...

Expand

title	Toelichting

Voor het opstellen van bovenstaande verantwoordelijkheden is gebruikgemaakt van RFC 6819 van IETF, dat een uitgebreide inventarisatie van die risico's bevat, inclusief een reeks van maatregelen per risico. Waar het risico van toepassing is op het gebruik van OAuth binnen MedMij, en de maatregelen passen binnen de MedMij-principes, zijn zij opgenomen in het afsprakenstelsel.

Met betrekking tot het gestelde in sectie 3.1 van RFC 6819 kan gesteld worden dat MedMij uitgaat van:

handles i.p.v. assertions, zodat de OAuth Resource Server moet kunnen refereren aan data van de OAuth Authorization Server;
bearer-tokens i.p.v. proof-tokens.

In hoofdstuk 4 van RFC 6819 staat een uitgebreide lijst van beveiligingsrisico's. Niet van toepassing zijn, voor de deze release van het afsprakenstelsel:

bedreiging 4.1.2: Obtaining Refresh Tokens, omdat het afsprakenstelsel niet met refresh tokens werkt;
bedreiging 4.2.3: Malicious Client Obtains Existing Authorization by Fraud, omdat in het afsprakenstelsel de autorisatie (vooralsnog) strikt eenmalig mag worden gebruikt;
bedreiging 4.3.4: Obtaining Client Secret from Authorization Server Database, omdat authenticatie van OAuth Clients in MedMij werkt op basis van PKI-servercertificaten, niet op basis van client secrets;
bedreiging 4.3.5: Obtaining Client Secret by Online Guessing, omdat authenticatie van OAuth Clients in MedMij op basis van PKI-servercertificaten wordt gedaan, niet op basis van client secrets.

Wel van toepassing zijn:

bedreiging 4.1.3: Obtaining Access Tokens;
bedreiging 4.1.4: End-user Credential Phished Using Comprised or Embedded Browser;
bedreiging 4.1.5: Open Redirectors on Client;
bedreiging 4.2.1: Password Phishing by Counterfeit Authorization Server;
bedreiging 4.2.2: User Unintentionally Grants Too Much Access Scope;
bedreiging 4.2.4: Open Redirector;
bedreiging 4.3.1: Eavesdropping Access Tokens;
bedreiging 4.3.2: Obtaining Access Tokens from Authorization Server Database;
bedreiging 4.3.3: Disclosure of Client Credentials during Transmission;
bedreiging 4.1.1: Obtaining Client Secrets;
bedreiging 4.4.1.1: Eavesdropping or Leaking Authorization Code;
bedreiging 4.4.1.2: Obtaining Authorization "codes" from Authorization Server Database;
bedreiging 4.4.1.3: Online Guessing of Authorization "codes";
bedreiging 4.4.1.4: Malicious Client Obtains Authorization;
bedreiging 4.4.1.5: Authorization "code" Phishing;
bedreiging 4.4.1.6: User Session Impersonation;
bedreiging 4.4.1.7: Authorization "code" Leakage through Counterfeit Client;
bedreiging 4.4.1.8: CSRF against redirect-URI;
bedreiging 4.4.1.9: Clickjacking Attack against Authorization;
bedreiging 4.4.1.10: Resource Owner Impersonation;
bedreiging 4.4.1.11: DoS Attacks That Exhaust Resources;
bedreiging 4.4.1.12: DoS Using Manufactured Authorization "codes";
bedreiging 4.4.1.13: Code Substitution (OAuth Login).

In relatie tot het MedMij Afsprakenstelsel vallen de maatregelen die getroffen moeten worden ter mitigatie van deze risico's uiteen in drie groepen:

maatregelen waarin al is voorzien door één of meerdere verantwoordelijkheden in het MedMij-afsprakenstelsel, zoals bijvoorbeeld:
het gebruik van TLS;
het gebruik van een (externe) Authentication Server;
het beperken van de scope en de geldigheidsduur van authorization codes en access tokens;
verantwoordelijkheid 3 op het Token interface;
maatregelen die weliswaar door RFC 6819 worden gesuggereerd, maar niet worden overgenomen in het MedMij Afsprakenstelsel, omdat zij niet passen bij diens principes of bij andere verantwoordelijkheden in het stelsel;
overige maatregelen, die alsnog getroffen dienen te worden door DVP Server, OAuth Client of OAuth Authorization Server.

Logging

...

1.
Dienstverlener persoon zal het logbestand inrichten zoals bedoeld in de AVG en NEN 7513:2018, van de door enige Persoon bij enige Dienstverlener aanbieder uitgevoerde functies.

Expand
title Toelichting
Met de logging wordt beoogd een betrouwbaar overzicht te kunnen leveren van de gebeurtenissen waarbij gezondheidsgegevens over een Persoon zijn verwerkt.

Anchor
core.logging.100
core.logging.100
core.logging.100
2.
De bewaartermijn van de logbestanden is ten minste 24 maanden en niet meer dan 36 maanden. Na de bewaartermijn van de logbestanden moeten deze vernietigd worden.
Expand
title Toelichting
Het maximum van de bewaartermijn is bepaald voor logging binnen de scope van MedMij-verkeer ter voorkoming van onnodige opslag van gegevens en ter bescherming van de privacy van de gebruiker. Deze minimale en maximale bewaartermijnen van logbestanden passen binnen de uitersten die daartoe door NEN7513 (paragraaf 8.5) zijn bepaald.

