Vektis, Fastbyte en Okta beschermen samen de medische gegevens van Nederlandse burgers

Een cruciale rol in de Nederlandse gezondheidszorg

Nederlanders hebben mogelijk het beste zorgstelsel van Europa. Ze staan onveranderlijk op nr. 1 in de Euro Health Consumer Index. Het "chaossysteem" van Nederland bestaat uit een combinatie van publieke financiering en verplichte verzekering met gereguleerde concurrentie tussen verzekeraars en leveranciers.

Vektis is een landelijk informatiecentrum dat verzekeraars, leveranciers en het publiek inzicht biedt in de kosten en de realiteit van de gezondheidszorg in Nederland. Als een Nederlandse burger een medische verklaring indient bij een zorgverzekeraar, gaat die informatie naar de database van Vektis. De database wordt voor meerdere doeleinden gebruikt (in combinatie met de applicaties die Vektis voor het verstrekken van informatie heeft ontwikkeld), bijvoorbeeld voor het opzetten van operationele processen en het verlichten van administratieve lasten voor leveranciers, verzekeraars en toezichthouders.

Als neutrale derde partij is het de taak van Vektis om inzicht te bieden in wie gezondheidszorg ontvangt, waar die zorg wordt verleend en wat het kost. Maar de belangrijkste taak, en de bestaansreden van de organisatie, is ervoor zorgen dat de persoonlijke medische gegevens van elke Nederlandse burger vertrouwelijk wordt bewaard en niet door onbevoegde (publieke of particuliere) partijen wordt misbruikt.

Gezocht: duidelijke antwoorden op vragen over identity

De klantenkring van de organisatie breidt zich uit, omdat steeds meer zorgonderzoekers, zorgleveranciers en consumenten Vektis om hulp vragen bij het analyseren van en reageren op trends in de gezondheidszorg. Die verzoeken komen bovenop de primaire rol die Vektis vervult. Die primaire rol bestaat uit het genereren van benchmarks en gespiegelde versies van informatie die verzekeraars kunnen gebruiken om tarieven en beleidsregels vast te stellen.

Voordat de organisatie met Okta in zee ging, hadden de applicaties een eigen identity store en maakten sommige interne applicaties gebruik van Microsoft Active Directory. Toen de lijst met klanten langer werd, werd het beheer van klantaccounts te gecompliceerd en te complex voor de Vektis Cognos-portal, vertelt Frits Akersmit, IT-architect bij Vektis. "We konden al die verzoeken van nieuwe klanten niet bijhouden, omdat we met veel verschillende omgevingen werkten."

Zelfs toen er verschillende mensen op het identity management werden gezet, kon het team niet snel en nauwkeurig controleren wie toegang tot de informatie in de database zocht. "We willen uiteraard zeker weten dat de persoon die belt of inlogt, echt degene is die hij of zij zegt te zijn", vertelt Harry Wiltenburg, IT-manager bij Vektis. "Als dat niet kan worden gegarandeerd, is de kans op datalekken en andere ernstige incidenten enorm groot."

Wiltenburg: "En alsof dat nog niet genoeg was, is onze werkplek ook nog eens virtueel geworden. Werknemers kunnen dus zelf kiezen waar, wanneer en hoe ze willen werken." In het begin moesten externe werknemers hun IP-adres aan de firewall van de organisatie toevoegen. Maar het proces was zo ingewikkeld dat het bijna onmogelijk was om onderweg te werken of vanaf een andere locatie in te loggen op een tijdstip dat het IT-team niet beschikbaar was.

Een "aha-moment" op het gebied van identity management

Wiltenburg werkte al zes of zeven jaar samen met Fastbyte, een Nederlandse IT-serviceprovider, aan het virtualiseren van werkplekken en het bieden van helpdeskservices. Toen zijn contactpersonen bij Fastbyte hem lieten weten dat ze Okta voor hun eigen organisatie wilden implementeren, begon hij serieus na te denken over de mogelijkheid om het identity management bij Vektis te transformeren.

Dat was het moment waarop het Vektis-team zich realiseerde dat hun organisatie zich moest richten op het genereren van informatie, niet op het beheren van identity, legt Ankersmit uit. De kernactiviteit van Vektis was het bieden van een naadloze experience aan klanten die toegang tot informatie zochten. Een identity management-partner kon helpen die toegang te beveiligen, zodat Nederlandse burgers zich geen zorgen hoefden te maken dat hun medische gegevens in verkeerde handen zouden vallen.

Het team nam verschillende identitypartners in overweging. "Uiteindelijk bleken alleen Microsoft en Okta aan onze vereisten te kunnen voldoen", vertelt Ankersmit. "We keken ook welke van deze twee de meeste out-of-the-box-mogelijkheden bood. En dat bleek Okta te zijn."

