Elke maand maken ongeveer 350.000 klanten gebruik van Mijn Zilveren Kruis, de online plek waar je 24 uur per dag je persoonlijke informatie kunt inzien. Bijvoorbeeld je zorgdeclaraties en de stand van je eigen risico. Je logt hiervoor in met DigiD. Onlangs hebben wij daar een eenmalige sms-controle aan toegevoegd. Deze aangescherpte bescherming van je privégegevens valt echter niet bij iedereen in goede aarde. "Beetje overdreven…" Een duidelijk signaal. Via dit blog gaan we graag met je in gesprek.

De inhoud van je zorgdeclaratie controleren. Of openstaande betalingen volgen. Je kunt je vrijetijd wel leuker besteden, nietwaar? Maar soms is het even nodig. Je wilt bijvoorbeeld weten waarom je zorgverzekeraar eigen risico in rekening brengt. Of wat je kunt verwachten aan te ontvangen of te betalen bedragen. Gelukkig is dit klusje snel te klaren in Mijn Zilveren Kruis. Hier heb je dag en nacht online toegang tot jouw privégegevens. En je kunt er ook allerlei dingen zelf regelen, zoals kiezen op welke dag je premie afgeschreven wordt en instellen welke notificaties en nieuwsbrieven je wel of niet wilt krijgen.

Dubbel inloggen
Nu horen we je al denken: "Allemaal leuk en aardig maar ik moet wel eerst dubbel inloggen om erbij te kunnen."

Dat is waar. Wil je inloggen bij Zilveren Kruis, dan vragen we sinds november 2017 eenmalig om een sms-controle. Dit maakt veel los, merken we. Sommigen van jullie vragen: "Waarom is die extra stap nodig?" en "Welke internetcrimineel wil nou weten wat ik betaal en waarvoor ik naar de dokter ga?" Bij anderen wordt het geduld flink op de proef gesteld: "Om mijn declaratie in te kunnen zien, moet ik eerst drie dagen wachten op een DigiD-activeringscode per post, omdat ik een nieuw telefoonnummer heb."

We begrijpen de frustratie. Je wilt je verzekeringszaken gewoon snel en gemakkelijk kunnen afhandelen. Gedoe met inloggen past daar niet bij. We leggen graag aan je uit waarom we deze aangescherpte beveiliging toch belangrijk vinden.

Digitale sleutel weggeven
Dankzij het internet en Mijn Zilveren Kruis kun je meekijken in ons computersysteem. Zo heb je meer zicht en grip op informatie die jou aangaat. Keerzijde is wel dat het voor internetcriminelen ook gemakkelijker is om te ontfutselen waar jij onder behandeling bent of wat je financiële situatie is. Deze oplichters zijn namelijk vindingrijk in het achterhalen van gebruikersnamen en wachtwoorden. Je hebt misschien wel eens gehoord van 'phishing e-mails'. Dit zijn e-mailberichten die sprekend lijken op die van Zilveren Kruis, maar afkomstig zijn van een ander. De 'vertrouwde' e-mail vraagt je om op een link te klikken en in te loggen. En voor je het weet, geef je je digitale sleutel weg aan een foute partij. Het overkomt meer mensen dan je denkt.

Ook onze verantwoordelijkheid
Raymond Raasveldt van Zilveren Kruis: "Wij willen kunnen garanderen dat jouw privégegevens privé blijven. Als zorgverzekeraar hebben wij hierin een bijzondere verantwoordelijkheid, vinden we. Daarom maken we het oplichters graag een stuk moeilijker om naar informatie te 'vissen' die hen niets aangaat. Wil je die strijd winnen, dan kom je al gauw uit op tweestapsverificatie. Oftewel: inloggen met een extra controle of jij het wel bent. Dit gaat meestal via een tweede apparaatje dat alleen jij in je bezit hebt, bijvoorbeeld je telefoon."

Deze extra controle ken je misschien ook wel van internetbankieren. Als je online een geldbedrag wilt overschrijven, dan krijg je een sms'je of scancode om de transactie te bevestigen. Knappe dief die het dan voor elkaar krijgt om digitaal bij je in te breken.

Kies zelf hoe je inlogt
Inloggen met sms-controle is maar één keer nodig. Als dit eenmaal is gelukt, en we weten hierdoor zeker dat jij het bent, kun je zelf kiezen hoe je de volgende keer inlogt:

  • opnieuw met DigiD en sms-controle (extra veilig)
  • alleen met DigiD (op hetzelfde apparaat)
  • via de populaire DigiD-app

En binnenkort voegen we daar nog een keuzeoptie aan toe. Raymond: "We staan op het punt een nieuwe Zilveren Kruis-app te lanceren. Hiermee krijg je op je smartphone toegang tot je verzekeringspakket, zorggebruik en de stand van je eigen risico. Dus eigenlijk alles wat je nu ook in Mijn Zilveren Kruis ziet. Na eenmalige sms-controle kun je deze app openen met een zelfgekozen pincode of je vingerafdruk."

