Portaalbeveiliging Turien & Co. Assuradeuren voor op landelijk beleid

3 minutes read

Portaalbeveiliging Turien & Co. Assuradeuren voor op landelijk beleid

Turien & Co. Assuradeuren in Alkmaar voerde in juni 2014 tweestapsauthenticatie met SMS-verificatie samen met mobiele dienstverlener CM in om het cliëntenportaal beter te beveiligen. Ruim voor de deadline die in de ‘Uniforme Maatregel 09 – Gebruik authenticatiemiddelen bij internetapplicaties’ (UM09) is opgenomen.

 

Verscherpte maatregel

Vanaf augustus 2015 geldt er een aangescherpte maatregel voor inloggen bij patiënt- en cliëntportalen van zorgverzekeraars in Nederland. Vanaf die datum, zo schrijft Zorgverzekeraars Nederland voor, moet het online inloggen worden beveiligd met bijvoorbeeld twee factor authenticatie. Nu geldt de regeling van het beveiligen van persoongegevens nog als aanbeveling. Vanaf 2015 wordt dit echter verplicht. Die verplichting staat opgesteld in de Gedragscode Goed Zorgzekeraarschap, een verzameling van afspraken die leden van Zorgverzekeraars Nederland (ZN) collectief moeten en willen nakomen.

Turien & Co

Turien & Co. Assuradeuren, opgericht in 1921, is één van Nederlands oudste en grootste assuradeuren. Via professionele assurantieadviseurs biedt Turien & Co. een uitgebreid pakket van verzekeringsoplossingen op schade-, zorg- en inkomensgebied aan particulieren en zakelijke relaties. Turien & Co. heeft reeds jaren een relatie met gerenommeerde verzekeraars, zoals Zurich, Hiscox, Europeesche, DAS, Avéro Achmea, VGZ , de Goudse en recent met Nationale Nederlanden. Bij Turien en Co. werken 456 mensen.

Extra beveiliging persoonsgegevens

Een half jaar voordat zorgverzekeringen aan de eisen die UM09 stelt moesten voldoen, richtte Turien & Co. een projectgroep op om de nieuwe maatregel te implementeren. UM09 stelt eisen aan het gebruik van authenticatiemiddelen bij internetapplicaties zoals webportalen. De maatregel is van toepassing op zorgverzekeraars. Deze UM09 opgesteld met als doel het formuleren van een passende minimumeis voor zorgverzekeraars aan de authenticatie van de verzekerde en verzekeringnemer. Deze authenticatie moet voorafgaand aan de toegang tot zijn persoonsgegevens met internetapplicaties (waaronder apps) plaats te vinden.

Zelf ontwikkelen of uitbesteden?

“Het eerste vraagstuk dat we beantwoord wilden hebben was of we dit gingen uitbesteden of zelf gingen maken”, vertelt Nanno de Groot. De Groot, projectleider e-commerce bij Turien & Co., stond ook nog voor de vraag welke authenticatiemethode Turien & Co. het beste zou kunnen gebruiken. “Het gaat hier om veiligheid van persoonsgegevens. Daarnaast moet het gebruiksvriendelijk zijn en wilden we uiteraard ook de kosten zo laag mogelijk houden”, zegt De Groot.

SMS-verificatie bij inlogportaal

De projectgroep besloot zelf de portaalbeveiliging te ontwikkelen. Daarna volgde het vraagstuk hoe de beveiliging van het portaal er dan werkelijk uit zou gaan zien. “Inloggen met Digid is redelijk complex voor een minder grote verzekeraar of assuradeur. De methode erachter is wel interessant en bovendien goedkoper dan inloggen met random readers.” Het team met De Groot besloot SMS-verificatie in te voeren bij inloggen op het portaal. De kosten die de random readers, ook wel hardtokens, met zich meebrengen zijn doorgaans hoog. “Een SMS kost een paar cent. In verhouding met het aantal inlogsessies is SMS-verificatie daarom een stuk goedkoper.”, aldus De Groot.

Samenwerking CM en Turien & Co.

Jochum Pasteuning, Teamleider marketing/e-commerce en eveneens betrokken bij het project, kende mobiele dienstverlener CM nog van eerder project waarbij tweerichtings SMS-verkeer nodig was. “De SMS-diensten van CM bleken goed te passen in onze uitwerking van UM09”, legt Pasteuning uit. CM en Turien & Co. ontwikkelde samen  een verificatieoplossing waarbij portaal gebruikers na invoer van wachtwoord en gebruikersnaam een wachtwoord krijgen ge-SMS’t. Dat wachtwoord is eenmaal te gebruiken bovendien drie minuten geldig. Daarna vervalt deze en moet een nieuw wachtwoord worden gevraagd. De applicatie van Turien & Co. doet een API-call bij CM als er een wachtwoord moet worden gegenereerd. Na enkele seconden wordt een One Time Password via SMS of Voicecall naar het geregistreerde telefoonnummer verstuurd.

Global Priority

“De Global Priority Gateway van CM zorgt er voor dat de SMS- of voiceberichten met de eenmalige wachtwoorden binnen enkele seconden op het toestel worden afgeleverd”, stelt De Groot. “Het werkt opmerkelijk goed. De daadwerkelijke vuurdoop vindt overigens in november plaats, als mensen weer van zorgverzekering mogen wisselen. Er wordt dan echt intensief gebruik gemaakt van het portaal. 

Meer over OTP



Verder lezen

Vorige CM Plugins: SMS-betalen voor Magento, IT-monitoring met Nagios, SMS-herinneringen in Outlook
Volgende Hoe de Wet Kansspelen op Afstand de kansspelmarkt voorgoed zal veranderen
Terug Terug naar nieuwsoverzicht

Interessant? Deel het met je netwerk!

Over de auteur

Erik Eggens

Connect met Erik via

LinkedIn, Twitter.