Architectuur en Control Framework van het platform Zorgportaal Rijnmond

Zorgportaal Rijnmond Architectuur en Control Framework van het platform Zorgportaal Rijnmond 2013, Stichting RijnmondNet Uitgegeven in eigen beheer Marco Zoetekouw, Directeur Stichting RijnmondNet Wijnand Weerdenburg, projectleider programma Zorgportaal Rijnmond Alle rechten voorbehouden. Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand en/of openbaar gemaakt in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of op enige andere manier zonder voorafgaande schriftelijke toestemming van Stichting RijnmondNet. Versie: 1.0 Auteur: Werkgroep Architectuur & Control Framework Zorgportaal Rijnmond Datum: 1 augustus 2013 Rivium Westlaan 13 2909 LD Capelle aan den IJssel T 088 282 0010 info@zorgportaalrijnmond.nl

Inhoudsopgave Inhoudsopgave 2 Management samenvatting 5 1 Inleiding 6 2 Visie 7 3 Algemene inrichtingsuitgangspunten Zorgportaal Rijnmond 9 3.1 Faciliteren van E-Health 9 3.2 Voor de burger en zorgverlener 9 3.3 Informatie toegankelijk maken en bij elkaar brengen, verantwoordelijkheid blijft bij de bron 9 3.4 De rol van het ZPR in het kader van WBP is bewerker 9 3.5 Optimale Informatiebeveiliging en gegevensbescherming 10 3.6 Aansluiting landelijke ontwikkeling 10 3.7 Drempelvrije toegang 11 3.8 Look & Feel 11 3.9 Zorgportaal Rijnmond als programma 12 4 Portfolio Zorgportaal Rijnmond 13 4.1 RSM-izorg 13 4.2 Model van het programma Zorgportaal Rijnmond 13 4.3 Diensten 14 4.4 Relatie diensten, participanten en leveranciers 16 5 Zorgportaal Architectuur principes 17 5.1 Diensten 18 5.1 Informatie 20 5.2 Applicatie 21 5.3 Techniek 22 6 Zorgportaal Control framework 24 6.1 Inleiding 24 6.2 Classificatie 24 6.3 Overzicht van beveiligingseisen 27 6.4 Verbinding Informatie, Applicatie, Diensten & Techniek eisen 35 7 Zorgportaal Technisch framework 36 7.1 Webportaal 36 7.2 Toegangsverlening 37 7.3 Change- en Releasemanagement 40 8 Slotwoord 41 9 Bronnen 42 10 Bijlage - Afkortingen 43 2013 - Stichting RijnmondNet Pagina 2 van 44

Werkgroep Architectuur Naam Wijnand Weerdenburg Organisatie Zorgportaal Rijnmond Dennis Verschuuren Zorgportaal Rijnmond (voorzitter) Niek Poppe Maasstad Ziekenhuis Ben van der Stigchel Erasmus MC Ronald Haze Sint Franciscus Gasthuis Ben den Broeder NetMedical John Boelee Erasmus MC Bjorn Okkerse Star MDC Herwin Jan Steehouwer Intermax Werkgroep Control Framework Naam Wijnand Weerdenburg Organisatie Zorgportaal Rijnmond Dennis Verschuuren Zorgportaal Rijnmond (voorzitter) Jan Willem Schoemaker Erasmus MC Jerry Renten IJsselland Ziekenhuis Hans van Hemert Maasstad Ziekenhuis Marc Koster Albert Schweitzer Ziekenhuis Joran Looij Curamare Wimmo van Geldrop HAP Rijnmond 2013 - Stichting RijnmondNet Pagina 3 van 44

Revisie overzicht Versie datum Comment en wijzigingen 1.5 Augustus 2011 Initiële versie F.J. Groot 2.0 Januari 2012 Rewrite naar aanleiding van feedback EMC. Business model en XaaS als uitgangspunten 2.1 Februari 2012 Verwerken interne feedback en comments 2.2 April 2012 Verwerken inzichten met betrekking tot rollen WBP, BIV classificering, uitgangspunten kerndossier 2.3 Augustus 2012 Release voor algemeen gebruik 2.4 September 2012 Kleine syntactische wijzigingen, correcties aan lay-out en een update van enkele diagrammen. 0.1 24 Januari 2013 Eerste aanpassing naar aanleiding van Architectuuroverleg Zorgportaal Rijnmond Structurering naamgeving, versienummer, et cetera 0.2 06 Februari 2013 Aanpassingen hoofdstuk 1, 2, 3 en voorstel indeling voor hoofdstuk 4. Naar aanleiding van overleg Architectuur 28-01- 2013 (Zie notulen) V0.21 Review Ben van der Stigchel 0.3 13 februari 2013 Aanpassingen hoofdstuk 3 en 4 aan aanleiding van Architectuur overleg 11-02-2013 0.4 21 februari 2013 Aanpassingen naar aanleiding feedback Architectuur overleg BO&HJS 0.41 25 februari 2013 Aanpassingen naar aanleiding feedback Architectuur overleg BS 0.50 27 februari 2013 Aanpassingen naar aanleiding van notulen 25-02-2013. 0.51 28 februari 2013 Samenvoeging documenten Architectuur en Control Framework 0.52 8 april 2013 Bewerking door Niek Poppe. Herschikken principes en technieken 0.53 8 april 2013 Bewerking door Ben van der Stigchel. Accorderen en toevoegen principes en technieken 0.60 9 april Accorderen 0.52+0.53. Toevoegen Hoofdstuk 7, Solutions. 0.61 15 april Aanpassingen naar aanleiding van werkgroep meeting 6 0.70 26 april Versie met verwerkte actiepunten uit werkgroep meeting 6 0.71 29 april Aanpassingen tijdens meeting 7 0.72 8 mei Aanpassingen naar aanleiding van notulen meeting 7 0.80 15 mei Aanpassingen tijdens meeting 8. Herindeling hoofdstuk 6, hoofdstuk 9 toegevoegd. 0.81 26 mei OTAP plaatje toegevoegd + alle ZPR afkortingen vervangen 0.82 28 mei Revisie Ben en Niek 0.83 13 juni Hoofdstuk 7.4 tussengevoegd met compliance statements Erasmus MC uit notitie. 0.84 20 juni Revisie hoofdstuk 7 door Jan Willem Schoemaker 0.90 24 juni Revisie n.a.v. architectuur kerngroep 0.91 24 juni Revisie n.a.v. security officers kerngroep 0.92 26 juni Revisie n.a.v. actiepunten uit werkgroepen 0.93 27 juni Conceptueel gereed 2013 - Stichting RijnmondNet Pagina 4 van 44

Management samenvatting De gezondheidszorg in Nederland gaat steeds meer vraag gestuurd werken en zorgvragers participeren steeds actiever in hun eigen zorgproces. Zorgverleners binnen deze zorgketens of zorgnetwerken gaan steeds meer samenwerken, waarmee de behoefte aan afstemming, communicatie en informatie-uitwisseling toeneemt. Zorgportaal Rijnmond wil hét informatie- en communicatieknooppunt voor preventie, zorg en welzijn in de regio Rijnmond zijn. Door gezamenlijk één raamwerk en virtuele plek te maken wordt voorkomen dat burgers en zorg- en welzijnsverleners voor het vinden van hun informatie zich moeten wenden tot verschillende websites en portalen. Dit document beschrijft de Architectuur van het platform Zorgportaal Rijnmond. Dit document is bedoelt om de markt inzicht te geven welke diensten en producten onder welke kaders geboden worden. Veel initiatieven vinden vele wielen opnieuw uit, om dit te voorkomen geeft dit document participanten en leveranciers inzicht in de mogelijkheden en onmogelijkheden van het platform Zorgportaal Rijnmond. Het document stelt kaders en beschrijft diensten welke kunnen worden afgenomen binnen het platform Zorgportaal Rijnmond. Wat is architectuur. De architectuur van het platform Zorgportaal Rijnmond is een consistent geheel van principes/richtlijnen/standaarden en modellen dat richting geeft aan de inrichting van het platform Zorgportaal Rijnmond op de diensten, informatie-uitwisseling, applicatie en techniek. Op al deze lagen speelt informatiebeveiliging en privacy een rol welke is belegd in hoofdstuk 6 van dit document. Dit document bevat geen technische informatie en is geen implementatiehandleiding. Dit document is generiek genoeg om inzicht te geven aan toekomstige participanten en leveranciers om hen goed, snel en veilig aan te kunnen laten sluiten op het platform Zorgportaal Rijnmond. Dit document beschrijft de aansluitmogelijkheden, kaders, technische kaders en uitgangspunten van het platform Zorgportaal Rijnmond. Voor wie is dit document bedoeld Dit document is bedoeld voor de volgende functionarissen en personen Algemeen en IT Management van bij het Zorgportaal Rijnmond betrokken (en toekomstige) participanten Algemeen en IT Management van bij het Zorgportaal Rijnmond aangesloten (en toekomstige) leveranciers Security officers en/of/ FG s 1 van alle partijen die gebruik maken van het Zorgportaal Rijnmond Algemeen en IT Management van het platform Zorgportaal Rijnmond Interne- en externe Auditors Belanghebbenden en geïnteresseerden in architectuur en compliance in de Zorg 1 Functionarissen Gegevensbescherming zoals omschreven in de WBP 2013 - Stichting RijnmondNet Pagina 5 van 44

1 Inleiding Het Zorgportaal Rijnmond is een platform met informatie, sites en applicaties voor burgers, patiënten, zorgverleners en zorgprofessionals. Het biedt informatie aan burgers en patiënten en faciliteert de uitwisseling van informatie tussen zorgverleners onderling en met zorgprofessionals vanuit de visie Medische gegevens zijn van grote waarde, zijn strikt vertrouwelijk en het eigenaarschap blijft bij de bron. Het Zorgportaal is daarmee een voorziening waarmee burgers en zorgverleners veilig (medische) gegevens kunnen inzien en uitwisselen indien patiënttoestemming is verleend. Het geeft de patiënt of cliënt de regie over zijn eigen zorg en toegang tot de eigen zorg-gerelateerde gegevens. Het Zorgportaal Rijnmond draagt zo bij aan vriendelijke en efficiënte zorg- en hulpverlening en zet de burger centraal. Het Zorgportaal Rijnmond wordt geleverd, beheerd en onderhouden door Stichting RijnmondNet, een organisatie die wordt bestuurd door en werkt ter ondersteuning van zorgverleners en -organisaties. Stichting RijnmondNet is een ZSP (Zorg Service Provider). Stichting RijnmondNet onderhoudt een nauwe samenwerking met regionale ziekenhuizen en andere zorgverleners. In die hoedanigheid organiseert, ontwikkelt en faciliteert RijnmondNet gemeenschappelijke diensten i.e. diensten die niet of moeilijk door individuele zorgverleners ten behoeve van andere zorgverleners of burgers kunnen worden ontwikkeld en aangeboden. 2013 - Stichting RijnmondNet Pagina 6 van 44

