NHS COVID-19 digitaal personeelspaspoort: pentesters van Claranet zorgen voor een veilige uitrol

Samenvatting

Gebruikte diensten:
Pentesten

Uitdaging: NHS had tijdens de corona-pandemie behoefte aan een veilig digitaal personeelspaspoort in plaats van onhandige papieren dossiers.

Oplossing: Claranet heeft elke applicatie gebruikt werd om toegang te krijgen tot NHS-gegevens en -systemen grondig getest voordat deze ‘live’ gingen.

Resultaat: Het tijdelijke COVID-19 digitale personeelspaspoort is instrumenteel geweest bij het plaatsen van de juiste mensen op de juiste plaats, op het juiste moment.


Tijdens de wereldwijde COVID-19 pandemie was er een enorme uitdaging om het zorgpersoneel goed te verdelen over verschillende ziekenhuizen. Tekorten werden opgelost door medewerkers onderling uit te wisselen of uit te lenen en tijdelijk personeel in te huren. Om geen tijd te verliezen bij de onboarding en het inwerken, was er behoefte aan een digitaal personeelspaspoort in plaats van onhandige papieren dossiers. Aangezien het belangrijk is dat er zorgvuldig werd omgegaan met de persoonsgegevens werd Claranet door de NHS Blackpool Teaching Hospitals ingeschakeld om de omgeving en applicaties te pentesten.

De Blackpool Teaching Hospitals NHS Foundation Trust ligt aan de westkust van Lancashire en opereert binnen een regionaal verzorgingsgebied dat Lancashire en South Cumbria omspant. De ziekenhuizen leveren een reeks gezondheidszorgdiensten aan de 445.000 inwoners van Blackpool, Fylde, Wyre en North Lancashire én zo’n 18 miljoen jaarlijkse bezoekers aan de populaire badplaats Blackpool.

De uitdaging

De wereldwijde pandemie van het coronavirus heeft de digitale transformatie van veel zorgorganisaties onherkenbaar versneld. In veel gevallen is, wat normaal gesproken meerdere jaren zou hebben geduurd, in slechts een paar weken ontwikkeld. Voor de NHS was het tijdens de pandemie dringend nodig om hoogopgeleid personeel tijdelijk in te zetten bij verschillende NHS-organisaties om effectieve en efficiënte patiëntenzorg te kunnen blijven leveren. Wanneer een personeelslid tijdelijk naar een andere locatie moest worden overgeplaatst, werden voordien in het kader van het administratieve proces uitleencontracten opgesteld en persoonlijke en arbeidsinformatie gecontroleerd, allemaal handmatig.

Tijdens de pandemie was tijd echter van essentieel belang, dus was het absoluut noodzakelijk dat deze processen konden worden vereenvoudigd, en waar mogelijk met behulp van technologie.

Andrew Temple, Senior Project Manager bij Blackpool Teaching Hospitals, legt uit: "Het onboardingproces was handmatig, waarbij fysieke controles van documenten nodig waren voordat een personeelslid op een nieuwe locatie kon werken. Maar toen de pandemie uitbrak, was het duidelijk dat het proces gedigitaliseerd moest worden. Het was absoluut noodzakelijk om administratieve lasten voor de artsen te verminderden zodat ze zoveel mogelijk tijd aan hun patiënten konden besteden."

Elke aplicatie die we gebruiken om toegang te krijgen tot NHS-gegevens en -systemen moet grondig worden getest om te garanderen dat we een goede gegevensbeveiliging toepassen en dat persoonlijke informatie correct wordt behandeld en beschermd.”

Andrew Temple
Senior Project Manager, Blackpool Teaching Hospitals

De oplossing

Verschillende teams kwamen samen om een NHS COVID-19 digitaal personeelspaspoort te ontwikkelen. Dit bood een veilige en efficiënte oplossing met behulp van blockchaintechnologie. Een applicatie en een HR-portaal om vertrouwde personeelsinformatie naadloos over te brengen van een personeelsdossier op een smartphone naar het personeelsdossier van de werkgever.

