...
| Waarom is deze RFC nodig? | Eenduidigheid implementatie NEN7510 norm voor MedMij PGO's. Om het imago en kwaliteitseisen voor een MedMij PGO hoog te houden is deze RfC noodzakelijk. In de praktijk blijkt dat meerdere PGO leveranciers gebruikers buiten de MedMij uitwisselingen om toestaan om zonder een tweede factor in te loggen. Daarnaast is dit vereist om aan de wettelijke eisen en normen vanuit de NEN 7510 te voldoen. |
|---|---|
| Oplossingsrichting | Maak expliciet dat voor het gehele PGO geldt dat toegang tot de persoonlijke medische gegevens alleen dmv toegangscontrole op basis van twee factoren mogelijk is. |
| Aanpassing van | Normenkader Informatiebeveiliging A.9.4.1 Beperking toegang tot informatie. |
| Impact op rollen | DVP |
| Impact op beheer | Uitbreiding toetsing norm A.9.4.1 (audit) |
| Impact op RnA | N/A |
| Impact op Acceptatie | Uitbreiding van het acceptatiescript |
| PIA noodzakelijk | |
| Gerelateerd aan (Andere RFCs, PIM issues) | |
| Eigenaar | Risk en security, Former user (Deleted) |
| Implementatietermijn | 1.5 |
| Motivatie verkorte RFC procedure (patch) | Inloggen obv twee factoren geldt voor een geheel (MedMij) PGO. De NEN7510 norm: A.9.4.1stelt duidelijk "Gezondheidsinformatiesystemen die persoonlijke gezondheidsinformatie verwerken, moeten de identiteit van gebruikers vaststellen en dit moet worden gedaan door middel van authenticatie waarbij ten minste twee factoren betrokken worden." Daarnaast verplicht de AVG dat je persoonsgegevens passend moet beveiligen. |
...