Op dit moment is het BeterDichtbij platform tijdelijk niet bereikbaar, i.v.m. gepland onderhoud. Vanaf zaterdagmiddag 7 november kunt u BeterDichtbij weer gebruiken.

“Vaak vinden klanten veiligheid een lastig onderwerp. Voor BeterDichtbij geldt dat niet”

Als het gaat over online zorgdiensten, dan rijst vaak al snel de vraag: hoe is de dienst beveiligd en de privacy gewaarborgd? En terecht, veiligheid is cruciaal voor een goede arts-patiënt-relatie. Maar hoe waarborg je de veiligheid en de privacy van gebruikers? Sander Nieuwenhuis is security manager bij Mirabeau, de digital agency die het design en de techniek voor de app BeterDichtbij verzorgde. Hij vertelt: “Als er medische gegevens worden uitgewisseld, raden we altijd extra veiligheidsmaatregelen aan.”

Sander Nieuwenhuis Mirabeau security manager

Door Erica Bouma

Je bent bij veel projecten van Mirabeau de veiligheidsmanager, wanneer gaat veiligheid een rol spelen in het ontwikkeltraject?

“We gaan altijd al direct met de klant om tafel zitten om het belang van security te bespreken. Wat vindt de klant belangrijk en hoe gaan we bij Mirabeau om met veiligheid? Dat doen we via een workshop over security. Hierin stellen we samen met de klant het risicoprofiel vast: voor een informatieve website zonder contactformulieren is die bijvoorbeeld laag, maar als er gegevens worden uitgewisseld, zoals bij BeterDichtbij medische gegevens, dan is het risicoprofiel in ieder geval midden of hoog.

In het security framework worden vervolgens onder meer de beveiligingsmaatregelen beschreven. Deze worden in een tweede workshop bij de klant getoetst. En de programmeurs en engineers van Mirabeau nemen de maatregelen vervolgens als basis bij het schrijven van de code en de keuze voor de inrichting van onderliggende servers waar data wordt opgeslagen.”

Veiligheid speelt dus al vanaf het begin een grote rol, hoe is dat bij de ontwikkeling van de app BeterDichtbij verlopen?

“Vaak vinden klanten veiligheid een lastig onderwerp. Voor de Samenwerkende Algemene Ziekenhuizen (SAZ, de initiatiefnemer van BeterDichtbij, red.) was dat niet het geval. Er was al grondig nagedacht over veiligheidsmaatregelen. BeterDichtbij is in het hoogste risicoprofiel geplaatst, wat betekent dat we aanvullende veiligheidsmaatregelen treffen.

Voor de ontwerpfase en technische ontwikkelingen zijn meerdere grondige checks gedaan aan de hand van verschillende standaarden in en buiten de zorgsector. Deze vier richtlijnen zijn de basis geweest voor de beveiliging van BeterDichtbij: de norm “ICT beveiligingsrichtlijnen voor Webapplicaties” van het National Cyber Security Center, de UM09 norm van Zorgverzekeraars Nederland, de praktische uitwerking hiervan van Patiënt en eHealth en de “Medische App Checker” van artsenfederatie KNMG.”

BeterDichtbij voldoet dus aan deze vier richtlijnen. Maar hoe wordt de veiligheid nu gecontroleerd?

“Om dit helder toe te lichten, is het goed om iets meer te vertellen over hoe BeterDichtbij is ingericht. Aan de ene kant is er de app, waarvoor je je als gebruiker registreert en waarop je inlogt. En anderzijds is er het communicatiesysteem waarmee je een gesprek voert met je arts. Dat communicatiesysteem is Doktr van het bedrijf Medworq. Mirabeau ontwikkelde de app en de midlayer: de koppeling die ervoor zorgt dat het gesprek dat je voert in Doktr verschijnt in de app. Het gesprek wordt steeds als je de app opent via de midlayer uit de Doktr omgeving gehaald en niet opgeslagen. Het gesprek tussen de arts en patiënt wordt alleen opgeslagen door Doktr. De persoons- en inloggegevens van gebruikers in de app worden door Mirabeau beheerd.

