19 Maart update CMT- en TRES-platform

19 Maart update CMT- en TRES-platform

Dinsdag 19 maart worden tussen 17.00 en 18.00 uur de maandelijkse OS-updates op onze servers van het CMT (Centrale Module TTP) en het TRES-platform opgebracht. Hierdoor zullen CMT en TRES binnen genoemde tijdspanne kortstondig niet bereikbaar zijn.

De planning m.b.t. de Linux/Windows updates voor 2024 is

  • 16/04/2024
  • 21/05/2024
  • 18/06/2024
  • 16/07/2024
  • 20/08/2024
  • 17/09/2024
  • 15/10/2024
  • 19/11/2024
  • 17/12/2024

Aan het begin van iedere maand wordt de definitieve datum bekend voor de betreffende maand en deze wordt dan op onze website gepubliceerd.

Nivel stapt over op de openbare pseudonimisatiemethode

Nivel stapt over op de openbare pseudonimisatiemethode

Het Nivel moderniseert de pseudonimisatie van gevoelige gegevens door over te stappen op de openbare pseudonimisatiemethode. ZorgTTP beschikt over een implementatie van deze state-of-the-art methodiek in de bestaande pseudonimisatiesoftware. Deze werkwijze draagt bij aan optimale beveiliging van gevoelige gegevens en helpt organisaties aantoonbaar invulling te geven aan eisen uit de NEN 7524:2019 pseudonimisatienorm. Bijvoorbeeld op het gebied van interoperabiliteit en het gebruik van specifieke pseudonimisatie design patronen.

De openbare pseudonimisatiemethode

De openbare methode is sinds 2015 beschikbaar en is ontworpen in opdracht van het ministerie van Volksgezondheid, Welzijn en Sport (VWS). Sindsdien is deze ingezet voor de pseudonimisatie van de gegevens voor de Risicoverevening.

Binnen de ZorgTTP pseudonimisatie software kunnen zowel de oorspronkelijke als de openbare pseudoniemen worden aangemaakt. Door deze een periode naast elkaar aan te maken kan naadloos worden overgestapt zonder verlies van historische data.

De voordelen van de openbare pseudonimisatiemethode

Met de openbare methode is het voor organisaties beter mogelijk om onderhoud te plegen aan de pseudoniemen. Doordat pseudoniemen een label hebben dat meta informatie bevat, zoals de versie van het pseudoniem en het type pseudoniem, kunnen deze vervangen worden. Bijvoorbeeld als op enig moment een cryptografisch algoritme kwetsbaar blijkt. Op deze manier is versiebeheer voor organisaties die gegevens pseudonimiseren mogelijk.

De methode draagt daarnaast bij aan een transparante en eerlijke markt. Het algoritme is beschikbaar voor peer review en dat komt de kwaliteit ten goede. Voor organisaties is het tevens mogelijk om een vrije keuze te maken tussen pseudonimiseringsdienstverleners. De methode is toegankelijk voor alle leveranciers van pseudonimiseringsdiensten. In het eerder genoemde label staat om die reden een identificatienummer voor de pseudonimisatiedienstverlener. Een overstap naar een andere leverancier is daardoor te realiseren zonder breuk met de reeds aanwezige data in de database. Voor afnemers van de dienst betekent dit dat er keuzeruimte is voor een specifieke leverancier zonder dat er sprake hoeft te zijn van vendor-lock-in.

Deze nieuwe werkwijze brengt ten slotte toekomstbestendige mogelijkheden om te koppelen met andere gepseudonimiseerde dataverzamelingen.

De keuze voor de openbare methode is een logische moderniseringsslag voor gegevensverwerkingen die gevoelige gegevens gebruiken voor onderzoeks- en beleidsdoeleinden. Pseudonimiseren is volgens de AVG en diverse internationale normen een erkende manier om privacy te beschermen bij het verwerken van identificerende gevoelige gegevens zoals gezondheidsdata. Deze openbare methode rekent op een groot draagvlak vanuit beleidsmakers en kwaliteitsmanagement als het gaat om optimale beveiliging van gevoelige gegevens.

De transitie van het Nivel naar de openbare pseudonimisatiemethode

Het Nivel heeft de transitie  naar de openbare pseudonimisatiemethode reeds in werking gezet. In oktober 2023 is een nieuwe versie van de Privacy- en Verzendmodule (PVM) van het Nivel beschikbaar gekomen. Onderdeel van deze overgang is de introductie van een nieuwe cryptografische hashing techniek. In de nieuwe PVM worden zowel de oorspronkelijke als de nieuwe methode gehanteerd. Uiteindelijk worden enkel nog pseudoniemen conform de openbare methode aangemaakt en worden de oude pseudoniemen uitgefaseerd. De pseudonimisatie van de Nivel gegevensverwerkingen is daarmee klaar voor de toekomst.

