Normenkader informatiebeveiliging

Alle deelnemers dienen in het bezit te zijn van een geldige NEN 7510-certificering, ongeacht hun grootte en of ze dienstverlener in het persoonsdomein of aanbiedersdomein zijn. Ook de beheerorganisatie zal voor de uitvoering van haar diensten binnen het MedMij netwerk gebonden zijn aan de NEN 7510 norm. Gebruik van NEN 7510:2011 voor certificatiedoeleinden onder accreditatie blijft mogelijk tot medio 2020, te weten 2 jaar na publicatie van het certificatieschema NCS 7510:2018. Dit nieuwe certificatieschema behorend bij NEN 7510-1:2017 is begin juni 2018 gepubliceerd. MedMij stelt de volgende eisen aan een NEN 7510-certificering voor deelnemers:

De Dienstverlener aanbieder moet de aanbieders als belangrijke belanghebbenden hebben geïdentificeerd in het uitvoeren/herijken van de risicoanalyse (zie ook hetgeen over de de rollen en verantwoordelijkheden ten opzichte van de verwerking van persoonsgegevens is opgenomen in de Juridische context);
Bij de selectie van de van toepassing zijnde maatregelen dienen ten minste de maatregelen uit het normenkader informatiebeveiliging te zijn opgenomen;
Indien de maatregel een implementatie voorschrijft, dient de maatregel op deze wijze te worden geïmplementeerd. De deelnemer heeft dit middels een self assessment gecontroleerd en onderbouwd. Hiervoor kan het format voor de onderbouwende rapportage als hulpmiddel dienen.

De deelnemer toont jaarlijks met een Aanvullende auditverklaring en onderbouwende rapportage aan te voldoen aan het normenkader MedMij. Voor de onderbouwende rapportage bij de auditverklaring wordt door MedMij een format beschikbaar gesteld. Blijkt uit de aanvullende auditverklaring dat de deelnemer niet (meer) voldoet, dan beoordeelt de Stichting MedMij op basis van de onderbouwende rapportage of en op welke manier het Nalevingsbeleid moet worden toegepast.

De NEN 7510-certificering en de aanvullende auditverklaring met rapportage dienen te worden afgegeven door een Conformiteit Beoordelende Instelling (CBI), die NEN 7510 geaccrediteerd is door de Raad voor Accreditatie of een NEN 7510 licentieovereenkomst heeft met NEN. Aan de uitvoerend auditor die de verklaring afgeeft worden daarmee dus dezelfde eisen gesteld door de CBI als voor de afgifte van het NEN 7510 certificaat. Tevens dient het NEN 7510 certificaat te zijn opgenomen in het door NEN beheerde nationale certificatenregister NEN 7510. Voor het NEN 7510 certificaat gelden de door NEN aangehouden termijnen voor hercertificering. Voor vragen van CBI's over het normenkader kan contact worden opgenomen via secmgt@medmij.nl.

