jlage 3
Bijlage 3 Gemeenschappelijke Registratie Applicatie
notitie beveiligingsbeleid kankerregistratie
Status
Definitief
Versie / datum
3 / 3 februari 2004
Bestemd voor
LCvT en bestuur VIKC
Auteur
Stuurgroep GRA
1 van 7
jlage 3
Bijlage 3 Gemeenschappelijke Registratie Applicatie
1. Inleiding, over welke gegevens gaat het? Deze notitie gaat over de beveiliging van de gegevens die aan de IKC’s worden toevertrouwd voor de kankerregistratie. De beveiliging ervan is een belangrijk aspect van de zorgplicht van de IKC’s voor deze informatie. Dit belang van beveiliging wordt nog vergroot door het grote risico dat aan ongewenste en ongeoorloofde verspreiding van deze gegevens is verbonden voor het functioneren van de kankerregistratie als zodanig. Daarom is het voor de IKC’s nodig adequate maatregelen te nemen om dit risico te minimaliseren. De introductie van GRA is een belangrijke stap in de richting van standaardisering van werkwijze en techniek van de kankerregistraties van de afzonderlijke IKC’s. de beveiliging zal met deze opwaardering minstens gelijke tred moeten houden. Met de invoering van GRA zal in alle negen IKC’s een nieuwe technische invulling van de gegevensbeveiliging zijn intree doen. Deze vernieuwing was nodig omdat technieken die tot nu toe in de registratieapplicaties werden gebruikt onvoldoende garantie gaven voor een adequate afscherming van de opgenomen privacygevoelige informatie. De nieuwe inrichting van de technische beveiliging is meer gediversifieerd omvattender, en sterker dan die in de voorgaande versies van registratieprogrammatuur. Maar voor bescherming van de privacy is meer dan alleen techniek nodig; de technische invulling moet worden gecompleteerd met organisatorische en procedurele maatregelen om in de praktijk effectief te zijn. Deze notitie betreft alle gegevens die in het kader van de KR worden verzameld. Hieronder vallen: • De registratiegegevens binnen GRA • De registratiegegevens binnen de NKR • De gegevens die in het kader van documentatieprojecten worden verzameld, al of niet aan GRA gekoppeld • De externe gegevenbestanden die worden gebruikt voor controle en verrijking van of toetsing aan de in GRA/NKR beheerde gegevens GBA, CBG, screeningsgegevens, LMR, Palga, enz.). Het gaat zowel om papieren (dossiers enz.) als om (voornamelijk) elektronische gegevens. We gaan er van uit dat onderzoek met geanonimiseerde gegevens wordt uitgevoerd, zodat we voor deze ‘omgeving’ geen speciale maatregelen hoeven nemen. Bij extracties uit de KR voor onderzoeksdoeleinden wordt geen tot personen herleidbare informatie meegegeven. De beveiliging is dus beperkt tot het domein van de KR in engere zin. Deze notitie geeft in het bijzonder een overzicht over de nieuwe technische beveiligingstructuur en de praktische verbeteringen ten opzichte van de huidige situatie. Kort wordt ingegaan op de verschillen met de huidige situatie, en ook wordt aangegeven welke verdere ontwikkelingen worden verwacht. Daarna wordt beschreven welke organisatorische maatregelen moeten worden genomen om de beveiliging in de praktijk van de organisatie adequaat te laten functioneren. Deze notitie is, na behandeling in de stuurgroep GRA, bestemd voor resp. de LCvT en het bestuur VIKC. Doelstelling is enerzijds binnen de IKC’s een adequate, samenhangende en uniforme beveiliging rond de kankerregistratie te bereiken, en anderzijds hiermee de betrokken instanties (zoals ziekenhuizen, patiënten, laboratoria, instellingen van bevolkingsonderzoek) zodanig inzicht te geven in de vigerende maatregelen dat het vertrouwen wordt bestendigd en geen verdere bijzondere regelingen noodzakelijk zullen zijn. Tevens kan het beschreven beveiligingsysteem de basis vormen voor afspraken die in het kader van het ‘bestuurlijke traject’ zullen worden gemaakt om tot standaardisering van de bewerkingsafspraken met de ziekenhuizen enz. te komen.
