De inhoud van deze pagina is enkel beschikbaar in het Engels. Selecteer de EN knop in de rechterbovenhoek van het scherm om de pagina te openen.

Het nieuwe HD Entity Access Management systeem, kort ''EAM'', is gebouwd op een nieuwe architectuur die speciaal is ontwikkeld om de controle over het beheer van gebruikers terug te geven aan de Access Manager. Zo kan deze de levenscyclus van een gebruiker in het systeem van begin tot eind opvolgen.

De nieuwe architectuur en de bijbehorende processen brengen een aantal nieuwe concepten met zich mee. We hebben ze hieronder voor je op een rijtje gezet, aangevuld met reeds bekende concepten.

Access Manager

Een Access Manager (toegangsbeheerder) is een Authenticated User die bijkomende Access Manager rechten heeft binnen het EAM-systeem. Deze rechten worden door healthdata.be toegekend aan de eerste Access Manager van een bepaalde organisatie. Eventuele extra Access Managers moeten door de data provider worden aangeduid en de rechten door de bestaande Access Manager van de betreffende organisatie worden toegekend.

Een Access Manager valideert en beheert gebruikersaccounts binnen het Entity Access Management-systeem, keurt de toegang van deze EAM-gebruikers tot verschillende applicaties voor alle beschikbare projecten goed en beheert deze en heeft de bevoegdheid om EAM-gebruikers en EAM-accounts aan te maken door middel van csv bulk upload.

Account (EAM account)

Een account in EAM is een combinatie van een e-mailadres en een zogeheten "provision" aangevuld met een reeks rechten (access grants) die toegang geven tot een bepaald register. Een account koppelt de EAM-gebruiker dus aan het gewenste register in een applicatie.

Een gebruiker kan meer dan één account hebben, elk met een ander e-mailadres, bijvoorbeeld wanneer deze in verschillende gezondheidszorgorganisaties (HCO's) werkt, en elk met een andere "provision".

Accountstatus

Het overzicht hieronder toont de verschillende statussen van een EAM account tijdens het proces.

De Label kolom vermeldt de naam van de actieknop die beschikbaar is voor de Authenticated User en/of Access Manager in de respectieve GUI schermen. (Alleen de acties Create New Draft en Request approval zijn beschikbaar voor een Authenticated User).

Admin

De Admin of beheerder is een medewerker binnen het healthdata.be-team die over alle rechten en functionaliteiten binnen het EAM-systeem beschikt. Dit gebruikerstype binnen het EAM-systeem dient slechts occasioneel en enkel voor zeer technische of dringende doeleinden worden gevraagd.

Authenticated User

Een Authenticated User (geauthenticeerde gebruiker) is een persoon die is aangemeld bij het EAM-systeem via itsme of eID en een gebruikersprofiel heeft op basis van Voornaam, Achternaam en NISS-code die gedeeld worden bij het aanmelden via de Federal Authentication Service (FAS). Een Authenticated User heeft toegang tot de EAM-toepassing, kan accounts aanmaken en toegangsrechten aanvragen en heeft toegang tot de eigen accountgegevens voor het geval wijzigingen nodig zijn.

Author group

Een Author Group (auteursgroep) is een groep gebruikers met gelijke bewerkings- en leesrechten voor een registratie in een bepaalde applicatie van de organisatie. Het aanmaken van een Author Group is gebaseerd op Voornaam Achternaam van de gebruiker die om toegang vraagt. De groep wordt vervolgens beheerd in het HD Entity Access Management (EAM) systeem.

Voor de applicatie HD4DP2 wordt het veld Author Group automatisch ingevuld voor gebruikersrollen 1 (Study Lead) en 2 (Study Associate). De Author Group voor rol 3 (Study Support) moet in de bijbehorende vervolgkeuzelijst worden geselecteerd.

FAS

De Federale Authenticatiedienst (FAS) is een systeem dat personen authenticeert om hen toegang te verlenen tot beveiligde online-overheidstoepassingen. Het garandeert de authenticiteit van gebruikers voordat ze gebruik mogen maken van beveiligde overheidsdiensten in België.

Grants (Access grants)

Grants (toegangsrechten) definiëren de toegang van een gebruiker tot een register in een bepaalde applicatie met een specifieke rol. De Grants worden toegevoegd aan een EAM-account en moeten worden goedgekeurd door de Access Manager van de betreffende organisatie. Voorbeeld:

Legacy requests

Het tabblad Legacy requests haalt zijn informatie uit de "Requests overview" tabel van de vorige EAM versie (2.7). Het doel van dit overzicht bestaat erin de onbehandelde aanvragen na migratie naar de huidige EAM op te volgen.

Manager (HD Manager)

De Manager is een medewerker binnen het Support-team van healthdata.be. Het niveau van dit beheerdersprofiel heeft uitgebreidere rechten voor geavanceerde acties dan een Access Manager, zonder de functionaliteiten van een Admin voor noodsituaties.

