(MedMij Afsprakenstelsel 2.0.3) Normenkader informatiebeveiliging
Alle deelnemers dienen in het bezit te zijn van een geldige NEN 7510-certificering, ongeacht hun grootte en of ze dienstverlener in het persoonsdomein of aanbiedersdomein zijn. Ook de beheerorganisatie zal voor de uitvoering van haar diensten binnen het MedMij netwerk gebonden zijn aan de NEN 7510 norm. Gebruik van NEN 7510:2011 voor certificatiedoeleinden onder accreditatie blijft mogelijk tot medio 2020, te weten 2 jaar na publicatie van het certificatieschema NCS 7510:2018. Dit nieuwe certificatieschema behorend bij NEN 7510-1:2017 is begin juni 2018 gepubliceerd. MedMij stelt de volgende eisen aan een NEN 7510-certificering voor deelnemers:
De Dienstverlener aanbieder moet de aanbieders als belangrijke belanghebbenden hebben geïdentificeerd in het uitvoeren/herijken van de risicoanalyse (zie ook hetgeen over de de rollen en verantwoordelijkheden ten opzichte van de verwerking van persoonsgegevens is opgenomen in de (MedMij Afsprakenstelsel 2.0.3) Juridische context);
- Bij de selectie van de van toepassing zijnde maatregelen dienen ten minste de maatregelen uit het normenkader informatiebeveiliging te zijn opgenomen;
- Indien de maatregel een implementatie voorschrijft, dient de maatregel op deze wijze te worden geïmplementeerd. De deelnemer heeft dit middels een self assessment gecontroleerd en onderbouwd. Hiervoor kan het format voor de onderbouwende rapportage als hulpmiddel dienen.
De deelnemer toont jaarlijks met een (MedMij Afsprakenstelsel 2.0.3) Aanvullende auditverklaring en onderbouwende rapportage (download) aan te voldoen aan het normenkader MedMij. Voor de onderbouwende rapportage bij de auditverklaring wordt door MedMij een format beschikbaar gesteld. Blijkt uit de aanvullende auditverklaring dat de deelnemer niet (meer) voldoet, dan beoordeelt de Stichting MedMij op basis van de onderbouwende rapportage of en op welke manier het (MedMij Afsprakenstelsel 2.0.3) Nalevingsbeleid moet worden toegepast.Â
De NEN 7510-certificering en de aanvullende auditverklaring met rapportage dienen te worden afgegeven door een Conformiteit Beoordelende Instelling (CBI), die NEN 7510 geaccrediteerd is door de Raad voor Accreditatie of een NEN 7510 licentieovereenkomst heeft met NEN. Aan de uitvoerend auditor die de verklaring afgeeft worden daarmee dus dezelfde eisen gesteld door de CBI als voor de afgifte van het NEN 7510 certificaat. Tevens dient het NEN 7510 certificaat te zijn opgenomen in het door NEN beheerde nationale certificatenregister NEN 7510. Voor het NEN 7510 certificaat gelden de door NEN aangehouden termijnen voor hercertificering. Voor vragen van CBI's over het normenkader kan contact worden opgenomen via secmgt@medmij.nl.
Normenkader
Wijzigingen ten opzichte van release 1.2.0
Norm A.10.1: Encryptie is niet meer beperkt tot disk en/of database encryptie maar er wordt nu verwezen naar de aanbevelingen in https://www.keylength.com/ en geldt voor alle persoonlijke gezondheidsgegevens.