okt 25, 2023 | Digitale certificaten, Pseudonimiseren, Software, ZorgTTP
Sinds 20 oktober is de PVM Nivel in versie 6.0 op de downloads-pagina beschikbaar.
Changes ten opzichte van de voorgaande release
- Ondersteuning voor KNGF-aanleverspecificaties versie 10.0;
- Nieuw routecertificaat voor transportbeveiliging;
- Introductie van SHA-2 pseudoniemen naast de MD5-pseudoniemen.
Download aub de nieuwe versie
Wij vragen u mede namens Nivel om deze nieuwe versie van de PVM in gebruik te nemen.
Nivel downloads
Ondersteuning
Heeft u vragen over deze software-update? Neem dan contact op met onze servicedesk en zij helpen u graag.
mei 25, 2023 | Nieuws, Pseudonimiseren, ZorgTTP
Stichting ZorgTTP is verheugd om te melden dat de samenwerking met de Stichting Farmaceutische Kengetallen (SFK) is vernieuwd. Met enthousiasme wordt ook de komende jaren ingezet op het zo veilig mogelijk samenbrengen van gegevens voor onderzoek naar geneesmiddelengebruik in Nederland.
De SFK verzamelt, monitort en analyseert sinds 1990 gedetailleerde gegevens van het geneesmiddelengebruik in Nederland. Deze gegevensverzameling komt tot stand met behulp van meer dan 98% van de openbare apotheken in Nederland en omvat de gebruikscijfers van 16 miljoen personen. Deelnemende apothekers krijgen met rapportages inzicht in de omvang en opbouw van de geneesmiddelenvoorziening. Daarnaast maakt de SFK wetenschappelijk onderzoek met de informatie mogelijk. De ambitie van de SFK is om de aankomende jaren meer onderzoeksinitiatieven te ondersteunen.
Om ervoor te zorgen dat de beveiliging niet alleen nu maar ook de komende jaren State-of-the-Art blijft gaat de SFK gebruikmaken van de openbare pseudonimisatiemethode die in opdracht van het ministerie van VWS is ontwikkeld. Groot voordeel van deze openbare methode is de mogelijkheid tot koppeling met andere – conform de SHA-methodiek – gepseudonimiseerde datasets. De overstap verruimt voor de SFK de mogelijkheden voor het ondersteunen van onderzoek naar geneesmiddelengebruik met gekoppelde data.
ZorgTTP en SFK kijken ernaar uit om de samenwerking voort te zetten en de privacy van de geneesmiddelengebruikers ook de aankomende jaren adequaat te blijven beschermen.
mei 25, 2023 | Digitale certificaten, Encryptie, Pseudonimiseren, Software, ZorgTTP
Vandaag – 25 mei 2023 – heeft ZorgTTP het CMT-certificaat vervangen. Dit betreft het certificaat met einddatum 26 augustus 2023. Met deze wisseling kan de dienstverlening van ZorgTTP veilig en ongehinderd worden gecontinueerd.
Vervangende certificaten kunnen in gebruik worden genomen zonder dat u als PVM-gebruiker nieuwe software hoeft te installeren. Wél is het zo dat u vanaf vandaag een melding krijgt in de PVM over de introductie van het nieuwe certificaat. U zult het certificaat vanuit de bestaande PVM-module moeten bijwerken.
We informeren u als PVM-gebruiker over de te zetten stappen. Onze servicedesk beantwoordt graag uw vragen hieromtrent (030-63 78 708 of servicedesk@zorgttp.nl).
Volledigheidshalve zijn hierna een aantal relevante vragen opgenomen uit onze FAQ pagina.
- Ik zie de melding ‘ZorgTTP heeft nieuwe beveiligingscertificaten, zie Instellingen, tabblad Vertrouwde certificaten’. Wat moet ik doen?
Met behulp van Online TTP Informatie Service (OTIS) kan het nieuwe certificaat in gebruik worden genomen zonder dat u als gebruiker nieuwe software hoeft te installeren. U moet wel een bevestigingscode invoeren. Dit geldt zowel voor gebruik van de GUI als command line. Vanaf vandaag (25 mei 2023) is de bevestigingscode op de website van ZorgTTP te vinden. De code moet worden ingevoerd in het tabblad ‘Vertrouwde certificaten’, in het veld ‘Bevestigingscode’, waarna u klikt op ‘Bevestig’. De PVM is na deze actie bijgewerkt en u kunt uw bestanden ongehinderd aanleveren. Neem contact op met onze servicedesk bij vragen omtrent het bijwerken van het certificaat.