2 Visie Om de zorg op de langere termijn toegankelijk, kwalitatief goed en betaalbaar te houden is het noodzakelijk te werken aan innovatie, onder andere op het gebied van e-health producten en diensten. Maar ook voor burgers die nog geen zorg behoeven is het belang van gezondheid en welzijn groot. Sporters die willen weten hoe het met hun conditie is, leefstijladviezen in het kader van preventie, groeicurven voor kinderen, arbo ondersteuning voor werknemers; allemaal voorbeelden waarbij ook e-health producten en diensten een rol kunnen spelen. Het ontwikkelen van e-health producten en diensten wordt op veel verschillende plekken gedaan. Geconstateerd is dat door deze versnipperde aanpak vraag en aanbod rondom innovatie onvoldoende op elkaar aansluiten (Van Wijngaarden, 2010). Enerzijds zijn patiënten die (latent) behoefte hebben aan e-health producten niet op de hoogte van de beschikbaarheid ervan. Anderzijds hebben e- health ondernemers moeite voldoende gebruikers te vinden die de investering rechtvaardigt. Ook is de financiering van e-health initiatieven in het huidige zorgstelsel niet eenvoudig. Het systeem kent perverse prikkels die stimulering van het gebruik van e- health straffen in plaats van belonen. Bijvoorbeeld thuiszorgorganisaties die minder uren in rekening mogen brengen als zij samenwerken met het mantelzorgsysteem die het sociale netwerk van de patiënt intact houden. De wet- en regelgeving rondom e-health is eveneens nog onvoldoende uitgewerkt. Vraagstukken rondom de afweging tussen informatiebeveiliging, bescherming van de privacy van het individu en gebruiksgemak moeten worden uitgewerkt. Met de inzet van e-health ontstaan nieuwe verhoudingen tussen zorgverleners en patiënten/burgers en hun sociale netwerk. Ook de opkomst van een ketenaanpak kan ondersteund worden met e-health. Al deze ontwikkelingen vragen om aanpassing van wet- en regelgeving en afspraken, ook ten aanzien van de inzet en structurele bekostiging van e-health. Waar mogelijk worden in de regio Rijnmond daarvoor allemaal dezelfde uitgangspunten en zoveel mogelijk dezelfde standaarden gehanteerd. Zorgportaal Rijnmond brengt de vraag en het aanbod op het gebied van e-health bij elkaar. In de regio delen de zorginstellingen het uitgangspunt dat op het gebied van informatie-uitwisseling over en met de burger/patiënt niet wordt geconcurreerd met elkaar. Dit betekent dat zorginstellingen op het gebied van e-health met elkaar samen kunnen werken en dat niet iedere instelling het wiel opnieuw hoeft uit te vinden. De budgetten voor e-health en innovatie zijn beperkt, in de regio stimuleert het Zorgportaal Rijnmond dat deze middelen zinvol worden besteed door slim samen te werken en kennis uit te wisselen. 2013 - Stichting RijnmondNet Pagina 7 van 44

Zorgportaal Rijnmond wil hét informatie- en communicatieknooppunt voor preventie, zorg en welzijn in de regio Rijnmond zijn. Door gezamenlijk één virtuele plek te maken wordt voorkomen dat burgers en zorg- en welzijnsverleners voor het vinden van hun informatie zich moeten wenden tot verschillende websites en portalen. Zeker in een regio waar veel verschillende aanbieders zich vinden in een relatief klein geografisch gebied, is de kans dat de patiënt gebruik maakt van verschillende zorg- en welzijnsaanbieders groot. De verwachting is dat in de toekomst door het benoemen van speerpunten voor zorginstellingen en groei van gezondheidscentra samenwerking tussen zorgaanbieders van verschillende organisaties zal toenemen. Juist dan is adequate en veilige informatie uitwisseling over de zorg aan patiënten essentieel. Ook wordt verwacht dat de patiënt en zijn sociale netwerk (o.a. mantelzorgers) steeds meer een regisseur wordt van zijn eigen gezondheid en welzijn en verantwoordelijk zal willen én moeten nemen. Het is belangrijk dat de patiënt en zijn sociale netwerk daarvoor toegang krijgt tot de relevante informatie en zo goed mogelijk wordt ondersteund bij de opgaaf van zelfredzaamheid. E-health levert daar een bijdrage aan, ook met behulp van Domotica. Het grootste deel van de informatie uitwisseling tussen zorgverleners vindt plaats binnen de regio. Landelijke ontwikkelingen gaan traag, vragen veel afstemming en zijn soms politieke processen. Het consortium dat Zorgportaal Rijnmond ontwikkelde denkt binnen de regio sneller tot besluitvorming komen. Vanzelfsprekend wordt ook rekening gehouden met de landelijke ontwikkelingen - in het bijzonder die van de vereniging van zorgaanbieders voor zorgcommunicatie VZVZ - en wordt daar waar mogelijk daarbij aangesloten of het beleid erop aangepast. Om informatiebeveiliging te garanderen is er bewustwording noodzakelijk van de informatieverkeersstromen vanuit de diverse bronnen binnen de architectuur van het Zorgportaal Rijnmond. Om die bewustwording en veiligheid te bieden wordt er binnen het platform Zorgportaal Rijnmond gewerkt op basis van classificatie. Het classificatieproces bepaalt de mate van beveiliging voor een bepaalde remote of local applicatie/dienst. Om bovenstaande te realiseren hebben de participanten van het Zorgportaal Rijnmond gevraagd om een architectuur en control framework document vast te stellen met als doel: Participanten inzicht en overzicht te geven in de keuzes die er gemaakt zijn bij de inrichting van het zorgportaal met betrekking tot diensten, informatie (uitwisseling), applicatie en techniek. Participanten inzicht en overzicht te geven in de keuzes die er gemaakt zijn bij de inrichting van het zorgportaal met betrekking tot compliance en control (veiligheid, wetgeving, normen en kaders). Participanten kunnen met dit kader een afweging maken om gebruik te maken of aan te sluiten bij het zorgportaal. 2013 - Stichting RijnmondNet Pagina 8 van 44

3 Algemene inrichtingsuitgangspunten Zorgportaal Rijnmond Om tot een logische inrichting van Zorgportaal Rijnmond (instantie) te komen zijn er uitganspunten voor de inrichting van het Zorgportaal (portaal) opgesteld. Hierbij is ook gebruikt gemaakt van de E-Health uitgangspunten zoals gedefinieerd door het platform i-zorg. 3.1 Faciliteren van E-Health Het programma Zorgportaal Rijnmond is er om de zorg voor zorgverleners en burgers te ondersteunen en faciliteert dan ook de mogelijkheid om met de zorg en zorgverleners tot een beter zorgproces te komen. Zorgverleners zijn niet altijd op de hoogte van mogelijkheden voor E-Health diensten voor patiënten en patientportalen. Het RSM (hoofdstuk 4.1) zorgt ervoor dat zorgverleners, ICTafdelingen en ICT-leveranciers gelijkwaardige gesprekspartners zijn bij de ontwikkeling van E-Health diensten, zonder direct de techniek in te duiken. Het programma Zorgportaal Rijnmond hanteert RSM model van Nictiz als startpunt voor use cases en programma s van eisen, als communicatiemiddel of als kapstok voor gegevensuitwisseling tussen toepassingen. 3.2 Voor de burger en zorgverlener Het programma Zorgportaal Rijnmond is primair bedoelt voor Burgers en Zorgverlener (= BIG geregistreerde). 3.3 Informatie toegankelijk maken en bij elkaar brengen, verantwoordelijkheid blijft bij de bron Medische gegevens zijn van grote waarde, zijn strikt vertrouwelijk en eigenaarschap en verantwoordelijkheid blijft bij de bron. Informatie moet beschikbaar, uitwisselbaar en integreerbaar zijn. Het Zorgportaal zal voor alsnog geen voorzieningen bieden om de gegevens van de bron te kunnen wijzigen of op te slaan, zie paragraaf 4.4. 3.4 De rol van het ZPR in het kader van WBP is bewerker Het programma Zorgportaal Rijnmond bewerkt informatie in de vorm van kijkdoos (= verwerken) richting (medische) gegevens. het platform Zorgportaal Rijnmond is verantwoordelijk voor het bewerken van medische informatie, aangeleverd door zorgverleners. Het (programma) Zorgportaal Rijnmond heeft niet de rol van verantwoordelijke in de zin van de WBP. Dat impliceert dat er geen functies zullen worden geboden voor het verwijderen, aanpassen, corrigeren van informatie zoals de wet die voorschrijft. Het ZPR heeft wel de rol van bewerker in de zin van de WBP. Hetzelfde geldt voor de aangesloten participanten. De zorgverleners sluiten daarom een bewerkersovereenkomst met de participanten. Deze hebben op hun beurt weer een overeenkomst afgesloten met ZPR. 2013 - Stichting RijnmondNet Pagina 9 van 44

