Alpha of Beta

SR A.9.4.1 - Wijzigingsvoorstel Aanscherping Sessieduur, Authenticatie en Cookies

Omschrijving Change

Korte omschrijving
Deze RFC verduidelijkt en scherpt norm A.9.4.1 aan:

  • Het bepalen en onderbouwen van sessieduur.

  • Veilige inzet van “onthoud mij”-functionaliteit.

  • Het verbod op zwakke tweede factoren (e-mail/SMS).

Aanleiding:

Deze aanscherping van norm A.9.4.1 sluit aan bij twee actuele nationale kaders voor toegangsbeheer en authenticatie in de zorg:

  • NEN 7510-2:2024+A1:2026 — de geactualiseerde Nederlandse norm voor informatiebeveiliging in de zorg stelt concretere eisen aan beperking van toegang, sessiebeheer en authenticatie dan de versie waar het Afsprakenstelsel momenteel naar verwijst. Met deze aanscherping blijft het MedMij Afsprakenstelsel aantoonbaar conform de actuele zorgnorm.

  • NCSC — “Volwassen authenticeren”: het Nationaal Cyber Security Centrum kwalificeert 2FA via SMS of e-mail als de minst veilige vorm van tweefactorauthenticatie, vanwege gevoeligheid voor phishing en man-in-the-middle-aanvallen. Gezien de aard van persoonlijke gezondheidsgegevens kiest MedMij ervoor om deze zwakke factoren in het Afsprakenstelsel niet langer toe te staan, in plaats van alleen af te raden.

Daarnaast laat het huidige Afsprakenstelsel ruimte voor variatie in implementatie. Het is niet expliciet over:

  • Hoe deelnemers een sessieduur moeten bepalen en onderbouwen.

  • De voorwaarden waaronder “onthoud mij”-functionaliteit veilig kan worden toegepast.

  • Objectieve en toetsbare auditcriteria voor sessiebeheer en tweede factoren.

Dit leidt tot variatie in interpretatie en implementatie, en beperkt de toetsbaarheid van beveiligingsmaatregelen. Met deze aanscherping krijgen deelnemers concretere en beter toetsbare criteria, in lijn met de Nederlandse zorg- en cybersecurity-kaders.


Samenvatting wijziging normtekst

Norm A.9.4.1 "Beperking toegang tot informatie" wordt uitgebreid met:

  • Een verplichting voor de deelnemer om een onderbouwde sessieduur vast te stellen, passend bij de bescherming van persoonlijke gezondheidsgegevens.

  • Eisen aan sessiebeheer, waaronder automatische beëindiging van sessies bij inactiviteit of andere relevante gebeurtenissen, en herauthenticatie bij gevoelige of impactvolle acties.

  • Voorwaarden voor het gebruik van een “onthoud mij”-functionaliteit, waarbij de onderliggende device-gebonden token fungeert als op bezit gebaseerde authenticatiefactor, uitsluitend wordt uitgegeven na succesvolle authenticatie met twee factoren, en waarbij gevoelige acties altijd opnieuw authenticatie vereisen.

  • Eisen voor veilige verwerking van tokens en sessie-informatie, inclusief cryptografische sterkte conform NEN 7510-2:2024+A1:2026.

  • Aanpassing van de eisen rond tweede factoren: het gebruik van e-mail of SMS als tweede factor wordt niet toegestaan.

  • Uitbreiding van de auditmethode, zodat bovengenoemde onderdelen toetsbaar zijn

Impact

  • DVP’s moeten mogelijk hun authenticatie, sessiebeheer en “onthoud mij”-functionaliteit aanpassen.

  • Eindgebruikers krijgen betere bescherming van hun gegevens.

  • Audits worden objectiever en duidelijker

Impact op

  • DVP
  • DVA
  • Geen van beiden

Moeten afbeeldingen/mockups aangepast worden?

  • Ja
  • Nee

Aan te passen versies afsprakenstelsel

TBD – bij release-planning vaststellen (Q3-2026 release)

Classificatie

  • Patch
  • Minor (met implementatietermijn)
  • Major
  • N.v.t i.v.m. Catalogus

Implementatietermijn

Publicatie: 11 augustus 2026 (in AS-release, versie nader te bepalen door C&R)
Verplichte conformiteit door alle DVP's: 30 juni 2027

Gerelateerde tickets (o.a. ticket van deze ticket)

AF-531: Onderhoud - Sessieduur en Cookies PGO beschrijven deel 3

Status

  • Beta
  • Release candidate
  • Release


Akkoord bevonden door

  • Product owner Afsprakenstelselteam
  • ST
  • Releasemanager
  • MT

Tijdlijn en overgangsregeling

Een implementatietermijn is opgenomen omdat de uitfasering van SMS en e-mail als tweede factor een actieve migratie van eindgebruikers vergt naar een sterke authenticatiefactor. Deze migratie omvat technische aanpassingen aan de DVP-systemen, een nieuwe enrollment-flow, gebruikerscommunicatie en helpdesk-capaciteit voor achterblijvers. De gekozen termijn van ruim tien maanden sluit aan bij vergelijkbare aanscherpingen binnen het MedMij Afsprakenstelsel en past binnen één jaarlijkse validatiecyclus.

