Thumbnail

Altrecht Mental Health: 'Tokenless authentication that fits in time'

securenvoy 25/11/2013, Archive

Five hundred employees of mental health institution Altrecht made earlier this year made the two-factor authentication move from hard tokens to SecurEnvoys tokenless authentication solution, with great satisfaction . By the beginning of 2014, all 1,500 hard tokens are replaced by the solution of SecurEnvoy . "By this time everyone is so enthusiastic that even the most hardened of token users are converted"Altrecht has three thousand employees and about twenty thousand patients each year; a large organization in the field of mental health . "And a complex organization"  Security Officer Frans van Vugt , who has served as counselor with 37 years of service and say belongs to the furniture of Altrecht.

Altrecht has 130 buildings in use , spread over two-thirds of the province of Utrecht . However, the treatment also takes place outside in the field, such as in the patient's home, or if necessary, at the police station". The challenge is to ensure that the ICT resources are available everywhere" says Van Vugt. "For example, an electronic patient record should be available to all workers. When you need one, from anywhere, on any device, for any authorised employee"

Staying Confidential

However, a greater concern for Van Vugt and his colleagues is the protection of privacy, sensitive data, such as those stored in an EHR. "Mental health is still a taboo subject for many people" Van Vugt explains. "If you are in hospital you will get plenty of attention , but when you walk in the community mental health care is a lot more sensitive. Mental health traditionally is already used to confidentially deal with sensitive information. But how do you ensure that sensitive information remains confidential and secure?". A challenging example are e-health initiatives, such as those offering over the internet questionnaires or assignments that fit a treatment. Possibly they involve the exchange of data between Altrecht and a third party. That may be the case when the hosting of an e-health application outside Altrecht, its then, according to Van Vugt, you need to be creating it in accordance with NEN 7512 .

Another important measure for the regular storage of medical data is the answer to the question: how do you ensure that privacy-sensitive data is kept confidential? This has everything to do with what Van Vugt calls "the measures to the front door". "You must be able to determine whether a counselor is authorized to consult data. Then you come from the BS 7510 which requires you to use two-factor authentication to gain access to patient data, then you must not only know something , but also have something, which is where the tokenless solution is so powerful, as everyone carries a device so you can easily perform this authentication and be compliant".

SMS authentication

For years, Altrecht employees had hard tokens to log into the EHR via the Citrix Access Gateway, the electronic prescription system ESS and personnel information. This solution, however, proved expensive, maintenance prone and intensive on-going management". In particular, the issuance process is very complex ," says Dick Hoogendoorn, Consultant / Project ICT in Altrecht . "In addition, users frequently lose their token or mislay them  or even find them turning up in the washing machine "

After a brief exploration of the market, Hoogendoorn & Van Vugt were quickly charmed by the SMS authentication solution from SecurEnvoy. The user first enters a user name and password. If this is done correctly, sends directly a SecurEnvoy six-digit code to the mobile number of the user. If the user can also enter this code correctly, it is definitively determined and the identity of the authorized user receives access to the system .

"This solution fits in that time," notes Van Vugt. " Everybody now has a cell phone and in fact users are more careful to protect and value their mobile than with a hard token. Private phones can also be used as a token, however these details are hidden in the repositry because not everyone wants to publicize their private number"

Broad Support

The trial started in September 2012 as a Proof-of –Concept.  After a short survey on the intranet Altrecht showed broad support among the employees to change for SMS authentication, commented Hoogendoorn: "During this test, we examined whether it technically works , and whether the IT department can manage with the move from tokens to tokenlesst. Our partners, Motiv, had ensured the training of two managers and assisted with the installation, so we were quite at home in the new environment"

After the successful testing and evaluation in Altrech, the project was underway for three hundred users "Of those three hundred users, they had only weeks before the existing hard tokens would expire, so there was some pressure behind it" Van Vugt . Hoogendoorn: "This date was set technically so that everything was in order, the users trained and the service 'aligned' so that tokenless could take over from the traditional tokens, and therein lies the really big profits: the second line managers who for many hours per week were managing hard tokens, could spend more time back in its core . Users can manage their phone through the " face book " of Altrecht and indicate for whom the number must be visible. From the facebook is the phone number transferred to Active Directory and from there to the SecurEnvoy server".

Soft Tokens

Meanwhile, the number of users on SecurEnvoy expanded to 500. "In early 2014 we hope to be almost entirely on SecurEnvoy," says Hoogendoorn. "In two years, everyone is so excited that the inveterate users of hard tokens transferred to the SMS or soft tokens with SecurEnvoy"

The soft tokens SecurEnvoy which a code is generated using an app, are now being evaluated within Altrecht. Hoogendoorn: " With SMS authentication , the cost of SMS does not amount to very much, but still soft tokens provide a direct cost advantage".

"That is a direct compliment to the solution" says Van Vugt . "they arent only concerned with innovation, but equally that the innovation really works".