3.5 Optimale Informatiebeveiliging en gegevensbescherming De opzet, architectuur en inrichting van het Zorgportaal zal zodanig zijn dat de informatiebeveiliging en gegevensbescherming van alle betrokkenen optimaal wordt gewaarborgd. De eisen en uitgangspunten van het Zorgportaal worden beschreven in hoofdstuk 6. Binnen het platform Zorgportaal Rijnmond wordt de Nederlandse wet en regelgeving nageleefd (zie bronnen hoofdstuk 9), in het bijzonder NEN7510, NEN7512, NEN7513 en het Richtsnoeren informatiebeveiliging persoonsgegevens van het College Bescherming Persoonsgegevens. NEN7510:2011 integraal toe te passen. http://www.nen.nl/nen-shop/norm/nen-75102011-nl.htm Richtsnoer CBP (gepubliceerd in de Staatscourant) http://www.cbpweb.nl/pages/pb_20130219_richtsnoeren-beveiligingpersoonsgegevens.aspx NCSC whitepaper https://www.ncsc.nl/dienstverlening/expertiseadvies/kennisdeling/whitepapers/ict-beveiligingsrichtlijnen-voorwebapplicaties.html ICT-beveiligingsrichtlijnen voor webapplicaties De ICT beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC) vormen een leidraad voor het veiliger ontwikkelen, beheren en aanbieden van webapplicaties en bijbehorende infrastructuur. De beveiligingsrichtlijnen zijn breed toepasbaar voor ICT oplossingen die gebruik maken van webapplicaties. Hierdoor zijn ze zowel door afnemers, als door dienstaanbieders te gebruiken voor aan- en uitbestedingen, toezicht en onderlinge afspraken. De beveiligingsrichtlijnen zijn mede tot stand gekomen aan de hand van bestpractices van het NCSC in samenwerking met Rijksauditdienst (RAD), Logius, OWASP Nederland, Kwaliteitsinstituut Nederlandse Gemeenten (KING), Belastingdienst, diverse gemeenten en marktpartijen. Het document ICT-beveiligingsrichtlijnen deel 1 bevat een beschrijving van de beveiligingsrichtlijnen op hoofdlijnen. In deel 2 worden de maatregelen verder uitgewerkt en gedetailleerd met voorstellen voor inrichting, beheer en ontwikkeling. 3.6 Aansluiting landelijke ontwikkeling Het programma Zorgportaal Rijnmond wil zoveel als mogelijk aansluiten op landelijke ontwikkeling, zoals bijvoorbeeld OPT-in, IHE-XDS, CCD/CCR etc.. Het programma Zorgportaal Rijnmond kiest hier zoveel mogelijk voor de in Nederland gangbare (Zorg) standaarden. 2013 - Stichting RijnmondNet Pagina 10 van 44

3.7 Drempelvrije toegang Het programma Zorgportaal Rijnmond biedt een drempelvrije, veilige en uniforme aansluiting. Participanten en leveranciers dienen in hetzelfde drempelvrije niveau oplossingen en producten aan te bieden. Dit zodat de participanten ook daadwerkelijk het gevoel hebben vanuit een portaal te werken. Applicaties moeten stijl en functionaliteit gescheiden hebben en aansluiten aan de eisen van platform Zorgportaal Rijnmond, zoals gedefinieerd in de Drempelvrij richtlijnen, zie http://www.drempelvrij.nl 3.8 Look & Feel De vormgeving (look) en de interactieve stijl (feel) van de front end van een website dient te allen tijde te voldoen aan de eisen en wensen van het programma Zorgportaal Rijnmond. Look en feel van de omgeving is afhankelijk van de gekozen ingang door de burger/zorgverlener. 2013 - Stichting RijnmondNet Pagina 11 van 44

3.9 Zorgportaal Rijnmond als programma Het programma Zorgportaal Rijnmond maakt de principiële keuze om geen eigen personeel in dienst te hebben voor beheer en operations. Dit betekent een heldere scheiding in uitbesteding van infrastructuur en datacenter operations (hosting), en het contracteren van beheerpartners voor de verschillende platform en applicatie functies. Figuur 1: Organisatiestructuur Zorgportaal Rijnmond Dit zijn de organisatorische taken en verantwoordelijkheden van Zorgportaal Rijnmond binnen de omgeving Stichting RijnmondNet: Stichting RijnmondNet, bestuurlijk orgaan Het programma Zorgportaal Rijnmond verantwoordelijk voor o Programma Viewer o Programma ReAAL o Instandhouding activiteiten RijnmondNet Verantwoordelijkheden o Continuïteit Compliance en control model o PDCA, Change management Beheer (control structuur) ligt bij Change management o CAB Welke procedures liggen er o Classificatie Partijen die niet kunnen voldoen aan gestelde architectuur en compliance krijgen geen toegang en implementatie op het portaal. 2013 - Stichting RijnmondNet Pagina 12 van 44

4 Portfolio Zorgportaal Rijnmond Het programma Zorgportaal Rijnmond biedt binnen haar portfolio diensten en levert hiervoor een infrastructuur en architectuur. Het programma Zorgportaal Rijnmond streeft hierbij om contracten te onderhandelen met participanten zodat zorgverleners hier optimaal in kunnen participeren en samenwerken. 4.1 RSM-izorg Het programma Zorgportaal Rijnmond maakt gebruik van het RSM-izorg model van Nictiz bij het beschrijven van de architectuur. Dit model is uitgebreid met de communicatie tussen zorgverleners. Bij voorbeeld op basis van IHE, CCR, zorgmail en secure mail. Voor deze systeemfunctie is een aparte categorie uitwisseling gedefinieerd. http://www.nictiz.nl/module/360/755/uitgangspunten%20van%20e- Health%20versie%201.0.pdf 4.2 Model van het programma Zorgportaal Rijnmond Om een goed overzicht te geven van aangesloten participanten, leveranciers en de beschikbare diensten staat e.e.a. in onderstaande figuur uiteengezet. Figuur 2: Overzicht dienstenportfolio Zorgportaal Rijnmond 2013 - Stichting RijnmondNet Pagina 13 van 44

4.3 Diensten Onderstaand een beknopt overzicht van de diensten zoals deze via het platform Zorgportaal Rijnmond worden aangeboden. Het dienstenportfolio is onderhevig aan ontwikkelingen en/of aanvullingen. Toe te voegen diensten worden afgehandeld via Change Management (zie paragraaf 7.3). Een uitgebreide dienst beschrijving is terug te vinden op https://www.zorgportaalrijnmond.nl 4.3.1 Medische Encyclopedie In de Medische Encyclopedie vindt u een overzicht van veel voorkomende ziektebeelden. De Encyclopedie is alfabetisch geordend. Door op de beginletter te klikken van het onderwerp waarover u meer wilt weten, komt u op de juiste pagina terecht. Wilt u diepgaander informatie over bepaalde ziektebeelden, dan kunt u terecht op de website van Merck Manual. Merck Manual is wereldwijd het meest geraadpleegde medische naslagwerk. Indien u een vraag heeft over COPD, darmkanker, diabetes of de schildklier, kunt u hier online een vraag stellen. Deze zal binnen 10 werkdagen beantwoord worden door een arts, gespecialiseerd in het onderwerp van uw interesse. Status: Actueel Classificatie: Laag 4.3.2 ZorgInfo TV Met ZorgInfo TV krijgen patiënten via internet live videovoorlichting over hun ziekte of aandoening. Deze voorlichting wordt gegeven door een zorgverlener. Op dit moment zijn er voor twee patiëntgroepen uitzendingen van ZorgInfo TV. Zorg- Info TV biedt de mogelijkheid voor trainingen/(na)scholing voor zorgverleners ten behoeve van bijvoorbeeld accreditatie van (huis)artsen, apothekers(assistenten), et cetera. Status: Actueel Classificatie: Afhankelijk van de toepassing 4.3.3 Zelfmanagement Dagboeken De zelfmanagement dagboeken zijn voor patiënt en zorgverlener(s). Elk ziektebeeld is anders; daarom is er voor elk ziektebeeld een eigen programma. Kies uw eigen dagboeken uit en houd zo uw voortgang bij. U kunt uw arts mee laten kijken en dan bv vragen stellen. Status: Actueel Classificatie: Hoog 4.3.4 Zorgsite voor mantelzorgers De Zorgsite is een handig hulpmiddel voor mensen die zorgen voor een ander. Via de Zorgsite kunt u alle taken gemakkelijk organiseren, zodat er tijd overblijft voor het échte werk: er zijn voor degene die u nodig heeft. Status: Actueel Classificatie: Hoog 2013 - Stichting RijnmondNet Pagina 14 van 44

4.3.5 Digitale Vraagwijzer VraagWijzer geeft gratis advies en informatie over bijvoorbeeld zorg, persoonlijke problemen, brieven en activiteiten in uw wijk. Hoe zorg ik dat mijn zieke vader ondersteuning krijgt? Ik wil vrijwilligerswerk doen, hoe pak ik dat aan? Ik kan niet rondkomen, hoe moet ik dit oplossen? Loopt u ook met dit soort vragen rond? Ga dan eens naar VraagWijzer. Bent u op zoek naar informatie over zorg en ondersteuning? Weet u niet bij welke instantie u moet zijn? Maak dan gebruik van de Digitale VraagWijzer van de overheid naar zorg en ondersteuning. Status: Actueel Classificatie: Laag 4.3.6 Medicatie Viewer Zorgportaal Rijnmond Medicatie Viewer is een oplossing voor het ondersteunen van zorgverleners bij het inzichtelijk krijgen van Medicatie informatie en beelden. Deze informatie wordt bij diverse bronnen verworven door gebruik te maken van beschikbare infrastructuren, zoals het Landelijk Schakelpunt, OZIS ringen en de centrale verwijsindex Stichting RijnmondNet. Status: In ontwikkeling Classificatie: Hoog 4.3.7 ReAAL Viewer Zorgportaal Rijnmond ReAAL Viewer is een oplossing voor het ondersteunen van burgers bij het zelfmanagement van hun eigen medische situatie. Deze viewer is een product uit een internationaal project voor het ondersteunen van ouderen bij het langer Zelfstandig thuis laten wonen. Deelnemende leveranciers zijn onder andere: Kwa+ch, Netmedical, MindDistrict, CuraVista en Almende. Status: In ontwikkeling Classificatie: Hoog 4.3.8 Secure email (met de patiënt) Zorgportaal Rijnmond Secure email is een oplossing waarbij een zorgverlener een email naar een persoon (patiënt) kan sturen welke is beveiligd en alleen geopend kan worden in een beveiligde omgeving. Er is dus geen sprake van transport van gegevens richting de patiënt. Status: In ontwikkeling Classificatie: Hoog 2013 - Stichting RijnmondNet Pagina 15 van 44

4.4 Relatie diensten, participanten en leveranciers Figuur 3: Portfolio ZPR Relatie Producten, Diensten, Afnemers en Leveranciers 2013 - Stichting RijnmondNet Pagina 16 van 44

5 Zorgportaal Architectuur principes De architectuur van het Zorgportaal is een consistent geheel van principes, richtlijnen, standaarden en modellen dat richting geeft aan de inrichting van het platform Zorgportaal Rijnmond op de diensten, informatie-uitwisseling, applicatie en techniek. Figuur 4: Zorgportaal Rijnmond architectuur 2013 - Stichting RijnmondNet Pagina 17 van 44

