WebWachtMailer Een geïntegreerd eHealth project
Inhoud Webtoepassing Privacywetgeving eHealth webservices Demonstratie
Webtoepassing Wat is een webtoepassing?
Webtoepassing Wat zijn de repercussies?
Webtoepassing Wat zijn de repercussies? – Veiligheid – Gebruiksvriendelijkheid (usability testing)
Veiligheid van een webtoepassing Serverveiligheid: – Operating system Liefst Linux based (stabiel, open en veilig) Up-to-date!! – Automatische backup naar externe server – Toegang: alleen de poorten open die nodig zijn: 80: webserver (automatische forwarden naar 443) 443: SSL webserver 22: SSH (Secure Shell) voor het programmeren De rest: TOE!
Veiligheid van de webtoepassing Scriptveiligheid: – Gevaar van SQL-injecties Zie injection.phphttp://php.net/manual/en/security.database.sql- injection.php Voorbeeld:
Veiligheid van de webtoepassing Scriptveiligheid (2): – Gevaar voor SQL-injecties:
Veiligheid van de webtoepassing Scriptveiligheid (3): – Gevaar voor SQL-injecties voorkomen: Controleer ALTIJD uw invoer – Check of uw type invoer overeenkomt met wat je verwacht: » Getal moet een getal zijn, anders klopt het niet » Een tekst mag geen “ of ‘ bevatten of het klopt niet » … – Java is hierin beter dan PHP » Java moet je een variabele EERST declareren » PHP kan dit niet, variabele kan van type veranderen (=risico) Er zijn Apache-modules die bewaken voor SQL-injecties: – Suhosin
Veiligheid van de webtoepassing Veiligheid van de transmissie – https is niet persé veilig! Certificaat (minimaal 2048 bit) Encryptiemethode (AES, …) Protocol (TLS 1.2) Sleuteluitwisseling – Te testen op:
Gebruiksvriendelijkheid
Don’t make me think – Uw toepassing moet voor de hand liggen, je moet de gebruiker tonen wat hij/zij op dat moment verwacht – Dus GEEN ingewikkelde handelingen voordat hij/zijn zijn/haar actie kan doen – Liefst minimalistisch, doch essentieel – Zoals internetbankieren (niet altijd minimalistisch)
Gebruiksvriendelijkheid Testen: – Naast een test-gebruiker zitten, terwijl hij/zij zegt wat hij/zij doet/denkt – Vragenlijst
Gebruiksvriendelijkheid
Tijdsgebruik
Gebruiksvriendelijkheid Resultaten
Privacywetgeving Basis = Europese regelgeving – Handvest van de grondrechten van de Europese Unie Art 7: Eerbiediging van het privé-leven en het familie- en gezinsleven – Eenieder heeft recht op eerbiediging van zijn privé-leven, zijn familie- en gezinsleven, zijn woning en zijn communicatie. Art 8: Bescherming van persoonsgegevens 1.Eenieder heeft recht op bescherming van de hem betreffende persoonsgegevens. 2.Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht op toegang tot de over hem verzamelde gegevens en op rectificatie daarvan. 3.Een onafhankelijke autoriteit ziet toe op de naleving van deze regels.
Privacywetgeving Basis = Europese regelgeving – Richtlijn 95/46/EG Richtlijn 95/46/EG – Richtlijn 2002/58/EG en wijziging Richtlijn 2009/136/EG Richtlijn 2002/58/EGRichtlijn 2009/136/EG – Verordening (EG) nr. 45/2001 Verordening (EG) nr. 45/2001
Privacywetgeving Uitvoering = Belgische wetgeving – Meest strenge uitvoering – Privacywet van 8 december 1992 – Uitvoeringsbesluiten KB 13/02/2001: aanpassing aan Europese Richtlijn EG/95/46/EG KB 17/12/2003: werking sectorale comités
Privacywetgeving Toepassingsgebied – Op ALLE persoonsgegevens – NIET op anonieme gegevens: “Persoonsgegevens zijn maar anoniem indien niemand ooit in staat is om te achterhalen over wie het gaat. Dit veronderstelt niet alleen dat naam en adres worden weggelaten, maar ook dat andere ruim of gemakkelijke gekende gegevens worden vervaagd: geen geboortedatum, maar enkel leeftijdscategorie, geen woonplaats, maar eerder arrondissement, geen precieze beroepscategorie en zo verder tot er geen enkele kans op herkenning meer is.”
Privacywetgeving Aangifte aan de privacycommissie – Art. 17. §1. “Voordat wordt overgegaan tot één of meer volledig of gedeeltelijk geautomatiseerde verwerkingen van gegevens die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende doeleinden bestemd zijn, doet de verantwoordelijke voor de verwerking of, in voorkomend geval, diens vertegenwoordiger, daarvan aangifte bij de Commissie voor de bescherming van de persoonlijke levenssfeer.”
Privacywetgeving art. 1. §3 : “Onder verwerking wordt verstaan elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens.”
Privacywetgeving Art 7. §1 “De verwerking van persoonsgegevens die de gezondheid betreffen, is verboden” – Reeks uitzonderingen, waaronder: In het kader van de zorg (moet door een beroepsbeoefenaar KB. 78) In het kader van Wetenschappelijk onderzoek – Regels worden bepaald door KB 13/02/2001
Privacywetgeving Voorwaarden Wetenschappelijk onderzoek (KB 13/02/2001) – verwerking (=onderzoek) Liefst anoniem, anders gecodeerd, anders niet-gecodeerd Onder verantwoordelijkheid van een arts – Codering
Privacywetgeving Voorwaarden voor codering – Art 13: aangifte privacycommissie – Art 14: patiënt op de hoogte brengen! – Art 15: art 14 niet van toepassing Indien onmogelijk of onevenredige inspanning, art 16 wel noodzakelijk Indien opgelegd door wet – Art 16: voorwaarden voor aangifte aan privacycommissie indien art 14 niet mogelijk, machtiging wordt dan verleend
Privacywetgeving Voorbeeld: machtiging voor de WebWachtMailer opzoeken
Webservices eHealth Platform WS = communicatie via internet tussen verschillende applicaties (dus geen directe user-input) Bij het eHealth-platform: – Versturen en ontvangen van XML-berichten XML-Header: authenticatie en veiligheidsgegevens XML-Body: eigenlijk bericht – Berichten verlopen via SSL, dus de facto geëncrypteerd
WS: Secure Token Service
WS: codage in kader van encryptie
WS: Key Generation and Storage Service (KGSS)
WS: Verzekerbaarheid +STS
WS: ehBox Versturen berichten – Opvragen van publieke sleutel ontvanger (WS: ETK) – Encrypteren bericht – Versturen van bericht via WS:ehBox (met STS authenticatie) Ontvangen bericht – Ophalen bericht via WS:ehBox (met STS authenticatie) – Decrypteren bericht met private sleutel reeds in bezit
eHealth in WebWachtMailer
Demo WebWachtMailer Begrip: registratiewijze SOEP: – Subjectief: “wat de patiënt zegt” – Objectief: “wat de arts ziet” – Evaluatie: “wat de arts denkt wat het is” – Planning: “het afgesproken diagnostisch/behandel plan met de patiënt”