...
Verwerking in de afsprakenset
UitNa de overkoepelende risicoanalyse op het afsprakenstelsel die iswerd uitgevoerd op release 1.0, is geconcludeerdwas de conclusie dat een NEN 7510-certificering voor deelnemers en beheerorganisatie in samenhang met de overige onderdelen van het toetredingsproces, zoals kwalificatie en acceptatie, de belangrijkste informatiebeveiligingsrisico's voor het stelsel afdekt. Op een aantal onderwerpen zijn maatregelen uit de NEN 7510-norm meer specifiek ingevuld voor MedMij of zijnwerden er aanvullende maatregelen voorgesteld. Het betreftgaat hier om onderwerpen waarbij is geconcludeerdde conclusie was dat een ingeschat risico het beste afgedekt kan worden afgedekt door voor alle partijen een uniforme maatregel te treffen, in . Iin plaats van zelfstandig maatregelen te kiezen op basis van een eigen risico-inschatting. Of het gaat om onderwerpen waarbij de individuele inschatting gevolgen kan hebben voor andere partijen inbinnen het netwerk. Deze maatregelen zijn opgenomenstaan in het Normenkader informatiebeveiliging. Daarnaast zijn Daarnaast zijnDaarnaast staan in de architectuur, technische specificaties of het beleid en operationele processen maatregelen uit de risicoanalyse op stelselniveau opgenomen stelselniveau opgenomen in de architectuur en technische specificaties of het beleid en operationele processen. De uitvoering van deze maatregelen wordt onder meer getoetst via onder andere het toetredingsproces.
NEN 7510-certificering is gangbaar en wettelijk verplicht bij de gegevensuitwisseling in het aanbiedersdomein. Om voor de uitwisseling met dienstverleners in het persoonsdomein zoveel mogelijk aan te sluiten bij de bestaande gebruiken en certificeringen, is gekozen de NEN 7510 ook verplicht te stellen voor de Dienstverlener Ddienstverlener persoon. De NEN 7510 kent het vertrouwen van partijen in het aanbiedersdomein en draagt zo bij aan de acceptatie van het stelsel. Het bezitten vanAlleen een ISO 27001-certificering, de internationale standaard waarop dedie de basis vormt voor NEN 7510 is gebaseerd, is voor deelname aan het MedMij Afsprakenstelsel onvoldoende.
...
De risicoanalyse is een product dat jaarlijks dient temoet worden herijkt, maar ook wanneer eren bij bepaalde wijzingen plaatsvinden. De DHerijking van de risicoanalyse dient te worden herijktis nodig op het moment dat:
- wijzigingen in het afsprakenstelsel
worden gemaakt dievan invloed kunnen zijn op de risicoanalyse; wanneer zicher incidenten met aanzienlijke impact zijnhebben voorgedaan;- er bekende wijzigingen zijn in het dreigingslandschap voor MedMij;
- er significante technische wijzigingen zijn in de werking van het stelsel;
- er wijziging is van wetgeving waar MedMij aan moet voldoen;
eenéén van de uitgangspunten (zie hieronder) wordt gewijzigd.