........ Veilige toegang tot de patiëntgegevens Eugène van Diepen ([email protected]) Het parlement en de minister oefenen steeds meer druk uit op het College bescherming persoonsgegevens (CBP) en de Inspectie voor de Gezondheidszorg (IGZ) om toe te zien op de naleving van de regelgeving in het kader van patiëntveiligheid en gegevensbescherming. Eisen voor de informatiebeveiliging zijn onder andere vastgelegd in NEN-normen (NEN7510 uit 2004). In het HIS-referentiemodel is het regelen van de rechten van toegang en gebruik van patiëntgegevens opgenomen. Tweefactorauthenticatie is sinds vijf jaar de standaard en de laatste drie jaar zijn de veiligheidseisen aanzienlijk verzwaard.1 SynthesHis besteedt in een viertal artikelen aandacht aan de inlogprocedures, het loggen van handelingen en de ontwikkelplannen voor 2015 van vier HISsen. Dat zijn CGM HUISARTS (voorheen MIRA) van CompuGroup Medical (CGM), MicroHIS van CSC, Promedico ASP en Promedico VDF van Promedico, en OmniHis Scipio van OmniHis bv. ........ Eugène van Diepen ([email protected]) Inlogprocedure CGM HUISARTS en de plannen voor 2015 Richard Heuft bijt namens CGM HUISARTS de spits af. Hij is als productmanager verantwoordelijk voor de communicatie tussen de systemen, de koppelingen, de architectuur en de techniek. Er zijn andere productmanagers voor het artsenpakket, voor de apotheek en voor de integrale zorg. NOOT 1. Zie: Levelink H. Actuele wet- en regelgeving voor de huisarts. SynthesHis 2014;3(13):8-10. 26 Naast de klassieke methode met naam en wachtwoord kan al vanaf de eerste kwalificatie voor het LSP in CGM HUISARTS ingelogd worden met UZI-pas en code. Nieuw dit jaar is dat CGM, op verzoek van de praktijkeigenaar, de toegang tot CGM HUISARTS en SynthesHis december 2014; 4 (13) CGM APOTHEEK kan beperken tot het verplicht inloggen met de UZI-pas. Feitelijk wordt dan een twee-factorauthenticatiemethode (2FA) afgedwongen, wat een eis is van het CBP. Inloggen met gebruikersnaam en wachtwoord is er dan alleen nog om uit te komen op de beheerpagina waar UZI-passen en gebruikers worden gekoppeld. De patiëntgegevens zijn dan niet meer bereikbaar. In de praktijk is er een dubbele login: eerst met naam en wachtwoord om in de Windows-omgeving te komen, en daarna, via een aparte beveiligde internetverbinding met UZI-pas en code van het token, om in het HIS bij de patiëntgegevens te komen. GEBRUIKERSGEMAK EN BEVEILIGING De kracht van het wachtwoord wordt met een complexe wiskundige formule berekend. Hoe meer verschillende karakters gebruikt worden, hoe meer de opeenvolgende karakters van elkaar verschillen en hoe meer speciale tekens, cijfers of hoofdletters gebruikt worden, hoe sterker het wachtwoord is. Met alleen letters is een wachtwoord sterk als er negen karakters gebruikt worden. Als ook hoofdletters gebruikt worden is dat het geval bij zeven karakters en met speciale tekens erin bij zes karakters. Het systeem waarschuwt voor ondeugdelijke wachtwoorden, maar blokkeert ze niet. Beveiliging wordt door heel veel gebruikers als hinderlijk of verstorend gezien, als onnodige (beveiligings)maatregelen, maar buiten de branche vindt men het onveilig om ze niet te gebruiken. Richard: ‘Wij kunnen het gereedschap leveren om de systemen goed te beveiligen, maar de gebruiker moet het goed toepassen. Gebruikersgemak en beveiliging gaan helaas niet altijd samen, al proberen we beveiliging altijd zo gebruikersvriendelijk mogelijk te maken.’ LOGGING BINNEN HET HIS? ‘Er is geen volledige logging van elke actie over de volle breedte rondom een dossier, zoals de NEN-norm vraagt, maar zaken als dossiermutaties, aanpassen mandatering en wanneer iemand heeft ingelogd worden wel gelogd.' Er loopt een project van NHG, LHV, KNMP en Nictiz (zie ook het interview met Bertine Uithoven van CSC) waarin een voorstel is gemaakt hoe de logging eruit zou moeten zien, om breed in de eerste lijn de logging in alle systemen op een hoger niveau te brengen. 'Nu worden afspraken gemaakt over de implementatie in 2015-2016. Dat moet een eerste opstap zijn naar sterke authenticatie en audit trails, die in alle pakketten geïmplementeerd moeten worden, zodat je weet dat elk HIS dat op dezelfde goede manier doet. Wel blijft het de vraag of het systeem snel en werkbaar genoeg blijft als iedere handeling gelogd wordt. En welk risico bestrijden we met logging, tegen welke kosten? En is de identiteit die vastgelegd wordt in het log daadwerkelijk de persoon die de handeling verricht heeft?’ UITROL IN 2015 De conclusies en afspraken in het genoemde project rondom logging zijn leidend voor de uitbreidingen die de gebruiker op dit gebied kan verwachten. Twee-factorauthenticatie is al aanwezig, dus die kwestie komt in 2015 niet als actiepunt terug. 3 UZI-PAS IS IDENTITEITSBEWIJS ‘Wat veel mensen niet beseffen is dat een UZI-pas eigenlijk een identiteitsbewijs zonder pasfoto is. Op de pas staan naam, doopnamen, functie en rolcode van de paseigenaar en dat alles is beveiligd met een zescijferige pincode. Bij een opvraging via het LSP wordt vastgelegd vanuit welke praktijk en welke persoon de opvraging wordt gedaan. En degene wiens pas in de paslezer zit wordt verantwoordelijk gehouden voor alle handelingen die dan met het systeem gedaan worden, ook als een ander die uitvoert. Dat is een nadeel van gedeeld gebruik van een UZI-pas aan de balie. Een patiënt kan altijd opvragen wie zijn gegevens heeft ingezien en krijgt dan te horen (of te zien via de VZVZ-website) welke organisatie dat gedaan heeft.' Door de VZVZ is, als dat nodig is, ook op te leveren welke persoon die bevraging heeft gedaan. Iedereen is uiteindelijk bij elke opvraging op individuele basis te herkennen. Zo kan bij het onbevoegd inzien van gegevens de dader gevonden worden. SynthesHis december 2014; 4 (13) 27 ........ Eugène van Diepen ([email protected]) Inlogprocedure CSC MicroHIS X en de plannen voor 2015 Op welke manier kunnen gebruikers inloggen bij MicroHIS X en wat staat er op de uitrolkalender van MicroHIS X voor 2015? Bertine Uithoven, productmanager van MicroHIS X bij het Leidse iSOFT Nederland, dochter van CSC, gaat in op deze vragen. Inloggen gebeurt in het HIS in een ASP-omgeving (de standaarduitlevermethode van CSC, bekend als MaaS, MicroHIS X as a Service) in twee stappen. Eerst op de ASP-omgeving die voldoet aan hoge eisen – gebruikersnaam en wachtwoord met beperkte termijn of met een token of certificaat – en daarna inloggen in MicroHIS X. Deze tweede laag vereist ofwel inloggen met gebruikersnaam en wachtwoord, ofwel inloggen met de UZI-pas en een inlogcode. ‘Bij deze laatste methode wordt de verbinding na 15 minuten inactiviteit automatisch verbroken, conform de AORTA-eisen die gelden voor communicatie met het LSP. Dit is een landelijke standaard. Op termijn worden de algemene eisen voor inloggen aangescherpt door Nictiz en het NHG, in samenspraak met het werkveld, en wordt inloggen met naam en wachtwoord niet meer ondersteund.’ NIEUWE STANDAARDEN Het NHG en Nictiz hebben een verbeterplan voor het beveiligingsniveau van de XISsen in de eerste lijn bedacht, met drie beveiligingsthema’s. ‘Het eerste thema is toegangslogging, het tweede identificatie en authenticatie – waaronder inloggen – en het derde thema is autorisatie. Het is zeer belangrijk dat het hele werkveld een gemeenschappelijke standaard afspreekt en er ook gelijktijdig aan werkt. Want het gaat om de veiligheid van gegevens in de eigen praktijk en ook bij de uitwisseling met andere zorgverleners en bijvoorbeeld bij extracties. Daar zijn de leveranciers actief bij betrokken. De behoefte is er om een gemeenschappelijke standaard af te spreken die de leveranciers kunnen ontwikkelen, testen en implementeren, het liefst in een vergelijkbaar tijdspad voor alle leveranciers voor systemen die in de eerstelijnszorg gebruikt worden. ’De pilot voor identificatie en authenticatie, waaronder de inlogprocedure valt, staat op de agenda voor 2016, de implementatie in 2017. Door verbreding van 28 SynthesHis december 2014; 4 (13) de zorg, bijvoorbeeld doordat de ketenzorg een onderdeel gaat uitmaken van de huisartsenpraktijk, nemen de behoeften toe en wordt het belangrijker de patiëntgegevens af te schermen voor onbevoegden. Wie ziet wat, wie mag wat, wie doet wat? Het werkveld vraagt om nieuwe toepassingen, die met elkaar ontwikkeld moeten worden. Het duurt jaren voor iedereen betrokken is, een mening heeft, elkaars mening hoort, er opnieuw over nadenkt, voldoende informatie-input voor zijn deel krijgt, een oplossing bedenkt, ontwikkelt, inbouwt, test en uiteindelijk implementeert. Vernieuwing is nodig, maar duurt een aantal jaren en vindt plaats naast de reguliere ontwikkeling en aanpassing van het HIS. LOGGING Het werkveld brengt in kaart wat de nieuwe wensen met betrekking tot logging zijn en wat de financiële consequenties daarvan zijn. Wat wil je loggen? Hoe groot wordt het log? Wat vraagt dat van het automatiseringssysteem? Hoeveel stroom, opslagcapaciteit, CPU of RAM-geheugen is daarvoor nodig? Hoe meer je gaat loggen, hoe meer capaciteit het datacenter nodig heeft. Wat kost dat en wie gaat dat betalen? De zorgverzekeraar, HIS-leverancier, huisarts, patiënt of belastingbetaler? 'Uiteindelijk brengen we dat met 17 miljoen burgers gezamenlijk op.' PLANNEN VOOR 2015 Op hoofdlijnen wordt voor de MicroHIS X-gebruikers in 2015 gewerkt aan vijf verschillende nieuwe en vernieuwde functionaliteiten. ‘Dit zijn een nieuwe voorschrijfmodule en een nieuwe communicatiemodule, waarbij aansluiting bij recente ontwikkelingen en gebruikersgemak centraal staan. Als derde komt er extra LSP-functionaliteit. Op het 2015-2016 werkplan voor het LSP staan diverse doorontwikkelingen, waaronder de ICA-functionaliteit om medicatiebewaking gegevens te kunnen uitwisselen in het kader van de patiëntveiligheid en het kunnen opvragen van de apotheekverstrekkingen voor een zo compleet mogelijk medicatieoverzicht van de patiënt. Als vierde wordt de ketenzorgfunctionaliteit voor de MicroHIS X-gebruikers uitgebreid. In MicroHIS X zit al veel ketenzorgfunctionaliteit – medische, financiële en managementinformatie – en die wordt uitgebreid, want er gebeurt steeds meer op dat vlak, via het LSP, via extracties of via het HIS. Ook de nieuwe bekostigingsstructuur voor huisartsenzorg en multidisciplinaire zorg vanaf 1 januari 2015 draagt hieraan bij.’ Ten slotte wordt ook de managementinformatiemo- ........ Eugène van Diepen ([email protected]) dule wordt uitgebreid. ‘Dat betekent dat de huisarts meer query’s kan doen voor medische, administratieve of bedrijfsmatige doeleinden. Er moet steeds meer informatie uit het systeem komen, bijvoorbeeld query's om te zien wie de griepprik gehaald heeft, om de bedrijfsvoering van je eigen praktijk te monitoren, om het jaarverslag te vullen, om vragen van zorgverzekeraars te kunnen beantwoorden of om het verloop van de patiëntenpopulatie te zien. Zo zorgen we ervoor dat MicroHIS X het komende jaar nog weer beter aansluit op gegevensuitwisseling en de vraag van huisartsen om informatie voor de bedrijfsvoering.’ 3 De inlogprocedure van Promedico en de plannen voor 2015 Promedico ICT bv heeft twee HISsen in de markt: het webbased Promedico ASP voor de huisarts en Promedico VDF voor de apotheekhoudende huisarts. Deze laatste draait op de server in de eigen praktijk. Pita van Arkel, algemeen directeur van Promedico ICT, loodst ons door de inlogprocedure, de logging en de toekomstplannen voor 2015. Inloggen bij Promedico ASP gaat via een beveiligde en afgeschermde netwerkverbinding. Tot een paar jaar geleden ging dat nog eenvoudig en waren een gebruikersnaam en een wachtwoord voldoende om bij de patiëntgegevens in het systeem te komen, net zoals nu bij de meeste internetapplicaties voor particulieren. Inmiddels is die procedure gewijzigd en zijn er bij ASP twee mogelijkheden om in te loggen, beide met twee-factorauthenticatie. De snelle is verbinden door de UZI-pas in de UZI-paslezer te steken en een zescijferige pincode in te toetsen. Zodra de UZI-pas uit de paslezer wordt gehaald, wordt de verbinding verbroken. De tweede manier is in te loggen met gebruikersnaam en digipas. Na het intoetsen van de gebruikersnaam verschijnt een viercijferige code op het beeldscherm. Die code moet worden ingetoetst op de digipas, die een zevencijferige code genereert waarmee ingelogd kan worden. Voor zowel de UZIpas als de digipas geldt dat na een bepaalde periode van inactiviteit de verbinding uit veiligheidsoverwegingen automatisch wordt verbroken. INLOGPROCEDURE VDF ‘Bij VDF hebben we de inlognaam-wachtwoordcombinatie en de UZIpasmogelijkheid. Wij realiseren ons dat gebruikers vaak de makkelijkste weg willen kiezen, maar in een van de komende releases wordt de mogelijkheid ingebouwd dat de apotheekhoudende huisarts de veiliger methode van de UZI-pas verplicht kan stellen en de optie met inlognaam-wachtwoord kan blokkeren,’ aldus Pita. ‘Dat is een oplossing die we samen met de softwarecommissie van de gebruikersvereniging hebben gekozen.’ VEILIGHEID ‘De combinatie inlognaam en wachtwoord is veilig als het wachtwoord op de juiste manier wordt gebruikt. Pas heel regelmatig je wachtwoord aan, maak het wachtwoord ingewikkeld, geef het niet af en laat het niet stelen door middel van een mee-kijkvirus op je computer. Dat laatste kan met twee-factorauthenticatie niet, want ze kunnen niet met het codeapparaatje meekijken. Maar laat de boel niet slingeren.' SynthesHis december 2014; 4 (13) 29 'Onze beide pakketten zijn zo veilig mogelijk’, vindt Pita, terwijl ze filosofeert over zwakke plekken. ‘Als een dief een VDF-praktijk binnenloopt en de computer meeneemt, heeft de praktijk een probleem. Veiliger is de ASP-oplossing, daar worden de data extern in een beveiligd datacenter opgeslagen en staat een exacte real-time kopie in een ander beveiligd datacenter.’ ONGEMAK VAN DE UZI-PAS Het UZI-pasgebruik is in de praktijk nog een uitdaging en soms ook echt een dilemma; security versus gebruiksgemak; deze gaan vaak niet samen. Een voorbeeld daarvan is een apotheeksetting waarbij assistentes wisselen van de ene werkplek of het ene apparaat naar het andere en waarbij het systeem je uitlogt als je te lang niet actief bent – je moet steeds weer opnieuw inloggen. Andere echt goede oplossingen daarvoor zijn nu nog niet voorhanden. LOGGING VAN DE HANDELINGEN Het HIS moet vastleggen wie welke gegevens bewerkt, zodat dat te achterhalen is. Pita bevestigt dat het zo gebeurt. ‘Je moet een geauthenticeerde systematiek toepassen, want als een assistente inlogt ziet ze andere dingen dan als een huisarts dat doet. Als een dossier bewerkt is, zien we wie dat gedaan heeft. Maar we loggen alleen wat nuttig en nodig is, niet alles wat iemand doet, dat kost heel veel dataopslag. Wat gelogd mag worden, dat loggen we. En wat de huisarts volgens de geldende regelgeving en zijn administratieve verplichtingen moet vastleggen, willen wij voor hem zo makkelijk mogelijk maken.’ ........ Eugène van Diepen ([email protected]) VDF-PLANNEN VOOR 2015 Op de planlijst voor 2015 voor VDF staat onder andere dat het patiëntportaal, dat al in ASP zit, bij VDF wordt ingebouwd. Daarin zitten de afsprakenmodule, het e-consult, de medicatieherhaling en de triage. Verder wordt de nieuwe declaratiestandaard AP304 ingebouwd, wordt de agendafunctionaliteit vernieuwd en wordt de assistentemodule, die in ASP geüpgraded wordt, voor VDF nieuw gebouwd. Het uitslagen-meetwaardescherm wordt ook in VDF geoptimaliseerd, de registratie van deelleveringen door de apotheek wordt verbeterd en het receptenscherm wordt herzien. Tot slot krijgt ook VDF een quality-of-lifesessie. 3 De inlogprocedure van OmniHis en de plannen voor 2015 Op welke manier kunnen gebruikers inloggen bij OmniHis Scipio, welke handelingen worden gelogd en wat zijn de plannen van OmniHis Scipio voor 2015? Helma van der Linden, hoofd softwareontwikkeling bij het Utrechtse OmniHis, gaat in op deze vragen. ‘Gebruikers hebben de keuze om in te loggen in OmniHis Scipio met naam en wachtwoord, of met de veiliger UZI-pas. Als eis wordt gesteld dat het wacht- 30 ASP-PLANNEN VOOR 2015 Promedico heeft een heel rijtje plannen voor ASP. Ten eerste wordt de assistentemodule verder uitontwikkeld, geüpgraded. Verder wordt de huisartsprestatiemonitor van het bedrijf Qualizorg gekoppeld aan ASP. Deze monitor is een patiëntervaringsonderzoek dat met gevalideerde instrumenten de patiënttevredenheid met de verleende zorg meet. Dit is het komende jaar belangrijk voor de zorgverzekeraars en in de nabije toekomst maakt het meten van de patiëntervaring onderdeel uit van de zorgketen. Straks kan de huisarts zien hoe zijn werk wordt gewaardeerd. Drie andere punten voor komend jaar zijn het verwerken van apotheekverstrekkingen via het LSP, het superslim maken van het uitslagen-meetwaardenscherm en een quality-of-life-sessie, waarbij veel ‘onhandigheden’ die gebruikers aanwijzen, uit het pakket worden gesleuteld. SynthesHis december 2014; 4 (13) woord voldoende lang moet zijn, maar op dit moment worden nog geen eisen aan het gebruik van speciale tekens of de geldigheidsduur van het wachtwoord gesteld. De UZI-pas wordt eenmalig gekoppeld aan een specifieke gebruiker, waarna deze met pas en de bijbehorende zescijferige pincode, een kwalificatieeis van Nictiz, kan inloggen,’ vertelt Helma. ‘De inlogmethode met naam en wachtwoord is om verschillende redenen nog niet uitgezet. Onder andere omdat de UZI-pas, een vorm van twee-factorauthenticatie, duur is, zeker als een huisartsenpraktijk veel tijdelijke medewerkers heeft. Het is aan de praktijk zelf om de mogelijkheid met naam en wachtwoord in te kunnen loggen uit te faseren.’ VEILIGHEID PATIËNTGEGEVENS ‘Scipio draait als programma op de werkplekken van de praktijkmedewerkers. Elke praktijk heeft zijn eigen database, die gehost wordt door een gespecialiseerde partij. Toegang tot de patiëntgegevens is alleen mogelijk via een beveiligde verbinding die door Scipio wordt opgezet en de database is alleen toegankelijk voor een klein aantal mensen, de praktijkmedewerkers met geldige inloggegevens. Daarbuiten is het niet eenvoudig voor onbevoegden om bij de gegevens te komen. Dat zorgt voor een basisveiligheid. De NEN7510-gebaseerde beoordeling van de risicoinventarisatie valt voor een alleen door een specifieke applicatie benaderbare database anders uit dan voor een database die via een webgebaseerde applicatie benaderbaar is. Vaak wordt bij het ingelogd zijn door de gebruiker een extra beveiliging toegevoegd door een screensaver met wachtwoord aan te zetten als ze weglopen, al is dat een beveiliging van een andere orde. Voor baliemedewerkers is een privacyfilter op het beeldscherm een aanrader.’ BEWUSTWORDING Het meeste werk moet verricht worden aan de bewustwording van de gebruiker, zodat deze veilig met patiëntgegevens werkt. De techniek om deze gegevens te beschermen is al bedacht, die hoeft alleen maar ingezet en gebruikt te worden. Zolang gebruikers, i.c. de artsen en praktijkmedewerkers, niet bezig zijn geweest met beveiligingsaspecten, kan het zinnig zijn twee-factorauthenticatie als obligate inlogmethodiek te gaan implementeren. ‘Hiertoe is echter nog niet besloten, we hebben nog niet de indruk dat de bezitters ervan hun UZI-pas belangrijker vinden dan hun bankpas. Die moet je bij je houden als je van je werkplek wegloopt. Het creëren van schijnveiligheid moet worden vermeden.’ SOCIALE VEILIGHEID EN LOGGING Wel is er sprake van een soort van sociale veiligheid van de gegevens. Het is in de meeste huisartsenpraktijken lastig voor onbevoegden ongezien bij het systeem te komen en ongeoorloofd te gaan grasduinen in de gegevens. ‘Misbruik door praktijkmedewerkers is altijd mogelijk en lastig om te verhinderen. Wel kun je het achteraf constateren.’ Alle wijzigingen, alle toegangsacties en alle sessies worden gelogd. Dus het is altijd duidelijk wie wat wanneer heeft gewijzigd en wie wanneer en hoe lang in het systeem is geweest. ‘Deze informatie wordt eindeloos door OmniHis bewaard, in feite zolang er schijfruimte is en die is tegenwoordig heel goedkoop. Wat niet wordt vastgelegd, en ook niet als eis in de specificaties van het HIS-referentiemodel genoteerd staat, is wie welk dossier inziet.’ PLANNEN VOOR 2015 De roadmap voor 2015 met de plannen voor OmniHis Scipio wordt eind november met de programmacommissie van de gebruikersvereniging besproken. Basis voor de besprekingen zijn onder andere de toevoegingen van het HISreferentiemodel, maar ook de wensen van gebruikers. Volgend jaar zullen wijzigingen aan de inlogprocedures worden aangebracht, zoals het stellen van striktere eisen aan de wachtwoorden. Wat het LSP betreft wordt er hard gewerkt aan de pilot voor de ketenzorg. Die zal eind 2015 wel klaar zijn, maar een uitroldatum kan nog niet bepaald worden. 3 Gebruikersnaam Wachtwoord ........ Inloggen SynthesHis december 2014; 4 (13) 31
© Copyright 2024 ExpyDoc
