RFC0005 Abonneren op notificaties
Samenvatting
| Waarom is deze RFC nodig? | Deze RFC is nodig om Persoon te kunnen notificeren over wijzigingen in haar gegevens (zoals beheerd bij een zorgaanbieder), zodat Persoon de gewijzigde gegevens vervolgens (opnieuw) kan verzamelen. |
|---|---|
| Oplossingsrichting | Introductie van functionaliteit om abonnementen te kunnen nemen op notificaties betreffende wijzigingen van gegevens die worden ontsloten binnen een gegevensdienst. |
| Aanpassing van | Afsprakenstelsel |
| Impact op rollen | DVP en DVZA |
| Impact op beheer | RnA |
| Gerelateerd aan (Jira issues) | AF-493 |
| Eigenaar | Joris, Arjan, Ron |
| Implementatietermijn | 1.2.0 |
| Motivatie verkorte RFC procedure (patch) | N.v.t. |
Goedkeuring
| Beoordelaar | Datum | Reactie | Toelichting |
|---|---|---|---|
| Productmanager | |||
| Ontwerpteam | |||
| Security management | |||
| Jurist |
Principe's
| Principe | Principe | ||
|---|---|---|---|
1 Het MedMij-netwerk is zoveel mogelijk gegevensneutraal | Positief | 11 Stelselfuncties worden vanaf de start ingevuld | Positief |
| 2 Dienstverleners zijn transparant over de gegevensdiensten | Positief | 12 Het afsprakenstelsel is een groeimodel | Positief |
| 3 Dienstverleners concurreren op de functionaliteiten | Positief | 13 Ontwikkeling geschiedt in een half-open proces met verschillende stakeholders | Positief |
| 4 Dienstverleners zijn aanspreekbaar door de gebruiker | Positief | 14 Uitwisseling is een keuze | Positief |
| 5 De persoon wisselt gegevens uit met de zorgaanbieder | Positief | 15 Het MedMij-netwerk is gebruiksrechten-neutraal | Positief |
| 6 MedMij spreekt alleen af wat nodig is | Positief | 16 De burger regisseert zijn gezondheidsinformatie als uitgever | Positief |
| 7 De persoon en de zorgaanbieder kiezen hun eigen dienstverlener | Positief | 17 Aan de persoonlijke gezondheidsomgeving zelf worden eisen gesteld | Positief |
| 9 De dienstverleners zijn deelnemers van het afsprakenstelsel | Positief | 18 Afspraken worden aantoonbaar nageleefd en gehandhaafd | Positief |
| 10 Alleen de dienstverleners oefenen macht uit over persoonsgegevens bij de uitwisseling | Positief | 19 Het afsprakenstelsel snijdt het gebruik van normen en standaarden op eigen maat | Positief |
Uitwerking
Zie onderliggende pagina's.
Risico's
Omschrijf de (privacy)risico's die kunnen ontstaan als deze RFC wordt aangenomen. In het onwaarschijnlijke geval dat deze RFC's geen risico's introduceert, geef dat dan wel aan.
Doel van de functionaliteit en gegevensuitwisseling
Persoon te kunnen notificeren over wijzigingen in haar gegevens (zoals beheerd bij een zorgaanbieder), zodat Zorggebruiker de gewijzigde gegevens vervolgens (opnieuw) kan verzamelen.
Opgeslagen gegevens en gegevensuitwisseling
Bij DVP worden de volgende gegevens opgeslagen:
- Abonnementen, met daarin: Zorgaanbiedernaam, Gegevensdienst-ID, user-ID van Zorggebruiker in PGO, ID van Abonnement, einddatum en -tijd van Abonnement, status van Abonnement;
- Notificaties, met daarin: ID van Notificatie, ID van bijbehorende Abonnement, status van bijbehorende Abonnement;
- Logging van afgenomen en beëindigde Abonnementen;
- Logging van ontvangen Notificaties.
Bij DVZA worden de volgende gegevens opgeslagen:
- Abonnementen, met daarin: Zorgaanbiedernaam, Gegevensdienst-ID, BSN van Zorggebruiker, ID van Abonnement, einddatum en -tijd van Abonnement, status van Abonnement, client_id van het PGO;
- Logging van afgenomen en beëindigde Abonnementen;
- Logging van verzonden Notificaties.
Tussen DVP en DVZA worden de volgende gegevens uitgewisseld:
- Abonnementen, met daarin: Zorgaanbiedernaam, Gegevensdienst-ID, ID van Abonnement, einddatum en -tijd van Abonnement, status van Abonnement;
- Oauth Access tokens (t.b.v. toetsing van verleende toestemming voor Abonnement en t.b.v. koppeling van BSN aan Abonnement);
- Notificaties, met daarin: ID van Notificatie, ID van bijbehorende Abonnement, status van bijbehorende Abonnement.
Beveiliging van opslag en gegevensuitwisseling
BIV-classificatie
Beschikbaarheid: Laag, uitval van de functionaliteit of gegevensuitwisseling levert geringe gevolgen op voor de betrokkenen.
Integriteit: Laag, onjuistheid of onvolledigheid van de functionaliteit of gegevensuitwisseling levert geringe gevolgen op voor de betrokkenen.
Vertrouwelijkheid: Midden, ongewenste openbaarmaking of verspreiding van de uitgewisselde gegevens levert matige gevolgen op voor de betrokkenen.
Risico's m.b.t. vertrouwelijkheid (conform NEN 7512)
| Gebeurtenis | Kans | Gevolgklasse | Risico | Maatregelen |
|---|---|---|---|---|
| Bij DVP of DVZA opgeslagen gegevens kunnen lekken | Klein | Matige gevolgen | Matig | Geen additionele maatregelen bovenop reeds vereiste NEN 7510 certificering en aanvullend normenkader. |
| De uitwisseling tussen DVP en DVZA kan worden afgeluisterd | Klein | Matige gevolgen | Matig | Geen additionele maatregelen bovenop reeds vereiste dubbelzijdige TLS-verbindingen, PKI-overheid certificaten en whitelist. |
| Gegevens kunnen lekken bij notificatie van Zorggebruiker door DVP | Middelmatig | Matige gevolgen | Matig | Er worden eisen gesteld aan de inhoud van notificaties die door DVP aan Zorggebruikers mogen worden verstuurd, waarmee de privacygevoeligheid van notificaties sterk wordt gereduceerd. |
| DVP kan notificaties ontvangen voor zorggebruikers die niet langer actief gebruik maken van een PGO | Middelmatig | Geringe gevolgen | Matig | De levensduur van een abonnement wordt beperkt en zorggebruikers kunnen zelf abonnementen beëindigen. |