Anchor
core.logging.101
core.logging.101
core.logging.101
3. Bij het loggen van verzonden resource requests neemt de OAuth Client ook het `MedMij-Request-ID Header Field` op in het logbestand.
Anchor
core.logging.200
core.logging.200
core.logging.200
4. Bij het loggen van ontvangen resource requests neemt de OAuth Resource Server ook het `MedMij-Request-ID Header Field` op in het logbestand.
Anchor
core.logging.201
core.logging.201
core.logging.201

Portabiliteit

1.

Dienstverlener persoon biedt Persoon de mogelijkheid om een Portabiliteitsrapport te verkrijgen. Daarmee kan Persoon geautomatiseerd een lijst exporteren, genaamd het Portabiliteitsrapport, van alle keren, gedurende een zekere periode, dat Persoon deze Dienstverlener persoon bij een Aanbieder gezondheidsinformatie volgens een zekere Gegevensdienst heeft verzameld.

Anchor

	core.

logging

portabiliteit.

102

100
	core.

logging

portabiliteit.

102

100

core.

logging

portabiliteit.

102

100

5

2.

Dienstverlener persoon biedt Persoon pro-actief de export van een Portabiliteitsrapport aan:

voordat Dienstverlener persoon, om welke reden dan ook, haar dienstverlening aan Persoon staakt;
voordat Dienstverlener persoon de logbestanden zou verwijderen waaruit zij Portabiliteitsrapporten voor Persoon over een zekere periode zou samenstellen.

Anchor

	core.

logging

portabiliteit.

103

101
	core.

logging

portabiliteit.

103

101

core.

logging

portabiliteit.

103

101

6

3.

Dienstverlener persoon beperkt Persoon niet in het gebruik van de Portabiliteitsrapport in de relatie van Persoon met mogelijke andere en/of latere Dienstverlener persoon.

Anchor

	core.

logging

portabiliteit.

104

102
	core.

logging

portabiliteit.

104

102

core.

logging

portabiliteit.

104

102

7

4.

Het Portabiliteitsrapport voldoet aan hetgeen daarover bepaald is in de Informatiemodellen en heeft de technische vorm van een XML-document, dat voldoet aan het XML-schema dat op de pagina XML-schema's te vinden is.

Expand

title	Toelichting

Met het Portabiliteitsrapport krijgt Persoon een middel in handen om een belangrijk deel van de gezondheidsinformatie die hij in het Dossier in zijn PGO heeft verzameld, naar believen ook in andere PGO's onder te brengen (portabiliteit, overdraagbaarheid). Ook dat draagt bij aan de Regie van de Persoon over zijn gezondheidsinformatie, aan zijn voortdurend vrije keuze tussen Dienstverlener persoon (principe 7) en aan het beperken van het nadeel dat hij zou ondervinden wanneer zijn Dienstverlener persoon haar activiteiten zou staken.

Er is geen garantie dat een Portabiliteitsrapport geautomatiseerd door een andere PGO dan die het rapport heeft gemaakt zou kunnen worden 'afgespeeld', al is het maar doordat niet alle gebruikte Gegevensdiensten nog als geldig in de Catalogus hoeven te staan. Het Portabiliteitsrapport geeft in dat soort gevallen nog steeds precieze en menselijkerwijs enigszins leesbare informatie waarmee de nieuwe PGO alsnog, desnoods, handmatig gevuld kan worden.

Dienstverlener

Dienstverleners persoon kunnen

hun

hun dienstverlening aan Persoon kracht bij zetten door een importfunctie voor Portabiliteitsrapporten aan te bieden. Dit is echter niet verplicht en moet gezien worden in het licht van principe 3.

Een zwaarder middel voor portabiliteit zou een uitwisselstandaard tussen PGO's zijn. Dit zou echter een flinke complexiteit en kosten met zich meebrengen, niet in het minst doordat het rekening zou moeten houden met alle voormalige versies van het MedMij Afsprakenstelsel en met Gegevensdiensten die ondertussen niet meer als geldig in de Catalogus staan.

Anchor

	core.

logging

portabiliteit.

105

103
	core.

logging

portabiliteit.

105

103

core.

logging.1058.Bij het loggen van verzonden resource requests neemt de OAuth Client ook het MedMij-Request-ID Header Field op in het logbestand. Anchorcore.logging.200core.logging.200core.logging.2009.Bij het loggen van ontvangen resource requests neemt de OAuth Resource Server ook het MedMij-Request-ID Header Field op in het logbestand. Anchorcore.logging.201core.logging.201core.logging.201

portabiliteit.103

Domain Name System

1.

Dienstverleners persoon, Dienstverleners aanbieder en MedMij Beheer zijn, in hun rol als DNS Server of cliënt daarvan, ervoor verantwoordelijk dat de name records behorende bij de hostnames van Nodes zijn ondertekend volgens DNSSEC.

Anchor

	core.dns.300
	core.dns.300

core.dns.300

2.

Elke Node, in zijn rol als DNS resolver in het Domain Name System, controleert of de ontvangen name records zijn voorzien van ondertekening volgens DNSSEC en valideert deze volgens DNSSEC. Indien deze controle en validatie niet beide slagen, ziet hij af van verbinding met de betreffende hostname.

Expand

title	Toelichting

Het gebruik van DNSSEC (RFC 4033, RFC 4034, RFC 4035) vermindert de kwetsbaarheid van het Domain Name System voor bijvoorbeeld DNS spoofing.

Anchor

	core.dns.301
	core.dns.301

core.dns.301

...

Versions Compared

Old Version 2

New Version 3

Key

Logging

Portabiliteit

Domain Name System

Page Comparison

Versions Compared

Old Version 2

New Version 3

Key

Logging

Portabiliteit

Domain Name System