Document toolboxDocument toolbox

MO-134 aanpassing MedMij kwaliteitstraining

Samenvatting

Waarom is deze RFC nodig?

Sinds begin van Medmij geeft de Beheer Organisatie om de maand een fysieke kwaliteitstraiing aan kandidaat deelnemers. Het doel van deze training is om bewustwording van de werking van het MedMij afsprakenstelsel en de keten-verantwoordelijkheden. Deze training is verplicht voor kandidaat deelnemer vanuit MedMij IB normenkader A.7.2.2 (1). Deelnemers moeten vervolgens deze training intern in hun organsisatie geven aan medewerkers. MedMij BO gaat stoppen met de training te verzorgen

Oplossingsrichting

De presentatie wordt zo uitgewerkt dat deelnemers de training zelfstandig kunnen geven.

RACI
  • Responsible:
    • MedMij R&S
  • Accountable:
    • PDM MedMij
  • Consulted
    • Ontwikkelteam (ontwikkeling@medmij.nl)
    • Security Management (secmgt@medmij.nl)
    • Acceptatie (acceptatie@medmij.nl)
    • Stelselregie
    • Deelnemers (Expertgroepsessie)
  • Informed
    • Communicatie
    • Loket (info@medmij.nl)
    • Leveranciersmanagement


Aanpassing van

Norm A.7.2.2 (1) en A.7.2.2 (2) worden samengevoegd.

Impact op rollen

DVP, DVA

Impact op beheer

Security Team: duidelijk communiceren naar auditors van deze wijziging.

Impact op RnA

nee

Impact op Acceptatie

nee

PIA noodzakelijknee
Gerelateerd aan (Andere RFCs, PIM issues)


Implementatietermijn

Release 2.0

Motivatie verkorte RFC procedure (patch)


Uitwerking

Norm A.7.2.2 opstellen met volgende aangepaste elementen

ImplementatieMedewerkers die werkzaamheden verrichten ten aanzien van de operationele processen zoals omschreven in de verplichte versie van het MedMij Afsprakenstelsel MOETEN een training hebben gevolgd over de algemene werking van het stelsel en op de voor hem/haar van toepassing zijnde beveiligingsmaatregelen
ToelichtingDe beheerorganisatie levert het trainingsmateriaal aan. De deelnemer verwerkt het materiaal in haar interne informatiebeveiliging training programma. De presentatie kan 1:1 worden overgenomen of geïncorporeerd worden met andere trainingen
Auditmethode
  • Verkrijg een overzicht van medewerkers die betrokken zijn bij MedMij operationele gerelateerde werkzaamheden. Stel op basis van het bewijs van deelname vast dat deze personen ofwel de MedMij training gevolgd hebben die aangeleverd is door de beheerorganisatie, .
  • Als deelnemer een training heeft geïncorporeerd stel vast dat de volgende aspecten voldoende behandeld worden: de werking van MedMij, de ketenverantwoordelijkheden en de voor de medewerker van toepassing zijnde beveiligingsmaatregelen.
Verificatie
  • Het overzicht van medewerkers.
  • Evidence m.b.t. de gevolgde training.


Principe's

Principe
Principe

1 Het MedMij-netwerk is zoveel mogelijk gegevensneutraal

  •  
11 Stelselfuncties worden vanaf de start ingevuld
  •  
2 Dienstverleners zijn transparant over de gegevensdiensten 
  •  
12 Het afsprakenstelsel is een groeimodel
  •  
Dienstverleners concurreren op de functionaliteiten
  •  
13 Ontwikkeling geschiedt in een half-open proces met verschillende stakeholders
  •  
Dienstverleners zijn aanspreekbaar door de gebruiker
  •  
14 Uitwisseling is een keuze
  •  
De persoon wisselt gegevens uit met de zorgaanbieder
  •  
15 Het MedMij-netwerk is gebruiksrechten-neutraal
  •  
MedMij spreekt alleen af wat nodig is
  •  
16 De burger regisseert zijn gezondheidsinformatie als uitgever
  •  
De persoon en de zorgaanbieder kiezen hun eigen dienstverlener
  •  
17 Aan de persoonlijke gezondheidsomgeving zelf worden eisen gesteld
  •  
De dienstverleners zijn deelnemers van het afsprakenstelsel
  •  
18 Afspraken worden aantoonbaar nageleefd en gehandhaafd
  •  
10 Alleen de dienstverleners oefenen macht uit over persoonsgegevens bij de uitwisseling
  •  
19 Het afsprakenstelsel snijdt het gebruik van normen en standaarden op eigen maat
  •  
Toelichting

12: Deelnemers kunnen zelf training geven
18: Auditor kan beter en eenduidiger controleren dat deelnemer training heeft gevolgd en heeft gegeven

Risico's

Omschrijf de (privacy)risico's die kunnen ontstaan als deze RFC wordt aangenomen. In het onwaarschijnlijke geval dat deze RFC's geen risico's introduceert, geef dat dan wel aan.

DreigingKansImpactDreigingsID (intern)Maatregelen
Deelnemers zijn zich onvoldoende bewust van de bedreigingen en gevaren voor informatiebeveiliging, verantwoordelijkheden en aansprakelijkheid bij het werken in Medmij afsprakenstelsel

laag

midden


Bijlagen

  File Modified
No files shared here yet.

Goedkeuring

BeoordelaarDatumToelichtingBeoordelaarDatumToelichting
Productmanager Stichting MedMij

Productmanager Beheerorganisatie

Leadarchitect Stichting MedMij

Leadarchitect Beheerorganisatie

Ontwerpteam




Deelnemersraad

Eigenaarsraad