Messages (log)

Berichten worden aangemaakt, telkens als er acties worden uitgevoerd op EAM-accountniveau, bv. het resetten van een wachtwoord, het aanvragen van de goedkeuring van een account, het goedkeuren van subsidies etc. Een bericht is de neerslag van een opdracht die we verzenden naar of ontvangen van de Servicebus. Ze worden in EAM gelogd voor geschiedenisdoelen.

Organization

Of nog: gezondheidszorgorganisatie. Een lijst van alle organisaties inclusief Naam, RIZIV-nummer en de bijbehorende lijst van Access Managers wordt beheerd door de HD Manager. Een organisatie die niet meer actief is, krijgt de status Disabled, zonder dat ze wordt verwijderd uit het EAM-systeem.

Provision

De Provision is de implementatie van een bepaalde applicatie bij een bepaalde organisatie, samen met eventuele specifieke parameters die extra informatie geven over de implementatie.

Service Bus

De Service Bus Is het communicatievehikel tussen ons EAM-systeem en de installaties bij de Data Provider. Terwijl door het vorige EAM-systeem voornamelijk toegangsverzoeken werden beheerd, richt het nieuwe EAM systeem zich volledig op het beheer van gebruikers, inclusief toegangsverzoeken, het aanmaken van accounts, feedbackloop … met als doel een snellere onboarding van gebruikers, een betere gebruikerservaring en minder handmatige interventies door Support / DevOps.

User (EAM user)

De User (Gebruiker) is de centrale entiteit binnen het EAM-systeem. Zodra het profiel van de gebruiker met basisinformatie zoals gebruikersnaam, primair e-mailadres, voornaam, achternaam, SSIN en professionele RIZIV-code, gevalideerd is, heeft de gebruiker toegang tot EAM, klaar om acties uit te voeren. EAM biedt de mogelijkheid om meer dan één RIZIV-code toe te voegen. Elke gebruiker kan aan meer dan één account gekoppeld worden.

User matrix

Algemeen genomen is een User Matrix (gebruikersmatrix) een manier om informatie over gebruikers en hun mogelijke acties overzichtelijk te presenteren. We hebben de User Matrix gebruikt als uitgangspunt voor onze documentatie van het nieuwe Entity Access Management-systeem: een tabel met de verschillende functionaliteiten van de gebruikerstypes Authenticated User en Access Manager. Met een klik op de betreffende link kan je de exacte informatie bereiken.

User roles

User Roles (Gebruikersrollen) bepalen uw toegangsrechten in applicaties van healthdata.be zoals HD4DP2 of healthstat.be voor een gewenst project. De hiërarchie van de gebruikersrollen hoeft niet noodzakelijkerwijs de personeelsstructuur binnen uw organisatie te weerspiegelen. Meer over gebruikersrollen in HD4DP2 vindt u hier. De gebruikersrollen healhtstat.be worden hier gedocumenteerd.

User types

Bij User types (Gebruikerstypes) gaat het om beheerdersrechten binnen EAM, niet om gebruikersrollen die op het niveau van een applicatie zoals HD4DP2 of healthstat.be gelden. Voorbeelden van gebruikerstypes zijn:

• Authenticated user
• Validated user (zie hieronder)
• Access manager
• (HD) Manager
• Administrator

Validated user

Na de migratie van uw gezondheidszorgorganisatie naar het huidige EAM-systeem is het mogelijk dat het gebruikerstype Validated User (gevalideerde gebruiker) zichtbaar is in de kolom Rol(len) van de EAM Users Overview (zie afbeelding hieronder).

Het gaat om gebruikers uit EAM 2.7 na migratie naar het huidige EAM-systeem, waar "Validated" betekende dat het profiel van een gebruiker ingevuld en gevalideerd was door de Access Manager. Dit gemigreerde gebruikerstype heeft dezelfde toegangsrechten als dit van een Authenticated User in het huidige EAM-systeem en heeft verder geen invloed op de functionaliteiten hiervan.

Deze documentatie wordt regelmatig bijgewerkt. We proberen de informatie zo correct, volledig en zo duidelijk mogelijk weer te geven. Als u desondanks iets in de documentatie ziet dat niet correct is, niet overeenkomt met uw ervaring, of verdere verduidelijking vereist, maak dan een support ticket via ons portaal (https://healthdatabe.atlassian.net/servicedesk/customer/portals) of stuur ons een e-mail via support.healthdata@sciensano.be om dit documentatieprobleem te melden. Vergeet niet de URL of het webadres van de pagina met het documentatieprobleem te vermelden. Wij zullen de documentatie dan aanpassen. Bedankt!

• Can an Access Manager see the other Access Managers within the own organisation?
  • Yes. When an Access manager consults the list of EAM Users via the EAM menu at the top-left of the screen, the exact role of the users will be displayed in the column Role(s). Access Managers will have the role "Access manager". If no role is mentioned, you can consider the relevant user to be an Authenticated User.

The healthdata.be service (Sciensano) processes each incident report according to a Standard Operating Procedure (SOP). A public version of this SOP "HD Incident Management Process" is also available on this portal docs.healthdata.be.