2. De beveiligingstechniek van GRA Omdat GRA de kern gaat vormen van de KR, gaan we op de vernieuwingen van de beveiliging op dit terrein eerst uitvoerig in. Het begrip ‘gegevensbeveiliging’ betreft in principe zowel de aspecten ‘afscherming’ als ‘beheer’. Met het eerste worden de maatregelen bedoeld die dienen tot beperking van de toegang tot gegevens tot 2 van 7
jlage 3
Bijlage 3 Gemeenschappelijke Registratie Applicatie
de juiste groep personen en de juiste handelingen. De tweede omvat die maatregelen die als doel hebben de gegevens (en de applicatie) ongestoord en juist ter beschikking te stellen en te vrijwaren van risico’s van uitval, verminking of verlies. In deze notitie gaan we uitsluitend in op eerstgenoemd aspect. 2.1
Gegevens
De identificerende kenmerken van patiënten (naam, geboortedatum, geslacht) zijn versleuteld opgeslagen in de database. Er worden gediversifieerde encryptiesleutels gebruikt, namelijk voor ieder locaal werkstation (laptop of vaste pc in de ziekenhuizen), voor iedere RKR (binnen het IKC), en voor de NKR een verschillende. Een encryptiesleutel (in feite een bepaald bitpatroon) is fysiek opgeslagen in een zogenaamde dongle; deze kan in de USB-ingang van werkstation of server worden gestoken, en kan afzonderlijk worden bewaard. Bij synchronisatie worden de brondata (bijv. van de laptop) eerst ontsleuteld met de eigen sleutel, en vervolgens versleuteld met de sleutel van de doelomgeving (bijv. van de RKR) weer opgeslagen. Aftappen tijdens dit proces (bijvoorbeeld via het communicatiemedium of het geheugen) is door de wijze van versleuteling geblokkeerd. 2.2
Toegang tot en encryptie van de registratiegegevens
De privacygevoelige gegevensvelden in de databases zijn zonder de applicatie GRA niet toegankelijk (zie de bijlage voor de specificatie van de geëncrypteerde velden). De applicatie beschikt zelf over een autorisatiemechanisme waarin inlognaam en bijbehorend wachtwoord nodig zijn voor toegang. In het bijzonder de beheerfuncties voor de autorisatie (invoeren en wijzigen van wachtwoorden bijvoorbeeld) zijn ondergebracht in een apart autorisatieniveau dat alleen voor de applicatieverantwoordelijke toegankelijk is. Ter versterking hiervan wordt een ‘dongle’ geïntroduceerd. Dit is een USB-stekkertje dat een streng beveiligde elektronische sleutel bevat; deze dongle kan in de USB-ingang van de pc worden gestoken en vanuit GRA worden uitgelezen. GRA start slechts wanneer de bij het werkstation horende encryptiesleutel kan worden gelezen (uit de dongle). Deze specifieke dongle is slechts vanuit de bijbehorende specifieke installatie van GRA toegankelijk, niet voor andere applicaties. De dongle is persoonlijk, en correspondeert met de gebruikernaam en het wachtwoord van de betreffende gebruiker, en via deze kenmerken met het toegestane autorisatieniveau in GRA. De dongle functioneert dus zowel op het terrein van de versleuteling (het biedt de encryptiesleutel) als op het terrein van de autorisatie (aan de hand van de identificatie van de dongle worden met de autorisatietabel het toegangsrecht en het autorisatieniveau bepaald). Voor toegang tot de applicatie is verder toegang tot werkstation (locaal) of tot het netwerk nodig (binnen het IKC); hiervoor zijn de standaard autorisatiemechanismen (gebruikernaam, wachtwoord) van deze omgevingen ingericht. Ongeoorloofde toegang van buitenaf tot het netwerk op het IKC, bijvoorbeeld een risico bij koppeling met internet, wordt geblokkeerd door adequate beveiliging. Toegangbewaking tot werkstation of netwerk behoort tot de algemene beveiligingsstrategie van het IKC, niet specifiek tot die van GRA. Vandaar dat hierop op deze plaats niet verder wordt ingegaan. De beveiliging rond GRA is echter zodanig ingericht, dat eventuele gebreken in deze ‘buitenste schil’ in redelijke mate worden opgevangen. 2.3
Sleuteldiversificatie
Er worden verschillende electronische sleutels in de dongles geladen. Er zijn geen sleutels die in een ander IKC kunnen worden gebruikt. Ook binnen een IKC is de ideale beveiligingssituatie dat een registartiemedewerker, een dongle en een laptop één-op-één aan elkaar zijn gekoppeld. Maar dit is in de praktijk niet werkbaar omdat een computer door verschillende medewerkers wordt gebruikt. Anderzijds is het onwenselijk dat bij verlies van een dongle om reden van risicobeperking álle installaties van GRA (laptops, vaste werkstations, RKR) moeten worden geherinstalleerd. Daarom zal een IKC een afgewogen indeling moeten maken van de sleuteldiversdificatie voordat tot installatie van GRA en distributie van sleutels wordt overgegaan. Ook kan bijvoorbeeld per ziekenhuis een unieke sleutel worden gecreëerd.
