Topmenu

2FA binnen MC EPD en wellbee

Deel:

De term Twee Factor Authenticatie of 2FA is al langere tijd bekend in het kader van beveiliging van toegang tot persoonsgegevens. Met de komst van de AVG is dit aspect nog belangrijker geworden, met het oog op de veiligheid van patiënt- en persoonsgegevens die in een EPD worden verwerkt. Zoals in het whitepaper “Klaar-voor-de-AVG-in-7-stappen” verder wordt toegelicht, geeft de AVG aan dat de zorgorganisatie verantwoordelijk is om organisatorische en technische beveiligingsmaatregelen te treffen die de verwerkte persoonsgegevens passend beschermen.

In het Privacy en informatiebeveiligingsbeleid van Medicore wordt uitgebreid aangegeven welke mogelijkheden Medicore met MC EPD en wellbee biedt aan haar opdrachtgevers op AVG-vlak. Een nog relatief onbekend onderdeel hiervan is “2 Factor Authenticatie” of 2FA.

Wat is 2FA?

2FA geeft aan dat er bij de identificatie van een persoon of gebruiker twee verschillende factoren worden gebruikt die zijn of haar identiteit kunnen bevestigen. Een traditioneel voorbeeld hiervan is het opnemen van geld bij het pinautomaat. Dat lukt alleen als zowel de bankpas (fysiek bezit) als de juiste pincode (kennis) beschikbaar is. In het geval van toegang tot applicaties is de eerste factor vaak de traditionele combinatie van gebruikersnaam en wachtwoord, maar alleen daarop vertrouwen is eigenlijk niet meer “passend” bij de huidige stand der techniek.  Een wachtwoord is bijvoorbeeld kwetsbaar om meerdere redenen. Mensen hebben de neiging om voorspelbare wachtwoorden te kiezen en het is best gemakkelijk om op iemands toetsenbord mee te kijken en het wachtwoord af te kijken. Het gebruiken van één factor is dus kwetsbaar en de techniek om de loginprocedure veiliger te laten verlopen is inmiddels breed beschikbaar.

De tweede factor moet los staan van de eerste en dus niet iets zijn wat de gebruiker kan/moet onthouden. Bekende voorbeelden hiervan zijn eenmalige tokens die worden verstuurd via SMS of authenticatie apps. Of tokens die gegenereerd worden door een fysiek apparaatje dat een unieke code genereert, zoals ook wel bij internetbankieren wordt toegepast. Maar ook bv. het IP-adres vanaf waar de gebruiker contact zoekt met het systeem kan als een tweede factor worden gebruikt, als dat IP-adres vooraf als veilig kan worden vastgesteld.

2FA is verder een specifieke invulling van het generiekere Multifactor Authenticatie (MFA), waarbij er zelfs meer dan twee factoren nodig zijn om toegang te verkrijgen. Naar mate een systeem beter beveiligd moet zijn, kan het aantal factoren toenemen, met daarbij de bijbehorende eisen aan de gebruikers.

Hoe werkt 2FA binnen MC EPD en wellbee in de praktijk?

Medicore gebruikt zowel IP whitelisting als SMS codes voor 2FA binnen MC EPD en wellbee:

  • IP whitelisting houdt in dat wij het IP-adres vanaf waar de gebruiker toegang vraagt, verifiëren tegen een lijst van veilige/bekende IP-adressen die de zorgverlener met Medicore heeft afgestemd. Als het IP adres geverifieerd is, heeft de gebruiker met de juiste combinatie van gebruikersnaam en wachtwoord direct toegang tot MC EPD en wellbee.
  • SMS codes zijn 2FA tokens die door Medicore worden gegenereerd als een gebruiker vanaf een onbekend IP-adres probeert in te loggen met een gebruikersnaam en wachtwoord. De code wordt via SMS naar het door de gebruiker zelf in wellbee vastgelegde mobiele telefoonnummer verstuurd. Nadat de gebruiker ook deze code invoert, krijgt hij toegang tot MC EPD en wellbee.

Een eerste stap op het gebied van 2FA implementatie in MC EPD is dus om als zorgverlener af te wegen of er IP-restricties van toepassing moeten zijn. Indien dit het geval is, moeten de bekende IP adressen vastgelegd worden, bijvoorbeeld van het hoofdkantoor en alle vaste locaties. Hierdoor kan al een groot deel van alle inlog acties worden geverifieerd. IP adressen kunnen worden doorgegeven aan de servicedesk van Medicore die voor de verdere verwerking in het systeem zorgt.

Vervolgens is het belangrijk om van zo veel mogelijk gebruikers, in ieder geval van alle gebruikers die geen vast en bekend IP-adres hebben, het mobiele telefoonnummer in MC EPD en wellbee vast te leggen. Binnen wellbee kan dit eenvoudig door de gebruikers zelf gedaan worden via het wellbee secure scherm. Dit mobiele nummer wordt gebruikt om bij geactiveerd 2FA en een onbekend IP-adres een code naar de gebruiker te sturen die hij of zij moet invoeren bij het inloggen vanaf een onbekend IP-adres. De gebruiker blijft zelf verantwoordelijk voor het bijhouden van zijn mobiele nummer in wellbee maar een applicatiebeheerder kan hier desgewenst ook hulp bieden.

Wilt u 2FA activeren voor MC EPD en wellbee? Neem contact op met uw accountmanager.

Rob-den-Heijer-Medicore

Auteur
Rob den Heijer, Manager Development

 

2FA