Overstappen op de openbare pseudonimisatiemethode?

Nieuwe gegevensverwerkingen die gebruik willen maken van pseudonimisatie kunnen direct aansluiten op de openbare pseudonimisatiemethode. Bestaande gegevensverwerkingen kunnen worden omgezet, als dat gewenst is. Voor onze opdrachtgevers betekent dit dat de pseudoniemen veranderen. De Privacy- en Verzendmodule (PVM) en Doel-en Receive Module (DRM) zullen worden geüpdatet. Bij ZorgTTP wordt in het centrale systeem (CMT) een nieuwe pseudonimisatieroute ingericht.

Daarbij wordt ingezet op het voorkomen van een breuk tussen oude en nieuwe pseudoniemen. Nadat beide pseudoniemen een periode naast elkaar zijn gehanteerd, worden de oude pseudoniemen uitgefaseerd. Dit vereist een aanpassing in de pseudonimisatieketen bij ZorgTTP, maar ook in de verwerkingsstraten en databases van onze opdrachtgever. Er is in alle gevallen sprake van een transitieperiode. De doorlooptijd is onder andere afhankelijk van het type pseudoniemen dat wordt gehanteerd in de gegevensverwerking.

Onze adviseurs denken graag met u mee bij de implementatie van de openbare pseudonimisatiemethode in uw gegevensverwerking. Samen met u streven we naar een minimale impact en een zo soepel mogelijke transitie.

Neem voor meer informatie contact op met onze adviseurs via advies@zorgttp.nl.

Wendbare software-ontwikkeling in de cloud

Wendbare software-ontwikkeling in de cloud

ZorgTTP zit niet stil. Recent is de testinfrastructuur uitgebreid met een testomgeving in de cloud. Het is gelukt daar binnen enkele maanden een cloud-based pseudonimisatieplatform (CMT) te bouwen. Daarbij hoort een volledig automatische deployment. Hier zijn we trots op! De introductie van onze testomgeving in de cloud heeft een gunstig effect op de snelheid en wendbaarheid van ons releasebeleid. En dit is daarmee ook een positieve stimulans voor het opbrengen van nieuwe functies in onze software. Het heeft ons veel kennis en vaardigheden gebracht over cloud computing. Onze technische experts hebben nu de bagage om organisaties te adviseren over het pseudonimiseren van hun gegevensverwerking in de cloud. Als dat de wens is. Denk bijvoorbeeld aan het beheer van de Doel- en Retour Module (DRM) in Microsoft Azure. In de toekomst verwachten we steeds meer Privacy Enhancing Technologies (PET’s) via de cloud beschikbaar te maken.

ZorgTTP in de cloud … Hoe ziet dat eruit?

ZorgTTP beschikte al over een ontwikkel-, acceptatie- en productieomgeving van het eigen pseudonimisatieplatform CMT. Die omgevingen worden gehost op een dedicated server in eigen beheer. De verrijking van deze infrastructuur met een testomgeving brengt dit naar een klassieke OTAP-structuur voor het releasen van software. Van ontwikkeling naar test, acceptatie en productie. De testomgeving van CMT wordt gehost bij Amazon Web Service (AWS). Vooralsnog is het geen ambitie om de CMT productieomgeving ook in de cloud onder te brengen.

Met de nieuwe werkwijze bieden we onze klanten een vanuit code gebouwde infrastructuur (Infrastructure as Code). Dit maakt het mogelijk om een nieuwe CMT-versie met nieuwe features in de cloud in tien minuten op een server te plaatsen in AWS. Zo kunnen de software-ontwikkelaars heel dynamisch vernieuwingen aan het CMT-platform doorvoeren.

Zodra software in de CMT-testomgeving is goedgekeurd, wordt die ook in de acceptatie-omgeving getest. Deze omgeving is een kopie van de productieomgeving. Zowel de acceptatie- als productomgeving worden gehost door RAM Infotechnology. Dit zal ook zo blijven. We maken graag gebruik van de kennis en kunde van deze partner. Net als wij blijven ze zich inzetten voor de veiligheid van de gevoelige gegevens van onze opdrachtgevers.

