(MedMij Afsprakenstelsel 2.2.4B) Changelog release 1.1 versie 0.8
De belangrijkste wijzigingen in deze versie zijn:
Grondslagen
- Aangepast: Doelstelling 7 verfijnd.
- Toegevoegd: Principes "Uitwisseling is een keuze", "Het MedMij-netwerk is gebruiksrechten-neutraal" en "De burger regisseert zijn eigen gezondheidsinformatie als uitgever".
- Toegevoegd: Deelnemers behandelen elkaar onderling gelijk (bij principes).
- Toegevoegd: Vrij verkeer over het MedMij-netwerk (deelnemers brengen elkaar geen kosten in rekening) (bij principes).
Juridisch kader
- Toegevoegd: Wet gelijke behandeling op grond van handicap en chronische ziekte (wgbh/cz) toegevoegd als belangrijk kader voor leveranciers om toegankelijke toepassingen te realiseren.
- Toegevoegd: Verdere verduidelijking zienswijze van MedMij op de verwerkingsverantwoordelijkheden in het stelsel als toelichting op de AVG, evenals een aparte pagina bij het juridisch kader.
- Toegevoegd: Aanvullingen op de toelichting inzake de AVG en WGBO bezien vanuit de nieuwe UC Delen.
Overeenkomsten en rechtsrelaties
- Gewijzigd: Bètaovereenkomsten gelden niet meer, er zijn Deelnemersovereenkomsten voor productiesituatie teruggekomen.
- Toegevoegd: In de Deelnemersovereenkomsten: een bepaling over de operationele processen en samenwerkingsafspraken en een bepaling over het niet rekenen van onderlinge vergoedingen voor gegevensuitwisseling.
- Toegevoegd: Zelfverklaring integriteit.
- Toegevoegd: In de Modelverwerkersovereenkomst is rekening gehouden met de verwerkingsverantwoordelijkheden die voortkomen uit UC Delen.
Architectuur en technische specificaties
Correctie
- Aangepast: De positie van 'controleer beschikbaarheid' in de UC en UCI Verzamelen in lijn gebracht met de tekst.
Doorontwikkeling
- Aangepast: Catalogus losgekoppeld van afsprakenset en verwijzing opgenomen.
- Aangepast: De stelselnode wordt niet opgenomen op de whitelist.
- Aangepast: Altijd 'goede' (volgens NCSC) TLS-versies en -algoritmen voor front-channelverkeer vereist.
- Aangepast: Verwijzing naar NEN7513:2018 (specifieke versie) ingevoegd, en verantwoordelijkheid over logging aangepast zodat de positie van NEN7513 duidelijker is
- Toegevoegd: Gegevensdienstnamenlijst (use case, use case-implementatie, relatie met overige use cases).
- Toegevoegd: Service levels van MedMij Registratie, de Authorization Server en de Resource Server.
- Toegevoegd: Verantwoordelijkheid om gebruik te maken van DNSSEC.
- Toegevoegd: Verantwoordelijkheid om voldoende onvoorspelbaarheid van UUID's te waarborgen.
- Toegevoegd: Verantwoordelijkheid dat als OCSP-responder onbereikbaar is, TLS-sessie niet tot stand komt.
- Toegevoegd: Use case en use case-implementatie Delen.
- Toegevoegd: De 'scheme' bij adressering moet altijd uit kleine letters bestaan.
- Toegevoegd: Verantwoordelijkheid voor beheerorganisatie om historie van lijsten te bewaren.
- Toegevoegd: Aantekenen Bron en Gegevensdienst door Uitgever bij verzamelde gegevens.
- Toegevoegd: Eisen aan de syntax van de hostname.
- Toegevoegd: Uitzonderingssituatie: na authenticatie constateert dienstverlener zorgaanbieder dat persoon jonger is dan 16 jaar.
- Toegevoegd: Verantwoordelijkheid voor deelnemers om elkaar onderling gelijk te behandelen.
Verduidelijking
- Aangepast: Beschrijving van de wijze waarop de whitelistcontrole plaats moet vinden bij inkomend en uitgaand verkeer.
- Aangepast: Netwerk-laag is opnieuw beschreven. Relatie tussen Netwerk en Applicatie-laag is opnieuw vormgegeven.
- Aangepast: De te nemen beveiligingsmaatregelen uit RFC6819 zijn toegankelijk en specifiek vermeld.
- Aangepast: Rol PGO User Agent is gesplitst in PGO User Agent en PGO Presenter.
- Toegevoegd: Verantwoordelijkheid om nog korte tijd bereikbaar te zijn na uitfasering van de ZorgaanbiederGegevensdienst in de ZAL.
- Toegevoegd: Eis van betekenisloosheid van tokens in het MedMij-netwerk.
- Toegevoegd: Hanteren two-way TLS-handshake voor back-channelverkeer.
- Toegevoegd: Verantwoordelijkheid voor beheerorganisatie om geen verlopen entries in ZAL te publiceren.
- Toegevoegd: Hostname mag voorkomen als CN of als SAN.
XML-schema's
- Aangepast: Modellering van het complexType MedMijNode in lijn gebracht met het metamodel.
- Toegevoegd: Gegevensdienstnamenlijst (XSD en XML-voorbeeldbestand).
- Toegevoegd: Eisen aan de XML-lijsten.
Normenkader informatiebeveiliging
- Gewijzigd: bij alle normen een rationale toegevoegd en de weging voor de auditor verwijderd.
- Gewijzigd: op basis van een hernieuwde risicoanalyse op het stelsel en een consultatie met auditors zijn normen verduidelijkt, toegevoegd of verwijderd.
Governance
Beleid
- Gewijzigd: positie beleid verduidelijkt op pagina Beleid.
- Gewijzigd: Zorgaanbiedersnamenbeleid aangescherpt.
- Gewijzigd: Toezicht- en handhavingsbeleid aangepast naar Nalevingsbeleid en nader uitgewerkt.
- Gewijzigd: Privacy- en informatiebeveiligingsbeleid aangescherpt.
- Gewijzigd: Toetredingsbeleid uitgebreid.
- Gewijzigd: Klachten- en geschillenbeleid nader uitwerkt.
- Toegevoegd: OAuthclient-namenbeleid toegevoegd.
- Toegevoegd: Samenwerkings- en escalatiebeleid.
- Toegevoegd: Gegevensdienstenbeleid.
- Toegevoegd: Kwalificatie- en acceptatiebeleid.
Operationele processen
- Gewijzigd: Operationele processen uitgebreid en nader uitwerkt.
Communicatie
- Gewijzigd: Uitgangspunten Merkgebruik nader uitgewerkt.
- Gewijzigd: Toestemmingsverklaring verbeterd en in lijn gebracht met de architectuur.
- Gewijzigd: Gebruikersvoorlichting losgekoppeld van afsprakenset en verwijzing opgenomen.
- Toegevoegd: Bevestigingsverklaring voor gebruik in UC Delen.
Managementinformatie
- Toegevoegd: Beschrijving van de managementinformatie die periodiek door de deelnemer moet worden aangeleverd.