sep 20, 2023 | Software
Dinsdag 17 oktober worden tussen 17.00 en 18.00 uur de maandelijkse OS-updates op onze servers van het CMT (Centrale Module TTP) en het TRES-platform opgebracht. Hierdoor zullen CMT en TRES binnen genoemde tijdspanne kortstondig niet bereikbaar zijn.
De planning m.b.t. de Linux/Windows updates voor 2023 is
- 21 november 2023
- 19 december 2023
Aan het begin van iedere maand wordt de definitieve datum bekend voor de betreffende maand en deze wordt dan op onze website gepubliceerd.
mei 25, 2023 | Digitale certificaten, Encryptie, Pseudonimiseren, Software, ZorgTTP
Vandaag – 25 mei 2023 – heeft ZorgTTP het CMT-certificaat vervangen. Dit betreft het certificaat met einddatum 26 augustus 2023. Met deze wisseling kan de dienstverlening van ZorgTTP veilig en ongehinderd worden gecontinueerd.
Vervangende certificaten kunnen in gebruik worden genomen zonder dat u als PVM-gebruiker nieuwe software hoeft te installeren. Wél is het zo dat u vanaf vandaag een melding krijgt in de PVM over de introductie van het nieuwe certificaat. U zult het certificaat vanuit de bestaande PVM-module moeten bijwerken.
We informeren u als PVM-gebruiker over de te zetten stappen. Onze servicedesk beantwoordt graag uw vragen hieromtrent (030-63 78 708 of servicedesk@zorgttp.nl).
Volledigheidshalve zijn hierna een aantal relevante vragen opgenomen uit onze FAQ pagina.
- Ik zie de melding ‘ZorgTTP heeft nieuwe beveiligingscertificaten, zie Instellingen, tabblad Vertrouwde certificaten’. Wat moet ik doen?
Met behulp van Online TTP Informatie Service (OTIS) kan het nieuwe certificaat in gebruik worden genomen zonder dat u als gebruiker nieuwe software hoeft te installeren. U moet wel een bevestigingscode invoeren. Dit geldt zowel voor gebruik van de GUI als command line. Vanaf vandaag (25 mei 2023) is de bevestigingscode op de website van ZorgTTP te vinden. De code moet worden ingevoerd in het tabblad ‘Vertrouwde certificaten’, in het veld ‘Bevestigingscode’, waarna u klikt op ‘Bevestig’. De PVM is na deze actie bijgewerkt en u kunt uw bestanden ongehinderd aanleveren. Neem contact op met onze servicedesk bij vragen omtrent het bijwerken van het certificaat.
- Kan het bijwerken van het certificaat worden uitgesteld?
Als u het invoeren van de bevestigingscode uitstelt, kunt u de PVM zonder problemen blijven gebruiken tot 26 augustus 2023. In de periode van 25 mei 2023 tot 26 augustus 2023 zullen dus beide CMT-certificaten ‘geldig’ zijn. Daarna is enkel het nieuwe certificaat geldig. U heeft vanaf dat moment alsnog de mogelijkheid om de PVM eenvoudig bij te werken middels het invoeren van de bevestigingscode.
- Waar kan ik de bevestigingscode vinden?
Vanaf vandaag (25 mei 2023) is de bevestigingscode op de website van ZorgTTP te vinden.
- Wat gebeurt er nadat het oude certificaat verlopen is op 26 augustus 2023?
Na 26 augustus 2023 is enkel het nieuwe CMT-certificaat geldig en dit moet worden gebruikt in de PVM. Als u het certificaat na 26 augustus niet bijgewerkt heeft, is het niet meer mogelijk om uw gegevensaanlevering te doen. U moet het certificaat dan alsnog bijwerken. Dat kan eenvoudig door de bevestigingscode in te voeren.
- Met wie kan ik contact opnemen voor ondersteuning bij het bijwerken van het certificaat?
Neemt u gerust contact op met onze servicedesk via 030-63 78 708 of servicedesk@zorgttp.nl. Zij helpen u graag verder.
mrt 17, 2023 | AVG, Nieuws, Privacy, Pseudonimiseren, Software
Een nieuwe privacy beschermende functie is toegevoegd aan de ZorgTTP Privacy- en Verzendmodule (PVM). De herleidbaarheid van de gepseudonimiseerde data kan hiermee worden beperkt. De functionaliteit is een vorm van Statistical Disclosure Control. Het werkt als een filter op de data die voor pseudonimisatie wordt aangeboden. Als een variabele of een combinatie van variabelen in het inputbestand te weinig voorkomt, worden deze records niet doorgegeven aan de beoogde ontvanger. De drempelwaarde is per gegevensverwerking in te stellen. In de kwaliteitsrapportage van de verzender maakt de PVM inzichtelijk voor welke records de herleidbaar te groot is. Die worden daarom niet aangeboden voor ontvangst.
