ZorgTTP is een autoriteit als het gaat om pseudonimisering van persoonsgegevens. Dat vinden ook het ministerie van VWS, de Nederlandse zorgautoriteit en het Zorginstituut. Daarom is ons via een openbare aanbesteding opnieuw de opdracht gegund persoonsgegevens te pseudonimiseren. Woensdag 7 juli werden de geheime sleutels waarmee pseudoniemen gemaakt worden overgezet naar de nieuwe beveiligde hardware. Vertegenwoordigers van de opdrachtgevers waren fysiek en op afstand via een livestream getuige van de zogenaamde key ceremony. ZorgTTP-directeur Hans van Vlaanderen en projectleider Thomas Waslijah vertellen wat aan dit moment vooraf ging.
Deze opdracht bouwt voort op de bestaande opdracht. Hans: “De vorige aanbesteding is 5 jaar geleden ook door ons gewonnen. Dus we kennen de techniek en procedures al. Onderdeel van deze aanbesteding was het moderniseren en ‘future proof’ maken van hard- en software.”
Betrouwbare beveiliging is essentieel
De software die de data versleutelt is opgeslagen in een Hardware Security Module (HSM) in een beveiligd datacenter. De HSM is zo beveiligd dat bij oneigenlijke fysieke toegang een alarm afgaat en het sleutelmateriaal wordt vernietigd. “Dat klinkt als een scene uit een James Bond film”, aldus Hans. “Maar er gaan echt miljarden records over de lijn met alle zorg- en inkomensgegevens van Nederlanders. Het is dus erg gevoelige informatie. Dan is een betrouwbare beveiliging essentieel.”
Beveiligd met sleutels en pincodes
Thomas heeft samen met collega André Kaldenhoven de sleutelceremonie voorbereid. “Ik heb gezorgd dat alles organisatorisch goed liep en heb de procedure uitgeschreven en vastgelegd. De HSM is beveiligd met meerdere beveiligingssleutels en pincodes zodat de pseudonimisatiesleutels nooit in leesbare vorm geëxporteerd kunnen worden. De transportsleutels staan in delen op keycards. Deze liggen zowel bij ons als bij de klant in een kluis. Zonder beide delen kan de overdracht niet plaatsvinden. Dan is het best even spannend of door personeelswisselingen bij de klant alle pasjes en pincodes nog in het bezit zijn. Gelukkig was alles nog in tact en is de ceremonie vlekkeloos verlopen.”
Goede voorbereiding essentieel
Voor nood was een plan B gemaakt. Thomas: “Er lag een scenario op de plank voor als we geen verbinding met de server konden krijgen of als pasjes en pincodes niet meer werkten.” Dat rekening moet worden gehouden met onverwachte situaties bleek wel bij de voorbereiding van deze ceremonie, vertelt Hans. “Op een gegeven moment leek het er op dat de softwaredrivers van de HSM cardreaders niet meer compatible waren met onze computers. Het was een heel gedoe om de ze weer aan de praat te krijgen. Gelukkig is collega André daar samen met leverancier Utimaco in geslaagd. Zoiets toont wel aan dat een goede voorbereiding essentieel is en je goed in de gaten moet houden dat het serviceniveau op peil blijft.”