Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 41 reacties

Onderzoekers van de Nijmeegse Radboud Universiteit zetten een zelf ontwikkeld systeem in om de medische gegevens van Parkinson-patiŽnten te beveiligen. Dat heet 'Polymorphic Encryption and Pseudonymisation' en is onder anderen ontwikkeld door hoogleraar Bart Jacobs.

Tijdens het onderzoek worden gegevens van de deelnemers verzameld, bijvoorbeeld aan de hand van wearables. Het gaat om 650 personen die over een periode van twee jaar in de gaten worden gehouden, zo schrijft de universiteit in een persbericht. Om deze gegevens versleuteld op te slaan en te pseudonimiseren, maakt de universiteit gebruik van het zelf ontwikkelde PEP-systeem. Deze methode, die is ontwikkeld door Bart Jacobs en Eric Verheul, maakt het voor de partij die de gegevens opslaat onmogelijk om deze in te zien. Ook krijgen de onderzoeksdeelnemers controle over welke personen met de gegevens aan de slag kunnen, waardoor hun privacy gewaarborgd moet zijn. Bovendien is er voor elke deelnemer een ander pseudoniem per onderzoeker, zodat deze niet alsnog meer gegevens te zien krijgen dan door de deelnemer is bepaald.

In het bijbehorende onderzoek beschrijven de PEP-bedenkers dat er bij traditionele vormen van encryptie vaak een enkele sleutel wordt gebruikt voor encryptie en decryptie. Bij hun methode is het daarentegen mogelijk om bijvoorbeeld een database met verschillende sleutels te ontsleutelen. Dat heeft het voordeel dat een onderzoeker alleen toegang kan krijgen tot het gedeelte van de gegevens dat hij nodig heeft. Met een enkele decryptiesleutel zou dat niet mogelijk zijn. Op die manier kan een partij de gegevens meteen opslaan op een centrale server, zonder eerst te regelen wie toegang dient te krijgen. Ook de hostingspartij zelf heeft geen toegang tot de data.

Er is een centrale partij die de verschillende sleutels aanmaakt. In het onderzoek is deze aangeduid als een 'Tweaker', maar na opmerkingen van Amerikaanse collega's is deze naam aangepast naar 'Transcriptor', zo legt Jacobs aan Tweakers uit. Deze Transcriptor kan de gegevens blind aanpassen en deze beschikbaar maken voor verschillende partijen. Om dit op een veilige manier te laten verlopen, is er volgens de onderzoekers beleid nodig waarin de onderzoeksdeelnemer een centrale rol speelt. PEP maakt gebruik van encryptie met een publieke sleutel op basis van ElGamal.

Naast versleuteling is het ook mogelijk om het systeem uit te breiden met een methode om gegevens te pseudonimiseren, zodat de identiteit van de onderzoeksdeelnemers niet te achterhalen is. Zo heeft een deelnemer bijvoorbeeld verschillende pseudoniemen bij verschillende onderzoekers en instellingen. Daardoor zijn de gegevens niet met elkaar te combineren, zo stellen de onderzoekers. Om dit geheel heen is vervolgens een systeem nodig voor authenticatie en autorisatie van de Transcriptor, die ook een centrale rol speelt bij het toewijzen van pseudoniemen.

Jacobs vertelt aan Tweakers: "De Transcriptor is uiteindelijk allemaal programmatuur die in een hardware security module zit. Die wordt dan ergens in een rek gehangen. Wij hebben bijvoorbeeld Surfnet voor deze rol benaderd, omdat die organisatie onafhankelijk is en ervaring heeft in een trusted role." Er is echter nog geen samenwerking met het bedrijf aangegaan, voegt hij daaraan toe. Het systeem zit zo in elkaar dat er meerdere privésleutels zijn die toegang geven tot de data, legt de hoogleraar verder uit. "Dus als er een gehackt wordt, dan werkt het systeem niet meer maar is de data nog steeds veilig. Er zijn meerdere componenten nodig om bij de gegevens te komen."

