Makkelijk en veilig inloggen

Een Flux-account geeft toegang tot vertrouwelijke informatie over patiënten, behandelingen, afspraken en bedrijfsvoering. De beveiliging van zo’n account is daarom een belangrijk onderdeel van zorgvuldig omgaan met gezondheidsgegevens. Daarbij draait informatiebeveiliging om drie uitgangspunten: gegevens mogen alleen toegankelijk zijn voor bevoegde personen, moeten juist en volledig blijven en moeten beschikbaar zijn wanneer een zorgverlener ze nodig heeft. Deze principes worden ook wel vertrouwelijkheid, integriteit en beschikbaarheid genoemd.
Een onvoldoende beveiligd account kan al deze onderdelen raken. Een onbevoegde kan gegevens inzien, informatie aanpassen of de toegang tot een account verstoren. Daarom hebben we het inloggen verder versterkt met ondersteuning voor passkeys, betere bescherming tegen geautomatiseerde loginpogingen en meer inzicht in de beveiligingsstatus van gebruikersaccounts.
Inloggen met een passkey
Flux ondersteunt nu passkeys. Daarmee log je in via de beveiliging van je eigen apparaat, bijvoorbeeld met gezichtsherkenning, een vingerafdruk of de toegangscode van je telefoon of computer. Je hoeft daarbij geen traditioneel wachtwoord in te voeren. De geheime sleutel blijft op je apparaat en wordt niet met Flux gedeeld.
Passkeys zijn minder gevoelig voor phishing, omdat ze alleen werken voor de website of applicatie waarvoor ze zijn aangemaakt. Ze kunnen niet eenvoudig worden geraden, onderschept of opnieuw gebruikt bij een andere dienst. Tegelijkertijd maken ze het dagelijks inloggen sneller, omdat je dezelfde beveiliging gebruikt waarmee je ook je apparaat ontgrendelt.
Je activeert een passkey via Instellingen en vervolgens Gebruiker. Onder de beveiligingsinstellingen kun je naast tweefactorauthenticatie nu ook een passkey toevoegen. Afhankelijk van je apparaat en sleutelbeheerder kan een passkey worden gesynchroniseerd tussen bijvoorbeeld je laptop en telefoon.
Zet 2FA altijd aan
Een wachtwoord alleen biedt onvoldoende bescherming voor een account met toegang tot gezondheidsgegevens. Wachtwoorden kunnen worden buitgemaakt via phishing, malware, een datalek of doordat hetzelfde wachtwoord ook bij andere diensten wordt gebruikt. Met multifactorauthenticatie, meestal MFA/2FA genoemd, is naast het wachtwoord nog een tweede controle nodig. Een gestolen wachtwoord geeft daardoor niet direct toegang tot het account.
We adviseren daarom om MFA/2FA in te schakelen of waar mogelijk een passkey toe te voegen voor ieder gebruikersaccount. Gebruik ook geen gedeelde accounts: iedere medewerker hoort een eigen account te hebben. Zo blijft duidelijk wie toegang heeft gehad tot informatie en kunnen rechten worden aangepast wanneer een medewerker van functie verandert of uit dienst gaat.
Passkeys maken veilig inloggen eenvoudiger en kunnen in veel situaties een losse verificatiecode vervangen. Controleer wel altijd welke beveiligingsmethode voor het account actief is. Niet ieder apparaat of iedere browser ondersteunt passkeys op dezelfde manier, waardoor MFA/2FA een belangrijke extra beveiligingslaag blijft.
Betere bescherming van het inlogscherm
Het inlogscherm is beter beschermd met slimmere CAPTCHA-beveiliging en verbeterde rate limiting. CAPTCHA helpt om echte gebruikers te onderscheiden van geautomatiseerd verkeer. De controle wordt vooral ingezet wanneer een loginpoging kenmerken vertoont die kunnen wijzen op misbruik, zodat normale gebruikers zo min mogelijk extra handelingen hoeven uit te voeren.
Rate limiting beperkt hoeveel loginpogingen binnen een bepaalde periode kunnen worden gedaan. Dit helpt tegen aanvallen waarbij automatisch grote aantallen wachtwoorden worden geprobeerd. Bij veel mislukte of verdachte pogingen kunnen volgende loginpogingen tijdelijk worden vertraagd of tegengehouden.
Deze maatregelen werken samen met wachtwoorden, MFA/2FA en passkeys. Door meerdere beveiligingslagen te combineren, blijft een account beschermd wanneer een van de maatregelen wordt omzeild.
Meer inzicht in accountbeveiliging
In het gebruikersbeheer is de MFA/2FA-status van gebruikersaccounts nu duidelijker zichtbaar. Beheerders kunnen daardoor sneller controleren welke accounts extra beveiligd zijn en bij welke gebruikers nog actie nodig is. Dat is vooral belangrijk voor accounts met beheerrechten, omdat deze vaak toegang geven tot meer gegevens en instellingen.
We adviseren beheerders om deze status regelmatig te controleren en medewerkers actief aan te spreken wanneer MFA/2FA nog niet is ingeschakeld. Controleer daarbij ook of accounts van voormalige medewerkers zijn afgesloten en of gebruikers nog steeds alleen toegang hebben tot de onderdelen die zij voor hun werkzaamheden nodig hebben.
Goede accountbeveiliging is geen eenmalige instelling, maar een terugkerend onderdeel van informatiebeveiliging. Flux biedt hiervoor de technische mogelijkheden, maar de daadwerkelijke bescherming ontstaat pas wanneer organisaties en gebruikers deze ook consequent toepassen.
Nieuw (7)
- Ondersteuning voor inloggen met passkeys
- Passkey-autosuggestie op ondersteunde apparaten en browsers
- Maandelijkse export voor Zorgtopics
- Extra templates in de verwijsbrief-keuzelijst
- Extra gender optie bij online afspraken
- Inzicht in MFA/2FA-status binnen beheer
- Activiteitenmeter vragenlijst
Verbeteringen (8)
- Slimmere CAPTCHA-beveiliging op het inlogscherm
- Betere rate limiting bij loginpogingen
- Betrouwbaardere passkey-configuratie in verschillende omgevingen
- Makkelijker tarieven in bulk toevoegen
- Oude facturen beter opruimen uit Twinfield-synchronisatie
- Verdere verbeteringen aan BI-, filter- en interface-bouwstenen
- PCM vragenlijst uitgebreid met ODDI-score
- Doorontwikkeling van revenue insights, dashboards en exports
Bugs (5)
- Probleem opgelost waarbij automatisch uitloggen bij inactiviteit niet goed werkte
- Meerdere foutmeldingen opgelost rond patiëntgegevens en exports
- Oplossingen voor BI-overzichten en globale datumfilters
- Oplossingen voor koppelingen en synchronisaties, onder andere rond Twinfield en Nivel
- Verschillende regressies opgelost in frontend-gedrag en formulieren