Veilig communiceren via internet

Ondanks dat je een 'nitwit' bent, lijkt me absoluut verstandig de basis te begrijpen van online communicatie. Diti s mooie stof om even door te nemen. Wikipedia: HTTPS

Hoe zie je het voor je, een website waarbij je chat met een cliënt/patiënt? Je bent namelijk gebonden aan de browsers.

[ Voor 6% gewijzigd door _Apache_ op 12-10-2009 09:09 ]

Je zou PGP kunnen gebruiken.
Hiermee kan je versluitelde bestanden (mail) versturen. Wel even goed opzetten.

En idd hoe communiceer je? Als je een website gaat gebruiken moet je denken aan HTTPS en SSL certificatien e.d. Eventueel met een AES versleuteling er overheen.

Maar ga eens goed na wat je wilt, en hoe veilig het moet zijn. En huur iemand in.
Als het echt belangrijk is voor jouw en je clienten moet je, denk ik, niet zelf gaan 'prutsen' met half gebakken oplossingen.

[ Voor 52% gewijzigd door DarkSide op 12-10-2009 09:14 ]

100% waterdicht kan je het toch bijna niet krijgen, als je niet weet wat er allemaal op de andere PC staat. Daarbij willen clienten mischien het verhaal wel opslaan om later nog eens door te lezen, dat is ook weer mogelijk na te lezen door anderen.

(lomp gezegt, msn is an sich al amper mee te lezen, maar het is juist de 'foute' software op de PC's waar het fout gaat).

Mijn eerste regel is: Complete vertrouwelijkheid en het Internet gaan niet samen
Mijn tweede: als het niet op Geenstijl mag komen moet je het niet op het net zetten.

Veiligheid op dit soort terreinen moet 100% gegarandeerd zijn en daar heb je kennis,tijd en inzet voor nodig.

Ik vergelijk het altijd met een bank. Die hebben specialisten in huis om elke stap in het proces zo goed mogelijk te beveiligen en zelfs daar gaat het nog wel eens mis (zie de rabobank en hun e-maildebacle een tijdje geleden). De bank probeerd ook de gebruiker tot veilig gedrag te dwingen omdat daar (wat SinergyX ook zegt) vaak de fout ligt


Om te beginnen zal je zeker moeten zijn dat je eigen machine veilig is. Dit door bijvoorbeeld een aparte internet pc te maken met strikte policies erop zodat je onder dat account bijvoorbeeld geen software mag installeren.
Dan zal je de weg die JIJ gebruikt naar het Internet goed moeten beveiligen. Bijvoorbeeld elke 3 a 6 maanden een nieuw WPA2 wachtwoord (of liever nog, geen WIFI)
Dan zal je de weg naar de site die je op gaat zetten moeten beveiligen. Bijvoorbeeld https (zie boven) of een VPN opzetten.
De site zelf zal je veilig moeten houden, iets wat altijd moeilijk is tenzij je de code zelf schrijven en dingen als sql injecties weet te voorkomen
En als laatste zal je de gebruiker moeten beveilgen, en dat gaat je waarschijnlijk niet lukken.

Er komt dus nog al wat kijken bij de mate van exclusiviteit die jij wenst, een risicoanalyse zal wel het minste zijn wat je moet doen. En zoals gezegd, verbaas je niet dat een klant bij je komt klagen dat zijn gegevens op straat liggen en dat uiteindelijk blijkt dat ie zijn schijf gedeeld had in een of ander p2p progamma


Ik wil je niet ontmoedigen en vind het erg goed dat je hier de vraag stelt in plaats van een joomla site installeren en dan denken dat je veilig bent maar de conclusie is wel: eerst nadenken en dan pas doen

Ik ga er even vanuit dat je een vrijgevestigde psycholoog bent en niet via een door de overheid gesubsideerd GGZ oid werkt. (Die branch zit ik zelf in als IT'er).

Duur en complex gaat het zeker weten worden. Dit is helaas ook niet te voorkomen want jij bent als behandelaar verantwoordelijk voor de gegevens die je opslaat. Er zijn, zoals je al opmerkt, dingen zoals Citrix, maar ook dat is niet 100%.

Ik denk dat je eerst eens moet gaan praten met een bedrijf wat voorziet in dit soort toepassingen specifiek voor in de (geestelijke) zorg. Daar moet je met wat google werk best wat bedrijven tegen kunnen komen.

Zet daarna eerst een project op kleine schaal op (bv met 10 clienten), probeer het een half jaar en ga daarna evalueren, samen met je clienten. Dan kun je in ieder geval in kaart brengen en krijgen wat er zoal bij komt kijken. Volgens mij zijn er zat bedrijven die je best iets willen voorschotelen wat je een poosje tegen gereduceerd tarief mag gebruiken. Keyword: eHealth (denk ik )

Los van de techniek vind ik het een slechte ontwikkeling, online psychologische sessies. Juist in deze beroepstak lijkt mij een face-to-face gesprek de enige juiste behandelingsmethode

Technisch moet het ongetwijfeld kunnen.
Maar ik heb net als BoGhi twijfels over online sessies.

Het lijkt me nogal lastig (zoniet onmogelijk) online een echte vertrouwensband op te bouwen.
Je zult dus alleen luchtige onderwerpen kunnen behandelen. Daarnaast zul denk ik hooguit tieners, scholieren en studenten (die veel ervaring hebben met "chatten") het "fijn" vinden om op zo'n wijze te communiceren.
Je zult je dus moeten richten op typische puberproblemen, verliefdheidsproblematiek, problemen met ouders/school/studie.

