Een vraag voor mijn mede web nerds: Zou je op een door jou gebouwde website BSN nummers verwerken? Ik zit tussen gebruikers en een ziekenhuis in die per se BSN nodig heeft om bepaalde zorg/dienst te leveren. Loop ik een risico? Is dit met de juist versleuteling op te lossen?
=> More informations about this toot | More toots from Liesbeth_Smit@mastodon.green
@Liesbeth_Smit De eerste vraag is: mag dit van de AVG? Burgerservicenummers mag niet iedereen zomaar verwerken. Ziekenhuizen mogen dat.
Met de juiste encryptie kan het ook veilig. Zover ik weet gaat het via DigID. Dat is sowieso veilig.
=> More informations about this toot | More toots from isisevrinen@mastodon.chasalin.nl
@Liesbeth_Smit Neen, ik zou er onder geen voorwaarde aan beginnen. Dit soort gevoelige informatie opslaan zou ik als individuele webnerd overlaten aan Heule Grote Organisaties die echt weten wat ze moeten met beveiliging.
=> More informations about this toot | More toots from paul@social.van.buu.re
@paul @Liesbeth_Smit heb je weleens gewerkt met vele grote organisaties?
=> More informations about this toot | More toots from bert_hubert@mastodon.nl
@bert_hubert @Liesbeth_Smit ja, heb ik.
=> More informations about this toot | More toots from paul@social.van.buu.re
@paul Ik zou hiervoor ook een expert inschakelen voor encryptie als ik het zou doen. Maar ik twijfel ook. Enige is dat dit een klant is waar ik al jaren mee werk.
=> More informations about this toot | More toots from Liesbeth_Smit@mastodon.green
@Liesbeth_Smit
Kan Yivi dit niet oplossen? π€
https://www.yivi.app/
=> More informations about this toot | More toots from voorstad@mastodon.nl
@Liesbeth_Smit zie al vele goede helpende antwoorden.
Kan specialist @Paapst of @bert_hubert er nog iets aan toevoegen?
=> More informations about this toot | More toots from Frieke72@mastodon.social
@Frieke72 @Liesbeth_Smit @Paapst @bert_hubert Voor de zekerheid: de zorgaanbieder moet zelf de identiteit van de patiΓ«nt vaststellen. Zie https://wetten.overheid.nl/BWBR0023864/
=> More informations about this toot | More toots from klevant@mastodon.nl
@klevant @Frieke72 @Paapst @bert_hubert Klopt, zij kunnen niks zonder BSN en kunnen geen dienst leveren zonder. Maar dan blijft de vraag of ik die BSN wel op een door mij gemaakte website wil opvragen.
=> More informations about this toot | More toots from Liesbeth_Smit@mastodon.green
@Liesbeth_Smit @klevant @Frieke72 @Paapst Heb de diverse antwoorden bekeken - persoonlijk zou ik verwerking van BSN wel aandurven, maar niet gewoon op een 'webhost' ergens. Niet met standaardspullen. Als je geen informatiebeveiligingsprofessional in dienst hebt of bent moet je er niet aan beginnen. In de praktijk doet iedereen het wel gewoon, maar het lijkt me een afrader.
=> More informations about this toot | More toots from bert_hubert@mastodon.nl
@bert_hubert @klevant @Frieke72 @Paapst Bedankt voor je reactie Bert! Ik wil inderdaad niet iemand zijn die dit zomaar met standaardspul doet.
=> More informations about this toot | More toots from Liesbeth_Smit@mastodon.green
@Liesbeth_Smit @klevant @Frieke72 @Paapst er zijn er meer, maar Intermax host een heleboel medische websites en diensten, en komt met de juiste zegels en certificaten, en heeft ook een security club aan boord (NFIR).
=> More informations about this toot | More toots from bert_hubert@mastodon.nl
@bert_hubert Bedankt voor deze tip, wellicht dat ik de klant naar hen doorstuur. Ze zien er kundig uit.
=> More informations about this toot | More toots from Liesbeth_Smit@mastodon.green
@Frieke72 @Liesbeth_Smit @Paapst @bert_hubert Beter nog. Vraag @meneer
=> More informations about this toot | More toots from hansbot@mastodon.green
Bij deze vraag ik het aan @meneer π
=> More informations about this toot | More toots from Liesbeth_Smit@mastodon.green
@Liesbeth_Smit meneer luistert :-)
En Tsja, wat ik wil is niet wat nu mag. Voor mij zou het BSN gewoon een vrij te gebruiken attribuut moeten zijn. Maar helaas is dat niet toegestaan. Het BSN mag, helaas, alleen voor wettelijk bepaalde taken (overheid-burger, zorg, onderwijs). Maar nog steeds uitdrukkelijk alleen wettelijk bepaalde taken.
Ik heb op mijn site een heel verhaal staan: https://freethebsn.nl/page.php?bk=1
Kan ik een specifiek antwoord geven?
=> More informations about this toot | More toots from meneer@mastodon.myfed.space
@Liesbeth_Smit wat je als voorbeeld geeft, lijkt me op voorhand niet BSN-compliant. Eigenlijk mag je het BSN alleen gebruiken als je DigiD als inlogmechanische kunt gebruiken. En wil je dat kunnen doen, dan moet je aan een heel spectrum aan maatregelen voldoen. Kijk even op mijn site naar de pagina over de DigiD-audit.
