apr 1, 2022 | Nieuws
Wat is er aan de hand?
Het Nationaal Cyber Security Center (NCSC) heeft een zogenaamd HIGH/HIGH beveiligingsadvies uitgebracht naar aanleiding van een kwetsbaarheid in het Spring Core Framework. ZorgTTP heeft onmiddellijk geïnventariseerd welke maatregelen te nemen. Omdat niet aan de criteria wordt voldaan waaronder de kwetsbaarheid uitgebuit kan bestaat er geen acuut risico op uitbuiting.
Welke acties heeft ZorgTTP ondernomen?
De volgende acties zijn, in lijn met het advies van het NCSC, sinds bekendmaking van de kwetsbaarheid uitgevoerd.
- Inventarisatie gebruik Spring Core framework (31 maart 2022)
- Analyse of wordt voldaan aan de criteria om de kwetsbaarheid uit te buiten (31 maart 2022). Om van kwetsbare blootstelling te spreken moet voldaan worden aan drie voorwaarden, te weten:
- Java 9+
- Tomcat applicatieserver
- In gebruik als .war bestand
- Update CMT met Spring 5.3.18 (31 maart 2022)
Uitkomst van de inventarisatie en daarop volgende analyse is dat:
- Encryptiedienst TRES niet wordt geraakt door dit incident;
- De pseudonimisatiedienst in de componenten PVM, CMT en DRM wel gebruik maakt van een kwetsbare versie van het Spring Core Framework.
- De Centrale Module TTP (CMT) van het ZorgTTP pseudonimisatieplatform niet voldoet aan de criteria om de kwetsbaarheid uit te buiten.
- De PVM en DRM clients voor verzenden en ontvangen van te pseudonimiseren gegevens niet voldoen aan de criteria om de kwetsbaarheid uit te buiten.
Waarom is CMT niet kwetsbaar?
- Er zijn geen internet-facing componenten die direct benaderbaar zijn of die gebruik maken van de DataBinder methode.
Waarom is de PVM niet kwetsbaar?
- De software opereert niet als een server die wacht op binnenkomende verzoeken en voldoet daarmee niet aan de eerder genoemde criteria. De PVM is dus geen server maar een client, die alleen met ZorgTTPcontact heeft door dat contact alleen tijdens gebruik zelf actief te leggen.
Waarom is de DRM niet kwetsbaar?
- De DRM is net als de PVM geen server maar een client en om dezelfde reden niet kwetsbaar.
Vervolgacties
De volgende acties worden momenteel uitgevoerd
- Er is sinds 31 maart 2022 een nieuwe versie van CMT beschikbaar met Spring versie 5.3.18. Deze zal via het reguliere releaseproces worden opgebracht. Als tijdelijke maatregel in afwachting van de update is Apache Tomcat op 12 april 2022 bijgewerkt naar een versie die een patch bevat voor deze kwetsbaarheid.
- Update naar Spring Core Framework versie 5.3.18 (of hoger) voor alle nieuw uit te geven software.
- Op verzoek kunnen versneld nieuwe versies van de PVM en DRM clients versneld beschikbaar worden gesteld.
Indien u vragen heeft naar aanleiding van bovenstaande dan staan wij u graag te woord. Neem contact met ons op via onze servicedesk.
dec 7, 2020 | AVG, Informatiebeveiliging, Nieuws, Pseudonimiseren, ZorgTTP
ZorgTTP heeft zich als partner aangesloten bij de Samenwerkende Data Verwerkers. Gezamenlijk met de SDV willen we werken aan het opzetten van een uniforme pseudonimisatieservice voor de zorg. Het doel is om direct herleidbare persoonsgegevens zo veel mogelijk uit kwaliteitsregistraties te houden en zo dicht mogelijk bij de bron te pseudonimiseren. Veilig gebruik van gepseudonimiseerde gegevens voor kwaliteitsregistraties, en het koppelen ervan voor onderzoek, wordt mogelijk gemaakt door een uniforme en openbare methode van pseudonimiseren.
