sep 27, 2024 | Nieuws
ZorgTTP zet zich als dienstverlener in voor de optimale balans tussen dataveiligheid en gebruiksvriendelijkheid van haar software. Ongeveer 2.000 individuen in Nederland maken momenteel gebruik van ZorgTTP diensten om gegevens te versleutelen voor onderzoeks- of beleidsdoeleinden, of deden dat in het afgelopen jaar. Daarvoor gebruiken zij een wachtwoord. Gemiddeld hebben personen ongeveer 100 wachtwoorden. Dat bleek uit een onderzoek in 2020 door Techradar (1). Dit is significant toegenomen met het hybride werken en mogelijk nog meer anno 2024.
De ZorgTTP software vereist ook een wachtwoord om het te kunnen gebruiken. Welk wachtwoord kies je daar dan voor? Het is moeilijk om al die wachtwoorden te onthouden. Bovendien bevatten zelfbedachte wachtwoorden vaak een hoge mate van voorspelbaarheid. Sommige mensen gebruiken gemakkelijk te onthouden wachtwoorden, terwijl anderen één complex wachtwoord hebben voor al hun accounts. Dat is een mooi doelwit voor criminelen die gebruikersgegevens willen stelen. In 2022 gaf 3,6% van de Nederlanders (>15 jaar) aan slachtoffer te zijn geweest van het hacken van een account. Meestal gaat het om een social media of email account. Bij 12,9% daarvan heeft de dader het wachtwoord achterhaald en bij 5,5% is dit geraden. Dat zijn 35.244 geraden wachtwoorden! (2)
Daarom promoot ZorgTTP het gebruik van wachtwoord managers voor de opslag én het genereren van alle wachtwoorden. Zowel persoonlijk als zakelijk. Als je eenmaal een wachtwoordmanager gebruikt, is er geen enkele reden meer om eenvoudige wachtwoorden te gebruiken. En het is niet meer nodig om al die wachtwoorden te proberen te onthouden. Wat een bevrijding en voordeel levert dat op. Op deze wijze zetten we gezamenlijk een kleine stap naar een veilige informatiesamenleving.
Een wachtwoordmanager is een digitale kluis. Daarin kun je de gebruikersgegevens opslaan en wachtwoorden genereren voor al je accounts, zowel privé als werk-gerelateerd. Een wachtwoordmanager kan online – en dus vanuit meerdere apparaten – benaderbaar zijn. Maar je kunt dit ook lokaal bewaren op een specifiek apparaat. De applicatie kan worden geïntegreerd met een browser of een OS. Er zijn diverse aanbieders op de markt, zowel gratis als tegen betaling. Zo zijn er de applicaties Bitwarden (open source en gratis), Passbolt (open source), KeePass, Dashlane en 1Password.
Het is niet meer nodig om tal van wachtwoorden te onthouden met allerlei variaties; maar slechts één. Met een wachtwoordmanager hoef je enkel het hoofdwachtwoord van de kluis in te voeren. Dit dient uiteraard een sterk wachtwoord te zijn. En daarbij dient voorspelbare, voor de hand liggende en algemeen bekende informatie te worden vermeden. De applicatie dient als hulpmiddel om nieuwe wachtwoorden voor accounts te genereren. Dit zijn willekeurig samengestelde wachtwoorden. Bij het inloggen in één van je accounts kunnen de gebruikersgegevens automatisch worden ingevuld door de wachtwoordmanager. Er zijn ook functies om zakelijke wachtwoorden te delen onder collega’s. Het gebruik van een wachtwoordmanager past binnen het beleid van veel organisaties.
Een wachtwoordmanager maakt je leven dus makkelijker en veiliger. Wij adviseren daarom aan alle gebruikers van onze software om dit in gebruik te nemen. Wellicht stond het al op de to-do lijst. We begrijpen heel goed dat zo’n vertrouwde aanpak veranderen niet 1-2-3 is geregeld en dat de kostbare tijd met name gaat naar het runnen van je onderneming of verlenen van goede zorg aan patiënten. En juist daarom … Als de stap eenmaal is gezet naar een wachtwoordmanager, zal dat direct overzicht brengen en zorgen besparen.