De nieuwe functie is een Privacy by Design maatregel waarmee aantoonbaar kan worden voldaan aan de Algemene Verordening Gegevensbescherming (AVG). Reeds bij de databron wordt voorkomen dat te gevoelige data wordt gedeeld op individueel niveau.
Wilt u meer weten? Benader ons dan en we vertellen u met plezier over deze toepassing.
feb 27, 2023 | Digitale certificaten, Nieuws, Pseudonimiseren, Software
Het ZorgTTP pseudonimisatieplatform kent een gelaagd beveiligingsmodel:
- pseudonimisatie van de persoonsgegevens,
- asymmetrische encryptie van bestandsdelen (RSA) en
- verzending via een beveiligde internetverbinding (TLS).
In de tweede laag wordt gebruik gemaakt van PKI certificaten. Lees hier meer over de door ons gehanteerde methode. Het certificaat dat ZorgTTP gebruikt voor de asymmetrische versleuteling van de pseudoniemen – het certificaat van de Centrale Module TTP (CMT) – verloopt op 26 augustus 2023. Daarom gaan we op 25 mei 2023 het huidige certificaat vervangen door een nieuw certificaat. Dit certificaat zal ook weer 3 jaar geldig zijn. Om informatie te kunnen aanleveren, moet er een geldig ZorgTTP-certificaat in de Privacy- en Verzend Module (PVM) beschikbaar zijn.
Wat moet ik doen?
Het bijwerken van het certificaat gaat gelukkig heel eenvoudig! Er is geen update van de software noodzakelijk, dat kan simpelweg door het invoeren van een bevestigingscode in het instellingenscherm van de PVM. Uiteraard kan deze stap ook worden uitgevoerd in de command line. Vanaf 25 mei is het nieuwe certificaat voor u beschikbaar! De bevestigingscode is dan beschikbaar op onze website.
Na 26 augustus moet u eerst het nieuwe certificaat in gebruik nemen alvorens u een aanlevering kunt doen. In maart 2023 ontvangen alle opdrachtgevers van ZorgTTP de voor hen specifieke informatie, de PVM-gebruikers houden we via deze website op de hoogte!
okt 19, 2022 | Informatiebeveiliging, Software
Wat is er aan de hand?
Het Nationaal Cyber Security Center (NCSC) heeft een zogenaamd HIGH/HIGH beveiligingsadvies uitgebracht naar aanleiding van een kwetsbaarheid in Apache Common Text. ZorgTTP heeft onmiddellijk geïnventariseerd welke maatregelen te nemen. Omdat niet aan de criteria wordt voldaan waaronder de kwetsbaarheid uitgebuit kan worden bestaat er geen acuut risico op uitbuiting.
Welke acties heeft ZorgTTP ondernomen?
De volgende acties zijn, in lijn met het advies van het NCSC, sinds bekendmaking van de kwetsbaarheid uitgevoerd.
- Inventarisatie gebruik Apache Common Text (18-10-2022)
- Analyse of wordt voldaan aan de criteria om de kwetsbaarheid uit te buiten (18-10-2022).
- Update Apache Common Text naar versie 1.10.0 (18-10-2022)
Uitkomst van de inventarisatie en daarop volgende analyse is dat het voornaamste criterium voor misbruik de mogelijkheid is om externe input in aanraking te brengen met de kwetsbare component. Dit betekent dat De pseudonimisatiedienst in de componenten PVM (verzendmodule), CMT en DRM (onvangstmodule) wel een kwetsbare versie van Apache Common Text bevat, maar dat:
- De Centrale Module TTP (CMT) van het ZorgTTP pseudonimisatieplatform niet voldoet aan het criterium om de kwetsbaarheid uit te buiten .
- De PVM en DRM clients voor verzenden en ontvangen van te pseudonimiseren gegevens niet voldoen aan het criterium om de kwetsbaarheid uit te buiten.