De voordelen van cloud hosting voor het test- en ontwikkelproces

Een CMT-testomgeving in de cloud biedt ZorgTTP grote voordelen. Het geeft onze software-ontwikkelaars controle en flexibiliteit. Zij zitten aan de knoppen en kunnen op gedoseerde wijze software-aanpassingen doorvoeren. Dit draagt bij aan een meer wendbare releasestrategie. In plaats van halfjaarlijks één grote software-update kunnen nu tussentijds verbeteringen in CMT worden doorgevoerd. Dit doorlopende en meer stapsgewijze proces maakt software-ontwikkeling meer flexibel. Dit is een positieve stimulans voor het opbrengen van nieuwe functies voor de gebruikers van onze software.

We kunnen nu ook de belastbaarheid van de servers in de cloud testen. Die resultaten nemen we mee in de inrichtingskeuzes van de productieservers bij RAM Infotechnology. Werken in de cloud brengt nog een theoretisch voordeel: een uitwijkmogelijkheid in geval van een worst case scenario. Vallen door een ramp de acceptatie- en productieservers bij de hosting organisatie om? Dan is er een volledige en werkende CMT-omgeving als back-up opgeslagen in AWS. Een geruststelling voor onze opdrachtgevers en gunstig voor onze compliancy doeleinden.

De toekomst van het pseudonimisatieplatform CMT in de cloud

De introductie van de testomgeving van het pseudonimisatieplatform CMT in de cloud is voor dit moment een succes. Het zal de efficiënte van de software-releases een boost geven. Het is niet direct onze ambitie om naast de testomgeving van CMT ook de productieomgeving daar te brengen. Cloud hosting partijen zetten al procedurele stappen om de veiligheid van opgeslagen gegevens te garanderen. Afspraken over de opslaglocatie van gegevens zijn daarvan een voorbeeld. Om daadwerkelijk persoonsgegevens in de cloud te plaatsen zijn echter meer acties nodig. Denk daarbij aan een kwetsbaarhedenscan.

Privacy Enhancing Technologies (PET) in de cloud

We verwerken voor onze klanten veel gevoelige persoonsgegevens om onderzoek en beleidsvorming in de zorg mogelijk te maken. Privacybescherming is daarbij van groot belang. Op basis van de situatie, wensen en mogelijkheden geven we advies over de best passende Privacy Enhancing Technologies (PET). Tevens dragen we zorg voor de implementatie daarvan. Er komen steeds meer verzoeken voor nieuwe features en diensten, waarvan een deel is gehost in de cloud. Daar geven we graag gehoor aan. Het resultaat is een groeiend palet aan technieken (PET’s), met steeds meer knoppen om aan te draaien. Enerzijds zijn er technieken als Multi Party Computation (MPC) met optimale technische maatregelen. Anderzijds is er een behoefte aan diensten met optimale gebruiksvriendelijkheid, zoals een webservice. Door de combinatie van technische en organisatorische maatregelen zorgen we altijd voor optimale bescherming van de gevoelige gegevens die we verwerken. Dit is een grondbeginsel bij het inrichten van alle PET-diensten die we in huis hebben.

 

PVM Nivel versie 6.0 beschikbaar

PVM Nivel versie 6.0 beschikbaar

Sinds 20 oktober is de PVM Nivel in versie 6.0 op de downloads-pagina beschikbaar.

Changes ten opzichte van de voorgaande release

  • Ondersteuning voor KNGF-aanleverspecificaties versie 10.0;
  • Nieuw routecertificaat voor transportbeveiliging;
  • Introductie van SHA-2 pseudoniemen naast de MD5-pseudoniemen.

Download aub de nieuwe versie

Wij vragen u mede namens Nivel om deze nieuwe versie van de PVM in gebruik te nemen.

Nivel downloads

Ondersteuning

Heeft u vragen over deze software-update? Neem dan contact op met onze servicedesk en zij helpen u graag.

 

Stichting Farmaceutische Kengetallen en ZorgTTP verlengen samenwerking

Stichting Farmaceutische Kengetallen en ZorgTTP verlengen samenwerking

Stichting ZorgTTP is verheugd om te melden dat de samenwerking met de Stichting Farmaceutische Kengetallen (SFK) is vernieuwd. Met enthousiasme wordt ook de komende jaren ingezet op het zo veilig mogelijk samenbrengen van gegevens voor onderzoek naar geneesmiddelengebruik in Nederland.