=> More informations about this toot | More toots from meneer@mastodon.myfed.space
@Liesbeth_Smit en nog een dingetje... Versleuteling is niet afdoende. Dat is alleen maar een stukje technologie, terwijl (zoals ook bij d DigiD-audit blijkt) governance en compliance misschien wel belangrijker zijn. Denk ook aan inloggen/authenticatie: hoe weet je zeker dat de persoon die zich aanmeldt degene is die hij/zij zegt te zijn. Ik heb een mooi vak π
=> More informations about this toot | More toots from meneer@mastodon.myfed.space
@meneer Dit is het interessante. Voor deze dienst maakt het niet uit wie iemand is. In theorie kan dit volledig anoniem. De enige reden dat we BSN nodig hebben is omdat het ziekenhuissysteem niet zonder kan (letterlijk een invulveld dat nodig is bij hen intern om de aanvraag in werking te zetten).
=> More informations about this toot | More toots from Liesbeth_Smit@mastodon.green
@meneer Bedankt voor je heldere uitgebreide antwoord. Het ziekenhuis/chemisch lab waar ik mee werk levert dus een dienst (bloedafname) die door iedereen (ook niet zorgklanten) kan worden besteld. Om dit te doen hebben zij BSN nodig om het in hun systeem te checken. Ik zou de aavraagwebsite maken met betaling & formulier. Zonder DigiD. Toch gek dat ook hun IT en ziekenhuis zelf hier niet over vallen.
=> More informations about this toot | More toots from Liesbeth_Smit@mastodon.green
@Liesbeth_Smit ik snap de relatie met BSN nog niet. Hoe weet het lab dat een bloedmonster bij een BSN hoort zonder validatie?
=> More informations about this toot | More toots from meneer@mastodon.myfed.space
@meneer Zij kunnen geen bloedwaarden meten (of in het systeem zetten) als ze geen BSN nummer hebben. Ze vragen het bloedmonster aan op dat BSN nummer, dat is de link. Ze maken dus een nieuwe tijdelijke ziekenhuis klant aan onder dat nummer om de meting te kunnen doen.
=> More informations about this toot | More toots from Liesbeth_Smit@mastodon.green
@Liesbeth_Smit Oei... Dat proces zouden we even moeten doorgronden. Want dan worden er meer systemen en componenten geraakt en dat BSN is dan wel een belangrijke sleutel (zou ik dus wel prima vinden), maar die stelt hoge, toets are, eisen aan security.
=> More informations about this toot | More toots from meneer@mastodon.myfed.space
@Liesbeth_Smit wat bijv als een klant al in het EPD staat, wie mag er dan bij, hoe zit doelbinding in elkaar, hoe zit het met toegang vanaf een LSP (of hoe heet dat ook alweer?), vragen vragen...brrt
=> More informations about this toot | More toots from meneer@mastodon.myfed.space
@Liesbeth_Smit ik zou er eigenlijk niet verder iets over kunnen zeggen. Maar het is natuurlijk geen nieuw iets, andere organisaties zullen het toch ook op een deugdelijke manier ingericht hebben?
=> More informations about this toot | More toots from meneer@mastodon.myfed.space
@meneer Dat verbaasd me het meest, dat niemand hier over lijkt na te denken of weet hoe het wel kan. Ik hoor wel uit andere medische IT hoeken dat dit soort projecten eigenlijk altijd komen stil te liggen omdat het niet kan/mag. Wat me ook zonde lijkt (helemaal als het een tool is die iemand kan helpen gezonder te leven).
=> More informations about this toot | More toots from Liesbeth_Smit@mastodon.green
@Liesbeth_Smit het is vooral een politiek vraagstuk. Politiek is bang voor verandering...er mocht eens een risico over het hoofd gezien zijn. Onzin natuurlijk BSN is betekenisloos.
=> More informations about this toot | More toots from meneer@mastodon.myfed.space
@meneer Als de klant al een patientenpas bij het ziekenhuis heeft is het makkelijk, dan gaat het via het zorgportaal van het ziekenhuis met DigiD (al moet de aanvraag nog steeds via de externe website gaan). En in principe zou een huisarts erbij moeten/mogen kunnen.
=> More informations about this toot | More toots from Liesbeth_Smit@mastodon.green
@meneer @Liesbeth_Smit Volgens mij heb je hier inderdaad wel te pakken dat het probleem eigenlijk ergens anders zit. Het ziekenhuis kan ook een tijdelijke patient aanmaken met een andere ID dan hun BSN, toch? (Bijvoorbeeld een versleutelde versie van het BSN, misschien dat jij dezelfde versleuteling kan toepassen.)
=> More informations about this toot | More toots from KeithWM@mastodon.social
@KeithWM @Liesbeth_Smit als je BSN feitelijk niet relevant is, dan zou je een nep-BSN moeten pakken. Versleuteling van een BSN leidt toch tot een persoonsgegeven, want het zou wellicht teruggerekend kunnen worden. Het moet bestaanbaar zijn (9 tekens met 11-toets) maar niet bestaan. Mwahhh, nee lijkt me moeilijk veilig te maken.
=> More informations about this toot | More toots from meneer@mastodon.myfed.space
@Liesbeth_Smit Ikzelf zou hier niet zo snel aan beginnen. Ik zou dan eerder aanraden om inloggen met Digid te maken. Dan heb je toegang tot dezelfde informatie, maar hoef je die niet zelf op te slaan.
=> More informations about this toot | More toots from lucp@toot.re This content has been proxied by September (3851b).Proxy Information
text/gemini