Pages Menu
TwitterFacebook
Categories Menu

Posted on 27/01/2015 in Experts | 0 comments

Tijden veranderen

Tijden veranderen. Zorg verandert, IT verandert, wetgeving verandert. Maar veranderen organisaties op tijd mee?

In de dagelijkse praktijk zie ik dat bij veel organisaties de veiligheid van gevoelige vertrouwelijke data vaak te wensen overlaat. Wat veel organisaties, met name in de zorg, zich op dit moment nog niet beseffen is dat dit extra vervelende consequenties gaat hebben.

ICT uitbesteden lost veiligheidsprobleem op?
Ik las een wat ouder artikel op deze site, wat mij inspireerde om deze blog te schrijven. Het is een blog uit januari 2013, waarin de auteur schrijft dat wanneer organisaties de ICT uitbesteden, hun informatie beveiliging altijd up-to-date is, omdat dat is uitbesteed aan specialisten.

De schrijver gaat er hier zonder meer vanuit dat de veiligheid dan ook uitstekend wordt geregeld en dat het extern uitbesteden de oplossing is voor het “ICT probleem in de zorg”. Ik ben het daar absoluut niet mee eens. Sterker nog, wanneer Bestuurders deze uitspraak voor waar aannemen kan dit hen duur komen te staan… De Bestuurders blijven als data-eigenaar aansprakelijk voor het lekken van gegevens.

Denk bijvoorbeeld aan personeelsgegevens, contracten met stakeholders en medische patiëntgegevens. Met de komst van de wetgeving “Meldplicht Datalekken” en de bevoegdheid van het College Bescherming Persoonsgegevens om zelfstandig hoge boetes op te mogen leggen, hebben organisaties er nog een vraagstuk bij.

Bestuurders zouden ter vergadering de vraag moeten stellen: “Hoe zorgen we dat we veilig blijven en voldoen aan wet- en regelgeving” Neem daarbij voor de zorg de NEN7510 en Artikel 13 CbP als uitgangspunt. Men zal er snel genoeg achter komen dat dit geen vraagstuk is wat bij de IT afdeling thuis hoort.

Casus Groene Hart Ziekenhuis
We zien helaas wekelijks wel media berichtgeving voorbij komen over cybercriminelen die een organisatie hebben gehackt. Of er wel of geen data is buitgemaakt is door de nieuwe wetgeving eigenlijk minder relevant geworden. Organisaties moeten namelijk gaan aantonen dat zij hebben voldaan aan de verplichte wet- en regelgeving – met als kern artikel 13 van de Wet Bescherming Persoonsgegevens. Daarnaast is hoe dan ook de imagoschade enorm!

Art. 13 WbP  geeft aan dat iedere organisatie die persoonsgegevens verwerkt deze gegevens zodanig moet veiligstellen tegen inbraak / verlies etcetera, naar wat conform huidige maatstaven van financiën en technologie mogelijk is.

Een mooi voorbeeld is het Groene Hart Ziekenhuis. Laat “mooi” eigenlijk maar weg. Schandalig is het. Reeds in 2010 is het ziekenhuis gewaarschuwd dat de systemen ernstige kwetsbaarheden vertonen. In 2012 vind er een hack plaats. Hierbij werd gebruik gemaakt van dezelfde kwetsbaarheid bij de KPN hack 6 maanden eerder.

Duizenden zeer gevoelige medische patiëntgegevens liggen letterlijk voor het oprapen. Jaren later zijn er enige verbeteringen doorgevoerd, waardoor een niveau is bereikt waardoor men voldoet aan Artikel 13 CbP.

Verkeerde gedachtegang
Allereerst is het natuurlijk schandalig dat er zo slordig met patiëntgegevens (en andere privacy gevoelige gegevens) wordt omgegaan. Het is nog erger dat men – na eerdere waarschuwingen – vier jaar later nog steeds slechts een matig niveau van veiligheid kan garanderen.

Zo is het helaas met veel normen. Normen en certificeringen worden vaak gebruikt vanwege een verplichting of contract onderhandeling. Jammer, want eigenlijk zou de startpositie moeten zijn:

“Ik wil een veiligere organisatie bereiken”. Ik noem het een verkeerde gedachtegang, waardoor bij veel organisaties nutteloos geld wordt verspild aan dure certificeringstrajecten.

Van organisaties die een verplichte ISO 27001 / 27002 certificering moeten hebben mag verwacht worden dat de veiligheid op een zeer hoog niveau is gebracht. Als ik aan de eindstreep kijk hoe het met die veiligheid is gesteld, dan is dat helaas soms bedroevend slecht.

Verantwoordelijkheid, Compliance, Privacy
Dat Bestuurders verantwoordelijk zijn voor het reilen en zeilen van een organisatie op grote lijnen, dat weten we allemaal wel. Helaas zie ik in de dagelijkse praktijk dat deze verantwoordelijkheid niet altijd even serieus wordt genomen. Met name het onderwerp cybercrime staat vaak niet op de agenda.