De SFK verzamelt, monitort en analyseert sinds 1990 gedetailleerde gegevens van het geneesmiddelengebruik in Nederland. Deze gegevensverzameling komt tot stand met behulp van meer dan 98% van de openbare apotheken in Nederland en omvat de gebruikscijfers van 16 miljoen personen. Deelnemende apothekers krijgen met rapportages inzicht in de omvang en opbouw van de geneesmiddelenvoorziening. Daarnaast maakt de SFK wetenschappelijk onderzoek met de informatie mogelijk. De ambitie van de SFK is om de aankomende jaren meer onderzoeksinitiatieven te ondersteunen.

Om ervoor te zorgen dat de beveiliging niet alleen nu maar ook de komende jaren State-of-the-Art blijft gaat de SFK gebruikmaken van de openbare pseudonimisatiemethode die in opdracht van het ministerie van VWS is ontwikkeld. Groot voordeel van deze openbare methode is de mogelijkheid tot koppeling met andere – conform de SHA-methodiek – gepseudonimiseerde datasets. De overstap verruimt voor de SFK de mogelijkheden voor het ondersteunen van onderzoek naar geneesmiddelengebruik met gekoppelde data.

ZorgTTP en SFK kijken ernaar uit om de samenwerking voort te zetten en de privacy van de geneesmiddelengebruikers ook de aankomende jaren adequaat te blijven beschermen.

19 Maart update CMT- en TRES-platform

Digitaal certificaat ZorgTTP vervangen

Vandaag – 25 mei 2023 – heeft ZorgTTP het CMT-certificaat vervangen. Dit betreft het certificaat met einddatum 26 augustus 2023. Met deze wisseling kan de dienstverlening van ZorgTTP veilig en ongehinderd worden gecontinueerd.

Vervangende certificaten kunnen in gebruik worden genomen zonder dat u als PVM-gebruiker nieuwe software hoeft te installeren. Wél is het zo dat u vanaf vandaag een melding krijgt in de PVM over de introductie van het nieuwe certificaat. U zult het certificaat vanuit de bestaande PVM-module moeten bijwerken.

We informeren u als PVM-gebruiker over de te zetten stappen. Onze servicedesk beantwoordt graag uw vragen hieromtrent (030-63 78 708 of servicedesk@zorgttp.nl).

Volledigheidshalve zijn hierna een aantal relevante vragen opgenomen uit onze FAQ pagina.

  • Ik zie de melding ‘ZorgTTP heeft nieuwe beveiligingscertificaten, zie Instellingen, tabblad Vertrouwde certificaten’. Wat moet ik doen?
    Met behulp van Online TTP Informatie Service (OTIS) kan het nieuwe certificaat in gebruik worden genomen zonder dat u als gebruiker nieuwe software hoeft te installeren. U moet wel een bevestigingscode invoeren. Dit geldt zowel voor gebruik van de GUI als command line. Vanaf vandaag (25 mei 2023) is de bevestigingscode op de website van ZorgTTP te vinden. De code moet worden ingevoerd in het tabblad ‘Vertrouwde certificaten’, in het veld ‘Bevestigingscode’, waarna u klikt op ‘Bevestig’. De PVM is na deze actie bijgewerkt en u kunt uw bestanden ongehinderd aanleveren. Neem contact op met onze servicedesk bij vragen omtrent het bijwerken van het certificaat.

 

  • Kan het bijwerken van het certificaat worden uitgesteld?
    Als u het invoeren van de bevestigingscode uitstelt, kunt u de PVM zonder problemen blijven gebruiken tot 26 augustus 2023. In de periode van 25 mei 2023 tot 26 augustus 2023 zullen dus beide CMT-certificaten ‘geldig’ zijn. Daarna is enkel het nieuwe certificaat geldig. U heeft vanaf dat moment alsnog de mo­gelijkheid om de PVM eenvoudig bij te werken middels het invoeren van de bevestigingscode.

 

  • Waar kan ik de bevestigingscode vinden?
    Vanaf vandaag (25 mei 2023) is de bevestigingscode op de website van ZorgTTP te vinden.

 

  • Wat gebeurt er nadat het oude certificaat verlopen is op 26 augustus 2023?
    Na 26 augustus 2023 is enkel het nieuwe CMT-certificaat geldig en dit moet worden gebruikt in de PVM. Als u het certificaat na 26 augustus niet bijgewerkt heeft, is het niet meer mogelijk om uw gegevensaanlevering te doen. U moet het certificaat dan alsnog bijwerken. Dat kan eenvoudig door de bevestigingscode in te voeren.

 

  • Met wie kan ik contact opnemen voor ondersteuning bij het bijwerken van het certificaat?
    Neemt u gerust contact op met onze servicedesk via 030-63 78 708 of servicedesk@zorgttp.nl. Zij helpen u graag verder.