Aangezien gezondheidsgegevens van personen erg privacygevoelige gegevens zijn, zijn privacy en informatiebeveiliging belangrijke thema's binnen Stichting MedMij. De privacy en informatieveiligheid is, in aanvulling op de wet- en regelgeving die per definitie van toepassing is op de deelnemer, op drie manieren geborgd in het stelsel:

• Door de gegevensuitwisseling tussen deelnemers in hoge mate van detail te beschrijven en belangrijke maatregelen op het gebied van privacy en informatiebeveiliging hierin op te nemen (zie de Architectuur en technische specificaties);
• Door strenge eisen te stellen aan de privacy en informatiebeveiliging van deelnemers in het eigen domein (zie het Normenkader informatiebeveiliging);
• Door onder verantwoordelijkheid van Stichting MedMij aanvullende procedures in te richten, zoals de toetsing van deelnemers op het nakomen van de (privacy- en informatiebeveiligings)afspraken bij toetreding en gedurende deelname (zie onder andere Toetredingsbeleid en Nalevingsbeleid).

Stichting MedMij voert de regie over het in kaart brengen van privacy- en informatiebeveiligingsrisico's die individuele deelnemers overstijgen (stelselrisico's) en doet voorstellen voor maatregelen. Hiervoor voeren we jaarlijks een Risicoanalyse uit. Ook wordt, als de aard, omvang of context van de gegevensuitwisselingen binnen het MedMij-netwerk of direct daaraan gerelateerde verwerkingen significant verandert, opnieuw een Privacy Impact Assessment (PIA) uitgevoerd. Op basis van deze risicoanalyse en/of PIA worden maatregelen heroverwogen en eventueel aanvullende privacy- en informatiebeveiligingsmaatregelen gedefinieerd. Dit kan resulteren in bijstelling van het Normenkader informatiebeveiliging en de Architectuur en technische specificaties. We laten (nieuwe) afspraken zoveel mogelijk aansluiten bij eisen van andere stelsels en hergebruiken bestaande certificeringen om de implementatie-, financiële en administratieve lasten voor deelnemers zoveel mogelijk te beperken.

Samen met de deelnemers zorgt Stichting MedMij ook op andere manier voor de privacy en informatiebeveiliging van het stelsel. Stichting MedMij en elke afzonderlijke deelnemer wijzen een verantwoordelijke aan voor privacy en informatiebeveiliging (zie Normenkader informatiebeveiliging). Tussen deze verantwoordelijken is minimaal vier keer per jaar overleg. Hieromheen is een incidenten- en calamiteitenprocedure en een proces beheren technische kwetsbaarheden ingericht, zodat duidelijk is wat er van de verschillende partijen wordt verwacht in noodsituaties (zie Operationele processen). Deelnemers zijn verantwoordelijk voor het doorgeven van de juiste contactpersoon en informeren Stichting MedMij bij wijzigingen.

Ten slotte zorgt Stichting MedMij verder voor afstemming over privacy en veiligheid met bestaande partijen en ontwikkelingen in de zorg, en volgen we de belangrijkste internationale ontwikkelingen.