EU-U.S. Privacy shield ongeldig verklaard

EU-U.S. Privacy shield ongeldig verklaard

Het Europese Hof van Justitie heeft op 17 juli een uitspraak gedaan met grote consequenties; het EU-U.S. Privacy Shield is ongeldig verklaard. De voornaamste aanleiding voor het nietig verklaren is gelegen in de bevoegdheid van Amerikaanse inlichtingen- en veiligheidsdiensten om gegevens van Europese burgers in te zien en gebruiken. Daarbij worden volgens het Hof de principes van noodzakelijkheid en proportionaliteit onvoldoende toegepast. Europese betrokkenen hebben daarnaast geen mogelijkheid tot het indienen van een beroep of een klacht.

Gevolg uitspraak

Door ongeldig verklaren van het Privacy Shield voldoen organisaties die gegevens van Europese burgers verwerken in de V.S. niet langer aan de Algemene Verordening Gegevensbescherming (AVG).

Geen impact op door ZorgTTP verwerkte gegevens

ZorgTTP treedt namens diverse organisaties op als Verwerker in de zin van de AVG. Alle productiesystemen van ZorgTTP worden binnen de werkingssfeer van de AVG gehost. Dat betekent dat persoonsgegevens die met software van ZorgTTP worden verwerkt te allen tijde binnen de Europese Economische Ruimte (EER) blijven. Er worden geen gegevens verwerkt in de V.S. en er is geen sprake van data-uitgifte aan partijen binnen dat gebied. De uitspraak van het Hof heeft daarom geen gevolgen voor de verwerkingen die door ZorgTTP worden uitgevoerd namens de Verwerkingsverantwoordelijken. Mocht u vragen hebben over dit onderwerp, neem dan gerust contact met ons op.

Verder lezen?

De Autoriteit Persoonsgegevens over deze uitspraak. De International Association of Privacy Professionals (IAPP) geeft tevens een toelichting.

Sleutelceremonie vlekkeloos verlopen Pseudonimisering persoonsgegevens weer ‘future proof’

Sleutelceremonie vlekkeloos verlopen Pseudonimisering persoonsgegevens weer ‘future proof’

ZorgTTP is een autoriteit als het gaat om pseudonimisering van persoonsgegevens. Dat vinden ook het ministerie van VWS, de Nederlandse zorgautoriteit en het Zorginstituut. Daarom is ons via een openbare aanbesteding opnieuw de opdracht gegund persoonsgegevens te pseudonimiseren. Woensdag 7 juli werden de geheime sleutels waarmee pseudoniemen gemaakt worden overgezet naar de nieuwe beveiligde hardware. Vertegenwoordigers van de opdrachtgevers waren fysiek en op afstand via een livestream getuige van de zogenaamde key ceremony. ZorgTTP-directeur Hans van Vlaanderen en projectleider Thomas Waslijah vertellen wat aan dit moment vooraf ging.

Deze opdracht bouwt voort op de bestaande opdracht. Hans: “De vorige aanbesteding is 5 jaar geleden ook door ons gewonnen. Dus we kennen de techniek en procedures al. Onderdeel van deze aanbesteding was het moderniseren en ‘future proof’ maken van hard- en software.”

Betrouwbare beveiliging is essentieel

De software die de data versleutelt is opgeslagen in een Hardware Security Module (HSM) in een beveiligd datacenter. De HSM is zo beveiligd dat bij oneigenlijke fysieke toegang een alarm afgaat en het sleutelmateriaal wordt vernietigd. “Dat klinkt als een scene uit een James Bond film”, aldus Hans. “Maar er gaan echt miljarden records over de lijn met alle zorg- en inkomensgegevens van Nederlanders. Het is dus erg gevoelige informatie. Dan is een betrouwbare beveiliging essentieel.”

Beveiligd met sleutels en pincodes

Thomas heeft samen met collega André Kaldenhoven de sleutelceremonie voorbereid. “Ik heb gezorgd dat alles organisatorisch goed liep en heb de procedure uitgeschreven en vastgelegd. De HSM is beveiligd met meerdere beveiligingssleutels en pincodes zodat de pseudonimisatiesleutels nooit in leesbare vorm geëxporteerd kunnen worden. De transportsleutels staan in delen op keycards. Deze liggen zowel bij ons als bij de klant in een kluis. Zonder beide delen kan de overdracht niet plaatsvinden. Dan is het best even spannend of door personeelswisselingen bij de klant alle pasjes en pincodes nog in het bezit zijn. Gelukkig was alles nog in tact en is de ceremonie vlekkeloos verlopen.”

