Document toolboxDocument toolbox

(MedMij Afsprakenstelsel 2.2.1) Changelog release 1.4.0

Hieronder volgt een overzicht van de grootste wijzigingen in het Afsprakenstelsel ten opzichte van release 1.2.0 en een grove schatting van de impact die de wijziging heeft op de deelnemers.

Verplichte wijzigingenImpact DVPImpact DVZA

Verwijzing naar ICT-beveiligingsrichtlijnen 2.1 van NCSC (Netwerk)

Op de pagina Netwerk bij 'TLS en certificaten' wordt vanaf deze release verwezen naar versie 2.1 van de ICT-beveiligingsrichtlijnen van NCSC. De regels rondom het gebruik van deze richtlijnen is uitgebreid. Deze wijzigingen beschrijven dat:

  • alle deelnemers TLS 1.2 moeten ondersteunen.
  • alle deelnemers TLS 1.3 moeten ondersteunen, indien redelijkerwijs mogelijk.
  • bij de TLS-handshake de hoogste toegestane TLS-versie gekozen moet worden die beide partijen ondersteunen.
MiddenMidden

Knop 'annuleren' op landings- en annuleringspagina (Landingspagina & Annuleringspagina)

Op zowel de landingspagina als de annuleringspagina, die de DVZA toont namens de zorgaanbieder, is een knop "annuleren" toegevoegd, waarmee de gebruiker kan terugkeren naar de PGO zonder geauthentiseerd te zijn. Dit resulteert in uitzonderingssituatie 2 op het Authorization Interface.
KleinKlein

Aanscherping Uitzonderingen OAuth ((MedMij Afsprakenstelsel 2.2.1) Resource interface & (MedMij Afsprakenstelsel 2.2.1) Subscription interface)

In de specificaties van de Resource en Subscription Interface is de juiste toepassing van de OAuth standaard in uitzonderingssituaties beschreven. Deze moeten worden toegepast.

MiddenMidden
Optionele wijzigingenImpact DVPImpact DVZA

Validaties op de Token interface (Applicatie)

Regel 8e is toegevoegd aan de pagina Applicatie. Er wordt verwezen naar een controle van het gebruikte certificaat bij de aanroep van de Token Interface, zoals beschreven in IETF RFC 8705. In deze release van het afsprakenstelsel wordt deze validatie als optioneel beschouwd voor de DVZA's. De DVP's moeten informatie doorgeven betreffende de credentials van het te gebruiken certificaat.

KleinMidden

(MedMij Afsprakenstelsel 2.2.1) Addendum aanbieder zonder behandelrelatie

Het MedMij afsprakenstelsel ondersteunt op het moment enkel uitwisseling tussen zorggebruikers en zorgaanbieders wanneer de zorggebruiker met de betreffende zorgaanbieder een behandelrelatie in de zin van de WGBO heeft (gehad). Er zijn echter ook relevante gezondheidsgegevens over de zorggebruiker beschikbaar in andere domeinen. Een voorbeeld hiervan is het publieke gezondheidsdomein (Wet publieke gezondheid), waar onder meer informatie bekend is over welke vaccinaties zijn gegeven in het kader van het rijksvaccinatieprogramma en Covid-19. Ook bij de uitvoering van de Wet langdurige zorg zijn er relevante gegevens bekend bij bijvoorbeeld het CIZ en bij zorgkantoren. Dit addendum maakt het mogelijk om ook deze gezondheidsgegevens te kunnen uitwisselen met het persoonsdomein door Aanbieders zonder behandelrelatie te ondersteunen en beschrijft de wijzigingen in verantwoordelijkheden en implementatie die een DVZA moet doorvoeren. Een aanbieder zonder behandelrelatie mag enkel op het MedMij netwerk diensten aanbieden na uitdrukkelijke toestemming van stichting MedMij.

GeenMidden
Overige wijzigingenImpact DVPImpact DVZA

Leesbaarheid afsprakenstelsel

De opmaak van veel pagina's is gewijzigd. De toelichtingen, die in zichtbare infoblokken stonden, zijn opnieuw doorgenomen. De inhoudt van deze blokken is:

  • of als normale tekst in een hoofdstuk geplaatst,
  • of als toelichting in een te openen box geplaatst, daar waar de toelichting naar verwees,
  • of als extra regel toegevoegd aan de verantwoordelijkheden,
  • of verwijderd, als de inhoud geen meerwaarde had.
GeenGeen

Verwijzing naar RFC 8705 ((MedMij Afsprakenstelsel 2.2.1) Token interface)

In de beschrijving van de token interface wordt bij het attribuut 'client_id' verwezen naar de geldende versie van IETF RFC 8705, met betrekking tot Mutual TLS Client Authentication. Tevens is de tekst aangepast, zodat direct duidelijk is dat het gebruik van client_id verplicht is.

GeenGeen

Beschrijving certificaatwissel verwijderd

De teksten betreffende de wissel van PKIoverheid certificaten is verwijderd. In release 1.3.0 is benoemd hoe om te gaan met G3 certificaten. Omdat de certificatenwissel volledig is doorgevoerd, kon dit informatieblok volledig worden verwijderd.

GeenGeen

Beschrijving attribuut state aangepast ((MedMij Afsprakenstelsel 2.2.1) Authorization interface)

De beschrijving van het attribuut state van de Authorization Interface is versimpeld. Er wordt alleen nog verwezen naar sectie 4.1.1. van RFC 6749. Voorheen werd ook aangegeven dat de waarde geen URI mag bevatten. Omdat de waarde volgens RFC 6749 'OPAQUE' moet zijn, was de tweede regel overbodig.

GeenGeen

Correcties bij de changelog geplaatsts

De pagina voor correcties op de release van het afsprakenstelsel is verplaatst naar de Changelog, onder de pagina voor diezelfde release. Hiermee is er een duidelijke koppeling tussen Changelog van een release en de bij die release behorende correcties.

GeenGeen

Nieuwe tekst 'Achtergrond' ((MedMij Afsprakenstelsel 2.2.1) Achtergrond)

De pagina 'Achtergrond' is voorzien van een nieuwe tekst, die beter aansluit bij de huidige situatie van het afsprakenstelsel.

Geengeen