Samenvatting
Waarom is deze RFC nodig? | Sinds begin van Medmij geeft de Beheer Organisatie om de maand een fysieke kwaliteitstraiing aan kandidaat deelnemers. Het doel van deze training is om bewustwording van de werking van het MedMij afsprakenstelsel en de keten-verantwoordelijkheden. Deze training is verplicht voor kandidaat deelnemer vanuit MedMij IB normenkader A.7.2.2 (1). Deelnemers moeten vervolgens deze training intern in hun organsisatie geven aan medewerkers. MedMij BO gaat stoppen met de training te verzorgen |
---|---|
Oplossingsrichting | De presentatie wordt zo uitgewerkt dat deelnemers de training zelfstandig kunnen geven. |
RACI |
|
Aanpassing van | Norm A.7.2.2 (1) en A.7.2.2 (2) worden samengevoegd. |
Impact op rollen | DVP, DVA |
Impact op beheer | Security Team: duidelijk communiceren naar auditors van deze wijziging. |
Impact op RnA | nee |
Impact op Acceptatie | nee |
PIA noodzakelijk | nee |
Gerelateerd aan (Andere RFCs, PIM issues) | |
Implementatietermijn | Release 2.0 |
Motivatie verkorte RFC procedure (patch) |
Uitwerking
Norm A.7.2.2 opstellen met volgende aangepaste elementen
Implementatie | Medewerkers die werkzaamheden verrichten ten aanzien van de operationele processen zoals omschreven in de verplichte versie van het MedMij Afsprakenstelsel MOETEN een training hebben gevolgd over de algemene werking van het stelsel en op de voor hem/haar van toepassing zijnde beveiligingsmaatregelen |
Toelichting | De beheerorganisatie levert het trainingsmateriaal aan. De deelnemer verwerkt het materiaal in haar interne informatiebeveiliging training programma. De presentatie kan 1:1 worden overgenomen of geïncorporeerd worden met andere trainingen |
Auditmethode |
|
Verificatie |
|
Principe's
Principe | Principe | ||
---|---|---|---|
1 Het MedMij-netwerk is zoveel mogelijk gegevensneutraal | 11 Stelselfuncties worden vanaf de start ingevuld | ||
2 Dienstverleners zijn transparant over de gegevensdiensten | 12 Het afsprakenstelsel is een groeimodel | ||
3 Dienstverleners concurreren op de functionaliteiten | 13 Ontwikkeling geschiedt in een half-open proces met verschillende stakeholders | ||
4 Dienstverleners zijn aanspreekbaar door de gebruiker | 14 Uitwisseling is een keuze | ||
5 De persoon wisselt gegevens uit met de zorgaanbieder | 15 Het MedMij-netwerk is gebruiksrechten-neutraal | ||
6 MedMij spreekt alleen af wat nodig is | 16 De burger regisseert zijn gezondheidsinformatie als uitgever | ||
7 De persoon en de zorgaanbieder kiezen hun eigen dienstverlener | 17 Aan de persoonlijke gezondheidsomgeving zelf worden eisen gesteld | ||
9 De dienstverleners zijn deelnemers van het afsprakenstelsel | 18 Afspraken worden aantoonbaar nageleefd en gehandhaafd | ||
10 Alleen de dienstverleners oefenen macht uit over persoonsgegevens bij de uitwisseling | 19 Het afsprakenstelsel snijdt het gebruik van normen en standaarden op eigen maat | ||
Toelichting | 12: Deelnemers kunnen zelf training geven |
Risico's
Omschrijf de (privacy)risico's die kunnen ontstaan als deze RFC wordt aangenomen. In het onwaarschijnlijke geval dat deze RFC's geen risico's introduceert, geef dat dan wel aan.
Dreiging | Kans | Impact | DreigingsID (intern) | Maatregelen |
---|---|---|---|---|
Deelnemers zijn zich onvoldoende bewust van de bedreigingen en gevaren voor informatiebeveiliging, verantwoordelijkheden en aansprakelijkheid bij het werken in Medmij afsprakenstelsel | laag | midden |
Bijlagen
Goedkeuring
Beoordelaar | Datum | Toelichting | Beoordelaar | Datum | Toelichting |
---|---|---|---|---|---|
Productmanager Stichting MedMij | Productmanager Beheerorganisatie | ||||
Leadarchitect Stichting MedMij | Leadarchitect Beheerorganisatie | ||||
Ontwerpteam | |||||
Deelnemersraad | Eigenaarsraad |