"Daarna hebben we een paar proof-of-concepts uitgevoerd met zowel Microsoft als Okta, om te zien wat goed, snel of eenvoudig werkte", vertelt hij verder. "Het was frappant hoeveel eenvoudiger we alles konden regelen met Okta. We hadden voor beide organisaties proof-of-concepts gepland voor de duur van een week. Okta was al in een halve dag klaar."

Het was frappant hoeveel eenvoudiger we alles konden regelen met Okta We hadden voor beide organisaties proof-of-concepts gepland voor de duur van een week. Okta was al in een halve dag klaar.

Het Vektis-team was bijzonder te spreken over het gemak en de relatief lage kosten voor het gebruiksklaar maken van Okta. "We hoeven niet meteen alles in één keer te doen", zegt Ankersmit. "Er kunnen later eenvoudig functies worden toegevoegd, dus dat is erg handig."

Eigen apps koppelen

De out-of-the-box-mogelijkheden waren de belangrijkste reden dat de keus op Okta viel. Toch besloot het Vektis-team met de Okta API te beginnen om eerst de eigen apps van de organisatie aan de Okta Universal Directory te koppelen. "De API heeft een solide structuur", vertelt Ankersmit. "De eerste keer dat ik via de API een applicatie implementeerde en op de nieuwe manier toegang verleende, wist ik meteen dat we de juiste beslissing hadden genomen. En dat we een goede investering hadden gedaan."

"We gebruiken de API soms met zowel SAML als OpenID, en dat werkt prima", vertelt hij. "De API levert geen problemen op, we kunnen eenvoudig alle informatie vinden die we nodig hebben. Bovendien staat er een legertje deskundige programmeurs klaar om ons te helpen. Nadat een nieuwe, door Okta ondersteunde applicatie in productie is gegaan, werkt het gewoon geweldig. Daarna is het net zoiets als aan de rechterkant van de weg rijden. Op een bepaald moment wordt het een automatisme en komt het niet meer in je op dat je ook aan de linkerkant zou kunnen rijden."

Het team koppelt momenteel zoveel mogelijk apps aan Universal Directory en beheert de klantaccounts bijna helemaal via de Okta API. Klanten hoeven maar één keer in te loggen om toegang tot al hun applicaties te krijgen. Ze komen eerst op een loginpagina van Vektis terecht (die mogelijk wordt gemaakt door Okta) en kunnen vervolgens bij alle informatie die ze nodig hebben.

"We hoeven niemand eraan te herinneren dat ze bij A op de ene manier en bij B op de andere manier moeten inloggen", zegt Ankersmit. "Mensen die een account hebben aangemaakt, kunnen een behoorlijk aantal taken via de selfservice regelen. Dat helpt ook enorm. We kunnen helemaal op de Okta-infrastructuur vertrouwen."

Mensen die een account hebben aangemaakt, kunnen ook een behoorlijk aantal taken via de selfservice regelen. Dat helpt ook enorm. We kunnen helemaal op de Okta-infrastructuur vertrouwen."

Het was een grote verandering voor de klanten van Vektis. Wiltenburg: "Voorheen had één organisatie één gebruikers-ID en konden 100 interne gebruikers via die ID toegang krijgen." Voor hen was dat dus een veel eenvoudiger systeem. "Ik had verwacht dat verzekeraars veel klachten zouden indienen en het Okta-platform misschien niet zouden willen gebruiken. Maar toen het systeem eenmaal was uitgerold, bleek dat helemaal niet het geval te zijn. In feite ging het allemaal vrij gemakkelijk."

Ankersmit is het daarmee eens en voegt eraan toe dat zorgverzekeraars het fijn vinden dat ze nu zicht hebben op de mensen in hun organisatie die de Vektis-applicaties gebruiken. Het mes snijdt aan twee kanten", zegt hij. Momenteel zijn er 4600 klanten gekoppeld via de Okta Universal Directory en de Okta API. De meeste klanten gebruiken zo'n vijf tot acht applicaties, waarvoor ze nu nog maar één login per gebruiker nodig hebben. Het hele proces heeft nu een meer uniforme, duidelijk herkenbare Vektis-stijl.

Beheer van toegangsrechten delegeren

Het team wil als volgende stap het beheer van de toegangsrechten delegeren, zodat (contactpersonen van) klantorganisaties zelf accounts kunnen autoriseren en uitschakelen in Okta.

"Stel dat iemand voor verzekeraar A werkt en overstapt naar verzekeraar B zonder dat dit wordt doorgegeven. Dat heb je een probleem", zegt Wiltenburg. Aangezien het eigendom van die informatie bij de verzekeraars ligt (dus niet bij Vektis) is het beter om de verantwoordelijkheid voor de logins van gebruikers aan de verzekeraars over te dragen. "Ik wil die verantwoordelijkheid graag op effectieve wijze kunnen delegeren", zegt hij.

