Beheersoftware zoals Proxima behandelt enkele van de meest gevoelige gegevens in de medisch-sociale sector: vermogen, inkomsten, burgerlijke identiteit, medische documenten. De bescherming van deze informatie valt onder specifieke wettelijke verplichtingen, die zijn versterkt sinds de toepassing van de AVG en de recente aanbevelingen van de CNIL die specifiek gericht zijn op de structuren die meerderjarigen onder bescherming begeleiden.
Toegangslogboek en traceerbaarheid op Proxima: wat de CNIL vereist
De CNIL vraagt expliciet dat de tools die worden gebruikt voor meerderjarigen onder bescherming een nauwkeurige logboekregistratie van de toegang integreren: wie is ingelogd, wanneer, vanaf welk apparaat. Deze eis is geen technische luxe. Het stelt in staat om de naleving te bewijzen in geval van controle en om elk beveiligingsincident te traceren.
Lees ook : Hoe je je lichaamsgewicht trainingen kunt optimaliseren met calisthenics voor alle niveaus
Op Proxima betreft deze traceerbaarheid elke gebruiker met toegang tot de software. Elke dossierinzage, elke wijziging van vermogens- of persoonlijke gegevens zou een bruikbare spoor moeten achterlaten. De vraag die zich aan de beschermingsdiensten stelt: de huidige instellingen dekken ze werkelijk dit detailniveau?
De ervaringen uit de praktijk verschillen op dit punt. Sommige structuren hebben volledige en regelmatig gecontroleerde toegangslogboeken, terwijl anderen zich tevredenstellen met een minimaal historisch overzicht zonder herzieningsprocedure. Het wettelijke kader is voor iedereen hetzelfde, maar de mogelijkheid om je Proxima-account veilig te beheren hangt grotendeels af van de strengheid van de interne procedures die door elke dienst zijn opgezet.
Zie ook : Kies je naaimachine: hoe ga je te werk?
Interne veiligheidsprocedures: formaliseren om te weerstaan aan controles van ARS en Parket
Sinds 2023 moeten verschillende rechtbanken en diensten van gerechtelijke mandatarissen in hun geschreven interne procedures aangeven hoe zij de toegang tot hun bedrijfssoftware beveiligen. Dit document moet de wachtwoorden, authenticatie, back-ups en het beheer van toegangsrechten dekken.
De nieuwigheid is niet de beveiligingsverplichting zelf, maar het feit dat deze procedures zwart op wit moeten worden gepresenteerd tijdens de controles van de Regionale Gezondheidsdienst of het Parket. Een dienst die Proxima correct gebruikt maar niet kan aantonen hoe het dit beveiligt, loopt het risico op opmerkingen of zelfs bevelen.
Wat het proceduredocument moet dekken
- Het wachtwoordbeleid: minimale lengte, periodieke vernieuwing, verbod op delen tussen gebruikers. Een uniek wachtwoord per gebruikersaccount is de minimale basis die wordt verwacht.
- Het beheer van bevoegdheden: wie heeft toegang tot welke dossiers, met welk niveau van rechten (alleen lezen, wijzigen, verwijderen). De profielen moeten overeenkomen met de werkelijke taken van elke professional.
- Het protocol in geval van vertrek van een medewerker: onmiddellijke deactivering van het account, herziening van gedeelde toegang, controle dat er geen gezamenlijk wachtwoord meer bestaat.
- De frequentie en reikwijdte van de back-ups, evenals de uitgevoerde hersteltests.
De beschikbare gegevens stellen niet in staat om te concluderen over het percentage structuren dat daadwerkelijk over dergelijke geformaliseerde procedures beschikt. De trend naar versterking van de controles maakt deze formalisering echter moeilijk te omzeilen.
Multifactorauthenticatie en scheiding van accounts: de aanbevelingen van de CNIL-gids 2024
De CNIL-gids 2024 over de cyberbeveiliging van medisch-sociale structuren benadrukt een toename van ransomware-aanvallen op gezondheidsinstellingen en sociale diensten. Onder de expliciete aanbevelingen zijn multifactorauthenticatie (MFA) en de strikte scheiding van professionele en persoonlijke accounts.
Multifactorauthenticatie voegt een verificatiestap toe naast het wachtwoord: code verzonden via SMS, authenticatie-app, fysieke sleutel. Voor software zoals Proxima, die vermogensinformatie en juridische documenten beheert, vermindert deze beschermingslaag aanzienlijk het risico op frauduleuze toegang in geval van wachtwoorddiefstal.
Accounts scheiden: een eenvoudige maar zelden toegepaste maatregel
De CNIL beveelt aan dat elke professional zijn eigen identificatie heeft, zonder gedeeld gebruik. Een account dat door meerdere mandatarissen wordt gedeeld, maakt logboekregistratie nutteloos: het is onmogelijk om te weten wie daadwerkelijk een dossier heeft geraadpleegd of gewijzigd.
Deze scheiding geldt ook voor apparaten. Toegang tot Proxima vanaf een persoonlijk computer, zonder specifieke bescherming, stelt de gegevens van de beschermde meerderjarigen bloot aan extra risico’s (kwaadaardige software, onveilige Wi-Fi, gebrek aan schijfversleuteling).
Beheer van toegangsrechten Proxima: pas de bevoegdheden aan de werkelijke taken aan
Proxima maakt het mogelijk om verschillende toegangsniveaus te definiëren op basis van de rol van elke gebruiker. Een mandaatdelegaat heeft niet dezelfde behoeften als een boekhouder of een diensthoofd. Het nauwkeurig instellen van deze rechten beperkt de blootstelling van gevoelige dossiers.
Het principe van minimale privileges is van toepassing: elke gebruiker heeft alleen toegang tot de informatie die nodig is voor zijn of haar taak. Een administratief medewerker hoeft de bankrekeningen van een beschermde meerderjarige niet te raadplegen. Een mandataris hoeft geen toegang te hebben tot de dossiers die door een collega worden beheerd, behalve in geval van een formele vervangingssituatie.
Deze granulariteit vereist een regelmatige herziening van de bevoegdheden. Functiewisselingen, lange afwezigheden, contractbeëindigingen moeten een onmiddellijke update van de rechten in gang zetten. Zonder deze discipline vertegenwoordigen spookaccounts (gebruikers die zijn vertrokken maar nog steeds actief zijn in het systeem) een beveiligingslek dat door de CNIL is gedocumenteerd in zijn aanbevelingen aan medisch-sociale structuren.
Het veilig beheren van een Proxima-account beperkt zich niet tot het kiezen van een goed wachtwoord. Het vereist een keten van verantwoordelijkheden die van technische instellingen tot het opstellen van procedures en de opleiding van elke gebruiker reikt. Structuren die de controles anticiperen door deze praktijken te formaliseren, plaatsen zich in een actieve nalevingshouding, waar een eenvoudig dagelijks gebruik van de software niet meer voldoende is om de effectieve bescherming van de gegevens van de beschermde meerderjarigen aan te tonen.