OpenAC v2.102 release notes
Release datum: zie milestone
TOC(heading=Inhoud)? TOC(heading=Releases, sectionindex, compact, depth=1, Releases/)?
Algemeen
Release 2.102 staat in het teken van verbeterde privacy en beveiliging. Er zijn updates voor de AVG-module, het inlogproces en de manier waarop documenten worden opgeslagen.
Inloggen
De encryptie van de gebruikerswachtwoorden is verbeterd door gebruik te maken van de cryptografische hashfunctie SHA256 + salt. Verbeterde encryptie van de wachtwoorden betekent enkel nog geverifieerd kunnen worden, maar niet meer herleid. Er is een migratiescript dat de wachtwoorden van alle gebruikers omzet naar het nieuwe formaat. Draaien van dit script wordt uit beveiligingsoverwegingen sterk aanbevolen, maar is niet verplicht.
OpenAC 2 maakt voor het inloggen gebruik van de login service van OpenAC 3. Vanaf versie 2.102 is OpenAC 3 dus nodig om in te kunnen loggen. De login service van OpenAC 3 ondersteunt zowel de oude versleuteling als de nieuwe encryptie van wachtwoorden.
OpenAC 3 heeft functionaliteit voor vergeten wachtwoorden, die de eindgebruiker zelf kan activeren via het Beheer-menu. Aansluitend krijgt deze de gelegenheid om via een link in een aan het persoonlijk emailadres gericht bericht het wachtwoord opnieuw in te stellen.
Two Factor Authentication (2FA)
Vanaf deze versie kan bij het inloggen optioneel gebruik worden gemaakt van Two Factor Authentication. Alle zorginstellingen moeten van de Inspectie Gezondheidszorg en de Autoriteit Persoonsgegevens voldoen aan NEN 7510 (informatiebeveiliging). Een van de maatregelen die NEN 7510 voorschrijft is verplicht gebruikmaken van 2-factor authenticatie. Bij 2-factor authenticatie moet een gebruiker zijn/haar identiteit aantonen met behulp van 2 factoren. In het geval van OpenAC is de eerste factor een gebruikersnaam en wachtwoord combinatie. De tweede factor bestaat uit het toesturen van een beveiligingstoken. Het AC kan instellen dat 2-factor authenticatie moet worden gebruikt en via welk medium het beveiligingstoken moet worden opgestuurd: e-mail of sms. Zie ook de informatie over 2FA in de gebruikershandleiding en inrichten van 2FA in de beheerdershandleiding.
Wachtwoord reset
Met de OpenAC 3 build die hoort bij versie 2.102 kan de gebruiker zijn/haar wachtwoord resetten als inloggen niet lukt.
Documenten in de database
Deze versie zou documenten in de database mogelijk maken. Hier zien we van af. Het geplande migratie script is uitgeschakeld en zal niet draaien in de opdracht om alle migraties te draaien.
Zorgtraject locatie
Rapportages en controle-, plan- en werklijsten kunnen vaak worden gefilterd op locatie. Tot nu toe gebeurde het filteren op basis van een locatieletter in de database key van het zorgtraject. Vanaf versie 2.102 is een locatiekolom toegevoegd aan de zorgtrajecttabel. Dat heeft als voordeel dat de locatie kan worden gewijzigd en dat de selectiequery's sneller zijn geworden. Voor de bestaande zorgtrajecten is een migratiescript beschikbaar.
Voor het Secretariaat
Er zijn geen wijzigingen in deze release specifiek voor het secretariaat.
Voor de Onderzoekers
Bij gebruik van de AVG-module is het overzicht van de laatste 50 dossiers in het patiëntenscherm verdwenen. De lijst laat nog maar één patiënt zien. Ook zijn de adresgegevens verdwenen uit de lijst. Het secretariaat heeft nog wel de beschikking over deze lijst.
Voor het Management
- ZorgDomein heeft onze ZorgDomein-koppeling productiestatus gegeven! Vanaf deze release is het voor alle AC's mogelijk om de koppeling in te richten. Neem contact op met ZorgDomein en/of Fenac ICT om dit in gang te zetten.
- Alle openstaande bij ons bekende AVG-, security- en privacy-issues zijn met deze release opgelost.
Lokale Aanpassingen
Voor het Beheer
- Backups Bij het maken van een geanonimiseerde backup wordt kolom bestand_body niet meer meegenomen omdat de backup anders te groot zou worden. We werken aan een oplossing voor reguliere backups.
