(v3.0.0) A. 9.4.1 Beperking toegang tot informatie
- Martin Wilmink
Norm
Rationale | Deze maatregel borgt dat authenticatie van personen en autorisatie tot hun persoonlijke gegevens betrouwbaar plaatsvindt. |
---|---|
Implementatie | Authenticatie van personen (eindgebruikers) MOET plaatsvinden op basis van minimaal twee factoren. Na succesvolle authenticatie krijgen personen alleen toegang tot hun eigen persoonlijke gezondheidsgegevens of de gegevens van de vertegenwoordigde. Scope: Dit geldt voor het gehele MedMij PGO en voor alle gebruikers die hier toegang toe krijgen. Dit is onafhankelijk of deze gebruikers MedMij uitwisselingen gebruiken of niet. Naast zwakkere tweede factoren als e-mail en SMS MOET een deelnemer ook één of meerdere sterkere tweede factoren aanbieden. De Persoon bepaalt zelf welke tweede factor wordt gebruikt. In deze versie van het Afsprakenstelsel worden e-mail en SMS als tweede factor nog geaccepteerd. Het voornemen is deze methode te schrappen. Dit kan, op het moment dat grotere beveiligingsrisico's optreden, via een snel door te voeren patch van het Afsprakenstelsel. |
NEN 7510:2017 | A.9.4.1 Beperking toegang tot informatie |
NEN 7510:2011 | A.11.5.2 Gebruikersindentificatie en -authenticatie |
Beoordeling
Auditmethode |
Ten aanzien van de in het eerste punt bedoelde twee factoren gelden de volgende twee richtlijnen. Ten eerste moeten de factoren uit verschillende van de volgende categorieën gebruikt worden.
Twee factoren Bijvoorbeeld, wanneer er tijdens het inloggen zowel een TouchID als een FaceID gebruikt wordt, dan is er geen sprake van two-factor, omdat het beide inherente authenticatiefactoren zijn. Ten tweede moet het gebruik van beide factoren tijdens het inloggen achter elkaar plaatsvinden en in het inlog-proces onlosmakelijk aan elkaar verbonden zijn. Twee factoren Bijvoorbeeld, wanneer FaceID gebruikt wordt om met de iCloud password manager een wachtwoord in te voeren is er geen sprake van twee-factorauthenticatie, omdat het wachtwoord ook handmatig ingevoerd kan worden. Deze tabel toont voorbeelden van veelgebruikte authenticatiefactoren.
| ||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Verificatie | Welke documenten (incl. versienummers) zijn ingezien. |
Eindgebruikers moeten worden beschermd. De eindgebruiker van een PGO moet er vanuit kunnen gaan dat gegevens op een goede manier toegankelijk worden gemaakt. Eindgebruikers moeten kunnen vertrouwen dat hun medische informatie veilig wordt opgeslagen.
Rollen
DVP | |
---|---|
DVA | |
BO |
DVP = Dienstverlener persoon, DVA = Dienstverlener aanbieder, BO = Beheerorganisatie