Vernieuwing Certificaat ZorgTTP

Vernieuwing Certificaat ZorgTTP

Het ZorgTTP pseudonimisatieplatform kent een gelaagd beveiligingsmodel:

  1. pseudonimisatie van de persoonsgegevens,
  2. asymmetrische encryptie van bestandsdelen (RSA) en
  3. verzending via een beveiligde internetverbinding (TLS).

In de tweede laag wordt gebruik gemaakt van PKI certificaten. Lees hier meer over de door ons gehanteerde methode. Het certificaat dat ZorgTTP gebruikt voor de asymmetrische versleuteling van de pseudoniemen – het certificaat van de Centrale Module TTP (CMT) – verloopt op 26 augustus 2023. Daarom gaan we op 25 mei 2023 het huidige certificaat vervangen door een nieuw certificaat. Dit certificaat zal ook weer 3 jaar geldig zijn. Om informatie te kunnen aanleveren, moet er een geldig ZorgTTP-certificaat in de Privacy- en Verzend Module (PVM) beschikbaar zijn.

Wat moet ik doen?

Het bijwerken van het certificaat gaat gelukkig heel eenvoudig! Er is geen update van de software noodzakelijk, dat kan simpelweg door het invoeren van een bevestigingscode in het instellingenscherm van de PVM. Uiteraard kan deze stap ook worden uitgevoerd in de command line. Vanaf 25 mei is het nieuwe certificaat voor u beschikbaar! De bevestigingscode is dan beschikbaar op onze website.

Na 26 augustus moet u eerst het nieuwe certificaat in gebruik nemen alvorens u een aanlevering kunt doen. In maart 2023 ontvangen alle opdrachtgevers van ZorgTTP de voor hen specifieke informatie, de PVM-gebruikers houden we via deze website op de hoogte!

 

Samenwerking ZorgTTP en Farminform

Samenwerking ZorgTTP en Farminform

Met het ondertekenen van de overeenkomst bevestigen Hans van Vlaanderen, directeur
Stichting ZorgTTP (links op de foto) en Luuk Renfurm, directeur Farminform, de start van de samenwerking.

ZorgTTP en Farminform gaan een samenwerking aan met als doel ‘het veilig ontsluiten van zorgdata,’ zodat het structureel aanbieden van inhoudelijk sterke dataproposities richting het zorgveld mogelijk wordt. Door duurzame en betrouwbare gegevensuitwisseling met zorgpartijen kunnen deze dataproposities een inhoudelijke bijdrage leveren aan gepast geneesmiddelengebruik in Nederland.
Stichting ZorgTTP is, sinds 2007, als Trusted Third Party (TTP) een gespecialiseerde dienstverlener op het gebied van Privacy Enhancing Technologies voor beleid en onderzoek (PET). Door opdrachtgevers te ondersteunen bij het uitvoeren van Data Protection Impact Assessments (DPIA’s) en het pseudonimiseren van persoonsgegevens wordt veilige uitwisseling van persoonsgegevens gefaciliteerd en kan aantoonbaar worden voldaan aan de privacywetgeving.

Farminform is de landelijke, betrouwbare en onafhankelijke datatrust voor geneesmiddelen en farmaceutische zorg. Daarnaast faciliteert Farminform een veilige data-uitwisseling voor zorgverleners, overheden en bedrijfsleven én initieert zij verschillende vormen van samenwerking met als doel ‘het effectief beantwoorden van klinische zorgvragen en het leveren van een bijdrage aan gepast geneesmiddelengebruik.’

Door de samenwerking tussen ZorgTTP en Farminform wordt het mogelijk om data van verschillende zorgpartijen beter te combineren en inzichtelijk te maken. Hiermee kan een bijdrage worden geleverd aan het optimaliseren van de behandeling van patiënten.

Luuk Renfurm, directeur Farminform: “De afgelopen periode hebben wij uitstekende ervaring opgedaan met het deskundige en hoogwaardige team van specialisten bij ZorgTTP. Door het partnerschap met een gerenommeerde partij als Stichting ZorgTTP kunnen wij de samenwerking met het zorgveld de aankomende jaren verbreden en verdiepen én invulling geven aan datagedreven werken.”

Hans van Vlaanderen, directeur Stichting ZorgTTP: “Door de samenwerking met Farminform aan te gaan, bieden we ons netwerk de mogelijkheid om data afkomstig uit de farmaceutische kolom via ons pseudonimisatie platform technisch koppelbaar te maken met (gepseudonimiseerde) data uit andere segmenten binnen het zorginformatiedomein. Daarbij vormt het juridische kader het vertrekpunt voor de keuze van de in te zetten technologieën om veilige datasamenwerking mogelijk te maken.”

Voor meer informatie kunt u contact opnemen met:
Stichting ZorgTTP, drs. Hans van Vlaanderen, +31 306 360 649, hans.van.vlaanderen@zorgttp.nl
Farminform, Luuk Renfurm, +31 621 695 672, luuk.renfurm@farminform.nl

Jubileumevent 15 jaar ZorgTTP

Jubileumevent 15 jaar ZorgTTP

Stichting ZorgTTP bestaat 15 jaar en dat vieren we met ons jubileum event!

