ZorgTTP maakt voor het beveiligen van het berichtenverkeer gebruik van digitale certificaten. Deze certificaten worden afgenomen bij een hiervoor gekwalificeerde leverancier; Quo Vadis Trustlink B.V.
Maandag 24 februari heeft Quo Vadis ons meegedeeld dat de “QuoVadis Issuing Certificate Authority (CA) G4” op 31 maart 2020 wordt ingetrokken. Er is bij audits gebleken dat deze niet meer aan de recente beveiligingseisen voldoet. Voor de duidelijkheid; er is geen sprake van een beveiligingsincident.
Update: De intrekkingsdatum is in verband met de COVID-19 crisis uitgesteld tot uiterlijk 29 april 2020.
Zie de technische toelichting onder dit bericht voor de technische details.
Impact
Een eerste inventarisatie heeft uitgewezen dat momenteel 134 certificaten actief zijn die zullen worden ingetrokken. Een beperkt deel van de certificaten die geraakt worden door het intrekken van de CA wordt gebruikt als zogenaamd route certificaat. Dit type certificaat wordt binnen onze verwerkingen gebruikt om berichten bestemd voor onze opdrachtgevers te versleutelen vanaf de verzendende organisatie en heeft daarmee een belangrijke rol in de pseudonimisatie ketens. Na het intrekken van de CA zal zonder verdere actie het aanleveren van gegevens onmogelijk worden voor routes die een Quo Vadis G4 certificaat gebruiken.
Acties
Wij stellen met spoed nieuwe versies van onze software met nieuwe certificaten beschikbaar en hebben de partijen die het betreft hierover gericht geïnformeerd. Wij proberen daarbij de overlast waar mogelijk te beperken door de aanpassing te combineren met reeds geplande updates.
De ervaring leert dat na het beschikbaar stellen van nieuwe softwareversies door ZorgTTP de tijd die nodig is voor installatie van de software in gebruikersomgevingen sterk uiteen kan lopen.
Voor met name grotere organisaties kan het weken tot maanden duren voordat de software aan gebruikers beschikbaar is gemaakt. Voor deze organisaties stellen we een work-around beschikbaar waarbij het certificaat handmatig kan worden vervangen in de bestaande installatie. Wij leveren hiervoor technische ondersteuning in de vorm van documentatie en beschikbaarheid van onze servicedesk voor begeleiding op afstand.
Totslot
Wij hadden hier uiteraard eerder door Quo Vadis van op de hoogte gebracht willen worden en hebben onderzocht of uitstel mogelijk is. Dat is helaas niet het geval. Daarom moeten we noodgedwongen actie ondernemen. We doen ons uiterste best om de gebruikers optimaal te ondersteunen bij het installeren van de nieuwe software.
Onze welgemeende verontschuldigingen voor de ontstane situatie.
Technische toelichting:
De Quo Vadis G4 Issuing CA zal worden ingetrokken omdat deze technisch gezien in staat is om TLS certificaten aan te maken die gebruikt kunnen worden voor het beveiligen van browsers. In het toepassingsgebied voor de CA had deze optie uitgeschakeld moeten worden door QuoVadis. Grote browser leveranciers verenigd in het CA/Browser forum hebben besloten dat dit een onaanvaardbaar beveiligingsrisico is en daarom het intrekken afgedwongen.
Met trots kijken wij terug op een succesvolle middag! We hebben de opening van ons pand gecombineerd met het delen van kennis en waren blij verrast door de grote opkomst. Dank aan een ieder voor de bijdrage aan deze middag.
Op 31 oktober 2019 is de app voor de Landelijke Wondzorg App Implementatie Studie gelanceerd. Het is de eerste mobiele applicatie die gebruik maakt van onze encryptiedienst TRES voor het beveiligen van privacygevoelige gegevens binnen een studie. De app is door het LUMC in samenwerking met Innovattic ontwikkeld en wordt in een samenwerkingsverband van ziekenhuizen ingezet om wondgerelateerde post-operatieve complicaties eerder te kunnen detecteren. De deelnemende patiënten vullen gedurende een periode dagelijks een digitale vragenlijst in. De app waarschuwt de patiënt wanneer contact met de arts gewenst is. De arts kan de gegevens ter voorbereiding op het consult gebruiken. Met de verzamelde gegevens worden risico’s op complicaties in kaart gebracht en kan de behandeling worden verbeterd. Wij zijn trots een bijdrage te mogen leveren aan deze studie.
