Privacy-Preserving Patient Identity Management Framework for Secure Healthcare Access

Dit paper presenteert een privacy-bewust, patiëntgericht raamwerk voor identiteitsbeheer in de gezondheidszorg dat operationele betrouwbaarheid combineert met sterke bescherming tegen linkbaarheid en traceerbaarheid, waarbij de beveiliging en haalbaarheid formeel zijn geverifieerd en gesimuleerd.

De kern

De "Digitale Paspoort" voor een Veilig en Privé Ziekenhuisbezoek

Stel je voor dat je naar de dokter gaat. In het ideale wereldje zou je gewoon je naam kunnen zeggen, je medische geschiedenis veilig kunnen delen, en de dokter zou alles weten wat hij nodig heeft. Maar in de echte wereld is dit lastig. Als je overal je echte naam en geboortedatum gebruikt, kunnen verschillende ziekenhuizen, apotheken en verzekeraars jouw gegevens aan elkaar knopen. Ze kunnen een "profiel" van je maken: "Ah, deze persoon gaat elke maand naar de dermatoloog, elke drie maanden naar de cardioloog en koopt altijd dit specifieke medicijn." Dat is een risico voor je privacy.

Aan de andere kant, als je bij elke dokter een nieuwe naam gebruikt, kan de dokter je oude dossiers niet vinden. "Wie ben jij eigenlijk? Heb je al een allergie voor penicilline?" Als ze dat niet weten, kan dat gevaarlijk zijn.

De auteurs van dit papier, Nasif Muslim en Jean-Charles Grégoire, hebben een slimme oplossing bedacht. Ze noemen het een HIDM-framework. Laten we dit uitleggen met een creatieve analogie: De "Magische Koffer" en de "Dubbele Sleutel".

1. Het Probleem: De "Naamloze" Dilemma

Stel je voor dat je een koffer (je medische gegevens) hebt.

• Huidige situatie: Je gebruikt overal dezelfde naam op je koffer. Als je bij de dokter bent, ziet hij je naam. Als je bij de apotheek bent, ziet hij ook je naam. Als de dokter en de apotheker praten, weten ze direct: "Oh, die persoon is bij ons beiden geweest." Dat is te makkelijk te volgen.
• Andere oplossing: Je gebruikt een willekeurige code op je koffer bij elke dokter. De dokter ziet de code, maar weet niet wie je bent. Het probleem? De dokter kan je oude koffers niet vinden omdat hij niet weet dat "Code A" en "Code B" van dezelfde persoon zijn.

2. De Oplossing: De Magische Koffer

De auteurs bouwen een systeem waar je twee verschillende identiteiten tegelijk gebruikt, die door een slimme sleutel met elkaar verbonden zijn, maar niet door de mensen die je helpen.

De Hoofdrolspelers (De "Ambtenaren")

In dit systeem zijn er twee belangrijke instanties die niet met elkaar praten, tenzij het echt nodig is:

1. De "Identiteitsbewaarder" (APC): Deze weet wie je echt bent (je naam, adres, geboortedatum) en koppelt dat aan een interne code (je PatientID).
2. De "Naamloze Wachter" (PTA): Deze weet alleen dat je een code hebt, maar niet wie je bent. Hij geeft je een schuilnaam (een pseudoniem) voor je bezoek.

Hoe werkt het in de praktijk? (De Analogie)

Stap 1: Je krijgt je "Magische Koffer" (Patient Credential)
Je gaat naar de Identiteitsbewaarder. Je laat je echte paspoort zien. Hij geeft je een digitale "Magische Koffer". In deze koffer zit een bewijs dat je echt bent, maar niemand kan zien wat er in de koffer zit zonder de juiste sleutel.

Stap 2: Je krijgt een "Schuilnaam" (Pseudonym Token)
Je gaat naar de Naamloze Wachter. Je laat je Magische Koffer zien. De Wachter zegt: "Oké, je bent echt, maar ik weet niet wie je bent." Hij geeft je een Schuilnaam (bijvoorbeeld "Patiënt 789").

• Het slimme trucje: De Wachter weet niet dat "Patiënt 789" jou is. Alleen de Identiteitsbewaarder weet dat.
• De Magie: Je Magische Koffer is zo gemaakt dat hij bewijst dat "Patiënt 789" echt van jou is, zonder dat de Wachter je echte naam hoeft te zien. Dit heet kryptografisch bewijs.

Stap 3: Het Ziekenhuisbezoek (De Consultatie)
Je gaat naar de dokter.

• Je zegt niet je naam, maar je geeft je Schuilnaam ("Patiënt 789").
• De dokter ziet alleen deze naam. Hij kan niet zien dat je ook "Patiënt 456" was bij de vorige dokter. Je bent onkoppelbaar.
• Maar! De dokter heeft wel toegang tot je medische dossier. Hoe? Omdat er een Magische Sleutel (een versleutelde code) in je koffer zit die alleen het centrale archief (HRR) kan openen.
• Het centrale archief ziet: "Ah, deze Schuilnaam hoort bij de code van de Magische Koffer." Het archief kan je dossier openen en de dokter de informatie geven, maar de dokter ziet nooit je echte naam.

