(MedMij Afsprakenstelsel 2.1.0A) Changelog release 1.1 versie 0.9
Afsprakenset versus afsprakenstelsel
Met ingang van deze versie is een duidelijker onderscheid gemaakt tussen de verschillende onderdelen van het afsprakenstelsel. Het totaaloverzicht is te vinden bij de (MedMij Afsprakenstelsel 2.1.0A) Introductie op het afsprakenstelsel. Deze changelog behandelt enkel de wijzigingen in de afsprakenset. Wijzigingen in de overige onderdelen van het stelsel, zoals de deelnemersovereenkomsten en de catalogus, vinden niet releasematig plaats en zijn daarmee geen onderdeel meer van de changelog.
De belangrijkste wijzigingen in deze versie zijn:
Grondslagen
- Definitie van Zorgaanbieder aangescherpt.
- Principe toegevoegd: "Aan de persoonlijke gezondheidsomgeving zelf worden eisen gesteld." (ter vervanging van Principe 8)
- Principe toegevoegd: "Afspraken worden aantoonbaar nageleefd en gehandhaafd."
- Principe toegevoegd: "Het afsprakenstelsel snijdt het gebruik van normen en standaarden op eigen maat."
Juridische context
- De juridische context bestaat nu uit diverse toelichting op de juridische context van handelen door deelnemers aan het MedMij Afsprakenstelsel. Op de beginpagina is beschreven waar die toelichting, en daarmee met name advisering en ondersteuning aan deelnemers, uit bestaat.
- Er is een pagina toegevoegd met verantwoordelijkheden en normen vanuit de AVG. Deelnemers hierin ondersteund met informatie over verplichtingen die zij zelfstandig dienen te implementeren conform deze wetgeving en waarvan MedMij het belangrijk vindt dat deelnemers deze kennen. Dit was tevens een aanbeveling in de uitgevoerde PIA.
- In het juridisch kader zijn beschrijvingen van wet- en regelgeving geüpdatet. Tevens zijn bevindingen uit de PIA verwerkt, met name tekstueel.
Deelnemersovereenkomsten
- De onderwerpen waar de overeenkomst op toeziet zijn geüpdatet naar aanleiding van de laatste wijzigingen in deze release.
- Artikelen onder 5 met betrekking tot doel van de gegevensverwerking zijn aangepast naar de scope van het MedMij Afsprakenstelsel.
- De overeenkomst is meer wederkerig gemaakt tussen deelnemers en de stichting.
- Enkele definities zijn aangescherpt.
- Verwerking van aanbevelingen vanuit een uitgevoerde PIA, met name tekstueel.
Model verwerkersovereenkomst
- Eis verscherpt dat verwerking van data in de EU en conform EU wetgeving moet plaatsvinden door verwerkers in artikel 3.10 en 6.2.
Architectuur en technische specificaties
Laagoverstijgend
- Verduidelijkt dat een hostname altijd een fully qualified domain name is en dat wildcards niet zijn toegestaan op de whitelist.
Applicatie
- Verplicht gebruik GET-methode bij authorization request toegevoegd.
- Gebruik UUID vervangen door generieke eisen aan de tokens. (UUID mag niet meer gebruikt worden als enkel ID van het token.)
- Verplicht gebruik Authorization Request Header Field toegevoegd.
- Maximale duur gebruik lijsten voorgeschreven in situatie dat MedMij Registratie onbereikbaar is.
- Technische adressering MedMij Registratie toegevoegd.
- Toelichting op relatie tussen Authorization Server en Resource Server verduidelijkt.
- Verantwoordelijkheid voor afwezigheid van BSN's in de content van gegevensdiensten verwijderd.
- AuthorizationEndpoint hoeft niet meer aan één Zorgaanbieder gekoppeld te zijn. Zorgaanbiedernaam en Gegevensdienst moeten worden meegegeven in de scope-parameter van het OAuth-request.
- ResourceEndpoint hoeft niet meer aan één zorgaanbieder gekoppeld te zijn. De Zorgaanbiedernaam en Gegevensdienst moeten worden meegegeven in een custom-HTTP-header.
Netwerk
- ZA Node gekoppeld aan één deelnemer.
Informatiemodellen
- Informatiemodellen opnieuw geordend.
- Scheiding aangebracht tussen conceptueel model en logische modellen. Logische modellen geïntroduceerd.
- Relatie tussen conceptueel model en logische modellen enerzijds en XML-schema's anderzijds aangescherpt (resulterend in enkele wijzigingen in de schema's en de toelichting erop).
- Diverse modelmatige verbeteringen, waarvan de belangrijkste zijn:
- Stringtypes vervangen door basisklassen.
- Transactie vervangen door Systeemrol als primaire component van Transactieverzameling.
- Gegevensdienst gekoppeld aan één use case.
- Informatiestandaard toegevoegd.
- Geldigheidsperiode aan Gegevensdienst toegevoegd.
- Identificerende naam van gebruiksvriendelijke naam voor Gegevensdienst onderscheiden.
- Afhankelijkheid tussen Gegevensdiensten mogelijk gemaakt.
Normenkader informatiebeveiliging
- Op basis van een consultatie met auditors op versie 0.8 zijn enkele normen verder verduidelijkt of voorzien van een link naar ondersteunende documentatie.
- De toelichting is verplaatst naar het privacy- en informatiebeveiligingsbeleid.
Beleid
- Dienstverleningsoverdrachtsbeleid toegevoegd.
- Beschrijving van de mogelijke mutaties van gegevensdiensten toegevoegd in het Gegevensdienstenbeleid.
- Informatieclassificatiebeleid toegevoegd.
- Performancebeleid toegevoegd.
- Beschrijving van de jaarlijkse stelselbrede risico-analyse onder privacy- en informatiebeveiligingsbeleid toegevoegd.
- Change en releasebeleid aangescherpt.
- Gegevensdienstenbeleid aangescherpt.
- Kwalificatie- en acceptatiebeleid vervangen door testbeleid.
- In OAuthclient-namenbeleid opgenomen dat OAuthclient-naam gelijk moet zijn aan een handelsnaam van de Dienstverlener persoon in het handelsregister.
- Aan het privacy- en informatiebeveiligingsbeleid is een pagina toegevoegd met achtergrond over de risicoanalyse die mede bepalend is voor diverse maatregelen op het gebied van informatiebeveiliging in het MedMij Afsprakenstelsel, zoals in de architectuur en technische specificaties of het aanvullend normenkader.
Operationele processen
- Proces erkenning als aanbieder van gegevensdienst toegevoegd.
- Proces beheren technische kwetsbaarheden toegevoegd.
Communicatie
- Paragraaf 'Uitingsvormen van het merk' gewijzigd.
Managementinformatie
- Afspraak over aanleveren managementinformatie over performance resource server door Dienstverlener zorgaanbieder verwijderd.