5.1 Diensten Het Zorgportaal presenteert informatie en applicaties aan gebruikers. De informatie en applicaties worden in de vorm van diensten (zie paragraaf 4.3) aangeboden en ontsloten op het Zorgportaal platform. Externe Service Providers kunnen aansluiten op het platform en deze gebruiken voor de eigen diensten het als één logisch geheel naar de eindgebruikers te ontsluiten. De externe Service Providers leveren in sommige gevallen hun diensten ook via eigen portals aan- of via afnemers en/of eindgebruikers buiten het zorgportaal. De activiteiten van het Zorgportaal die relevant zijn voor de architectuur van het platform zijn daarmee: 1. Het leveren van eigen online diensten aan burgers, patiënten, zorgprofessionals en welzijnshulpverleners en andere professionele zakelijke afnemers in de regio. 2. Het aanbieden van de basisfaciliteiten van het platform aan derden waaronder commerciële SP s (Service Providers) en Zorgverleners. De eigen online diensten die het platform Zorgportaal Rijnmond als service provider levert aan eindgebruikers worden aangeduid als native en local. De diensten van de derde partijen die via het Zorgportaal worden ontsloten worden omschreven als remote diensten. De onderliggende / ondersteunende technische diensten worden aangeduid met platformdiensten. De eindgebruikers van het platform, de personen die met de browser naar het zorgportaal surfen, maken kosteloos gebruik van de (meeste) delen van het platform. Aan derden zoals marktpartijen of zorgverleners kunnen door het platform Zorgportaal Rijnmond of SP s kosten in rekening worden gebracht. 2013 - Stichting RijnmondNet Pagina 18 van 44

5.1.1 Principes De diensten van het Zorgportaal wordt gebaseerd op de volgende principes. DP1 Het Zorgportaal Rijnmond voegt diensten samen / Aggregatiemodel Het Zorgportaal voorziet in de mogelijkheid om diensten van derden zodanig te ontsluiten via het Zorgportaal dat het lijkt alsof die diensten onderdeel van het zorgportaal zijn. Daarmee maakt Zorgportaal Rijnmond het mogelijk diensten van derden en een makelaar, bij het tot stand brengen van vraag- en aanbod. Zorgportaal Rijnmond is geen leverancier van die diensten. DP2 - Het programma Zorgportaal Rijnmond is bewerker van persoonsgebonden informatie Het programma Zorgportaal Rijnmond heeft, zoals toegelicht in paragraaf 4.4, niet de rol van verantwoordelijke in de zin van de WBP. Dat impliceert dat er geen functies zullen worden geboden voor het verwijderen, aanpassen, corrigeren van informatie zoals de wet die voorschrijft. Eis 1: De verantwoordelijke voor data Eis 2: Classificatie (wordt bepaald door de verantwoordelijke) BIV DP3 Het programma Zorgportaal Rijnmond is geschikt voor veilige zorg-specifieke toepassingen Het Zorgportaal is een platform voor allerlei online toepassingen waaronder ook diensten die persoonlijke medische informatie bevatten en ontsluiten. Dat betekent dat het platform zodanig wordt ingericht dat het moet voldoen aan de beveiligingseisen die van toepassing zijn voor dit type applicaties. Dat zal zich uiten in de technologie en het beheer voor informatiebeveiliging conform het control framework. DP4 - Het programma Zorgportaal Rijnmond is een device onafhankelijk platform. De diensten kunnen worden benaderd door middel van een brede keur aan mobiele devices, browsers en andere apparaten. DP5 Zorgportaal Rijnmond diensten maken gebruik van centrale gebruikersvoorziening Zorgportaal Rijnmond diensten maken gebruik van een centrale registratie, authenticatie en autorisatie voorziening. De centrale, gedeelde functies zijn: het server platform, Identity and Access Management (IAM), directory en registratie, portal server, applicatieserver platform, database services, directory service, secure web ontsluiting, mail transport, functies voor machine-to-machine koppelingen. 2013 - Stichting RijnmondNet Pagina 19 van 44

DP6 De verantwoordelijke classificeert diensten en het programma Zorgportaal Rijnmond legt eisen op Het programma Zorgportaal Rijnmond toets diensten op basis van de informatie(stromen) binnen de applicatie (zie IP3) en legt eisen op aan de veiligheid van de applicatie conform de geldende norm (zie hoofdstuk 6) Informatie wordt classificeert (B, I en V) door verantwoordelijke Verantwoordelijke geeft een gemotiveerde classificatie af aan het programma Zorgportaal Rijnmond Het programma Zorgportaal Rijnmond toets volgens CBP richtlijn en control framework Het programma Zorgportaal Rijnmond geeft go no-go met opmerkingen 5.1 Informatie 5.1.1 Principes De informatie van het Zorgportaal wordt gebaseerd op de volgende principes. IP1 Het programma Zorgportaal Rijnmond gebruikt gangbare informatiestandaarden conform IHE profielen Voor de opslag en uitwisseling van informatie gebruikt het programma Zorgportaal Rijnmond gangbare standaarden. Informatiestromen conformeren zich zoveel mogelijk aan IHE. IP2 Het programma Zorgportaal Rijnmond hanteert eenheid van taal Informatie binnen het zorgportaal is eenduidig interpreteerbaar conform afgesproken en gangbare codestelsels Informatie wordt op een eenduidige wijze vastgelegd zodanig dat deze niet verkeerd geïnterpreteerd kan worden. Het is altijd duidelijk wat er met een gegeven bedoeld wordt. IP3 Het programma Zorgportaal Rijnmond conformeert zich aan geldende norm informatiebeveiliging Het programma Zorgportaal Rijnmond conformeert zich aan geldende normen en kaders NEN7510, de bijbehorende eisen voor een GBZ, en de eisen die door Logius worden gesteld (dit is de instantie die verantwoordelijk is voor DigiD), te voldoen (conform hoofdstuk 6). IP4 De verantwoordelijke classificeert informatie en het programma Zorgportaal Rijnmond legt eisen op Het programma Zorgportaal Rijnmond toetst diensten op basis van de informatie(stromen) binnen de applicatie (zie IP3) en legt eisen op aan de veiligheid van de applicatie conform de geldende norm (zie hoofdstuk 6) Informatie wordt geclassificeerd (B, I en V) door verantwoordelijke Verantwoordelijke geeft een gemotiveerde classificatie af aan het programma Zorgportaal Rijnmond Het programma Zorgportaal Rijnmond toets volgens CBP richtlijn en control framework Het programma Zorgportaal Rijnmond geeft go/no-go met opmerkingen 2013 - Stichting RijnmondNet Pagina 20 van 44

IP5 Het programma Zorgportaal Rijnmond biedt zekerheid over de identiteit van de gebruiker Om de identiteit van een gebruiker te waarborgen, authentiseren gebruikers zich bij het programma Zorgportaal Rijnmond. Op deze manier kan op een uniforme en veilige manier de persoon geïdentificeerd worden. Het programma Zorgportaal Rijnmond biedt zekerheid over de identiteit van de gebruiker. IP6 Logging Alle handelingen die betrekkingen hebben op de beveiliging van het Zorgportaal (inloggen, uitloggen, wijzigen), worden geregistreerd. 5.2 Applicatie 5.2.1 Applicatie principes De applicaties van het Zorgportaal wordt gebaseerd op de volgende principes. AP1 Het Zorgportaal Rijnmond hanteert een generieke look & feel voor applicaties op het platform Het programma Zorgportaal Rijnmond vereist dat participanten voldoen aan de look en feel van het Zorgportaal. AP2 Het Zorgportaal Rijnmond hergebruikt applicaties Het programma Zorgportaal Rijnmond verkiest aanschaf van software boven het zelf maken (en hergebruik boven aanschaf) AP3 Het Zorgportaal Rijnmond zorgt voor één centrale toegang tot het portaal. Applicaties binnen het platform Zorgportaal Rijnmond worden door middel van single sign-on (SSO) benaderd. Om de gebruikers het gevoel te geven dat het programma Zorgportaal Rijnmond één geheel is, dient er slechts eenmalig ingelogd te worden tot het portaal. De applicaties gebruiken deze inlog en worden door middel van SSO benaderd. AP4 De verantwoordelijke classificeert applicatie en het programma Zorgportaal Rijnmond legt eisen op Het programma Zorgportaal Rijnmond toetst diensten op basis van de informatie(stromen) binnen de applicatie (zie IP3) en legt eisen op aan de veiligheid van de applicatie conform de geldende norm (zie hoofdstuk 6) Informatie wordt classificeert (B, I en V) door verantwoordelijke Verantwoordelijke geeft een gemotiveerde classificatie af aan Het programma Zorgportaal Rijnmond Het programma Zorgportaal Rijnmond toets volgens CBP richtlijn en control framework Het programma Zorgportaal Rijnmond geeft go no-go met opmerkingen 2013 - Stichting RijnmondNet Pagina 21 van 44

5.3 Techniek 5.3.1 Techniek principes De techniek van het Zorgportaal wordt gebaseerd op de volgende principes. TP1 Het programma Zorgportaal Rijnmond hanteert een generieke, schaalbare en gelaagde opzet Het programma Zorgportaal Rijnmond is een platform gebaseerd op een generieke, schaalbare en gelaagde opzet bestaande uit een infrastructuur laag (netwerk, opslag en servers) en een platform laag (data- (databases en directory), applicatie- en accesslaag). TP2 Het programma Zorgportaal Rijnmond legt technische eisen voor authenticatie en autorisatie op aan de aangesloten diensten Het programma Zorgportaal Rijnmond biedt een aantal technische authenticatie en autorisatie opties aan. Op basis van de classificatie van de informatie van de dienst (zie IP4, paragraaf 5.1.1) dient de dienst zich te committeren aan deze technische aansluitingseisen. TP3 Het programma Zorgportaal Rijnmond streeft naar integratie van diensten binnen het platform Voor de gebruiker van het programma Zorgportaal Rijnmond moet het zorgportaal als een geheel overkomen onafhankelijk van de dienst. Dit betekent een integratie van de diensten binnen het platform Zorgportaal Rijnmond op basis van authenticatie en autorisatie (o.a. single sign-on, centrale gebruikers registratie en directory) TP4 Het programma Zorgportaal Rijnmond hanteert gescheiden OTAP voor alle diensten. Om een hoogwaardige dienstverlening te garanderen dient het platform ingericht te worden volgens de OTAP (ontwikkel-, test-, acceptatie- en productieomgevingen). Dit geldt niet alleen voor het platform zelf, maar ook de aangesloten applicaties waarbij de O te allen tijde bij de leverancier zal staan. TP5 - Het programma Zorgportaal Rijnmond voldoet aan de technische compliance eisen voor gebruik DigiD De inrichting, operatie en organisatie van een dienst en het beheer hiervan moet voldoen aan de eisen die het programma Zorgportaal Rijnmond stelt aan architectuur, inrichting en beheer zoals afgeleid van de richtlijnen die Logius verplicht heeft gesteld voor alle gebruikers van DigiD. TP6 - Het programma Zorgportaal Rijnmond voldoet aan de technische compliance eisen voor gebruik Uzi pas De inrichting, operatie en organisatie van een dienst en het beheer hiervan moet voldoen aan de eisen die het programma Zorgportaal Rijnmond stelt aan architectuur, inrichting en beheer zoals afgeleid van de richtlijnen die verplicht zijn gesteld voor alle gebruikers van de UZI pas. 2013 - Stichting RijnmondNet Pagina 22 van 44