Er zijn verschillende toepassingen van PEP denkbaar buiten de medische sector. Zo zal het mogelijk gebruikt worden voor eID, aldus Jacobs. Ook internettoepassingen zijn denkbaar, bijvoorbeeld bij het beveiligen van sensordata. Het systeem voor de huidige toepassing in het Parkinson-onderzoek moet over ongeveer een half jaar gereed zijn. De Radboud Universiteit en de provincie Gelderland hebben respectievelijk 920.000 euro en 750.000 euro in PEP geïnvesteerd. De techniek moet uiteindelijk open source beschikbaar worden. Een van de deelnemers van het onderzoek is Verily, de life science-afdeling van Google-moederbedrijf Alphabet.

pep tweaker   De centrale rol van de 'Tweaker' bij PEP

Moderatie-faq Wijzig weergave

Reacties (41)

....niet om het een of ander, maar dan moet het personeel wel uitloggen op de werkplek!!
die computers laten ze nogal eens onvergrenden open staan in de patienten kamer.
als nerd/tweaker ben ik dan wel benieuwd [..] klik klik .... toch wel nasty dat je al die info dan zomaar kunt opvragen
dit is eerder regel dan uitzondering (ben te veel in radboud geweest afgelopen jaar)

//edit; men wordt wel uitgelogd na x-minuten! maar dat is nadat medewerker kamer verlaten heeft :+
//edit2; waarom wordt dit in de - gejankt? situatie -is- zo!

[Reactie gewijzigd door himlims_ op 30 september 2016 14:46]

De mensen die met het systeem werken zijn inderdaad de zwakke schakel.
Wanneer een PC onbeheerd achtergelaten wordt kan iemand anders toegang verkrijgen. Uitloggen wordt zelden gedaan en de time-out staat meestal op minimaal 5 minuten. Ik hoop dat de omgevingen waar met gevoellige data eens beter beveiligd wordt tegen dit soort nalatigheid.

Op zich moet je met een webcam al kunnen zien of iemand zijn plek verlaat of zich van het scherm afwendt. Met gezichtsherkenning kan je ook nog eens controleren or niet stiekem een ander persoon achter het toetesenbord kruipt. De eerste minuten zou een identificatie met bijvoorbeeld alleen een vingerafdruk gemakkelijk genoeg zijn om het de gebruikers niet al te lastig te maken. Wanneer de PC langer niet gebruikt wordt is een tweede authencificatie natuurlijk wel wenselijk.
Het best hierop zou zijn dat er voor dit soort gegevens een timeout is van een paar minuten dat je opnieuw moet inloggen op het systeem wat de database aanroept.
Ik heb tot nu toe elke keer dat ik in het ziekenhuis was al mijn gegevens nagelezen door niet te locken van de PC. Zeg er ook altijd iets van. Maar op een of andere manier draaien de verpleegkundige/doktoren het zo dat ik het probleem ben en nu zij.
Heb een keer gehad dat ik ergens zat waar de computer wel gelockt werd maar vervolgens hing het wachtwoord aan het scherm. Het was gelukkig niet Welkom01 of iets wat daar op lijkt het was iets randoms. Ik heb daar toen ook iets van gezegd tegen de dokter en die heeft toen het wachtwoord verscheurd en weg gegooid.

Het is wel schandalig dat mensen zo makkelijk omgaan met informatie van iemand anders. Dat ze niet veilig omgaan met hun eigen gegevens zie ik geen probleem mee.

Ik ben voor een boete systeem als een PC met wachtwoord op scherm en of nog in logt gevonden word. De persoon die inlogt is gewoon verantwoordelijk houden en deze korten op zijn salaris. Dan gaan mensen vanzelf zuiniger om met hun account. Het aardig bewust maken heeft bij deze groep mensen geen nut. Dan zal er toch agressiever geworden moeten worden om dit soort problemen in te bannen.
Geen passwoorden maar een kaartje of andere physical key. Iets dat aan een sleutelhanger kan. Geen key, scherm gelocked en geen toegang. Zonder uitzonderingen en geen "oh je kan het ook op deze manier"-dingen. Geen enkel.