Hoe kan het beter en toch veilig?
Dit neemt natuurlijk niet weg dat we onze klanten luid en duidelijk horen. Niet iedereen is blij met de aangescherpte beveiliging bij het inloggen met een sms-controle. We horen daarom graag hoe we de service kunnen verbeteren zónder het makkelijker te maken voor kwaadwillenden. Laat je idee achter in een reactie hieronder.

Heb je specifieke vragen over het gebruik van DigiD? Kijk dan voor meer informatie op zk.nl/digid of neem contact met ons op. We helpen je met alle liefde op weg.

Direct naar Mijn Zilveren Kruis
Wil je meteen jouw persoonlijke gegevens inzien? Ga dan verder naar de inlogpagina van Mijn Zilveren Kruis.

  • Voormalig community-lid
    Voormalig community-lid

    Hoi Rogier,

    Ik had beloofd om geen posts meer te plaatsen, maar ik wil naar aanleiding van jouw zeer correcte en begrijpelijke berichtje (dank daarvoor) toch nog eenmaal iets met ZK delen.

    Nogmaals, dat er vanuit ZK eisen zijn om fraude, indentieteitsdiefstal en problemen zo veel mogelijk te voorkomen is begrijpelijk, en ik denk dat niemand daar iets op tegen kan hebben (behalve de fraudeurs natuurlijk).

    Helaas is de keuze voor de extra SMS-code voor mij niet handig, net als voor vele andere klanten. Het waarom dan niet is hierbij niet belangrijk, we zijn allemaal zelfstandige, vrije, volwassen mensen met onze eigen voorkeuren en gebruiken, dat grondrecht moeten we kunnen houden.

    Als alternatief voorbeeld: ING bank gaat vanaf 1 januari ook over op SNS-codes sturen naar mobile telefoons voor het uitvoeren van opdrachten, maar omdat ruim 1 miljoen klanten dit niet willen/kunnen gebruiken, bied ING bank deze klanten een alternatief (sinds deze week bekend gemaakt). Zij leveren een kaartlezer, waarmee de bankpas en pincode gebruikt kan worden. Zijn daar kosten aan verbonden? Dat weet ik nog niet, maar zelfs als dat zo zou zijn, dan is dat niet erg. De klanten krijgen een keuze, en kunnen de voor hen beste optie kiezen. Kiezen ze voor de pinpaslezer, dan betalen ze. Willen ze niet betalen, dat niet, dan kiezen ze maar voor de SMS-code op hun mobieltje.

    Nu ligt de bal (keuze) dus bij de klant, en is het bedrijf (ING in dit geval) niet de gebeten hond. Zij bieden een alternatief. In dit geval voel ik mij serieus genomen, en ga er over nadenken wat voor mij het beste is.

    In het geval van de SMS-code van ZK krijgen we dit door onze strot geramd, en de meeste mensen (klanten) vinden dit niet fijn.

    Ik hoop dat je mijn punt snapt en een reactie kunt geven op mijn 'voorstel' hierboven

    Ik ga je nog eenmaal een voorstel doen om de klanten een alternatief te kunnen bieden, maar dat doe ik in een tweede, aparte post. Anders gaan we dingen door de war halen.

    Bob.

  • Voormalig community-lid
    Voormalig community-lid

    Hierbij het voorstel van een ZK klant om mensen die GEEN SMS-code willen/kunen gebruiken bij aanloggen in MijnZilverenKruis toch tegemoed te komen.

    Ikzelf (en ik denk vele anderen met mij) gebruik access naar MZK voor 90%-95% om alleen te kijken naar stand eigen risio, en mijn eerdere declaraties, en niet om (elke keer) wijzigingen aan te brengen, faude-gevoelige info te raadplegen, of hier wijzigingen in aan te brengen.

    Ontwikkel binnen MijnZilverenKruis nou gewoon twee verschillende 'access' niveau's voor iedere kalnt. Laten we deze voor het gemak even 'read-only' en 'write-access' noemen, dat dekt de lading het beste.

    Met 'read-only' access kan de klant z'n zorgverbruik, declaraties en stand eigen risico inzien, en het indien (uploaden) van te delcarewren fakturen. 

    Wil men echter gegevens gaan veranderen, bankrekeningnummers zien/wijzigen, en meer van dat soort acties waar fraudeurs gek op zijn, vraag dan pas om de extra verificatie. Heeft men die dan niet beschikbaar, dan kan dat altijd nog per post of aan de telefoon worden gedaan voor de klant. Heeft men dit wel beschikbaar, dan kan de klant op dat moment de SMS-code inlogmethode gebruiken. Of de extra security-vraag beantwoorden, welke ik in een eerdere post geopperd heb (wat is je geboortedatum? wat zijn de laatste 3 cijfers van je mobiele nummer, wat zijn de laatste 3 cijfers van de bankrekening waar de maandpremie van afgeschreven word, etc).

