Stichting MedMij voert elk jaar samen met haar deelnemers een risicoanalyse uit gericht op informatieveiligheidsrisico's. Dit zijn risico's die kunnen leiden tot inbreuken op de beschikbaarheid, integriteit of vertrouwelijkheid van informatie. Het voldoen aan wet- en regelgeving is geen onderdeel van deze risicoanalyse (bijvoorbeld compliance m.b.t. NEN7512). Het gaat hier om een risicoanalyse op stelselniveau, dat wil zeggen dat het om de risico’s gaat in de onderlinge relatie tussen de betrokken partijen en niet de specifieke analyse bij een betrokken partij. Daarmee zijn alle onderdelen uit het MedMij Afsprakenstelsel onderwerp van de risicoanalyse. Maatregelen die voortkomen uit de analyse kunnen betrekking hebben op de Dienstverlener persoon, Dienstverlener aanbieder en Stichting MedMij. Personen en Aanbieders (de gebruikers) zijn geen onderdeel van het afsprakenstelsel en vallen buiten de scope van de risicoanalyse. Stichting MedMij kan wel maatregelen voor de risico’s die van invloed kunnen zijn op de Persoon of Aanbieder voorstellen aan de dienstverlener persoon of de dienstverlener aanbieder.
De risicoanalyse is, op grond van het Informatieclassificatiebeleid, niet publiekelijk beschikbaar.
Uitgangspunten bij de risicoanalyse
- De scope van de risicoanalyse wordt voor het belangrijkste gedeelte bepaald door de Grondslagen, met name in de Criteria en de Principes. Op basis hiervan worden uitspraken gedaan over beschikbaarheid, vertrouwelijkheid en integriteit van de informatie binnen scope van het afsprakenstelsel;
- De risicoanalyse wordt uitgevoerd op basis van de op het moment van uitvoering laatst gepubliceerde release van het MedMij Afsprakenstelsel. Nieuwe of aangepaste maatregelen worden meegenomen in een nieuwe release van het afsprakenstelsel;
- In de analyse zijn een vertegenwoordiging van alle rollen in het afsprakenstelsel en de governance betrokken;
- Voldoen aan geldende wet- en regelgeving is een startpunt voor alle partijen en een vereiste in de definitie van maatregelen;
- Het bestuur van Stichting MedMij streeft naar een voor de betrokken partijen aanvaardbaar risiconiveau aan de hand van de impact op de volgende onderwerpen: gezondheid, privacy, financieel, imago en vertrouwen. Stichting MedMij bepaalt met betrokkenen wat dit aanvaardbare risiconiveau is. De risicoanalyse, de risicotolerantie en beveiligingsmaatregelen stelt Stichting MedMij vast.
Maatregelen
De risicoanalyse leidt tot het formuleren van drie typen maatregelen:
- Maatregelen die direct betrekking hebben op risico’s voor de werking en veiligheid van het stelsel en daarom uniform moeten worden vastgesteld (bijv. onderlinge autorisatieprocollen);
- Maatregelen voor risico’s die kunnen leiden tot stelselrisico's (een gebeurtenis bij een deelnemer die schade toebrengt aan andere deelnemers of Stichting MedMij). Deze zijn gespecificeerd in het stelsel om eenduidige interpretatie af te dwingen (bijv. toegang tot persoonlijke gezondheidsgegevens);
- Maatregelen die vanuit efficiëntieoogpunt in het stelsel staan zodat niet iedere partij deze afzonderlijk hoeft te definiëren.
De geformuleerde maatregelen kunnen op verschillende manieren worden opgenomen in het afsprakenstelsel. Er kunnen technische specificaties worden geformuleerd voor deelnemers, Beleid en Operationele processen worden vormgegeven, dan wel als normen in het Normenkader informatiebeveiliging worden opgenomen.
Verwerking in de afsprakenset
Na de overkoepelende risicoanalyse op het afsprakenstelsel die werd uitgevoerd op release 1.0,was de conclusie dat een NEN 7510-certificering voor deelnemers en beheerorganisatie in samenhang met de overige onderdelen van het toetredingsproces, zoals kwalificatie en acceptatie, de belangrijkste informatiebeveiligingsrisico's voor het stelsel afdekt. Op een aantal onderwerpen zijn maatregelen uit de NEN 7510-norm meer specifiek ingevuld voor MedMij of werden er aanvullende maatregelen voorgesteld. Het gaat hier om onderwerpen waarbij de conclusie was dat een ingeschat risico het beste kan worden afgedekt door voor alle partijen een uniforme maatregel te treffen, in plaats van zelfstandig maatregelen te kiezen op basis van een eigen risico-inschatting. Of het gaat om onderwerpen waarbij de individuele inschatting gevolgen kan hebben voor andere partijen binnen het netwerk. Deze maatregelen staan in het Normenkader informatiebeveiliging. Daarnaast staan in de architectuur, technische specificaties of het beleid en operationele processen maatregelen uit de risicoanalyse op stelselniveau. De uitvoering van deze maatregelen wordt onder meer getoetst via het toetredingsproces.
NEN 7510-certificering is gangbaar en wettelijk verplicht bij de gegevensuitwisseling in het aanbiedersdomein. Om voor de uitwisseling met dienstverleners in het persoonsdomein zoveel mogelijk aan te sluiten bij de bestaande gebruiken en certificeringen, is gekozen de NEN 7510 ook verplicht te stellen voor de Dienstverlener persoon. De NEN 7510 kent het vertrouwen van partijen in het aanbiedersdomein en draagt zo bij aan de acceptatie van het stelsel. Alleen een ISO 27001-certificering, de internationale standaard die de basis vormt voor NEN 7510, is voor deelname aan het MedMij Afsprakenstelsel onvoldoende.
Herijking risicoanalyse
De risicoanalyse is een product dat jaarlijks moet worden herijkt, en bij bepaalde wijzingen. Herijking van de risicoanalyse is nodig op het moment dat:
- wijzigingen in het afsprakenstelsel van invloed kunnen zijn op de risicoanalyse;
- er incidenten met aanzienlijke impact zijn;
- er bekende wijzigingen zijn in het dreigingslandschap voor MedMij;
- er significante technische wijzigingen zijn in de werking van het stelsel;
- er wijziging is van wetgeving waar MedMij aan moet voldoen;
- één van de uitgangspunten wordt gewijzigd.