dec 7, 2020 | AVG, Informatiebeveiliging, Nieuws, Pseudonimiseren, ZorgTTP
ZorgTTP heeft zich als partner aangesloten bij de Samenwerkende Data Verwerkers. Gezamenlijk met de SDV willen we werken aan het opzetten van een uniforme pseudonimisatieservice voor de zorg. Het doel is om direct herleidbare persoonsgegevens zo veel mogelijk uit kwaliteitsregistraties te houden en zo dicht mogelijk bij de bron te pseudonimiseren. Veilig gebruik van gepseudonimiseerde gegevens voor kwaliteitsregistraties, en het koppelen ervan voor onderzoek, wordt mogelijk gemaakt door een uniforme en openbare methode van pseudonimiseren.
De identiteit van de patiënt blijft bij de bron
De SDV en ZorgTTP slaan de handen ineen, om scenario’s uit te werken die pseudonimisering aan de bron mogelijk maakt. De identiteit van de patiënt is dan enkel bekend in het EPD of een ander bronsysteem, en niet meer bij de verdere verwerking van data voor kwaliteitsregistraties. Het is de bedoeling om direct herleidbare gegevens zoveel mogelijk uit de registratie te houden, waarbij het tegelijkertijd wel mogelijk is om patiënten door de keten van zorgverleners te volgen en diverse brondata op patiëntniveau te koppelen. Dit draagt bij aan het verlichten van administratieve lasten voor zorgprofessionals en volgt de zogeheten ‘privacy-by-design principes’ om de privacy van patiënten nog strikter te waarborgen.
Lees meer over de samenwerking en de werkagenda.
nov 26, 2020 | Digitale certificaten, Informatiebeveiliging, Nieuws, Pseudonimiseren, Software
Deze versie van de Centrale Module TTP (CMT) biedt een nieuwe service in combinatie met vernieuwde PVM en DRM software; de Online TTP Informatie Service (OTIS).
ZorgTTP is dit jaar tweemaal genoodzaakt om een grootschalige vervangingsactie uit te voeren van digitale certificaten. In beide gevallen betrof het theoretische kwetsbaarheden die in de dienstverlening van ZorgTTP niet relevant zijn. OTIS stelt ZorgTTP en de gebruikers van de ZorgTTP software in staat om op een gebruiksvriendelijke en veilige wijze certificaten te vervangen.
Met deze service maken we het vervangen van certificaten eenvoudiger voor gebruikers. Als er nieuwe certificaten beschikbaar zijn, dan maakt de software hiervan melding. De gebruiker kan vervolgens beslissen om een update uit te voeren. Hiervoor is een code nodig die door ZorgTTP wordt gepubliceerd. De code is verbonden aan het nieuwe certificaat en vormt de bevestiging dat het juiste door ZorgTTP aangeboden certificaat wordt geïnstalleerd.
sep 9, 2020 | Informatiebeveiliging, Software
UPDATE: afgerond op 22 januari 2021. Zie het
artikel.
Wat moet ik doen?
Wij bereiden een update voor de PVM voor. Reeds geïnstalleerde versies kunnen probleemloos het resterende deel van 2020 gebruikt worden. Voor de periode daarna moet de software worden bijgewerkt met nieuwe certificaten. De software zal een melding geven zodra er een update beschikbaar is. Het is van belang om deze voor het einde van het jaar te installeren. De eerste nieuwe versies zijn reeds beschikbaar gemaakt voor een deel van de gebruikers. Wij zorgen er in overleg met onze opdrachtgevers voor dat de nieuwe software tijdig beschikbaar komt voor alle gebruikers.
Waarom is dat nodig?
ZorgTTP maakt gebruik van digitale certificaten voor het beveiligen van de dienstverlening. Deze worden verstrekt door leverancier QuoVadis. Het toezichthoudende orgaan CA/Browserforum (CAB) heeft manco’s ontdekt in de kenmerken van door diverse Certificate Authorities (CA’s) verstrekte certificaten die misbruik mogelijk maken. Intrekking van de geraakte CA’s wordt daarom door het CAB geëist. Ook de door ZorgTTP gebruikte QuoVadis EU Advanced CA G1 valt hieronder. QuoVadis is met CAB overeengekomen om de CA per 31 december 2020 in te trekken. Zie ook het nieuwsbericht van QuoVadis.
Hoe herken ik of ik over de juiste versie van de software beschik?
In het verwerkingsverslag dat van iedere verwerking wordt gemaakt kunt u onder de kop afnemercontrole nagaan door welke CA het certificaat is uitgegeven. Als daar QuoVadis Trust Anchor Issuing CA G2 staat dan beschikt u over de juiste certificaten. Hou in alle andere gevallen in de gaten wanneer de module om een update vraagt.
Vragen?
Heeft u vragen naar aanleiding van dit bericht? Neem dan contact op met onze servicedesk.
jul 20, 2020 | AVG, Informatiebeveiliging
Het Europese Hof van Justitie heeft op 17 juli een uitspraak gedaan met grote consequenties; het EU-U.S. Privacy Shield is ongeldig verklaard. De voornaamste aanleiding voor het nietig verklaren is gelegen in de bevoegdheid van Amerikaanse inlichtingen- en veiligheidsdiensten om gegevens van Europese burgers in te zien en gebruiken. Daarbij worden volgens het Hof de principes van noodzakelijkheid en proportionaliteit onvoldoende toegepast. Europese betrokkenen hebben daarnaast geen mogelijkheid tot het indienen van een beroep of een klacht.
Gevolg uitspraak
Door ongeldig verklaren van het Privacy Shield voldoen organisaties die gegevens van Europese burgers verwerken in de V.S. niet langer aan de Algemene Verordening Gegevensbescherming (AVG).
