NEN 7510 & Identity Management: wat zijn de mogelijkheden?

Met de komst van de NEN 7510 norm voor informatiebeveiliging in de zorgsector is Identity Management (IDM) of in de bredere context Identity & Access Management (IAM) een actueel onderwerp geworden binnen zorginstellingen. Het komen tot een adequate informatiebeveiliging vereist een goede en accurate controle op de personen die toegang hebben tot vertrouwelijke informatie, zoals patiëntgegevens. Ook de invoering van het landelijk Elektronisch Patiëntendossier (EPD) en de daarmee samenhangende eisen ten aanzien van een Goed Beheerd Zorgsysteem (GBZ) brengen het onderwerp Identity Management hoog op de agenda bij veel zorginstellingen.

De bewustwording van het belang van een goede Identity Managementoplossing maakt de invoering er nog niet eenvoudiger op. Er zal budget gereserveerd moeten worden en minstens zo belangrijk, een goede implementatie vereist draagvlak binnen meerdere afdelingen van de organisatie. Invoering van Identity Management is immers niet alleen een 'ICT en security-feestje', ook de P&O afdeling en de zorgmanager zijn er bij betrokken. Het onderwerp Identity and Access Management is voor veel mensen echter nog een vaag begrip en de beschikbare informatie is vaak technisch en specialistisch van aard. In dit artikel zal ik het onderwerp Identity and Access Management en de toepassing binnen de zorg toelichten aan de hand van de drie belangrijkste deelonderwerpen.

Identity and Access Management
Het onderwerp Identity and Access Management (IAM) kan onderverdeeld worden in een drietal deelonderwerpen:
• User Account Management
• Password Management
• Single Sign-On (SSO)

Binnen bovenstaande driedeling, komen diverse aspecten aan bod als Auto Provisioning, Fast User Switching, Delegatie, Workflow Management & Self Service en Role Based Access Control (RBAC). Deze termen zullen hieronder toegelicht worden.

User Account Management
User Account Management is van groot belang om een overzicht te houden van wie, waar en wanneer toegang heeft tot informatie. User Account Management richt zich op het beheren van de toegangsrechten tot systemen en applicaties gedurende de gehele levensloop van een medewerker binnen een organisatie. Dit wordt ook wel User Lifecycle Management genoemd. Deze zogenaamde User Lifecycle begint bij de indiensttreding van een medewerker. In de oude situatie wordt deze medewerker door de P&O afdeling of de zorgmanager aangemeld bij de ICT afdeling en maakt een medewerker van de ICT afdeling voor deze persoon een gebruikersaccount aan met de toegang tot de benodigde systemen en applicaties. Denk hierbij aan het aanmaken van een emailaccount, eventuele toegang tot het ziekenhuisinformatiesysteem (ZIS) en bekendmaking bij een systeem voor fysieke toegangscontrole. Door drukte op de ICT afdeling kan de doorlooptijd voor het aanmaken van een gebruikersaccount al snel oplopen tot enkele weken. Met name wanneer men vergeten is om de persoon aan te melden bij de ICT afdeling, kan een dergelijke doorlooptijd hinderlijk zijn en is de nieuwe medewerker de eerste weken verstoken van een inlogaccount.

Middels User Account Management kan het proces van het aanmaken van een user account met de bijbehorende toegangsrechten sterk geoptimaliseerd worden. Zo biedt Auto Provisioning de mogelijkheid om middels een koppeling met het personeelssysteem (bijvoorbeeld Beaufort, AFAS, SAP HR/HCM) automatisch een user account aan te maken. Op basis van Role Based Access Control (RBAC) kan dan gekeken worden welke rechten deze persoon heeft op basis van de rol die de persoon vervult in de organisatie en kan middels een koppeling met de diverse systemen bijvoorbeeld een account aangemaakt worden in het ziekenhuisinformatiesysteem (ZIS). Indien een medewerker gedurende zijn werkzaamheden merkt dat hij of zij nog bepaalde rechten tot shares of applicaties nodig heeft, kan de medewerker deze zelf aanvragen middels een self-service systeem, waarna er een workflow gestart wordt die de betrokken personen langs gaat voor de vereiste goedkeuring en realisatie. Middels delegatie is het mogelijk dat bepaalde user beheertaken van de ICT afdeling naar de zorgmanager gedelegeerd kunnen worden om middels korte lijnen de snelheid van handelen te verhogen. Aan het eind van de User Lifecycle heeft de koppeling met het personeelssysteem als groot voordeel dat na beëindiging van een dienstverband (automatisch) een ontmantelingsprocedure gestart kan worden om te voorkomen dat deze persoon na uitdiensttreding nog toegang heeft tot belangrijke informatie.

