Aangezien gezondheidsgegevens van personen erg privacygevoelige gegevens zijn, zijn privacy en informatiebeveiliging belangrijke thema's binnen MedMij. De privacy en informatieveiligheid is, in aanvulling op de wet- en regelgeving die per definitie van toepassing is op de deelnemer, op drie manieren geborgd in het stelsel:

• Door de gegevensuitwisseling tussen deelnemers in hoge mate van detail te beschrijven en belangrijke maatregelen op het gebied van privacy en informatiebeveiliging hierin op te nemen (zie de Architectuur en technische specificaties);
• Door strenge eisen te stellen aan de privacy en informatiebeveiliging van deelnemers in het eigen domein (zie het Normenkader informatiebeveiliging);
• Door onder verantwoordelijkheid van Stichting MedMij aanvullende procedures in te richten, zoals de toetsing van deelnemers op het nakomen van de (privacy- en informatiebeveiligings)afspraken bij toetreding en gedurende deelname (zie onder andere Toetredingsbeleid en Nalevingsbeleid).

Stichting MedMij voert de regie over het in kaart brengen van privacy- en informatiebeveiligingsrisico's die individuele deelnemers overstijgen (stelselrisico's) en doet voorstellen voor maatregelen. Hiervoor vindt jaarlijks een Risicoanalyse plaats. Ook wordt, indien de aard, omvang of context van de gegevensuitwisselingen over het MedMij-netwerk of direct daaraan gerelateerde verwerkingen significant verandert, opnieuw een Privacy Impact Assessment (PIA) uitgevoerd. Op basis van deze risicoanalyse en/of PIA worden maatregelen heroverwogen en eventueel aanvullende privacy- en informatiebeveiligingsmaatregelen gedefinieerd. Dit kan resulteren in bijstelling van het Normenkader informatiebeveiliging en de Architectuur en technische specificaties. Er wordt getracht (nieuwe) afspraken zoveel mogelijk aan te laten sluiten bij eisen van andere stelsels en hergebruik van bestaande certificeringen mogelijk te maken om de implementatie-, financiële en administratieve lasten voor deelnemers zoveel mogelijk beperkt te houden.

Samen met de deelnemers wordt ook op andere wijze toegezien op de privacy en informatiebeveiliging van het stelsel. Stichting MedMij en elke afzonderlijke deelnemer wijzen ieder een verantwoordelijke voor privacy en informatiebeveiliging aan (zie Normenkader informatiebeveiliging en tussen deze verantwoordelijken is minimaal vier keer per jaar overleg. Hieromheen is een incidenten- en calamiteitenprocedure en een proces beheren technische kwetsbaarheden ingericht, zodat duidelijk is wat er van de verschillende partijen wordt verwacht in noodsituaties (zie Operationele processen). Deelnemers zijn verantwoordelijk voor het doorgeven van de juiste contactpersoon en informeren Stichting MedMij bij wijzigingen.

Ten slotte zorgt Stichting MedMij verder voor afstemming over privacy en veiligheid met bestaande partijen en ontwikkelingen in de zorg en worden de belangrijkste ontwikkelingen in de wereld op dit gebied gevolgd.