Doe ook zo iets voor m'n laptops. Werk nl. voor bedrijven die wensen dat ik m'n gegevens encrypteer. M'n Luks FS encryptie heeft geen passphrase in de key slots. De key staat op een MicroSD kaartje. Kaartje er uit: Niks. Kaartje er in, FS kan gemount worden. Ik moet enkel gdm2 m'n gnome-session eens aanpassen om eject van dat kaartje te detecteren en dan m'n scherm te locken en /home te unmounten, en unlock en remount als het kaartje er in zit. Moet er enkel eens tijd voor maken. Nog zo veel ideeen om uit te werken :-)
Ik denk dat het beter is dat de oplossing gezocht wordt aan de ICT kant. Om tegen een gebruiker te zeggen je moet locken en dan weer met wachtwoord unlocken (of bij gratie per badge) ff ca (als je mazzel hebt) 20 sec geduld en je kan weer verder.

Zo werkt onze beveiliging is altijd zo'n suffe benadering. De ICT moet in mijn ogen voor de gebruiker werken en niet andersom.
Laten we zorgen dat de eigen gegevens van de medewerker direct toegankelijk zijn vanaf het moment dat hij/zij toegang tot patiŽntdata heeft en tot het moment dat die toegang weer eindigt (door uitloggen o.i.d.). Dat is zeker niet de hele oplossing, maar maakt de medewerkers wel bewust van het belang van patiŽnten privacy.
Jij denkt dat een verpleegkundige zo maar ontslag neemt? Ik betwist het, deze mensen komen niet zo snel aan een nieuwe baan.
Het kan ook iets anders zijn, maar mensen moeten het normaal gaan vinden dat ze locken/uitloggen. Al maak je in de pauze hokken een wall of shame en een wall of fame er naast! Ik weet niet wat de beste optie is om dit op te lossen maar ik heb het gevoel wat we nu doen niet werkt.

Ik weet dat bij sommige organisaties overal posters hangen met logout/lock je PC als je weg loopt en dan nog zie je overal PCs openstaan.
Voor financiŽle pakketten is die regel er al (Denk bijvoorbeeld aan internetbankieren). Dan moet je continue even klikken in het pakket om een handeling te verrichten en het systeem actief houden.

Qua bedrijfspolicies is het bij ons ook zo geregeld dat het na bepaalde tijd automatisch op het lockscherm schiet.

Al is dat soms wel erg irritant als gebruiker zijnde.
Snap je punt, maar dat past ook in het straatje dat je dan verwacht dat mensen niet data over bepaalde e-mail diensten heen gaat sturen. Net zoals mensen binnen de overheid die meer dan eens toch maar gmail gebruiken omdat dit bijvoorbeeld ''makkelijker'' is. Het blijft, helaas, ook een kwestie van vertrouwen ben ik bang.
Geldt bij heel veel bedrijven, niet eens alleen ziekenhuizen....
Maar dat kon altijd al door even in de map te kijken op het bureau van de secretaresse even zij even weg is het de balie....
Wauw... Het hele encryptie stuk is klakkeloos gekopieerd van het Belgisch vitalink systeem. Deze bied al jaren een beveiligde opslag met partiele en/of conditionele toegang tot data op basis van multi key elgamal keys (en key decryptie op hsm).

Edit: vitalink basis uitleg (spijtig genoeg zeer beknopt): http://vitalink.be/voor-o...s/technische-voorstelling

[Reactie gewijzigd door Dred op 30 september 2016 13:36]

Edoch niet. Volledig andere benadering van Encryptie.
Vitalink baseert zich op een sleutelpaar en een connector voor het ontsleutelen.
Heb je een sleutelpaar...heb je toegang tot het platform

Dit is een need-multiples-keys to gain specific (need-to-decrypt) access.
Daarnaast Open Source.
En eenmaal gehacked....ligt het systeem geencrypteerd plat.

Het grote verschil is dat bij de conditionele access alleen die data gedecrypteerd kan worden waartoe je toegang krijgt. De overige data blijf encrypted.

[Reactie gewijzigd door kwakzalver op 30 september 2016 13:45]

Met 1 sleutelpaar ben je niks, je moet n-sleutels hebben (in het basisvoorbeels dat ik gelinkt heb hierboven zijn dat er 2, maar dat kunnen er meerdere zijn, ook m van n is mogelijk)

Als je alle sleutels hebt, heb je nog geen toegang tot -alles- maar tot alles wat die combinatie sleutelparen kunnen decoderen. Bij vitalink is er dus sprake van threshold encryptie die tot op veldniveau geconfigureerd kan worden.

