Sterkste Multi Factor Authenticatie (MFA) van Cisco ZorgSpectrum beveiligt patiëntgegevens met Duo Security

wo 24 augustus 2022
Sterkste Multi Factor Authenticatie (MFA) van Cisco ZorgSpectrum beveiligt patiëntgegevens met Duo Security
Security
Premium

De beveiliging van de toegang tot patiëntgegevens is een van de belangrijkste eisen waar zorgorganisaties aan moeten voldoen. Niet alleen om de digitale transitie in goede banen te leiden, maar ook om te voldoen aan de vereisten van het Landelijk Schakelpunt (LSP) en de AVG met betrekking tot beveiligde toegang. ZorgSpectrum koos uiteindelijk voor Duo Security, de Multi Factor Authenticatie (MFA) oplossing van Cisco. Temeer omdat voor de IT-beheerderstoegang en de besturingssystemen van de servers van de zorgorganisatie al gebruik gemaakt werd van het toegangsbeveiligingsplatform van Duo.

ZorgSpectrum moet zich voor de uitwisseling van medische gegevens dus houden aan de vereisten van het LSP. Dit is een streng beveiligde infrastructuur en alle zorgaanbieders in Nederland moeten voldoen aan de bijbehorende technische en organisatorische vereisten voor correcte en veilige uitwisseling van medische gegevens. Zorgaanbieders die via het platform toegang tot de gegevens willen hebben, worden onder meer onderworpen aan audits van hun zorgsysteem en de netwerken.

Daarnaast moet ZorgSpectrum zich natuurlijk ook houden aan de Algemene Verordening Gegevensbescherming (AVG). Voordat er toegang tot applicaties wordt verleend die mogelijk persoonlijke gegevens bevatten, moet de identiteit van gebruikers worden geverifieerd met sterke MFA. Kortom, dit was voor de zorgorganisatie het ideale moment om twee vliegen in een klap te slaan. Met de implementatie en brede uitrol van de Duo Security oplossing van Cisco kon ZorgSpectrum zowel voldoen aan de Nederlandse wetgeving (AVG) als aan de bredere Europese regelgeving.

In stroomversnelling

De implementatie van beveiligde toegang bij ZorgSpectrum raakte in een stroomversnelling tijdens de IT-transformatie van de onderneming. Voorheen was men daarvoor aangesloten bij een groep organisaties in de gezondheidszorg die hetzelfde IT-platform gebruikte. ZorgSpectrum besloot echter zijn eigen weg te gaan. Een radicale stap met als gevolg dat de organisatie niet alleen eigen servers en een eigen desktopervaring voor gebruikers moest opbouwen, maar ook de strategie voor beveiligde toegang moest heroverwegen.

Er was al vraag naar de oplossing nog voordat deze was uitgerold

“Een van de belangrijkste beginselen bij het bouwen van onze eigen IT-omgeving was dat de ervaring voor de eindgebruikers zo eenvoudig mogelijk moest zijn”, vertelt Hans Pruim, ICT-adviseur bij ZorgSpectrum. “In een SSO-omgeving zijn de gebruikers slechts voor één set inloggegevens verantwoordelijk. Ze hoeven niet allerlei verschillende gebruikersnamen en wachtwoorden te beheren en ze krijgen snel toegang tot de informatie die ze nodig hebben. SSO zorgt niet alleen voor een verbeterde gebruikerservaring maar verhoogt tevens de beveiliging van de omgeving.”

Multi Factor authenticatie

Ook was ZorgSpectrum zich ervan bewust dat implementatie van multi-factor authenticatie (MFA) een noodzakelijke stap was voor naleving van de vereisten van het nationale uitwisselingsplatform Landelijk Schakelpunt (LSP), dat beveiligde toegang tot patiëntgegevens mogelijk maakt. Dat leidde ertoe dat de bredere uitrol van Duo Security eerder plaatsvond dan aanvankelijk gepland was. 

“De bredere uitrol van Duo was voor ons een logische stap”, vervolgt Pruim. “Voor onze IT-beheerders was het een bijzonder positieve ervaring en ook onze technische consultants hadden een sterke voorkeur voor deze oplossing.”