Dat leid ik af uit het afschuiven van deze verantwoordelijkheid op IT afdelingen of externe partijen. Veelal wordt de verantwoordelijkheid van de “IT security” in de schoenen geschoven van een IT manager of “de IT afdeling”. Dit is de reden waarom het structureel mis gaat bij veel organisaties.

Bestuurders laten een zeer belangrijk deel van het Risk Management over aan een afdeling of persoon die ter zake totaal niet deskundig is. Cyber Risico Management is iets wat op Board level moet worden behandeld.

IT’ers zijn enorm goed in het verzorgen van mogelijkheden zodat uw operationele proces optimaal wordt ondersteund. Data en software, vanaf overal en altijd toegankelijk. Het liefst vanaf elk mogelijk apparaat binnen en buiten uw organisatie. Dat is toch wat uw medewerkers van u verwachten?

Deze wensen hebben een keerzijde. Het bijt namelijk enorm met de veiligheid van de organisatie. Maar deze mensen laat u als Bestuurder wel beslissen over het risico op zeer ernstige financiële & reputatieschade en mogelijk faillissement? Ik snap dat niet.

Tijd voor verandering?
Ik wil u uitdagen, Managers en Bestuurders in de zorg. Breng het onderwerp op de Board agenda. Wanneer de nieuwe wetgeving actief is, wordt van u verwacht dat uw organisatie er klaar voor is. Dat processen zo zijn ingericht, dat de juiste handelingen worden verricht.

Niet alleen omdat het moet, maar vooral ook omdat u zelf wilt dat uw cliënten en uw stakeholders trots op u kunnen zijn! Dat u als organisatie de veiligheid van het bedrijf, de omzet en haar cliënten serieus neemt!

Voor een sparring gesprek of zomaar een bak koffie, nodig ik u graag uit.

Wouter Parent (cybercrime expert / Certified Ethical Hacker)
WeSecureIT cybercrime preventie

Read More

Posted on 12/01/2015 in Experts | 1 comment

Verwerking en beveiliging van persoonsgegevens

Lessen voor de praktijk uit twee onderzoeken van het College bescherming persoonsgegevens.

Auteur: Sofie van der Meulen, Axon advocaten

Het College bescherming persoonsgegevens (hierna: ‘CBP’) houdt toezicht op de naleving en toepassing van wetten die het gebruik van persoonsgegevens regelen. De Wet bescherming persoonsgegevens (hierna: ‘Wbp’) stelt eisen aan het verwerken (zoals opslaan en verzamelen) van persoonsgegevens. Persoonsgegevens zijn gegevens betreffende een geïdentificeerde of identificeerbare persoon. Op 11 september en 27 november 2014 publiceerde het CBP onderzoeksrapporten over de verwerking en beveiliging van persoonsgegevens. Het eerste onderzoek betreft de verwerking van persoonsgegevens via de app en website Okki Gekke-bekken-club. Het tweede rapport gaat over een onderzoek naar de beveiliging van het netwerk van het Groene Hart Ziekenhuis. De rapporten laten zien waar het CBP op let als het toetst of voldaan wordt aan de eisen die de Wbp stelt.

Rapport Okki Gekke-bekken-club
Het onderzoeksrapport ‘Kapers op de kust – over het kapen van persoonsgegevens door kinderapps’ van de organisatie Mijn Kind Online, verschenen op 15 juli 2014, was voor het CBP aanleiding om een onderzoek in te stellen naar de app Okki Gekke-bekken-club van Blink Uitgevers B.V.

De app was erop gericht jonge kinderen te stimuleren hun tanden goed te poetsen. Via de app konden kinderen een foto van hun gebit maken en deze foto opsturen naar de website www.gekkebekkenclub.nl. Daarnaast werd de optie om naam, leeftijd, woonplaats en e-mailadres in te vullen aangeboden. Kinderen konden een plaatje van een dier kiezen om hun gezicht te verhullen zodat er geen herkenbare foto’s op de website gepubliceerd zouden worden. Vastgesteld is dat er echter ook niet-gemaskeerde foto’s van kinderen gepubliceerd zijn, met daarbij een vermelding van de naam, leeftijd en de woonplaats.

Geen toestemming om persoonsgegevens te verwerken
Om persoonsgegevens rechtmatig te mogen verwerken is er een grondslag nodig voor de verwerking. Een van die grondslagen is ondubbelzinnige toestemming van de betrokkene. Hoewel de app de kinderen expliciet vroeg om akkoord te gaan met het versturen van de foto en de publicatie op internet was dit niet voldoende. Kinderen kunnen namelijk geen rechtsgeldige toestemming geven als zij jonger dan 16 jaar zijn. Kinderen die moeten leren tanden poetsen hebben duidelijk deze leeftijd nog niet bereikt. Voor een rechtmatige verwerking van persoonsgegevens is in een dergelijk geval de toestemming van de wettelijk vertegenwoordiger vereist. Kinderen en ouders moeten deze toestemming altijd weer kunnen intrekken en de gegevens kunnen laten verwijderen.