Nu, ik wil best geloven dat het anders werkt, en ik hoop het van harte, niemand ziet (een deel van) zijn werk graag gekopieerd worden in welke vorm dan ook.

Edit: je had je bericht nog wat gewijzigd, ik wil dus nog even aanhalen dat vitalink wel degelijk op veld niveau decryptie afregeld. Ik had het al in een andere reply gelinkt: https://www.smals.be/nl/c...kelt-fijnmazige-encryptie

[Reactie gewijzigd door Dred op 30 september 2016 13:54]

Ik denk dat er toch een fundamenteel verschil zit tussen de systemen. Bij Vitalink lijkt het erop dat de authenticatie en autorisatie door een apart systeem wordt gedaan. Eenmaal geauthentiseerd en geautoriseerd worden de beide delen van de decryptiesleutel beschikbaar gemaakt voor de gebruiker.

In het PEP-model is een soort autorisatie ingebouwd. Elke sleutel geeft namelijk slechts de mogelijkheid om een deel van de data te decrypten. Ook is de anoniemisate die PEP biedt een groot voordeel. Zoals in de afbeelding duidelijk is te zien kunnen alleen gerechtigden achter de identiteit van een persoon komen.
Ik zeg niet dat het een volledige kopie is, ik doelde specifiek over hun threshold encryptie implementatie op basis van elgamal die tot op veld niveau werkt. (Vitalink tech is gepatenteerd nml)

Voor anonimisatie van data kan vitalink gebruik maken van de belgische ehealth basisdiensten, waaronder 'codage' die specifiek dient om velden te anonimiseren. Ik kan mij echter nie herinneren hoe exact dat dat gebruikt wordt.
Bedankt voor je reactie!

Ik heb het artikel van Smals wat je hierboven geplaatst hebt ook even gelezen. De Threshold-encryptie lijkt inderdaad erg overeen te komen met de PEP-implementatie. Natuurlijk met uitzondering van de ingebouwde anoniemisatie. Dit is echter geen probleem omdat voor het anonimiseren van data al andere oplossingen beschikbaar zijn (bijvoorbeeld ZorgTTP: https://www.zorgttp.nl).

Ik ben zeer benieuwd naar beide technieken. Heb jij misschien een artikel met meer informatie over de techniek achter Threshold-encryptie?
Ik denk niet dat er super veel echt publiekelijk beschikbaar is rond de meer technische details.
Zal eens zie of ik nog wat terug vind (is ook al weer vijf jaar geleden).
Is dit niet gewoon attribute based encryption in combinatie met attribute based access control, of zelfs alleen maar ABE met een nieuw sausje eroverheen dat gegevens een soort van anonimiseert?

Via ABAC kan bepaald worden wie waar toegang toe moet hebben op basis van een profiel bijv. database A of B of zelfs fine grained control als een database dat ondersteunt. Daarnaast kan op basis van attributen uit het profiel van een user bijbehorend aan zijn key worden bepaald welke stukken moeten/mogen worden gedecrypt.

Wat hier wel interessant is, is dat de onderzoeksdeelnemer bepaalt wie waar toegang toe heeft ipv een arts. Als dit goed geÔmplementeerd is, zou dit de 'patient' het beheer geven over wie er wel of geen inzicht krijgt in deze gegevens. Ik ben er enigszins sceptisch over of dit in de praktijk zo gaat werken. Er kan alsnog buitenom het systeem van alles gedeeld worden, wie zegt dat degenen die gegevens invoeren in het systeem deze niet ook buiten het systeem bewaren, of dat rollen niet worden toegewezen buiten weten van een patient om?
Alle backdoors etc. even daargelaten...