Normenkader

Beheersmaatregel	DVP	DVA	BO	Implementatie
A.10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen				Opgeslagen persoonlijke gezondheidsgegevens MOETEN beschermd worden door middel van encryptie. Hiervoor wordt verwezen naar de aanbevelingen die gelden voor 'near term protection' en 'long-term protection' in de aanbevelingen, zie https://www.keylength.com/.
A.12.1.2 (1) Wijzigingsbeheer				De IT-beheerprocessen MOETEN aansluiten op het MedMij Change- en releasebeleid.
A.12.1.2 (2) Wijzigingsbeheer				Niet-standaard wijzigingen op de IT componenten die gebruikt worden binnen de scope van MedMij MOETEN op basis van het vier-ogen-principe worden uitgevoerd.
A.12.1.2 (3) Wijzigingsbeheer				Indien er wijzigingen plaatsvinden die mogelijk significante impact hebben op de informatiebeveiliging, MOET de penetratietest zoals benoemd in A.18.2.3 Beoordeling van technische naleving voor deze componenten opnieuw uitgevoerd worden.
A.12.1.3 (1) Capaciteitsbeheer				Maatregelen MOETEN zijn gedocumenteerd en geïmplementeerd om te (kunnen) voldoen aan de beschikbaarheidseisen zoals vastgelegd in Token interface en Resource interface.
A.12.1.3 (2) Capaciteitsbeheer				Maatregelen MOETEN zijn gedocumenteerd en geïmplementeerd om te (kunnen) voldoen aan de beschikbaarheidseisen zoals vastgelegd in Interfaces lijsten.
A.12.3.1 Back-up van informatie				Er MOETEN maatregelen zijn geïmplementeerd waardoor het gegevensverlies van persoonlijke gezondheidsinformatie maximaal 24 uur bedraagt. Daarnaast moet een herstelprocedure zijn ingericht waardoor de gegevens van een persoon binnen 24 uur terug kunnen worden geplaatst in geval van een incident. Deze herstelprocedure wordt minimaal jaarlijks getest.
A.12.4.1 Gebeurtenissen registreren				Logging MOET plaatsvinden zoals gespecificeerd in het afsprakenstelsel (zie Functies en gegevens, Core onder Logging) Daarnaast MOETEN de volgende acties ten minste 12 maanden onweerlegbaar en controleerbaar worden gelogd: De actie waarbij de persoon via de DVP bij de DVA gegevens wil opvragen De acties waarbij de persoon toestemming geeft voor de uitwisseling conform de specificaties in het afsprakenstelsel (indien uitgevoerd onder verantwoordelijkheid van de DVA)
A.12.4.3 Logbestanden van beheerders en operators				Het gebruik van toegangsrechten op IT-componenten waar persoonlijke gezondheidsgegevens worden verwerkt MOET worden gelogd; Deze logging MOET ten minste maandelijks worden gecontroleerd. Dit geldt ook voor eventuele onderaannemers; Hierbij MOET functiescheiding gewaarborgd zijn; Tijdens deze controle moet aandacht zijn voor onterecht/onnodig gebruik door medewerkers (met aantoonbare opvolging).
A.12.4.4 Kloksynchronisatie				De klokken van IT componenten die communiceren via MedMij en logging in het kader van MedMij bijhouden, MOETEN worden gesynchroniseerd met pool.ntp.org. Het is toegestaan te synchroniseren met een alternatieve NTP-server, wanneer maatregelen zijn getroffen om de afwijking met pool.ntp.org niet groter dan plus of min 500 ms te laten zijn.
A.12.6.1 Beheer van technische kwetsbaarheden				De processen MOETEN aansluiten op de Operationele processen in het MedMij Afsprakenstelsel ten aanzien van het beheer van technische kwetsbaarheden. Dit dient te omvatten: Identificeren van kwetsbaarheden in de eigen technologie, onderzoeken van relevantie van door de beheerorganisatie geïdentificeerde kwetsbaarheden + terugkoppeling naar de beheerorganisatie hieromtrent; Het patchen van systemen of anderzijds mitigeren van de kwetsbaarheid; Het tijdig kunnen doorlopen van de gehele procedure bij hoog risico-kwetsbaarheden.