TP7 De verantwoordelijke classificeert techniek en het programma Zorgportaal Rijnmond legt eisen op Het programma Zorgportaal Rijnmond toetst diensten op basis van de informatie(stromen) binnen de applicatie (zie IP3, zie paragraaf 5.1.1) en legt eisen op aan de veiligheid van de applicatie conform de geldende norm (zie hoofdstuk 6) Informatie wordt geclassificeerd (B, I en V) door verantwoordelijke Verantwoordelijke geeft een gemotiveerde classificatie af aan het programma Zorgportaal Rijnmond het programma Zorgportaal Rijnmond toets volgens CBP richtlijn en control framework het programma Zorgportaal Rijnmond geeft go/no-go met opmerkingen 2013 - Stichting RijnmondNet Pagina 23 van 44

6 Zorgportaal Control framework 6.1 Inleiding In dit hoofdstuk wordt het zogenaamde Control Framework van het Zorgportaal beschreven. Dit Control Framework omvat de eisen die aan participanten en hun informatiesystemen worden gesteld met betrekking tot informatiebeveiliging en bescherming van persoonsgegevens. Bij het opstellen van het Control Framework zijn de volgende normen gehanteerd: NEN7510: 2011, Informatiebeveiliging in de zorg NEN7512: 2005, Vertrouwensbasis voor gegevensuitwisseling (en concept 2013) NEN7513: 2010, Logging, Vastleggen van acties op elektronische patiëntdossiers CBP Richtsnoeren, Beveiliging van persoonsgegevens, februari 2013 NCSC, ICT-beveiligingsrichtlijnen voor webapplicaties, februari 2012. In paragraaf 6.2 wordt ingegaan op de classificatie van het Zorgportaal en van de aan te sluiten informatiesystemen. In paragraaf 6.3 worden de eisen beschreven. 6.2 Classificatie 6.2.1 Toelichting Om de eisen voor het aansluiten van een informatiesysteem op het Zorgportaal te bepalen is het van belang het informatiesysteem, respectievelijk de informatie, te classificeren naar de beschikbaarheid, integriteit en vertrouwelijkheid. In deze paragraaf wordt dit nader toegelicht en wordt ook de classificatie van het Zorgportaal zelf beschreven. 6.2.2 Verantwoordelijkheid voor classificatie Zoals aangegeven, er wordt onderscheid gemaakt naar de classificatie van het Zorgportaal en van de aan te sluiten informatiesystemen. De verantwoordelijkheid voor de classificatie van het Zorgportaal ligt bij het bestuur van de Stichting RijnmondNet. De verantwoordelijkheid voor de classificatie van een aan te sluiten informatiesysteem ligt bij de participant. ZPR zal deze classificatie toetsen voorafgaand aan implementatie op juistheid en volledigheid. De implementatie vergt de instemming van ZPR. Dit vanwege de verantwoordelijkheid van ZPR voor het Zorgportaal als geheel. ZPR zal de classificatie van het Zorgportaal en die van de aangesloten informatiesystemen, inclusief keuzes en motivatie, registreren en desgevraagd overleggen aan bevoegde instanties. 2013 - Stichting RijnmondNet Pagina 24 van 44

6.2.3 BIV Bij de beveiliging van informatie wordt in de regel uitgegaan van borging van drie aspecten van die informatie, de beschikbaarheid, de integriteit en vertrouwelijkheid. Dit wordt ook wel de BIV classificering genoemd. Beschikbaarheid Onder beschikbaarheid wordt verstaan: het kenmerk dat de informatie toegankelijk en bruikbaar is op verzoek van een bevoegde entiteit. Integriteit Onder integriteit wordt verstaan: de eigenschap dat de juistheid en volledigheid van de informatie wordt beschermd. Vertrouwelijkheid Onder vertrouwelijkheid verstaan: de eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, entiteiten of processen. Bij de classificatie wordt aan elk aspect, per type informatie(systeem), een gewicht van 1 t/m 4 gegeven. De gehanteerde normering is: 1. Laag, Geringe schade bij falen 2. Midden, Matige schade bij falen 3. Hoog, Omvangrijke schade bij falen 4. Zeer Hoog, Catastrofale schade bij falen Ieder op het Zorgportaal aan te sluiten informatiesysteem moet worden geclassificeerd naar bovenstaande aspecten. Deze classificatie is leidend voor de bepaling welke beveiligingseisen in welke mate van toepassing zijn. 2013 - Stichting RijnmondNet Pagina 25 van 44

6.2.4 Classificatie Zorgportaal Omdat het platform Zorgportaal Rijnmond een platform is en daarmee een generiek systeem dat geschikt moet zijn voor verschillende typen informatie, kiest het platform Zorgportaal Rijnmond voor een generieke aanpak. Het zorgportaal platform, infrastructuur en beheersorganisatie voorziet in een generieke opzet die het geheel geschikt maakt voor informatie en toepassingen met een BIV classificatie van maximaal 2/4/4. # Classificatie Soort IAM methode 1 Laag Geen login noodzakelijk Geen / Open 2 Midden Login zonder verificatie van identiteit 3 Hoog Login met geverifieerde identiteit 4 Zeer Hoog 2-factor met geverifieerde identiteit Uid/password SMS one time password DigiD of Uzi pas DigiD + SMS, en UZI pas Dat impliceert dat wordt uitgegaan van een vaststaande en marktconforme beschikbaarheid en van het beschikbaar stellen van ruime opties voor maximale bescherming van integriteit en vertrouwelijkheid. Deze aanpak heeft als consequentie dat het zorgportaal niet geschikt is voor diensten en informatie met een hoge beschikbaarheid. Uitgangspunten met betrekking tot beschikbaarheid Informatie waarvoor geldt dat beschikbaarheid zou kunnen leiden tot levensbedreigende situaties, kan NIET op het zorgportaal worden opgeslagen. Het internet is immers ongeschikt als medium voor van dit type informatie omdat de toegang nooit met absolute zekerheid kan worden gegarandeerd. Dit geldt bijvoorbeeld voor informatie die niet op ander wijze kan worden verkregen. Deze keuze past ook bij het karakter van het Zorgportaal: het vervangt niet de primaire systemen van de zorgverlener, maar biedt de burger en derden toegang tot die informatie. Uitgangspunten met betrekking tot Integriteit De integriteit van informatie heeft een hoog niveau. Dat betekent dat maatregelen worden getroffen om wijzigen door onbevoegden te voorkomen. Het waarborgen van de juistheid en volledigheid van de informatie wordt gerealiseerd door een combinatie van generieke maatregelen vanuit het Zorgportaal en specifieke maatregelen in het aangesloten informatiesysteem. Uitgangspunten met betrekking tot Vertrouwelijkheid Omdat het zorgportaal diensten zal bevatten die informatie opslaan in de categorie bijzonder van bescherming van persoonsgegevens bestaan er geen beperkingen t.a.v. informatie en diensten in die categorie. Ook voor het waarborgen van de vertrouwelijkheid van de informatie geldt dat deze wordt gerealiseerd door een samenstelsel van generieke maatregelen vanuit het Zorgportaal en specifieke maatregelen in het aangesloten informatiesysteem. 2013 - Stichting RijnmondNet Pagina 26 van 44

6.3 Overzicht van beveiligingseisen In dit hoofdstuk worden de beveiligingseisen beschreven die gelden voor aansluiting op het Zorgportaal. Het hoofdstuk is opgebouwd volgens de relevante hoofdstukken van de NEN7510, Informatiebeveiliging in de zorg. Voorafgaand aan deze indeling worden enkele algemene eisen beschreven. Het overzicht bevat de volgende indeling: de referentie naar de NEN7510 de omschrijving van de beveiligingseis het aspect waarop de beveiligingseis betrekking heeft (beschikbaarheid, integriteit en/of vertrouwelijkheid) de indeling van de niveaus van classificatie (Laag, Midden, Hoog, Zeer Hoog). Een beveiligingseis kan specifiek van aard zijn en betrekking hebben op één aspect of meer generiek van aard zijn en op twee of drie aspecten van toepassing zijn. In de tabel wordt aangegeven welke beveiligingseisen bij welk niveau van classificatie van het aan te sluiten informatiesysteem worden voorgeschreven. Onder participant is mede begrepen een leverancier. NEN 7510 A A-1 A-2 A-3 A-4 A-5 Beveiligingseis Aspect Classificatie BIV 1 2 3 4 Algemeen De participant is gecertificeerd voor algemeen geaccep- BIV X X X teerde standaarden voor informatiebeveiliging (zoals ISO27001 i.c.m. NEN-norm 7510: 2011, Informatiebeveiliging in de zorg). De participant laat het geheel van organisatorische en technische beveiligingsmaatregelen jaarlijks controleren door een onafhankelijke externe partij. ZPR krijgt inzage in de uitkomsten van deze controle. De participant overlegt periodiek een ISAE3403, SSAE- 16 of vergelijkbaar auditrapport waarin de beveiliging van het informatiesysteem is beoordeeld op opzet, bestaan en werking. ZPR, de participant en een vertegenwoordiging van de gebruikers van het informatiesysteem hebben jaarlijks een overleg waarin aandacht wordt besteed aan: de (kwaliteit van de) dienstverlening in de afgelopen periode de opgetreden (beveiligings)incidenten het functioneren van de beveiligingsmaatregelen toekomstige ontwikkelingen van de dienstverlening. De hosting van de apparatuur van het informatiesysteem vindt bij voorkeur plaats in Nederland, maar in ieder geval in een land dat valt onder de EU Directive 95/46/EC betreffende privacy. 3 Risicoanalyse 3-1 De participant voert voor het informatiesysteem periodiek, minimaal 1 keer per 3 jaar, een risicoanalyse uit. Deze risicoanalyse voldoet aan wat hierover is vastge- BIV X X 2013 - Stichting RijnmondNet Pagina 27 van 44