Attribute-based encryption is a type of public-key encryption in which the secret key of a user and the ciphertext are dependent upon attributes (e.g. the country in which he lives, or the kind of subscription he has). In such a system, the decryption of a ciphertext is possible only if the set of attributes of the user key matches the attributes of the ciphertext.

https://en.wikipedia.org/wiki/Attribute-based_encryption

"Attribute-based access control (ABAC) defines an access control paradigm whereby access rights are granted to users through the use of policies which combine attributes together. The policies can use any type of attributes (user attributes, resource attributes, object, environment attributes etc.). This model supports Boolean logic, in which rules contain "IF, THEN" statements about who is making the request, the resource, and the action. For example: IF the requestor is a manager, THEN allow read/write access to sensitive data."

https://en.wikipedia.org/wiki/Attribute-Based_Access_Control
Het is goed om te zien dat gegevens van patiŽnten door PEP beter geheim blijven.

Het is mij alleen niet heel duidelijk hoe deze 'encryptie' nu precies werkt, iemand zin om het uit te leggen? :)
Ik zit op mn gsm dus kan het niet uittypen, maar ik heb het in Belgie uitgewerkt onder "threshold encryption"

https://www.smals.be/nl/c...kelt-fijnmazige-encryptie

https://www.smalsresearch...d%20Encryption%20(NL).pdf
Volgens mij is jouw threshold encryption toch wel iets anders dan PEP uit dit artikel. De whitepaper Polymorphic Encryption and Pseudonymisation for Personalised Healthcare geeft meer achtergrond informatie.
Het plaatje is niet aangepast op de naam Transcriptor en geeft nog Tweaker weer.
"Er is een centrale partij die de verschillende sleutels aanmaakt. In het onderzoek is deze aangeduid als een 'Tweaker', maar na opmerkingen van Amerikaanse collega's is deze naam aangepast naar 'Transcriptor', zo legt Jacobs aan Tweakers uit."

Het lijkt me dus dat de afbeelding nog komt vanuit het onderzoek zelf?
Zeer waarschijnlijk ja. Waarom ik gedownmod wordt voor die opmerking is mij echter een raadsel.
Zeer waarschijnlijk ja. Waarom ik gedownmod wordt voor die opmerking is mij echter een raadsel.
Fixed.
Ik ben er nog niet aan toe gekomen om het paper te lezen, maar kan iemand misschien een toelichting geven op het volgende:
Het systeem zit zo in elkaar dat er meerdere privťsleutels zijn die toegang geven tot de data, legt de hoogleraar verder uit. "Dus als er een gehackt wordt, dan werkt het systeem niet meer maar is de data nog steeds veilig. Er zijn meerdere componenten nodig om bij de gegevens te komen."
Zoals ik het begrijp geeft elke sleutel de toegang tot een gedeelte van de data. Uit deze zinnen lijkt het echter alsof er meerdere sleutels nodig zijn om toegang te krijgen tot de data.

Klopt het dat als een kwaadwillende ťťn sleutel weet te bemachtigen hij/zij wel toegang krijgt tot een deel van de data?
In dit specifieke geval gaat her om parkinsonpatiŽnten, dus dat weet je verzekeraar dan al lang...

Maar:
Naast versleuteling is het ook mogelijk om het systeem uit te breiden met een methode om gegevens te pseudonimiseren, zodat de identiteit van de onderzoeksdeelnemers niet te achterhalen is. Zo heeft een deelnemer bijvoorbeeld verschillende pseudoniemen bij verschillende onderzoekers en instellingen. Daardoor zijn de gegevens niet met elkaar te combineren, zo stellen de onderzoekers. Om dit geheel heen is vervolgens een systeem nodig voor authenticatie en autorisatie van de Transcriptor, die ook een centrale rol speelt bij het toewijzen van pseudoniemen.
Als een verzekeraar zich voor doet als een onderzoeker, dan nog zijn de gegevens niet te herleiden naar de patiŽnten, dat laat alleen de backdoor over, maar als je dat doet dan is het wel gedaan met je onderzoekje. (Mits het uitkomt)
Het is helemaal niet relevant of de verzekeraar al weet of de patient parkinson heeft! Die data gaat de hele medische geschiedenis bevatten. Waar het om gaat is, heeft beveiling wel nut als verzekering er toch bij kan? Waar bescherm je het dan nog tegen? Wat vind je belangrijker: onderzoekers die een geneesmiddel willen vinden, of verzekeraars die zo min mogelijk geld willen uitgeven?
Op moment dat een client Parkinson heeft, en dit geindiceerd krijgt vanuit de indicatie arts, ziet een verzekeraar alleen maar de toegekende Zorg Zwaarte Pakket klasse (ZPP). Dan zien ze nog niks.

