Logo Incura EPD software voor professionals in de zorg

Uw EPD beveiligen met tweestapsverificatie: waarom en hoe

EPD beveiligen met tweestapsverificatie
Iedereen gebruikt tweestapsverificatie voor bankzaken. Lang niet iedereen gebruikt het voor de beveiliging van het elektronisch patiëntendossier (EPD). Terwijl de gegevens van cliënten in de GGZ toch minstens even belangrijk zijn als bankgegevens. Stelt u eens voor wat er kan gebeuren als uw EPD wordt gehackt. De gegevens van uw cliënten in handen van derden, reputatieverlies van uw praktijk en een hoge boete. In dit artikel leggen we uit wat tweestapsverificatie is, waarom het belangrijk is en hoe u dit toevoegt aan HCI GGZ.

 

Wat is tweestapsverificatie?

Andere termen voor tweestapsverificatie zijn tweefactorauthenticatie of 2FA. Bij 2fa is er een tweede stap nodig om ergens toegang tot te krijgen. Daardoor wordt er een extra beveiligingslaag toegevoegd. De eerste stap is vaak het invoeren van gebruikersnaam en wachtwoord (iets dat u weet). De tweede stap is meestal een code op een apparaat dat van u is zoals een mobiel of tablet (iets dat u bezit). Iemand kan dus niet inloggen met uw wachtwoord als hij niet ook dat apparaat heeft.

Een bankpas (iets dat u bezit) in combinatie met een pincode (iets dat u weet) is een voorbeeld van 2fa die iedereen wel gebruikt. Wanneer een van de onderdelen ontbreekt (bankpas of pincode) kan er geen toegang worden verkregen tot de rekening.

Waarom 2FA voor uw EPD?

Uiteraard wilt u niet dat uw cliëntgegevens op straat komen. Bovendien is het gebruik van 2FA volgens de geldende veiligheidseisen van de AVG nodig als u gevoelige persoonsgegevens verwerkt. U riskeert een hoge boete van de Autoriteit Persoonsgegevens als u uw cliëntgegevens onvoldoende beveiligt. Zo ontving een Haags ziekenhuis in 2019 een boete van € 460.000 voor o.a. het ontbreken van 2FA. Dit jaar, 2021, werd een boete van € 440.000 opgelegd aan het Amsterdamse ziekenhuis OLVG, voor het onvoldoende beveiligen van medische dossiers. Ook hier ging het niet goed met 2FA. Medewerkers kregen binnen het netwerk toegang tot patiëntdossiers via alleen een gebruikersnaam en wachtwoord.

Concreet voor u als gebruiker van een EPD betekent dit dat alleen gebruikersnaam en wachtwoord om in te loggen, onvoldoende veilig is. U dient via 2FA een tweede stap toe te voegen.

2FA in HCI GGZ

In HCI GGZ kunt u op de volgende vier manieren een extra stap toevoegen.

1 Via een authenticator (TOPT)
Een authenticator is een app die een code genereert. Bekende apps zijn Google AuthenticatorMicrosoft Authenticator en Authy.

2 Via een YubiKey
Een Yubikey ziet er uit als een USB stick. U steekt hem in de usb poort van uw computer. En voor telefoons die Near Field Communication (NFC) ondersteunen kunt u de YubiKey ook tegen uw telefoon houden. Vervolgens raakt u hem aan om in te loggen.

3 Via SMS
Via sms ontvangt u een code op uw telefoon.

4 Via mail
U ontvangt een code via uw email.

De handleiding voor het instellen van deze methodes vind u in ons supportportaal trompbx.topdesk.net. Zoek hier bijvoorbeeld op ‘2fa’.

Welke 2FA methode gebruiken?

2FA via email is het minst veilig. Als iemand bij uw email kan, kan hij via de wachtwoordherstellink met wachtwoord inloggen in HCI GGZ en vervolgens bij de authenticatiecode die per email verstuurd is.

Via SMS is veiliger dan email. Maar het kan een probleem zijn als u uw telefoon niet bij u heeft of kapot of leeg is, of als er een storing is bij de SMS provider.

Een YubiKey is veilig maar ook een probleem als u die niet bij u heeft of kwijt raakt. Het is daarom het fijnst om er twee te hebben voor het geval er één kwijt raakt. Een YubiKey moet gekocht worden.

Een authenticator is veilig en makkelijk in het gebruik en gratis. Ook hier kan het een probleem zijn als u uw telefoon kwijt bent of een nieuwe telefoon hebt. Kies daarom een authenticator die op meerdere apparaten te gebruiken is en een goede backupoplossing heeft. Authy is zo’n authenticator met een versleutelde backuplossing en is zowel op uw laptop als op uw telefoon te gebruiken. Als u Authy op twee apparaten installeert is het geen probleem als u bijvoorbeeld uw telefoon vergeten bent. Of als u een nieuwe telefoon heeft, zet u de accounts gemakkelijk over met de backups.
In het volgende artikel zullen we het gebruik van Authy in meer detail uitleggen.

Conclusie

2FA voegt een extra beveiligingslaag toe. Indien u persoonsgegevens verwerkt, zoals met een EPD het geval is, dient u 2FA te gebruiken.

Email is de minst veilige authenticatiemethode. Indien u nog geen tweede authenticatiemethode gebruikt, is de authenticator Authy een veilige en gebruiksvriendelijke oplossing.

 

 

 

Overig nieuws

Bezoek ons op de Zorg & ICT beurs, In charge of the Future, van 13 t/m 15 juni

Zorg & ICT is hét grootste health tech event van Nederland en is de jaarlijkse ontmoetingsplek voor duizenden ...

Een authenticator gebruiken met HCI GGZ

Zoals u in het artikel “Uw EPD beveiligen met tweestapsverificatie” heeft kunnen lezen, dient u ...

Waarom kiest Vicino voor HCI GGZ?

HCI GGZ is vanaf 1 januari 2022 het nieuwe EPD voor GGZ-aanbieder Vicino. HCI GGZ Client Portal wordt het portaal ...

Wat is een sterk wachtwoord en hoe slaat u het gemakkelijk en veilig op

Gebruikt u nog geen wachtwoordmanager? U bent niet de enige. Uit een enquête van Google blijkt dat slechts 24% een ...

Het ZPM in HCI GGZ

Zorgprestatiemodel Algemene informatie over het ZPM kunt u vinden op de site die de NZa hierover heeft ...

Praktijk Zij aan Zij laat zien hoe zij werkt met aanmeldingen via de website

Voor Praktijk Zij aan Zij heeft Sandra van Zanten van GGZ-sites een nieuwe website gebouwd. Daarbij is ook ...

MedMij-label voor HCI GGZ

Eén van de eerste EPD's met MedMij-label Tot dusver hebben al 28 PGO’s het MedMij-label gehaald. Maar om ...

Overstappen op een nieuw EPD

Het wisselen van EPD is als een verhuizing.De nieuwe woning is met zorg gekozen om te voldoen aan alle wensen ...

Digitaal inzage geven in dossier

Per 1 juli 2020 is het wettelijk verplicht om patiënten elektronisch toegang te geven tot de eigen medische ...

SMS herinnering reduceert no show

Iedere zorginstelling heeft last van no show. Door het versturen van SMS herinneringen wordt het mogelijk om ...

Abonneer u op onze nieuwsbrief

Blijf op de hoogte van de laatste ontwikkelingen en meld u aan.