Document toolboxDocument toolbox

Overige procedures

Deze pagina beschrijft beknopt een aantal overige operationele procedures die van toepassing zijn:

Aanpassen toestemmingscatalogus

In de https://vzvz.atlassian.net/wiki/spaces/MA11/pages/127534705 zijn de (categorieën van) zorgaanbieders, zorgverleners en gegevenssets opgenomen. Op basis van de catalogus worden de toestemmingsvragen samengesteld.

Deze tabellen vragen de komende jaren continu onderhoud. Het volledige onderhoud van de catalogus vindt nadrukkelijk plaats in samenspraak met zorgaanbieders en hun leveranciers.

Voorstellen voor wijzigingen op de Mitz-toestemmingscatalogus worden door de Mitz-productmanager en Mitz-architecten uitgewerkt:

  • categorisering van zorgaanbieders zoals getoond in de toestemmingsmogelijkheden

  • onderscheid gegevenscategorieën zoals getoond in de toestemmingsmogelijkheden

  • balans begrijpelijkheid en herkenbaarheid voor burger enerzijds en specificiteit anderzijds in het totaal van de getoonde toestemmingsmogelijkheden

  • uitbreiden van de actuele toestemmingsmogelijkheden, mede afhankelijk van uitwisselingen die gerealiseerd gaan worden

  • mapping van de zorgaanbiedercategorieën van ZorgkaartNederland en Nictiz naar de categorieën in de toestemmingsmogelijkheden

  • mapping van kwaliteitsstandaarden en informatiestandaarden op de gegevenscategorieën van de toestemmingsmogelijkheden

Waar nodig vindt afstemming plaats met inhoudsdeskundigen. Majeure wijzigingen, bijvoorbeeld scopewijzigingen in de Mitz-toestemmingscatalogus, stelt het bestuur van de Stichting GVvZ vast.

Periodieke hack- en penetratietest

Mitz eist dat de MC-leverancier jaarlijks een hack- en penetratietest uitvoert (minimaal op de koppelvlakken met Mitz) door een externe, onafhankelijke organisatie en de uitkomsten hiervan rapporteert aan Mitz S&B.  

Deze maatregel borgt dat deelnemers en de beheerorganisatie met regelmaat (en gebruikmakend van verschillende partijen) hun software, systemen en infrastructuur laten toetsen op bekende kwetsbaarheden. 

Voor toetreding tot het Afsprakenstelsel heeft deze minimaal al één keer plaatsgevonden en moeten de hoog en middel risico bevindingen op de Mitz-koppelvlakken zijn opgelost. 

Voor penetratietesten die worden uitgevoerd na toetreding, moet een adequaat actieplan opgesteld worden voor minimaal de hoge en midden risico's ten aanzien van de Mitz-dienstverlening. Dit actieplan wordt gedeeld met de beheerorganisatie. De corrigerende maatregelen worden tijdig doorgevoerd. 

De geplande tussenpozen tussen opeenvolgende risicobeoordelingen van informatiebeveiliging dienen hooguit 12 maanden te bedragen. 

Mitz vereist een whiteboxpenetratietest. Dit houdt in dat de penetratietester zoveel mogelijk inzicht heeft in de applicatie. Dit kan onder meer inhouden: 

  • toegang tot architectuur/ontwerpdocumentatie

  • toegang tot broncode

  • inloggegevens voor verschillende rollen

Het is niet nodig om een penetratietest uit te voeren op de gehele architectuur en/of alle programmacodes. Het gaat met name om de beveiliging van de gegevens die over internet worden uitgewisseld. De focus moet dus liggen op de beveiliging van de externe koppelvlakken. Een app of een web portaal is ook een extern koppelvlak.

Melden van kwetsbaarheden in de beveiliging

Beveiliging speelt een belangrijke rol bij Mitz. Ondanks alle zorg en inzet kunnen er situaties ontstaan waarin sprake is van een zwakke plek in de beveiliging.

Iedereen die denkt een zwakke plek in Mitz te hebben gevonden, wordt verzocht om deze informatie onmiddellijk met het Computer Emergency Response Team te delen via een e-mail aan cert@vzvz.nl.

Om misbruik van bevindingen door anderen te voorkomen, worden de volgende richtlijnen te gehanteerd:

  • geef voldoende informatie (zoals een uitgebreide beschrijving inclusief IP-adressen, logs, hoe te reproduceren, screenshots, etc.), zodat de melding zo effectief mogelijk behandeld kan worden

  • deel de kwetsbaarheid niet met anderen, totdat die is verholpen

  • maak geen actief misbruik van de kwetsbaarheid. Als dit toch gebeurt wordt hiervan aangifte gedaan

Nadat een kwetsbaarheid is gemeld, wordt er zo spoedig mogelijk - maar uiterlijk binnen 3 werkdagen - contact opgenomen om afspraken te maken over een redelijke herstelperiode en een eventuele gecoördineerde publicatie van de kwetsbaarheid.

De melding wordt vertrouwelijk behandeld en persoonlijke gegevens worden niet zonder toestemming met derden gedeeld. Een uitzondering hierop is de politie en justitie in geval van aangifte of indien gegevens worden opgeëist.

Certificaatwissels

Certificaatwissels zullen als change in overleg met de verantwoordelijke MC-leverancier en/of zorgaanbieder projectmatig worden uitgevoerd.  

Indien de certificaatwissels ook gevolgen hebben voor de keten, dan zal de verantwoordelijke hiervoor een uitvoeringsplan opstellen voor zijn keten en dit beschikbaar stellen aan Mitz ter borging van tijdige implementatie van de certificaten.