De identiteit van de patiënt blijft bij de bron
De SDV en ZorgTTP slaan de handen ineen, om scenario’s uit te werken die pseudonimisering aan de bron mogelijk maakt. De identiteit van de patiënt is dan enkel bekend in het EPD of een ander bronsysteem, en niet meer bij de verdere verwerking van data voor kwaliteitsregistraties. Het is de bedoeling om direct herleidbare gegevens zoveel mogelijk uit de registratie te houden, waarbij het tegelijkertijd wel mogelijk is om patiënten door de keten van zorgverleners te volgen en diverse brondata op patiëntniveau te koppelen. Dit draagt bij aan het verlichten van administratieve lasten voor zorgprofessionals en volgt de zogeheten ‘privacy-by-design principes’ om de privacy van patiënten nog strikter te waarborgen.
Lees meer over de samenwerking en de werkagenda.
nov 26, 2020 | Digitale certificaten, Informatiebeveiliging, Nieuws, Pseudonimiseren, Software
Deze versie van de Centrale Module TTP (CMT) biedt een nieuwe service in combinatie met vernieuwde PVM en DRM software; de Online TTP Informatie Service (OTIS).
ZorgTTP is dit jaar tweemaal genoodzaakt om een grootschalige vervangingsactie uit te voeren van digitale certificaten. In beide gevallen betrof het theoretische kwetsbaarheden die in de dienstverlening van ZorgTTP niet relevant zijn. OTIS stelt ZorgTTP en de gebruikers van de ZorgTTP software in staat om op een gebruiksvriendelijke en veilige wijze certificaten te vervangen.
Met deze service maken we het vervangen van certificaten eenvoudiger voor gebruikers. Als er nieuwe certificaten beschikbaar zijn, dan maakt de software hiervan melding. De gebruiker kan vervolgens beslissen om een update uit te voeren. Hiervoor is een code nodig die door ZorgTTP wordt gepubliceerd. De code is verbonden aan het nieuwe certificaat en vormt de bevestiging dat het juiste door ZorgTTP aangeboden certificaat wordt geïnstalleerd.
jun 4, 2019 | Nieuws, ZorgTTP
De verhuizing naar ons nieuwe pand komt steeds dichterbij. De voorbereidingen zijn in volle gang. We verhuizen op 2 juli 2019.
Vanaf 3 juli 2019 zijn wij gevestigd op ons nieuwe adres:
Stichting ZorgTTP
De Bouw 127
3991 SZ Houten
Vragen? Neem gerust contact met ons op door te bellen naar 030-6360649 of mailen naar servicedesk@zorgttp.nl
apr 26, 2018 | Nieuws, ZorgTTP
Wat is er veranderd?
Onze nieuwe website geeft nu meer informatie over belangrijke thema’s zoals pseudonimiseren, de Algemene Verordening Gegevensbescherming (AVG), privacy by design en de privacy impact assessment.
Op onze dienstenpagina ‘’Pseudonimisatie’’ is meer informatie te vinden over omkeerbare (TRES) en onomkeerbare pseudonimisatie (pseudonimisatie). Daarnaast zijn we ook erg blij te kunnen vermelden dat we ons dienstenpakket hebben uitgebreid en dat ZorgTTP ook privacy impact assessments (PIA) uitvoert op verzoek van haar opdrachtgevers.
Praktische informatie
Het is mogelijk dat voor uw dienstverlening ZorgTTP wordt vermeld in een handleiding of factsheet. Houd er rekening mee dat de lay-out van onze website nu anders is. Heeft ZorgTTP uw PVM module via onze website beschikbaar gesteld, dan kunt u die terug vinden via: https://zorgttp.nl/downloads/.
