Identity & Access Management: Veilige datatoegang in de zorg
Je wilt koste wat kost voorkomen dat die vertrouwelijke data in verkeerde handen terechtkomt. Toegangsbeperking en -controle zijn daarin erg belangrijk. Hoe zit dat in relatie tot NEN 7510?
Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.
laurens.hekkink@certificeringsadvies.nlDe Inspectie Gezondheidszorg en Jeugd (IGJ) stelt ziekenhuizen verplicht om uiterlijk 2023 te voldoen aan de norm voor informatiebeveiliging in de zorg: NEN 7510. Dit om toekomstige problemen bij ziekenhuizen te voorkomen. Daar hoort bij dat ziekenhuizen regelmatig een onafhankelijke beoordeling laten uitvoeren. De IGJ gaat dit opvragen bij alle ziekenhuizen. Wat betekent dat voor ziekenhuizen en zorginstellingen?
In een reeks van drie (lunch)webinars vertellen CertificeringsAdvies Nederland en Infield ICT daar meer over.
- Webinar 1, april 2023, ging verder in op ‘NEN 7510 compliant back-up: maak het onze zorg’.
- Webinar 2, mei 2023, had als thema ‘Security Awareness: hoe maak je er werk van’.
En webinar 3, van 30 juni 2023, wordt uitgebreid besproken in dit blogartikel. Het onderwerp dat daarin centraal staat is ‘Identity & Access Management: Veilige datatoegang in de zorg’. Onze adviseur Laurens Hekkink mocht namens CertificeringsAdvies Nederland vertellen over de normkant van NEN 7510 in relatie tot Identity & Access management. Medische gegevens, dat is natuurlijk gevoelige informatie bij uitstek. Je wilt koste wat kost voorkomen dat die vertrouwelijke data in verkeerde handen terechtkomt. Dat kan o.a. door de toegang ertoe strikt te beperken, grondig te reguleren en regelmatig te controleren. Essentieel is ook dat de identiteit van de gebruikers op elk moment betrouwbaar en gewaarborgd is. Hoe beheer je die toegang tot je digitale werkomgeving, inclusief al je data, zo goed mogelijk? En hoe check je dat (regelmatig)?
NEN 7510: informatiebeveiliging in de zorg(sector)
Alvorens we ingaan op Identity & Access Management allereerst even terug naar de pijlers van informatiebeveiliging en de NEN 7510 norm. Wanneer je spreekt over informatiebeveiliging, en dus ook over NEN 7510, dan draait het erom dat je jouw organisatie beschermt tegen de risico’s en bedreigingen op gebied van informatie en ICT. Belangrijk daarbij zijn de drie pijlers van informatiebeveiliging (BIV):
- Beschikbaarheid: de informatie die je voorziet, zowel fysiek als digitaal, moet beschikbaar zijn op het moment dat jij deze nodig hebt. Is de server benaderbaar? Is de laptop niet gestolen waar de informatie op staat? Is het papier niet door de papierversnipperaar gegaan?
- Integriteit: daarbij draait het om de informatie die je voor je ziet, kun je ervan uitgaan dat die klopt? Is er niemand die het heeft aangepast?
- Vertrouwelijkheid: wie kan er bij de informatie? En mag diegene er ook bij?
In het eerdere artikel, behorende bij webinar 1 uit de reeks, is al uitgebreid uiteengezet wat NEN 7510 precies is. Daarom beperken we ons in dit artikel tot een korte definitie:
NEN 7510 is een Nederlandse norm gericht op informatiebeveiliging binnen de zorgsector, die richtlijnen geeft voor waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van persoonlijke gezondheidsinformatie.
Wat NEN 7510 uniek maakt is dat er, naast de 114 beheersmaatregelen uit de ISO 27001, nog 36 verdiepende beheersmaatregelen zijn specifiek voor de zorg en de omgang met zorginformatie. Het draait erom dat het managementsysteem risico’s in kaart brengt die je gaat behandelen met bepaalde maatregelen.
Toegangsrechten
De implementatie van NEN 7510 leidt tot het implementeren van een managementsysteem. Het doel daarvan is beheersen van risico’s op het gebied van de drie informatiebeveiliging-pijlers:
Voorbeeld: Doordat er geen toegangsrechten controle plaatsvond, is er onbevoegde toegang tot cliëntgegevens verkregen.
Wanneer daarbij wordt gekeken naar de normeisen, dan is het zo dat toegang tot systemen beperkt dient te worden tot situaties waarin een zorgrelatie bestaat.
