Een tweede artikel in de serie over zorg en informatieveiligheid. Als ict-manager bij een middelgrote zorginstelling heb ik naast veel andere projecten, ook de NEN7510 op mijn bord liggen. Dat brengt mij op het punt van groepsaccounts.
Ja, u leest het goed, het is 2011 en ik schrijf over groepsaccounts. Voordat ik de zorg in stapte dacht ik dat dat niet meer bestond, een werkwijze uit de vorige eeuw. Dat is dus niet zo. Duidelijk een beperking aan mijn kant want het is vanuit de zorg bekeken ook helemaal niet zo vreemd. De groep zorgt voor de client, niet een eenling. En het is dan ook niet relevant wie de administratie bijwerkt, het is de groep. Je deelt het prikbord op de gang, je deelt de planning, je deelt de computer.
Maar daar komt de uitdaging. Want als je als groep alles deelt, dan deel je ook een gebruikersnaam en wachtwoord. Die hang je op naast de computer, zeker als het wachtwoord ook nog af en toe verandert. Het is een stuk onhandiger om zelf een wachtwoord te moeten bedenken, steeds weer in te moeten loggen als je achter de computer kruipt, en weer moet uitloggen als je er achter vandaan gaat. De computer is verplichte kost tegen wil en dank, het is zeker niet je hobby, en elke minuut besteed aan dat ding is een minuut minder aandacht voor de cliënt.
Zie je jezelf als ict-afdeling al aankomen met de mededeling dat vanaf vandaag iedereen elke keer moet inloggen/uitloggen, met eigen wachtwoord dat moet bestaan uit ingewikkelde woorden en tekens, dat ook nog eens elke zes maanden moet veranderen en die je niet mag opschrijven of delen met een ander. Zo’n boodschap brengen is op z’n minst een kenmerk van een beperkt inlevingsvermogen zoals mijn zorggeweten Maria mij al voorzichtig had uitgelegd.
En toch stelt de WBP en de NEN7510 dat we (onder andere) de toegang tot (persoons)informatie goed moeten regelen, en dus niet met een wachtwoord voor de hele groep op een post-it (wat klinkt als een cliché maar het is schrijnende werkelijkheid). Daar zit je dan met je goede gedrag. Je weet wat van it, van beveiliging en van risico management en toch is er geen oplossing uit het boekje.
Een paar overwegingen:
– Awarenesscampagnes in de zorg rond informatieveiligheid hebben in het verleden weinig goede resultaten laten zien, daarnaast kost een goede campagne veel geld, vijftigduizend euro ben je al snel kwijt, en eenmalig is dat niet;
– Het geven van accounts aan iedereen kost licenties, aan e-mail licenties alleen al gauw tienduizende euro’s;
– Het gebruik van ingewikkelde wachtwoorden is contra-productief, mensen schrijven dan zeker hun wachtwoord op want ze maken maar een keer of twee per dag even gebruik van de computer dus het zal niet inslijten..
Als ik dit zo weer eens lees concludeer ik dat ik een oplossing nodig heb die nauwelijks overtuiging nodig heeft, die beperkte meerkosten heeft en simpel in het gebruik is. Maar het kan toch niet zo zijn dat onze instelling de enige is met dit probleem?
Nee, dat zijn we niet. Alleen ben ik een van de weinigen die vanuit een idealistisch oogpunt nog steeds op zoek is naar een goede oplossing. Er is trouwens best wel een oplossing bedacht. Het probleem is alleen dat het een oplossing is die door ict’ers is bedacht. Let wel, ik juich het initiatief toe maar de huidige beperkingen spelen mij parten. Ik spreek hier over de smartcard voor de zorg, de uzi-pas. Ik heb vanuit de zorg gedacht een aantal verbeterpunten voor de uzi-pas bedacht.
Een eerste verbeterpunt: De pas is voorbehouden aan zorgverleners die met cliënteninformatie te maken hebben. Niet iedereen binnen de zorginstelling dus. Er valt dus een deel buiten de boot. Daarmee is de uzi-pas dus geen organisatiebrede oplossing en zou ik dus twee systemen naast elkaar moeten implementeren. Dat is niet handig vanuit beheer- en kostentechnisch oogpunt. Met een bredere toelating, dus in de gehele zorginstelling, wordt de uzi-pas een oplossing.
Een tweede verbeterpunt: De pas is een contact smartcard. Oftewel de gebruiker moet de pas ergens instoppen. En niet te vergeten, de gebruiker moet ‘m er weer uithalen bij vertrek. Dat betekent ook dat de smartcard niet aan een ceintuur of sleutelbos kan hangen. De oplossing zou het gebruik van een contact-less kaart zijn. De dichtstbijzijnde persoon in de buurt van de werkplek wordt herkend, en als je wegloopt logt hij uit. Dat zou het gebruik vriendelijker maken voor de zorg.
Een derde verbeterpunt: De formfactor van de uzi-pas (ik ga nu al uit van een contact-less versie) is een standaard smartcard. Dat is niet direct een handig formaat voor de zorg. Mijn eerste idee was een badge (naamkaartje) te voorzien van de rfid-techniek, maar het dragen van een badge in de zorgomgeving is wellicht nog moeilijker door te voeren dan het gebruik van een wachtwoord van veertig posities. Ik zou een keuzeformaat aanbieden, bijvoorbeeld een naamkaartje, een smartcard formaat of een buisje voor aan de sleutelbos.
