Veilig en transparant


Zorgdoc gaat zorgvuldig om met gegevens, privacy en procedures. Ook aan transparantie hecht Zorgdoc veel waarde uit oogpunt van kwaliteit, veiligheid en vertrouwen.

De ontwikkeling van Zorgdoc is afgestemd op de actuele wet- en regelgeving. Daarnaast volgt Zorgdoc nieuwe wet- en regelgeving op de voet, met de bedoeling deze zo snel mogelijk toe te passen en zo mogelijk voor te zijn.

- Is de software van Zorgdoc veilig?

Het technisch ontwerp van Zorgdoc is gebaseerd op het principe ‘security by design’. Dat houdt in dat veiligheid in het ontwerp een centrale plek heeft. Dat betekent bijvoorbeeld dat al in het ontwerpproces het testen van veiligheidsaspecten aan bod komt. ‘Security by design’ waarborgt een betrouwbaar en actueel product op het gebied van beveiliging.

- Hoe is voorkoming van datalek in Zorgdoc technisch geregeld?

De manier van programmeren zorgt er voor dat zowel klant- als gebruikersgegevens altijd strikt gescheiden in eigen dossiers blijven en niet kunnen vermengen.

- Welke voorzieningen zijn er getroffen tegen aanvallen van buitenaf?

Zorgdoc voldoet aan de richtlijnen van de OWASP, tegen cross-site-scripting attacks, SQL injections, etc.

- Welke wijze van encryptie wordt in Zorgdoc toegepast?

Het crypto ontwerp van Zorgdoc gaat om TLS/SSL, in combinatie met de standaard LUKS-encryptie van servers.

- Zijn data in Zorgdoc veilig als de sleutels zijn gestolen?

Ja, Zorgdoc voldoet aan de forward-secrecy eisen op TLS niveau.

- Waar bevinden zich de patiënten data?

De data van Zorgdoc worden geplaatst op eigen servers bij E-Zorg, het landelijke VPN-netwerk (Virtual Private Network) voor de zorg in Nederland. E-Zorg is eigendom van KPN.
Het E-Zorg netwerk is een besloten netwerkomgeving dat werkt vanuit een speciaal voor de zorg beveiligd datacentrum, fysiek gescheiden van het openbare internet, in een ruimte in een deel van een KPN datacentrum in Nederland. Gekwalificeerde partijen mogen bij E-Zorg eigen servers plaatsen en deze aansluiten op het E-Zorg netwerk. De data van Zorgdoc staan op servers die het eigendom zijn van Zorgdoc.
E-Zorg biedt een 99,95% uptime-garantie.

- Is het dataverkeer met Zorgdoc versleuteld?

Ja, alle communicate is end-to-end versleuteld. Ook lokaal netwerkverkeer tussen servers is versleuteld.

- Hoe is de back-up van data geregeld?

Zorgdoc heeft back-up servers in de EU (Frankrijk). In principe kan deze back-up de werking van Zorgdoc overnemen, behalve die zaken die in Nederland via een GZN (goed beheerd zorgnetwerk) moeten lopen, bijvoorbeeld de aansluiting op het LSP. Als het LSP niet beschikbaar is kan de verificatiemodule op dat moment niet volledig werken. Op de overige functies van Zorgdoc heeft de terugval op de back-up geen effect.
Het inschakelen van de back-up is een situatie alleen bedoeld voor toepassing in een heel korte periode.

- Is de code van Zorgdoc in een onafhankelijke review getoest?

Nee, Zorgdoc publiceert de broncode niet en geeft die ook niet af aan derden.

- Is het crypto ontwerp goed gedocumenteerd?

Het crypto ontwerp van Zorgdoc gaat in alle gevallen om TLS/SSL, in combinatie met de standaard LUKS-encryptie van servers. Van beide aspecten van encryptie is documentatie openbaar beschikbaar. Documentatie is dus te herleiden vanuit de certificaten.

- Is Zorgdoc getest met een onafhanklijke security audit?

Ja, SecureLabs B.V. heeft in de periode september-oktober 2014 een security assessment gedaan. Daarvan is een rapportage beschikbaar.*

- Staat Zorgdoc open voor onafhankelijke security audits in opdracht van derden?

Ja, Zorgdoc staat hier voor open.