Normeisen
A.9.1.1 Beleid voor toegangsbeveiliging
Beheersmaatregel:
Een beleid voor toegangsbeveiliging moet worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfs‐ en informatiebeveiligingseisen.
ZORGSPECIFIEKE BEHEERSMAATREGEL
Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten de toegang tot dergelijke informatie controleren. In het algemeen moeten de gebruikers van gezondheidsinformatiesystemen hun toegang tot persoonlijke gezondheidsinformatie beperken tot situaties:
- a) waarin er een zorgrelatie bestaat tussen de gebruiker en de persoon waarop de gegevens betrekking hebben (de cliënt tot wiens persoonlijke gezondheidsinformatie er toegang wordt gemaakt);
- b) waarin de gebruiker een activiteit uitvoert namens de persoon waarop de gegevens betrekking hebben;
- c) waarin er specifieke gegevens nodig zijn om deze activiteit te ondersteunen.
Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten een toegangscontrolebeleid hebben waarmee de toegang tot deze gegevens wordt geregeld.
Het beleid van de organisatie met betrekking tot toegangscontrole moet worden vastgesteld op basis van vooraf gedefinieerde rollen met bijbehorende bevoegdheden die passen bij, maar beperkt zijn tot, de behoeften van die rol.
Het toegangscontrolebeleid, als bestanddeel van het in 5.1.1 beschreven beleidskader voor informatiebeveiliging, moet professionele, ethische, juridische en cliënt gerelateerde eisen weerspiegelen en moet de taken die worden uitgevoerd door zorgverleners, en de workflow van de taak in aanmerking nemen.
De beheersmaatregel (zie A.9.1.2. Toegang tot netwerken en netwerkdiensten) die daarbij hoort:
Gebruikers moeten alleen toegang krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn.
Hoe kun je dat inregelen?
Stel een autorisatiematrix op. Daarbij breng je in kaart welke systemen en applicaties er in de organisatie gebruikt worden. Bepaal per systeem/applicatie wie de eigenaar is. Geef vervolgens, per functie/rol, aan wie er toegang mag hebben.
Wanneer dat is bepaald kun je ook nog op een dieper niveau gaan kijken.
Zoals in de afbeelding te zien is, heeft Afdeling C geen toegang tot een bepaalde map. Dat betekent dat de focus ligt op Afdeling A en B. Voor die afdelingen kun je bijhouden/bepalen of iemand leesrechten, schrijfrechten en/of adminrechten heeft en voor welke map(pen) dat geldt. Is dat de HR-map? Is dat de financiële map? Etc. De Microsoft-applicatie Sharepoint kent bijvoorbeeld een grote gelaagdheid in mappen. In dat geval is het heel relevant om vast te leggen wat dan precies de toegangsrechten zijn.
Toegangscontrolebeleid
Wanneer we weer teruggrijpen naar de zorgspecifieke beheersmaatregel (uit A.9.1.1. Beleid voor toegangsbeveiliging) zoals hierboven in het uitgelichte kader staat genoteerd, dan is te lezen dat er ook wordt gesproken over een toegangscontrolebeleid. Ook daar is weer sprake van een bepaalde overlap met een aantal andere normeisen, zoals:
- 9.2.5. waarbij gesteld wordt dat je een toegangsrechtencontrole moet uitvoeren op een regelmatige basis;
- Of A.9.2.6. waarbij je een toegangsrechtenaanpassing moet doen in geval van een wijziging of beëindiging van het dienstverband.
Hoe werkt dat dan, toegangscontrole? We pakken de eerder opgestelde toegangsmatrix er weer bij:
Het is zaak dat je periodiek de toegangsrechten, in bijvoorbeeld Sharepoint, controleert ten opzichte van de autorisatiematrix. Komen de rollen die in Sharepoint staan, overeen met je autorisatiematrix?
Wanneer de rechten niet juist staan ingesteld, dan moet je ze uiteraard aanpassen of gebruikers verwijderen. Vergeet echter, in het kader van NEN 7510, niet om hier een afwijking melding van aan te maken in het managementsysteem. Vanuit je toegangscontrolebeleid heb je gezegd dat een bepaalde rol geen toegang mag hebben. Nu blijkt dat er toch iemand toegang had, waarmee je dus je eigen beleid niet hebt nageleefd. Het is van belang dat je een oorzaakanalyse uitvoert. Hoe komt het dat deze medewerker toegang had? Vervolgens voer je een omvanganalyse uit. Als deze medewerker toegang had tot het systeem, zijn er dan nog andere medewerkers in dezelfde rol of afdeling die geen toegang mochten hebben?
