A_Trede1:Beveiliging:Informatiebeveiliging:ToegangSysteem?

Bart van Pinxteren, SpinDokAdvies

Persoonlijke inlogcode

Doel | wat

Alle praktijkmedewerkers beschikken over persoonlijke wachtwoorden voor toegang tot digitale systemen.

Rationale | waarom

Voor een goede beveiliging van toegang tot interne en externe applicaties en netwerken is het noodzakelijk dat alle medewerkers persoonlijke, sterke en wisselende wachtwoorden gebruiken. Deze uitgangspunten moeten zoveel mogelijk technisch worden afgedwongen.

Stappenplan | hoe

  1. Benoem een kartrekker c.q. portefeuillehouder AVG
  2. Maak werkafspraken en hou daarin rekening met de volgende aandachtspunten:
    1. Toegang tot systemen en applicaties dienen te worden beschermd door middel van toegangscontroles (gebruikersnaam en wachtwoord)
    2. Medewerkers moeten eigen gebruikersnamen en wachtwoorden hebben
    3. Medewerkers dienen hun (persoonlijke) wachtwoorden geheim te houden
    4. Wachtwoorden moeten voldoen aan bepaalde eisen (minimaal aantal tekens, etc.)
    5. Wachtwoorden dienen periodiek te worden aangepast
    6. Bij voorkeur worden aan wachtwoorden gestelde eisen technisch afgedwongen
    7. Controle op bovenstaande punten dient plaats te vinden
  3. Leg werkafspraken vast en maak ze bekend
  4. Evalueer de gemaakte afspraken met enige regelmaat

Benodigdheden | wie & waarmee

  1. Document met werkafspraken
  2. In de arbeidsovereenkomst is een paragraaf hierover opgenomen.

Achtergrondinformatie

Toegang tot Patiëntgegevens hoort op persoonlijke titel te zijn, vanwege de traceerbaarheid van handelingen rond het dossier. Dit is een logisch gevolg van de patiënten rechten beschreven in WBP en WGBO, namelijk dat de patiënt recht heeft op inzage en te weten wie tot zijn dossier toegang heeft gehad. Het HIS en KIS lossen dat op met logging, maar dat werkt alleen als op persoonlijk titel wordt gewerkt.

Voor toegang op afstand is two factor authenticatie nodig. Vecozo zal voor declaraties binnen afzienbare tijd ook two factor authenticatie gaan eisen bij gebruik van haar diensten. Denk aan de verzekeringscheck. Een vooruitstrevende organisatie heeft zicht alle mensen die toegang hebben, medewerkers intern, extern en beheerders.

De UZI pas is een vorm van two-factor authenticatie. UZI pas is geen verplichting vanuit informatiebeveiligingen oogpunt, er zijn alternatieven die ook veilig zijn.