________________________________________________________

Frans van Vugt en Dick Hoogendoorn van ggz-instelling Altrecht:

‘Sms-authenticatie past helemaal in deze tijd’

Vijfhonderd werknemers van ggz-instelling Altrecht maakten eerder dit jaar de overstap van hardtokens naar two-factor authenticatie op basis van sms-tokens. Naar grote tevredenheid. Begin 2015 moeten alle 1500 hardtokens zijn vervangen door de oplossing van SecurEnvoy. “Tegen die tijd is iedereen zo enthousiast dat zelfs de meest verstokte gebruikers van hardtokens overstag zijn.”

Altrecht is met een kleine drieduizend werknemers en zo’n twintigduizend patiënten per jaar een grote organisatie op het gebied van geestelijke gezondheidszorg. “En een complexe organisatie”, zo weet Security Officer Frans van Vugt, die zelf werkzaam is geweest als hulpverlener en met 37 dienstjaren naar eigen zeggen tot het meubilair van Altrecht behoort.

Altrecht heeft 130 gebouwen in gebruik, verspreid over twee derde van de provincie Utrecht. De behandeling vindt echter ook buiten die gebouwen plaats, zoals bij de patiënten thuis of wanneer nodig op het politiebureau. “De uitdaging is om ervoor te zorgen dat de ICT-middelen overal beschikbaar zijn”, vertelt Van Vugt. “Bijvoorbeeld een elektronisch patiëntendossier moet beschikbaar zijn voor alle hulpverleners. Dan heb je een applicatie nodig die dat kan behappen en moet de netwerkcontinuïteit gegarandeerd zijn.”

Vertrouwelijk

Een grotere zorg voor Van Vugt en zijn collega’s is echter de bescherming van privacygevoelige gegevens, zoals die worden opgeslagen in een EPD. “Op geestelijke gezondheidszorg rust nog altijd voor veel mensen een taboe”, legt Van Vugt uit. “Als je in het ziekenhuis ligt krijg je volop aandacht, maar als je bij de ggz loopt ligt dat heel wat gevoeliger. De ggz is dan ook al van oudsher gewend om vertrouwelijk om te gaan met privacygevoelige gegevens. Maar hoe zorg je ervoor dat privacygevoelige gegevens vertrouwelijk en veilig blijven?”

Een uitdaging vormen bijvoorbeeld E-health-initiatieven, zoals het via internet aanbieden van vragenlijsten of opdrachten die passen bij een behandeling. Mogelijk is daarbij sprake van gegevensuitwisseling tussen Altrecht en een derde partij. Dat kan het geval zijn wanneer de hosting van een E-health-applicatie buiten Altrecht plaatsvindt. Dan dien je volgens Van Vugt een ‘vertrouwensdomein’ te scheppen conform NEN 7512. Om een vertrouwensrelatie aan te kunnen gaan, is het wel van belang dat alle partijen de risico’s in kaart hebben gebracht, bijvoorbeeld door middel van een penetratietest.

“Zie het als een ‘gecontroleerde zoektocht naar risico’s’ door bijvoorbeeld te kijken of de software en besturingssystemen zijn voorzien van de laatste patches. Daar huren wij Motiv voor in. Vervolgens blijf je zelf wel verantwoordelijk voor het beperken van de risico’s. Risicoloos kun je niet werken, maar je moet wel aan kunnen geven welke risico’s je acceptabel vindt en wat je hebt gedaan om de overige risico’s te beperken.”

Een ander belangrijke maatregel voor de reguliere opslag van medische gegevens is het antwoord op de vraag: hoe zorg je ervoor dat privacygevoelig gegevens vertrouwelijk blijven? Dit heeft alles te maken met wat Van Vugt noemt ‘de maatregelen aan de voordeur’. “Je moet vast kunnen stellen of een hulpverlener wel geautoriseerd is om gegevens te raadplegen. Dan kom je bij de NEN 7510 uit die voorschrijft dat je voor de toegang tot patiëntgegevens two-factor authenticatie moet gebruiken. Je moet dus niet alleen iets weten, maar ook iets hebben.”

Sms-authenticatie

Sinds jaar en dag hadden 1500 medewerkers van Altrecht de beschikking over een hardtoken om via de Citrix Access Gateway in te kunnen loggen op het EPD, het elektronisch voorschrijfsysteem EVS en het personeelsinformatiesysteem. Die oplossing bleek echter duur, onderhoudsgevoelig en beheerintensief te zijn. “Met name het uitgifteproces is bijzonder complex”, stelt Dick Hoogendoorn, Adviseur/Projectleider ICT bij Altrecht. “Daar komt bij dat gebruikers hun token regelmatig verliezen of in de wasmachine laten verdwijnen.”

Na een korte verkenning van de markt waren Van Vugt en Hoogendoorn al snel gecharmeerd van de sms-authenticatieoplossing van SecurEnvoy, waarbij voor het inloggen gebruik wordt gemaakt van een sms-code. De gebruiker voert eerst een gebruikersnaam en wachtwoord in. Als dit correct gebeurt, stuurt SecurEnvoy direct een eenmalige, zescijferige code naar het mobiele telefoonnummer van de gebruiker. Als de gebruiker ook deze code correct invoert, is de identiteit definitief vastgesteld en krijgt de geautoriseerde gebruiker toegang tot het systeem.

