Veilig inloggen in patiëntendossiers

Tweetraps-authenticatie bij PsyDirect

Tremani onderhoudt en ontwikkelt al jaren het online zorgdossier PsyDirect. Voor patiënteninformatie is de strengste beveiliging noodzakelijk, om te zorgen dat gegevens niet uitlekken. Daarom hebben we in een recente update de login-procedure uitgebreid met een zogenoemde tweetrapsauthenticatie.

Om verder te voldoen aan geldende veiligheidseisen wilde de Zorggroep Gelders Rivierenland (eigenaar van PsyDirect) op ons advies two-factor authentication implementeren. In essentie gaat het erom dat de gebruiker inlogt met iets dat hij weet (wachtwoord) én iets dat hij heeft (zoals zijn telefoon).

Gebruikers van PsyDirect zijn vooral POH-GGZ-professionals. In die omgeving werd een dergelijke login nog niet in andere systemen toepast - we konden dus niet bij een standaard methode aansluiten. We hebben daarom een methode ingevoerd die zo min mogelijk aanpassingen bij de gebruikers behoeft. De meest eenvoudige implementatie is een verificatiecode die de gebruiker ontvangt per sms of ophaalt in een app zoals Google Authenticator. 

PsyDirect is - zoals alle systemen van Tremani - een online applicatie. De gebruiker logt dus gewoon in via de webbrowser, op een login-scherm. Mits goed beheerd en uitgevoerd, is een loginnaam en een wachtwoord een behoorlijk veilige ingang, maar soms is wat meer zekerheid gewenst. Aan het login-account wordt in dit geval een persoonlijk apparaat gekoppeld dat de gebruiker altijd bij zich heeft - de mobiele telefoon. Zodra wordt ingelogd, verschijnt op de gekoppelde telefoon een code die ook in het loginscherm ingevoerd moet worden, en daarmee weet het systeem dat echt de accounthouder wil inloggen. Misbruik van wachtwoorden en logins wordt op deze manier bijzonder lastig: je moet niet alleen het wachtwoord van een gebruiker achterhalen, maar ook diens mobiele telefoon kunnen beheren op het moment van inloggen. Een doeltreffende manier dus om een strengere beveiliging te implementeren zonder de gebruikers enorm veel extra handelingen te laten verrichten.

Voor gebruikers zonder mobiele telefoon is een koppeling met een eenvoudig token beschikbaar: een klein apparaatje dat je aan je sleutelbos kunt hangen, waar de inlogcode op verschijnt. Ook tokens in de vorm van creditcards zijn beschikbaar, altijd makkelijk mee te nemen in de portemonnee.

Vragen over hoe dit werkt, en of het ook bij uw online systeem kan worden geïmplementeerd? Neem contact met ons op om te zien of het nodig en mogelijk is!  

Meld u aan voor onze nieuwsbrief