Het Kennemer Gasthuis heeft een koppeling tussen fysieke en logische toegang met 'single sign on' gerealiseerd. Gebruikers loggen in door hun pas langs de lezer te halen. Wanneer ze eenmaal ingelogd zijn kunnen zij hun openstaande sessie zelfs meenemen naar een andere pc. Door hun pas wederom tegen een lezer te houden, hebben zij binnen enkele seconden weer toegang tot hun openstaande applicaties.
Het Kennemer Gasthuis (KG) is op 1 juli 1991 ontstaan uit de fusie van de Haarlemse ziekenhuizen St. Joannes de Deo, het St. Elisabeth’s of Groote Gasthuis en het Zeeweg Ziekenhuis in IJmuiden. Het KG heeft ruim 2600 medewerkers, waarvan zo’n achthonderd dagelijks gebruik maken van de belangrijkste zorgapplicaties waaronder ZIS (Ziekenhuis Informatie Systeem), PACS (Picture Archived & Communication System) en epd (elektronisch patiënten dossier). Om ervoor te zorgen dat nieuwe gebruikers direct toegang hebben tot de applicaties en dat gebruikers privacygevoelige gegevens niet langer kunnen benaderen wanneer zij uit dienst treden, wilde het ziekenhuis het user beheer proces formaliseren. Manager ICT & Medische Techniek, Gerard Hensels, kijkt terug op deze situatie: ‘Destijds legden onze accountant druk op het op orde brengen van diverse processen, waaronder changeprocessen en autorisatiebeheer. Het user- en toegangsbeheer was toen een weinig transparant proces. Er kwamen veel handmatige handelingen en zelfgebouwde scripts aan te pas en wijzigingen konden slechts door een tweetal personen worden uitgevoerd. Daarom besloten wij zowel de processen rond het user- en toegangsbeheer te formaliseren als ook de techniek die daarmee gepaard gaat.’
Robuust autorisatieproces
Na inventarisatie van mogelijke oplossingen koos Gerard Hensels voor User Management Resource Administrator (UMRA) van Tools4ever. ‘Met deze identity & access management software is in eerste instantie een koppeling gerealiseerd tussen ons hr-systeem Beaufort en het netwerk. Nieuwe medewerkers worden nu eerst bekend gemaakt in Beaufort. De software maakt vervolgens automatisch een user account aan en de medewerker ontvangt vervolgens een brief met de Windows credentials. Een user account wordt dus alleen aangemaakt wanneer er een contractuele relatie bestaat tussen het ziekenhuis en de medewerker en daarmee hebben wij uitgesloten dat medewerkers zonder geldig contract een user account en toegangsrechten op applicaties hebben. We beschikken zo over een goedlopend en robuust user beheer proces.’
De autorisaties tot overige bedrijfssystemen, zoals de diverse zorgapplicaties, wordt overigens nu nog via zelfgebouwde scripts gerealiseerd. De wens van Hensels, maar ook van de accountant, is om die autorisaties binnenkort via Role Based Access Control (RBAC) te laten verlopen. ‘Op dit moment is ons autorisatiemodel voor onze belangrijkste bedrijfsapplicatie, het ZIS/EPD, echter nog te complex om te automatiseren’, aldus Hensels. ‘De leverancier heeft ons geadviseerd om het huidige autorisatiemodel te simplificeren, zodat we het aantal rollen en autorisaties overzichtelijker maken. Daar zijn wij nu stappen mee aan het maken.’
Desktop Virtualisatie
Momenteel wordt bij het Kennemer Gasthuis een nieuw werkplek concept uitgerold. Dat houdt in dat het ziekenhuis gaat werken op basis van server based computing in combinatie met desktop virtualisatie. Dit concept wordt gerealiseerd door it-dienstverlener Login Consultants en houdt onder andere in dat het ziekenhuis over gaat naar een Microsoft-only omgeving (Microsoft Remote Desktop Services (RDS)). Daarnaast wordt in samenwerking een single sign-on oplossing geïntroduceerd. De RDS-omgeving wordt gemanaged met Automation Machine for Hosted Desktops, waarmee het beheer drastisch wordt vereenvoudigd. Door middel van een MIFARE-toegangspas kunnen gebruikers eenmalig met een pincode inloggen op het netwerk. Dankzij single sign-on hebben zij direct toegang tot alle voor hen beschikbare applicaties zonder per applicatie opnieuw in te hoeven loggen. Gedurende de dag kunnen zij vervolgens eenvoudig en snel in- en uitloggen door de toegangspas tegen een kaartlezer te houden.
Door de werkplek te virtualiseren en gebruik te maken van een single sign-on oplossing, hebben de medewerkers de vrijheid om snel, veilig en eenvoudig te wisselen tussen werkplekken. Doordat applicaties en data vanuit één centrale plek kunnen worden beheerd en geüpdatet, kunnen nieuwe ontwikkelingen eenvoudiger en sneller worden doorgevoerd, zonder dat dit invloed heeft op de productiviteit van de gebruiker. Door het beheerproces te automatiseren met Automation Machine for Hosted Desktops, is het beheer goedkoper, eenvoudiger en efficiënter.
Hensels vertelt over de behoefte: ‘Onze zorgverleners hadden te maken met lange opstarttijden voor hun applicaties en gebruikten daarom allerlei work-arounds om te vermijden dat zij steeds weer moeten in- en uitloggen. Bijvoorbeeld door onder elkaars account te werken of wachtwoorden op te schrijven.’
Momenteel draait Kennemer Gasthuis een test met ongeveer honderd gebruikers die hun MIFARE toegangspas gebruiken om in te loggen op het netwerk. Gebruikers authentiseren zich één keer door hun toegangspas langs de lezer te halen en hun pincode in te voeren. Dankzij desktop virtualisatie kunnen artsen en verpleegkundigen hun openstaande sessie meenemen naar een andere kiosk-pc. Gedurende hun hele dienst kunnen zij snel en eenvoudig in- en uitloggen op hun virtuele desktop door hun badge tegen de kaartlezer te houden. Na de test wordt dit concept voor vrijwel al het ziekenhuispersoneel beschikbaar gemaakt.
‘Die snelheid en het gebruikersgemak is met name op afdelingen die onder tijdsdruk staan, bijvoorbeeld de spoedeisende hulp of artsen op patiëntbezoek, een groot goed. Daarnaast beschikken wij nu over een zeer veilige manier om in te loggen en toegang tot gevoelige informatie over patiënten te beschermen.’
Wachtwoordbeleid
Het ziekenhuis gaat binnenkort, omwille van wetgeving, het wachtwoordbeleid strikter maken. Dat betekent dat medewerkers die nog niet inloggen met pas en pincode of bijvoorbeeld vanuit huis werken, complexere wachtwoorden moeten hanteren en onthouden. Hensels verwacht daardoor een toename van het aantal wachtwoord reset calls naar de helpdesk en dat is de reden dat ook een self service wachtwoord reset oplossing is geïmplementeerd. Daarmee kunnen eindgebruikers zelf hun wachtwoord resetten, zonder tussenkomst van de helpdesk.
Op zich een leuke stap, nu ook nog het telefoongesprek meenemen naar de andere desktop…., net zo als de datasessie, dan is het compleet.