- Kan het bijwerken van het certificaat worden uitgesteld?
Als u het invoeren van de bevestigingscode uitstelt, kunt u de PVM zonder problemen blijven gebruiken tot 26 augustus 2023. In de periode van 25 mei 2023 tot 26 augustus 2023 zullen dus beide CMT-certificaten ‘geldig’ zijn. Daarna is enkel het nieuwe certificaat geldig. U heeft vanaf dat moment alsnog de mogelijkheid om de PVM eenvoudig bij te werken middels het invoeren van de bevestigingscode.
- Waar kan ik de bevestigingscode vinden?
Vanaf vandaag (25 mei 2023) is de bevestigingscode op de website van ZorgTTP te vinden.
- Wat gebeurt er nadat het oude certificaat verlopen is op 26 augustus 2023?
Na 26 augustus 2023 is enkel het nieuwe CMT-certificaat geldig en dit moet worden gebruikt in de PVM. Als u het certificaat na 26 augustus niet bijgewerkt heeft, is het niet meer mogelijk om uw gegevensaanlevering te doen. U moet het certificaat dan alsnog bijwerken. Dat kan eenvoudig door de bevestigingscode in te voeren.
- Met wie kan ik contact opnemen voor ondersteuning bij het bijwerken van het certificaat?
Neemt u gerust contact op met onze servicedesk via 030-63 78 708 of servicedesk@zorgttp.nl. Zij helpen u graag verder.
mei 5, 2023 | Nieuws
De Brancheorganisaties Zorg (BoZ) hanteren een standaard format voor de verwerkersovereenkomst. Alle zorgaanbieders kunnen dit gebruiken voor het vastleggen van afspraken met betrekking tot het verwerken van persoonsgegevens. In december 2022 is een nieuwe versie van dit BoZ-format beschikbaar gekomen. Het format is eenvoudiger van opzet en het proces is versimpeld. Uitzonderingen die voorheen als bijlage in de oude BoZ-overeenkomst werden toegevoegd kunnen nu achterwege blijven. Ook sluit de overeenkomst beter aan bij de leveringsvoorwaarden van ZorgTTP. Daardoor kan de overeenkomst nu in principe zonder verdere aanpassing van de bepalingen worden gesloten. Dit verkleint de juridische hordes en verkort zo de doorlooptijd in de voorbereidende fase bij het opzetten van nieuwe gegevensverwerkingen. Het BoZ-format december 2022 hanteert ZorgTTP nu als de standaard voor een verwerkersovereenkomst.
ZorgTTP is blij met de nieuwe versie van de verwerkersovereenkomst. Goede afspraken tussen alle partijen binnen een gegevensverwerking zijn een essentiële verplichte bouwsteen voor aantoonbare governance bij gegevensverwerkingen. Want daarin leggen de verwerkingsverantwoordelijke(n), verwerkers en eventuele subverwerkers hun verantwoordelijkheden vast. Om zorgvuldig met persoonsgegevens om te gaan is deze organisatorische maatregel onmisbaar. Het gebruik van het nieuwe template wordt daarom van harte aanbevolen.
apr 10, 2023 | Nieuws
Het datalek van marktonderzoeksbureau Blauw en softwareleverancier NEBU is momenteel volop in het nieuws. Persoonsgegevens van cliënten van onder andere NS, Ziggo en Vodafone zijn gestolen. In de berichten wordt gesuggereerd dat het lek het gevolg is van ransomware. Als dat het geval is dan zien wij mogelijkheden om de data beter te beschermen. Daarmee kunnen ook de gevolgen van zo’n aanval worden beperkt. Wij denken dat het toepassen van een gelaagd encryptiemodel een belangrijke veiligheidsklep had kunnen zijn. De namen, adressen, telefoonnummers en andere gegevens van vele Nederlanders blijven daarmee uit verkeerde handen.
Het is niet bekend op welke manier de criminelen toegang tot de gegevens bij de softwareleverancier hebben gekregen. Hier moet een aanname voor worden gedaan. Mogelijk is het op disk weggeschreven data, die criminelen hebben gedupliceerd en verzonden naar een server in eigen beheer. Na het versleutelen van de data is losgeld geëist voor de decryptiesleutel. Dit alles onder dreiging van het publiceren van de gestolen data. Dit is een draaiboek dat al vele malen eerder is gezien.