A.14.2.1 Beleid voor beveiligd ontwikkelen				Bij het vaststellen voor het beleid voor beveiligd ontwikkelen MOETEN de ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC uit het "Uitvoeringsdomein" overwogen worden (https://www.ncsc.nl/documenten/publicaties/2019/mei/01/ict-beveiligingsrichtlijnen-voor-webapplicaties). Voor mobiele applicaties MOETEN de Beveiligingsrichtlijnen voor mobiele applicaties van het NCSC overwogen worden (https://www.ncsc.nl/documenten/publicaties/2019/mei/01/beveiligingsrichtlijnen-voor-mobiele-apparaten).
A.15.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomsten				Organisaties MOETEN relevante MedMij beheersmaatregelen contractueel beleggen bij hun leveranciers.
A.15.2.1 Monitoring en beoordeling van dienstverlening van leveranciers				Organisaties MOETEN toezien op correcte naleving van de relevante MedMij beheersmaatregelen die bij een leverancier belegd zijn.
A.16.1.1 Verantwoordelijkheden en procedures				De processen voor het behandelen van incidenten en calamiteiten moeten aansluiten op de Operationele processen in het afsprakenstelsel.
A.16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging				Kwetsbaarheden en incidenten die betrekking hebben op persoonlijke gezondheidsgegevens of het functioneren van het MedMij stelsel MOETEN binnen 48 uur gemeld te worden bij het centrale incident management team. Zie Deelnemersovereenkomsten. DVZA maken hierover zonodig afspraken met de aangesloten ZA's.
A.16.1.7 Verzamelen van bewijsmateriaal				Medewerking MOET worden verleend aan (forensische) onderzoeken, door het aanleveren van gevraagde bewijsmaterialen, zulks op verzoek van de beheerorganisatie of bevoegde instanties. DVA maken hierover zonodig afspraken met de aangesloten Aanbieders.
A.18.2.3 Beoordeling van technische naleving				Tenminste jaarlijks MOET een greybox applicatiepenetratietest worden uitgevoerd op de externe koppelvlakken door een externe, onafhankelijke organisatie. De volgende specifieke MedMij eisen moeten ook aantoonbaar getoetst zijn in de pentest rapportage; Voor alle deelnemers: DNSSEC zie core.dns.300 en core.dns.301 TLS zie verantwoordelijkheid core.tls.301 in combinatie met core.tls.302 en core.tls.304 NCSC webapplicatie richtlijnen U/PW.02, U/PW.03, U/WA.03, U/WA.04 NB deze zijn voor DigiD assessments al verplicht. Zie NOREA Handreiking DigiD assessments In geval van een Authorization server: De uniciteit van de uitgegeven Authorization codes, Access tokens en Refresh tokens door middel van een code review, zie core.autorisatie.208 De externe koppelvlakken zijn: DVP: Burgerfrontend, OAuth Client Redirect DVA: Resourceserver koppelvlak, Autorization server interface(s) eindgebruiker en voor de DVP. BO: Stelselnode en administratieve front-end Voor toetreding heeft een greybox applicatiepenetratietest minimaal al één keer plaatsgevonden en MOETEN de hoog en middel risico bevindingen op externe MedMij koppelvlakken zijn opgelost. Voor penetratietesten die worden uitgevoerd na toetreding, dient een adequaat actieplan opgesteld te worden voor minimaal de hoge en midden risico's (CVSS-score (Common Vulnerability Scoring System) van 4,0 of hoger) ten aanzien van de MedMij dienstverlening. Dit actieplan wordt gedeeld met de beheerorganisatie. De corrigerende maatregelen worden tijdig doorgevoerd. Bij grootschalige wijziging of herbouw vereisen eenmalig een greybox applicatiepenetratietest. Voor penetratietesten die worden uitgevoerd na toetreding, dient een adequaat actieplan opgesteld te worden voor minimaal de hoge en midden risico's ten aanzien van de MedMij dienstverlening. Dit actieplan wordt gedeeld met de beheerorganisatie. De corrigerende maatregelen worden tijdig doorgevoerd.
A. 5.1.1 Beleidsregels voor informatiebeveiliging				De beleidsdocumenten MOETEN de beleidsmaatregelen die van toepassing zijn op MedMij (onder andere gespecificeerd in Privacy- en informatiebeveiligingsbeleid) specifiek benoemen.