Meer informatie over User Account Management kunt u vinden op: Geautomatiseerd user beheer met delegation en auto provisioning vanuit HR-systeem
Voor meer informatie over de koppelingen met personeelssystemen en andere applicaties kunt u kijken op: Koppelingen Beaufort, AFAS, SAP HCM, Active Directory, Exchange, TopDESK, PlanON, Ultimo

Password Management
Een goed wachtwoordbeleid is essentieel om een goede informatiebeveiliging te kunnen waarborgen. Bovendien wordt dit ook geëist bij de NEN7510 normering. Het invoeren van sterke/complexe wachtwoorden biedt een goede stap om de informatiebeveiliging naar een hoger plan te brengen. Een groot nadeel van een complex wachtwoord is dat eindgebruiker deze vaker zal vergeten en vervolgens de helpdesk gaat bellen voor een nieuw wachtwoord. Vaak is het resetten van een wachtwoord al de meest voorkomende helpdesk call en daardoor zal de invoering van een complex wachtwoord leiden tot een sterke stijging van de beheerslast.

Op het gebied van Password Management zijn er diverse oplossingen mogelijk om de beheerslast niet te laten oplopen bij de invoering van een complex wachtwoord. Zo biedt een oplossing als Self Service Reset Password Management (SSRPM) de mogelijkheid aan eindgebruikers om zelf hun wachtwoord te resetten. De eindgebruiker kan haar/zijn wachtwoord resetten (of account unlocken) zonder hiervoor contact op te nemen met de heldesk. Password Complexity Manager (PCM) maakt het mogelijk om voor verschillende groepen van gebruikers de complexiteitsregels voor wachtwoorden apart in te stellen. Mensen die vanuit hun functie geen toegang tot vertrouwelijke informatie hebben, kunnen zodoende gebruik maken van een minder complex en dus makkelijker te onthouden wachtwoord. Met een oplossing als Password Synchronization Manager (PSM) is het tot slot mogelijk om wachtwoorden over verschillende applicaties te synchroniseren om hiermee het aantal te onthouden wachtwoorden voor gebruikers sterk omlaag te brengen. Voor meer informatie over het toepassen van Password Management, verwijs ik u ook graag naar mijn voorgaande artikel: Password Complexity: zorg of zegen?.

Meer informatie over het resetten van wachtwoorden door eindgebruikers treft u op: Laat eindgebruikers zelf hun wachtwoord resetten met Self Service Reset Password Management Software
Informatie over het instellen van afzonderlijke complexiteitsregels voor groepen gebruikers treft u op: Password Complexity Manager - reguleer de complexiteit van passwords en wachtwoorden
Over het synchroniseren van wachtwoorden binnen diverse applicaties kunt u meer informatie vinden op: Synchroniseer wachtwoorden in alle applicaties in uw netwerk met Password Synchronization Manager

Single Sign-On
Het toepassen van Single Sign-On is met name binnen ziekenhuizen op het moment een hot item. Om de te voldoen aan de NEN7510, stappen ziekenhuizen en andere zorginstellingen af van de gebruikelijke groepsaccounts en worden deze vervangen door individuele accounts. In combinatie met de toenemende eisen op het gebied van de complexiteit van wachtwoorden, worden de inlogprocedures meer complex en tijdrovend. Vanuit het oogpunt van security ontstaat een averechts effect: eindgebruikers moeten steeds meer inlog procedures onthouden, wachtwoorden worden complexer en uiteindelijk gaan eindgebruikers hun wachtwoord opschrijven op geeltjes en plakken die op hun beeldscherm of onder hun toetsenbord.

Single Sign-On (SSO) speelt hierop in. Middels SSO hoeft de gebruiker slechts 1 keer in te loggen en voor alle volgende applicaties geen wachtwoord meer in te voeren. Met name in stresssituaties scheelt dit kostbare tijd. Een verder vereenvoudiging van de inlogprocedures kan verkregen worden met Fast User Switching i.c.m. met een gebruikerspas (bijvoorbeeld de UZI-pas), waarmee de gebruiker door middel van het invoeren van de gebruikerspas toegang krijgt tot de gewenste applicaties. Het verwijderen van de pas volstaat om uit te loggen uit de applicaties en de computer beschikbaar te stellen voor de volgende medewerker. Een aanvulling hierop is het Follow-Me principe, waarbij het mogelijk is op een andere computer verder te werken met de openstaande applicaties. Met name voor een specialist die een rondgang doet over de afdeling en op verschillende computers toegang wil hebben tot zijn gegevens, biedt dit een sterke tijdsbesparing.

Meer informatie over de toepassing van Single Sign-On binnen ziekenhuizen kunt u lezen in onderstaande praktijkcases:
- Ziekenhuis Rivierenland: Single Sign On met gebruikerspas noodzakelijk voor NEN 7510
- Zuwe Hofpoort Ziekenhuis: Zuwe Hofpoort Ziekenhuis vindt oplossing voor digitaal onderdeel van NEN 7510

Meer informatie over toepassing van Single Sign-On kunt u vinden op: Single Sign-On: eenmalig inloggen en automatisch toegang tot alle applicaties en resources in het netwerk.

In een volgend artikel zal ik verder in gaan op de voordelen die met het invoeren van Identity Management binnen de organisatie behaald kunnen worden. Dit in combinatie met belangrijke punten voor de Return On Investment (ROI) geeft een goed handvat om een snelle invoering binnen de organisatie mogelijk te maken.