Geen impact op door ZorgTTP verwerkte gegevens
ZorgTTP treedt namens diverse organisaties op als Verwerker in de zin van de AVG. Alle productiesystemen van ZorgTTP worden binnen de werkingssfeer van de AVG gehost. Dat betekent dat persoonsgegevens die met software van ZorgTTP worden verwerkt te allen tijde binnen de Europese Economische Ruimte (EER) blijven. Er worden geen gegevens verwerkt in de V.S. en er is geen sprake van data-uitgifte aan partijen binnen dat gebied. De uitspraak van het Hof heeft daarom geen gevolgen voor de verwerkingen die door ZorgTTP worden uitgevoerd namens de Verwerkingsverantwoordelijken. Mocht u vragen hebben over dit onderwerp, neem dan gerust contact met ons op.
Verder lezen?
De Autoriteit Persoonsgegevens over deze uitspraak. De International Association of Privacy Professionals (IAPP) geeft tevens een toelichting.
jul 31, 2019 | AVG, Informatiebeveiliging, Privacy, Pseudonimiseren, ZorgTTP
De norm voor pseudonimisatiedienstverlening is gepubliceerd door NEN. De Nederlandse norm, NEN 7524, is opgesteld door gebruikers en leveranciers van pseudonimisatiediensten en is nu beschikbaar in de NEN webshop.
Om (zorg)gegevens ethisch en wettelijk verantwoord te mogen gebruiken voor onderzoek, worden de gegevens gepseudonimiseerd. Dit betekent dat een vertrouwde onafhankelijke partij de gegevens verwijdert die herleidbaar zijn tot de patiënt en deze vervangt door een pseudocode. Voor onderzoekers en epidemiologen zijn deze gegevens interessant, bijvoorbeeld om de trends in ziekteprevalentie te bepalen of het effect van gezondheidsprogramma’s te monitoren.
NEN 7524
Het doel van de norm is:
- privacy van de patiënten te respecteren;
- beschikbaarheid van de gegevens over langere tijd veilig te stellen;
- transparantie en betrouwbaarheid van de diensten te verbeteren;
- overstappen naar een andere dienstverlener mogelijk te maken.
(bron: persbericht NEN)
De Autoriteit Persoonsgegevens en pseudonimisatie
De Autoriteit Persoonsgegevens (AP) stelt met betrekking tot pseudonimisatie:
Pseudonimiseren is een beveiligingsmaatregel waarbij persoonsgegevens worden verwerkt zonder dat daarbij duidelijk wordt over welke personen de gegevens gaan. Bij pseudonimiseren van persoonsgegevens kunnen gegevens alleen nog herleidbaar zijn tot een specifiek persoon als er gebruik wordt gemaakt van aanvullende gegevens.
Pseudonimisering van persoonsgegevens is een verwerking van persoonsgegevens waarbij u zich nog steeds moet houden aan de Algemene verordening gegevensbescherming (AVG). Bij pseudonimisering moet u technische en organisatorische maatregelen nemen om ervoor te zorgen dat onbevoegden de koppeling met het bestand met aanvullende gegevens niet kunnen maken.
(bron: Autoriteit Persoonsgegevens)
ZorgTTP en NEN 7524
ZorgTTP is actief betrokken geweest bij de ontwikkeling van deze norm. De komende tijd wordt ondersteuning van de NEN 7524 norm door ZorgTTP voorbereid. Zodra een certificeringsschema beschikbaar is wordt een onafhankelijke deskundige partij gevraagd een certificeringsaudit uit te voeren. Daarmee maken we de kwaliteit van de door ons geboden technische en organisatorische maatregelen aantoonbaar en helpen we onze opdrachtgevers te voldoen aan de AVG.
Voor vragen kunt u contact opnemen met Hans van Vlaanderen, directeur ZorgTTP. Dat kan via 030-6360649 of info@zorgttp.nl.
dec 20, 2018 | Informatiebeveiliging
Beveiligingsnieuws
Bij het opbouwen van beveiligde verbindingen maken wij gebruik van het Transport Layer Security (TLS) protocol. In de browser kan dit herkend worden aan URL’s beginnend met https:// en het bekende slotje. Dit protocol wordt regelmatig verbeterd met nieuwe versies. Om een verbinding daadwerkelijk te beveiligen is het van belang alleen de versies van TLS te gebruiken die veilig worden beschouwd en oude voorgaande versies uit te schakelen.
Einde ondersteuning TLS 1.0 (en 1.1)
Protocol versie 1.0 wordt niet langer als veilig beschouwd. Daarom accepteert ZorgTTP deze versie vanaf 7 januari 2019 niet langer. We volgen hiermee tal van organisaties die dit reeds gedaan hebben. De weinig gebruikte versie 1.1 zal gelijktijdig worden uitgeschakeld. Vanaf
7 januari 2019 ondersteunen we enkel TLS versie 1.2. Bovendien worden enkel verbindingen toegestaan op basis van sterke “ciphers”.
Gevolgen voor het gebruik van onze diensten
Het kan voorkomen dat organisaties die gegevens willen aanleveren nog gebruik maken van verouderde browsers of Java versie 7 (of ouder). Als hierbij wordt geprobeerd een verbinding op te bouwen met protocolversies of ciphers waarvoor ZorgTTP geen ondersteuning biedt vanwege de veiligheid, dan zal de verbinding niet tot stand komen en krijgt de gebruiker een foutmelding te zien.
Wat kunt u doen?
Zorg dat u gebruik maakt van een recente browserversie en of een recente versie van Java. Neem contact op met onze Servicedesk indien u een foutmelding krijgt bij het verzenden of ophalen van gegevens.