Versions Compared

Version Old Version 40 New Version 41
Changes made by

Former user

Former user

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Warning
titleSTATUS

TER REVIEW EN BESLUITVORMING ARCHITECTUURBOARD  

...

IDVZVZ.GEN.P150

ToepassingsgebiedGeneriek 
Stelling

Privacy by  design & Zero Trust (never trust, always verify)

Beschrijving

Rationale

Er wordt gewerkt conform de gebruikelijke principes van privacy en security by design. O.A:

Privacy

  • Proactive not reactive – hier gaat om maatregelen om te voorkomen dat de privacy van mensen wordt geschonden.
  • Privacy as the default setting – individuen hoeven geen actie te ondernemen om hun privacy te beschermen, privacy is ingebouwd in de software.
  • Privacy embedded into design – privacy wordt een essentieel deel van de kernfunctionaliteiten. 
  • Full functionality – valse tegenstelling zoals security vs. privacy of functionaliteit vs privacy vermijden. 
  • Transparantie & recht op informatie –  De applicaties waar een organisatie gebruik van maakt moet conform zijn aan het niveau van privacy en security dat door de organisatie wordt gehanteerd. 
  •  Respect for User Privacy – de privacy van het individu is overal in het ontwerp van de software op de voorgrond aanwezig.
  • End-to-end encryption
  • Autorisaties tot gegevensverzamelingen worden nauwlettend volgens de geldende privacy normen ingesteld.


Beveiligingsprincipes

  • Minimaliseer het aanvalsoppervlak
  • Stel veilige standaardwaarden vast
  • Principe van het minste voorrecht
  • Verdedigingsprincipe
  • Veilig falen
  • Vertrouw geen services Scheiding van taken
  • Vermijd beveiliging door onduidelijkheid
  • Houd beveiliging eenvoudig
  • Beveiligingsproblemen correct oplossen


Zero Trust

  • Devices mogen standaard niet worden vertrouwd, zelfs als ze zijn verbonden met een geautoriseerd netwerk zoals een bedrijfs-LAN en zelfs als ze eerder zijn geverifieerd
  • Continue verificatie. Controleer altijd de toegang tot alle bronnen.
  • Minimaliseer de impact als er een externe of interne inbreuk plaatsvindt.
  • Automatiseer het verzamelen en reageren van context. Neem gedragsgegevens op en haal context uit de hele IT-stack (identiteit, eindpunt, werklast, enz.) voor de meest nauwkeurige reactie


 

Implicaties


Mapping VZVZ Manifest
Mapping DIZRAHet informatiestelsel hanteert een gelijk speelveld voor alle leveranciers. Afspraken worden gemaakt over het gebruik van standaarden, niet over het gebruik van een product of dienst. Iedere organisatie kiest haar eigen leveranciers voor het implementeren van de standaarden.  
Mapping Visie samenhang

De (zorg)informatiesystemen kunnen eenvoudig aansluiten op basis van gezamenlijk vastgestelde open standaarden en koppelvlakken. Er worden (nationale extensies van) internationale standaarden gebruikt. Data wordt onafhankelijk van applicaties opgeslagen en beheerd, met procesondersteuning gebaseerd op bij voorkeur (wettelijk) verplicht gestelde open standaarden. 

In een gelijkwaardig speelveld met open interfaces (eventueel op basis van open source) kunnen verschillende ICT-leveranciers en data-organisaties (versneld) diensten ontwikkelen, waardoor de belangen van betrokken partijen goed tot hun recht komen. Voor aangesloten partijen zijn alle mogelijkheden aanwezig om zelfstandig te innoveren en beschikbare kennis, expertise en technologieën te benutten. De markt kan haar werk doen; 

Mapping AORTA oudAORTA.ALG.p1010: aan aangesloten zorgsystemen worden uitsluitend eisen gesteld dienoodzakelijk zijn voor veilige gestandaardiseerde uitwisseling van gegevens. 



...

IDVZVZ.GEN.P160

ToepassingsgebiedGeneriek 
Stelling

Stelsel en voorzieningen leggen alleen eisen op die noodzakelijk zijn voor veilige uitwisseling van gegevens op basis van gezamenlijk vastgestelde open standaarden,  

Beschrijving
Rationale

Zorgverleners werken met diverse zorginformatiesystemen die zij afnemen van verschillende marktpartijen. Stelsels zijn bedoeld om de uitwisseling van patiëntgegevens tussen deze systemen te faciliteren met behoud van marktwerking. Daarom moeten eisen aan de systemen waartussen gegevens worden uitgewisseld zoveel mogelijk worden beperkt tot het strikt noodzakelijke en gebaseerd op internationale standaarden om te komen tot: 

 

gestandaardiseerde uitwisseling van gegevens; 

adequate beveiliging van de uitwisselingsinfrastructuur als geheel; 

functioneren van de uitwisselingsinfrastructuur als geheel, bijvoorbeeld wat betreft beschikbaarheid. 

 

Implicaties


Mapping VZVZ Manifest
Mapping DIZRAHet informatiestelsel hanteert een gelijk speelveld voor alle leveranciers. Afspraken worden gemaakt over het gebruik van standaarden, niet over het gebruik van een product of dienst. Iedere organisatie kiest haar eigen leveranciers voor het implementeren van de standaarden.  
Mapping Visie samenhang

De (zorg)informatiesystemen kunnen eenvoudig aansluiten op basis van gezamenlijk vastgestelde open standaarden en koppelvlakken. Er worden (nationale extensies van) internationale standaarden gebruikt. Data wordt onafhankelijk van applicaties opgeslagen en beheerd, met procesondersteuning gebaseerd op bij voorkeur (wettelijk) verplicht gestelde open standaarden. 

In een gelijkwaardig speelveld met open interfaces (eventueel op basis van open source) kunnen verschillende ICT-leveranciers en data-organisaties (versneld) diensten ontwikkelen, waardoor de belangen van betrokken partijen goed tot hun recht komen. Voor aangesloten partijen zijn alle mogelijkheden aanwezig om zelfstandig te innoveren en beschikbare kennis, expertise en technologieën te benutten. De markt kan haar werk doen; 

Mapping AORTA oudAORTA.ALG.p1010: aan aangesloten zorgsystemen worden uitsluitend eisen gesteld dienoodzakelijk zijn voor veilige gestandaardiseerde uitwisseling van gegevens. 



...