbeeld identiteitsfraude tot gevolg hebben.

Digitale sleutels worden op de PGB blockchain niet alleen gebruikt ter identificatie, maar ook om gevoelige (identiteits)gegevens verborgen te houden. Gegevens die in verband staan met een entiteit worden als ‘feiten’ (in het engels claims) gerepresenteerd in de PGB blockchain. Deze feiten kunnen in principe door elke entiteit worden aangemaakt en digitaal worden ondertekend door diezelfde entiteit. Als een feit digitaal is ondertekend kan het niet meer worden gewijzigd. Een feit kan zonder versleuteling worden gepubliceerd op de blockchain. Dan is het feit voor iedereen te lezen. Bij gevoelige (persoons)gegevens kan ervoor worden gekozen om het feit te versleutelen met de publieke sleutel van de tegenpartij. In dat geval is het feit enkel te lezen voor de tegenpartij middels het gebruik van de privésleutel. Hieronder volgt een voorbeeld om te duiden hoe dit in de praktijk werkt:

Laura de Vries is een budgethouder. Zij woont in Haarlem en ontvangt vanuit de gemeente Haarlem een Wmo-budget voor huishoudelijke hulp. Zij maakt voor het eerst gebruik van de PGB blockchain en wil kenbaar maken wie zij is aan de gemeente Haarlem. Zij voert haar eigen naam, ‘Laura de Vries’, op in haar mobiele app. De app genereert dit als feit en ondertekent de feit met de nieuw aangemaakte digitale sleutel van Laura zelf. Niemand kan nu nog de naam in de feit veranderen. Haar mobiele app publiceert dit feit op de blockchain en koppelt het aan de entiteit van Laura, het is immers een feit over haarzelf. De app weet dat dit gevoelige gegevens zijn en daarom versleutelt de app dit feit met de publieke sleutel van de gemeente Haarlem. Dit zorgt ervoor dat alleen de gemeente Haarlem haar naam kan inzien. Op het moment dat Laura, via de PGB blockchain, een transactie start met de gemeente Haarlem weet de gemeente Haarlem hierdoor met wie zij te maken hebben door dit feit uit te lezen.

De betrouwbaarheid van een feit is afhankelijk van het vertrouwen dat de tegenpartij heeft in de partij die het feit heeft ondertekend. In bovenstaand voorbeeld met Laura had zij zichzelf ook een heel andere naam kunnen geven, bijvoorbeeld ‘Wendy Jansen’, en dat kunnen presenteren als ‘feit’ aan de gemeente Haarlem. Hoewel het als een feit wordt gepubliceerd op de blockchain komt dit natuurlijk niet overeen met de werkelijkheid. Dit is dus vanuit het perspectief van de gemeente Haarlem niet heel betrouwbaar. In de praktijk zullen gevoelige feiten zoals namen, BSN nummers en KvK nummers moeten worden ondertekend door een vertrouwde instantie voordat de feiten als waarheid worden aangenomen. Hieronder volgt een voorbeeld:

De gemeente haarlem wil het BSN van Laura, maar vertrouwt er niet op dat dit klopt als zij het zelf opgeeft zoals in het voorgaande voorbeeld. Daarom logt Laura via haar mobiele app met behulp van DigiD in op een online overheidsportaal. Eenmaal ingelogd geeft haar mobiele app automatisch door aan het portaal wat haar entiteit is op de PGB blockchain. Omdat zij heeft ingelogd met DigiD is haar identiteit voldoende geverifieerd en het overheidsportaal creëert nu een feit met haar BSN. Dit feit wordt ondertekend door het overheidsportaal zelf en versleuteld met de publieke sleutel van Laura, zodat dit feit voorlopig alleen voor haarzelf inzichtelijk is. Het feit kan nu direct op de blockchain worden gepubliceerd door haar mobiele app. Laura besluit dat de gemeente Haarlem deze gegevens mag inzien en geeft haar mobiele app de opdracht om het nieuwe feit over haarzelf opnieuw te versleutelen met de publieke sleutel van de gemeente Haarlem. Haar BSN nu ook uit te lezen door de gemeente. De gemeente Haarlem vertrouwt hier nu op, omdat de gemeente kan verifiëren dat het feit is ondertekend door het (vertrouwde) overheidsportaal en niet door Laura zelf.

In bovenstaand voorbeeld wordt duidelijk dat feiten kunnen worden doorgestuurd naar andere entiteiten. Zo kan Laura het feit met haar BSN ‘doorsturen’ naar de gemeente Haarlem. Zij kan dit ook naar andere partijen doen, bijvoorbeeld naar haar zorgverleners. Maar het is ook mogelijk voor de gemeente Haarlem om dit feit door te sturen naar andere partijen waarvoor deze persoonsgegevens noodzakelijk zijn, bijvoorbeeld de SVB. Het ‘doorsturen’ van een feit is, zonder de inhoud publiekelijk te maken, zichtbaar op de blockchain en daarmee volledig transparant. Hierdoor is er ook een sociale controle op het ongeoorloofd doorsturen van privacygevoelige gegevens.

Een feit dat één keer wordt uitgegeven kan dus meerdere keren worden ingezet om iets kenbaar te maken voor tegenpartijen. Een zelfstandige zorgverlener (ZZP) zal bijvoorbeeld eenmalig het Kamer van Koophandel (KvK) nummer opvragen bij de KvK als feit. Vervolgens kan dit feit worden gedeeld met de SVP, zorgverzekeraars, budgethouders, etc. Omdat alle partijen zien dat het is ondertekend door de KvK wordt het opgegeven KvK nummer direct vertrouwd.

Eventueel kan er een verloopdatum worden ingesteld op een feit. Nadat het feit is verlopen, is het noodzakelijk om het feit te vernieuwen met een verloopdatum dat in de toekomst ligt.

Door de versleuteling van feiten worden gevoelige (persoons)gegevens beveiligd. Dit betekent dat medewerkers van andere organisaties of zelfs systeembeheerders privacy-gevoelige gegevens niet kunnen lezen. Zelfs als de gehele blockchain opeens op straat komt te liggen dan zijn de gegevens nog steeds beveiligd en onleesbaar voor anderen.

comments powered by Disqus