Verwijzing naar ICT-beveiligingsrichtlijnen 2.1 van NCSC (Netwerk)

Op de pagina Netwerk bij 'TLS en certificaten' wordt vanaf deze release verwezen naar versie 2.1 van de ICT-beveiligingsrichtlijnen van NCSC. De regels rondom het gebruik van deze richtlijnen is uitgebreid. Deze wijzigingen beschrijven dat:

• alle deelnemers TLS 1.2 moeten ondersteunen.
• alle deelnemers TLS 1.3 moeten ondersteunen, indien redelijkerwijs mogelijk.
• bij de TLS-handshake de hoogste toegestane TLS-versie gekozen moet worden die beide partijen ondersteunen.

Knop 'annuleren' op landings- en annuleringspagina (Landingspagina & Annuleringspagina)

Validaties op de Token interface (Applicatie)

Regel 8e is toegevoegd aan de pagina Applicatie. Er wordt verwezen naar een controle van het gebruikte certificaat bij de aanroep van de Token Interface, zoals beschreven in IETF RFC 8705. In deze release van het afsprakenstelsel wordt deze validatie als optioneel beschouwd voor de DVZA's. De DVP's moeten informatie doorgeven betreffende de credentials van het te gebruiken certificaat.

Addendum aanbieder zonder behandelrelatie

Het MedMij afsprakenstelsel ondersteunt op het moment enkel uitwisseling tussen zorggebruikers en zorgaanbieders wanneer de zorggebruiker met de betreffende zorgaanbieder een behandelrelatie in de zin van de WGBO heeft (gehad). Er zijn echter ook relevante gezondheidsgegevens over de zorggebruiker beschikbaar in andere domeinen. Een voorbeeld hiervan is het publieke gezondheidsdomein (Wet publieke gezondheid), waar onder meer informatie bekend is over welke vaccinaties zijn gegeven in het kader van het rijksvaccinatieprogramma en Covid-19. Ook bij de uitvoering van de Wet langdurige zorg zijn er relevante gegevens bekend bij bijvoorbeeld het CIZ en bij zorgkantoren. Dit addendum maakt het mogelijk om ook deze gezondheidsgegevens te kunnen uitwisselen met het persoonsdomein door Aanbieders zonder behandelrelatie te ondersteunen en beschrijft de wijzigingen in verantwoordelijkheden en implementatie die een DVZA moet doorvoeren. Een aanbieder zonder behandelrelatie mag enkel op het MedMij netwerk diensten aanbieden na uitdrukkelijke toestemming van stichting MedMij.

Leesbaarheid afsprakenstelsel

De opmaak van veel pagina's is gewijzigd. De toelichtingen, die in zichtbare infoblokken stonden, zijn opnieuw doorgenomen. De inhoudt van deze blokken is:

• of als normale tekst in een hoofdstuk geplaatst,
• of als toelichting in een te openen box geplaatst, daar waar de toelichting naar verwees,
• of als extra regel toegevoegd aan de verantwoordelijkheden,
• of verwijderd, als de inhoud geen meerwaarde had.

Verwijzing naar RFC 8705 (Token interface)

In de beschrijving van de token interface wordt bij het attribuut 'client_id' verwezen naar de geldende versie van IETF RFC 8705, met betrekking tot Mutual TLS Client Authentication. Tevens is de tekst aangepast, zodat direct duidelijk is dat het gebruik van client_id verplicht is.

Beschrijving certificaatwissel verwijderd

De teksten betreffende de wissel van PKIoverheid certificaten is verwijderd. In release 1.3.0 is benoemd hoe om te gaan met G3 certificaten. Omdat de certificatenwissel volledig is doorgevoerd, kon dit informatieblok volledig worden verwijderd.

Beschrijving attribuut state aangepast (Authorization interface)

De beschrijving van het attribuut state van de Authorization Interface is versimpeld. Er wordt alleen nog verwezen naar sectie 4.1.1. van RFC 6749. Voorheen werd ook aangegeven dat de waarde geen URI mag bevatten. Omdat de waarde volgens RFC 6749 'OPAQUE' moet zijn, was de tweede regel overbodig.

Correcties bij de changelog geplaatsts

De pagina voor correcties op de release van het afsprakenstelsel is verplaatst naar de Changelog, onder de pagina voor diezelfde release. Hiermee is er een duidelijke koppeling tussen Changelog van een release en de bij die release behorende correcties.

Nieuwe tekst 'Achtergrond' (Achtergrond)

De pagina 'Achtergrond' is voorzien van een nieuwe tekst, die beter aansluit bij de huidige situatie van het afsprakenstelsel.