- Startscherm In het startscherm onder het logo staat nu ook de geselecteerde AGB-code zodat men weet met welke AGB-locatie men werkt.
- Inloggen Het inloggen met deze versie gaat uitsluitend via centraal geïnstalleerde OpenAC3. Installeren en in gebruik nemen van OpenAC3 is een vereiste om te kunnen werken met deze versie van OpenAC.
- Wachtwoord reset OpenAC 3 biedt medewerkers de mogelijkheid om het eigen wachtwoord te resetten als het inloggen niet lukt.
- Two Factor Authentication (2FA) Als je deze versie van OpenAC in combinatie met de nieuwe build van OpenAC3 in gebruik neemt dan kun je gebruik maken van 2FA. Zie verder de informatie over het inrichten van 2FA in de beheerdershandleiding.
Migratie
Script Ook voor v2.102 is er een migratie-script om database-aanpassingen te doen en nieuwe gegevens in te voeren. Zie ook het stappenplan onderaan.
Zie voor verdere uitleg over het migratie-script de beheershandleiding.
De migratie-stappen voor v2.102 zijn te vinden door het uitvoeren van het volgende commando:
python27\python script.py migratie v2_102 --help
NoteBox(warn, Voer nog niet de migratie stap --wachtwoord-sha256 uit omdat wachtwoorden nog niet omgezet moeten worden zo lang versie 2.100 nog niet compleet vervangen is binnen de organisatie.)? Alle migratiestappen worden uitgevoerd met:
python27\python script.py migratie v2_102 --all
De stap van het omzetten van de wachtwoorden zal niet uitgevoerd worden met de optie --all vanaf revisie r48935.
Aanvullende documentatie voor specifieke stappen:
--documenten-naar-database
Met deze migratiestap worden documenten vanaf de opgegeven datum gemigreerd van schijf naar de database. Als er niet een begindatum is opgegeven dan worden alle documenten gemigreerd. Documenten die met succes in de database zijn opgeslagen worden van schijf verwijderd. Deze stap wordt niet automatisch uitgevoerd bij gebruik van parameter --all. Onderstaand voorbeeld migreert alle documenten vanaf 1-1-2012:
python27\python script.py migratie v2_102 --documenten-naar-database -c begindatum=2012-01-01
--wachtwoord-sha256
Met deze migratiestap worden de wachtwoorden van alle medewerkers omgezet naar sha256 encryptie. Na het uitvoeren van deze stap is het niet meer mogelijk om te achterhalen wat het oorspronkelijke wachtwoord was.
Deze migratiestap wordt niet automatisch uitgevoerd bij parameter --all, omdat dat als te risicovol wordt beschouwd. Om alleen deze stap uit te voeren:
python27\python script.py migratie v2_102 --wachtwoord-sha256
Stappenplan
Om naar OpenAC 2.102 te migreren zonder dat medewerkers niet meer in kunnen loggen en bijwerken is het onderstaande stappenplan bedacht.
- Werk OpenAC 2.100 bij naar ten minste revisie r48882. Werk de datastructuur bij. Tabel medewerker_data heeft een kolom medewerker_openac3. Alleen wanneer daar de waarde 'ja' in staat kan de medewerker inloggen in OpenAC3, standaard is dat niet zo. Om bijv. alle medewerkers die op actief staan toe te laten kan een query gebruikt worden: update medewerker_data set medewerker_openac3 = 'ja' where medewerker_in_gebruik = 'ja'. Met OpenAC 2.100 kan per medewerker deze instelling ingeregeld worden bij het bewerken van de gegevens van een medewerker.
- Voor medewerkers die zelf hun wachtwoord wijzigen moet een e-mail adres geregistreerd staan. Stel het bereik bij voorkeur in op 'Werk', dat e-mail adres zal als eerste herkend worden. Als een e-mail adres in een ander bereik bekend is dan moet "E-mail toestaan?" niet op "Nee" staan om er een wachtwoord mee te kunnen resetten (voor Werk adressen geldt dat dus niet).
- Schakel een werkstation om naar v2.102 en werk de versie bij naar ten minste r48935.
- Draai met v2.102 de migratiestappen met --all.
- Schakel de gebruikers om naar v2.102. Laat nu alle werkstations bijwerken.
- Migreer als alle v2.100 naar v2.102 over is de wachtwoorden met het migratie script met optie --wachtwoord-sha256
Testplan
Zie ook het algemene OpenAC testplan.
