Row Level Security GGZ

Uit normenkaderzorg.nl
Naar navigatie springen Naar zoeken springen

Inleiding

ValueCare gebruikt Row-Level Security (RLS) om er voor te zorgen dat gebruikers alleen de data te zien krijgen die ze mogen zien. Zoals de naam al aangeeft worden er per data rij beperkingen opgelegd. In deze wiki wordt nadere uitleg gegeven over het concept RLS.

Hoe werkt het in het kort?

In het kort werkt RLS als volgt:

  • Aan een data rij wordt een rol toegekend vanuit een data-autorisatieschema.
  • Aan een gebruiker worden rollen toegekend vanuit een gebruikers-autorisatiematrix.
  • Als de gebruiker een data rij wil inzien, checkt het ValueCare portaal of de rol van de data rij voorkomt in de aan de gebruiker toegekende rollen.
    • Zo ja, dan krijgt de gebruiker de data rij te zien.
    • Zo nee, dan krijgt de gebruiker de data niet te zien.

Voorbeeld:

  • Een dataset met verzuim gegevens bevat gegevens die niet iedere gebruiker mag inzien. De instelling heeft bepaald dat de dataset met verzuim gegevens alleen ingezien mag worden door specifieke medewerkers. Verder mag elke medewerker zijn eigen data zien.
  • In het data-autorisatieschema worden de bovenstaande beperkingen ingevoerd. Er worden in dit voorbeeld 2 rollen aan elke data rij meegegeven: PER-OE-ALL en PER-MW-yyyyy (waarbij yyyyy het personeelsnummer is waarover de data rij gaat).
  • Vervolgens wordt via de gebruikers-autorisatiematrix de rol PER-OE-ALL gegeven aan de specifieke medewerkers die alle data mogen zien. De gebruikers-autorisatiematrix geeft aan alle medewerkers de rol PER-MW-xxxxx (waarbij xxxxx het personeelsnummer is van de medewerker).
  • Een gebruiker met de rol PER-OE-ALL mag vervolgens alle data rijen zien, want elke rij heeft de rol PER-OE-ALL.
  • Een gebruiker met de rol PER-MW-12345 mag vervolgens alleen de data rijen zien, waarbij de rol PER-MW-12345 is meegegeven.

Modules

ValueCare heeft haar data onderverdeeld in een aantal RLS modules:

  • ALG: algemene data
  • ZIS: data uit het EPD en randsystemen
  • PER: data uit het personeelsyteem
  • FIN: data uit het financiële systeem

Per module kan de logica voor de gebruikers-autorisatiematrix verschillen.

Voorbeeld:

  • Een instelling wil dat alleen specifieke medewerkers de financiële gegevens mogen zien, verder niemand anders. Bij de personele gegevens mogen alle medewerkers hun eigen data zien en mogen specifieke medewerkers alle data zien. Daarnaast vindt de instelling dat een medewerker alle EPD data mag zien voor zijn eigen kostenplaats.

Gebruikers autorisatiematrix

De gebruikers autorisatiematrix speelt dus een belangrijke rol voor de beveiliging van data.

Tot nu toe is elke implementatie van de gebruikers-autorisatiematrix maatwerk geweest, maar enkele veel gebruikte aanpakken staan hieronder:

  • Alle medewerkers mogen alleen hun eigen data zien. Op een whitelist staan de medewerkers die alles mogen zien.
  • Op basis van de functie in het personeelsysteem wordt bepaald welke data ingezien mag worden.
    • Voorbeeld: Een manager mag bijvoorbeeld data zien van zijn afdeling. Een GZ psycholoog mag alleen zijn eigen data zien. Een stafmedewerker HR mag alle HR data zien.
  • Op basis van een rol die is gedefinieerd in de Active Directory wordt RLS toegepast. De gebruikers/rollen worden uit de AD geëxporteerd en vervolgens gebruikt om automatisch de gebruikers-autorisatiematrix aan te maken.

Een voorbeeld van een gebruikersautorisatiematrix is in de figuur hieronder te vinden. Een uitleg volgt na de figuur.

Autorisatiematrix

In deze figuur is aangegeven welke functie welke data mag zien. De functies in de figuur refereren naar een groep van functies. In de uitwerking van de autorisatiematrix zal verwezen worden naar de exacte functiecodes uit het HR systeem. Voor vaststelling met management is echter deze figuur een prima stuk ter besluitvorming.

Zo wordt gespecifieerd dat een manager uit de zorg alleen de data van zijn team zien, zowel de zorg data, als de personele en financiële data. De matrix geeft ook aan dat een HR adviseur/controller alle personele data mag zien, maar geen zorg en financiële data.

Data autorisatieschema

Ook het data-autorisatieschema speelt een belangrijke rol voor de beveiliging van data. Het data-autorisatieschema kan in het ValueCare portaal ingezien en gewijzigd worden via de beheertabel "Beheer BI: Data autorisatie RLS". In de figuur hieronder staat een voorbeeld. Onder de figuur volgt een uitleg.

Voor de dataset "bi_personeel_bezetting" is aangegeven dat het de Module "PER" betreft, het element "OE" en er moeten rollen gemaakt worden voor "Alles", "OE Niv 1 t/m 3" en de "Medewerker". Uitgaande van fictieve namen voor de Organisatieniveau's en de medewerker, betekent dit dat de rollen er bijvoorbeeld zo uit zien voor 1 specifieke datarij:

Rol Toelichting
PER-OE-ALL rol voor gebruikers die alles mogen zien
PER-OE-REGIO_UTRECHT rol voor gebruikers die behoren bij OE Niv 1 gelijk aan REGIO_UTRECHT
PER-OE-POLI_UTRECHT rol voor gebruikers die behoren bij OE Niv 2 gelijk aan POLI_UTRECHT
PER-OE-POLI_TEAM_OUDLAAN rol voor gebruikers die behoren bij OE Niv 3 gelijk aan POLI_TEAM_OUDLAAN
PER-MW-12345 rol voor gebruiker 12345, de datarij gaat over gebruiker 12345

Tabellen krijgen standaard de RLS "Geen toegang". Dat betekent dat geen enkele gebruiker de data mag zien.

Als een tabel een vinkje krijgt in de tabel "Geen RLS" betekent dit dat alle gebruikers de data mogen zien.



Overgenomen van "https://www.normenkaderzorg.nl/index.php?title=Row_Level_Security_GGZ&oldid=64949"