- Encryptiedienst TRES niet wordt geraakt door dit incident;
Waarom is CMT niet kwetsbaar?
- Er zijn geen internet-facing componenten die direct benaderbaar zijn of die gebruik maken van Apache Common Text.
Waarom zijn de PVM en DRM niet kwetsbaar?
- De software opereert niet als een server die wacht op binnenkomende verzoeken en voldoet daarmee niet aan de eerder genoemde criteria. De PVM of DRM is dus geen server maar een client, die alleen met ZorgTTP contact heeft door dat contact alleen tijdens gebruik zelf actief te leggen.
Vervolgacties
De volgende acties worden momenteel uitgevoerd
- Update naar Apache Common Text naar versie 1.10.0. Er is sinds 18 oktober 2022 een nieuwe versie de PVM en DRM clients beschikbaar met deze versie. Deze zullen via het reguliere releaseproces beschikbaar worden gesteld.
- Op verzoek kunnen versneld nieuwe versies van de PVM en DRM clients versneld beschikbaar worden gesteld.
Indien u vragen heeft naar aanleiding van bovenstaande dan staan wij u graag te woord. Neem contact met ons op via onze servicedesk.
dec 23, 2021 | Informatiebeveiliging, Software
Wat is er aan de hand?
Het Nationaal Cyber Security Center (NCSC) heeft een zogenaamd HIGH/HIGH beveiligingsadvies uitgebracht naar aanleiding van een kwetsbaarheid in Apache Log4J. ZorgTTP heeft onmiddellijk maatregelen genomen en is sinds vrijdag 10 december beschermd tegen misbruik.
Welke acties heeft ZorgTTP ondernomen?
De volgende acties zijn, in lijn met het advies van het NCSC, sinds bekendmaking van de kwetsbaarheid uitgevoerd.
- Inventarisatie gebruik Log4J (10 december)
- Inventarisatie gebruik kwetsbare versie Log4J v2 (10 december)
- Instellen workaround door aanpassing Log4J v2 configuratie (10 december)
- Update CMT met Log4J 2.16.0 (16 december)
- Onderzoek naar de impact van kwetsbaarheid CVE-2021-45046 wijst uit dat er geen extra maatregelen nodig zijn.
- Onderzoek naar de impact van kwetsbaarheid CVE-2021-44832 wijst uit dat er geen extra maatregelen nodig zijn (29 december)
Uitkomst van de inventarisatie is dat:
- Encryptiedienst TRES niet wordt geraakt door dit incident;
- De Centrale Module TTP (CMT) van het ZorgTTP pseudonimisatieplatform gebruik maakt van Log4J v2.
- De client voor verzenden en ontvangen van te pseudonimiseren gegevens maakt gebruik van Log4J v1.2.17, die niet kwetsbaar is voor CVE-2021-44228.
Waarom is de PVM niet kwetsbaar?
De PVM maakt gebruik van versie 1.2.17 van Log4J. De log4j configuratie waarmee ZorgTTP de PVM uitlevert maakt geen gebruik van de JMSAppender of SocketServer. Dat is dan ook de reden dat de kwetsbaarheden CVE-2019-17571 en CVE-2021-4104 geen risico vormen en nu de PVM evenmin kwetsbaar is voor CVE-2021-44228.
De PVM is een client
Omdat de PVM een client is en geen server is deze niet kwetsbaar voor massale uitbuiting door willekeurige en opportunistische aanvallers. Zoals te zien in het diagram voor succesvolle uitbuiting begint de aanval met een HTTP request vanuit de aanvaller aan de kwetsbare software.

Het is niet mogelijk voor een aanvaller de PVM op deze manier te benaderen. De software opereert niet als een server die wacht op binnenkomende verzoeken. De PVM is dus geen server maar een client, die alleen met ZorgTTP contact heeft door dat contact alleen tijdens gebruik zelf actief te leggen.
Waarom is de DRM niet kwetsbaar?
De DRM is net als de PVM geen server maar een client en om dezelfde reden niet kwetsbaar.
Vervolgacties
De volgende acties worden momenteel uitgevoerd
- Update naar een niet-kwetsbare Log4J versie voor alle nieuw uit te geven software.
- Inventarisatie van het gebruik van Log4j in andere, niet productie gerelateerde omgevingen.
Indien u vragen heeft naar aanleiding van bovenstaande dan staan wij u graag te woord. Neem contact met ons op via onze servicedesk.