Niet voldaan aan informatieplicht en meldplicht
De app bevatte geen waarschuwing dat de kinderen toestemming moesten vragen aan hun ouders, en de website en app boden geen mogelijkheid tot intrekking van de toestemming. Zowel de app als de website bevatten geen privacy beleid of andere informatie over de verwerking van persoonsgegevens en de doeleinden van de verwerking. Dit is in strijd met de informatieverplichtingen uit de Wbp en de algemene verplichting uit de Wbp om persoonsgegevens op behoorlijke en zorgvuldige wijze te verwerken.

Daarnaast heeft het CBP vastgesteld dat Blink Uitgevers geen meldingen heeft gedaan van het verwerken van persoonsgegevens. Inmiddels zijn deze meldingen gedaan.

Gegevens onvoldoende beveiligd bij verzending
Het e-mailadres werd weliswaar niet gepubliceerd op de website, maar werd, evenals de andere gegevens, onversleuteld verzonden via internet. Het CBP oordeelt dat de gegevens daarom onvoldoende beveiligd waren en geeft aan dat het gebruik van SSL een algemene aanvaarde en technisch eenvoudige maatregel is om de gegevens te beveiligen.

Lessen uit dit rapport voor het verwerken van persoonsgegevens via apps en websites:

  • Zorg voor de juiste grondslag voor de verwerking van persoonsgegevens.
  • Informeer gebruikers over de wijze van verwerking van persoonsgegevens, de doeleinden van de verwerking en de rechten en plichten van betrokkene in een privacy beleid.
  • Zorg voor passende maatregelen om persoonsgegevens te beveiligen tegen onrechtmatige verwerking of verlies. Gebruik in ieder geval SSL voor het verzenden van gegevens via internet.

Rapport beveiliging netwerk Groene Hart Ziekenhuis
Door een beveiligingslek zijn in 2012 patiëntgegevens van het Groene Hart Ziekenhuis (hierna: ‘GHZ’) toegankelijk geweest via internet. Nadat destijds geconstateerd is dat de beveiliging gebreken vertoonde heeft het CBP het GHZ verzocht om aan te tonen dat de beveiliging van patiëntgegevens in overeenstemming is gebracht met artikel 13 Wbp.

Artikel 13 Wet bescherming persoonsgegevens
Op basis van dit artikel moeten passende technische en organisatorische maatregelen genomen worden om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. Deze maatregelen moeten een passend beveiligingsniveau garanderen gelet op de risico’s van de verwerking en de aard van de te beschermen gegevens. Wat is nu de reikwijdte van het begrip ‘passende maatregelen’?

De beveiliging moet in ieder geval voldoen aan de stand der techniek. Daarnaast moeten de maatregelen in verhouding staan tot de aard van de te beschermen gegevens. Medische gegevens behoren tot de categorie van bijzondere persoonsgegevens onder de Wbp. Dit betekent dat er hogere eisen aan de beveiliging van deze gegevens worden gesteld dan aan de beveiliging van ‘gewone’ persoonsgegevens. De norm NEN-7510 geeft aanwijzingen voor het toepassen van de Code voor informatiebeveiliging (NEN-ISO/IEC 27002) in de gezondheidszorg. Daarnaast leggen de CBP richtsnoeren ‘Beveiliging van persoonsgegevens’ uit hoe het CBP met de norm van artikel 13 Wbp omgaat.

Wie moet de maatregelen nemen?
De ‘verantwoordelijke’ is verantwoordelijk voor het nemen van beveiligingsmaatregelen. De Wbp definieert de ‘verantwoordelijke’ als degene die, al dan niet gezamenlijk met een ander, het ‘doel en de middelen voor de verwerking van persoonsgegevens vaststelt’. De ‘bewerker’ is degene die ten behoeve van de verantwoordelijke de gegevens verwerkt, zonder aan het rechtstreeks gezag van de verantwoordelijke te zijn onderworpen. Als de verantwoordelijke het systeem laat beheren door een bewerker moet de verantwoordelijke ervoor zorgen dat de bewerker voldoende waarborgen biedt ten aanzien van de beveiliging en daarop toezien. Hiervoor is op grond van de Wbp een bewerkersovereenkomst vereist.

Onderzoek CBP
In reactie op het verzoek van het CBP heeft het GHZ een auditrapport toegestuurd. Uit dit rapport blijkt dat het GHZ weliswaar verbetermaatregelen heeft getroffen, maar dat er diverse medische systemen op het netwerk zijn aangesloten waarop end of life besturingssoftware draait. End of life software is software die niet meer bijgewerkt wordt door de leverancier op het gebied van beveiliging. De medische systemen in het GHZ hebben toegang tot het internet via het netwerk. Het netwerk is niet gesegmenteerd waardoor een eenmaal geïnfecteerd systeem een bedreiging vormt voor andere aan het netwerk gekoppelde systemen waarin medische gegevens van patiënten worden verwerkt.

Het CBP heeft hierop besloten zelf te onderzoeken of de beveiliging van patiëntgegevens in het GHZ voldoet aan artikel 13 Wbp. Het GHZ moet in ieder geval aan de volgende eisen voldoen:

  • Beveiligingsrisico’s (doorlopend) in kaart brengen;
  • Organisatorische en/of technische maatregelen treffen om de geconstateerde risico’s zoveel mogelijk te beperken (denk hierbij bijvoorbeeld aan updates);
  • Het netwerk beveiligen door (technische) scheiding zoals segmentering van diverse domeinen waar het een groot netwerk betreft.

