Inleiding
...
Strenge eisen betreffende privacy en informatiebeveiliging (veiligheid, betrouwbaarheid)
Panel borderColor black bgColor WhiteSmoke borderWidth 1px borderStyle solid In het MedMij netwerk worden persoonlijke, privacygevoelige gegevens uitgewisseld. Volgens MedMij is een hoog niveau van informatiebeveiliging van belang voor het vertrouwen in het netwerk. Hier zijn regels voor opgesteld, zie bijvoorbeeld Privacy- en informatiebeveiligingsbeleid. Om het risico op vertrouwensschade te beperken, is Domain Validation niet voldoende. De mogelijkheden tot bijvoorbeeld phishing moeten ingeperkt worden, hier dragen de OV-certificaten aan bij. Eindgebruikers kunnen door het gebruik van OV-certificaten beter controleren een partij te betrouwbaar is, waardoor zij minder snel in de trucs van phishing trappen. Dienstverleners hebben hier zelf veel baat bij, omdat het risico op datalekken verkleind wordt.
Situatie vergelijkbaar met financiële sector
Panel borderColor black bgColor WhiteSmoke borderWidth 1px borderStyle solid Ondanks dat er in de zorg (nog) geen verplichting is voor het gebruik van certificaten van een hoger niveau, kan de vergelijking worden gelegd met de financiële sector. De privacygevoeligheid van uitgewisselde gegevens is binnen het MedMij netwerk is vergelijkbaar met, zo niet hoger dan de uitgewisselde gegevens in de financiële sector. Banken zijn mede door de privacygevoeligheid van gegevens verplicht gebruik te maken van EV-certificaten, een hoger niveau dan OV. De zorgsector en MedMij moeten wel voldoen aan de AVG en de NEN7510/NEN7512. Zo vereist de AVG bijvoorbeeld:
- Duidelijk aanwijsbare en gecommuniceerde verantwoordelijke voor de gegevensverwerking (een organisatie).
- Passende beveiliging
Vragen en opmerkingen:
- Tijdens de expertgroepsessie van 13 januari 2022 werd aangegeven dat het gebruik van OV-certificaten te hanteren is in stelsels met weinig deelnemers. Zo was standpunt dat deze eisen in de financiële sector mogelijk zijn door het lage aantal banken, maar dat in een stelsel als MedMij niet houdbaar is. Volgens MedMij gaat het niet om het aantal organisaties die aan de eisen moeten voldoen, maar om de redenen achter de eis. Betrouwbaarheid is een belangrijk goed in een afsprakenstelsel als MedMij, daar horen passende maatregelen bij. Het gebruik van OV-certificaten hoort hierbij. Daarnaast gaat de vergelijking met het aantal partijen niet op. Er zijn alleen al 40+ Nederlandse banken, die allen aan zwaardere eisen moeten voldoen.
Authenticatie van beide partijen
Panel borderColor black bgColor WhiteSmoke borderWidth 1px borderStyle solid Een hoog niveau van informatiebeveiliging vereist sterke authenticatie van eindgebruiker én de aanbieder van de dienst. De aanbieder moet de eindgebruiker kunnen authenticeren, zodat voldoende zeker is dat de eindgebruiker is wie hij/zij zegt te zijn. De eindgebruiker moet ook de aanbieder kunnen authenticeren. Bij een webapplicatie wordt een aanbieder geauthenticeerd op basis van het gebruikte domein en het bijbehorende certificaat. Hierbij is minimaal een OV-certificaat noodzakelijk, omdat een DV-certificaat deze informatie niet bevat.
- Het standpunt van de deelnemers is dat niemand hier naar kijkt. Het klopt waarschijnlijk dat de meeste eindgebruikers nooit of nauwelijks op het slotje klikken om de details van de beveiliging op te vragen. Maar, moet je de beperkte groep de mogelijkheid volledig ontzeggen, omdat de meerderheid hier geen gebruik van maakt? Met het oog op het gewenste betrouwbaarheidsniveau moet deze mogelijkheid geboden worden aan personen die privacy hoog in het vaandel hebben staan.
