Nick Zuiderwijk

Whitepaper: (On)zin van veilig mailen – Veilig cliëntgegevens mailen met Gmail/Outlook

Nick Zuiderwijk, Expert Informatiebeveiliging

Als het om persoonsgegevens gaat, lijkt het logisch dat e-mails “veilig” verstuurd moeten worden. Maar wat betekent “veilig mailen” eigenlijk? 

Er zijn vele mogelijkheden om je e-mailomgeving in te richten. Wat is de juiste combinatie van veiligheidsmaatregelen? En, nog belangrijker, wanneer kun je de conclusie trekken dat de inrichting van de e-mailomgeving veilig genoeg is?

Om tot handvatten voor “veilig mailen” te komen, heeft de Nederlandse zorgsector in mei 2019 het NTA 7516-normenkader geadopteerd. Vijf jaar later blijkt dat echter te zijn uitgemond in een “veilig mailen”-pandemie. Symptomen zijn:

  • Een wildgroei aan “veilig mailen”-software/appjes/extensies. Soms meerdere per zorginstelling;
  • Gesloten infrastructuren uit commercieel belang;
  • Gefrustreerde zorgprofessionals door slecht functionerende applicaties;
  • Verwarring bij security officers en IT-beheerders door onduidelijke eisen;
  • Torenhoge kostenposten door dure implementatie en licenties.

Hoe is deze situatie ontstaan? Waarom gebruiken we eigenlijk niet gewoon Gmail en Microsoft Outlook om “veilig te mailen”? Samen met zes zorgorganisaties (BrabantZorg, Zorgcentra de Betuwe, Laurens, Buurtzorg, Altrecht en Amstelring) hebben wij KPMG gevraagd om hier een objectief raamwerk voor op te stellen. En Gmail hiertegen te toetsen.

Benieuwd naar de resultaten?


Klik hier om de whitepaper aan te vragen


Nick Zuiderwijk

Beveiliging lijkt een ‘moetje’, maar is eigenlijk een ‘wilje’

Nick Zuiderwijk, Expert Informatiebeveiliging

Informatiebeveiliging. Het klinkt ingewikkeld. En, vooral, als héél veel werk en administratieve rompslomp. Het is dan ook een onderwerp dat aan veel bestuurstafels vakkundig wordt ontweken. Toch komt het moment dat de hete aardappel moet worden opgepakt. Maar door wie? Kunnen we de IT-manager een dag per maand vrijspelen om ermee aan de slag te gaan? Werkt er toevallig een ambitieuze (en goed betaalbare) collega bij de Servicedesk die kan ondersteunen? “Eh…over drie maanden zijn jullie wel klaar, toch?”

Ja, je moet ergens beginnen, de goede bedoelingen oppoetsen, de koe bij de hoorns vatten. Alleen: ‘zomaar’ starten, leidt meestal niet naar de gewenste finish. Bijvoorbeeld omdat het concept informatiebeveiliging eigenlijk niet goed wordt begrepen. Vaak wordt het puur technisch (“Fred, timmer de systemen he-le-maal dicht”) uitgelegd, maar techniek is maar een klein onderdeel van het geheel. Komt bij dat de ingewikkeld geformuleerde normteksten (zie NEN 7510) het er niet veel makkelijker of duidelijker op maken. Waar het écht om draait, is dat je als organisatie antwoorden formuleert op vijf vragen, namelijk:

  • Welke informatie proberen we precies te beschermen?
  • Waartegen proberen we ons te beschermen? Onbeschikbaarheid? Fouten? Onbevoegde inzage? Niet voldoen aan wet- en regelgeving?
  • Wanneer vinden wij zelf dat onze informatie voldoende beschermd is?
  • Welke risico’s lopen we met onze informatie?
  • Welke maatregelen treffen we om risico’s tot een bij ons passend niveau te reduceren?