Zowel de data in de app en midlayer als in Doktr worden opgeslagen op sterk beveiligde servers die voldoen aan de ISO norm 27001. Dit is een internationaal erkende standaard voor informatiebeveiliging. Er wordt natuurlijk continu gecontroleerd of deze norm nog voldoet en wordt nageleefd, maar BeterDichtbij heeft ervoor gekozen om zelf ook nog controles te laten uitvoeren door externe partijen. Wij raden het ook altijd aan om extra veiligheidsmaatregelen te treffen, zeker bij het uitwisselen van medische gegevens. Doktr wordt bijvoorbeeld getest door ITSec, professionele hackers die Doktr op allerlei manieren aanvallen om zwakke plekken op de sporen. En voor de app is het Deloitte die twee keer per jaar een audit doet.”

De gesprekken worden dus niet opgeslagen op de smartphone van een patiënt.

“Inderdaad. Dat betekent dat een gesprek tussen patiënt en arts niet in verkeerde handen kan vallen als een telefoon wordt gestolen. Bovendien hebben we ook een time-out ingebouwd: als iemand de app BeterDichtbij geopend heeft en 10 minuten lang niet actief is, logt de app de gebruiker vanzelf uit. En er is een verificatie toegevoegd aan het registratieproces. Een gebruiker registreert zich niet alleen met naam en zelf gekozen pincode maar ontvangt per sms vervolgens ook altijd nog een persoonlijke authenticatiecode.”

Wat zijn de consequenties voor veiligheid als BeterDichtbij wordt uitgebreid met nieuwe functionaliteiten?

“Dat hangt natuurlijk af van de functionaliteiten, maar dat zullen we dan altijd nauwkeurig bekijken. Op dit moment is het zo dat BeterDichtbij wordt gebruikt voor een gesprek tussen arts en patiënt die elkaar al kennen. De eventuele diagnose wordt dus al in de behandelkamer gegeven. Maar als BeterDichtbij voor andere doelen wordt ingezet, bijvoorbeeld de diagnose, dan moeten we de standaarden nog eens nader bekijken en wellicht nog andere veiligheidsmaatregelen treffen.”

Je hebt ook veel ervaring in de financiële sector, zijn er grote verschillen met de zorgsector als het gaat om beveiliging en privacy?

“Beide sectoren zien dat beveiliging heel belangrijk is, men ziet de noodzaak om aanvullend te beveiligingen. Dat is in de retail bijvoorbeeld wel anders. De financiële sector is digitaal wel volwassener dan de zorgsector. Daar is al veel meer gemak dankzij digitale diensten. Het is natuurlijk heel prettig om overal je bankzaken te kunnen regelen. Net zoals het veel fijner is om je artsconsult in een app even in te kunnen zien en je recept bij de apotheek digitaal aan te vragen, in plaats van langs gaan of bellen en in een wachtrij terecht komen. BeterDichtbij brengt daar verandering in.”

Over Sander Nieuwenhuis

Sander Nieuwenhuis is security manager bij Mirabeau. Deze digital agency heeft bij de start BeterDichtbij ondersteund bij het design, de techniek en de security maatregelen achter de app. Sander heeft zich in zijn studie aan de TU Delft al gespecialiseerd in ICT. Hij was jarenlang in de ICT werkzaam, onder meer bij het ministerie van Defensie. 5 jaar geleden startte hij als security manager en consultant bij Mirabeau waar hij onder meer voor ING en Transavia werkt. 

Blijf op de hoogte, schrijf u in voor onze nieuwsbrief

Abonneer u nu op de BeterDichtbij nieuwsbrief, net als andere professionals in de zorg. Iedere twee maanden gratis in uw mailbox. En natuurlijk kunt u zich op ieder moment afmelden.