NEN 7510 3-2 Beveiligingseis Aspect Classificatie BIV 1 2 3 4 legd in de NEN7510. De participant voert voor het informatiesysteem periodiek, minimaal 1 keer per 3 jaar, een Privacy Impact Assessment uit. 4 Information Security Management System (ISMS) 4-1 De participant heeft een Information Security Management System (ISMS) ingericht. Dit ISMS voldoet aan wat hierover is vastgelegd in de NEN7510. 5 Beveiligingsbeleid 5-1 De participant beschikt over een informatiebeveiligingsbeleid. 6 Organisatie van informatiebeveiliging 6-1 De participant heeft intern een organisatie voor informa- 6-2 6-3 6-4 6-5 6-6 6-7 6-8 6-9 tiebeveiliging ingericht. Taken en verantwoordelijkheden betreffende de volgende rollen voor het gebruik en beheer van het informatiesysteem zijn gedefinieerd en schriftelijk vastgelegd: Functionaris gegevensbescherming Verantwoordelijke Ontwikkelaar Functioneel beheerder Applicatiebeheerder Technisch beheerder Gebruiker. Afspraken met de participant zijn gedefinieerd en schriftelijk vastgelegd in een contract en een onderliggende SLA tussen ZPR en de participant. Wanneer in het informatiesysteem patiëntgegevens worden verwerkt, is tussen de participant en de verantwoordelijke voor de patiëntgegevens een bewerkersovereenkomst opgesteld. In geval van sub bewerker(s) is met deze partij ook een subwerkersovereenkomst afgesloten. De (sub)bewerkersovereenkomst voldoet aan wat hierover is vastgelegd in de richtsnoeren van het CBP. Informatie over ZPR en haar deelnemers wordt door de participant niet zonder voorafgaande toestemming van ZPR aan derden ter beschikking gesteld, bijvoorbeeld voor commerciële doeleinden. ZPR heeft het recht om de organisatorische en technische maatregelen die de participant heeft getroffen, te (laten) controleren. De participant heeft afspraken met door hem ingeschakelde dienst verleners gedefinieerd en schriftelijk vastgelegd in een contract en een onderliggende SLA. De participant heeft een proces voor Service Level Management ingericht. De participant rapporteert over het beheer en de beveiliging van het informatiesysteem volgens een vooraf vast- V X X X X BIV X X X BIV X X X BIV X X X V X X X X 2013 - Stichting RijnmondNet Pagina 28 van 44

NEN 7510 6-10 Beveiligingseis Aspect Classificatie BIV 1 2 3 4 gestelde en overeengekomen inhoud en frequentie (Service Level Reporting). De participant is met de interne en externe medewerkers schriftelijk geheimhouding overeengekomen. 7 Beheer van bedrijfsmiddelen 7-1 De participant heeft een proces voor configuratiebeheer 7-2 ingericht. De participant heeft alle configuration items die horen bij het informatiesysteem vastgelegd in een Configuration Management Database (CMDB). 8 Personeel 8-1 De participant geeft interne en externe medewerkers 8-2 8-3 periodiek training en bijscholing over informatiebeveiliging en bescherming van persoonsgegevens. De gebruikers van het informatiesysteem zijn door de participant aantoonbaar getraind in het veilig gebruik van het informatiesysteem. Medewerkers, in dienst van de participant en/of ingeschakeld door de participant, hebben de participant een Verklaring Omtrent het Gedrag doen toekomen. 9 Fysieke beveiliging en beveiliging van de omgeving 9-1 Maatregelen zijn aanwezig voor de fysieke beveiliging 9-2 van de locatie(s), ruimten en apparatuur van het informatiesysteem met aandacht voor: fysieke toegangsbeveiliging brandbeveiliging klimaatbeheersing (nood)stroomvoorziening De participant draagt er zorg voor dat afvoer van apparatuur, waarop zich gegevens van gebruikers van het informatiesysteem bevinden of hebben bevonden, op een veilige en gecertificeerde manier wordt uitgevoerd. 10 Beheer van communicatie- en bedieningsprocessen 10-1 De participant beschikt over richtlijnen en procedures 10-2 10-3 10-4 10-5 10-6 voor het beheer en de beveiliging van het informatiesysteem. De participant heeft taken en verantwoordelijkheden voor het beheer en de beveiliging van het informatiesysteem gedefinieerd en schriftelijk vastgelegd, bij voorkeur met gebruik van ITIL of een vergelijkbare gestructureerde methode voor ICT-beheer. Relevant personeel van de participant is aantoonbaar getraind in het beheer en de beveiliging van het informatiesysteem. Functiescheiding is aanwezig voor de scheiding van ontwikkeling, testen en productie. Omgevingen voor ontwikkeling, testen en productie zijn gescheiden. De participant heeft een proces voor capaciteitsbeheer V X X X X BIV X X X BIV X X X BIV X X X BIV X X X BIV X X X BV X X X X V X X X X BIV X X X BIV X X X BIV X X X B X X X 2013 - Stichting RijnmondNet Pagina 29 van 44

NEN 7510 10-7 10-8 10-9 10-10 10-11 10-12 10-13 10-14 10-15 Beveiligingseis Aspect Classificatie BIV 1 2 3 4 ingericht en heeft het huidige en het toekomstige gebruik van het informatiesysteem schriftelijk vastgelegd. De participant heeft een proces voor incidentbeheer ingericht. De participant heeft een proces voor probleembeheer ingericht. De participant beschikt over procedures en voorzieningen voor de waarborging van de beschikbaarheid en de back-up van de programmatuur en de inhoudelijke gegevens, inclusief externe opslag van de back-ups. De participant test de geldigheid en volledigheid van de back-up jaarlijks door he uitvoeren van een restore op een andere omgeving. In de productieomgeving is alleen uitvoerbare code aanwezig. Pogingen voor het verkrijgen van toegang tot het informatiesysteem worden gelogd. De logfile wordt voor analysedoeleinden bewaard volgens een vastgestelde termijn. Het informatiesysteem heeft middelen voor de logging van activiteiten (invoer van gegevens, opslag van gegevens, verwerking van gegevens, verzending en ontvangst van berichten, autorisatiebeheer, etc.). De logging van het informatiesysteem is ingericht volgens de NEN7513. Dit betekent dat minimaal de volgende elementen worden geregistreerd Gebeurtenis Gebruiker Bij de gebeurtenis betrokken objecten Toegangspunt 2 Bron van de loggegevens (welk systeem heeft de gebeurtenis geregistreerd). De participant beschikt over richtlijnen en procedures voor de periodieke controle van de logging van activiteiten op onrechtmatige toegang of onrechtmatig gebruik van patiëntgegevens. 11 Toegangsbeveiliging 11-1 Classificatie niveau 1 conform het ZPR verkeerplein 11-2 Classificatie niveau 2 conform het ZPR verkeerplein 11-3 Classificatie niveau 3 conform het ZPR verkeerplein 11-4 Classificatie niveau 4 conform het ZPR verkeerplein 11-5 Het informatiesysteem sluit aan op de middelen van het 11-6 11-7 Zorgportaal voor de registratie van gebruikers. Het informatiesysteem sluit aan op de authenticatiemiddelen van het Zorgportaal. Wanneer binnen het informatiesysteem en/of voor be- BIV X X X BIV X X X B X X X X B X X X BIV X X X V V V V X X X X IV X X X X V X X X X V X X X X 2 Toegangspunt wordt gedefinieerd als de aansluiting (fysiek of draadloos) van waaruit de gebruiker de gebeurtenis in het informatiesysteem heeft doen plaatsvinden. 2013 - Stichting RijnmondNet Pagina 30 van 44

NEN 7510 11-8 11-9 Beveiligingseis Aspect Classificatie BIV 1 2 3 4 heer gebruik wordt gemaakt van wachtwoorden, dan hebben deze de volgende eigenschappen: minimale lengte 8 karakters combinatie van cijfers, letters en minimaal één speciaal karakter wijzigingsfrequentie één jaar blokkeren van de toegang tot het informatiesysteem, na vijf verkeerde inlogpogingen resetten van geblokkeerde accounts. Authenticatiegegevens worden opgeslagen met gebruik van one-way hashing encryption, inclusief salt. De volgende richtlijnen en procedures voor toegangsbeheersing van het informatiesysteem zijn schriftelijk vastgelegd: registratie van interne en externe gebruikers, inclusief de uitgegeven bevoegdheden formele en schriftelijke toestemming van de gebruikers voorafgaande aan het gebruik van het informatiesysteem en de inhoud hiervan, bijv. door de gedwongen acceptatie van de relevante voorwaarden op het moment van de registratie als een gebruiker van het informatiesysteem uitgifte, wijziging en inname van inlognaam en wachtwoord (indien van toepassing) periodieke controle van uitgegeven autorisaties. V X X X X V X X X X 11-10 11-11 11-12 11-13 11-14 11-15 De participant beschikt over richtlijnen en procedures voor toegangsbeheersing van het personeel van de participant tot (de infrastructuur van) het informatiesysteem. Personeel van de participant heeft op afstand alleen op een veilige manier toegang tot de omgeving van het informatiesysteem: via een versleutelde VPN-verbinding met behulp van tweefactor authenticatie met een sessie-time-out, maximaal 1 uur. Autorisatie van gebruikers vindt in het informatiesysteem plaats met onderscheid naar rechten voor lezen, toevoegen, wijzigen en verwijderen van gegevens. Autorisatie van gebruikers voor toegang tot patiëntgegevens vindt alleen plaats nadat is vastgesteld dat de gebruiker rechtstreeks is betrokken bij de behandeling van de patiënt. De hard- en software, waarop het informatiesysteem wordt gehost, is aantoonbaar gehardend tegen aanvallen van hackers, onder andere door de default configuratie en systeemwachtwoorden te verwijderen. Het informatiesysteem wordt gehost op aparte hardware of zodanig gedeeld met andere klanten dat de beveiliging V X X X X V X X X X V X X X X V X X X X 2013 - Stichting RijnmondNet Pagina 31 van 44

