Uw EPD beveiligen met tweestapsverificatie:
waarom en hoe

tweestapsauthenticatie
Iedereen gebruikt tweestapsverificatie voor bankzaken. Lang niet iedereen gebruikt het voor de beveiliging van het elektronisch patiëntendossier (EPD). Terwijl de gegevens van cliënten in de GGZ toch minstens even belangrijk zijn als bankgegevens. Stelt u eens voor wat er kan gebeuren als uw EPD wordt gehackt. De gegevens van uw cliënten in handen van derden, reputatieverlies van uw praktijk en een hoge boete. In dit artikel leggen we uit wat tweestapsverificatie is, waarom het belangrijk is en hoe u dit toevoegt aan CRSInternet.

Deel dit bericht

Share on facebook
Share on linkedin
Share on twitter
Share on email

Wat is tweestapsverificatie?

Andere termen voor tweestapsverificatie zijn tweefactorauthenticatie of 2FA.

Bij 2fa is er een tweede stap nodig om ergens toegang tot te krijgen. Daardoor wordt er een extra beveiligingslaag toegevoegd. De eerste stap is vaak het invoeren van gebruikersnaam en wachtwoord (iets dat u weet). De tweede stap is meestal een code op een apparaat dat van u is zoals een mobiel of tablet (iets dat u bezit). Iemand kan dus niet inloggen met uw wachtwoord als hij niet ook dat apparaat heeft.

Een bankpas (iets dat u bezit) in combinatie met een pincode (iets dat u weet) is een voorbeeld van 2fa die iedereen wel gebruikt. Wanneer een van de onderdelen ontbreekt (bankpas of pincode) kan er geen toegang worden verkregen tot de rekening.

Waarom 2FA voor uw EPD?

Uiteraard wilt u niet dat uw cliëntgegevens op straat komen. Bovendien is het gebruik van 2FA volgens de geldende veiligheidseisen van de AVG nodig als u gevoelige persoonsgegevens verwerkt. U riskeert een hoge boete van de Autoriteit Persoonsgegevens als u uw cliëntgegevens onvoldoende beveiligt. Zo ontving een Haags ziekenhuis in 2019 een boete van € 460.000 voor o.a. het ontbreken van 2FA. Dit jaar, 2021, werd een boete van € 440.000 opgelegd aan het Amsterdamse ziekenhuis OLVG, voor het onvoldoende beveiligen van medische dossiers. Ook hier ging het niet goed met 2FA. Medewerkers kregen binnen het netwerk toegang tot patiëntdossiers via alleen een gebruikersnaam en wachtwoord.

Concreet voor u als gebruiker van een EPD betekent dit dat alleen gebruikersnaam en wachtwoord om in te loggen, onvoldoende veilig is. U dient via 2FA een tweede stap toe te voegen.

2FA in CRSInternet

In CRSInternet kunt u op de volgende vier manieren een extra stap toevoegen.

1 Via een authenticator (TOPT)
Een authenticator is een app die een code genereert. Bekende apps zijn Google Authenticator, Microsoft Authenticator en Authy.

2 Via een YubiKey
Een Yubikey ziet er uit als een USB stick. U steekt hem in de usb poort van uw computer. En voor telefoons die Near Field Communication (NFC) ondersteunen kunt u de YubiKey ook tegen uw telefoon houden. Vervolgens raakt u hem aan om in te loggen.

3 Via SMS
Via sms ontvangt u een code op uw telefoon.

4 Via mail
U ontvangt een code via uw email.

De handleiding voor het instellen van deze methodes vind u in ons supportportaal trompbx.topdesk.net. Zoek hier bijvoorbeeld op ‘2fa’.

Welke 2FA methode gebruiken?

2FA via email is het minst veilig. Als iemand bij uw email kan, kan hij via de wachtwoordherstellink met wachtwoord inloggen in CRSInternet en vervolgens bij de authenticatiecode die per email verstuurd is.

Via SMS is veiliger dan email. Maar het kan een probleem zijn als u uw telefoon niet bij u heeft of kapot of leeg is, of als er een storing is bij de SMS provider.

Een YubiKey is veilig maar ook een probleem als u die niet bij u heeft of kwijt raakt. Het is daarom het fijnst om er twee te hebben voor het geval er één kwijt raakt. Een YubiKey moet gekocht worden.

Een authenticator is veilig en makkelijk in het gebruik en gratis. Ook hier kan het een probleem zijn als u uw telefoon kwijt bent of een nieuwe telefoon hebt. Kies daarom een authenticator die op meerdere apparaten te gebruiken is en een goede backupoplossing heeft. Authy is zo’n authenticator met een versleutelde backuplossing en is zowel op uw laptop als op uw telefoon te gebruiken. Als u Authy op twee apparaten installeert is het geen probleem als u bijvoorbeeld uw telefoon vergeten bent. Of als u een nieuwe telefoon heeft, zet u de accounts gemakkelijk over met de backups.
In het volgende artikel zullen we het gebruik van Authy in meer detail uitleggen.