Oordeel end of life software: ernstig beveiligingsrisico
End of life software maakt het netwerk kwetsbaar voor inbreuken. De software wordt niet up-to-date gehouden zoals voorgeschreven in de richtsnoeren beveiliging van het CBP. Het gebrek aan updates en controle van de software werkt de aanwezigheid van onbekende beveiligingsrisico’s in de hand. Het GHZ heeft zelfs aangegeven dat sommige systemen niet meer gescand kunnen worden omdat het risico bestaat dat het systeem dan uitvalt. Ook weet het GHZ van een aantal medische apparaten niet op welke software ze draaien. Dit alles zorgt ervoor dat er niet passend en tijdig actie ondernomen kan worden in het geval van een geïdentificeerde bedreiging. Gebruik van end of life software zonder aanvullende maatregelen te treffen is daarom in strijd met artikel 13 Wbp.

Updates van software: let op bij inkoopprocedures
CBP heeft met de Nederlandse Vereniging van Ziekenhuizen (hierna: ‘NVZ’) gesproken over het gebruik van apparatuur die draait op end of life software. Dit komt volgens de NVZ bij meerdere ziekenhuizen voor. Het blijkt daarnaast lastig te zijn om updates af te dwingen bij leveranciers. Dit is een punt van aandacht voor inkooptrajecten.

Oordeel niet gesegmenteerd netwerk: ernstig beveiligingsrisico in strijd met artikel 13 Wbp
Een niet gesegmenteerd netwerk draagt het risico in zich dat er in een geval van een inbreuk in een van de aangesloten systemen, het hele netwerk direct bereikbaar is voor verdere inbreuken. In combinatie met end of life software en toegang tot internet via het netwerk is het gebruikmaken van een niet gesegmenteerd netwerk in beginsel in strijd met artikel 13 Wbp, tenzij er passende aanvullende maatregelen worden genomen.

Ook aanvullende maatregelen niet voldoende
Het GHZ heeft aanvullende maatregelen genomen door het netwerk te laten monitoren en te beschermen met een Intrusion Prevention Systeem (IPS) tussen het interne netwerk en het internet en door een firewall te implementeren. Alleen bekende verdachte verkeersstromen worden gemonitord. Ook zal gewerkt worden aan segmentering van het netwerk, maar dit zal niet voor april 2016 gereed zijn. De aanvullende monitoring is volgens het CBP onvoldoende omdat alleen bekende verdachte verkeersstromen bekeken worden, terwijl end of life software nu juist het risico van onbekende kwetsbaarheden in zich draagt. Deze worden op deze manier pas achteraf, na een beveiligingsincident, gedetecteerd. Daarnaast is monitoring door de firewall te beperkt omdat er niet structureel gerapporteerd wordt over de beveiliging door de beheerder. Reactieve monitoring is onvoldoende om aan artikel 13 Wbp te voldoen. Volgens het CBP zou het GHZ het netwerk proactief moeten monitoren door bijvoorbeeld de logbestanden dagelijks te controleren, te bepalen of er sprake is van technische kwetsbaarheden en hier opvolging aan te geven.

Bij afwezigheid van proactieve monitoring kan toch nog voldaan worden aan de vereisten van artikel 13 Wbp als er andere maatregelen genomen zijn om de persoonsgegevens te beveiligen. Als voorbeeld noemt het CBP het regelmatig uitvoeren van penetratietesten op de apparatuur die draait op end of life software. Hierover heeft het GHZ verklaard dat deze testen niet zullen plaatsvinden omdat het vermoeden al bestaat dat een deel van de apparatuur kwetsbaarheden zal vertonen. Het uitvoeren van een penetratietest brengt daarom risico’s met zich mee en vergt bovendien veel tijd. Het CBP geeft aan dat dit geen reden is om van inventarisatie af te zien. Bovendien snijdt het GHZ zich met de verwijzing naar het vermoeden van kwetsbaarheden in de vingers. Dit betekent namelijk dat het GHZ geen actie onderneemt op geconstateerde beveiligingsrisico’s.

Het CBP concludeert dat het GHZ in strijd handelt met artikel 13 Wbp. Later heeft het GHZ tegen deze conclusie zienswijzen ingediend en zijn er aanvullende maatregelen genomen waarmee het GHZ inmiddels niet meer in strijd handelt met artikel 13 Wbp.

