Welke vorm van 2FA moet ik gebruiken onder de AVG?

5 min lezen - gepubliceerd op 3 mei 2018

Het gebeurt dagelijks: een cliënt is klaar met de behandeling en de data moet overgedragen worden. Dit moet wel veilig. Hoe doe je dat? Om gegevens van een cliënt goed over te dragen, moet de verpleegster het dossier van de cliënt naar een andere organisatie sturen. Het dossier bevat onder andere het burgerservicenummer van de cliënt en is dus gevoelige informatie. Volgens de Algemene Verordening Gegevensbescherming (ook wel General Data Protection Regulation) is het verplicht om gegevens passend te beveiligen. Als het gaat om gezondheidsinformatie is ook de NTA 7516 van toepassing. Een voorbeeld: Als de verpleegster het dossier als bijlage van een e-mail verstuurt, is dit niet veilig. Naast dat zij het bericht per ongeluk naar de verkeerde ontvanger kan versturen, kan de ontvanger het bericht eenvoudig doorsturen, of zijn laptop niet vergrendeld achterlaten. Daardoor hebben onbevoegden toegang tot het dossier. Als dit gebeurt, is er sprake van een datalek.

Maar wat is dan wel een veilige manier om gevoelige gegevens te delen? In de praktijk is hier veel onduidelijkheid over. Wanneer kun je spreken van passende beveiliging? Zijn de te nemen veiligheidsmaatregelen afhankelijk van de gegevens die je beveiligt? Misschien geven rechtszaken hier straks duidelijkheid over, maar daar wil je liever niet op wachten.

Twee factor authenticatie

Hoe verstuur je de gevoelige informatie op een veilige manier? Hiervoor moet de organisatie werken met TLS, encryptie en twee factor authenticatie. In dit blog gaan we in op de verschillende vormen van twee factor authenticatie. Twee factor authenticatie, ook wel 2FA, is een beveiligingstechniek die twee factoren gebruikt om een computersysteem te beveiligen of om de identiteit van een persoon te controleren. Uitgangspunt hierbij is dat één factor niet genoeg is.

Bij 2FA is de beveiliging beter gewaarborgd door een combinatie van meerdere factoren, zoals:

-        Iets dat de gebruiker weet. Dit is meestal een combinatie van een gebruikersnaam en een wachtwoord of pincode.

-        Iets dat de gebruiker heeft. Bijvoorbeeld het sturen van een sms-bericht met een verificatiecode naar de telefoon van de gebruiker, apps die eenmalige codes of wachtwoorden genereren, hardwaretokens of passen.

-        Iets dat de gebruiker is. Dit betreft de beveiliging door biometrische kenmerken van de gebruiker. Hierbij kun je denken aan een gezichtsfoto (zoals op de iPhone X), een vingerafdruk of een irisscan.

Er zijn dus meerdere vormen van 2FA mogelijk om gegevens te beveiligen. Bijvoorbeeld een wachtwoord en een verificatiecode per sms, een wachtwoord en een vingerafdruk, of een pincode en een pasje. Welke combinatie gebruik je voor welke informatie?

Wat zeggen overheidsorganen over 2FA?

Naast de wetgeving is er veel andere documentatie van overheidsorganen over de beveiliging van persoonsgegevens. In deze publicaties geeft de overheid meer richting over het gebruik van 2FA.

Zo heeft de Autoriteit Persoonsgegevens (AP) in 2016 specifiek aangegeven dat ziekenhuizen in patiëntenportalen gebruik moeten maken van 2FA:

‘Ziekenhuizen moeten daarom gebruikmaken van zogeheten tweefactorauthenticatie. Dat betekent dat het niet betrouwbaar genoeg is als patiënten inloggen met alleen een gebruikersnaam en een wachtwoord, maar dat er nog een verificatiemiddel nodig is. Bijvoorbeeld een token of een sms-code.’

Hieruit kun je concluderen dat de AP vindt dat medische gegevens, gevoelige persoonsgegevens volgens de AVG, met 2FA beveiligd moeten zijn. De AP geeft voorbeelden, maar de omschrijft niet duidelijk welke vorm 2FA moet hebben. Het Nationale Cyber Security Centrum (NCSC) verschaft hier meer duidelijkheid over. In een factsheet uit 2015 geeft het NCSC het volgende aan:

‘Het NCSC adviseert om waar mogelijk gebruik te maken van tweefactorauthenticatie. Een andere naam hiervoor is tweestapsverificatie. Dit bestaat uit authenticatie door middel van twee factoren uit verschillende categorieën. Een voorbeeld hiervan is het gebruik van een wachtwoord en een eenmalig te gebruiken authenticatiecode per sms. Een andere mogelijkheid is de combinatie van een vingerafdruk en een wachtwoord. In een enkel geval wordt daar een derde factor aan toegevoegd.’

