Nieuws

Securityeisen voor mijnCaress

Wat doet PinkRoccade Care eigenlijk aan de beveiliging van de gegevens in mijnCaress? Wat kunt u als zorginstelling doen om te zorgen dat cliëntgegevens zo veilig mogelijk zijn in mijnCaress?

Eind 2021 was de hele wereld in de ban van Log4j2. Een beveiligingsissue in Apache met een gevaarscore 10 uit 10  op het CVSS systeem. Bii deze kwetsbaarheid waren kwaadwillenden in staat om via logging de gehele server van organisaties over te nemen. Een zeer groot aantal bedrijven liep daarmee het risico om gehackt te worden wanneer niet tijdig een nieuwe versie van Log4j2 geïmplementeerd zou worden.  

En wat dacht je van de oorlog tussen Rusland en Oekraïne en de dreigende cyberoorlog? Een cyberoorlog wordt gezien als een nieuwe manier van oorlogsvoering waarbij op afstand, in potentie, grote delen van de maatschappij plat gelegd kunnen worden. Denk bijvoorbeeld aan aanvallen op onze stroomvoorziening of betaalverkeer.  

Deze ontwikkelingen laten meermaals zien dat investeren in een gedegen informatiebeveiligingsbeleid van cruciaal belang is. Voor onze Care markt kan dit zelfs van levensbelang zijn. Maar wat doet PinkRoccade Care eigenlijk aan de beveiliging van de gegevens in mijnCaress? Wat kunt u als zorginstelling doen om te zorgen dat cliëntgegevens zo veilig mogelijk zijn in mijnCaress? 

De veiligheid van cliëntgegevens staat bij PinkRoccade Care hoog in het vaandel. Daarom nemen wij tijdens de ontwikkeling van mijnCaress maar ook tijdens de exploitatie van mijnCaress diverse maatregelen. 

 

Security eisen voor mijnCaress 

De eerste stap naar een veilig elektronisch cliëntendossier wordt al genomen nog vóórdat de eerste regel code van mijnCaress geschreven is: het moment waarop ontwerpers en architecten nadenken over de eisen en wensen voor nieuwe functionaliteiten. Daarin nemen zij ook onze security requirements in mee. Dit is een lijst met eisen voor informatiebeveiliging van mijnCaress. Deze lijst met eisen wordt niet alleen door PinkRoccade Care gebruikt, maar door alle business units die vallen onder het bedrijf PinkRoccade Healthcare. Daarmee gelden deze security eisen dus ook voor PinkRoccade Hosting Services.  

Elke twee jaar worden de security requirements opnieuw onder de loep genomen. Dit doen we niet zelf, maar dit besteden wij uit aan security experts van een onafhankelijk en gerenommeerd security bedrijf. Zij stellen dit document op op basis van internationaal geldende standaarden voor informatiebeveiliging. Denk daarbij aan eisen voor het veilig kunnen inloggen en een veilige connectie tussen front-end en backend.  

Niet alleen op PinkRoccade Healthcare niveau, maar ook op het niveau van ons moederbedrijf Total Specific Solutions (TSS) en Constellation Software (CSI) worden eisen gesteld aan het informatiebeveiligingsniveau van mijnCaress. Deze eisen worden elk kwartaal getoetst in een interne audit.  

 

Security testen door een onafhankelijke en gerenommeerde organisatie 

Security testen uitvoeren op een systeem met veel gevoelige gegevens is een belangrijke en specialistische klus. Hiertoe huren wij een gerenommeerde en gespecialiseerde organisatie in. Voordat wij een release uit brengen, zorgen wij dat de software is onderworpen aan een zogenaamde attack & penetratietest (A&P test). Geen enkele major release verlaat de ontwikkelafdeling zonder dat deze organisatie een A&P test heeft uitgevoerd. De A&P testen zijn onderdeel van een jaarlijkse cyclus bestaande uit één integrale en 2-3 incrementele testen.  

Eenmaal per jaar wordt er een A&P test uitgevoerd op de gehele mijnCaress suite. Dit is een zeer uitgebreide test waarbij elke applicatie, vanuit informatiebeveiligingsperspectief, onder de loep wordt genomen. Daarbij wordt ook gecontroleerd of de security requirements op de juiste manier en consequent zijn geïmplementeerd in de software. Doorgaans plannen we deze test voor de release waarin grote wettelijke wijzigingen (iWLZ of iWMO) zijn opgenomen. Dit is immers de major release die vrijwel alle zorgorganisaties in gebruik zullen nemen.  

De daaropvolgende major releases worden onderworpen aan een zogeheten incrementele A&P test. Het doel van deze test is beoordelen of de nieuw ontwikkelde functionaliteiten nog wel aan de informatiebeveiligingsstandaarden voldoen, zodat er geen nieuwe security problemen opgeleverd worden. Bovendien beoordeelt deze onafhankelijke organisatie ook de ingebouwde oplossingen voor reeds eerder gevonden security bevindingen.   

 

Continu security testen tijdens ontwikkeling 

De trend binnen de ontwikkelafdeling van mijnCaress is om zoveel mogelijk kwaliteit en controle van de software tijdens het ontwikkelen van de functionaliteiten uit te voeren. Hierdoor zouden wij nog vaker en nog eerder in het ontwikkelproces de feedback ontvangen én op een minder arbeidsintensieve manier. De invoering van incrementele A&P testen hebben de feedbackcyclus al aanzienlijk verkort, maar dit kan nóg korter. Onlangs zijn wij daarom gestart om A&P testen op geautomatiseerde wijze op te nemen in ons ontwikkelproces. Er is een Proof of Concept gestart voor onze API. Door een uitbreiding van onze testautomatisering kunnen wij o.a. controles uitvoeren op authenticatie en autorisatie. De organisatie die onze A&P testen uitvoert, ondersteunt ons bij deze implementatie zodat het informatiebeveiligingsniveau van mijnCaress op orde blijft.  In de komende periode zullen wij meer van dit soort concepten onderzoeken en waar mogelijk implementeren in ons ontwikkelproces.  