NEN 7510 11-16 11-17 11-18 11-19 Beveiligingseis Aspect Classificatie BIV 1 2 3 4 van het informatiesysteem van ZPR niet in gevaar kan worden gebracht. Externe routers en firewalls zijn als volgt geconfigureerd: gebruik van één toegangspunt ( chokepoint ) volgens standaarden van de leverancier(s) en algemeen geaccepteerde regels gebruik makend van redundantie ( Defense in Depth ) met gebruik van verschillende soorten van beveiligingsmiddelen ( Diversity of Defense ) wanneer een beveiligingsmiddel faalt mag geen toegang worden verleend ( Failure Mode ) met gebruik van statefull inspection. Wanneer het informatiesysteem wordt ontsloten via een eigen website, maakt deze website gebruik van https en is deze voorzien van een officieel certificaat. Wanneer het informatiesysteem wordt ontsloten via een eigen website heeft het informatiesysteem de volgende onderverdeling: een publiek deel en een deel voor geautoriseerde gebruikers binnen het geautoriseerde deel een nader onderscheid naar een deel voor informatie-uitwisseling ( front-end ) en een deel voor opslag en verwerking van gegevens ( back-end ). De participant houdt dagelijks informatie over beveiligingskwetsbaarheden bij. 12 Verwerving, ontwikkeling en onderhoud van informatiesystemen 12-1 De participant heeft de documentatie van datamodellen, 12-2 12-3 12-4 12-5 software, datacommunicatieprotocollen en onderdelen van het informatiesysteem volledig schriftelijk vastgelegd. Het informatiesysteem is ontwikkeld met gebruik van nationale en internationale standaarden voor invoer, opslag, beheer, verwerking, beveiliging en communicatie van medische gegevens. De participant past waar mogelijk Privacy Enhancing Technologies toe bij het ontwerpen en inrichten van het informatiesysteem door het scheiden van demografische en medische patiëntgegevens op het moment van opslag, opvraag, presentatie en uitvoer. De participant heeft door een onafhankelijke derde partij een code review laten uitvoeren op de programmatuur van het informatiesysteem. Deze code review wordt herhaald bij omvangrijke wijzigingen van de programmatuur. Het informatiesysteem is zodanig ontwikkeld en ingericht dat de gegevens desgewenst kunnen worden overge- IV X X X X V X X X BIV X X B X X X 2013 - Stichting RijnmondNet Pagina 32 van 44

NEN 7510 12-6 12-7 12-8 12-9 12-10 12-11 12-12 12-13 12-14 Beveiligingseis Aspect Classificatie BIV 1 2 3 4 dragen naar een ander informatiesysteem ( portabiliteit ). Wanneer de gebruikers toegang krijgen tot het geautoriseerde deel van het informatiesysteem worden zij geïnformeerd over de logging van hun activiteiten en de van toepassing zijnde wet- en regelgeving. Het informatiesysteem heeft zonodig middelen voor beveiligde e-mail en/of externe gegevensuitwisseling met de volgende eigenschappen: standaard bevestiging van verzending en van ontvangst middelen voor de waarborging van de integriteit van het berichtenverkeer met gebruik van SSL/TLS middelen voor onweerlegbaarheid ( nonrepudiation ). Het informatiesysteem heeft de volgende middelen voor de waarborging van de integriteit van de invoer, verwerking en uitvoer: controle op de geldigheid van invoer en het gebruik van ongeldige karakters controle op de invoer van active content in invoervelden bevestiging van de ingevoerde gegevens aan de gebruiker controles op de geldigheid van de verwerking en de uitvoer. Het informatiesysteem maakt gebruik van middelen voor de synchronisatie van systeemklokken om zodoende een goede tijdsregistratie van de activiteiten in het informatiesysteem te kunnen waarborgen. De inhoudelijke gegevens worden in het informatiesysteem opgeslagen en extern getransporteerd met gebruik van een afdoende sterke vorm van encryptie. De participant heeft richtlijnen en procedures voor sleutelbeheer voor encryptie schriftelijk vastgelegd. Copyrights, privacy, disclaimer en cookie informatie worden op de volgende plaatsen getoond: de homepage en andere relevante pagina s van het informatiesysteem de uitvoer van het informatiesysteem de documentatie van het informatiesysteem. De participant heeft een proces voor wijzigingsbeheer ingericht met onderscheid naar: inhoud van het informatiesysteem content programmatuur van het informatiesysteem besturingssysteem en hardware van de participant, inclusief noodprocedures voor de installatie van beveiligingspatches. De participant heeft een proces voor release- en versie- V X X X X IV X X X X IV X X X X IV X X X X V X X X X 2013 - Stichting RijnmondNet Pagina 33 van 44

NEN 7510 12-15 12-16 12-17 Beveiligingseis Aspect Classificatie BIV 1 2 3 4 beheer ingericht. De participant stemt wijzigingen af met alle betrokkenen, waaronder ZPR en gebruikers van het informatiesysteem, waarbij aandacht wordt besteed aan: de beoordeling van de impact, besluitvorming en planning het testen van de wijziging communicatie naar alle betrokkenen over tijdstip, impact, risico s en duur van de niet-beschikbaarheid een back-up en roll-backplan waarbij de gegevens van de gebruikers worden veiliggesteld. De participant beschikt over richtlijnen en procedures voor het beheer en de beveiliging van testgegevens. Testen wordt alleen gedaan met fictieve of anonieme persoonsgegevens. De webapplicatie is ontwikkeld met gebruik van veilig programmeren (zie o.a. www.ncsc.nl en www.owasp.org). 12-18 Er is een Escrow overeenkomst tussen participant en leverancier, welke is gemeld bij de Escrow agent van ZPR B X X X 13 Beheer van informatiebeveiligingsincidenten 13-1 De participant beschikt over richtlijnen en procedures 13-2 voor de melding, registratie en het oplossen van beveiligingsincidenten. De participant meldt een beveiligingsincident direct aan ZPR en aan vertegenwoordigers van de gebruikers van het informatiesysteem. De participant, ZPR en vertegenwoordigers van de gebruikers van het informatiesysteem bepalen in onderling overleg hoe betrokkenen, waaronder patiënten, worden geïnformeerd, wanneer het incident betrekking heeft op hun gegevens. 13-3 De participant meldt datalekken direct aan de verantwoordelijke voor de gegevens, waarop deze het meldt aan de toezichthouders. De participant beschikt over procedures en maatregelen alle delen en /of de functionaliteit van het informatiesysteem onmiddellijk buiten gebruik te stellen in geval van 14-2 een beveiligingsincident. 14 Bedrijfscontinuïteitsbeheer 14-1 Binnen de gebruikersorganisatie zijn continuïteitsplannen, noodprocedures en continuïteitsvoorzieningen aanwezig waarmee de eisen van de gebruikers van het informatiesysteem kunnen worden gehaald, ook in geval van niet-beschikbaarheid van het informatiesysteem. De participant beschikt over continuïteitsplannen en B X X X B X X X X 2013 - Stichting RijnmondNet Pagina 34 van 44

NEN 7510 14-3 14-4 Beveiligingseis Aspect Classificatie BIV 1 2 3 4 voorzieningen in overeenstemming met de beschikbaarheidseisen van het informatiesysteem, zowel voor de infrastructuur als voor de toegang tot het internet. De participant test de continuïteitsplannen en voorzieningen jaarlijks. De participant besteedt bij de classificatie aandacht aan het bepalen van de maximaal toelaatbare uitvalduur van het informatiesysteem en het bepalen van de maximaal 15-2 15-3 15-4 toelaatbare gegevensverlies. 15 Naleving 15-1 De participant heeft wettelijk sluitende afspraken gemaakt over de intellectuele eigendoms- en gebruiksrechten van het informatiesysteem. Het is gegarandeerd dat de betrokkenen voldoen aan alle relevante wet- en regelgeving met betrekking tot beveiliging en privacybescherming van patiëntgegevens. De participant controleert de beveiliging van het informatiesysteem jaarlijks door het laten uitvoeren van een penetratietest. ZPR krijgt inzage in de uitkomsten van deze test. Er zijn voorzieningen aanwezig voor het bewaren en vernietigen van de inhoudelijke gegevens, waardoor wordt voldaan aan wettelijke regels voor privacy en voor de bewaring en vernietiging van (medische) gegevens.. B X X X B X X X V X X X X V X X X X BIV X X X V X X X X 6.4 Verbinding Informatie, Applicatie, Diensten & Techniek eisen Participanten en leveranciers dienen zich te houden aan de in paragraaf 6.3 genoemde beveiligingseisen. Deze eisen vormen, op basis van de geldende classificatie, samen met de integratievoorwaarden (Applicatie integratie 7.1.1 en Look en Feel 7.1.2) de basis voor een juist contract tussen Zorgportaal Rijnmond en Leverancier/participant. Onderstaande contracten dienen voor elke situatie te zijn afgesloten ten behoeve van de juiste verwachting en het juist kunnen toetsen (paragraaf 6.2.2) van de voorwaarden en eisen door Zorgportaal Rijnmond. 2013 - Stichting RijnmondNet Pagina 35 van 44