3 van 7
jlage 3
Bijlage 3 Gemeenschappelijke Registratie Applicatie
2.4
Sleutel- en autorisatiebeheer
Voor het effectief zijn van bovenstaande inrichting van de technische beveiliging zijn technische en vooral organisatorische afspraken nodig voor het beheer van encryptiesleutels en autorisaties tot GRA. Er wordt voorzien in een trusted third party (TTP) die zorgdraagt voor het aanmaken, administreren en verspreiden van het sleutelmateriaal. Hiervoor wordt de (externe) technisch beheerder van GRA aangewezen. Deze zorgt voor aanmaak en verspreiding van de dongles naar de IKC’s, en zorgt bij de implementatie van GRA op laptops en netwerken voor de inbouw van het juiste sleutelmateriaal. Beide worden ook door hem onderhouden. Voor inrichting en beheer van de autorisaties van GRA en voor de interne verspreiding van de dongles is de IKC-interne applicatieverantwoordelijke (AV) aangewezen; deze functionaris is aanspreekpunt voor de TTP in het betreffende IKC. Dezelfde AV is degene die de interne GRA-autorisaties instelt en beheert. 2.5
Uitwisseling van bestanden
GRA beschikt over een extractiemogelijkheid om bestanden voor nader statistisch onderzoek te produceren. Hierin worden geen privacygevoelige velden meegegeven. Toch zijn er situaties waarin gewenst is dergelijke gegevens te exporteren: • Lijst met namen • Koppeling aan documentatieprojecten van het IKC die niet in GRA zijn opgenomen • Koppeling aan externe databestanden Deze functies zullen zodanig technisch worden uitgevoerd, dat aan de eisen van privacy worden voldaan en de privacygevoelige gegevens beschermd zijn tegen onbevoegde inzage of gebruik. Namenlijsten, bijvoorbeeld voor het opvragen van patiëntdossiers of ten behoeve van behandelend artsen, zullen onder strak regime kunnen worden afgedrukt en verzonden. Koppelingen kunnen beschikken over de uitgebreide koppelfunctie van GRA, zodat geen persoonsgegevens in de buiten GRA onderhouden bestanden hoeven te worden opgenomen. Levering van electronische bestanden aan derden (bijv. CBG) zal in geëncrypteerde vorm plaatsvinden onder heldere en strakke vooraf afgesproken voorwaarden en procedures (een te ontwikkelen standaardprotocol). Papieren bestanden Gegevens op papier kunnen niet of moeilijk worden geëncrypteerd. Daarom zal de fysieke toegang op alle momenten in de bewerking aandacht krijgen. Dossiers worden niet onbeheerd in vrij toegankelijke ruimten achtergelaten, tijdens vervoer worden speciale maatregelen genomen, enz.
3. Wat is nieuw, en welke zijn de gevolgen? Met de invoering van GRA zal de gegevensbeveiliging op een hoger plan komen. In het bijzonder op de volgende punten zal verbetering worden bereikt: •
De registratiegegevens als geheel zullen niet meer buiten de (GRA-)applicatie om bereikbaar zijn.
•
Er zal geen functie meer zijn die privacygevoelige persoonsgegevens zonder meer naar buiten GRA exporteert (de export van anonieme gegevens blijft ongelimiteerd mogelijk); evenmin zal er buiten GRA meer een routine bestaan die versleutelde gegevens uit de database kan ontsleutelen.
•
Per (groep van) GRA-installatie(s) is binnen het IKC in principe de versleuteling (en de bijbehorende encryptiesleutel) uniek; in de ‘oude’ situatie waren er slechts drie sleutels namelijk voor locaal, regionaal en landelijk.
