Aanvullende auditverklaring en onderbouwende rapportage

Opgeslagen persoonlijke gezondheidsgegevens MOETEN beschermd worden door middel van encryptie. Hiervoor wordt verwezen naar de aanbevelingen die gelden voor 'near term protection' en 'long-term protection' in de aanbevelingen, zie https://www.keylength.com/.

De IT-beheerprocessen MOETEN aansluiten op het MedMij Change- en releasebeleid.

Niet-standaard wijzigingen op de IT componenten die gebruikt worden binnen de scope van MedMij MOETEN op basis van het vier-ogen-principe worden uitgevoerd.

Indien er wijzigingen plaatsvinden die mogelijk significante impact hebben op de informatiebeveiliging, MOET de penetratietest zoals benoemd in A.18.2.3 Beoordeling van technische naleving voor deze componenten opnieuw uitgevoerd worden.

Maatregelen MOETEN zijn gedocumenteerd en geïmplementeerd om te (kunnen) voldoen aan de beschikbaarheidseisen zoals vastgelegd in Token interface en Resource interface.

Maatregelen MOETEN zijn gedocumenteerd en geïmplementeerd om te (kunnen) voldoen aan de beschikbaarheidseisen zoals vastgelegd in Interfaces lijsten.

Er MOETEN maatregelen zijn geïmplementeerd waardoor het gegevensverlies van persoonlijke gezondheidsinformatie maximaal 24 uur bedraagt. Daarnaast moet een herstelprocedure zijn ingericht waardoor de gegevens van een persoon binnen 24 uur terug kunnen worden geplaatst in geval van een incident. Deze herstelprocedure wordt minimaal jaarlijks getest.

• Toegangslog

  • Deelnemers richten logbestanden in zoals beschreven in de AVG en NEN 7513:2018 en zorgen voor een wettelijke bewaartermijn van vijf jaar. De volgende acties moeten ten minste onweerlegbaar en controleerbaar worden gelogd.

    • De acties waarbij de persoon gegevens wil verzamelen of delen.

    • De acties waarbij de persoon toestemming geeft voor uitwisseling conform de specificaties in het afsprakenstelsel.

• Technische logs

  • De bewaartermijn voor technische logbestanden, zoals applicatie of service logs, hoeven niet aan de vijf jaar termijn te voldoen. Deelnemers kunnen bewaartermijnen vaststellen voor de technische logs op basis van best practices, zoals bijvoorbeeld beschreven in NIST SP 800-92 of CIS Control 6. Daarnaast kan een risicoanalyse de organisatie in staat stellen de bewaartermijn te bepalen die het beste past bij de specifieke behoeften en risico's van hun omgeving. Als richtlijn wordt aanbevolen om technische logs ten minste één jaar te bewaren, aangezien dit cruciaal kan zijn voor het uitvoeren van effectieve incident response en forensisch onderzoek.

• Ketenlog

  • Vanuit het afsprakenstelsel moeten Deelnemers gebeurtenissen vastleggen ten behoeve van ketenmonitoring en -logging (Zie de Verantwoordelijkheden, Core onder logging en de Logging interface). De bewaartermijn van de logbestanden is ten minste 24 maanden en niet meer dan 36 maanden. De maximum bewaartermijn voor de loggegevens voor ketenlog is lager omdat deze niet gegevens over inzage en/of bewerkingen van het medisch dossier betreffen. De minimale en maximale bewaartermijnen van deze logbestanden passen binnen de uitersten die daartoe zijn bepaald door NEN7513:2018 (paragraaf 8.5).

  • De maximum bewaartermijn van 36 maanden is niet van toepassing op aggregaten en algemene tellingen. Deze aggregaten en algemene tellingen mogen niet zijn voorzien van herleidbare gegevens zoals trace-id en session-id.

• Disclaimer

  • De, vanuit Deelnemers, ontvangen logbestanden worden met zorg en vertrouwelijkheid behandeld. Beheer MedMij draagt er zorg voor dat de logbestanden veilig worden opgeslagen en verwerkt, in overeenstemming met geldende privacy- en veiligheidsvoorschriften.

    Toegang tot de aangeleverde gelogde gebeurtenissen is strikt beperkt tot geautoriseerde medewerkers binnen Beheer MedMij. Deze data wordt uitsluitend gebruikt voor de volgende doeleinden: monitoring van het MedMij-ketenverkeer, het bieden van ondersteuning aan Deelnemers bij prio-1 incidenten en het uitvoeren van analyses ter verbetering van het MedMij-ketenverkeer.

    Logging data betreffende deelnemers wordt onder geen beding gedeeld met andere deelnemers.

• Uitzondering

  • In het geval van een klacht of een juridische procedure mag een Deelnemer een uitzondering maken op de bewaartermijnen. Dan mogen de relevant geachte logregels en de relevante geachte rapportages tot maximaal 10 jaar na het ontstaan van de loggegevens worden bewaard. Praktische aanpak is om een export te maken van de relevante logregels en deze informatie vast te leggen in een register dat specifiek is gewijd voor uitzonderingen. Door deze afzonderlijke procedure voor het verlengd bewaren van logregels kunnen organisaties voldoen bij klachten, terwijl de reguliere bewaartermijnen van loggegevens worden gehandhaafd.

