Document toolboxDocument toolbox

MMKML-832, SR-Uitwerken SR voor wie toegang heeft tot data uit de ketenlog

Owned by Patrick Boom
Last updated: Oct 25, 2024
5 min read

 

Omschrijving Changelog, met daarin:

  • Titel Jira ticket

  • Naam te wijzigen pagina

  • Korte omschrijving v.d. aanpassing in voltooid verleden tijd.

Toelichting in het afsprakenstelsel voor wie de ketenlog beschikbaar is, t.b.v. transparantie en vertrouwen aan deelnemers.

  • Geeft deelnemers inzicht in voor wie de aangeleverde logdata beschikbaar is. Opnemen in AS aangezien dit ook juridisch kader heeft.

Impact op:

DVP
DVA
Geen van beiden

Te informeren Stakeholders

Acceptatie
R&A beheer
Regie
CCDA
Security
Relatiebeheer
Communicatie
MM Loket
Stichting MM
Nictiz

Moeten afbeeldingen/mockups aangepast worden?

Ja -> bestand moet aangemaakt worden om
Nee

Aan te passen versies afsprakenstelsel

2.1.1

Classificatie

Patch
Minor
Major
N.v.t i.v.m. Catalogus

Implementatie Termijn

Korte termijn, betreft geen procesmatige aanpassing enkel toelichting tekstueel aan deelnemers.

Gerelateerde tickets (o.a. ticket van deze ticket)

 Onderdeel van feature: MMKML-Sprint 24Q3-4 - MedMij Ketenmonitoring sprintboard - Agile Board - Jira VZVZ (atlassian.net). Input voor deze SR staat echter in eerder genoemd/gelinkt ticket.

Status

Staat klaar voor release in afsprakenstelsel
Verwerkt in afsprakenstelsel

Uitwerking

Zet bij de locatie (en indien van toepassing bij de “In te voegen links (optioneel)”) de link naar de confluence space (bijv. MedMij Afsprakenstelsel 2), zet hier niet de link naar scroll view pagina. Is het een tabel benoem dan bij de locatie ook de rij.

Kopieer voor de oude en de nieuwe tekst ook de regel voor en na de aan te passen zin.

In de kolom Oude tekst, maak de verwijderde of gewijzigde stukken rood en streep ze door
In de kolom Nieuwe tekst, geef de nieuwe stukken hebben deze blauwige/groenige kleur.

Wil je een link toevoegen maak het woord paars in de kolom “Nieuwe tekst” en zet de link in de kolom In te voegen links (optioneel).

Door te voeren wijzigingen

Locatie

Oude tekst

Nieuwe tekst

In te voegen links (optioneel)

Locatie

Oude tekst

Nieuwe tekst

In te voegen links (optioneel)

 A.12.4.1 Gebeurtenissen registreren (medmij.nl) > implementatie

 

  • Toegangslog

    • Deelnemers richten logbestanden in zoals beschreven in de AVG en NEN 7513:2018 en zorgen voor een wettelijke bewaartermijn van vijf jaar. De volgende acties moeten ten minste onweerlegbaar en controleerbaar worden gelogd.

      • De acties waarbij de persoon gegevens wil verzamelen of delen.

      • De acties waarbij de persoon toestemming geeft voor uitwisseling conform de specificaties in het afsprakenstelsel.

  • Technische logs

    • De bewaartermijn voor technische logbestanden, zoals applicatie of service logs, hoeven niet aan de vijf jaar termijn te voldoen. Deelnemers kunnen bewaartermijnen vaststellen voor de technische logs op basis van best practices, zoals bijvoorbeeld beschreven in NIST SP 800-92 of CIS Control 6. Daarnaast kan een risicoanalyse de organisatie in staat stellen de bewaartermijn te bepalen die het beste past bij de specifieke behoeften en risico's van hun omgeving. Als richtlijn wordt aanbevolen om technische logs ten minste één jaar te bewaren, aangezien dit cruciaal kan zijn voor het uitvoeren van effectieve incident response en forensisch onderzoek.

  • Ketenlog

    • Vanuit het afsprakenstelsel moeten Deelnemers gebeurtenissen vastleggen ten behoeve van ketenmonitoring en -logging (Zie de Verantwoordelijkheden, Core onder logging en de Logging interface). De bewaartermijn van de logbestanden is ten minste 24 maanden en niet meer dan 36 maanden. De maximum bewaartermijn voor de loggegevens voor ketenlog is lager omdat deze niet gegevens over inzage en/of bewerkingen van het medisch dossier betreffen. De minimale en maximale bewaartermijnen van deze logbestanden passen binnen de uitersten die daartoe zijn bepaald door NEN7513:2018 (paragraaf 8.5).