To submit an incident related to registries and applications in production and facilitated or managed by Sciensano's healthdata.be service, you must first log into the HD Service and Support portal: Jira Service Management (JSM) portal.

More info concerning how to request an account is available here.

After the login step, you will arrive at the main page of the portal

To create a ticket click on "Create a Support ticket"' on the main page.

You will see the page below. Once you have filled in all the mandatory fields, click on "Send".

De dienst healthdata.be (Sciensano) behandelt elke melding van een incident volgens een Standard Operating Procedure (SOP). Een publieke versie van deze SOP "HD Incident Management Process" is ook beschikbaar op deze docs.healthdata.be portaal.

Om een incident te melden met betrekking tot de registers en applicaties die in productie zijn, en gefaciliteerd of beheerd worden door de service healthdata.be van Sciensano, dient u eerst in te loggen op het HD Service- en Supportportaal: Jira Service management (JSM) portal.

Meer informatie over het aanvragen van een account vindt u hier

Na de inlogstap komt u op de hoofdpagina van het portaal.

Om een ticket te starten, selecteer 'Maak een Support Ticket aan'

het formulier hieronder, vervolledig de verplichte velden en selecteer "send"

Om een verzoek om informatie over het healthdata.be platform in te dienen, moet u eerst inloggen op het HD Service- en Supportportaal: Jira Service management (JSM) portal.

Na de inlogstap komt u op de hoofdpagina van het portaal.

Als u vragen of opmerkingen heeft, of als u een klacht wilt indienen, kunt u dit doen door op de knop ‘Verbetering suggereren’ op de hoofdpagina van het Jira Service Management-portaal te klikken

WAT IS HET PROBLEEM?

We blokkeren e-mails van uw organisatie omdat de configuratie van uw e-mail- en/of DNS-diensten mogelijk misbruik door spammers / hackers mogelijk maakt. Meer in het bijzonder stelt uw huidige configuratie andere afzenders in staat om zich als uw organisatie voor te doen door hen toe te staan de "Header From" van de e-mail van uw organisatie na te bootsen.

Met andere woorden, ze kunnen phishing- en spamberichten versturen die niet te onderscheiden zijn van echte e-mails van uw organisatie.

Als u verantwoordelijk bent voor het beheer van uw ICT-infrastructuur, lees dan verder. Als u niet de verantwoordelijke bent, geef dit bericht dan door aan uw ICT-afdeling of aan de ICT-dienst die uw ICT-infrastructuur beheert.

HOE LOST U DIT OP?

U dient te controleren of uw configuratie voldoet aan de beveiligingseisen voor “Sender Alignment”. Meer specifiek moeten uw maildiensten en DNS geconfigureerd worden volgens ICT-standaarden.

Deze configuraties zijn gangbaar, goed gedocumenteerd en worden ondersteund door hostingbedrijven:

• https://dmarcian.com/alignment/
• https://mxtoolbox.com/dmarc/spf/spf-alignment
• https://o365info.com/how-does-sender-verification-work-how-we-identify-spoof-mail-the-fiveheros-spf-dkim-dmarc-exchange-and-exchange-online-protection-part-9-of-9/

We hebben gemerkt dat dit probleem vaak voorkomt bij organisaties die hun ICT-infrastructuur hebben verplaatst naar Cloud services zoals Microsoft (O365), Amazon, Google en MS Azure zonder de ICT-infrastructuur goed te configureren. (Die wordt immers niet beheerd door deze providers).

De configuraties en aanbevelingen moeten worden geïmplementeerd op de ICT-infrastructuur van de klant, ongeacht of die intern of extern is. DNS en Mailservices zijn de belangrijkste ICT-platformen voor deze acties.

HET GEBRUIK VAN VERSCHILLENDE DOMEINEN BIJ HET VERZENDEN VAN E-MAILS

E-mails bevatten een "Envelope From" en een "Header From". Beide moeten overeenkomen om te voorkomen dat de e-mail wordt geblokkeerd.

Enkele voorbeelden:

1. Een openbare dienst gebruikt zijn nieuwe domeinnaam in de “Header From” en zijn oude domeinnaam in de “Envelope From”.

• Envelope From = noreply@publicservice.fgov.be
• Header From = noreply@publicservice.belgium.be

➔ Deze e-mails worden geblokkeerd.

Remark: Omdat het een noreply adres is, zal de afzender niet eens merken dat de e-mail geweigerd wordt …

2. Een organisatie gebruikt een Cloud-service (Freshservice) voor haar helpdesktool en de “Envelope From” is niet aangepast.

• EnvelopeFrom = bounces+us.3.52773-helpdesk=organisation.be@emailus.freshservice.com
• Header From = helpdesk@organisation.be

➔ Deze e-mails worden geblokkeerd.

3. Een bedrijf gebruikt een Cloud service (Amazon SES) om de leveringsmelding te versturen en de “Envelope From” is niet aangepast.

• Envelope From = 01020188573f374-96de6437-9134-45f4-8aa6-3e9ac18d5848-000000@euwest-1.amazonses.com
• Header From = noreply@company.be

➔ Deze e-mails worden geblokkeerd.