Uiteraard hopen wij dat u met plezier gebruik zult maken van onze nieuwe website! Indien er nog vragen ontstaan of u graag nog meer informatie over een bepaald onderwerp zou willen terug zien op onze website, dan horen we dat heel graag. Wij zijn bereikbaar via servicedesk@zorgttp.nl of via 030-6360649.
dec 4, 2017 | Nieuws, ZorgTTP
Jubileumcongres ZorgTTP blikt
vooruit op toekomst data in de zorg
Uiteenlopende sprekers laten licht schijnen op kansen en bedreigingen exponentiële groei data
Het jubilerende ZorgTTP vierde haar 10-jarige bestaan met een boeiend symposium over de stand van zaken en de toekomst van data, privacy en beveiliging. De ruim 100 deelnemers luisterden naar presentaties die alle aspecten rondom data in de zorg belichtten. Op het podium namen sprekers afkomstig van het ministerie van VWS, de juridische dienstverlening, data-analyse en diverse zorgregistraties het publiek mee in hun ideeën, meningen en ervaringen.
Na het welkomstwoord van ZorgTTP directeur Hans van Vlaanderen (‘Anonimiseren is een gevaarlijk begrip. Passend beveiligen van herleidbare gegevens is veel interessanter.’) nam dagvoorzitter Rens de Jong de regie stevig in handen. Samen met Buzzmaster Jesper Bekkers hield hij de zaal bij de les en ontstond er een mooi samenspel tussen sprekers en de vele deskundige bezoekers. Rens moest erkennen zelden zo een intellectueel publiek te hebben meegemaakt.
Rens Hemelsoet van IQVIA vertelde over het Europese CODE-project dat, met hulp van ZorgTTP, data verzamelt over het gebruik van medicatie binnen oncologie. Het doel: de toegang en betaalbaarheid van medicatie borgen. Maarten Erenstein van de Stichting Benchmark GGZ kon volop stoom afblazen over zijn persoonlijke ervaring met een privacy stoornis. Zijn les is een belangrijke: ‘De privacy-discussie gaat over beeldvorming, niet over feiten. Je kunt ook TE transparant zijn.’
Silvia Koerhuis van VWS deelde haar visie over goede compensatie in het zorgverzekeringsstelsel, noodzakelijke gegevens verzamelen en werkbaarheid met behoud van privacy. Rinus Voorham (PALGA) en Annemarie Eeltink-Conijn (IKNL) lieten in hun praktijkcase zien hoe twee organisaties met elkaar (en ZorgTTP) samenwerken om uitgebreide data-analyse mogelijk te maken voor onderzoekers. Evert Ben van Veen van Medlaw sloot af met een droogkomisch, maar niet minder serieus betoog over de juridische (on)mogelijkheden. ‘Het is quatsch om te denken dat er niets meer kan of mag’.
Hans van Vlaanderen vatte het symposium bondig samen en richtte zijn vizier op de komende 10 jaar: ‘Laten we met elkaar “nadere” spelregels afspreken waarmee we data voor beleid en onderzoek kunnen verzamelen en uitwisselen. Na vandaag ben ik ervan overtuigd dat we daarin zullen slagen.’ Rens de Jong concludeerde tot slot dat dit een goed startpunt is om te communiceren: ‘ZorgTTP heeft als verbindende partij vandaag niet alleen de hele sector bij elkaar gebracht, maar ook een sterk front gevormd dat klaar is voor de komende tijd.’
Na met elkaar geproost te hebben op 10 jaar ZorgTTP bleef het nog lang gezellig…
Waardering en quotes van deelnemers
De deelnemers waardeerden het programma en de sprekers met een ruime 8.
“Mooie, interactieve sessie. Informatief en leerzaam”
“Leuke locatie, leuke buzzmaster, energieke dagvoorzitter”
“Interessant. Ik zie heel veel kansen voor data en de zorg.”
“Mooie ontknoping voor de komende 10 jaar. Er is veel meer mogelijk dan je denkt.”
“Interessante middag, goed georganiseerd. Bedankt, en gefeliciteerd!”
