Voor gebruik van VECOZO moeten je klokken gelijk lopen

VECOZOVanaf 1 januari 2022 verplicht VECOZO de zorgverleners die hiermee werken een twee-factor authenticatie toe te passen. Men moet daarbij gebruik maken van een authenticator-app op een smartphone/tablet. Daarbij blijkt een correcte systeemtijd van het Huisarts-Informatie-Systeem(HIS) en de systeemtijd op de smartphone/tablet van groot belang te zijn. Indien die beide tijden verschillen vindt geen authenticatie plaats. Het gebruik van een dergelijke app hangt samen met het opschroeven van de beveiliging voor het inloggen op het dataportaal VECOZO. Men maakt gebruik van beveiligingscertificaten(systeem- en persoonlijke), een inlognaam en wachtwoord plus nu dus een authenticator-app om zeker te weten dat degene die inlogt, degene is die hij/zij zegt te zijn. VECOZO controleert sinds november 2021 de IP-adressen van de systeemcertificaten die zorgverleners gebruiken bij inloggen. Met de authenticatieapp schroeft men de beveiliging van de persoonlijke certificaten op.

VECOZO

VECOZO staat voor VEilige COmmunicatie in de Zorg. Het is het internetportaal voor veilige communicatie in de zorg tussen zorgverzekeraars, zorgverleners en zorgkantoren. Het is opgericht in 2002 door de zorgverzekeraars CZ, OZ en VGZ en groeide daarna uit tot hét dataportaal in de zorg. Alle huisartsen maken er gebruik van. Dat is bijv. voor controle op verzekeringsrecht (COV), contracteringen met zorgverzekeraars, indienen van de declaratiebestanden bij de zorgverzekeraars en nieuwe patiënten van de huisartspraktijk via inschrijving op naam (ION) aanmelden in het centrale huisartsregister. Alle functies vindt men hier.

Werking authenticatie-app

Er bestaan meerdere authenticator-apps die VECOZO ondersteunt voor zowel iPhone als Android-toestellen. Het zijn de Google-, Microsoft-, FreeOTP-, Android OTP-Authenticator en Authy. Het idee achter deze app is dat jij samen met de applicatie waar je in wilt loggen een geheim deelt. Dat geheim zal echter nooit over het Internet verspreid worden tijdens de inlogprocedure. Wat er wel gebeurt, is dat door allerlei ingenieuze berekeningen waarin ook de tijd wordt betrokken, de app een eenmalige cijfercombinatie genereert. Die is een paar minuten geldig, dan komt er een nieuwe. De app heeft datzelfde geheim, moet met de tijd synchroon lopen aan de website en is dus in staat datzelfde wachtwoord te berekenen. Die gegevens staan alleen op jouw telefoon, dus niemand anders kan er bij. Je hebt dus als het ware een digitale “huissleutel” die je in combinatie met je wachtwoord moet gebruiken om bij je site te kunnen komen.

Noodzaak van dezelfde tijd

Het systeem waar de app gebruik van maakt heet het TOTP-protocol. Dat staat voor Time based One Time Protocol.

Zoals gezegd, het wachtwoord wordt onder andere met behulp van de huidige tijd gegenereerd. Hierom is het van het grootste belang, dat die tijd ook juist is. Het eerste wat je dus controleert is of de tijd op je telefoon en de tijd op je server ‘gelijk’ zijn. Menigeen gaat er van uit dat de huidige besturingssystemen zeer frequent de tijd synchroniseren met een zogenaamde ‘Timeserver’. Dat is een internetserver die de correcte tijd aangeeft. Toch komen afwijkende systeemtijden vaker voor dan men denkt.

Afwijkende systeemtijd

Over het algemeen is het synchroniseren van de systeemtijd van iPhones en Androei-toestellen vrij goed geregeld en lopen die gelijk met de atoomklok. Voor besturingssystemen van PC’s / servers ligt dat nogal eens anders. Dat kan meerderde oorzaken hebben. Bijv. door een gebrekkige of niet goed ingestelde tijdsynchronisatie, maar ook door het opraken van de CMOS-knoopbatterij op het moederbord. Deze batterij zorgt er namelijk voor dat de BIOS (het gedeelte van de computer waar je de computer hardware matig in kan stellen) zijn instellingen behoudt wanneer de spanning van de computer weg geweest is. Deze BIOS-batterij, meestal een 3 Volt CR-3032 knoopbatterij, kan bij leegraken ervoor zorgen dat de datum terugspringt naar de productiedatum van het moederbord. In de loop der jaren heb ik zo al een keer of vijf zo’n batterij vervangen in meerdere PC’s.

Gebrekkige synchronisatie

Een afwijkend tijd op een PC of server is beslist niet zeldzaam. Ik vernam vorige week van een huisartspraktijk met inlogproblemen met VECOZO dat daar ook een afwijkende systeemtijd in het HIS mede voor verbindingsproblemen met VECOZO zorgde.  Als je gaat zoeken op het internet naar tijdsynchronisatie-problemen dan vindt je alleen al voor Windows-systemen(bijv. Windows 10 en 11) karrevrachten aan meldingen(bijv. A, B, C ) en oplossingen(bijv. D, E). De oplossingen variëren van simpel tot nogal ingewikkeld. Zo kan een gebruiker wel in Windows 10 een andere ‘timeserver’’ kiezen als basis voor zijn systeemtijd. Vaak is “time.windows.com” de beste keuze.

Systeemtijd doet ertoe   

O.a. het verplichte gebruik van de authenticator-app leidt bij de helpdesk van VECOZO tot aardig lange wachttijden voor zorgverleners die inlogproblemen hebben. Ik vernam dit uit huisartsenkringen. Het is daarom van belang dat de zorgverleners, die voor hun dagelijkse werk ZEER afhankelijk van het VECOZO-portaal zijn, zich realiseren dat ze zelf al tevoren aan troubleshooting kunnen doen. Dat kunnen zij doen door te kijken of hun smartphone/tablet en hun HIS-computers dezelfde systeemtijd hebben. De meeste systemen vermelden tijd en datum in de rechter-onder hoek van het scherm. Enkele minuten verschil kan gezien het bovenstaande al problemen geven.

Zorg dat u bij de tijd blijft.

W.J. Jongejan, 10 januari 2022

Afbeelding van Gerd Altmann via Pixabay