Norm

Rationale	Deze maatregel borgt dat het Afsprakenstelsel wordt toegepast in beleid en maatregelen bij de deelnemers.
Implementatie	De beleidsdocumenten MOETEN de beleidsmaatregelen die van toepassing zijn op MedMij (onder andere gespecificeerd in (v3.0.1) Privacy- en informatiebeveiligingsbeleid) specifiek benoemen.
NEN 7510-1:2017	A.5.1.1 Beleidsregels voor informatiebeveiliging
NEN 7510:2011	A.5.1.1 Beleidsdocument voor informatiebeveiliging

Beoordeling

Auditmethode	Stel vast dat in de beleidsdocumenten het privacy en informatiebeveiligingsbeleid van MedMij specifiek is opgenomen. Stel vast dat dit beleid is uitgewerkt in maatregelen. Stel minimaal door middel van interviews met de betrokken medewerkers vast of de maatregelen worden toegepast. Dit geldt ook voor eventuele onderaannemers.
Verificatie	Welke beleidsdocumenten (incl. versienummer) zijn onderzocht. Welke documenten zijn onderzocht die de maatregelen beschrijven. Met wie gesproken is ter bevestiging van toepassing van de maatregelen.

DVP = Dienstverlener persoon, DVA = Dienstverlener aanbieder, BO = Beheerorganisatie