Beheer

Security
inloggen op de laptop

IJsselland Ziekenhuis beproeft ‘single sign-on’ met succes

Voortaan één keer inloggen voor toegang tot alle zorgapplicaties bij het Ijsselland Ziekenhuis.

29 juni 2007

Verplegend personeel en specialisten in het IJsselland Ziekenhuis in Capelle aan den IJssel hoeven binnenkort nog maar één keer in te loggen om toegang te krijgen tot alle applicaties. Dat scheelt hen veel werk, het scheelt de helpdesk veel vragen en het ziekenhuis kan zijn beveiliging naar een hoger niveau tillen.

De cardiologen van het Capelse ziekenhuis klaagden het hardst over de vele inloghandelingen en verschillende wachtwoorden die ze moesten intikken om toegang te krijgen tot alle benodigde systemen. En dus mochten zij als eerste de geneugten van het ‘single sign-on’-systeem OneSign van Imprivata proeven. Eind deze maand volgt een evaluatie. Maar Klaas de Jong, IT-manager bij het IJsselland Ziekenhuis, ziet die met vertrouwen tegemoet: “Ik hoor niets van ze. Dat is een goed teken.”
Het IJsselland Ziekenhuis in Capelle aan den IJssel telt 25 afdelingen met 85 specialisten. De Jong: “Een arts die hier opstart moet eerst inloggen met een wachtwoord voor Windows, dan voor diverse SAP-modules met een ander wachtwoord, dan met weer andere wachtwoorden voor applicaties als het planning operatiesysteem, het labsysteem enzovoort. Het leidde ertoe dat men steeds makkelijkere wachtwoorden ging gebruiken.

Maar volgens de NEN 7510-norm en de audits van de accountants mocht dat niet meer. Die eisen een veel strenger wachtwoordenbeleid. En dat leidt er natuurlijk toe dat die wachtwoorden te complex worden om allemaal te onthouden. Men gaat ze dus op briefjes schrijven en zo en dat is zeer onveilig. Maar men moest wel de wachtwoorden binnen zijn bereik hebben, want de zorg gaat ook ’s nachts door. En als een arts dan zijn wachtwoord is vergeten en niet in de systemen kan, stopt de zorg. En dat kan niet."

Veel

De belangrijkste oorzaak van het wachtwoordenprobleem is de grote hoeveelheid verschillende applicaties die gebruikt wordt in het ziekenhuis. De informatie daarvan is verspreid opgeslagen in dossiers. Het ideaal is dat die samenkomen in het nog immer verwachte elektronisch patiëntendossier. De Jong: “We gaan er daarbij wel van uit dat de gegevens bij de bron moeten blijven. Een voorbeeld: uitslagen van het laboratorium laten we bij voorkeur in het labsysteem Labosys. Dan is duidelijk dat het lab verantwoordelijk is voor die data. Tegelijkertijd willen we wel toegang hebben tot die data.”

Inmiddels is een portal als een schil geplaatst over de vele applicaties heen. Extra probleem daarbij is dat sommige van die systemen te oud zijn of heel erg toegesneden zijn op intern gebruik. IJsselland kan ze daardoor niet breed ontsluiten. “Die moet je dus elk opstarten met een user ID en bijbehoren. Daar willen we ‘single sign-on’ voor gaan gebruiken.”

Ervaring

Gezocht werd naar een oplossing waarmee het mogelijk is de systemen te ontsluiten zonder dat de applicaties geraakt en/of gewijzigd worden. Het IJselland koos daarvoor de oplossing van OneSign van het Amerikaanse ­Imprivata, dat dit jaar gestart is in de Benelux en in Nederland nog erg klein is. Dat was geen probleem voor De Jong. “Onze eerste vraag aan een leverancier is altijd of hij ervaring heeft in een ziekenhuis en dat heeft Imprivata. Ik kijk vooral naar de techniek. Het blijft wel een gokje inderdaad, maar als de techniek goed is, kan hoogstens het management van een bedrijf fout zijn. En de techniek heb je dan al, als het bedrijf onverhoopt failliet gaat. Dat heb ik in al die jaren pas één keer meegemaakt.”

OneSign is een appliance-gebaseerde ‘single sign-on’-oplossing. Het werkt bij het IJsselland Ziekenhuis als volgt. Een applicatie vangt met schermen het user ID en het wachtwoord af. OneSign wordt in de database van de desbetreffende software opgevangen. Het herkent wie de gebruiker is, kijkt welk user ID en welk wachtwoord daarbij horen en zet ze in het scherm.

De authenticatie kan met alle mogelijke middelen geschieden. Het IJsselland gebruikt er voorlopig de Mifare-chipcards voor, die toch al in gebruik zijn voor toegangscontrole en betaling in het bedrijfsrestaurant. Op termijn wordt echter voor de zorgverleners, de artsen en verpleegkundigen, overgestapt op de zogeheten UZI-pas, de unieke zorgverlenersidentificatiepas. Deze pas wordt 1 januari 2008 landelijk ingevoerd en geeft zorgverleners overal toegang tot medicatiedossiers van patiënten. “Als die pas toch wordt ingevoerd, is het handig om hem ook voor ‘single sign-on’ te gaan gebruiken”, zegt De Jong.

Complicatie

Een extra complicatie voor de invoering van ‘single sign-on’ is SAP. Het ziekenhuis gebruikt SAP als ziekenhuisinformatiesysteem. De Jong: “We hebben veel SAP-gebruikers die heel veel en vaak moeten in- en uitloggen. Het afvangen van een user ID en wachtwoord is mogelijk in SAP. Het wordt wat moeilijker als de gebruiker zijn wachtwoord wil wijzigen.” Dan kan Impravata dat deels zelf, maar er moeten daarnaast veel losse stappen voor gezet worden. En dat behoeft nog wel enige verbetering. Want als er nu een nieuwe arts in dienst treedt, moet hij met de hand aangemeld worden voor alle mogelijke systemen waar hij toegang toe krijgt. “Dat zijn allemaal verschillende systemen met eigen databases. Die moeten op termijn aan elkaar geknoopt worden. Nu moet het helaas echt allemaal handmatig gebeuren.”
Het IJsselland heeft drie Imprivata-boxen, voor de veiligheid. Twee staan in huis aan en zijn redundant. De derde staat niet aan, maar die kan in nood wel onmiddellijk aangezet worden.

OneSign is op de afdeling Cardiologie als pilot uitgerold. Veel problemen leverde de uitrol zelf ook niet op. “Wel was de lijst van applicaties die geschikt gemaakt moesten worden langer dan we hadden gedacht. Maar dat is ook alles.” Eind deze maand volgt de evaluatie. Daarna zal de IT-afdeling het MT een definitief voorstel doen over een brede uitrol van OneSign.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!