(MedMij Afsprakenstelsel 2.2.4B) Changelog release 1.1.1
De belangrijkste wijzigingen in deze release zijn:
Architectuur en technische specificaties
- Opgenomen op de Netwerk-pagina dat de Whitelist-controle, onder bepaalde condities, ook na afronding van de TLS-handshake mag worden uitgevoerd.
- Pagina met toelichtingen afsprakenset release 1.1 verwerkt in hoofdtekst (MedMij Afsprakenstelsel 2.2.4B) Architectuur en technische specificaties:
- Applicatierollen en hun getalsverhoudingen;
- Bedoeling van de beschikbaarheids- en de ontvankelijkheidstoets.
- Eisen van DigiD inzake uitloggen.
- G2- en G3-certificaten van PKIoverheid.
- Toelichting op betekenis start- en einddatum van een Gegevensdienst toegevoegd ((MedMij Afsprakenstelsel 2.2.4B) Metamodel).
- Verschillende kleine aanpassingen doorgevoerd in het (MedMij Afsprakenstelsel 2.2.4B) Metamodel:
- Samenstelling van de gegevensdienstnaam nader gedefinieerd.
- Attribuut 'Vervangt' toegevoegd aan klasse Gegevensdienst.
- Beschikbaarheid- en ontvankelijkheidstoets opnieuw geformuleerd als beschikbaarheids- en ontvankelijkheidsvoorwaarde. Moment van van kracht worden gerelativeerd: tussen een vroegste en laatste moment.
- Nieuwe element (OAuth scope) mogelijk gemaakt als inhoud van access token. Custom HTTP header
medmijscope:
verwijderd.
Structuurwijzigingen catalogus n.a.v. release 1.1.1
De Catalogus is geen onderdeel van de afsprakenset en kent haar eigen releasecyclus. Bovenstaande wijzigingen hebben echter wel op de volgende manier impact op de structuur van de Catalogus:
- Patchnummers verwijderd uit Gegevensdienstnaam en Systeemrolcodes.
- Kolom 'Vervangt' toegevoegd om opvolging van gegevensdiensten te kunnen aangeven.
De wijzigingen zijn ondertussen doorgevoerd.
Normenkader informatiebeveiliging
Op basis van terugkoppeling uit eerste lopende audittrajecten is verduidelijking aangebracht in het normenkader:
- Eis aan het certificaat over de scope is geschrapt. De beoordeling van de MedMij scope wordt duidelijk uit de beoordeling van het normenkader.
- Toegevoegd dat verwacht wordt dat dezelfde eisen gesteld worden aan de uitvoerend auditor door de CBI als voor de afgifte van het NEN 7510 certificaat.
- In Beoordelingskader verduidelijking aangebracht in de auditmethode op diverse normen. Op basis hiervan zijn tevens enkele normen tekstueel verduidelijkt.
- Norm A.12.3.1 Back-up van informatie: toegevoegd dat deze ook voor de Dienstverleners zorgaanbieder geldt.
- Norm A.9.4.1 Beperking toegang tot informatie: aangegeven dat deze alleen voor de Dienstverlener persoon geldt.
- Rapportageformat auditverklaring: versie afsprakenstelsel aangepast.
Beleid
- Gegevensdienstenbeleid: tekst onder kopje 'Mutaties van gegevensdiensten' aangepast.
- OAuthclient-namenbeleid: eis "dat de naam in het verleden niet door een andere Dienstverlener persoon gebruikt mag zijn" verwijderd.
- Verwijzing naar uitvoeringsorganisatie consequent vervangen naar Stichting MedMij. Onderscheid is voor het afsprakenstelsel niet relevant.
Communicatie
- Toestemmings- en bevestigingsscherm: verduidelijkt dat de HTML- en CSS-bestanden enkel de tekst en vormgeving beschrijven. De Dienstverlener zorgaanbieder blijft verantwoordelijk voor alle overige aspecten, zoals beveiliging van de webpagina.