7 Zorgportaal Technisch framework Dit hoofdstuk beschrijft het platform van Zorgportaal Rijnmond, te weten de architectuur / inrichting van het framework ten behoeve van www.zorgportaalrijnmond.nl. De door ZPR aangeboden diensten zijn gebaseerd en/of aangesloten op de Zorgportaal infrastructuur. 7.1 Webportaal Het webportaal (Liferay) biedt basisfuncties voor web-services en andere functies voor het kunnen tonen van externe content en heeft daarmee de flexibiliteit om te koppelen en te integreren met diensten van derden. Liferay webportal is een standaard product, in open source beschikbaar en in Liferay kunnen Native applicaties in de vorm van portlets relatief snel en met weinig middelen worden gerealiseerd. 7.1.1 Integratie Liferay is een portal platform wat integratie mogelijkheden biedt binnen het Zorgportaal. Middels de standaard Proxy component is een applicatie integratie mogelijk. Koppeling en visualisatie binnen het Zorgportaal kan op twee manieren worden gerealiseerd. Applicatie integratie: Zorgt ervoor dat een externe applicatie/dienst van een leverancier 1-op-1 wordt getoond in de portaal omgeving www.zorgportaalrijnmond.nl. Het portaal behoudt daarmee zijn vormgeving, look en feel en uitstraling. De applicatie zal zich moeten conformeren aan de afgegeven integratie voorwaarden. Technische integratie: Zorgt ervoor dat er een SSO ontstaat tussen het portaal en de (remote) dienst. 7.1.2 Look en Feel Liferay is een portal platform wat look en feel mogelijkheden biedt binnen het Zorgportaal. De uitstraling van het portaal moet naar de eindgebruiker overkomen als een geheel. Hier kan men denken aan opmaak en kleurstelling. Vormgeving en inhoud is aan de betreffende participant/leverancier. Zorgportaal Rijnmond gaat niet over de expertise die door leveranciers en participanten is gestoken in de vormgeving en opmaak van de (medische) informatie voor de burger en/of zorgverlener. 7.1.3 Beheer en Content Management Het Portal (Liferay) heeft een CMS waarmee de lay-out en teksten van het portaal worden onderhouden. Het CMS heeft een workflow proces aan boord met rechten voor personen die aangesteld worden om content aan te leveren (redacteur) en voor personen die de content controleren (hoofdredacteur) alvorens de content wordt gepubliceerd. 2013 - Stichting RijnmondNet Pagina 36 van 44

7.1.4 Technisch platform Alle geleverde servers zijn virtueel. Virtualisatie leidt tot een hoge beschikbaarheid vanwege de hardware onafhankelijkheid die mogelijkheid biedt voor live migraties bij onderhoud en hardware storingen, en de mogelijkheid biedt om capaciteit op te schalen zonder down time. Database: Voor database service wordt gebruik gemaakt van Mysql op Linux. Server: SIAM en Liferay vereisen een Java omgeving bestaande uit JVM en een Java applicatieserver. SIAM en Liferay draaien op de Apache-Tomcat Java applicatieserver. OS: Redhat Storage (OTAP Intermax) 7.1.5 Schaalbaar Schaalbaarheid kan worden bewerkstelligd door uitbreiding van computing resources: disk, geheugen, CPU s. Omdat gebruik wordt gemaakt van virtualisatie kunnen capaciteitsuitbreidingen door de hosting provider zonder down time worden gedaan. De keuze en centralisatie van de database engines vormt geen belemmering voor schaalbaarheid. Op eenvoudige wijze kan een extra server worden ingezet om in eerste instantie een van de beide typen databases te verplaatsten naar die nieuwe server. De hosting provider zal te allen tijde waarborgen dan de contractuele uptime van 99.9% zal worden gehaald. 7.2 Toegangsverlening Het Zorgportaal gedraagt zich voor de gebruiker als één geheel. Een bezoeker van het Zorgportaal verwacht dan ook dat hij/zij slechts 1 keer hoeft aan te loggen en zich slechts 1 keer hoeft te registreren om gebruik te kunnen maken voor alle diensten en content waarvoor ingelogd moet worden. Dat geldt dus óók voor externe sites die zich bij het Zorgportaal hebben aangesloten! Na inloggen is de identiteit van de gebruiker bekend en daarmee is het steeds opnieuw vragen van inloggegevens niet nodig, zelfs verwarrend en onwenselijk. Dat betekent dat het Zorgportaal een centrale IDP (identity provider, een inlogfaciliteit) heeft. De interne - en externe diensten leggen door het verbinden met deze IDP service een vertrouwde relatie zodat de gebruiker niet steeds opnieuw om een login wordt gevraagd als een andere dienst wordt benaderd. Dit zolang de gebruikte dienst is geclassificeerd op het ingelogde niveau. Zodra een hoger classificatie niveau wordt gevraagd, wordt er opnieuw gevraagd in te loggen op het passende niveau. Classificatie wordt gedaan op basis van het Control Framework, zie hoofdstuk 6). 2013 - Stichting RijnmondNet Pagina 37 van 44

Figuur 5: Verkeersplein met classificatie niveaus en toegepaste diensten, gebruikt op het zorgportaal 7.2.1 Simple Identity & Access Management (SIAM) Zorgportaal voorziet in een Single Sign On (SSO) faciliteit en een centrale registratie van gebruikers op basis van Anoigo. De centrale directory is gekoppeld aan de registratieportlet, en dus aan Liferay, aan SIAM en aan de overige applicaties/diensten. Via de registratiefunctie in Liferay kan de gebruiker zijn/haar NAW en andere relevante gegevens invoeren en beheren. SIAM leest de directory om, op basis van het door DigiD doorgegeven BSN of UZI pas nummer, de bijbehorende gebruikersgegevens op te halen, en om vervolgens deze gegevens in een SAML token of in HTTP headers te kunnen plaatsen. SIAM is gebaseerd op A- select, een implementatie van het SAML2 protocol Voor bovenstaande Identity Access Management functie is de SIAM oplossing gekozen die het door DigiD gebruikte SAML2 of A-Select protocol ondersteunt. Simple Identity & Access Management (SIAM) is open source software waarmee identificatie, authenticatie en autorisatie geregeld kan worden. SIAM kan omgaan met meerdere authenticatiemethoden zoals DigiD, UZI-Pas, SMS-authenticatie, Tokens, Smartcards en gebruikersnaam/wachtwoord. Gebruikers die zijn ingelogd krijgen vervolgens toegang tot de diensten die voldoen aan de classificatie die behoort bij de gekozen inlogmethode. Dit wordt door het SIAM webfilter geregeld doordat de URL s van de betreffende diensten worden opgevangen door het SIAM webfilter / reverse proxy. Die bepaalt het authenticatieniveau, doet de redirect naar de betreffende methode, en geeft, zodra de gebruiker is ingelogd, het request door aan de achterliggende service. 2013 - Stichting RijnmondNet Pagina 38 van 44

Om aan te kunnen sluiten aan de SIAM server van Zorgportaal Rijnmond, op basis van de juiste classificatie, zijn er de volgende aansluitvoorwaarden: Met SAML2 worden credentials in de vorm van security tokens of HTTP headers uitgewisseld tussen IDP servers en services. Alle diensten zullen de loginfunctie moeten aanpassen op het gebruik van de IAM functie binnen het platform Zorgportaal Rijnmond. Daarvoor zijn 2 mechanismen beschikbaar: o Proxy - Plaatsing van een dienst achter een/het SIAM (applicatieve integratie mogelijk) o API - Aanpassen van de eigen login functie en koppelen aan het platform Zorgportaal Rijnmond via het SAML2 protocol (Alleen technische SSO mogelijk) 7.2.2 UID Password Om de gebruiksvriendelijkheid van het Zorgportaal te vergroten is er een mogelijkheid om op het portaal diensten aan te bieden met een midden classificatie (zie paragraaf 6.2.4). Deze authenticatie methode is niet van toepassing op het inzien / uitwisselen van medisch, persoonlijk gebonden, informatie. 7.2.3 One time SMS Ook redacteuren loggen aan via de (S)IAM functie. Het is echter niet wenselijk om beheerspersoneel te verplichten om met hun persoonlijke (privé) DigiD in te loggen. Gezien de beperkte rechten en mogelijkheden van een redacteur is daarom gekozen voor authenticatie d.m.v. van een one-time password via sms. 7.2.4 DigiD Voor de authenticatie van burgers, op de hogere classificaties, wordt gebruikt gemaakt van DigiD. Voor de hoogste klasse ( Bijzonder ), dit betreft persoonsgebonden medische informatie, is de methode DigiD + SMS-authenticatie gekozen. 7.2.5 UZI-pas Voor de authenticatie van zorgverleners wordt gebruik gemaakt van de UZI pas. Het UZI-register maakt de elektronische identificatie van zorgverleners mogelijk. Zij verstrekken hiervoor UZI-passen aan zorgverleners. De UZI-pas betreft een gepersonaliseerde smartcard met daarop een digitaal certificaat, dat uitsluitend wordt uitgegeven aan personen met een BIG registratie. In feite is hiermee een standaard voorhanden voor de gehele gezondheidszorg op basis van de Public Key Infrastructure (PKI). Deze structuur wordt door de Rijksoverheid wordt geregeld. Ook het identificatieproces en uitgifte van de persoonlijke pas wordt centraal geregeld. Voor zorgverleners betekent dit wel dat men de pas moet kunnen koppelen aan de computer (smartcard-reader vereist). De SIAM server zal de credentials vanuit de UZI-pas uitlezen en controleren tegen de centrale Certificate Revocation List (CRL) om te controleren of het certificaat (van de participant) nog geldig is. 2013 - Stichting RijnmondNet Pagina 39 van 44

7.3 Change- en Releasemanagement Zorgportaal Rijnmond werkt volgend Change Management. Wijzigingen worden daarom gecontroleerd afgehandeld en geïmplementeerd. Nieuwe diensten worden na positief advies uit het Change advisory Board via Change Management geïmplementeerd. 7.3.1 (O)TAP Het technisch platform is opgezet in de vorm van een 3-tal fysiek gescheiden omgevingen. Gekozen is voor een aparte server voor productie en een server voor acceptatie en test (welke de productie situatie nabootsen). Met deze OTAP werkwijze is de software volledig getest en geaccepteerd op een vergelijkbare omgeving als productie. Samen met de voorspelbare gedocumenteerde productiegang en het terugdraaiplan bij verrassingen, is de productie omgeving ultiem beschermd en is de continuïteit gewaarborgd. Kwaliteitseis aan de ontwikkelstraat met de leverancier voor zowel de Authenticatie-methode als het platform. Elke verandering in de omgeving dient te worden aangevraagd bij het change management van het Zorgportaal Rijnmond. Figuur 6: (O)TAP omgeving Zorgportaal Rijnmond 7.3.2 Change Advisory Board Het CAB (Change Advisory board) is een orgaan dat changes (nieuwe diensten en wijzigingen op bestaande diensten) goedkeurt en classificeert. Het CAB staat Change management bij in de prioritering en de beoordeling van Changes. Dit dient zowel vanuit een business als technische perspectief plaats te vinden. 2013 - Stichting RijnmondNet Pagina 40 van 44