3. Wat als er iets misgaat? (De "Noodknop")

Stel, er is een juridisch onderzoek nodig (bijvoorbeeld voor fraude of een misdrijf). Dan mag je niet meer anoniem zijn.
In dit systeem is er een Noodknop, maar die werkt alleen als twee mensen samenwerken:

1. De Identiteitsbewaarder moet zeggen: "Deze code hoort bij Jan Jansen."
2. De Naamloze Wachter moet zeggen: "Deze Schuilnaam hoort bij die code."

Pas als beiden het zeggen, kunnen ze Jan Jansen koppelen aan zijn Schuilnaam. Als één van hen weigert of niet samenwerkt, blijft het geheim. Dit heet Conditionele Traceerbaarheid. Het is als een kluis met twee sloten: je hebt twee verschillende sleutels nodig om hem open te maken.

4. Waarom is dit zo goed?

• Privacy: De dokter en de apotheek weten niet wie je echt bent, en ze kunnen niet zien dat je bij meerdere artsen bent geweest. Ze zien alleen een willekeurige code.
• Veiligheid: Je medische geschiedenis is wel beschikbaar voor de juiste dokter. Geen vergeten allergieën meer!
• Snelheid: De auteurs hebben getest of dit systeem snel genoeg is. Het blijkt dat het net zo snel werkt als het typen van een naam in een computer. Het vertraagt het bezoek dus niet.
• Vertrouwen: Alles is versleuteld en getekend met digitale handtekeningen. Niemand kan je dossier vervalsen of stelen.

Samenvatting in één zin

Dit systeem is als een onzichtbare mantel die je draagt bij de dokter: je kunt je medische geschiedenis veilig delen, maar niemand kan zien wie je bent of waar je anders bent geweest, tenzij er een juridische noodzaak is en twee bewakers samenwerken om de mantel te laten zakken.

Het lost het eeuwige probleem op: hoe zorg je voor goede, continue zorg zonder je privacy te verkopen? Door slimme sleutels en twee verschillende bewakers die niet met elkaar praten.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het artikel "Privacy-Preserving Patient Identity Management Framework for Secure Healthcare Access" in het Nederlands.

Titel: Privacy-bevorderend Framework voor Patiëntidentiteitsbeheer voor Veilige Toegang tot Gezondheidszorg

Auteurs: Nasif Muslim en Jean-Charles Grégoire (INRS, Montréal, Canada)

---

1. Het Probleem

De moderne gezondheidszorg staat voor een fundamentele spanning tussen twee vereisten:

1. Operationele continuïteit: Voor veilige, continue zorg en het voorkomen van medische fouten moeten patiëntrecords over verschillende zorgaanbieders en tijd heen gekoppeld kunnen worden (longitudinale records). Dit vereist persistente identificatoren.
2. Privacybescherming: Het hergebruik van dezelfde patiëntidentificatoren (zoals nationale ID's of vaste patiëntnummers) over verschillende zorginstellingen heen creëert ernstige privacyrisico's. Dit maakt linkability (het koppelen van verschillende bezoeken aan dezelfde persoon) en traceability (het terugvinden van de echte identiteit van een persoon) mogelijk, wat in strijd is met principes van dataminimalisatie en doelbinding (zoals vereist door GDPR en HIPAA).

Bestaande oplossingen zijn ontoereikend:

• Het gebruik van echte identificatoren verhoogt het risico op profilering.
• Zelfgekozen pseudoniemen per aanbieder voorkomen koppeling, maar breken de continuïteit van medische dossiers.
• Decentrale Identiteitsbeheer (DIDM) en blockchain-oplossingen focussen vaak te veel op gebruikerssoevereiniteit en onder-specifiëren de noodzaak van wettelijke traceerbaarheid en klinische continuïteit.

2. Methodologie en Architectuur

Het artikel stelt een nieuw framework voor: HIDM (Healthcare-specific Identity Management). Dit framework combineert gevestigde cryptografische mechanismen met een nieuwe systeemarchitectuur die specifiek is ontworpen voor de gezondheidszorg.

Kernontwerpprincipes:

1. Verifieerbare Legitimiteit: Een Government Health Authority (GHA) fungeert als root of trust en geeft Legitimacy Verifiable Credentials (L-VC) uit aan alle entiteiten (ziekenhuizen, apothekers, etc.) om hun wettelijke status te garanderen.
2. Onkoppelbare Pseudonimiteit: Patiënten gebruiken cryptografisch gegenereerde pseudoniemen voor interacties. Deze zijn gekoppeld aan een interne patiënt-ID via Proxy Re-Encryption (PRE). Zorgverleners zien alleen het pseudoniem, terwijl het Health Record Repository (HRR) de onderliggende ID kan decoderen om dossiers te koppelen zonder de echte identiteit te kennen.
3. Voorwaardelijke Traceerbaarheid: Identiteitskoppeling is verdeeld over twee onafhankelijke autoriteiten (Scheiding van Taken):
   • APC (Agency for PatientCare): Koppelt de echte identiteit (PII) aan de interne Patiënt-ID.
   • PTA (Pseudonym Token Authority): Koppelt de Patiënt-ID aan het tijdelijke pseudoniem.
   • Traceerbaarheid is alleen mogelijk als beide autoriteiten samenwerken onder wettelijke autorisatie (bijv. een gerechtelijk bevel). Geen enkele autoriteit heeft alleen toegang tot de volledige keten.