Op basis van het advies van het NCSC kun je stellen dat het gebruik van bijvoorbeeld twee wachtwoorden niet voldoende is. De tweede beveiligingsfactor behoort dus echt van een andere categorie te zijn dan de eerste.

Nergens in de wet is vastgelegd dat 2FA een verplichting is. Ook is er geen wetgeving of jurisprudentie over hoe 2FA eruit moet zien. Theoretisch mag je 2FA dus op verschillende manieren inrichten. Gezien het duidelijke advies van zowel de AP als de NCSC lijkt het er echter wel op dat je als organisatie een groot risico neemt wanneer je je gevoelige gegevens níet met 2FA beveiligt. Ook loop je risico als je een vorm van 2FA hebt die gebruikmaakt van twee verschillende factoren uit dezelfde categorie (bijvoorbeeld twee wachtwoorden).

Conclusie

Concreter dan bovenstaande zijn de Autoriteit Persoonsgegevens en het Nationale Cyber Security Centrum niet. Zij adviseren twee factor authenticatie, maar geven geen duidelijkheid over welke vorm van 2FA je het best kunt gebruiken en in welke situaties je deze het beste kan toepassen. Het is dus van belang om intern beleid te voeren over welke vormen van 2FA het meest passend zijn. Niet alle gegevens zijn even gevoelig, maar in het geval van medische dossiers is het duidelijk dat je ‘passende maatregelen’ moet nemen. Iemands urenregistratie bijvoorbeeld zal een stuk minder gevoelig liggen. Beoordeel de gevoeligheid van de diverse soorten gegevens, en probeer ze te categoriseren. Bepaal welke soort gegevens je 2FA verplicht stelt. Het toepassen van 2FA op jouw eigen account is makkelijk uit te voeren, maar hoe ga je als organisatie om met het communiceren van gevoelige gegevens naar externe partijen? Om terug te komen op het voorbeeld aan het begin van dit blog: wat is het beleid omtrent het versturen van medische dossiers naar andere organisaties? Hoe zorg je er voor de 2FA toepast op de ontvanger? Als je gebruikmaakt van ZIVVER stel je dit gemakkelijk in vanuit Outlook. Bekijk deze video of lees er meer over in dit artikel.  

Vergeet ook niet om de medewerkers op de hoogte te stellen van het beleid, zodat zij weten wanneer ze welke vorm van 2FA moeten gebruiken. Aangezien 2FA inmiddels gemeengoed is geworden (bijvoorbeeld de randomreader of een authenticator app), kun je er gelukkig vanuit gaan dat je medewerkers 2FA zonder veel problemen zullen accepteren.

Let op: om je gegevens passend te beveiligen volgens de AVG is er meer nodig dan alleen twee factor authenticatie. Denk bijvoorbeeld aan TLS en encryptie.

 

Zorg voor bewustwording rondom privacy en de AVG


Om ervoor te zorgen dat werknemers op de juiste manier met gevoelige gegevens omgaan, is het belangrijk dat zij zich bewust zijn van het belang van veilige informatieverwerking. Dit is zo belangrijk omdat 46% van de datalekken ontstaat doordat medewerkers niet bewust omgaan met gevoelige gegevens. Maar hoe pak je dit aan? In dit e-book geven wij een antwoord op deze vraag en geven we je praktische tips.

Ga naar ebook

Picture of Eva Malten

Eva Malten

Eva studeerde Nederlandse taal en cultuur in haar favoriete stad: Utrecht. Daarna ontwikkelde ze zich tot communicatiemedewerker en werkte bij diverse uitgeverijen en de Bibliotheek Utrecht. Ze houdt van lezen en schrijven en is gespecialiseerd in compacte teksten met een heldere boodschap. Ze voelt zich thuis in het energieke en enthousiaste team van ZIVVER. In haar vrije tijd gaat Eva met haar gezin op stap in Utrecht of staat ze in de keuken om een taart te bakken.