Communicatie 

De uitrol van een nieuwe IT-oplossing brengt ook de noodzaak van een substantiële communicatiecampagne met zich mee. Daar was het IT-team van ZorgSpectrum zich volledig van bewust. Om dat in goede banen te leiden, werden ruim voor de geplande uitrol al verschillende communicatiestrategieën uitgerold. Zoals hand-outs met screenshots van de situatie voor en na, om het nieuwe proces voor beveiligde toegang in detail te verduidelijken.

Voordat de brede uitrol van Duo Security van start kon gaan, werd eerst een pilot met een kleine groep gebruikers uitgevoerd. Deze groep zorgde voor gedegen tests van de oplossing en gaf uitgebreide feedback met betrekking tot het proces. 

Pruim: “De verwachting was dat inloggen met MFA moeilijker zou worden en dat hierdoor overlast zou ontstaan. Uiteindelijk is het tegendeel gebleken. De gebruikers in de pilot waren unaniem van mening dat het inlogproces bijzonder eenvoudig was en ze stelden voor deze methode in de productie te gebruiken. De overige gebruikers hoorden over het resultaat en een deel van hen gaf aan dat ze de oplossing ook wilden proberen. Daardoor bevonden we ons in een ideale positie: er was al vraag naar de oplossing nog voordat deze was uitgerold.”

Best practice oplossing

ZorgSpectrum werd op het spoor van Duo gezet door een van de leveranciers van het IT-systeem van de zorgorganisatie. Deze leverancier beval Duo Security al aan al haar klanten aan als de best practice oplossing. Het belangrijkste argument daarvoor was dat een MFA-oplossing het risico van ongeautoriseerde toegang sterk zou verlagen en zou helpen de gevoelige patiëntgegevens te beschermen. De combinatie van deze factoren vormde de aanleiding voor de vervroegde uitrol van Duo.

Voor ZorgSpectrum was het belangrijk dat Duo in alle technologische applicaties geïntegreerd werd. Ook wilde de zorgorganisatie een brede selfservice-functionaliteit voor gebruikers realiseren. Doel daarvan was de belasting van de beschikbare IT-resources zoveel mogelijk te beperken.

Pruim hierover: "De eerste weken na de uitrol hebben we de nieuwe flow gemonitord om eventuele problemen op te lossen. We hebben niets noemenswaardigs opgemerkt, behalve dat onze product owners elke week een paar uur besparen die ze voorheen kwijt waren aan het resetten van wachtwoorden.”

Inmiddels kan gesteld worden dat de implementatie van Duo Security bij ZorgSpectrum een succes is. De verwachte resultaten zijn allemaal behaald:

Naleving van de vereisten van het Landelijk Schakelpunt (LSP) met betrekking tot beveiligde toegang.

Naleving van de AVG.

IT-beheerders besparen een paar uur per week, die ze voorheen kwijt waren aan het resetten van wachtwoorden.  

Duo Security en ZorgSpectrum

Duo Security, onderdeel van Cisco, is leider in multi-factor Authenticatie (MFA) en Secure Access. Duo is een belangrijk onderdeel van het Cisco Zero Trust framework, de meest volledige aanpak om veilig toegang te bieden tot applicaties voor iedere gebruiker, apparaat en locatie. Duo is de security partner voor meer dan 25.000 klanten wereldwijd, zoals Bird, Facebook, Lyft, University of Michigan, Yelp, Zillow en diverse anderen.

ZorgSpectrum is een zorgorganisatie die zich richt op de ondersteuning van mensen die in het dagelijks leven beperkingen ondervinden door een of meerdere chronische aandoeningen. ZorgSpectrum biedt zijn diensten aan in eigen zorginstellingen in de Lekstroom-gemeenten in de provincie Utrecht en bij mensen thuis.

ZorgSpectrum gebruikt de MFA-versie van Duo met Single Sign-on (SSO) functionaliteit voor de belangrijkste applicaties. Het plan is om de toepassing in de nabije toekomst ook uit te rollen voor alle overige applicaties.

Door innovation partner