Vanwege procedures rondom het beheer van gebruikers, is het implementeren van toegangsrechtenbeheer nogal ingewikkeld, maar het team boekt vooruitgang. Daarnaast overweegt het team Okta's adaptieve multi-factor authenticatie (MFA) te gebruiken om identities in het systeem te valideren.

Op grond van de nieuwe "één organisatie, één persoon, één identity"-policy van Vektis, moet elke contactpersoon van een klantorganisatie een eigen identity voor het inloggen hebben. Maar Vektis kan de naleving van deze policy alleen garanderen als voor een aantal klanten MFA wordt ingesteld. Er moet namelijk rekening worden gehouden met bepaalde factoren in de klantrelatie en de wijze waarop de database van de klant oorspronkelijk is opgezet.

"We hebben bijvoorbeeld een paar organisaties die services aan meerdere zorgleveranciers bieden", vertelt Wiltenburg. Het kan dus gebeuren dat één persoon die voor drie afzonderlijke organisaties werkt, bij Vektis inlogt om concurrentiegevoelige taken uit te voeren.

Ankersmit: "We willen weten wanneer dat gebeurt, zodat we dat aan die organisaties kunnen doorgeven. En uiteindelijk willen we deze combinaties helemaal verbieden. Dat kan alleen met MFA."

Daarnaast wil hij MFA gebruiken om extra security toe te voegen voor Vektis-werknemers die inloggen vanaf locaties buiten het Vektis-domein. Momenteel is het team bezig Vektis-werknemers via Okta veilige externe toegang tot hun applicaties te bieden.

Meer vertrouwen. Meer betrokkenheid.

Ankersmit: "We hebben nu in een aantal gevallen een beter zicht op wie inlogt."

Maar het team heeft belanghebbenden in de organisatie er wel op moeten wijzen hoe belangrijk identity management voor de bescherming van de data van Vektis is. "In een omgeving die ongelooflijk privacy- en concurrentiegevoelig is, werd identity management niet als topprioriteit beschouwt", vertelt Wiltenburg. "Identity management werd niet berekend, niet aan klanten in rekening gebracht, het was gewoon bij de prijs inbegrepen. Mensen merkten er niets van, omdat het er gewoon was, en dus dachten ze dat het gratis was."

De resultaten later echter duidelijk zien dat er wel meerwaarde is. "Ik had al veel verhalen van mijn eigen mensen gehoord, maar toen ik het aantal actieve gebruikers zo snel zag stijgen, drong het pas echt door dat we iets hadden gekocht dat mensen graag wilden gebruiken" vertelt Wiltenburg. "En de discussie in het managementteam over het nut van Okta? En welk probleem werd er eigenlijk mee opgelost? Die discussie werd niet meer gevoerd."

Ik zag het aantal actieve gebruikers snel stijgen. En de discussie in het managementteam over het nut van Okta? En welk probleem werd er eigenlijk mee opgelost?Die discussie werd niet meer gevoerd.

De beveiliging van medische gegevens in de toekomst

Wiltenburg verwacht dat Vektis het huidige pad blijft volgen, en met Fastbyte en Okta blijft samenwerken om het beheer van klantaccounts te stroomlijnen en interne teams eenvoudiger toegang tot hun werk te bieden. Hij verwacht dat het aantal klant-identities in de toekomst zal stijgen. "We krijgen steeds meer interacties met zorgleveranciers", zegt hij. "Het gaat om vrij veel kleinere organisaties, dus ik denk dat we een forse toename van het aantal identities tegemoet kunnen zien."

"En onze eigen producten en services worden waarschijnlijk ook verder uitgebreid en aangepast, zodat we onze rollen en groepen daarop moeten aanpassen." Het Fastbyte-team zit er bovenop, zowel in de rol van architect als in de rol van contractpartner. Ze ontdekken nieuwe Okta-licentiemogelijkheden die aansluiten op de groeiende activiteiten van Vektis, en zoeken samen met Wiltenburg naar financiële en functionele opties die op de lange termijn voordeel kunnen opleveren.

Ondertussen bouwt Vektis verder aan een veilig platform, zodat de organisatie vol vertrouwen kan inspelen op nieuwe mogelijkheden voor medische gegevens die zich in Nederland voordoen.

Over Vektis

Vektis is het nationale informatiecentrum voor Nederland. De organisatie verzamelt medische gegevens via verzekeringsverklaringen. Verzekeraars, leveranciers en het publiek kunnen via de database en de eigen applicaties van Vektis meer inzicht krijgen in de kosten en de realiteit van de gezondheidszorg in Nederland. Als neutrale derde partij is het ook de taak van Vektis om de vertrouwelijkheid en veiligheid van de persoonlijke medische informatie van elke Nederlandse burger te waarborgen.