•
De encryptiesleutel is niet meer kopieerbaar (was dat wel op floppy disk) en is beter beveiligd in de dongle.
•
Het beheer van de technische beveiliging is ondergebracht bij een onafhankelijke en buiten de IKC’s gepositioneerde TTP. Hiermee wordt functiescheiding bereikt.
4 van 7
jlage 3
Bijlage 3 Gemeenschappelijke Registratie Applicatie
Verder zijn de volgende consequenties te noemen: •
Door het ontwikkelen en inbouwen van een koppelingsfunctie binnen GRA zal het toevoegen van het kenmerk ‘is opgenomen in de KR/GRA’ in externe ter vergelijking aangeboden bestanden geheel kunnen plaatsvinden zonder de persoonsgegevens van GRA buiten de GRA-omgeving te hoeven halen. Dit geldt bijvoorbeeld voor de bestanden van de organisaties voor bevolkingsonderzoek. Ook de verwerking van deze informatie binnen GRA en bijvoorbeeld van overlijdensgegevens (GBA) zal geheel binnen de beveiligde omgeving blijven.
•
Documentatieprojecten zullen geheel binnen de GRA-omgeving worden gevoerd; hiervoor is geen externe databank meer nodig.
•
Analyse, onderzoek en statistiek op de registratiegegevens zullen uitsluitend op anonieme data kunnen worden uitgevoerd. Deze activiteiten staan apart van de registratieactiviteiten.
•
Het gebruik van persoonsgegevens voor koppelingen enz. zal conform de wettelijke voorschriften binnen GRA bij het record van de betreffende patiënt worden bijgehouden. Deze registratie is opvraagbaar voor de betrokkene.
De externe bestanden die worden gebruikt voor koppeling met GRA bevatten ook privacy gevoelige persoonsgegevens. Deze bestanden blijven buiten GRA, maar dienen evenzeer zorgvuldig te worden omringd door organisatorische en technische beveiligingsmaatregelen. Minimaal dient te worden gezorgd voor adequate toegangsbeveiliging, tijdige verwijdering, en administratief beheer van installatie, gebruik en verwijdering. De hiermee beschreven koppelingen zijn ‘van buiten naar binnen’ gericht. Hiermee wordt bedoeld dat het hiervoor niet nodig is privacygevoelige informatie naar buiten GRA te exporteren. In de praktijk is het ook nodig ‘naar buiten toe’ te realiseren. Dit is bijvoorbeeld het geval wanneer overlijdensinformatie van het CBG wordt betrokken; hiervoor is immers aanlevering van de NAW’s (naam-adreswoonplaatsgegevens) van de patiënten nodig. In deze gevallen zullen organisatorische en technische maatregelen moeten worden genomen om de beveiliging van de gegevens te waarborgen.
4. Welke organisatorische maatregelen zijn nodig? Organisatie In bovenstaande beschrijving van de beveiliging van GRA bleek al op een enkel punt dat adequate inrichting van de organisatie en heldere afspraken rond beheer noodzakelijk zijn voor een goed werkend beveiligingsysteem. De volgende aspecten moeten worden geregeld: •
Per IKC is één functionaris verantwoordelijk voor inrichting en beheer van het beveiligingsysteem rond GRA; dit is de AV. Deze is uniek aanspreekpunt voor de TTP.
•
De verhouding met en taken van de TTP zijn goed beschreven. In het bijzonder dienen eigendom, licenties, documentatie, versiebeheer en inspectie te zijn geregeld, evenals de procedure van een eventuele overdracht aan een andere TTP.
•
Alle medewerkers van het IKC onderschrijven een privacy statuut, waarin staat omschreven op welke wijze met de informatie en programmatuur wordt omgegaan. Ook het omgaan met papieren informatie wordt hierin geregeld.
•
De medewerkers van de KR en systeembeheer onderschrijven een tweede statuut, waarin is beschreven op welke wijze met de ter beschikking staande dossiers, verwerkingsapparatuur (laptops), beveiligingsinformatie en –apparatuur (dongles), gegevensbestanden en programmatuur wordt omgegaan. Ook wordt beschreven hoe te handelen bij zoekraken bijvoorbeeld van een dongle of pc.