 

Goede voorbereiding essentieel

Voor nood was een plan B gemaakt. Thomas: “Er lag een scenario op de plank voor als we geen verbinding met de server konden krijgen of als pasjes en pincodes niet meer werkten.” Dat rekening moet worden gehouden met onverwachte situaties bleek wel bij de voorbereiding van deze ceremonie, vertelt Hans. “Op een gegeven moment leek het er op dat de softwaredrivers van de HSM cardreaders niet meer compatible waren met onze computers. Het was een heel gedoe om de ze weer aan de praat te krijgen. Gelukkig is collega André daar samen met leverancier Utimaco in geslaagd. Zoiets toont wel aan dat een goede voorbereiding essentieel is en je goed in de gaten moet houden dat het serviceniveau op peil blijft.”

 

 

 

18 augustus update CMT- en TRES-platform

18 augustus update CMT- en TRES-platform

18 augustus 2020 17.00 – 18.00 uur Update CMT- en TRES-platform

Dinsdag 18 augustus worden tussen 17.00 en 18.00 uur de maandelijkse OS-updates op onze servers van het CMT (Centrale Module TTP) en het TRES-platform opgebracht. Hierdoor zullen CMT en TRES binnen genoemde tijdspanne kortstondig niet bereikbaar zijn.

De voorlopige planning m.b.t. de Windows updates voor 2020 is:

  • 18 augustus
  • 15 september
  • 26 oktober
  • 17 november
  • 15 december

Aan het begin van iedere maand wordt de definitieve datum bekend voor de betreffende maand en deze wordt dan op onze website gepubliceerd.

Nieuwe Privacy- en Verzendmodule (PVM) voor DIS live

Nieuwe Privacy- en Verzendmodule (PVM) voor DIS live

Per 16 juni 2020 is een nieuwe versie van de Privacy- en Verzendmodule (PVM) beschikbaar gekomen voor het DBC Informatiesysteem (DIS) van de Nederlandse Zorgautoriteit, te weten:

  • PVM 8.0.0 voor Windows en Linux
  • PVM 8.0.1 voor Mac

Als zorgaanbieder of softwareleverancier kunt u gebruik maken van de nieuwe software voor de gegevensaanlevering aan DIS. De nieuwe software kunt u downloaden met uw DIS-account via het DISportal.

We adviseren u om zo snel mogelijk over te stappen op de nieuwe PVM 8.0.
De PVM 7.1.1 wordt ondersteund tot 1 oktober 2020. Vanaf die datum kunt u alleen uw DIS-gegevens aanleveren met de PVM 8.0.

Heeft u vragen? Bekijk dan de veelgestelde vragen van de Nederlandse Zorgautoriteit of neem contact met hen op per e-mail via info@nza.nl of telefonisch via 088-770 8 770 (maandag t/m vrijdag tussen 9:00 en 17:00 uur).

Onderbreking beschikbaarheid CMT pseudonimisatie platform op 9 juli 2020

Onderbreking beschikbaarheid CMT pseudonimisatie platform op 9 juli 2020

Op donderdag 9 juli 2020 zal onze Centrale Module TTP (CMT), het hart van ons pseudonimisatie platform, gedurende een beperkte periode niet beschikbaar zijn. Wij reserveren hiervoor een tijdsvenster van 17.00 uur tot uiterlijk 18.00 uur.

Tijdens de onderbreking kan de PVM niet worden gebruikt om berichten in te sturen. Gebruikers krijgen een foutmelding omdat het CMT het bericht niet kan ontvangen. Alsnog aanleveren kan zodra het CMT weer beschikbaar is. De DRM zal ook geen berichten van het CMT kunnen ontvangen. Wanneer de DRM in een automatisch proces contact met het CMT legt, verzoeken wij u passende maatregelen te nemen.

Wij vertrouwen erop u met deze informatie voldoende geïnformeerd te hebben en zijn beschikbaar voor verdere toelichting of vragen. U kunt contact met ons opnemen via ons nummer 030 – 63 60 649 of servicedesk@zorgttp.nl. Wij staan u graag te woord.

 

Update: Quo Vadis G4 CA ingetrokken per 29 april 2020

Update: Quo Vadis G4 CA ingetrokken per 29 april 2020

In verband met de Corona crisis wordt de Quo Vadis G4 Issuing CA een maand later ingetrokken. De intrekking zal uiterlijk 29 april zijn voltooid. Naar verwachting wordt de daadwerkelijke intrekking in de week van 20 april uitgevoerd in een ceremonie waarbij een externe auditor aanwezig is. Door de reisbeperkingen in verband met COVID-19 is door de leden van het CA/Browser forum uitstel verleend ten opzichte van de eerder gecommuniceerde datum.

Zie voor meer informatie ons eerdere nieuwsbericht over de aanleiding voor het intrekken.