Lessen voor de beveiliging van patiëntgegevens:

  • Inventariseer alle software en wanneer deze end of life is. Zorg voor tijdige updates van de software en vervang de end of life software omdat deze niet meer wordt ondersteund door de leverancier.
  • Geadviseerd wordt om end of life software niet te gebruiken, maar als vervanging niet direct mogelijk is zorg dan voor aanvullende maatregelen om beveiligingsrisico’s zoveel mogelijk te beperken. Het systeem afkoppelen van het netwerk of op een gescheiden netwerk plaatsen met strikte toegangscontrole zijn maatregelen die hiervoor genomen kunnen worden.
  • Pas proactieve monitoring van het netwerk toe om afwijkend gedrag van gebruikers en systemen te detecteren.
  • Voer periodiek penetratietesten en controles uit om kwetsbaarheden in systemen en apparatuur te ontdekken en tref maatregelen om de kwetsbaarheden zo snel mogelijk te verhelpen.
  • Let bij het laten ontwikkelen en vervangen van software op de voorwaarden van leveranciers; onder andere ten aanzien van beveiliging en het leveren van updates. Let ook op voorwaarden in geval van overname of faillissement van de leverancier. Een ‘escrow’ kan de afhankelijkheid van de softwareleverancier beperken en de continuïteit van het gebruik van de software beschermen, onder andere door afspraken te maken over het vrijgeven van de broncode.

Houd het Digitalezorg.nl Magazine in de gaten!
Deze bijdrage stond in het teken van de verwerking en beveiliging van persoonsgegevens. Maar in de zorg is meer te beveiligen dan alleen patiëntgegevens. Wat te denken van de beveiliging van de medische apparaten zelf? Kan een slecht beveiligd netwerk naast verlies of onrechtmatige verwerking van patiëntgegevens, ook leiden tot gezondheidsschade bij patiënten?

In het volgende Digitalezorg.nl Magazine wordt een artikel gepubliceerd over cyber security in de zorg waarin de beveiliging van medische apparatuur onder de loep genomen zal worden vanuit juridisch perspectief en vanuit het perspectief van  informatiebeveiliging.

Links

Website CBP
www.cbpweb.nl

CBP Richtsnoeren beveiliging persoonsgegevens
http://www.cbpweb.nl/downloads_rs/rs_2013_richtsnoeren-beveiliging-persoonsgegevens.pdf

CBP Richtsnoeren publicatie persoonsgegevens op internet
http://www.cbpweb.nl/downloads_rs/rs_20071211_persoonsgegevens_op_internet_definitief.pdf

Opinie 02/2013 van artikel 29-Werkgroep over apps op smart apparaten
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp202_nl.pdf

 

 

Read More

Posted on 15/12/2014 in Case Study | 0 comments

Promedico garandeert vertrouwelijkheid van medische dossiers

Steeds meer huisartsen leggen een elektronisch medisch dossier aan over hun patiënten. Het delen van deze informatie met andere artsen en medewerkers in de gezondheidszorg, blijkt echter niet vanzelfsprekend. Veiligheid en vertrouwelijkheid zijn cruciaal bij het delen van medische patiëntendossiers. Promedico ICT introduceerde hiervoor Promedico ASP, een manier van werken die huisartsen de mogelijkheid biedt om op een veilige manier medische informatie te delen en uit te wisselen.

Promedico ASP is een online softwareapplicatie die huisartsen en andere gezondheidsmedewerkers toelaat om medische gegevens van hun patiënten te delen en uit te wisselen. De toepassing ondersteunt huisartsen om zo het behandelingsproces van de patiënt optimaal te beheren, zelfs al is die patiënt in behandeling bij een andere arts.

ASP-server
Alle medische dossiers worden hiertoe bewaard op een centrale ASP-server. Ze zijn online toegankelijk voor iedereen die hiertoe gemachtigd is door de huisarts van de patiënt. Centralisering van de medische informatie laat huisartsen en andere gezondheidsmedewerkers toe om op een makkelijke manier informatie uit te wisselen en op die manier de kwaliteit van de medische zorg te verbeteren daar de complete medische geschiedenis van de patiënt altijd beschikbaar is.

Andere artsen dan de huisarts hebben nu ook toegang tot cruciale en potentieel levensreddende informatie over mogelijke allergieën, medicijngebruik, vaccinaties en recente ziektes, waardoor ze een nauwkeurigere diagnose kunnen stellen en de best mogelijke behandeling kunnen voorschrijven.

Promedico ASP biedt huisartsen teven een agenda, een boekhoudpakket, rapporterings- en observatiemogelijkheden en een correspondentiemodule met een geïntegreerde scanoplossing. Dit concept kan de huisarts heel wat tijd besparen en kan een aanzienlijke verlichting van de belasting opleveren. Bovendien worden de server, infrastructuur en applicatie beheerd door een derde partij, waardoor huisartsen niet langer zelf back-ups behoeven te maken of updates en bijkomende software moeten installeren.

Succesfactoren
Omdat de medische dossiers via een open internetverbinding toegankelijk zijn voor huisartsen en ander medisch personeel moeten de veiligheidsnormen voldoende hoog zijn. Promedico nam geen risico’s om de beveiliging en vertrouwelijkheid van de gegevens te waarborgen. Informatie is enkel toegankelijk via een VPN-verbinding of met behulp van een zogeheten Digipass-token. Niet-geautoriseerde personen kunnen hierdoor de informatie niet opvragen of inkijken.