Een vierde punt is van financiële aard: het gebruik van de uzi-pas kost een aardig bedrag. De aanschaf (tot voor kort gratis) maar ook de lezer (op kantoor, thuis en onderweg). Niet onlogisch als je kijkt naar de gebruikte technologie. Toch denk ik dat als de belangenverenigingen van het Nederlandse bedrijfsleven zich sterk maken, we door de schaalgrootte een goede standaardoplossing kunnen vinden voor bijvoorbeeld de kaartlezer en de nodige software. Zo hebben we naast het probleem in de zorg ook voor veel andere branches hun uitdaging voor bijvoorbeeld de ISO27000 opgelost.
Vier punten die mij vandaag tegenhouden om een veilige, praktische, vriendelijke en betaalbare oplossing neer te zetten. En nu? Wie het weet mag het zeggen. Ik ga water bij de wijn doen maar blijf toch op zoek naar iets dat acceptabel is voor de gebruiker, betaalbaar voor de instelling en veiliger dan wachtwoorden. En dat laatste is iets al snel.
Biometrie? Ik weet het, ook niet perfect, maar een vingerafdruklezer is niet al te ingewikkeld.
Lastiger is dan dat iedere inlog een eigen mailaccount zou moeten hebben. Licentiekosten? Met open source valt dat probleem weg, plus dat *nix software op mailgebied toch al kwalitatief beter is (IMHO).
Leuk zou zijn als je een persoonlijke inlog (en logging) zou kunnen koppelen aan een groepsaccount met op groepsniveau toegang tot bestanden en mail. Geen idee hoe, ’t is nogal implementatie afhankelijk.
Bedankt voor het meedenken Evert, biometrie (in dit geval fingerprintlezers) heb ik ook wel over nagedacht en dat is op zich in combinatie met een soort pas ideaal als vervanger voor de pincode. Maar in de zorg is dat helaas niet ideaal. De hygiëne vereist soms handschoenen en dan kun je dus niet met een fingerprintlezer aan de slag. En, het afknippen van alleen het wijsvingertopje van de rechterhandschoen schijnt ook al niet acceptabel te zijn ;-).
Je moet niet alleen naar de nadelen kijken, maar ook naar de voordelen. Als een eindgebruiker zijn sessie mee kan nemen in een “follow-me” werkwijze, dan heeft een arts of verpleegkundige meteen relevante gegevens op het scherm. Geen lange inlog procedures, geen tijdverlies, maar onmiddellijk toegang tot de eigen sessie.
5e verbeterpunt: met persoonlijke login-id’s moet je er wel voor zorgen dat de inhoud van het scherm afhankelijk wordt van de locatie en het apparaat waarop men werkt. Je wil geen ZIS toegang geven als men met de iPad op een terras zit, maar wel met een iPAD op zaalronde, bijvoorbeeld. Met ander woorden, je moet de user-workspace managen.
Helemaal mee eens Arie, die voordelen zijn ook niet gering en die zou ik meer kunnen belichten. Wat jij beschijft is voor mij zeker een van de redenen om mij verder te verdiepen in de mogelijkheden van de UZI-pas.
En locatieafhankelijheid is een relevant aandachtspunt waar ik nog niet bij stil had gestaan. In mijn huidige plaatje zal de gebruiker daar zelf z’n verantwoordelijkheid in moeten kennen, maar dat kan inderdaad beter.
Als niet ICTer, maar gebruiker van een groepsaccount,wil ik reageren op het artikel.De door jou beschreven situatie is voor mij zeer herkenbaar.De wettelijke regelgeving omtrent informatieveiligheid is bij een zorgverlener vaak niet bekend, een enkeling daar gelaten.(Men is zich wel bewust dat alle informatie op een veilige manier verwerkt moet worden). Sterker nog, men staat hier niet zo bij stil, want zorg verlenen heeft prioriteit en ICT zorgt voor de nodige ondersteuning. Dat die ondersteuning uit meer bestaat dan hulp bij pc problemen is veelal een grijs gebied. In mijn beleving kan het je mogelijk helpen om de gebruikers inzicht te geven in de betekenis van informatieveiligheid, de wettelijke verplichtingen en wat de risico’s zijn. Op deze manier kan de zorgverlener het nut, functionaliteit, in gaan zien van de wachtwoorden “nieuwe stijl”, want het is een gegeven dat dit gerealiseerd moet worden. Jij wilt water bij de wijn doen, maar dit geldt ook voor de zorgverlener : Mee durven gaan in veranderingen. Het is geen technische oplossing, maar ik wens je heel succes in dit proces. Misschien kan jouw zorggeweten hierin met je meedenken.
In de praktijk blijft het natuurlijk moeilijk om een eenvoudige manier te bedenken die gebruikersvriendelijk is.
Bijv een RFID in de persoonlijke pas van een medewerker en een detector bij elk werkstation die deze persoon de toegang geeft die volgens die RFID geldt. Als deze wegloopt van het station zal deze na enkele seconden weer afgesloten worden.
Voor iedere oplossing is wel een probleem te bedenken! Je gedachtegang is uitsluitend vanuit risico’s geredeneerd. Zolang de risico’s van de werkwijze verantwoord zijn en acceptabel voor het management is het geen probleem.
Misschien moet je hier wel de groep als kleinste entiteit blijven benaderen en hen als groep aanspreken op hun verantwoordelijkheid om dit binnen die entiteit te organiseren.
Jouw oplossingen zijn zoals een ICT-er betaamt ook aardig technisch ingestoken. Een bruikbare werkwijze om tot oplossingen te komen door het vraagstuk om te draaien en/of de mensen zelf te vragen naar ideeen om dit ‘probleem’ van jou op te lossen.
Uiteraard is de opmerking ‘zo doen we dit altijd al’ niet acceptabel.