James' Blog

2FA verplicht in de gezondheidszorg

9 juli 2019

NEN 7510 verplicht 2-factor authenticatie 
Als organisatie in de zorg moet u voldoen aan NEN 7510, de norm voor informatiebeveiliging in de zorg. De Nederlandse wetgever heeft in de Regeling gebruik burgerservicenummer in de zorg bepaald dat gegevensverwerking in zorginstellingen moet voldoen aan NEN 7510. Dit houdt in dat zorgverleners patiëntengegevens op adequate wijze moeten beveiligen.

Nederlandse toezichthouders als de Inspectie Gezondheidszorg en de Autoriteit Persoonsgegevens hanteren NEN 7510 bij het toetsen of zorgverleners over adequate informatiebeveiliging van patiëntengegevens beschikken. Een van de verplichte maatregelen betreft het gebruik van 2-factor authenticatie (“2FA”) bij het inloggen in uw EPD.

Wat is 2FA en waarom is het belangrijk?
Om misbruik van gestolen of goed geraden inloggegevens vrijwel geheel te elimineren biedt James 2FA aan. Naast ‘iets wat u weet’, namelijk inloggegevens, maakt u gebruik van ‘iets wat u hebt’, uw smartphone. Wij hebben gekozen voor een code die wordt gegenereerd door de Google-authenticator app op een smartphone boven het versturen van een sms omdat deze laatste methode niet langer als veilig genoeg wordt beschouwd.

Wij begrijpen dat het gebruik van een 2e factor een kleine extra handeling betekent bij het inloggen. James biedt overigens de mogelijkheid om bij het gebruik van 2FA dit eens per 24 uur te doen of bij iedere keer inloggen.

Het is niet voor niets dat het gebruik van 2FA verplicht is. Uit internationaal onderzoek blijkt dat bij ruim 80% van de geslaagde ‘hacks’ gestolen inloggegevens een sleutelrol spelen. Hackers hebben vele manieren om uw inloggegevens te bemachtigen. Ze installeren bijvoorbeeld key-loggers op uw computer -dit is malware (kwaadaardige programmatuur) die uw toetsaanslagen registreert- als u op een phishing mail klikt of als u een besmette website bezoekt. Denkt u nu maar niet ‘dat overkomt mij niet’ want hackers zijn heel gewiekst om u in de val te lokken, key-loggers worden vaak verstopt in webshops van grote partijen, plekken waar u zich wellicht veilig waant. Als u geen eerste klas virus scanner heeft of de malware staat niet op de lijst van bekende virussen, dan raakt uw computer besmet. Een andere manier is dat uw computer wordt geïnfecteerd met malware die alle inloggegevens uit uw browser haalt.

Bij het gebruik van 2FA kan een onbevoegde niet met alleen uw gebruikersnaam en wachtwoord inloggen (zonder de geheime code die u krijgt via de smartphone). Misbruik van inloggegevens is hiermee verleden tijd.

Indien u binnen uw praktijk te maken krijgt met een datalek omdat u geen 2FA gebruikt heeft u ongetwijfeld iets uit te leggen aan de Autoriteit Persoonsgegevens en riskeert u een boete en misschien nog wel erger: reputatieverlies.

Activeren van 2FA in James
Bekijk op Youtube hoe u 2FA activeert in James.

Bent u nog niet overtuigd van 2-factor authenticatie?
Neem dan contact op met Maarten Boutkan via maarten@james-software.nl of 06 525 46 559.

Delen:
Sanne Heemskerk2FA verplicht in de gezondheidszorg