Een ransomware-aanval kan iedereen overkomen. Door drempels op te werpen en noodremmen in te bouwen worden de gevolgen zo veel mogelijk beperkt. Met toepassing van encryptie door een Trusted Third Party (TTP) had die gestolen data waardeloos en onschadelijk kunnen zijn. Hiermee was de data op disks niets meer geweest dan een brij van onleesbare codes. De namen, telefoonnummers en andere persoonlijke gegevens waren in dat geval versleuteld. De sleutels om die gegevens weer leesbaar te maken waren op zeer veilige afstand, buiten de softwareleverancier bewaard. Zo worden gestolen gegevens waardeloos en hun publicatie zonder consequenties.
TRES (Trusted Reversible Encryption Service) is een voorbeeld van zo’n encryptiedienst door een TTP. Het is toepasbaar voor bedrijven in het kader van hun marktonderzoek. In dat scenario versleutelen zij met TRES alle persoonsgegevens en stellen deze versleuteld beschikbaar aan de marktonderzoeker. De marktonderzoeker heeft de versleutelde gegevens opgeslagen bij de softwareleverancier. Alleen medewerkers van het marktonderzoeksbureau die met de persoonsgegevens moeten werken kunnen deze ontsleutelen. Bij de softwareleverancier is helemaal niemand die de persoonsgegevens kan ontsleutelen! De accountgegevens om toegang te krijgen tot ontsleuteling zijn niet op disk opgeslagen. Ze kunnen bij een ransomware-aanval dus ook niet in handen vallen van criminelen.
De veiligheidsmuren kunnen hoger worden opgetrokken door de versleuteling van gegevens nog doordachter toe te passen. Het ligt voor de hand om de versleuteling per bedrijf anders te organiseren. Op die wijze zijn de gegevens van klanten van het ene telefoniebedrijf niet toegankelijk voor de marketeers die voor het andere telefoniebedrijf aan de slag zijn. We kunnen hierin zelfs nog een slag dieper gaan. Bijvoorbeeld door de gegevens van de dalurenkaart-campagne anders te versleutelen dan die voor de spaarkaart-campagne van een openbaar vervoerder. Ook kan ontsleuteling van de gegevens worden geblokkeerd na het einde van een campagne.
Stel dat criminelen tijdens hun hack de accountgegevens van een medewerker ontfutselen. Dan zou de schade beperkt blijven tot de gegevens waar die medewerker over beschikt. En dan alleen voor de actieve campagnes. Kan diefstal niet worden voorkomen, maar is hij wel tijdig ontdekt, dan is er een noodrem. De sleutels in TRES worden onmiddellijk geblokkeerd en alle data blijft op slot.
De toepassing van encryptie bij een TTP maakt de veiligheidsmuren mogelijk in dataverwerkingen. De beheerder heeft geen toegang tot de brondata, maar dat heeft de persoon die de data gebruikt voor onderzoek wél. Het verlenen of intrekken van de toegang ligt bij de TTP en daarmee faciliteert zij functiescheiding. Daarnaast is er een technische scheiding tussen data van bedrijven en zelfs campagnes. Zo kan schade bij een eventuele volgende ransomware-aanval fors beperkt worden. Een TTP heeft in dit scenario de middelen om in te grijpen bij een aanval en de betrokken sleutels te blokkeren. De buit van aanvallers is daardoor onbruikbaar.
Wilt u meer weten over TRES of andere pseudonimisatietechnieken? Neem contact met ons op.
mrt 17, 2023 | AVG, Nieuws, Privacy, Pseudonimiseren, Software
Een nieuwe privacy beschermende functie is toegevoegd aan de ZorgTTP Privacy- en Verzendmodule (PVM). De herleidbaarheid van de gepseudonimiseerde data kan hiermee worden beperkt. De functionaliteit is een vorm van Statistical Disclosure Control. Het werkt als een filter op de data die voor pseudonimisatie wordt aangeboden. Als een variabele of een combinatie van variabelen in het inputbestand te weinig voorkomt, worden deze records niet doorgegeven aan de beoogde ontvanger. De drempelwaarde is per gegevensverwerking in te stellen. In de kwaliteitsrapportage van de verzender maakt de PVM inzichtelijk voor welke records de herleidbaar te groot is. Die worden daarom niet aangeboden voor ontvangst.
De nieuwe functie is een Privacy by Design maatregel waarmee aantoonbaar kan worden voldaan aan de Algemene Verordening Gegevensbescherming (AVG). Reeds bij de databron wordt voorkomen dat te gevoelige data wordt gedeeld op individueel niveau.
Wilt u meer weten? Benader ons dan en we vertellen u met plezier over deze toepassing.