Technische Componenten:

• Cryptografie: Het framework maakt gebruik van:
  • Camenisch-Lysyanskaya (CL) handtekeningen: Voor het uitgeven van patiëntcredentials met selectieve openbaarmaking van attributen.
  • Proxy Re-Encryption (PRE): Voor het veilig indexeren van dossiers zonder de ID aan zorgverleners bloot te geven.
  • Blind Identity-Based Signatures (Blind IBS): Voor het uitgeven van handtekeningssleutels voor pseudoniemen zonder dat de uitgevende instantie het pseudoniem kent.
  • Partially Blind Schnorr Handtekeningen: Voor het uitgeven van eenmalige Appointment Tokens (afspraaktokens) met vervaldatums.
• Distributed Ledger: Gebruik van permissioned ledgers voor het opslaan van DID-documenten, het registreren van token-gebruik (om replay-aanvallen te voorkomen) en auditlogs.

3. Belangrijkste Bijdragen

1. Het HIDM Framework: Een architectuur die longitudinale continuïteit, patiëntprivacy en wettelijke verantwoordelijkheid reconcileert door middel van een expliciete scheiding van taken en voorwaardelijke traceerbaarheid.
2. Geïntegreerd Ontwerp: Een uniek systeem dat bestaande cryptografische primitieven (CL, PRE, Blind IBS, Schnorr) combineert tot een eenheid voor privacy-bewuste authenticatie en recordbeheer, in plaats van ze als losse modules te presenteren.
3. Formele Validatie:
   • MSRA-analyse (Multilateral Security Requirements Analysis): Koppelt stakeholder-doelen en bedreigingsscenario's aan de beveiligingsmechanismen.
   • Formele Cryptografische Analyse: Bewijst de onvervalbaarheid (unforgeability) en weerstand tegen replay-aanvallen.
   • Symbolische Verificatie: Gebruik van de tools Scyther en Tamarin om confidentialiteit, integriteit en onkoppelbaarheid te verifiëren onder het Dolev-Yao-adversariaalmodel.
4. Empirische Validatie: Een prestatie-evaluatie die aantoont dat het framework operationeel haalbaar is binnen de latentie-eisen van klinische omgevingen.

4. Resultaten

• Beveiliging: De analyse toont aan dat het framework bestand is tegen afluisteren, replay-aanvallen en impersonatie. Het garandeert dat zorgverleners geen toegang hebben tot de echte identiteit van de patiënt tenzij een wettelijke procedure wordt gestart.
• Privacy: Patiënten kunnen ontkoppelbare interacties hebben met verschillende zorgverleners. Zelfs als een zorgverlener meerdere bezoeken doet, kunnen deze niet aan elkaar worden gekoppeld zonder de medewerking van de PTA en APC.
• Prestaties:
  • De implementatie van CL-Bilinear (gebaseerd op bilineaire koppelingen) bleek aanzienlijk efficiënter dan CL-RSA.
  • Er werd een reductie in verwerkingstijd van 40% tot 80% waargenomen voor kernoperaties.
  • Bijvoorbeeld: De uitgifte van een Pseudonym-Specific Private Key daalde van 660 ms (CL-RSA) naar 121 ms (CL-Bilinear).
  • De totale latentie voor een afspraakboeking of in-person verificatie ligt binnen acceptabele grenzen voor klinische workflows (bijv. ~39 ms voor boeking, ~273 ms voor verificatie).

5. Betekenis en Toekomst

Dit werk biedt een cruciale oplossing voor het fundamentele dilemma in de digitale gezondheidszorg: hoe zorg je voor veilige, continue zorg zonder de privacy van de patiënt te schenden?

• Praktische Toepasbaarheid: Het framework is ontworpen om te interopereren met bestaande EHR-systemen (via HL7 FHIR) en vereist geen volledige vervanging van de huidige infrastructuur.
• Regelgeving: Het voldoet strikt aan principes van GDPR en HIPAA door dataminimalisatie en doelbinding technisch af te dwingen, niet alleen juridisch.
• Toekomstgericht: Het biedt een basis voor uitbreidingen, zoals het integreren van verzekeringsmaatschappijen voor facturatie zonder blootstelling van medische geschiedenis, en het gebruik van zero-knowledge bewijzen voor medicatiebeperkingen.

Concluderend demonstreert dit papier dat het mogelijk is om een robuust, privacy-bevorderend identiteitsbeheersysteem te bouwen dat zowel operationele betrouwbaarheid als wettelijke traceerbaarheid biedt, zonder in te leveren op de privacy van de patiënt.