Page tree
Skip to end of metadata
Go to start of metadata

Alle deelnemers dienen in het bezit te zijn van een geldige NEN 7510-certificering, ongeacht hun grootte en of ze dienstverlener in het persoonsdomein of zorgaanbiedersdomein zijn. Ook de beheerorganisatie zal voor de uitvoering van haar diensten binnen het MedMij netwerk gebonden zijn aan de NEN 7510 normGebruik van NEN 7510:2011 voor certificatiedoeleinden onder accreditatie blijft mogelijk tot medio 2020, te weten 2 jaar na publicatie van het certificatieschema NCS 7510:2018. Dit nieuwe certificatieschema behorend bij NEN 7510-1:2017 is begin juni 2018 gepubliceerd. MedMij stelt de volgende eisen aan een NEN 7510-certificering voor deelnemers:

  • De Dienstverlener zorgaanbieder moet de zorgaanbieders als belangrijke belanghebbenden hebben geïdentificeerd in het uitvoeren/herijken van de risicoanalyse (zie ook hetgeen over de de rollen en verantwoordelijkheden ten opzichte van de verwerking van persoonsgegevens is opgenomen in de Juridische context);

  • Bij de selectie van de van toepassing zijnde maatregelen dienen ten minste de maatregelen uit het normenkader informatiebeveiliging te zijn opgenomen;
  • Indien de maatregel een implementatie voorschrijft, dient de maatregel op deze wijze te worden geïmplementeerd. De deelnemer heeft dit middels een self assessment gecontroleerd en onderbouwd. Hiervoor kan het format voor de onderbouwende rapportage als hulpmiddel dienen.

De deelnemer toont jaarlijks met een Aanvullende auditverklaring en onderbouwende rapportage (download hier) aan te voldoen aan het normenkader MedMij. Voor de onderbouwende rapportage bij de auditverklaring wordt door MedMij een format beschikbaar gesteld. Blijkt uit de aanvullende auditverklaring dat de deelnemer niet (meer) voldoet, dan beoordeelt de Stichting MedMij op basis van de onderbouwende rapportage of en op welke manier het Nalevingsbeleid moet worden toegepast. 

De NEN 7510-certificering en de aanvullende auditverklaring met rapportage dienen te worden afgegeven door een Conformiteit Beoordelende Instelling (CBI), die NEN 7510 geaccrediteerd is door de Raad voor Accreditatie of een NEN 7510 licentieovereenkomst heeft met NEN. Aan de uitvoerend auditor die de verklaring afgeeft worden daarmee dus dezelfde eisen gesteld door de CBI als voor de afgifte van het NEN 7510 certificaat. Tevens dient het NEN 7510 certificaat te zijn opgenomen in het door NEN beheerde nationale certificatenregister NEN 7510. Voor het NEN 7510 certificaat gelden de door NEN aangehouden termijnen voor hercertificering. Voor vragen van CBI's over het normenkader kan contact worden opgenomen via secmgt@medmij.nl.

Normenkader

Wijzigingen ten opzichte van release 1.1.1

Alle normen zijn tekstueel in lijn gebracht. Hierbij is het werkwoord "dienen" vervangen door "moeten", conform RFC 2119De verwijzing naar de Deelnemer-rol is uit de tekst gehaald; waar nodig wordt deze vervangen door de term "organisatie". Waar mogelijk zijn normen gesplitst per juridische rol: DVP, DVZA of BO. 

De afzonderlijke normen zijn als volgt aangepast.

  • A.5.1.1 is ook van toepassing geworden op de BO;
  • A.7.2.2:
    • is gesplitst in twee normen;
    • is verduidelijkt om aan te geven om welke contactpersonen het hier gaat;
  • A.9.2.5:
    • is gesplitst in aparte normen;
    • is aangepast zodat de eis voor twee-factor-authenticatie is komen te ver­vallen, omdat de doelstelling van deze eis al wordt ingevuld door A.9.1.1 en de eis zelf in A.9.4.1 is opgenomen;
    • is aangepast zodat de eis omtrent logging is verplaatst naar A.12.4.3;
  • A.12.1.2 is gesplitst in twee aparte normen;
  • A.12.1.3 is gesplitst in twee normen, voor elke rol één;
  • A.12.3.1:
    • is niet meer van toepassing op de rol DVZA;
    • mag nu worden uitgesloten in bepaalde gevallen;
  • A.12.4.1 is niet meer van toepassing op de rol BO;
  • A.12.4.3 is toegevoegd, ten gevolge van de splitsing van A.9.2.5;
  • A.12.4.4 is verduidelijkt; het is nu ook toegestaan met een andere NTP te synchroniseren;
  • A.12.5.1 is ondergebracht in A.12.1.2 en als aparte norm verwijderd;
  • A.12.6.1 is verduidelijkt; het gaat alleen om het melden van kwetsbaarheden in de eigen omgeving;
  • A.14.2.1:
    • is verduidelijkt: de deelnemer hoeft deze maatregelen slechts in overweging te nemen;
    • is ontdaan van de nuancering inzake mobiele apps;
  • A.15.1.2 is toegevoegd;
  • A.15.2.1 is toegevoegd;
  • A.16.1.3 is aangevuld: de DVZA maakt hierover zo nodig afspraken met zijn Zorgaanbieders;
  • A.16.1.7 is aangevuld: de DVZA maakt hierover zo nodig afspraken met zijn Zorgaanbieders;
  • A.18.2.3 is:
    • gesplitst in twee normen, per rol;
    • uitgebreid met een toelichting.

Verder:

  • is het toetsingskader rechtstreeks opgenomen in het MedMij Afsprakenstelsel, zodat deze informatie toegankelijker is;
  • wordt de aanvullende auditverklaring automatisch gegenereerd door Confluence, zodat deze altijd consistent blijft met het normenkader.

Hierdoor is de tabel met verwijzingen naar Word-documenten komen te vervallen.

  • No labels