(1)
(2)
aug 29, 2024 | Encryptie, Nieuws
Op woensdag 28 augustus is de TRES server vervangen door een nieuw exemplaar. Deze vervanging is zonder problemen uitgevoerd.
De nieuwe server biedt een hoger beveiligingsniveau door onder andere TLS 1.3 aan te bieden met een selectie aan sterkere versleutelingsalgoritmen en een grotere sleutellengte voor het gebruikte verbindingscertificaat.
Ondanks dat het volledig getest is kunnen er door het verhoogde beveiligingsniveau onverwachtse problemen optreden tijdens het gebruik van TRES. In dat geval kunt u contact opnemen met de servicedesk van ZorgTTP (030-63 60 649).
We zullen de aankomende tijd extra klaar staan om eventuele problemen zo snel mogelijk te verhelpen.
jun 28, 2024 | Nieuws
Een mooie stap is gezet in het vergroten van de flexibiliteit van de ZorgTTP-software, zónder in te leveren op de veiligheid van de gevoelige gegevens die wij namens onze opdrachtgevers verwerken. Samen met een van onze opdrachtgevers, een biofarmaceutisch bedrijf, hebben we een nieuwe functie ontwikkeld voor de PVM-pseudonimisatiemodule. Die is nu voor alle pseudonimisatieketens beschikbaar. De DOVE-functie maakt het mogelijk om de inputspecificatie van te pseudonimiseren databestanden dynamisch aan te passen met een downloadbaar script.
Data zijn cruciaal voor beleid, onderzoek en vernieuwing in de sector van zorg en welzijn. ZorgTTP helpt organisaties met het passend beveiligen van benodigde gegevens voor deze doeleinden. Pseudonimisatie van gevoelige gegevens is één van de beveiligingsmaatregelen die wij aanbieden. Op deze manier helpen wij onze opdrachtgevers om passende maatregelen te nemen om de privacy te waarborgen.
Met het oog op adequate pseudonimisering maakt ZorgTTP altijd vooraf afspraken met opdrachtgevers over de verwachte input voor en output na pseudonimisering. Bestanden die niet voldoen aan de afgesproken criteria worden niet verwerkt. De criteria worden gecontroleerd op basis van scripts binnen de PVM. In een ideale wereld weet de onderzoeker op voorhand exact welke gegevens nodig zijn voor een bepaald onderzoek. De werkelijkheid kan echter wel eens weerbarstig zijn. Daardoor is er soms vooraf nog geen zekerheid over hoe de te pseudonimiseren dataset eruitziet. Juist dan is het handig dat de gegevensspecificaties kunnen worden aangepast zonder dat een update van de complete module nodig is. Dat was tot nu toe wel het geval bij wijzigingen in de bestandsindeling.
Met de nieuwe DOVE-functie worden de scripts op dynamische wijze gewijzigd. Uiteraard gebeurt dat nog steeds met tussenkomst van de Trusted Third Party. Dit maakt de pseudonimisatieketen weer een stukje flexibeler voor een wendbare gegevensverwerking. En dit met behoud van de vertrouwde veiligheid van de ZorgTTP dienstverlening.
De DOVE-functie is vanaf nu beschikbaar. Bent u benieuwd naar de waarde en werking van DOVE voor uw pseudonimisatieketen? Uw adviseur informeert u graag wat dit kan betekenen voor uw gegevensverwerking.
nov 17, 2023 | Nieuws
ZorgTTP zit niet stil. Recent is de testinfrastructuur uitgebreid met een testomgeving in de cloud. Het is gelukt daar binnen enkele maanden een cloud-based pseudonimisatieplatform (CMT) te bouwen. Daarbij hoort een volledig automatische deployment. Hier zijn we trots op! De introductie van onze testomgeving in de cloud heeft een gunstig effect op de snelheid en wendbaarheid van ons releasebeleid. En dit is daarmee ook een positieve stimulans voor het opbrengen van nieuwe functies in onze software. Het heeft ons veel kennis en vaardigheden gebracht over cloud computing. Onze technische experts hebben nu de bagage om organisaties te adviseren over het pseudonimiseren van hun gegevensverwerking in de cloud. Als dat de wens is. Denk bijvoorbeeld aan het beheer van de Doel- en Retour Module (DRM) in Microsoft Azure. In de toekomst verwachten we steeds meer Privacy Enhancing Technologies (PET’s) via de cloud beschikbaar te maken.