Datum

Stap

9–15 juni 2026

Aankondiging via Change & Release Management op changemanagement.medmij.nl

25 juni 2026

Expertsessie deelnemers

16 juli 2026

Einde feedbacktermijn (3 weken na expertsessie)

11 augustus 2026

Publicatiedatum in AS-release

30 juni 2027

Verplichte conformiteit voor alle DVP's

Uitwerking

Door te voeren wijzigingen



Locatie

Oude situatie

Nieuwe situatie

In te voegen links (optioneel)

Norm
A. 9.4.1 Beperking toegang tot informatie

https://afsprakenstelsel.medmij.nl/asverplicht/mmverplicht/a-9-4-1-beperking-toegang-tot-informatie#id-(MedMijAfsprakenstelsel2.2.6d)A.9.4.1Beperkingtoegangtotinformatie-Norm

Authenticatie van personen (eindgebruikers) MOET plaatsvinden op basis van minimaal twee factoren. Na succesvolle authenticatie krijgen personen alleen toegang tot hun eigen persoonlijke gezondheidsgegevens of de gegevens van de vertegenwoordigde.

Scope: Dit geldt voor het gehele MedMij PGO en voor alle gebruikers die hier toegang toe krijgen. Dit is onafhankelijk of deze gebruikers MedMij uitwisselingen gebruiken of niet.

Naast zwakkere tweede factoren als e-mail en SMS MOET een deelnemer ook één of meerdere sterkere tweede factoren aanbieden. De Persoon bepaalt zelf welke tweede factor wordt gebruikt.

In deze versie van het Afsprakenstelsel worden e-mail en SMS als tweede factor nog geaccepteerd. Het voornemen is deze methode te schrappen. Dit kan, op het moment dat grotere beveiligingsrisico's optreden, via een snel door te voeren patch van het Afsprakenstelsel.

Authenticatie van personen

Authenticatie van personen (eindgebruikers) MOET plaatsvinden op basis van minimaal twee factoren uit verschillende categorieën (kennis, bezit, inherent), waarvan is vastgesteld dat deze aantoonbaar gebonden zijn aan een persoon.

Na succesvolle authenticatie krijgen personen alleen toegang tot hun eigen persoonlijke gezondheidsgegevens of de gegevens van de vertegenwoordigde.

Scope: Dit geldt voor het gehele MedMij-PGO en voor alle gebruikers die hier toegang toe krijgen. Dit is onafhankelijk of deze gebruikers, ongeacht of zij MedMij uitwisselingen gebruiken of niet.

Naast zwakkere tweede factoren als e-mail en SMS MOET een deelnemer ook één of meerdere sterkere tweede factoren aanbieden. De Persoon bepaalt zelf welke tweede factor wordt gebruikt.

In deze versie van het Afsprakenstelsel worden e-mail en SMS als tweede factor nog geaccepteerd. Het voornemen is deze methode te schrappen. Dit kan, op het moment dat grotere beveiligingsrisico's optreden, via een snel door te voeren patch van het Afsprakenstelsel.

Tweede factor

De deelnemer MOET één of meerdere sterke tweede authenticatiefactoren aanbieden.
De gebruiker bepaalt zelf welke van de aangeboden tweede factoren wordt gebruikt.

Zwakke authenticatiefactoren, zoals SMS en e-mail, zijn niet toegestaan.


Sessieduur na authenticatie

De deelnemer MOET een sessieduur vaststellen die passend is bij de bescherming van persoonlijke gezondheidsgegevens.

De gekozen sessieduur MOET:

  • risicogebaseerd zijn vastgesteld;

  • worden onderbouwd in een gedocumenteerde afweging;

  • gebaseerd zijn op de beveiligingsrisico’s die volgen uit het informatieclassificatiebeleid van MedMij.

Richtlijn: maximaal 15 minuten inactiviteit en maximaal 30 minuten absolute sessieduur zonder herauthenticatie. Afwijken naar boven is toegestaan mits expliciet onderbouwd in de risicoafweging en passend bij het informatieclassificatieniveau van de betrokken gegevens.

Raadpleeg het Informatieclassificatiebeleid van Medmij voor meer informatie

Sessiebeheer

De deelnemer MOET maatregelen treffen om te voorkomen dat sessies onnodig lang actief blijven.

Sessies MOETEN:

  • automatisch verlopen na een periode van inactiviteit of andere beveiligingsrelevante gebeurtenissen;

  • worden onderbroken voor gevoelige of impactvolle acties, waarbij her-authenticatie verplicht is.

Onder gevoelige of impactvolle acties vallen onder andere (niet-uitputtende lijst):

  • het delen van gegevens met of verlenen van toegang aan derden;

  • het wijzigen of intrekken van vertegenwoordigingsrelaties;

  • het wijzigen van authenticatie-instellingen of geregistreerde tweede factoren;

  • het exporteren of bulk-downloaden van gezondheidsgegevens;

  • het verwijderen van gegevens of beëindigen van het account.