“Deze oplossing past helemaal in deze tijd”, constateert Van Vugt. “Iedereen heeft tegenwoordig een mobiele telefoon en gaat daar zorgvuldiger mee om dan met een hardtoken. Ook privételefoons kunnen worden gebruikt als token, al moet je dan wel voorzieningen treffen want niet iedereen wil zijn privénummer algemeen bekendmaken.”

Brede steun

Nadat uit een korte enquête op het Altrecht-intranet was gebleken dat er onder de medewerkers brede steun is voor sms-authenticatie, startte in september 2012 een Proof-of-Concept waarin twaalf gebruikers meedraaiden. Hoogendoorn: “Tijdens deze proefopstelling hebben we gekeken of het technisch allemaal werkt, en of wij het als ICT-afdeling allemaal goed kunnen beheren. Motiv heeft gezorgd voor de training van twee beheerders waardoor we vrij snel thuis waren in de nieuwe omgeving.”

Na de geslaagde proef en een korte evaluatie ging Altrecht begin februari van dit jaar over tot de implementatie van sms-authenticatie voor driehonderd gebruikers. “Van die driehonderd gebruikers zouden in maart de hardtokens verlopen, dus er zat wel enige druk achter”, aldus Van Vugt. Hoogendoorn: “Voor die datum moest technisch alles op orde zijn, de gebruikers zijn getraind en de servicedesk zijn ‘opgelijnd’ zodat die de beheertaken van de tweede- en derdelijns beheerders over kon nemen. Daarin schuilt eigenlijk de grote winst: de tweedelijns beheerder die eerst menig uurtje per week zoet was met het beheren van hardtokens, kan nu weer meer tijd steken in zijn kerntaken. De gebruikers kunnen zelf hun telefoonnummer beheren via het ‘smoelenboek’ van Altrecht en aangeven voor wie het nummer zichtbaar mag zijn. Vanuit het smoelenboek wordt het telefoonnummer overgeheveld naar Active Directory en van daaruit naar de SecurEnvoy-server.”

Softtokens

Inmiddels is het aantal SecurEnvoy-gebruikers uitgebreid naar 500. “Begin 2015 hopen we vrijwel volledig over te zijn op SecurEnvoy”, schetst Hoogendoorn. “Over twee jaar is iedereen zo enthousiast dat ook de verstokte gebruikers van hardtokens overgaan op de sms- of softtokens van SecurEnvoy.”

De softtokens van SecurEnvoy, waarbij een code wordt gegenereerd met behulp van een app, worden nu geëvalueerd binnen Altrecht. Hoogendoorn: “Bij sms-authenticatie zijn de kosten voor sms wel niet zo heel hoog, maar de softtokens leveren toch een direct kostenvoordeel op. Binnen de ICT-afdeling hebben we de softtokens al enkele weken draaien, en dat werkt erg goed.”

“Dat is direct ook een compliment voor Motiv”, stelt Van Vugt. “Motiv is niet alleen met innovatie bezig, maar zorgt er ook voor dat de innovatie echt werkt zodat de klant niet vastloopt.”

<streamer>‘Met name het uitgifteproces is bijzonder complex’

<streamer>‘De tweedelijns beheerder heeft nu weer meer tijd voor zijn kerntaken’

<kader>

Altrecht 550 jaar geleden

Altrecht is een instelling met een rijke geschiedenis die helemaal teruggaat tot 1461. Op 26 januari van dat jaar vaardigde het stadsbestuur Utrecht officieel de fundatiebrief van de stichting Willem Arntsz uit voor een ‘gasthuys voir die dulle lude’. Het Willem Arntsz Huis verrees in de binnenstad van Utrecht op de hoek van de Lange Nieuwstraat en de Agnietenstraat. Opname was in die tijd aan strikte regels gebonden. Om in aanmerking te komen voor een plaatsje moest iemand ‘volslagen dol’ zijn, ingezetene van de stad Utrecht en armlastig.

“In het Utrechtse dolhuys stonden met stro gevulde kribben waarin de razenden met boeien konden worden vastgeketend”, zo verhaalt de website www.altrecht550.nl die in 2011 ter ere van het 550-jarig jubileum van Altrecht in het leven is geroepen. “De behandeling zag er in die begindagen anders uit dan nu. Zij kregen smeersels, drankjes, aderlatingen, niespoeder of braakmiddel. Hielp dat allemaal niet, dan ging men over tot wurging. Door het zuurstofgebrek zou de duivel immers wel naar buiten moeten komen… Pas in 1625 werd de eerste academisch opgeleide medicus aan het Willem Arntsz Huis verbonden.”

<einde kader>

Related Posts
See more about SecureIdentity and how it all works Read more
Learn more about us Read more
Contact us Read more
close