Iedereen gebruikt tweestapsverificatie voor bankzaken. Lang niet iedereen gebruikt het voor de beveiliging van het elektronisch patiëntendossier (EPD). Terwijl de gegevens van cliënten in de GGZ toch minstens even belangrijk zijn als bankgegevens. Stelt u eens voor wat er kan gebeuren als uw EPD wordt gehackt. De gegevens van uw cliënten in handen van derden, reputatieverlies van uw praktijk en een hoge boete. In dit artikel leggen we uit wat tweestapsverificatie is, waarom het belangrijk is en hoe u dit toevoegt aan HCI GGZ.
Wat is tweestapsverificatie?
Andere termen voor tweestapsverificatie zijn tweefactorauthenticatie of 2FA. Bij 2fa is er een tweede stap nodig om ergens toegang tot te krijgen. Daardoor wordt er een extra beveiligingslaag toegevoegd. De eerste stap is vaak het invoeren van gebruikersnaam en wachtwoord (iets dat u weet). De tweede stap is meestal een code op een apparaat dat van u is zoals een mobiel of tablet (iets dat u bezit). Iemand kan dus niet inloggen met uw wachtwoord als hij niet ook dat apparaat heeft.
Een bankpas (iets dat u bezit) in combinatie met een pincode (iets dat u weet) is een voorbeeld van 2fa die iedereen wel gebruikt. Wanneer een van de onderdelen ontbreekt (bankpas of pincode) kan er geen toegang worden verkregen tot de rekening.
Waarom 2FA voor uw EPD?
Uiteraard wilt u niet dat uw cliëntgegevens op straat komen. Bovendien is het gebruik van 2FA volgens de geldende veiligheidseisen van de AVG nodig als u gevoelige persoonsgegevens verwerkt. U riskeert een hoge boete van de Autoriteit Persoonsgegevens als u uw cliëntgegevens onvoldoende beveiligt. Zo ontving een Haags ziekenhuis in 2019 een boete van € 460.000 voor o.a. het ontbreken van 2FA. Dit jaar, 2021, werd een boete van € 440.000 opgelegd aan het Amsterdamse ziekenhuis OLVG, voor het onvoldoende beveiligen van medische dossiers. Ook hier ging het niet goed met 2FA. Medewerkers kregen binnen het netwerk toegang tot patiëntdossiers via alleen een gebruikersnaam en wachtwoord.
Concreet voor u als gebruiker van een EPD betekent dit dat alleen gebruikersnaam en wachtwoord om in te loggen, onvoldoende veilig is. U dient via 2FA een tweede stap toe te voegen.
2FA in HCI GGZ
In HCI GGZ kunt u op de volgende vier manieren een extra stap toevoegen.
1 Via een authenticator (TOPT)
Een authenticator is een app die een code genereert. Bekende apps zijn Google Authenticator, Microsoft Authenticator en Authy.
2 Via een YubiKey
Een Yubikey ziet er uit als een USB stick. U steekt hem in de usb poort van uw computer. En voor telefoons die Near Field Communication (NFC) ondersteunen kunt u de YubiKey ook tegen uw telefoon houden. Vervolgens raakt u hem aan om in te loggen.
3 Via SMS
Via sms ontvangt u een code op uw telefoon.
4 Via mail
U ontvangt een code via uw email.
De handleiding voor het instellen van deze methodes vind u in ons supportportaal trompbx.topdesk.net. Zoek hier bijvoorbeeld op ‘2fa’.
Welke 2FA methode gebruiken?
2FA via email is het minst veilig. Als iemand bij uw email kan, kan hij via de wachtwoordherstellink met wachtwoord inloggen in HCI GGZ en vervolgens bij de authenticatiecode die per email verstuurd is.
Via SMS is veiliger dan email. Maar het kan een probleem zijn als u uw telefoon niet bij u heeft of kapot of leeg is, of als er een storing is bij de SMS provider.
Een YubiKey is veilig maar ook een probleem als u die niet bij u heeft of kwijt raakt. Het is daarom het fijnst om er twee te hebben voor het geval er één kwijt raakt. Een YubiKey moet gekocht worden.
Een authenticator is veilig en makkelijk in het gebruik en gratis. Ook hier kan het een probleem zijn als u uw telefoon kwijt bent of een nieuwe telefoon hebt. Kies daarom een authenticator die op meerdere apparaten te gebruiken is en een goede backupoplossing heeft. Authy is zo’n authenticator met een versleutelde backuplossing en is zowel op uw laptop als op uw telefoon te gebruiken. Als u Authy op twee apparaten installeert is het geen probleem als u bijvoorbeeld uw telefoon vergeten bent. Of als u een nieuwe telefoon heeft, zet u de accounts gemakkelijk over met de backups.
In het volgende artikel zullen we het gebruik van Authy in meer detail uitleggen.
Conclusie
2FA voegt een extra beveiligingslaag toe. Indien u persoonsgegevens verwerkt, zoals met een EPD het geval is, dient u 2FA te gebruiken.
Email is de minst veilige authenticatiemethode. Indien u nog geen tweede authenticatiemethode gebruikt, is de authenticator Authy een veilige en gebruiksvriendelijke oplossing.