Wachtwoordbeheer
Dan hebben we nog een normeis die ingaat op een stuk wachtwoordbeheer.
Normeisen
A.9.4.3 Systeem voor wachtwoordbeheer
Beheersmaatregel:
Systemen voor wachtwoordbeheer moeten interactief zijn en sterke wachtwoorden waarborgen.
Vanuit de norm wordt verwacht dat je een veilig wachtwoord opstelt. Je moet dat op systeemniveau proberen in te regelen. Maar wat is dan precies een sterk wachtwoord?
Bron: Hivesystems.io
Op basis van het soort karakters kan bepaald worden hoelang het duurt om een wachtwoord te kraken. Wees ervan bewust dat je een veilig wachtwoord gebruikt en probeer dat ook zoveel mogelijk af te dwingen in systemen waar dit mogelijk is. Maak daarbij ook, waar mogelijk, gebruik van Multi-Factor Authentication (MFA) en/of Single Sign On. Op die manier houd je het meeste grip.
De laatste ontwikkelingen op dit gebied, vanuit Microsoft, is dat je de teugels iets kunt laten vieren. Wanneer MFA namelijk correct is ingeschakeld, is er geen noodzaak om wachtwoorden periodiek te wijzigen. Op die manier worden gebruikers tegemoet gekomen. Het zorgt voor veiligere wachtwoorden, omdat medewerkers niet telkens na moeten denken over een veilig wachtwoord en het risico op wachtwoord recycling lager wordt.
Wachtwoordrecycling houdt in dat een gebruiker hetzelfde wachtwoord gebruikt als op een andere plek, of een nagenoeg identiek wachtwoord gebruikt. Bijvoorbeeld: “DitIsMijnWachtwoord-1” wordt “DitIsMijnWachtwoord-2”.
Normeisen
A.9.4.1 Beperking toegang tot informatie
Beheersmaatregel:
Toegang tot informatie en systeemfuncties van toepassingen moet worden beperkt in overeenstemming met het beleid voor toegangsbeveiliging.
ZORGSPECIFIEKE BEHEERSMAATREGEL
Gezondheidsinformatiesystemen die persoonlijke gezondheidsinformatie verwerken, moeten de identiteit van gebruikers vaststellen en dit moet worden gedaan door middel van authenticatie waarbij ten minste twee factoren betrokken worden.
De toegang tot functies van informatie‐ en toepassingssystemen in verband met het verwerken van persoonlijke gezondheidsinformatie, moet geïsoleerd (en gescheiden) worden van de toegang tot informatieverwerkingsinfrastructuur die geen verband houdt met het verwerken van persoonlijke gezondheidsinformatie.
Vanuit normeis A.9.4.1. wordt aangegeven dat er een stuk beveiliging moet zijn. Vanuit de zorgspecifieke beheersmaatregelen wordt daaraan toegevoegd dat je een beveiliging moet hebben waarbij minstens twee factoren betrokken zijn. Zorg er dus voor dat je een systeem zoals een ECD of ander systeem waar persoonlijk gezondheidsinformatie in staat voorziet van Multi-Factor Authenticatie (MFA).
Let er verder op dat je MFA goed instelt.
- Zorg ervoor dat een gebruiker niet alleen maar iets hoeft goed te keuren het systeem of in de authenticator app, maar dat je ook daadwerkelijk een nummer in moet voeren of juist de 6-cijferige code in het kader van een one-time password die normaal gesproken al wordt gegenereerd.
- Wil je het helemaal goed doen? Overweeg dan een security key.
Meer informatie?
In dit artikel is ingezoomd op Identity & Access Management in relatie tot de NEN 7510 norm, de norm voor informatiebeveiliging in de zorgsector. De informatie is afkomstig uit een webinar dat onderdeel uitmaakt van een driedelige webinarreeks rondom NEN 7510.
Wil je meer informatie over NEN 7510 (implementeren) of specifiek over toegangsbeheer en -controle? Neem dan gerust contact met ons op. Wij helpen je graag op weg!
Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.
laurens.hekkink@certificeringsadvies.nlBreng je informatiebeveiliging op orde!
Met een NEN 7510 certificering!
- Vrijblijvende offerte
- Op maat advies
- Praktische tips