Echter bij het declareren van extreme kosten geneesmiddelen richting Zorgkantoor moet je met BSN van de cliŽnt en specificatie per vier weken meesturen, anders wordt het niet eens in behandeling genomen en krijgt een zorginstelling de dure medicatie niet vergoed. Aan de hand van de gebruikte medicatie kan je al heel veel herleiden. Dus verzekeraars ze hoeven niet eens een backdoor in te bouwen :z

Deze oplossing zou ook bij andere sectoren dan Ziekenhuizen een mooie oplossing kunnen zijn. Ik zie al potentie voor ICT bedrijven.
Dat is misschien niet helemaal waar. Er is zorg binnen de ggz dat aan de hand van de ingediende aanvragen voor vergoeding een zorgverzekeraar kan afleiden welke behandelcode het om gaat. Zo weet een verzekeraar toch nog wat de diagnose is.

Bovendien, overal werkt men aan algoritmen. Een verzekeraar kan ook software inzetten om patronen te herkennen in behandelingen.

Vergeet nooit dat 1 technologie + 2 technologie = onverwachte mogelijkheden.
In het patiŽntdossier is geen "backdoor" voor verzekeraars ingebouwd. Verzekeraars hebben wel het recht om per jaar enkele patiŽntdossiers in te zien als er een vermoeden is van een fout of fraude o.i.d.. Dit gebeurd echter met de hand en hoogstwaarschijnlijk in een ziekenhuis zelf. Er is geen geautomatiseerd systeem waarmee verzekeraars elektronische patiŽntendossiers (EPD's) kunnen opvragen.

Beetje ter inschatting van de omvang van deze werkwijze: Per zorginstelling gaat het om zo'n 20 patiŽnten per jaar maximaal. De meeste verzekeraars nemen echter de moeite niet (het kost vaak meer tijd/geld dan het oplevert).

Blijft natuurlijk wel over dat dit een zorgelijke ontwikkeling is. Verzekeraars krijgen recht op toegang tot data die ze naar mijn mening niet hoeven te hebben.
Het feit dat er gefraudeerd wordt waardoor verzekeraars af en toe moeten controleren is minstens zo zorgelijk... Voor verzekeraars is geld verdienen prio 1. Voor artsen zou dat niet zo moeten zijn.
Het is een mooie gedachte om te verwachten van alle artsen dat ze ethisch juist handelen. Echter zijn artsen gewoon mensen en zullen er altijd "rotte appels" tussen zitten. Daarbij kan in een mensenleven veel gebeuren wat iemand aanzet tot fraude (geldschulden, privť problemen, verslavingen).

Verder werken artsen onder (steeds groter wordende) druk van zowel hun opdrachtgever (het ziekenhuis) en de verzekeraar. Er is een hoge registratiedruk en de verzekeraar zet veel druk op zorginstellingen. Zo zijn aan het einde van het jaar de budgetten wel eens op waardoor patiŽnten niet meer geholpen kunnen worden (tenzij de arts/zorginstelling de kosten zelf op zich neemt).

Het is met bovenstaande in het achterhoofd wel te begrijpen dat artsen niet altijd ethisch juist handelen en de controle is daarom wel gerechtvaardigd denk ik. Alleen ik vind niet dat hiervoor het EPD gebruikt dient te worden. Er zijn genoeg andere informatiebronnen waarmee deze zaken gecontroleerd kunnen worden.
In de paper zal dat niet genoemd worden, in de praktijk zit dat er uiteraard wel in.

Allemaal in ons eigen belang he, zodat ze ons persoonlijkere beter op onze behoeften afgestemde verzekeringsproducten kunnen aanbieden!
Dus jij bouwt ook overal backdoors in aangezien je het kennelijk heel gewoon vindt?
Nee, voor mij weegt het belang van mijn gebruikers wel zwaarder dan dat van een stel verzekeraars.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True