De klokken van IT componenten die communiceren via MedMij en logging in het kader van MedMij bijhouden, MOETEN worden gesynchroniseerd met https://www.ntppool.org/nl/.

Het is toegestaan te synchroniseren met een alternatieve NTP-server, wanneer maatregelen zijn getroffen om de afwijking met https://www.ntppool.org/nl/ niet groter dan plus of min 500 ms te laten zijn.

De processen MOETEN aansluiten op de Operationele processen in het MedMij Afsprakenstelsel ten aanzien van het beheer van technische kwetsbaarheden.

Dit dient te omvatten:

• Identificeren van kwetsbaarheden in de eigen technologie, onderzoeken van relevantie van door de beheerorganisatie geïdentificeerde kwetsbaarheden + terugkoppeling naar de beheerorganisatie hieromtrent;
• Het patchen van systemen of anderzijds mitigeren van de kwetsbaarheid;
• Het tijdig kunnen doorlopen van de gehele procedure bij hoog risico-kwetsbaarheden.

Bij het vaststellen voor het beleid voor beveiligd ontwikkelen MOETEN de ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC uit het "Uitvoeringsdomein" overwogen worden (https://www.ncsc.nl/documenten/publicaties/2019/mei/01/ict-beveiligingsrichtlijnen-voor-webapplicaties).

Voor mobiele applicaties MOETEN de Beveiligingsrichtlijnen voor mobiele applicaties van het NCSC overwogen worden (https://www.ncsc.nl/documenten/publicaties/2019/mei/01/beveiligingsrichtlijnen-voor-mobiele-apparaten).

Organisaties MOETEN relevante MedMij beheersmaatregelen contractueel beleggen bij hun leveranciers.

Organisaties MOETEN toezien op correcte naleving van de relevante MedMij beheersmaatregelen die bij een leverancier belegd zijn.

De processen voor het behandelen van incidenten en calamiteiten moeten aansluiten op de Operationele processen in het afsprakenstelsel.

Kwetsbaarheden en incidenten die betrekking hebben op persoonlijke gezondheidsgegevens of het functioneren van het MedMij stelsel MOETEN binnen 48 uur gemeld te worden bij het centrale incident management team. Zie Deelnemersovereenkomsten.

DVZA maken hierover zonodig afspraken met de aangesloten ZA's.

Medewerking MOET worden verleend aan (forensische) onderzoeken, door het aanleveren van gevraagde bewijsmaterialen, zulks op verzoek van de beheerorganisatie of bevoegde instanties.

DVA maken hierover zonodig afspraken met de aangesloten Aanbieders.

Voor penetratietesten die worden uitgevoerd na toetreding, dient een adequaat actieplan opgesteld te worden voor minimaal de hoge en midden risico's (CVSS-score (Common Vulnerability Scoring System) van 4,0 of hoger) ten aanzien van de MedMij dienstverlening. Dit actieplan wordt gedeeld met de beheerorganisatie. De corrigerende maatregelen worden tijdig doorgevoerd.

Bij grootschalige wijziging of herbouw vereisen eenmalig een greybox applicatiepenetratietest.

De beleidsdocumenten MOETEN de beleidsmaatregelen die van toepassing zijn op MedMij (onder andere gespecificeerd in Privacy- en informatiebeveiligingsbeleid) specifiek benoemen.

De (eind)verantwoordelijkheid voor informatiebeveiliging MOET belegd zijn. Deze functionaris(sen) dient/dienen mandaat te hebben om bij (een dreiging van) een crisis spoedbesluiten te nemen ten aanzien van MedMij en deze besluiten met spoed te kunnen (laten) realiseren.

De verantwoordelijke en operationele functionaris(sen) (inclusief eventuele onderaannemers) dient/ dienen hiervoor tijdens kantooruren binnen een uur beschikbaar te zijn en buiten kantooruren binnen drie uur. 

Medewerkers die werkzaamheden verrichten ten aanzien van de operationele processen zoals omschreven in de verplichte versie van het MedMij Afsprakenstelsel MOETEN een training hebben gevolgd over de algemene werking van het stelsel en op de voor hem/haar van toepassing zijnde beveiligingsmaatregelen.

De gegevens die binnen het stelsel worden verwerkt MOETEN worden behandeld conform het Informatieclassificatiebeleid (van MedMij).

Authenticatie van personen (eindgebruikers) MOET plaatsvinden op basis van minimaal twee factoren. Na succesvolle authenticatie krijgen personen alleen toegang tot hun eigen persoonlijke gezondheidsgegevens of de gegevens van de vertegenwoordigde.

Scope: Dit geldt voor het gehele MedMij PGO en voor alle gebruikers die hier toegang toe krijgen. Dit is onafhankelijk of deze gebruikers MedMij uitwisselingen gebruiken of niet.

Naast zwakkere tweede factoren als e-mail en SMS MOET een deelnemer ook één of meerdere sterkere tweede factoren aanbieden. De Persoon bepaalt zelf welke tweede factor wordt gebruikt.