Best practice: toepassing: tweefactor authenticatie tegen datalekken

Het VUmc heeft ervoor gekozen om patiëntgegevens extra te beveiligen met een tweefactoroplossing, zeker voor gebruikers van buiten het eigen netwerk. Hiervoor hebben zij gekozen voor SURFsecureID. Deze best practice beschrijft de dienst en het implementatietraject.

man achter computer TU Eindhoven
“SURFsecureID is heel betrouwbaar, goed ingericht en gebruiksvriendelijk.”
Jan Willem Gresnigt, projectleider VUmc

Nieuwe wetgeving omtrent persoonsgegevens vereist dat voor het gebruik van patiëntgegevens een extra veiligheidsstap wordt ingebouwd. Buiten het eigen netwerk is het niet genoeg om in te loggen met een gebruikersnaam en een wachtwoord. Een universitair medisch centrum moet in zo'n geval tweefactorauthenticatie toepassen. Dat betekent dat je alleen toegang krijgt tot de gegevens als je op twee manieren kunt laten zien dat je daartoe geautoriseerd bent. Het VUmc gebruikt hiervoor SURFsecureID.

Noodzakelijk kwaad

SURFsecureID Second Factor Only is bedoeld voor diensten die niet zijn gekoppeld aan SURFconext. Medewerkers van het VUmc loggen in op Citrix, de interne werkomgeving bij het VUmc. Doen ze dat buiten het netwerk van het VUmc, bijvoorbeeld omdat ze thuiswerken, dan 'ziet' het systeem dat ze van buiten komen. SURFsecureID vraagt vervolgens om een tweede inlogmethode. De medewerker moet een QR-code scannen met de tiqr-app van SURFnet. Hij kan ook kiezen voor het gebruik van een Yubikey USB-sleutel. "Om te voldoen aan NEN 7510, de norm voor informatiebeveiliging in de zorgsector, waren we verplicht om tweefactorauthenticatie in te richten," zegt projectleider Jan Willem Gresnigt. "Daarnaast willen we voldoen aan de wet. Iedereen is zich ervan bewust dat sterke authenticatie een noodzakelijk kwaad is. Niemand wil met een bericht over een datalek op de Telegraaf staan."

Communicatiecampagne

De implementatie van SURFsecureID op het VUmc had veel weg van een militaire operatie. In zes weken tijd moesten ongeveer zesduizend medewerkers zich registeren. Een communicatiecampagne, gebaseerd op de templates die SURF aanbiedt en aangevuld met eigen flyers, maakte duidelijk wat, hoe en waarom. Gresnigt somt op: "Een week van tevoren ontvingen alle medewerkers een email over de procedure. Er lagen flyers op alle koffietafels. Ik heb een uitleg gegeven aan het directeurenoverleg van de top twintig van het VUmc. Ook alle zorgmanagers en ict-contactpersonen kregen een presentatie te zien. Alles om iedereen te doordringen van het belang van Sterke Authenticatie."

Actieve benadering

Alle medewerkers kozen of ze de tiqr-app of een Yubikey wilden gebruiken. Op de SURF self service portal koppelden ze hun account aan SURFsecureID. Bij de twee bedrijfsrestaurants en de ICT-Servicebalie stond een stand waar ze vervolgens de registratie konden activeren. Daarvoor moesten ze zich legitimeren. Monique Volbeda, manager ICT frontoffice / servicedesk VUmc, zegt: "Ook al begrijpen alle medewerkers het belang van privacy, als het niet die van henzelf betreft, moet de identificatieprocedure toch vooral vlug-vlug. Het is erg belangrijk dat dit gedragen wordt door de Raden van Bestuur, divisiemanagers en directeuren. Dat helpt enorm bij de acceptatie."

Testen op een werkplek

Bij de stands was een werkplek ingericht, waar de medewerkers konden testen of de tweefactorauthenticatie werkte. "Vooraf hadden we een aantal probleemscenario's met thuisconfiguraties uitgevoerd en opgevangen," vertelt Gresnigt. "Het AMC bleek bijvoorbeeld met een standaardinstelling te werken die niet goed uitpakte in de configuratie. Dat hebben we verholpen. Daardoor liep de daadwerkelijke implementatie vrijwel probleemloos."

“Tweefactorauthenticatie is een noodzakelijk kwaad. Daar is iedereen zich van bewust.”
Jan Willem Gresnigt, projectleider VUmc

Inmiddels is iedereen gewend. Een korte enquête bevestigt dat veruit de meeste medewerkers het registratieproces vonden meevallen. De tweede inlogmethode beschouwen ze als een kleine moeite. Alleen op de identificatieplicht klonk hier en daar wat gemopper ("Ik werk hier al jaren").

Medewerkers op afstand

Niet alle medewerkers van het VUmc kunnen even makkelijk langs een balie lopen om hun paspoort te laten zien. Onderzoekers en oud-studenten bevinden zich over de hele wereld. Voor hen werden video-conferenties georganiseerd. Een leidinggevende moest daarvoor bevestigen dat iemand niet in staat was om face-to-face te verschijnen. "De video-conferenties kosten fors meer tijd en het is moeilijker om iemands identiteit vast te stellen," zegt Gresnigt.

Medewerkers die hun telefoon hebben gereset, ontdekken dat ze de gegevens uit de app kwijt zijn en opnieuw langs de Servicebalie moeten om zich te identificeren. Volbeda; "Wij zitten met smart te wachten op een veilige, minder omslachtige manier om iemands identiteit vast te stellen." SURFnet onderzoekt momenteel methodes voor identificatie op afstand.

“Het is erg belangrijk dat dit gedragen wordt door de Raden van Bestuur, divisiemanagers en directeuren. Dat helpt enorm.”
Monique Volbeda, manager ICT frontoffice / servicedesk VUmc

Uitdagende implementatie

De implementatie was technisch uitdagend. De Citrix-omgeving geeft een seintje aan SURF als iemand van buitenaf inlogt, maar bleek niet aan alle protocoleisen van SURF te voldoen. Er is een work-around gemaakt via een aparte machine, die het verzoek vanuit Citrix vertaalt naar SURF. Dit is een tijdelijke oplossing, die met een nieuwe Citrix-versie opgelost moet zijn. "We kregen goede hulp van de specialisten van SURFnet," zegt Gresnigt. Al met al is hij heel tevreden over SURFsecureID. "Het is heel betrouwbaar, goed ingericht en gebruiksvriendelijk. Of ik het andere umc's aanraadt? Dat heb ik al gedaan."