[ Voor 3% gewijzigd door job op 13-10-2009 11:10 ]

Eventueel zou je zelf een webmail oplossing via https kunnen aanbieden en dit zo inrichten dat mensen alleen naar jou kunnen mailen. Dan heb je de veiligheid van een versleutelde verbinding (https) plus dat mensen geen software hoeven te installeren, ze gewoon kunnen mailen en waarschijnlijk geen data op hun eigen pc opslaan.

BoGhi schreef op dinsdag 13 oktober 2009 @ 10:45:
Los van de techniek vind ik het een slechte ontwikkeling, online psychologische sessies. Juist in deze beroepstak lijkt mij een face-to-face gesprek de enige juiste behandelingsmethode

Online therapie heeft zeker voordelen, vooral wanneer je het kunt combineren met face to face therapie. Denk bijvoorbeeld aan betere bereikbaarheid maar ook kan het gedeeltelijk een brug vormen tussen de dienstverlener aan de ene kant en bepaalde klantengroepen aan de andere kant. Je zult het in de nabije toekomst meer en meer zien denk ik.

Wellicht is [Sec] discussie/wenselijkheid e-mail beveiliging wel een leuk topic om het hierover te hebben en de discussie over methoden wat te 'centraliseren'.

Gebruik van s/mime of pgp ligt vanwege de standaardmethode voor versleuteling van e-mail voor de hand, wellicht zou het nuttig zijn zoiets te verbinden met een uzi-pas of big-register zodat de patiënt/cliënt redelijk zeker weet dat de ontvanger ook daadwerkelijk de hulpverlener is. In combinatie met face-to-face therapie is de sleuteluitwisseling wat makkelijker. In de praktijk blijkt echter dat het implementeren van de standaardemailversleuteling wel wat tech-savvyheid verlangt van de gebruiker. Of het haalbaar is is daarom maar de vraag.

Ik ben in de (zorg)praktijk twee keer emailencryptie tegengekomen, een keer met pgp en een keer met s/mime. Beide keren alleen tussen zorgverleners onderling.

begintmeta schreef op dinsdag 13 oktober 2009 @ 23:12:
Wellicht is [Sec] discussie/wenselijkheid e-mail beveiliging wel een leuk topic om het hierover te hebben en de discussie over methoden wat te 'centraliseren'.

Gebruik van s/mime of pgp ligt vanwege de standaardmethode voor versleuteling van e-mail voor de hand, wellicht zou het nuttig zijn zoiets te verbinden met een uzi-pas of big-register zodat de patiënt/cliënt redelijk zeker weet dat de ontvanger ook daadwerkelijk de hulpverlener is. In combinatie met face-to-face therapie is de sleuteluitwisseling wat makkelijker. In de praktijk blijkt echter dat het implementeren van de standaardemailversleuteling wel wat tech-savvyheid verlangt van de gebruiker. Of het haalbaar is is daarom maar de vraag.

Ik ben in de (zorg)praktijk twee keer emailencryptie tegengekomen, een keer met pgp en een keer met s/mime. Beide keren alleen tussen zorgverleners onderling.

Volgens mij (maar dat is geen zekerheid) kan de topicstarter gewoon een UZI pas zorgverlener) aanvragen om te gebruiken voor S/MIME.
Zie: http://www.uziregister.nl...formulierzorgverlenerpas/
Maar dat is alleen interessant voor het ondertekenen van E-Mail daar de encryptie van mail alleen mogelijk is met een certificaat van de ontvangende partij. En welke gewone gebruiker heeft er nu een S/MIME certificaat. (Tweakers en Securityfreaks daargelaten )

Er zijn ook wel andere alternatieven om mail beveiligd naar een ontvanger te sturen, zonder de tussenkomst van S/MIME.
Dan wordt er al het ware een versleuteld PDF bestand verstuurd. Deze kan alleen gelezen worden met een (van te voren afgesproken) wachtwoord.

Je moet je ook afvragen hoeveel gewone gebruikers überhaupt weten wat een digitale handtekening is en hoe ze deze moeten controleren (en belangrijker nog: wat te doen als deze niet klopt). Veel mensen denken bijvoorbeeld bij een digitale handtekening aan een ingescande normale handtekening (ofwel een plaatje).

de enige realistische mogelijkheid is deze online consultatie langs de kant van de clienten installatieloos te laten verlopen dmv https in de browser waarbinnen dan bv. een webmail- of chattoepassing draait.
dat betekent dan toch imo een betaald veiligheidscertificaat - waarschijnlijk voorziet e-health wel dergelijke certificaten.
en dan maar hopen dat de patiënt binnen de toepassing blijft en niet via onbeveiligde middelen gaat communiceren.

ppva schreef op maandag 12 oktober 2009 @ 12:51:
[...]


Ik wil vooral via mails communiceren.

Mail is per definitie onveilig. Standaard wordt alles text based verstuurt en elke schakel van de ketting kan ook onveilig zijn.
De beste oplossing is denk ik dan om een server in eigen beheer te hebben waarop mensen via https op een webmail applicatie kunnen inloggen. Op die manier heb je de voordelen:

- de verbinding tussen client en server is beveiligd
- mail verlaat de server niet het wordt lokaal afgeleverd
- de klant hoeft niets te installeren
- als je de server goed laat beveiligen is de kans op lekken van info minimaal

Het blijft natuurlijk het internet en daarop is NIETS echt veilig dus je moet altijd rekening houden met evt. problemen. Als je ziet welke exploits er voorbij komen op het net dan schrik je soms