    Eigenlijk een equivalent van de situatie wat jullie tot voor kort aan konen bieden aan de gebruikens van MZK. twee-traps verificatie, maar dan alleen wanneer het nodig is. Niet standaard elke keer.

    Uit eigen ervaring weet ik dat Binck Bank hetzelfde methode toepast voor access op z'n (belegging-) rekeningen, en dat werkt perfect. Wil ik effe snel kijken, inloggen met username en password. Alleen kijken kan geen kwaad. Wil ik echt mutaties maken of gegevens aanpassen (en dus fraude-gevoelige acties doen), dan komt er meer bij kijken dan alleen het password invoeren, en word twee-traps verificatie vereist. Wil ik dat niet, dan kan ik altijd de helpdesk nog even bellen om dat voor mij te doen (en ja, daar zijn kosten aan verbonden, maar dat is dan MIJN keuze, en vind ik dat niet meer dan terecht). 

    Ik hoop dat dit verhaal begrijpbaar is, en dat je nu eens een echt actief een voorstel kunt doen aan het team of de personen die bij ZK verantwoordelijk zijn voor dit onderwerp, en dat het in behandeling word genomen, en dat er een terugkoppeling kan worden gegeven via dit forum zodat wij ook weten wat we serieus worden genomen.

    Kan dit niet, en worden al onze (als klanten) opmerkingen en suggesties afgewimpled, dan is dat ook prima, maar laat het dan ook even weten op dit forum. De in jouw vorige post geopperde opmerking dat onze suggesties, bezwaren, meningen en voorstellen worden gehoord en bekeken zijn leuk, maar de resultaten van dat bekijken, afwegen, en beslissen zijn op dit moment nog nul, zero, nada en niets. Er veranderd niets, en er staat ook niets op de nominatie om te veranderen (zo ver als mij bekend is natuurlijk).

    Dus: We horen graag van jou en je team.

    Groet,

    Bob.

  • Voormalig community-lid
    Voormalig community-lid

    Oja, dat was ik nog vergeten:

    Als ik aan de telefoon met een van de ZK medewerkers spreek en zij willen verifieren dat ze werkelijk met de klant (mij dus) spreken, wat denk je dan dat ze vragen ???

    - Wat is uw telefoonnummer?

    - Wat is uw postcode?

    - Wat zijn de laatste 3 cijfers van het bankrekeningnummer waar de maandpremie vanaf geschreven word?

    Komt bekend voor ???

    Nou, mij wel. Precies dezelfde vragen als in mijn voorstel voor twee-traps verificatie voor access maar MZK.

    Vreemd dat ZK oppert dat dit niet voldoende is om aan te loggen in de website, maar het wel accepteerd als verificatie als ik aan de telefoon ben..........

    Graag us reactie, ZK.

    Groet,

    Bob.

  • Hoi Bob, fijn dat je zo actief meedenkt!

    Ik begrijp wat je zegt. Het idee van 'read-only' en 'write-access' is een interessante! Dit is technisch relatief eenvoudig in te regelen. Echter, we hadden deze gelaagdheid bij het inloggen toegepast bij de introductie van DigiD en SMS. Mijn Zilveren Kruis was toen ook zonder SMS-login te benaderen. Je kon dan alleen basisinformatie inzien en enkele 'onschuldige' voorkeuren aanpassen. Om, bijvoorbeeld, ook bij je declaratiegegevens te kunnen, was inloggen mét SMS benodigd. Het zal je verbazen, maar dit was nu juist een fiasco in het opzicht van klanttevredenheid. Bij het gros van de mensen ging het inloggen fout. Ondanks duidelijke aanwijzingen hierover op de website, kwamen zij snelklikkend terecht in de 'light' variant en konden hierdoor bepaalde gegevens niet inzien. Dit riep vragen en verwarring op. Bovendien bleken verreweg de meeste mensen in te loggen voor de privacygevoelige informatie. Slechts een klein percentage kwam voor de 'read-only' access laag, om het zo te zeggen.

    Ik snap dat het niet bevredigend is dat we bij deze ideeën alleen uitleg kunnen geven, en niet de gevraagde aanpassingen kunnen toezeggen. Als het gaat om inloggen met DigiD en SMS zijn die specifieke veranderingen op korte termijn niet te verwachten. Daarover wil ik duidelijk naar je zijn. Dat neemt niet weg dat niks in beton gegoten is. Nogmaals, jouw input en die van anderen staat genoteerd en wordt bij toekomstige doorontwikkeling meegewogen. Ik hoop dat dat je bemoedigt om hier betrokken te blijven bij onderwerpen die je aan het hart gaan.