A_Trede2:Beveiliging:Informatiebeveiliging:ToegangSysteem2Factor

SpinDok Advies

Telewerken en 2FA

Doel | wat

Bij telewerken maakt u gebruik van twee-factor-authenticatie (2FA).

Rationale | waarom

U voldoet hiermee gedeeltelijk aan de wettelijke eisen m.b.t. de toegang tot de gegevens. Toegang hoort op persoonlijke titel te zijn, vanwege de traceerbaarheid van handelingen rond het dossier. De patiënt heeft recht op inzage en te weten wie tot zijn dossier toegang heeft gehad. Voor toegang op afstand is twee-factor-authenticatie nodig.

Stappenplan | hoe

Het HIS en KIS lossen dat op met logging, maar dat werkt alleen als op persoonlijk titel wordt gewerkt. Voor op afstand is two factor authenticatie nodig.

Benodigdheden | wie & waarmee

U moet zicht hebben op alle mensen die toegang hebben, medewerkers intern, extern en beheerders. De UZI pas is een vorm van two-factor authenticatie. UZI pas is geen verplichting vanuit informatiebeveiligingen oogpunt, er zijn alternatieven die ook veilig zijn.

Achtergrondinformatie

Toegang tot Patiëntgegevens hoort op persoonlijke titel te zijn, vanwege de traceerbaarheid van handelingen rond het dossier. Dit is een logisch gevolg van de patiënten rechten beschreven in WBP en WGBO, namelijk dat de patiënt recht heeft op inzage en te weten wie tot zijn dossier toegang heeft gehad. Het HIS en KIS lossen dat op met logging, maar dat werkt alleen als op persoonlijk titel wordt gewerkt. Voor toegang op afstand is two factor authenticatie nodig. Vecozo zal voor declaraties binnen afzienbare tijd ook two factor authenticatie gaan eisen bij gebruik van haar diensten. Denk aan de verzekeringscheck. Een organisatie moet zicht hebben op alle mensen die toegang hebben tot patientgegevens, medewerkers intern, extern en beheerders.

De UZI pas is een vorm van two-factor authenticatie. UZI pas is geen verplichting vanuit informatiebeveiligingen oogpunt, er zijn alternatieven die ook veilig zijn.