OV verplicht volgens VWS, DV acceptabel volgens NCSC en Logius
Panel borderColor black bgColor WhiteSmoke borderWidth 1px borderStyle solid VWS geeft in de beleidslijnen aan dat OV-certificaten het minimaal te gebruiken niveau is voor de beveiliging van webapplicaties. NCSC (en tevens Logius) stelt dat DV-certificaten voldoen voor openbare websites en de meeste andere toepassingen van webcertificaten. Tevens stellen zij dat de meerwaarde van OV-certificaten beperkt is voor toepassingen waarbij een lager niveau geaccepteerd is. VWS stelt zorgspecifieke regels op, NCSC en Logius werken meer vanuit algemene context. Daarom kiezen wij de VWS beleidslijnen aan te houden.
- De verwijzing van de deelnemers naar de NCSC factsheets klopt. Echter kan de tekst op verschillende manieren worden geïnterpreteerd. Zoals de deelnemers de tekst lezen, staat er dat OV-certificaten geen meerwaarde hebben en dat DV voldoet. Er staat in de tekst:
"De meerwaarde van een OV-, EV- of QWAC-certificaat is daarmee beperkt voor toepassingen waar een lager niveau, zoals DV, ook geaccepteerd wordt". Het gaat om deze acceptatie. De meerwaarde van OV, de mogelijkheid van authenticatie van de eigenaar van het certificaat, is volgens Team ontwikkeling noodzakelijk. Ook al wordt er maar beperkt gebruik van gemaakt, toch moet een eindgebruiker de andere partij kunnen identificeren. Daarom kan in het MedMij netwerk het lagere niveau van DV niet worden geaccepteerd.
- De verwijzing van de deelnemers naar de NCSC factsheets klopt. Echter kan de tekst op verschillende manieren worden geïnterpreteerd. Zoals de deelnemers de tekst lezen, staat er dat OV-certificaten geen meerwaarde hebben en dat DV voldoet. Er staat in de tekst:
Proces versus certificaten
Panel borderColor black bgColor WhiteSmoke borderWidth 1px borderStyle solid De doeleinden van het proces (kwalificatie en acceptatie, audits) en het gebruik van certificaten lijken hetzelfde, maar zijn anders. Beiden hebben te maken met de authenticatie van de deelnemers van MedMij. Het proces laat MedMij de partij authenticeren, zodat uiteindelijk het MedMij label kan worden uitgegeven en daarmee bewijst aan de eisen van MedMij te voldoen. Hiermee is voor een eindgebruiker niet te zeggen welke organisatie eigenaar is van een webapplicatie. Authenticatie van de organisatie door de eindgebruiker kan dan ook niet uitgevoerd worden op nadat deze organisatie door MedMij is gekwalificeerd en geaccepteerd. Dat kan alleen door het gebruik van de juiste certificaten en de zekerheid die dit met zich meebrengt.
Reactie op overige vragen en standpunten deelnemers
Panel borderColor black bgColor WhiteSmoke borderWidth 1px borderStyle solid - Volgens deelnemers hebben we te maken met een schijnzekerheid, omdat de eindgebruiker niet weet welke systemen er gebruikt worden. Als bijvoorbeeld een proxy als voordeur gebruikt wordt, kunnen er allerlei verschillende systemen achter staan. Deze stelling klopt. Maar, wat er achter de voordeur gebeurt, dat is de verantwoordelijkheid van de eigenaar van de webapplicatie. Door de eindgebruiker de mogelijkheid te geven te kunnen controleren van wie de voordeur is, weet hij ook wie de verantwoordelijkheid draagt.
- Een aantal deelnemers geeft aan dat in de huidige situatie al gebruikgemaakt wordt van DV-certificaten van Lets Encrypt. Dit is tegen de huidige regels en in de nieuwe situatie tegen de beleidslijnen van VWS. Deze stellen dat de leverancier van certificaten in de zorgsector verantwoordingsplichtig moeten zijn aan de AVG of GDPR en hiermee dus in de EU gevestigd moeten zijn. Lets Encrypt is een Amerikaanse organisatie.
...
Tijdens het acceptatieproces moet worden toegezien dat deelnemers de juiste certificaten gebruiken . Dit geldt voor de systemen die gebruikt worden tijdens het acceptatieproces, maar ook voor de systemen die in productie gebruikt wordenop de productieomgeving. Andere omgevingen mogen wel DV-certificaten gebruiken.
Communicatie
In alle media moet gerefereerd worden naar de juiste beschrijving. Wat dit precies betekent is nog onbekend.
...