Het paspoort is het afgelopen jaar grondig getest om de tijd die nodig is om personeel in te werken te verkorten. Dit was van groot belang tijdens de COVID-19 pandemie én de herstelperiode, wanneer medewerkers snel bij diverse NHS-organisaties moesten worden ingezet.

Wanneer een medewerker wordt ingezet bij een andere NHS-organisatie, kunnen zijn of haar identiteit en arbeidsgegevens worden geverifieerd met behulp van een QR-code op een mobiel apparaat. Door de cryptografische referenties van personeelsleden te valideren, kunnen NHS-organisaties vertrouwen hebben in zowel de identiteit als het dienstverband van medewerkers. Het biedt state-of-the-art encryptie van gevoelige persoonlijke gegevens, die grondig is getest voordat het systeem in gebruik werd genomen.

"Elke applicatie die we gebruiken om toegang te krijgen tot NHS-gegevens en -systemen moet grondig worden getest om er zeker van te zijn dat we goede gegevensbeveiliging toepassen en dat persoonlijke informatie correct wordt behandeld", aldus Andrew Temple, Senior Project Manager bij Blackpool Teaching Hospitals.

Dit is waar de expertise van Claranet nodig was. Met meer dan 20 jaar ervaring in penetratietesten heeft het team de oplossing beoordeeld om er zeker van te zijn dat deze was ontworpen en gebouwd met het oog op security. Beveiligingscontroles, zoals die voor authenticatie- en autorisatiecontroles, werden grondig herzien om ervoor te zorgen dat alleen medewerkers die toegang tot het systeem moesten krijgen, dat ook konden.

Het tijdelijke digitale personeelspaspoort van COVID-19 heeft ertoe bijgedragen dat de juiste mensen op het juiste moment op de juiste plaats zijn. Onze rol was te zorgen voor een veilige uitrol van de technologie.”

Dave Ashton
Directeur Security, Claranet Verenigd Koninkrijk

De resultaten

Claranet zorgde ervoor dat alle nieuwe en bestaande gegevens robuust en veilig werden opgeslagen en niet konden worden gedeeld tussen apparaten.

Om het proces verder te beveiligen, zorgde Claranet ervoor dat iedereen die zelf referenties uitgaf unieke accounts had en dat bij elke aanmelding twee-factor authenticatie werd gebruikt. Naast het testen van de applicatie zelf, zorgde Claranet er ook voor dat alle back-end diensten robuust waren door ze te onderwerpen aan strenge penetratietesten.

Aangezien de applicatie nog steeds wordt verfijnd en er bijna maandelijks nieuwe iteraties worden ontwikkeld, wordt Claranet nog steeds gevraagd om verdere penetratietests uit te voeren. "In veel opzichten levert Claranet de 'Sec' in onze DevSecOps," zegt Andrew Temple. "Hun penetratietesten zijn dynamisch, richten zich op de nieuwe functies en stroomlijnen daardoor het ontwikkelingsproces."

Claranet heeft gedurende het hele project flexibel gewerkt om tegemoet te komen aan de versnelde termijnen waaraan het project moest voldoen. Het team heeft waar nodig in het weekend gewerkt en ervoor gezorgd dat rapporten binnen 24 uur naar het project werden teruggestuurd, zodat elke fase van de applicatieontwikkeling tijdig live kon gaan.

"Het tijdelijke COVID-19 digitale personeelspaspoort is instrumenteel geweest bij het plaatsen van de juiste mensen op de juiste plaats, op het juiste moment", voegt Dave Ashton, UK Security Director bij Claranet, toe. "Onze rol is om te zorgen voor een veilige uitrol van de technologie en we zijn verheugd om de Blackpool Teaching Hospitals te ondersteunen in hun fantastische werk."