ZorgTTP in de cloud … Hoe ziet dat eruit?
ZorgTTP beschikte al over een ontwikkel-, acceptatie- en productieomgeving van het eigen pseudonimisatieplatform CMT. Die omgevingen worden gehost op een dedicated server in eigen beheer. De verrijking van deze infrastructuur met een testomgeving brengt dit naar een klassieke OTAP-structuur voor het releasen van software. Van ontwikkeling naar test, acceptatie en productie. De testomgeving van CMT wordt gehost bij Amazon Web Service (AWS). Vooralsnog is het geen ambitie om de CMT productieomgeving ook in de cloud onder te brengen.
Met de nieuwe werkwijze bieden we onze klanten een vanuit code gebouwde infrastructuur (Infrastructure as Code). Dit maakt het mogelijk om een nieuwe CMT-versie met nieuwe features in de cloud in tien minuten op een server te plaatsen in AWS. Zo kunnen de software-ontwikkelaars heel dynamisch vernieuwingen aan het CMT-platform doorvoeren.
Zodra software in de CMT-testomgeving is goedgekeurd, wordt die ook in de acceptatie-omgeving getest. Deze omgeving is een kopie van de productieomgeving. Zowel de acceptatie- als productomgeving worden gehost door RAM Infotechnology. Dit zal ook zo blijven. We maken graag gebruik van de kennis en kunde van deze partner. Net als wij blijven ze zich inzetten voor de veiligheid van de gevoelige gegevens van onze opdrachtgevers.
De voordelen van cloud hosting voor het test- en ontwikkelproces
Een CMT-testomgeving in de cloud biedt ZorgTTP grote voordelen. Het geeft onze software-ontwikkelaars controle en flexibiliteit. Zij zitten aan de knoppen en kunnen op gedoseerde wijze software-aanpassingen doorvoeren. Dit draagt bij aan een meer wendbare releasestrategie. In plaats van halfjaarlijks één grote software-update kunnen nu tussentijds verbeteringen in CMT worden doorgevoerd. Dit doorlopende en meer stapsgewijze proces maakt software-ontwikkeling meer flexibel. Dit is een positieve stimulans voor het opbrengen van nieuwe functies voor de gebruikers van onze software.
We kunnen nu ook de belastbaarheid van de servers in de cloud testen. Die resultaten nemen we mee in de inrichtingskeuzes van de productieservers bij RAM Infotechnology. Werken in de cloud brengt nog een theoretisch voordeel: een uitwijkmogelijkheid in geval van een worst case scenario. Vallen door een ramp de acceptatie- en productieservers bij de hosting organisatie om? Dan is er een volledige en werkende CMT-omgeving als back-up opgeslagen in AWS. Een geruststelling voor onze opdrachtgevers en gunstig voor onze compliancy doeleinden.
De toekomst van het pseudonimisatieplatform CMT in de cloud
De introductie van de testomgeving van het pseudonimisatieplatform CMT in de cloud is voor dit moment een succes. Het zal de efficiënte van de software-releases een boost geven. Het is niet direct onze ambitie om naast de testomgeving van CMT ook de productieomgeving daar te brengen. Cloud hosting partijen zetten al procedurele stappen om de veiligheid van opgeslagen gegevens te garanderen. Afspraken over de opslaglocatie van gegevens zijn daarvan een voorbeeld. Om daadwerkelijk persoonsgegevens in de cloud te plaatsen zijn echter meer acties nodig. Denk daarbij aan een kwetsbaarhedenscan.