Informatiebeveiliging draait niet om het afvinken van een technische actielijst. En je kunt evenmin volstaan met standaardmaatregelen die op elke organisatie en sector van toepassing zijn. Het gaat erom dat je de kroonjuwelen van jouw organisatie passend beschermt. Ongeacht of die in een kluisje in de cloud liggen, op post-its zijn gekrabbeld of in het koppie van een collega zijn opgeslagen. En: wat ‘passend’ is, bepaal je zelf. Dat begrijpen, werkt bevrijdend. Weg met stoffige beleidsdocumenten die niemand leest! Weg met onnodige en onneembare digitale hindernissen! Weg met ingewikkelde normenkaders en teksten! Laten we in plaats daarvan onderzoeken wat wij zelf belangrijk en acceptabel vinden, en hoe we dit op een praktische manier kunnen borgen. Tuurlijk, het is voor elke organisatie ‘een moetje’ om de informatiebeveiliging goed in te richten. Enerzijds omdat dit een wettelijke verplichting is, maar vooral omdat passend beleid je in staat stelt om prettig én veilig te werken. Zorgcollega’s zullen je dankbaar zijn, je portemonnee ook. Dus ja, eigenlijk is informatiebeveiliging zowel een ‘moetje’ als een ‘wilje!’


Foto team lid

Waarom we wachtwoorden zo vaak wijzigen en waarom we dat niet moeten willen

Matthias van Alphen

Bij veel zorgorganisaties is het een standaardprocedure: collega’s worden er elke drie maanden fijntjes op gewezen dat ze hun wachtwoord moeten wijzigen. Dat lijkt vanuit beveiligings​ ​perspectief een logische keuze, want een fris en fruitig wachtwoord kan nog niet overal en nergens zijn beland. Dat het verplicht wijzigen van wachtwoorden als last wordt ervaren, moeten we op de koop toenemen. Toch? Nou, nee. Al was het maar omdat de meerwaarde van frequent wijzigen een mythe is. Sterker, vaak heeft het een tegenovergesteld effect..  

Waarom verplicht wijzigen?

Nieuwe wachtwoorden zijn veiliger dan oude wachtwoorden. Simpelweg omdat ze nog niet around the block zijn geweest. Dat is de aanname die aan het frequente wijzigingsbeleid ten grondslag ligt. Helaas is dat inzicht sterk achterhaald. En onjuist, omdat het ervan uitgaat dat alle mensen rationeel handelen en feitelijk onfeilbaar zijn. Niemand noteert wachtwoorden in een schriftje. Niemand plakt post-its op laptops of monitors. En niemand kiest de geboortedatum van het meest recente (klein)kind als wachtwoord.

De risico’s van minimale aanpassingen

Daar komt bij dat mensen wachtwoorden vaak minimaal aanpassen als ze hiertoe worden verplicht. Bijvoorbeeld door (eureka!) een cijfer aan het oude wachtwoord toe te voegen. Dat levert een reëel veiligheidsrisico op, want onderzoek van Lorrie Cranor, informatica​​​​​ ​professor aan de Carnegie Mellon University, toont aan dat minimale wijzigingen het aanvallers juist makkelijker maken om het nieuwe wachtwoord te kraken. Bijvoorbeeld omdat het oorspronkelijke wachtwoord wél gecompromitteerd is. En alle vervolgen zich laten raden. Geheim1 wordt Geheim2 wordt Geheim3. ​Enzovoorts. ​

Multifactor to the rescue

De opkomst van multifactor​ ​authenticatie (MFA) slaat een nieuwe deuk in het idee dat frequent wijzigen wenselijk of zelfs noodzakelijk is. MFA voegt een extra beveiligingslaag toe door – in aanvulling op het wachtwoord – een tweede vorm van verificatie te vereisen. Denk aan een sms-code of een biometrische scan. Dit betekent dat ‘zwarte hoeden’ die onverhoopt een wachtwoord bemachtigen, nog steeds bij de poort worden geweerd. Dit vermindert de noodzaak van frequent wijzigen aanzienlijk.

Recht naar het punt

Het regelmatig wijzigen van wachtwoorden, was nooit een bijzonder goed idee. Het introduceert namelijk meer risico’s dan het wegneemt. Met de grootschalige introductie van ‘dubbelloops’ beveiligingsmethoden, zoals multifactor​ ​authenticatie, is het helemaal outdated. Tijd dus om niet het wachtwoord, maar het onderliggende beleid aan te passen door te kiezen voor effectieve beveiligingsmaatregelen die zorgverlening beter beschermen. En ook nog een hoop gedoe en irritatie bij medewerkers wegnemen.