Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Principe
Principe

1 Het MedMij-netwerk is zoveel mogelijk gegevensneutraal

  •   
11 Stelselfuncties worden vanaf de start ingevuld
  •   
2 Dienstverleners zijn transparant over de gegevensdiensten 
  •   
12 Het afsprakenstelsel is een groeimodel
  •   
Dienstverleners concurreren op de functionaliteiten
  •   
13 Ontwikkeling geschiedt in een half-open proces met verschillende stakeholders
  •   
Dienstverleners zijn aanspreekbaar door de gebruiker
  •   
14 Uitwisseling is een keuze
  •   
De persoon wisselt gegevens uit met de zorgaanbieder
  •   
15 Het MedMij-netwerk is gebruiksrechten-neutraal
  •   
MedMij spreekt alleen af wat nodig is
  •   
16 De burger regisseert zijn gezondheidsinformatie als uitgever
  •   
De persoon en de zorgaanbieder kiezen hun eigen dienstverlener
  •   
17 Aan de persoonlijke gezondheidsomgeving zelf worden eisen gesteld
  •   
De dienstverleners zijn deelnemers van het afsprakenstelsel
  •   
18 Afspraken worden aantoonbaar nageleefd en gehandhaafd
  •   
10 Alleen de dienstverleners oefenen macht uit over persoonsgegevens bij de uitwisseling
  •   
19 Het afsprakenstelsel snijdt het gebruik van normen en standaarden op eigen maat
  •   
Toelichting


3, geen en minder onderscheid tussen deelnemers die gebruik maken van 'closed source' componenten en die zelf code ontwikkelen.
19: DVZA pentest DigiD en MedMij meer in lijn gebracht
18: Auditor kan beter en eenduidiger controleren dat pentest scope en diepgang voldoet

Uitwerking

Uitwerking in normenkader normenkader A.18.2.3 (1) (DVP en DVZA)2) Beoordeling van technische naleving:

Nieuwe tekst


Implementatie

Tenminste jaarlijks MOET een whitebox greybox applicatiepenetratietesten worden uitgevoerd op de externe koppelvlakken door een externe, onafhankelijke organisatie.

De externe koppelvlakken zijn:

DVP: Burgerfrontend, OAuth Client Redirect

DVZA: Resourceserver koppelvlak, Autorization server interface(s) eindgebruiker en voor de DVP.

BO:  Stelselnode en administratieve front-end


Voor toetreding heeft een whitebox applicatiepentratietest minimaal al één keer plaatsgevonden en MOETEN de hoog en middel risico bevindingen op externe MedMij koppelvlakken zijn opgelost.

Of bij grootschalige wijziging of herbouw eenmalig een whitebox applicatiepenetratietest te vereisen

Voor penetratietesten die worden uitgevoerd na toetreding, dient een adequaat actieplan opgesteld te worden voor minimaal de hoge en midden risico's ten aanzien van de MedMij dienstverlening. Dit actieplan wordt gedeeld met de beheerorganisatie. De corrigerende maatregelen worden tijdig doorgevoerd.


(cursief is nieuwe tekst of geheel vervangende tekst, doorgehaalde is verwijderde tekst.)


...