Samenvatting

Waarom is deze RFC nodig?	Deze RFC is nodig om Persoon te kunnen notificeren over wijzigingen in haar gegevens (zoals beheerd bij een zorgaanbieder), zodat Persoon de gewijzigde gegevens vervolgens (opnieuw) kan verzamelen.
Oplossingsrichting	Introductie van functionaliteit om abonnementen te kunnen nemen op notificaties betreffende wijzigingen van gegevens die worden ontsloten binnen een gegevensdienst.
Aanpassing van	Afsprakenstelsel
Impact op rollen	DVP en DVZA
Impact op beheer	RnA
Gerelateerd aan (Jira issues)	AF-493
Eigenaar	Joris, Arjan, Ron
Implementatietermijn	1.2.0
Motivatie verkorte RFC procedure (patch)	N.v.t.

Goedkeuring

Beoordelaar	Datum	Reactie	Toelichting
Productmanager
Ontwerpteam
Security management
Jurist

Principe's

Principe		Principe
1 Het MedMij-netwerk is zoveel mogelijk gegevensneutraal	Positief	11 Stelselfuncties worden vanaf de start ingevuld	Positief
2 Dienstverleners zijn transparant over de gegevensdiensten	Positief	12 Het afsprakenstelsel is een groeimodel	Positief
3 Dienstverleners concurreren op de functionaliteiten	Positief	13 Ontwikkeling geschiedt in een half-open proces met verschillende stakeholders	Positief
4 Dienstverleners zijn aanspreekbaar door de gebruiker	Positief	14 Uitwisseling is een keuze	Positief
5 De persoon wisselt gegevens uit met de zorgaanbieder	Positief	15 Het MedMij-netwerk is gebruiksrechten-neutraal	Positief
6 MedMij spreekt alleen af wat nodig is	Positief	16 De burger regisseert zijn gezondheidsinformatie als uitgever	Positief
7 De persoon en de zorgaanbieder kiezen hun eigen dienstverlener	Positief	17 Aan de persoonlijke gezondheidsomgeving zelf worden eisen gesteld	Positief
9 De dienstverleners zijn deelnemers van het afsprakenstelsel	Positief	18 Afspraken worden aantoonbaar nageleefd en gehandhaafd	Positief
10 Alleen de dienstverleners oefenen macht uit over persoonsgegevens bij de uitwisseling	Positief	19 Het afsprakenstelsel snijdt het gebruik van normen en standaarden op eigen maat	Positief

Uitwerking

Zie onderliggende pagina's.

Risico's

Omschrijf de (privacy)risico's die kunnen ontstaan als deze RFC wordt aangenomen. In het onwaarschijnlijke geval dat deze RFC's geen risico's introduceert, geef dat dan wel aan.

Doel van de functionaliteit en gegevensuitwisseling

Persoon te kunnen notificeren over wijzigingen in haar gegevens (zoals beheerd bij een zorgaanbieder), zodat Zorggebruiker de gewijzigde gegevens vervolgens (opnieuw) kan verzamelen.

Opgeslagen gegevens en gegevensuitwisseling

Bij DVP worden de volgende gegevens opgeslagen:

Abonnementen, met daarin: Zorgaanbiedernaam, Gegevensdienst-ID, user-ID van Zorggebruiker in PGO, ID van Abonnement, einddatum en -tijd van Abonnement, status van Abonnement;
Notificaties, met daarin: ID van Notificatie, ID van bijbehorende Abonnement, status van bijbehorende Abonnement;
Logging van afgenomen en beëindigde Abonnementen;
Logging van ontvangen Notificaties.

Bij DVZA worden de volgende gegevens opgeslagen:

Abonnementen, met daarin: Zorgaanbiedernaam, Gegevensdienst-ID, BSN van Zorggebruiker, ID van Abonnement, einddatum en -tijd van Abonnement, status van Abonnement, client_id van het PGO;
Logging van afgenomen en beëindigde Abonnementen;
Logging van verzonden Notificaties.

Tussen DVP en DVZA worden de volgende gegevens uitgewisseld:

Abonnementen, met daarin: Zorgaanbiedernaam, Gegevensdienst-ID, ID van Abonnement, einddatum en -tijd van Abonnement, status van Abonnement;
Oauth Access tokens (t.b.v. toetsing van verleende toestemming voor Abonnement en t.b.v. koppeling van BSN aan Abonnement);
Notificaties, met daarin: ID van Notificatie, ID van bijbehorende Abonnement, status van bijbehorende Abonnement.

Beveiliging van opslag en gegevensuitwisseling

BIV-classificatie

Beschikbaarheid: Laag, uitval van de functionaliteit of gegevensuitwisseling levert geringe gevolgen op voor de betrokkenen.

Integriteit: Laag, onjuistheid of onvolledigheid van de functionaliteit of gegevensuitwisseling levert geringe gevolgen op voor de betrokkenen.

Vertrouwelijkheid: Midden, ongewenste openbaarmaking of verspreiding van de uitgewisselde gegevens levert matige gevolgen op voor de betrokkenen.

Risico's m.b.t. vertrouwelijkheid (conform NEN 7512)

Gebeurtenis	Kans	Gevolgklasse	Risico	Maatregelen
Bij DVP of DVZA opgeslagen gegevens kunnen lekken	Klein	Matige gevolgen	Matig	Geen additionele maatregelen bovenop reeds vereiste NEN 7510 certificering en aanvullend normenkader.
De uitwisseling tussen DVP en DVZA kan worden afgeluisterd	Klein	Matige gevolgen	Matig	Geen additionele maatregelen bovenop reeds vereiste dubbelzijdige TLS-verbindingen, PKI-overheid certificaten en whitelist.
Gegevens kunnen lekken bij notificatie van Zorggebruiker door DVP	Middelmatig	Matige gevolgen	Matig	Er worden eisen gesteld aan de inhoud van notificaties die door DVP aan Zorggebruikers mogen worden verstuurd, waarmee de privacygevoeligheid van notificaties sterk wordt gereduceerd.
DVP kan notificaties ontvangen voor zorggebruikers die niet langer actief gebruik maken van een PGO	Middelmatig	Geringe gevolgen	Matig	De levensduur van een abonnement wordt beperkt en zorggebruikers kunnen zelf abonnementen beëindigen.

Bijlagen

	Bestand	Gewijzigd