“Ons veiligheidsbeleid ten aanzien van Promedico ASP is heel streng”, zegt Robert Verhagen, operations manager bij het bedrijf. “Het bestaat uit drie stappen: authenticatie, onweerlegbaarheid en vertrouwelijkheid. Om te voldoen aan alle drie stappen, ontwikkelde Promedico een nauwgezette administratieve procedure. “

Authenticatie is het proces waarbij men nagaat of iemand daadwerkelijk is wie hij of zij verklaart te zijn. Promedico authenticeert huisartsen in persoon en via het BIG-register, de Nederlandse databank waarin erkende gezondheidszorgmedewerkers worden geregistreerd. De huisarts is verplicht zich te identificeren met een wettelijk en geldig legitimatiebewijs.

Onweerlegbaarheid is een manier om te garanderen dat de afzender van een bericht later niet kan ontkennen dat hij het bericht stuurde. Dit wil tevens zeggen dat de ontvanger niet kan ontkennen het bericht ontvangen te hebben. Onweerlegbaarheid kan worden bereikt door het gebruik van digitale handtekeningen die functioneren als een uniek identificatienummer voor een individu. Om de gegevens in Promedico ASP te raadplegen en aan te passen, heeft het bedrijf een beroep gedaan op de Digipass-technologie van security-specialist Vasco.

Vertrouwelijkheid wordt gegarandeerd door het versleutelen van een bericht (encryptie). Zelfs als de informatie wordt onderschept door derden, blijft de inhoud dus onleesbaar.

Waterdicht
De toegang tot Promedico ASP wordt beschermd door Digipass 300. Huisartsen die gebruik wil maken van Promedico ASP in hun praktijk, kunnen een Digipass aankopen voor een forfaitaire vergoeding. De eerste Digipass wordt altijd persoonlijk afgeleverd aan de huisarts die een juridische en geldig legitimatiebewijs dient te overleggen bij ontvangst.

Digipass 300 is een authenticatie-toestel dat beveiligd is met een pincode. Pin en Digipass worden afzonderlijk geleverd. Na het eerste gebruik wordt de huisarts automatisch gevraagd om zijn pincode te wijzigen. Om in te loggen op de applicatie moet de huisarts zijn pincode ingeven op het toetsenbord van de Digipass. Het toestel zal vervolgens een elektronische handtekening berekenen die door de huisarts wordt ingegeven in de applicatie. Is de handtekening geverifieerd door de authenticatiesoftware – Vacman Controller geheten – kan de huisarts de medische gegevens van zijn patiënten raadplegen. Elektronische handtekeningen die gegenereerd worden door Digipass blijven slechts twee minuten geldig. Huisartsen worden hierdoor als het ware ‘gedwongen’ om zich online te identificeren in real-time.

Met de implementatie van deze authenticatie-toestellen voegt Promedico een extra beveiligings- maatregel in. Alleen de huisarts kan het toestel na het ingeven van zijn persoonlijke pincode gebruiken. Medewerkers of derden kunnen dus geen gebruik maken van Digipass zodat onrechtmatig toegang tot medische dossiers wordt voorkomen. De huisarts kan via de ASP-toepassing wel extra Digipass-toestellen bestellen voor zijn personeel. Alleen een erkende zorgverlener kan extra Digipass bestellen.

Banking level security
“Voor Promedico is de veiligheid van de gegevens van onze klanten van het allergrootste belang “, aldus Verhagen. “We kozen voor Vasco vanwege de kwaliteit van hun oplossingen, met een beveiligingsniveau dat is goedgekeurd door de banksector en op grote schaal gebruikt wordt in Nederland. Door huisartsen een volledige gehoste en beveiligde ASP-dienst aan te bieden, verlichten we hun dagelijkse administratieve taken waardoor ze zich volledig kunnen concentreren op het medische verzorgingsproces van de patiënt. Het systeem wordt voortdurend bijgewerkt en huisartsen hoeven zich niet langer zorgen te maken over de infrastructuur, de server, de beveiliging en het beheer van de applicatie.”

“Dankzij Digipass kunnen huisartsen de medische gegevens van hun patiënten overal en altijd raadplegen. Digipass maakte van Promedico ASP een echte mobiele oplossing, omdat het gebruik van dit authenticatie-toestel niet afhankelijk is van een derde partij en de oplossing dus vrijwel overal ter wereld gebruikt kan worden.”

Voorkeur boven VPN
Toen Promedico net begon met het aanbieden van de ASP-toepassing, konden huisartsen kiezen om via VPN (een virtual private network) of via Digipass toegang te krijgen tot de applicatie. De meeste huisartsen waren geneigd te kiezen voor de VPN-oplossing, omdat ze dachten dat het gebruik van een apart authenticatie-toestel te omslachtig zou zijn. Toen Promedico problemen ondervond met de VPN-verbinding was de toepassing echter gedurende meerdere weken onbereikbaar. Promedico deelde als noodoplossing Digipass-toestellen uit, zodat huisartsen toch nog hun medische dossiers konden raadplegen. Zodra het probleem was opgelost, verkozen 19 van de twintig klanten om Digipass te blijven gebruiken in plaats van terug te keren naar VPN.

tekst: Hans Vandam

Read More

Posted on 02/10/2014 in Informatiebeveiliging | 0 comments

Tools4ever levert complete IAM oplossing aan TriviumMeulenbeltZorg

Tools4ever heeft een overeenkomst afgesloten met TriviumMeulenbeltZorg (TMZ) voor de afname van haar complete productportfolio. Jaarlijks vinden er binnen TMZ ruim 4.000 mutaties in dienstverbanden plaats. Met behulp van User Management Resource Administrator (UMRA) van Tools4ever automatiseert TMZ het aanmaken en beheren van digitale identiteiten, voortvloeiend uit al deze mutaties. Daarnaast implementeert TMZ de oplossingen Enterprise Single Sign On Manager (E-SSOM) en Self Service Reset Password Management (SSRPM) voor vereenvoudigd wachtwoordbeheer alsook koppelingen met diverse applicaties. Het resultaat van deze implementaties is dat TMZ meer personeel en resources vrij kan maken voor het verlenen van zorg.