Conclusie

2FA voegt een extra beveiligingslaag toe. Indien u persoonsgegevens verwerkt, zoals met een EPD het geval is, dient u 2FA te gebruiken.

Email is de minst veilige authenticatiemethode. Indien u nog geen tweede authenticatiemethode gebruikt, is de authenticator Authy een veilige en gebruiksvriendelijke oplossing.

FAQ

Als gebruik wordt gemaakt van een authenticator met backup mogelijkheden zoals Authy is dit geen probleem. Anders moet u de beheerder/helpdesk vragen om een token reset uit te voeren.

Bij het inrichten van de authenticator code is het ook mogelijk om de sleutel te bewaren, door een screenshot van de QR code te maken of de handmatige code te kopiëren. Deze moet dan natuurlijk wel veilig bewaard worden zoals in een wachtwoordmanager.

De beheerder kan dan tijdelijk SMS verificatie uitschakelen of tijdelijk het IP adres van de gebruiker in de whitelist zetten. (IP adres van de gebruiker is in te zien op de login pagina, onder de ‘Wachtwoord vergeten’ link). Ook is het mogelijk om ipv een code per sms een code via email te versturen.
Als u de enige gebruiker bent en dus ook de beheerder, vraag dan Trompbx dit te doen.

De beheerder stelt 2FA hier in: Beheer -> Systeeminstellingen -> Toegang/Beveiliging

Een gebruiker kan de QR-code hier vinden: Hoofdmenu: Gebruikersvoorkeuren -> Tabblad beveiliging

Als een gebruiker bijvoorbeeld gebruik wil maken van SMS ipv een ingestelde authenticator kunt u dit resetten bij haar gebruikersgegevens:
-> Gebruikers -> [Zoek gebruiker] -> Tonen -> Onderaan staat de ‘Authenticator code resetten’ knop.

Staat uw vraag er niet bij? Stel hem in het commentaar hieronder!

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Blijf op de hoogte

Schrijf in op onze nieuwsbrief

Andere artikelen

authenticator voor epd op laptop

Een authenticator gebruiken met CRSInternet

Zoals u in het artikel “Uw EPD beveiligen met tweestapsverificatie” heeft kunnen lezen, dient u tweestapsverificatie (2FA) te gebruiken voor uw EPD. Van de verschillende 2FA methodes is een authenticator een veilige, gebruiksvriendelijke en gratis optie.

In dit artikel leggen we uit wat een authenticator is en hoe u deze gebruikt met het elektronisch patiëntendossier CRSinternet.

sterk wachtwoord maken

Wat is een sterk wachtwoord en hoe slaat u het gemakkelijk en veilig op

Toegang tot uw EPD en tot veel andere software, websites en data, is beveiligd met een wachtwoord. Uiteraard is het van groot belang dat het wachtwoord niet wordt gekraakt of in handen van anderen komt.
Wachtwoorden zijn vaak te simpel, te kort en te voorspelbaar. Uit een datalek van Sony- en LinkedIn-gebruikers bleek dat meer dan de helft van de wachtwoorden gemakkelijk is te kraken. Bovendien wordt vaak hetzelfde wachtwoord voor meerdere accounts gebruikt.

Simpele wachtwoorden zijn een zwakke schakel in de beveiliging van gegevens.
Een wachtwoord moet lang genoeg zijn en voor elke toegang moet weer een ander wachtwoord gebruikt worden. Dat is niet te onthouden en het intikken van die lange wachtwoorden kost veel tijd. U kunt uw wachtwoorden opschrijven en goed opbergen. Een nadeel hiervan is dat het toch gezien of gevonden kan worden. Bovendien is het een probleem als u ergens anders bent.

Gelukkig zijn er wachtwoordmanagers. Daarmee kunt u sterke wachtwoorden genereren en veilig opslaan. Bovendien hoeft u ze niet steeds opnieuw in te tikken.

Is CRSInternet het meest geschikte EPD voor uw praktijk?

Probeer het uit!
Met een proefaccount kunt u de software bekijken en uitproberen.

gratis en vrijblijvend

Aanvraag demo-account

Probeer CRS Internet vrijblijvend uit

Hieronder kunt u de gegevens invoeren die wij nodig hebben om een demo-account aan te maken. Na verzenden van de aanvraag krijgt u binnen een werkdag een e-mail met de inloggegevens en kunt u tenminste dertig dagen gebruik maken van uw demo-account.

Door een account aan te vragen, gaat u akkoord met de voorwaarden:
• het account is alleen voor persoonlijk gebruik;
• de inloggegevens mogen niet worden doorgegeven;
• het gebruik is uitsluitend voor evaluatiedoeleinden;
• invoer van gegevens op eigen risico, deze zijn zichtbaar voor anderen;
• ingevoerde gegevens kunnen verwijderd worden.

We zullen u enkele emails sturen met behulpzame tips.

Opgave nieuwsbrief

Als u hieronder uw emailadres opgeeft, wordt u toegevoegd aan de emaillijst van Trompbx. U ontvangt dan informatie over CRS zoals updates of tips.

U kunt zich elk moment gemakkelijk uitschrijven via een link onderaan de email.

Scroll naar top