Document toolboxDocument toolbox

(MedMij Afsprakenstelsel 2.0.3) Changelog release 1.1 versie 0.8

De belangrijkste wijzigingen in deze versie zijn:

Grondslagen

  • Aangepast: Doelstelling 7 verfijnd.
  • Toegevoegd: Principes "Uitwisseling is een keuze", "Het MedMij-netwerk is gebruiksrechten-neutraal" en "De burger regisseert zijn eigen gezondheidsinformatie als uitgever".
  • Toegevoegd: Deelnemers behandelen elkaar onderling gelijk (bij principes).
  • Toegevoegd: Vrij verkeer over het MedMij-netwerk (deelnemers brengen elkaar geen kosten in rekening) (bij principes).

Juridisch kader

  • Toegevoegd: Wet gelijke behandeling op grond van handicap en chronische ziekte (wgbh/cz) toegevoegd als belangrijk kader voor leveranciers om toegankelijke toepassingen te realiseren.
  • Toegevoegd: Verdere verduidelijking zienswijze van MedMij op de verwerkingsverantwoordelijkheden in het stelsel als toelichting op de AVG, evenals een aparte pagina bij het juridisch kader.
  • Toegevoegd: Aanvullingen op de toelichting inzake de AVG en WGBO bezien vanuit de nieuwe UC Delen.

 Overeenkomsten en rechtsrelaties

  • Gewijzigd: Bètaovereenkomsten gelden niet meer, er zijn Deelnemersovereenkomsten voor productiesituatie teruggekomen. 
  • Toegevoegd: In de Deelnemersovereenkomsten: een bepaling over de operationele processen en samenwerkingsafspraken en een bepaling over het niet rekenen van onderlinge vergoedingen voor gegevensuitwisseling.
  • Toegevoegd: Zelfverklaring integriteit.
  • Toegevoegd: In de Modelverwerkersovereenkomst is rekening gehouden met de verwerkingsverantwoordelijkheden die voortkomen uit UC Delen.

Architectuur en technische specificaties

Correctie

  • Aangepast: De positie van 'controleer beschikbaarheid' in de UC en UCI Verzamelen in lijn gebracht met de tekst.

Doorontwikkeling

  • Aangepast: Catalogus losgekoppeld van afsprakenset en verwijzing opgenomen.
  • Aangepast: De stelselnode wordt niet opgenomen op de whitelist.
  • Aangepast: Altijd 'goede' (volgens NCSC) TLS-versies en -algoritmen voor front-channelverkeer vereist.
  • Aangepast: Verwijzing naar NEN7513:2018 (specifieke versie) ingevoegd, en verantwoordelijkheid over logging aangepast zodat de positie van NEN7513 duidelijker is
  • Toegevoegd: Gegevensdienstnamenlijst (use case, use case-implementatie, relatie met overige use cases).
  • Toegevoegd: Service levels van MedMij Registratie, de Authorization Server en de Resource Server.
  • Toegevoegd: Verantwoordelijkheid om gebruik te maken van DNSSEC.
  • Toegevoegd: Verantwoordelijkheid om voldoende onvoorspelbaarheid van UUID's te waarborgen.
  • Toegevoegd: Verantwoordelijkheid dat als OCSP-responder onbereikbaar is, TLS-sessie niet tot stand komt.
  • Toegevoegd: Use case en use case-implementatie Delen.
  • Toegevoegd: De 'scheme' bij adressering moet altijd uit kleine letters bestaan.
  • Toegevoegd: Verantwoordelijkheid voor beheerorganisatie om historie van lijsten te bewaren.
  • Toegevoegd: Aantekenen Bron en Gegevensdienst door Uitgever bij verzamelde gegevens.
  • Toegevoegd: Eisen aan de syntax van de hostname.
  • Toegevoegd: Uitzonderingssituatie: na authenticatie constateert dienstverlener zorgaanbieder dat persoon jonger is dan 16 jaar.
  • Toegevoegd: Verantwoordelijkheid voor deelnemers om elkaar onderling gelijk te behandelen.

Verduidelijking

  • Aangepast: Beschrijving van de wijze waarop de whitelistcontrole plaats moet vinden bij inkomend en uitgaand verkeer.
  • Aangepast: Netwerk-laag is opnieuw beschreven. Relatie tussen Netwerk en Applicatie-laag is opnieuw vormgegeven.
  • Aangepast: De te nemen beveiligingsmaatregelen uit RFC6819 zijn toegankelijk en specifiek vermeld.
  • Aangepast: Rol PGO User Agent is gesplitst in PGO User Agent en PGO Presenter.
  • Toegevoegd: Verantwoordelijkheid om nog korte tijd bereikbaar te zijn na uitfasering van de ZorgaanbiederGegevensdienst in de ZAL.
  • Toegevoegd: Eis van betekenisloosheid van tokens in het MedMij-netwerk.
  • Toegevoegd: Hanteren two-way TLS-handshake voor back-channelverkeer.
  • Toegevoegd: Verantwoordelijkheid voor beheerorganisatie om geen verlopen entries in ZAL te publiceren.
  • Toegevoegd: Hostname mag voorkomen als CN of als SAN.

XML-schema's

  • Aangepast: Modellering van het complexType MedMijNode in lijn gebracht met het metamodel.
  • Toegevoegd: Gegevensdienstnamenlijst (XSD en XML-voorbeeldbestand).
  • Toegevoegd: Eisen aan de XML-lijsten.

Normenkader informatiebeveiliging

  • Gewijzigd: bij alle normen een rationale toegevoegd en de weging voor de auditor verwijderd.
  • Gewijzigd: op basis van een hernieuwde risicoanalyse op het stelsel en een consultatie met auditors zijn normen verduidelijkt, toegevoegd of verwijderd.

Governance

Beleid

  • Gewijzigd: positie beleid verduidelijkt op pagina Beleid.
  • Gewijzigd: Zorgaanbiedersnamenbeleid aangescherpt.
  • Gewijzigd: Toezicht- en handhavingsbeleid aangepast naar Nalevingsbeleid en nader uitgewerkt.
  • Gewijzigd: Privacy- en informatiebeveiligingsbeleid aangescherpt.
  • Gewijzigd: Toetredingsbeleid uitgebreid.
  • Gewijzigd: Klachten- en geschillenbeleid nader uitwerkt.
  • Toegevoegd: OAuthclient-namenbeleid toegevoegd.
  • Toegevoegd: Samenwerkings- en escalatiebeleid.
  • Toegevoegd: Gegevensdienstenbeleid.
  • Toegevoegd: Kwalificatie- en acceptatiebeleid.

Operationele processen

  • Gewijzigd: Operationele processen uitgebreid en nader uitwerkt.

Communicatie

  • Gewijzigd: Uitgangspunten Merkgebruik nader uitgewerkt.
  • Gewijzigd: Toestemmingsverklaring verbeterd en in lijn gebracht met de architectuur.
  • Gewijzigd: Gebruikersvoorlichting losgekoppeld van afsprakenset en verwijzing opgenomen.
  • Toegevoegd: Bevestigingsverklaring voor gebruik in UC Delen.

Managementinformatie

  • Toegevoegd: Beschrijving van de managementinformatie die periodiek door de deelnemer moet worden aangeleverd.