UMRA beheert de levenscyclus van accounts middels een intelligente koppeling tussen het HR-systeem en de primaire systemen, waaronder Active Directory, Exchange en zorgapplicatie Caress. Dit zorgt ervoor dat nieuwe medewerkers die aangemaakt worden in het HR-systeem automatisch een account krijgen, voorzien van de juiste autorisaties. Ook de mutaties in bestaande contracten en dienstverbanden worden door UMRA direct doorgevoerd in het netwerk. Daarnaast zorgt de koppeling met Caress ervoor dat medewerkers automatisch op basis van hun functie en afdeling een rol met bijbehorende rechten toegewezen krijgen in het zorgdossier van Caress.

De medewerkers van TMZ werken met diverse applicaties die allen een eigen gebruikersnaam en wachtwoord vereisen. Om de problematiek met verschillende inloggegevens weg te nemen en de inlogtijd te reduceren, zet TMZ de Single Sign On oplossing van Tools4ever, E-SSOM, in. Een medewerker heeft hierdoor na het inloggen met hun AD account direct toegang tot de applicaties zonder opnieuw een wachtwoord en/of gebruikersnaam in te vullen. Met SSRPM kunnen medewerkers van TMZ bovendien hun eigen AD-wachtwoord resetten, zodat zij altijd toegang hebben tot hun persoonlijke omgeving, MijnTMZ. Een wachtwoordwijziging wordt automatisch gesynchroniseerd met het zorgdossier door middel van de tool PSM. Met PCM, de wachtwoordcomplexiteit tool van Tools4ever, wordt het wachtwoord gevalideerd aan de complexiteitseisen die door de organisatie zijn gesteld. De medewerker heeft hierbij het voordeel dat tijdens het invoeren dynamisch wordt getoond of het nieuwe wachtwoord voldoet aan de regels.

“De vele mutaties die handmatig uitgevoerd moesten worden, kostten veel tijd en resulteerden in fouten”, aldus Erwin Suthof. “Dit was een reden om het account beheer te automatiseren. Bij ons gaat het vooral om de kwaliteit van de zorg. Door het automatiseren hebben wij meer handen aan het bed en daar doen we het voor.”

Bron: Tools4ever (persbericht)

Read More

Posted on 24/01/2013 in Experts | 2 comments

Over ICT outsourcing in de zorg conform NEN7510

De zorguitgaven laten in 2013 de grootste groei zien in de rijksbegroting en bedragen al meer dan 10% van ons BNP. Er ligt dan ook een zware opdracht om 1,4 miljard euro in deze sector te bezuinigen. Organisaties in de zorg staan onder steeds grotere druk om tot aanzienlijke kostenverlaging te komen. Aan de andere kant zal er door de vergrijzing van de Nederlandse bevolking meer zorg nodig zijn. ICT technologie zoals Cloud toepassingen en Domotica lijkt daarom aan belang te winnen in de zorgsector om uit deze gordiaanse knoop te komen.

Ontwikkelingen
Het feit dat ICT in belang toeneemt, heeft te maken met een aantal ontwikkelingen binnen de zorgsector, waaronder:

  • Mensen eisen een steeds hogere kwaliteit, bijvoorbeeld in de vorm van snelle hulp, de beste medicijnen, gebruik nieuwste technieken etc.
  • 24/7 dienstverlening.
  • Toename van digitalisering van patiëntgegevens.
  • Behoefte aan integratie van data & telefonie (vast & mobiel)
  • De wens om “apparaat & platform onafhankelijk” te werken
  • De opkomst van mobiele toepassingen in de zorg
  • Ketenintegratie is steeds belangrijker
  • De eisen aan informatiebeveiliging zijn steeds hoger
  • Standaardisatie neemt toe vanuit kostenoogpunt

ICT investeringen
Wat is nu wijsheid als een zorgorganisatie voor de beslissing staat om opnieuw een belangrijke investering te doen in de ICT van de organisatie?

Door de opkomst van Cloudcomputing is uitbesteden van ICT een steeds beter alternatief voor het zelf investeren in hard- en software. Steeds meer organisaties raken enthousiast over deze optie vanwege het ontzorgen en de flexibele kosten. Ook de financieel directeur is blij dat de ICT kosten helder gespecificeerd zijn. Daar staat tegenover dat sommige organisaties zich zorgen maken over de beveiligingsmaatregelen en het gebrek aan controle over data. Echter in de praktijk blijkt dat de meeste schandalen van het lekken van data bijna altijd uit traditionele in-house systemen komt. Zo niet bij een recent schandaal in het Groene Hart ziekenhuis in Gouda. http://www.nu.nl/binnenland/2927832/groene-hart-ziekenhuis-lekt-medische-dossiers.html waar 493.000 patiëntgegevens beschikbaar kwamen op een externe FTP server in het kader van het digitaliseren van het archief.