    • De maximum bewaartermijn van 36 maanden is niet van toepassing op aggregaten en algemene tellingen. Deze aggregaten en algemene tellingen mogen niet zijn voorzien van herleidbare gegevens zoals trace-id en session-id.

  • Uitzondering

    • In het geval van een klacht of een juridische procedure mag een Deelnemer een uitzondering maken op de bewaartermijnen. Dan mogen de relevant geachte logregels en de relevante geachte rapportages tot maximaal 10 jaar na het ontstaan van de loggegevens worden bewaard. Praktische aanpak is om een export te maken van de relevante logregels en deze informatie vast te leggen in een register dat specifiek is gewijd voor uitzonderingen. Door deze afzonderlijke procedure voor het verlengd bewaren van logregels kunnen organisaties voldoen bij klachten, terwijl de reguliere bewaartermijnen van loggegevens worden gehandhaafd.

 

  • Toegangslog

    • Deelnemers richten logbestanden in zoals beschreven in de AVG en NEN 7513:2018 en zorgen voor een wettelijke bewaartermijn van vijf jaar. De volgende acties moeten ten minste onweerlegbaar en controleerbaar worden gelogd.

      • De acties waarbij de persoon gegevens wil verzamelen of delen.

      • De acties waarbij de persoon toestemming geeft voor uitwisseling conform de specificaties in het afsprakenstelsel.

  • Technische logs

    • De bewaartermijn voor technische logbestanden, zoals applicatie of service logs, hoeven niet aan de vijf jaar termijn te voldoen. Deelnemers kunnen bewaartermijnen vaststellen voor de technische logs op basis van best practices, zoals bijvoorbeeld beschreven in NIST SP 800-92 of CIS Control 6. Daarnaast kan een risicoanalyse de organisatie in staat stellen de bewaartermijn te bepalen die het beste past bij de specifieke behoeften en risico's van hun omgeving. Als richtlijn wordt aanbevolen om technische logs ten minste één jaar te bewaren, aangezien dit cruciaal kan zijn voor het uitvoeren van effectieve incident response en forensisch onderzoek.

  • Ketenlog

    • Vanuit het afsprakenstelsel moeten Deelnemers gebeurtenissen vastleggen ten behoeve van ketenmonitoring en -logging (Zie de Verantwoordelijkheden, Core onder logging en de Logging interface). De bewaartermijn van de logbestanden is ten minste 24 maanden en niet meer dan 36 maanden. De maximum bewaartermijn voor de loggegevens voor ketenlog is lager omdat deze niet gegevens over inzage en/of bewerkingen van het medisch dossier betreffen. De minimale en maximale bewaartermijnen van deze logbestanden passen binnen de uitersten die daartoe zijn bepaald door NEN7513:2018 (paragraaf 8.5).

    • De maximum bewaartermijn van 36 maanden is niet van toepassing op aggregaten en algemene tellingen. Deze aggregaten en algemene tellingen mogen niet zijn voorzien van herleidbare gegevens zoals trace-id en session-id.

  • Disclaimer

    • De, vanuit Deelnemers, ontvangen logbestanden worden met zorg en vertrouwelijkheid behandeld. VZVZ draagt er zorg voor dat de logbestanden veilig worden opgeslagen en verwerkt, in overeenstemming met geldende privacy- en veiligheidsvoorschriften.

      Toegang tot de aangeleverde gelogde gebeurtenissen is strikt beperkt tot geautoriseerde medewerkers binnen VZVZ en Stichting MedMij. Deze data wordt uitsluitend gebruikt voor de volgende doeleinden: monitoring van het MedMij-ketenverkeer, het bieden van ondersteuning aan Deelnemers bij prio-1 incidenten en het uitvoeren van analyses ter verbetering van het MedMij-ketenverkeer.

      Logging data betreffende deelnemers wordt onder geen beding gedeeld met andere deelnemers.

  • Uitzondering

    • In het geval van een klacht of een juridische procedure mag een Deelnemer een uitzondering maken op de bewaartermijnen. Dan mogen de relevant geachte logregels en de relevante geachte rapportages tot maximaal 10 jaar na het ontstaan van de loggegevens worden bewaard. Praktische aanpak is om een export te maken van de relevante logregels en deze informatie vast te leggen in een register dat specifiek is gewijd voor uitzonderingen. Door deze afzonderlijke procedure voor het verlengd bewaren van logregels kunnen organisaties voldoen bij klachten, terwijl de reguliere bewaartermijnen van loggegevens worden gehandhaafd.

 

 

 

 

 

 

 

 

 

Review

Zijn de volgende acties uitgevoerd?

Alle rijen in de tabel zijn ingevuld
Er staan geen taal- en spelfouten in de aanpassingen
De juiste locatie is ingevoerd
(Indien van toepassing) de link(s) is/zijn correct toegevoegd
(Indien van toepassing) de vereiste afbeeldingen zijn aangepast