Dinsdag 29 november 2022 brengt ZorgTTP bestuurders, (programma)managers, onderzoekers, datamanagers en beleidsadviseurs samen in Het Spoorwegmuseum om het 15 jarig jubileum te vieren. In een gevarieerd programma wordt zowel teruggekeken naar als vooruitgeblikt op het gebruik van Privacy Enhancing Technologies voor beleid en onderzoek.

Wil je er bij zijn? Neem dan zo snel mogelijk contact op via symposium@zorgttp.nl. Let op! Het aantal beschikbare plaatsen is beperkt. Inschrijvingen worden op volgorde van binnenkomst verwerkt.

 

 

Geen impact Text4shell kwetsbaarheid op ZorgTTP dienstverlening

Geen impact Text4shell kwetsbaarheid op ZorgTTP dienstverlening

Wat is er aan de hand?

Het Nationaal Cyber Security Center (NCSC) heeft een zogenaamd HIGH/HIGH beveiligingsadvies uitgebracht naar aanleiding van een kwetsbaarheid in Apache Common Text. ZorgTTP heeft onmiddellijk geïnventariseerd welke maatregelen te nemen. Omdat niet aan de criteria wordt voldaan waaronder de kwetsbaarheid uitgebuit kan worden bestaat er geen acuut risico op uitbuiting.

Welke acties heeft ZorgTTP ondernomen?

De volgende acties zijn, in lijn met het advies van het NCSC, sinds bekendmaking van de kwetsbaarheid uitgevoerd.

  1. Inventarisatie gebruik Apache Common Text (18-10-2022)
  2. Analyse of wordt voldaan aan de criteria om de kwetsbaarheid uit te buiten (18-10-2022).
  3. Update Apache Common Text naar versie 1.10.0 (18-10-2022)

Uitkomst van de inventarisatie en daarop volgende analyse is dat het voornaamste criterium voor misbruik de mogelijkheid is om externe input in aanraking te brengen met de kwetsbare component. Dit betekent dat De pseudonimisatiedienst in de componenten PVM (verzendmodule), CMT en DRM (onvangstmodule) wel een kwetsbare versie van Apache Common Text bevat, maar dat:

  • De Centrale Module TTP (CMT) van het ZorgTTP pseudonimisatieplatform niet voldoet aan het criterium om de kwetsbaarheid uit te buiten .
  • De PVM en DRM clients voor verzenden en ontvangen van te pseudonimiseren gegevens niet voldoen aan het criterium om de kwetsbaarheid uit te buiten.
  • Encryptiedienst TRES niet wordt geraakt door dit incident;

 Waarom is CMT niet kwetsbaar?

  • Er zijn geen internet-facing componenten die direct benaderbaar zijn of die gebruik maken van Apache Common Text.

Waarom zijn de PVM en DRM niet kwetsbaar?

  • De software opereert niet als een server die wacht op binnenkomende verzoeken en voldoet daarmee niet aan de eerder genoemde criteria. De PVM of DRM is dus geen server maar een client, die alleen met ZorgTTP contact heeft door dat contact alleen tijdens gebruik zelf actief te leggen.

Vervolgacties

De volgende acties worden momenteel uitgevoerd

  • Update naar Apache Common Text naar versie 1.10.0. Er is sinds 18 oktober 2022 een nieuwe versie de PVM en DRM clients beschikbaar met deze versie. Deze zullen via het reguliere releaseproces beschikbaar worden gesteld.
  • Op verzoek kunnen versneld nieuwe versies van de PVM en DRM clients versneld beschikbaar worden gesteld.

Indien u vragen heeft naar aanleiding van bovenstaande dan staan wij u graag te woord. Neem contact met ons op via onze servicedesk.

 

Nederlands Instituut voor Forensische Psychiatrie en Psychologie verlengt overeenkomst met ZorgTTP

Sinds 2018 beveiligt ZorgTTP persoonsgegevens binnen de Europese Database van Terroristen (EDT) van het Nederlands Instituut voor Forensische Psychiatrie en Psychologie (NIFP). De EDT ondersteunt een Europees, wetenschappelijk onderzoek naar de kenmerken en achtergronden van personen die veroordeeld zijn voor terrorisme. Voor de EDT zet ZorgTTP encryptiedienst TRES in, wat staat voor ‘Trusted Reversible Encryption Service’. Met behulp van deze encryptiedienst kunnen gebruikers die over de juiste autorisatie beschikken persoonsgegevens op een veilige wijze encrypteren en decrypteren. TRES is daarmee een voorbeeld van een Privacy Enhancing Technology (PET). Met de verlenging van de overeenkomst is de beveiliging van de persoonsgegevens in de EDT voor ten minste de komende 5 jaren gegarandeerd. Het NIFP kan daarmee op een AVG conforme wijze wetenschappelijk onderzoek doen. Hiermee draagt ZorgTTP haar steentje bij aan een veiligere samenleving.