Privacy Enhancing Technologies (PET) in de cloud
We verwerken voor onze klanten veel gevoelige persoonsgegevens om onderzoek en beleidsvorming in de zorg mogelijk te maken. Privacybescherming is daarbij van groot belang. Op basis van de situatie, wensen en mogelijkheden geven we advies over de best passende Privacy Enhancing Technologies (PET). Tevens dragen we zorg voor de implementatie daarvan. Er komen steeds meer verzoeken voor nieuwe features en diensten, waarvan een deel is gehost in de cloud. Daar geven we graag gehoor aan. Het resultaat is een groeiend palet aan technieken (PET’s), met steeds meer knoppen om aan te draaien. Enerzijds zijn er technieken als Multi Party Computation (MPC) met optimale technische maatregelen. Anderzijds is er een behoefte aan diensten met optimale gebruiksvriendelijkheid, zoals een webservice. Door de combinatie van technische en organisatorische maatregelen zorgen we altijd voor optimale bescherming van de gevoelige gegevens die we verwerken. Dit is een grondbeginsel bij het inrichten van alle PET-diensten die we in huis hebben.
mei 25, 2023 | Nieuws, Pseudonimiseren, ZorgTTP
Stichting ZorgTTP is verheugd om te melden dat de samenwerking met de Stichting Farmaceutische Kengetallen (SFK) is vernieuwd. Met enthousiasme wordt ook de komende jaren ingezet op het zo veilig mogelijk samenbrengen van gegevens voor onderzoek naar geneesmiddelengebruik in Nederland.
De SFK verzamelt, monitort en analyseert sinds 1990 gedetailleerde gegevens van het geneesmiddelengebruik in Nederland. Deze gegevensverzameling komt tot stand met behulp van meer dan 98% van de openbare apotheken in Nederland en omvat de gebruikscijfers van 16 miljoen personen. Deelnemende apothekers krijgen met rapportages inzicht in de omvang en opbouw van de geneesmiddelenvoorziening. Daarnaast maakt de SFK wetenschappelijk onderzoek met de informatie mogelijk. De ambitie van de SFK is om de aankomende jaren meer onderzoeksinitiatieven te ondersteunen.
Om ervoor te zorgen dat de beveiliging niet alleen nu maar ook de komende jaren State-of-the-Art blijft gaat de SFK gebruikmaken van de openbare pseudonimisatiemethode die in opdracht van het ministerie van VWS is ontwikkeld. Groot voordeel van deze openbare methode is de mogelijkheid tot koppeling met andere – conform de SHA-methodiek – gepseudonimiseerde datasets. De overstap verruimt voor de SFK de mogelijkheden voor het ondersteunen van onderzoek naar geneesmiddelengebruik met gekoppelde data.
ZorgTTP en SFK kijken ernaar uit om de samenwerking voort te zetten en de privacy van de geneesmiddelengebruikers ook de aankomende jaren adequaat te blijven beschermen.
mei 5, 2023 | Nieuws
De Brancheorganisaties Zorg (BoZ) hanteren een standaard format voor de verwerkersovereenkomst. Alle zorgaanbieders kunnen dit gebruiken voor het vastleggen van afspraken met betrekking tot het verwerken van persoonsgegevens. In december 2022 is een nieuwe versie van dit BoZ-format beschikbaar gekomen. Het format is eenvoudiger van opzet en het proces is versimpeld. Uitzonderingen die voorheen als bijlage in de oude BoZ-overeenkomst werden toegevoegd kunnen nu achterwege blijven. Ook sluit de overeenkomst beter aan bij de leveringsvoorwaarden van ZorgTTP. Daardoor kan de overeenkomst nu in principe zonder verdere aanpassing van de bepalingen worden gesloten. Dit verkleint de juridische hordes en verkort zo de doorlooptijd in de voorbereidende fase bij het opzetten van nieuwe gegevensverwerkingen. Het BoZ-format december 2022 hanteert ZorgTTP nu als de standaard voor een verwerkersovereenkomst.
ZorgTTP is blij met de nieuwe versie van de verwerkersovereenkomst. Goede afspraken tussen alle partijen binnen een gegevensverwerking zijn een essentiële verplichte bouwsteen voor aantoonbare governance bij gegevensverwerkingen. Want daarin leggen de verwerkingsverantwoordelijke(n), verwerkers en eventuele subverwerkers hun verantwoordelijkheden vast. Om zorgvuldig met persoonsgegevens om te gaan is deze organisatorische maatregel onmisbaar. Het gebruik van het nieuwe template wordt daarom van harte aanbevolen.
