Stichting MedMij voert elk jaar in samenspraak samen met haar deelnemers aan het MedMij Afsprakenstelsel een risicoanalyse uit. De risicoanalyse richt zichgericht op informatieveiligheidsrisico's. Dit zijn risico's die kunnen leiden tot inbreuken op de beschikbaarheid, integriteit of vertrouwelijkheid van informatie. Compliance aan wet- en regelgeving is geen onderdeel van deze risicoanalyse (bijv. compliance m.b.t. NEN7512). Het betreft hier een risicoanalyse op stelselniveau, dat wil zeggen dat het de risico’s betreft in de onderlinge relatie tussen de betrokken partijen en niet de specifieke analyse bij een betrokken partij. Het onderwerp van de risicoanalyse betreft daarmee wel alle onderdelen van het MedMij Afsprakenstelsel. Dit houdt in dat de maatregelen voortkomend uit de analyse betrekking (kunnen) hebben op de Dienstverlener persoon, Dienstverlener aanbieder en Stichting MedMij. Personen en Aanbieders (de gebruikers) zijn geen onderdeel van het afsprakenstelsel en vallen buiten de scope van de risicoanalyse. Er kunnen wel maatregelen voor de risico’s worden voorgesteld aan de Dienstverlener persoon of de Dienstverlener aanbieder die van invloed kunnen zijn op de Persoon of Aanbieder.
De risicoanalyse wordt, op grond van het Informatieclassificatiebeleid, niet publiekelijk beschikbaar gesteld.
Uitgangspunten bij de risicoanalyse
- De scope van de risicoanalyse wordt voor het belangrijkste gedeelte bepaald door de Grondslagen, met name in de Criteria en de Principes. Op basis hiervan worden uitspraken gedaan over beschikbaarheid, vertrouwelijkheid en integriteit van de informatie binnen scope van het afsprakenstelsel;
- De risicoanalyse wordt uitgevoerd op basis van de ten tijde van uitvoering laatst gepubliceerde release van het MedMij Afsprakenstelsel. Nieuwe of aangepaste maatregelen worden meegenomen in een nieuwe release van het afsprakenstelsel;
- In de analyse is een vertegenwoordiging van alle rollen in het afsprakenstelsel en de governance betrokken;
- Voldoen aan geldende wet- en regelgeving is een startpunt voor alle partijen en een vereiste in de definitie van maatregelen;
- Het bestuur van Stichting MedMij streeft naar een voor de betrokken partijen aanvaardbaar risiconiveau aan de hand van de impact op de volgende onderwerpen: gezondheid, privacy, financieel, imago en vertrouwen. Stichting MedMij bepaalt met betrokken wat dit aanvaardbare risiconiveau is. De risicoanalyse, de risicotolerantie en beveiligingsmaatregelen worden vastgesteld door Stichting MedMij.
Maatregelen
De risicoanalyse leidt tot het formuleren van drie typen maatregelen:
- Maatregelen die direct betrekking hebben op risico’s voor de werking en veiligheid van het stelsel en daarom uniform dienen te worden vastgesteld (bijv. onderlinge autorisatieprocollen);
- Maatregelen voor risico’s die kunnen leiden tot stelselrisico's (een gebeurtenis bij een deelnemer die schade toebrengt aan andere deelnemers of Stichting MedMij). Deze zijn gespecificeerd in het stelsel om eenduidige interpretatie af te dwingen (bijv. toegang tot persoonlijke gezondheidsgegevens);
- Maatregelen die vanuit efficiëntieoogpunt zijn opgenomen in het stelsel zodat niet iedere partij deze afzonderlijk hoeft te definiëren.
De geformuleerde maatregelen kunnen op verschillende manieren worden opgenomen in het afsprakenstelsel. Er kunnen technische specificaties worden geformuleerd voor deelnemers, Beleid en Operationele processen worden vormgegeven, dan wel normen in het Normenkader informatiebeveiliging worden opgenomen.
Verwerking in de afsprakenset
Uit de overkoepelende risicoanalyse op het afsprakenstelsel die is uitgevoerd op release 1.0, is geconcludeerd dat een NEN 7510-certificering voor deelnemers en beheerorganisatie in samenhang met de overige onderdelen van het toetredingsproces, zoals kwalificatie en acceptatie, de belangrijkste informatiebeveiligingsrisico's voor het stelsel afdekt. Op een aantal onderwerpen zijn maatregelen uit de NEN 7510-norm meer specifiek ingevuld voor MedMij of zijn er aanvullende maatregelen voorgesteld. Het betreft onderwerpen waarbij is geconcludeerd dat een ingeschat risico het beste afgedekt kan worden door voor alle partijen een uniforme maatregel te treffen, in plaats van zelfstandig maatregelen te kiezen op basis van een eigen risico inschatting. Of het gaat om onderwerpen waarbij de individuele inschatting gevolgen kan hebben voor andere partijen in het netwerk. Deze maatregelen zijn opgenomen in het Normenkader informatiebeveiliging. Daarnaast zijn maatregelen uit de risicoanalyse op stelselniveau opgenomen in de architectuur en technische specificaties of het beleid en operationele processen. De uitvoering van deze maatregelen wordt getoetst via onder andere het toetredingsproces.
NEN 7510-certificering is gangbaar en wettelijk verplicht bij de gegevensuitwisseling in het aanbiedersdomein. Om voor de uitwisseling met dienstverleners in het persoonsdomein zoveel mogelijk aan te sluiten bij de bestaande gebruiken en certificeringen, is gekozen de NEN 7510 ook verplicht te stellen voor de Dienstverlener persoon. De NEN 7510 kent het vertrouwen van partijen in het aanbiedersdomein en draagt zo bij aan de acceptatie van het stelsel. Het bezitten van een ISO 27001-certificering, de internationale standaard waarop de NEN 7510 is gebaseerd, is voor deelname aan het MedMij Afsprakenstelsel onvoldoende.
Herijking risicoanalyse
De risicoanalyse is een product dat jaarlijks dient te worden herijkt, maar ook wanneer er bepaalde wijzingen plaatsvinden. De risicoanalyse dient te worden herijkt op het moment dat:
- wijzigingen in het afsprakenstelsel worden gemaakt die van invloed kunnen zijn op de risicoanalyse;
- wanneer zich incidenten met aanzienlijke impact hebben voorgedaan;
- er bekende wijzigingen zijn in het dreigingslandschap voor MedMij;
- er significante technische wijzigingen zijn in de werking van het stelsel;
- er wijziging is van wetgeving waar MedMij aan moet voldoen;
- een van de uitgangspunten (zie hieronder) wordt gewijzigd.