Samenvatting

Waarom is deze RFC nodig?	Sinds begin van Medmij geeft de Beheer Organisatie om de maand een fysieke kwaliteitstraiing aan kandidaat deelnemers. Het doel van deze training is om bewustwording van de werking van het MedMij afsprakenstelsel en de keten-verantwoordelijkheden. Deze training is verplicht voor kandidaat deelnemer vanuit MedMij IB normenkader A.7.2.2 (1). Deelnemers moeten vervolgens deze training intern in hun organsisatie geven aan medewerkers. MedMij BO gaat stoppen met de training te verzorgen
Oplossingsrichting	De presentatie wordt zo uitgewerkt dat deelnemers de training zelfstandig kunnen geven.
RACI	Responsible: MedMij R&S Accountable: PDM MedMij Consulted Ontwikkelteam (ontwikkeling@medmij.nl) Security Management (secmgt@medmij.nl) ~~Acceptatie (acceptatie@medmij.nl)~~ Stelselregie ~~Deelnemers (Expertgroepsessie)~~ Informed Communicatie Loket (info@medmij.nl) ~~Leveranciersmanagement~~
Aanpassing van	Norm A.7.2.2 (1) en A.7.2.2 (2) worden samengevoegd.
Impact op rollen	DVP, DVA
Impact op beheer	Security Team: duidelijk communiceren naar auditors van deze wijziging.
Impact op RnA	nee
Impact op Acceptatie	nee
PIA noodzakelijk	nee
Gerelateerd aan (Andere RFCs, PIM issues)
Implementatietermijn	Release 2.0
Motivatie verkorte RFC procedure (patch)

Uitwerking

Norm A.7.2.2 opstellen met volgende aangepaste elementen

Implementatie	Medewerkers die werkzaamheden verrichten ten aanzien van de operationele processen zoals omschreven in de verplichte versie van het MedMij Afsprakenstelsel MOETEN een training hebben gevolgd over de algemene werking van het stelsel en op de voor hem/haar van toepassing zijnde beveiligingsmaatregelen
Toelichting	De beheerorganisatie levert het trainingsmateriaal aan. De deelnemer verwerkt het materiaal in haar interne informatiebeveiliging training programma. De presentatie kan 1:1 worden overgenomen of geïncorporeerd worden met andere trainingen
Auditmethode	Verkrijg een overzicht van medewerkers die betrokken zijn bij MedMij operationele gerelateerde werkzaamheden. Stel op basis van het bewijs van deelname vast dat deze personen ofwel de MedMij training gevolgd hebben die aangeleverd is door de beheerorganisatie, . Als deelnemer een training heeft geïncorporeerd stel vast dat de volgende aspecten voldoende behandeld worden: de werking van MedMij, de ketenverantwoordelijkheden en de voor de medewerker van toepassing zijnde beveiligingsmaatregelen.
Verificatie	Het overzicht van medewerkers. Evidence m.b.t. de gevolgde training.

Principe's

Principe		Principe
1 Het MedMij-netwerk is zoveel mogelijk gegevensneutraal		11 Stelselfuncties worden vanaf de start ingevuld
2 Dienstverleners zijn transparant over de gegevensdiensten		12 Het afsprakenstelsel is een groeimodel
3 Dienstverleners concurreren op de functionaliteiten		13 Ontwikkeling geschiedt in een half-open proces met verschillende stakeholders
4 Dienstverleners zijn aanspreekbaar door de gebruiker		14 Uitwisseling is een keuze
5 De persoon wisselt gegevens uit met de zorgaanbieder		15 Het MedMij-netwerk is gebruiksrechten-neutraal
6 MedMij spreekt alleen af wat nodig is		16 De burger regisseert zijn gezondheidsinformatie als uitgever
7 De persoon en de zorgaanbieder kiezen hun eigen dienstverlener		17 Aan de persoonlijke gezondheidsomgeving zelf worden eisen gesteld
9 De dienstverleners zijn deelnemers van het afsprakenstelsel		18 Afspraken worden aantoonbaar nageleefd en gehandhaafd
10 Alleen de dienstverleners oefenen macht uit over persoonsgegevens bij de uitwisseling		19 Het afsprakenstelsel snijdt het gebruik van normen en standaarden op eigen maat
Toelichting	12: Deelnemers kunnen zelf training geven 18: Auditor kan beter en eenduidiger controleren dat deelnemer training heeft gevolgd en heeft gegeven

Risico's

Omschrijf de (privacy)risico's die kunnen ontstaan als deze RFC wordt aangenomen. In het onwaarschijnlijke geval dat deze RFC's geen risico's introduceert, geef dat dan wel aan.

Dreiging	Kans	Impact	DreigingsID (intern)	Maatregelen
Deelnemers zijn zich onvoldoende bewust van de bedreigingen en gevaren voor informatiebeveiliging, verantwoordelijkheden en aansprakelijkheid bij het werken in Medmij afsprakenstelsel	laag	midden

Bijlagen

	File	Modified

No files shared here yet.

Goedkeuring

Beoordelaar	Datum	Toelichting	Beoordelaar	Datum	Toelichting
Productmanager Stichting MedMij			Productmanager Beheerorganisatie
Leadarchitect Stichting MedMij			Leadarchitect Beheerorganisatie
Ontwerpteam
Deelnemersraad			Eigenaarsraad

Browser not supported