NEN 7510
Informatiebeveiliging is dus belangrijk. Zeker in de zorgsector, waar medische en patiëntgegevens worden beheerd en uitgewisseld. Onder informatiebeveiliging in de zorgsector wordt verstaan: “het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die nodig is om patiënten op een verantwoorde manier zorg te bieden.” NEN 7510 richt zich op zorginstellingen en andere organisaties die bij informatievoorziening in de gezondheidszorg zijn betrokken, ongeacht de aard en de omvang van het bedrijfsproces.

Kwaliteit leveren
Het IGZ toetst zorginstellingen op het leveren van kwaliteit. Informatiebeveiliging is een integraal onderdeel van het leveren van kwaliteit. Zorgvuldig omgaan met informatie zodat het vertrouwelijk en integer behandeld wordt, is net zo belangrijk als het verzorgen van een verwonding.

Wet Bescherming Persoonsgegevens (WBP)
Hoewel de NEN 7510 formeel niet in de wet is opgenomen, is iedere instelling die te maken heeft met de verwerking van persoonsgegevens verplicht zich te houden aan de Wet Bescherming Persoonsgegevens. In Artikel 13 van deze wet staat onder meer vermeld dat instellingen passende technische en organisatorische maatregelen dienen te nemen om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking.

Regelgeving gebruik BSN-nummers
Alle zorgaanbieders, indicatieorganen en zorgverzekeraars moeten sinds 1 juni 2009 het BSN gebruiken bij het uitwisselen van gegevens over patiënten of cliënten. In de regelgeving over het gebruik van BSN-nummers staat expliciet aangegeven dat instanties die toegang hebben tot de BSN-nummers hun informatiebeveiliging op orde moeten hebben.

Conformeren wordt verplicht
De gezondheidsinspectie doet haar best om de NEN 7510 verplicht te stellen. Op dit moment is dit nog niet mogelijk, omdat er nu nog te weinig instellingen aan de NEN 7510 voldoen. Nu verplicht stellen zou tot gevolg hebben dat onvoldoende instellingen in formele zin zorg mogen leveren. Echter op het moment dat er voldoende instellingen voldoen aan de NEN 7510, of IGZ een middel vindt om de NEN 7510 wel verplicht te stellen, is de verwachting dat dit zeker zal gebeuren. Voldoet de zorginstelling op dat moment niet, dan loopt men het risico dat de werkzaamheden moeten stoppen.

Selectie criteria voor ICT outsourcing
Een traditionele aanpak van ICT betekent vrijwel altijd hoge kosten voor overhead en kapitaalbeslag. Zulke kosten maken dat organisaties niet kunnen concurreren in een markt waar concurrenten met dezelfde omzet minder voor hun ICT betalen. Is het dan mogelijk om als zorginstelling uw ICT uit te besteden en tevens te voldoen aan de NEN7510 norm? Het goede nieuws is dat er recent enkele partijen zijn bijgekomen die voldoen aan deze norm.

Indien u zich wilt oriënteren op ICT outsourcing dan zijn de volgende vragen relevant om te stellen aan uw potentiële ICT partner:

  • Is deze organisatie gecertificeerd conform NEN7510
  • Hoe lang is deze partij actief op het gebied van outsourcing?
  • Hoeveel ervaring heeft deze organisatie in de zorg?
  • Kan men het aanbod toesnijden op de specifieke applicaties van uw organisatie?
  • Heeft men naast het eigen datacenter ook een back-up datacenter op een andere locatie?

Conclusie
ICT is door bovengenoemde ontwikkelingen een belangrijk onderdeel van het zorgproces. Een zorg organisatie moet ICT inzetten om medewerkers te ondersteunen en de nodige functionaliteit bieden om een goede en efficiënte zorg te kunnen verlenen. Hiermee komt direct een ander belangrijk aspect naar voren: de afhankelijkheid van ICT neemt toe. Een goede beschikbaarheid, veiligheid en gegarandeerde continuïteit is dus van groot belang.

In vele situaties geldt dat een eigen organisatie soms te klein is om fundamentele keuzen voor innovatieve ICT-toepassingen te kunnen maken. Het zou dus rendabel als zorgorganisaties juist op het ICT-terrein de samenwerking gaan zoeken met andere zorgorganisaties.

Organisaties die hun ICT uitbesteden maken liquide middelen vrij voor andere zorg gerelateerde zaken. De informatie beveiliging is altijd up to date omdat dit is uitbesteed aan specialisten waardoor de reputatie van de zorginstelling is beschermd. Helemaal als NEN 7510 daarin centraal staat.

Auteur:
C.A.M. van der Burg
Accountmanager Zorg
Multrix

© Digitalezorg.nl

 

Read More