A. 6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging				De (eind)verantwoordelijkheid voor informatiebeveiliging MOET belegd zijn. Deze functionaris(sen) dient/dienen mandaat te hebben om bij (een dreiging van) een crisis spoedbesluiten te nemen ten aanzien van MedMij en deze besluiten met spoed te kunnen (laten) realiseren. De verantwoordelijke en operationele functionaris(sen) (inclusief eventuele onderaannemers) dient/ dienen hiervoor tijdens kantooruren binnen een uur beschikbaar te zijn en buiten kantooruren binnen drie uur.
A. 7.2.2 Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging				Medewerkers die werkzaamheden verrichten ten aanzien van de operationele processen zoals omschreven in de verplichte versie van het MedMij Afsprakenstelsel MOETEN een training hebben gevolgd over de algemene werking van het stelsel en op de voor hem/haar van toepassing zijnde beveiligingsmaatregelen.
A. 8.2.1 Classificatie van informatie				De gegevens die binnen het stelsel worden verwerkt MOETEN worden behandeld conform het Informatieclassificatiebeleid (van MedMij).
A. 9.1.1 Beleid voor toegangsbeveiliging				Er MOETEN technische en organisatorische maatregelen worden genomen om inzage van persoonlijke gezondheidsgegevens door medewerkers te voorkomen. De organisatie dient minimaal elk halfjaar en na grote wijzigingen een self-assessment uit te voeren om vast te stellen dat deze maatregelen nog effectief zijn. In (zeer) uitzonderlijke gevallen is inzage in persoonlijke gezondheidsgegevens niet te voorkomen. Hiervoor dient de organisatie een (nood)procedure te documenteren. Deze procedure dient in te gaan op: Functiescheiding tussen vragen van toestemming voor inzage en het geven van toestemming door een verantwoordelijke functionaris; Randvoorwaarden en maatregelen met als doel dat inzage plaatsvindt op een gecontroleerde en zo beperkt mogelijke (in tijd en hoeveelheid gegevens) wijze; Borging dat de deelnemer voldoet wordt aan wet- en regelgeving (AVG, Meldplicht Datalekken) en de geldende versie van het MedMij Afsprakenstelsel; Vastlegging en verantwoording van de getroffen acties.
A. 9.2.5 Beoordeling van toegangsrechten van gebruikers				Toegangsrechten die zijn verstrekt op IT-componenten waar persoonlijke gezondheidsgegevens worden worden verwerkt MOETEN ten minste maandelijks worden gecontroleerd. Hierbij MOET functiescheiding gewaarborgd zijn. Dit geldt ook voor eventuele onderaannemers. Tijdens deze controle moet aandacht zijn voor medewerkers die geen gebruik (meer) maken van de toegangsrechten (met aantoonbare opvolging).
A. 9.4.1 Beperking toegang tot informatie				Authenticatie van personen (eindgebruikers) MOET plaatsvinden op basis van minimaal twee factoren. Na succesvolle authenticatie krijgen personen alleen toegang tot hun eigen persoonlijke gezondheidsgegevens of de gegevens van de vertegenwoordigde. Scope: Dit geldt voor het gehele MedMij PGO en voor alle gebruikers die hier toegang toe krijgen. Dit is onafhankelijk of deze gebruikers MedMij uitwisselingen gebruiken of niet. Naast zwakkere tweede factoren als e-mail en SMS MOET een deelnemer ook één of meerdere sterkere tweede factoren aanbieden. De Persoon bepaalt zelf welke tweede factor wordt gebruikt. In deze versie van het Afsprakenstelsel worden e-mail en SMS als tweede factor nog geaccepteerd. Het voornemen is deze methode te schrappen. Dit kan, op het moment dat grotere beveiligingsrisico's optreden, via een snel door te voeren patch van het Afsprakenstelsel.

Wijzigingen ten opzichte van release 1.2.0

Norm A.10.1: Encryptie is niet meer beperkt tot disk en/of database encryptie maar er wordt nu verwezen naar de aanbevelingen in https://www.keylength.com/ en geldt voor alle persoonlijke gezondheidsgegevens.