Stichting MedMij voert elk jaar in samenspraak samen met haar deelnemers aan het MedMij Afsprakenstelsel een risicoanalyse uit. De risicoanalyse richt zichgericht  op informatieveiligheidsrisico's. Dit zijn risico's die kunnen leiden tot inbreuken op de beschikbaarheid, integriteit of vertrouwelijkheid van informatie. ComplianceHet voldoen aan wet- en regelgeving is geen onderdeel van deze risicoanalyse (bijv. compliance bijvoorbeeld compliance m.b.t. NEN7512). Het betreftgaat hier om een risicoanalyse op stelselniveau, dat wil zeggen dat het om de risico’s betreftgaat in de onderlinge relatie tussen de betrokken partijen en niet de specifieke analyse bij een betrokken partij. Daarmee zijn alle onderdelen uit het MedMij Afsprakenstelsel onderwerp van de risicoanalyse.Het onderwerp van de risicoanalyse betreft daarmee wel alle onderdelen van het MedMij Afsprakenstelsel. Dit houdt in dat de maatregelen voortkomend mMaatregelen die voortkomend uit de analyse kunnen betrekking (kunnen) hebben op de Dienstverlener Ddienstverlener persoon, Dienstverlener Ddienstverlener aanbieder en Stichting MedMij. Personen en Aanbieders (de gebruikers) zijn geen onderdeel van het afsprakenstelsel en vallen buiten de scope van de risicoanalyse. Er kunnen wel maatregelen voor de risico’s worden voorgesteld aan de Dienstverlener persoon of de Dienstverlener aanbieder die van invloed kunnen zijn op de Persoon of Aanbieder.Stichting MedMij kan wel maatregelen voor de risico’s die van invloed kunnen zijn op de Persoon of Aanbieder voorstellen aan de dienstverlener persoon of de dienstverlener aanbieder.

De risicoanalyse wordtis, op grond van het Informatieclassificatiebeleid, niet publiekelijk beschikbaar gesteld.

Uitgangspunten bij de risicoanalyse

1. De scope van de risicoanalyse wordt voor het belangrijkste gedeelte bepaald door de Grondslagen, met name in de Criteria en de Principes. Op basis hiervan worden uitspraken gedaan over beschikbaarheid, vertrouwelijkheid en integriteit van de informatie binnen scope van het afsprakenstelsel;.
2. De risicoanalyse wordt uitgevoerd op basis van de ten tijde van ,op het moment van uitvoering, laatst gepubliceerde release van het MedMij Afsprakenstelsel. Nieuwe of aangepaste maatregelen worden meegenomen in een nieuwe release van het afsprakenstelsel;.
3. In de analyse iszijn een vertegenwoordiging van alle rollen in het afsprakenstelsel en de governance betrokken;.
4. Voldoen aan geldende wet- en regelgeving is een startpunt voor alle partijen en een vereiste in de definitie van maatregelen;.
5. Het bestuur van Stichting MedMij streeft naar een voor de betrokken partijen aanvaardbaar risiconiveau aan de hand van de impact op de volgende onderwerpen: gezondheid, privacy, financieel, imago en vertrouwen. Stichting MedMij bepaalt met betrokkenen wat dit aanvaardbare risiconiveau is. De risicoanalyse, de risicotolerantie en beveiligingsmaatregelen worden vastgesteld door stelt Stichting MedMij vast.

Maatregelen

De risicoanalyse leidt tot het formuleren van drie typen maatregelen:

...

De geformuleerde maatregelen kunnen op verschillende manieren worden opgenomen in het afsprakenstelsel. Er kunnen technische specificaties worden geformuleerd voor deelnemers, Beleid en Operationele processen worden vormgegeven, dan wel normen in het Normenkader informatiebeveiliging worden opgenomen.

Verwerking in de afsprakenset

Uit de overkoepelende risicoanalyse op het afsprakenstelsel die is uitgevoerd op release 1.0, is geconcludeerd dat een NEN 7510-certificering voor deelnemers en beheerorganisatie in samenhang met de overige onderdelen van het toetredingsproces, zoals kwalificatie en acceptatie, de belangrijkste informatiebeveiligingsrisico's voor het stelsel afdekt. Op een aantal onderwerpen zijn maatregelen uit de NEN 7510-norm meer specifiek ingevuld voor MedMij of zijn er aanvullende maatregelen voorgesteld. Het betreft onderwerpen waarbij is geconcludeerd dat een ingeschat risico het beste afgedekt kan worden door voor alle partijen een uniforme maatregel te treffen, in plaats van zelfstandig maatregelen te kiezen op basis van een eigen risico inschatting. Of het gaat om onderwerpen waarbij de individuele inschatting gevolgen kan hebben voor andere partijen in het netwerk. Deze maatregelen zijn opgenomen in het Normenkader informatiebeveiliging. Daarnaast zijn maatregelen uit de risicoanalyse op stelselniveau opgenomen in de architectuur en technische specificaties of het beleid en operationele processen. De uitvoering van deze maatregelen wordt getoetst via onder andere het toetredingsproces. 

...