Door deze aanpak zijn wij continu zo goed als mogelijk op de hoogte van eventuele beveiligingsrisico’s in de software en dichten wij de belangrijkste potentiële beveiligingslekken. 

 

Ook ontwikkelgereedschappen kennen beveiligingsrisico’s 

In het ontwikkelproces gebruiken wij diverse ontwikkelgereedschappen; frameworks, tools en servers. Ook deze gereedschappen kennen potentiële beveiligingslekken. Wij voeren een actief update beleid; wij zorgen waar mogelijk dat we altijd de meest recente versies gebruiken en het beveiligingsrisico zo laag mogelijk is. Het werken met actuele versies van deze software leidt ook nog eens tot stabielere software! 

 

Wat nou als er toch sprake is van een (potentieel) datalek? 

Ondanks alle maatregelen vooraf kan het toch voorkomen dat er sprake is van een mogelijk datalek. In dat geval hebben wij een standaard protocol over hoe wij hier mee om gaan. Onderdelen van dit protocol zijn hoe wij het onderzoek uitvoeren, wie hierbij betrokken is, welke onderzoeksvragen gesteld worden en hoe wij onze klanten hierover informeren. 

 

Advies aan onze klanten 

Over het algemeen lossen wij mogelijke security risico’s op in een major release. In speciale gevallen dichten wij een security risico in een patch. Als dit het geval is, dan communiceren wij dat ook als zodanig aan onze klanten, inclusief een advies om de betreffende patch zo snel mogelijk te installeren. Het updaten van log4j2 was hier een voorbeeld van. In die betreffende periode hebben we meerdere patches van mijnCaress uitgebracht met daarin oplossingen voor het Log4j2 probleem. Het ging hierbij niet alleen om een dringend advies om deze patch in gebruik te nemen, maar zelfs om een dwingend advies.  

Let op: in de release notes communiceren wij niets over opgeloste security bevindingen. Wij willen immers niemand wijzer maken dan nodig is. 

Omdat de meeste security risico’s opgelost worden in een major release, adviseren wij onze klanten om nieuwe major releases zo snel als mogelijk in productie te nemen. Toch kan het ook voorkomen dat er oplossingen voor zeer belangrijke security risico’s opgelost worden in een patch van mijnCaress. In uitzonderlijke gevallen geldt dan het dwingende advies om te installeren. Daarbij moet de betreffende versie geïnstalleerd worden. Als zorgorganisatie helpt het je dan wanneer het verschil tussen jouw huidige productieversie en de te implementeren versie niet zo groot is. Daarnaast is het ook belangrijk om patch releases tijdig in gebruik te nemen. 

Hierdoor zorgen ook onze klanten zelf voor een zo laag mogelijk beveiligingsrisico. Daarnaast adviseren wij onze klanten om hun eigen infrastructuur actueel te houden en aan actief update beleid te voeren. 

nieuws en blogs

Hier vind je meer nieuws items

Wie betaalt, bepaalt: mijnCaress speelt met iPVB-ondersteuning in op wensen cliënt

Binnen mijnCaress is de keuze voor het iPVB opgenomen. Dit levert de zorgaanbieders aanzienlijke voordelen op.

PinkRoccade Care ontwikkelt oplossing om veilig te testen met anonieme data

Dataveiligheid is een belangrijk thema voor PinkRoccade Care en voor haar klanten. De leverancier van mijnCaress heeft daarom samen met Datadash een oplossing ontwikkeld voor het veilig omgaan met privacygevoelige gegevens.

Trainingstool Permento voortaan ook beschikbaar als app

Permento, de digitale opleidingstool die gebruikers ‘on the job’ ondersteuning biedt bij het gebruik van mijnCaress, is voortaan ook als app beschikbaar.

Wie betaalt, bepaalt: mijnCaress speelt met iPVB-ondersteuning in op wensen cliënt

Binnen mijnCaress is de keuze voor het iPVB opgenomen. Dit levert de zorgaanbieders aanzienlijke voordelen op.

PinkRoccade Care ontwikkelt oplossing om veilig te testen met anonieme data

Dataveiligheid is een belangrijk thema voor PinkRoccade Care en voor haar klanten. De leverancier van mijnCaress heeft daarom samen met Datadash een oplossing ontwikkeld voor het veilig omgaan met privacygevoelige gegevens.

events

Upgrade je kennis op onze events

Live partner event CareConnections Connect

Wil jij op de hoogte zijn van de laatste innovaties in de zorg? Of wil je meestemmen over de ontwikkelingen van de ZorgApp? Samen met CareConnections en Tell James organiseren we een unieke dag, speciaal voor onze klanten uit de zorg! 

Live partner event CareConnections Connect

Wil jij op de hoogte zijn van de laatste innovaties in de zorg? Of wil je meestemmen over de ontwikkelingen van de ZorgApp? Samen met CareConnections en Tell James organiseren we een unieke dag, speciaal voor onze klanten uit de zorg! 

Nieuwsgierig geworden?

Wilt u meer weten over ons ECD en de mogelijkheden voor uw organisatie?

Neem contact met ons op, dan vertellen wij u graag meer!