Genoemde aspecten worden in alle IKC’s op identieke wijze vormgegeven. De twee statuten worden ter kennnis gebracht van (L)CvT en ziekenhuizen. Voor speciale gevallen (bijvoorbeeld gegevensuitwisseling met CBG) wordt •
Een apart protocol ontwikkeld.
Ook dit zal aan (L)CvT worden voorgelegd. De betrokken instantie zal het vooraf ter tekening worden
5 van 7
jlage 3
Bijlage 3 Gemeenschappelijke Registratie Applicatie
aangeboden. Operationeel beheer van beveiliging Waakzaamheid op het terrein van de privacybescherming blijft nodig. Daarom is integratie in de beheercyclus van GRA en de managementcyclus van het IKC nodig. Dit kan worden bereikt door dit punt met enige regelmaat op de agenda van de GRA-beheergroep te zetten, evenals op die van het MT van ieder IKC. In dit verband kan tegelijk de relatie met de beveiligingsrol van het algemeen systeembeheer worden gelegd. In geval van aanpassingen van de beveiligingstructuur zullen de bevoegde en betrokken organen worden geïnformeerd c.q. worden verzocht toestemming voor aanpassing te geven. Dit geldt zowel voor de techniek als voor de organisatie. Periodieke inspectie van opzet en functioneren van het beveiligingsysteem door een onafhankelijke instantie kan (periodiek) worden uitgevoerd in opdracht van de (L)CvT.
5. Belangrijkste actiepunten Als uitwerking van het hier beschreven beveiligingschema zijn in hoofdzaak de volgende zaken nodig: •
Algemeen beveiligingstatuut voor de medewerkers van het IKC
•
Beveiligingstatuut voor medewerkers kankerregistratie en ICT-beheer
•
Contractafspraken met TTP en (zo nodig op deze termijn) met partners in het registratieproces (is ook onderdeel van traject 2)
•
Aanstelling en functiebeschrijving van de applicatieverantwoordelijke van het IKC
•
Procedurebeschrijvingen voor aanmaak, uitwisseling en beheer van sleutelmateriaal en autorisaties
•
Periodieke agendering van beveiliging in MT van het IKC en binnen de VIKC (stuurgroep KR en beheeroverleg GRA). Rapportage aan (L)CvT.
Deze zaken zijn aanvullend aan de bewerkingsovereenkomsten met de ziekenhuizen enz. Zij zullen in aanleg door de werkgroep implementatie van GRA worden gerealiseerd. Bij de bouw van GRA zal de verantwoordelijke werkgroep bovengenoemde eisen en functies conform in FO en programmatuur (laten) vertalen.
Bijlage
Overzicht van de geëncrypteerde velden in GRA
Alleen die gegevenvelden in de database van GRA worden geëncrypteerd, waarmee een niet geautoriseerde instantie of persoon bij inbraak in de GRA-database tot identificatie van natuurlijke personen (patiënten) kan komen. Dit kan voorkomen wanneer bijvoorbeeld een bij de registratiewerkzaamheden verloren pc zou worden ‘gekraakt’. Het gaat om de velden die betrekking hebben op (voor)naam, naam partner, adres, geboortedatum, postcode en leeftijd. De betreffende informatie is in de tabellen PATIËNT en TUMOR van de database opgeslagen in de velden (zie FO GRA v.11 bijlage 5, waarin de ARK-velden worden gegeven; deze zullen ook in GRA voorkomen): Pa_geslacht Pa_gebdat *
Pa_voorletter
*
Pa_eganaam (wordt pa_partnernaam)
*
Pa_egavoorvoeg (wordt pa_partnervoorvoeg)
6 van 7
jlage 3
Bijlage 3 Gemeenschappelijke Registratie Applicatie
*
Pa_gebnaam
*
Pa_gebvoorvoeg
*
Pa_adres
*
Pa_postchuis
*
Pa_postcnum Pa_woonplaats Pa_gebland Pa_gebplaats Pa_overldag Pa_overlmnd Pa_overljr
*
Pa_voornaam Tu_postcnum
*
Tu_postchuis
* Deze velden kunnen in principe niet (zonder encryptie) uit de GRA-database worden geëxporteerd; de overige (niet van * voorziene) velden zijn in de database geëncrypteerd, maar zijn specifiek voor onderzoek en statistiek van belang en kunnen daarvoor wel in ‘leesbare’ vorm worden geëxporteerd.
7 van 7