Deze video van het LUMC geeft een mooie toelichting:
Recent is het onderzoeksrapport naar personen met verward gedrag in Flevoland gepubliceerd. GGD Flevoland en onderzoeksbureau Care2Research hebben gezamenlijk met 13 Flevolandse organisaties een uniek onderzoek uitgevoerd naar personen met verward gedrag en de werking van de bemoeizorgketen. Een mooi rapport met leerzame en nuttige bevindingen voor verdere verbetering van de zorg op basis van gepseudonimiseerde data (via ZorgTTP).
Zorgvisie besteedt in een artikel aandacht aan de nieuwe NEN7524 norm die met inbreng van ZorgTTP tot stand is gekomen. Goede pseudonimisatie vereist een professionele aanpak. In het artikel licht ZorgTTP adviseur Thomas Waslijah toe dat de norm duidelijkheid biedt aan zowel aanbieder als afnemer van de dienst. Leveranciers die aan deze norm voldoen geven aantoonbare zekerheid aan hun afnemers over de opzet en kwaliteit van de geboden oplossing gedurende de gehele dienstverleningsrelatie tussen aanbieder en afnemer. De geboden duidelijkheid is een belangrijke bijdrage aan het operationaliseren van de brede en technologie onafhankelijke definitie voor pseudonimisering uit de Algemene Verordening Gegevensbescherming (AVG).
Lees het volledige artikel in Zorgvisie (account vereist).
De norm kan worden aangeschaft via de NEN normshop.
Meer weten over onze dienstverlening? Neem contact op met een van onze adviseurs!
De norm voor pseudonimisatiedienstverlening is gepubliceerd door NEN. De Nederlandse norm, NEN 7524, is opgesteld door gebruikers en leveranciers van pseudonimisatiediensten en is nu beschikbaar in de NEN webshop.
Om (zorg)gegevens ethisch en wettelijk verantwoord te mogen gebruiken voor onderzoek, worden de gegevens gepseudonimiseerd. Dit betekent dat een vertrouwde onafhankelijke partij de gegevens verwijdert die herleidbaar zijn tot de patiënt en deze vervangt door een pseudocode. Voor onderzoekers en epidemiologen zijn deze gegevens interessant, bijvoorbeeld om de trends in ziekteprevalentie te bepalen of het effect van gezondheidsprogramma’s te monitoren.
NEN 7524
Het doel van de norm is:
privacy van de patiënten te respecteren;
beschikbaarheid van de gegevens over langere tijd veilig te stellen;
transparantie en betrouwbaarheid van de diensten te verbeteren;
overstappen naar een andere dienstverlener mogelijk te maken.
De Autoriteit Persoonsgegevens (AP) stelt met betrekking tot pseudonimisatie:
Pseudonimiseren is een beveiligingsmaatregel waarbij persoonsgegevens worden verwerkt zonder dat daarbij duidelijk wordt over welke personen de gegevens gaan. Bij pseudonimiseren van persoonsgegevens kunnen gegevens alleen nog herleidbaar zijn tot een specifiek persoon als er gebruik wordt gemaakt van aanvullende gegevens.
Pseudonimisering van persoonsgegevens is een verwerking van persoonsgegevens waarbij u zich nog steeds moet houden aan de Algemene verordening gegevensbescherming (AVG). Bij pseudonimisering moet u technische en organisatorische maatregelen nemen om ervoor te zorgen dat onbevoegden de koppeling met het bestand met aanvullende gegevens niet kunnen maken.
ZorgTTP is actief betrokken geweest bij de ontwikkeling van deze norm. De komende tijd wordt ondersteuning van de NEN 7524 norm door ZorgTTP voorbereid. Zodra een certificeringsschema beschikbaar is wordt een onafhankelijke deskundige partij gevraagd een certificeringsaudit uit te voeren. Daarmee maken we de kwaliteit van de door ons geboden technische en organisatorische maatregelen aantoonbaar en helpen we onze opdrachtgevers te voldoen aan de AVG.
Voor vragen kunt u contact opnemen met Hans van Vlaanderen, directeur ZorgTTP. Dat kan via 030-6360649 of info@zorgttp.nl.