“Onthoud mij” en device-binding

Een deelnemer MAG een “onthoud mij”-functionaliteit aanbieden als gebruikersfunctionaliteit. Indien een “onthoud mij”-functionaliteit wordt aangeboden, gelden de volgende eisen:

  • De onderliggende beveiliging MOET zijn ingericht met een device-gebonden token dat fungeert als op bezit gebaseerde authenticatiefactor binnen het sessie- en toegangsmechanisme.

  • Een device-gebonden token MOET uitsluitend worden uitgegeven na succesvolle authenticatie met twee factoren.

  • Het gebruik van een device-gebonden token MAG de beveiliging van toegang tot persoonlijke gezondheidsgegevens niet verminderen.

  • De token MOET cryptografisch sterk zijn en voldoen aan de cryptografische beveiligingsmaatregelen zoals beschreven in NEN 7510-2:2024+A1:2026.

  • De token MOET worden geïnvalideerd bij expliciet uitloggen of bij relevante beveiligingsgebeurtenissen.

  • De geldigheidsduur van de token MAG niet langer zijn dan 30 dagen na uitgifte. Daarna MOET opnieuw 2FA plaatsvinden om een nieuwe token uit te geven.

Authenticatiefactoren (toelichting)

De twee authenticatiefactoren MOETEN afkomstig zijn uit verschillende categorieën:

  • Bezit: aantonen dat de gebruiker een middel in bezit heeft

  • Kennis: aantonen dat de gebruiker kennis heeft

  • Inherent: aantonen van een fysiek kenmerk

Het gebruik van meerdere factoren binnen dezelfde categorie geldt niet als twee-factorauthenticatie


A. 9.4.1 Beperking toegang tot informatie

https://afsprakenstelsel.medmij.nl/asverplicht/mmverplicht/a-9-4-1-beperking-toegang-tot-informatie#id-(MedMijAfsprakenstelsel2.2.6d)A.9.4.1Beperkingtoegangtotinformatie-Norm

Beoordeling
https://afsprakenstelsel.medmij.nl/asverplicht/mmverplicht/a-9-4-1-beperking-toegang-tot-informatie#id-(MedMijAfsprakenstelsel2.2.6d)A.9.4.1Beperkingtoegangtotinformatie-Beoordeling

  • Stel vast dat (minimaal) twee-factorauthenticatie van personen technisch afgedwongen wordt.

  • Stel vast dat voldoende maatregelen zijn ingericht die waarborgen dat na succesvolle authenticatie de personen alleen toegang krijgen tot hun eigen persoonlijke gezondheidsgegevens. Ondersteunende evidence omvat bijvoorbeeld gedocumenteerde usecases of het uitvoeren van een ‘walk through’ vanuit het perspectief van de eindgebruiker.

Ten aanzien van de in het eerste punt bedoelde twee factoren gelden de volgende twee richtlijnen.

Ten eerste moeten de factoren uit verschillende van de volgende categorieën gebruikt worden.

  • drie categorieën van zogenoemde "authenticatiefactoren": factoren waarvan is bevestigd dat deze gebonden zijn aan een persoon.

    • op bezit gebaseerde authenticatiefactoren: authenticatiefactoren waarvan de betrokkene moet aantonen dat deze in zijn bezit is;

    • op kennis gebaseerde authenticatiefactoren: authenticatiefactoren waarvan de betrokkene moet aantonen dat hij ervan kennis draagt;

    • inherente authenticatiefactoren: authenticatiefactoren die op een fysiek kenmerk van een natuurlijke persoon is gebaseerd en waarbij de betrokkene moet aantonen dat hij dat fysieke kenmerk bezit;

  • dynamische authenticatie: een elektronisch proces, dat met gebruikmaking van cryptografie of een andere techniek de middelen biedt om op verzoek een elektronisch bewijs op te maken dat de betrokkene de controle heeft over of in het bezit is van de identificatiegegevens, en dat verandert telkens als authenticatie plaatsvindt tussen de betrokkene en het systeem dat diens identiteit verifieert;

Twee factoren

Bijvoorbeeld, wanneer er tijdens het inloggen zowel een TouchID als een FaceID gebruikt wordt, dan is er geen sprake van two-factor, omdat het beide inherente authenticatiefactoren zijn.

Ten tweede moet het gebruik van beide factoren tijdens het inloggen achter elkaar plaatsvinden en in het inlog-proces onlosmakelijk aan elkaar verbonden zijn.

Twee factoren

Bijvoorbeeld, wanneer FaceID gebruikt wordt om met de iCloud password manager een wachtwoord in te voeren is er geen sprake van twee-factorauthenticatie, omdat het wachtwoord ook handmatig ingevoerd kan worden.

Deze tabel toont voorbeelden van veelgebruikte authenticatiefactoren.


SMS en e-mail zijn geen toegestane authenticatiefactoren


Bescherming van eindgebruikers

Eindgebruikers moeten erop kunnen vertrouwen dat:

  • toegang tot hun gezondheidsgegevens zorgvuldig is ingericht;

  • authenticatie betrouwbaar en sterk is;

  • sessies automatisch en veilig worden beëindigd;

  • gevoelige handelingen extra worden beschermd.





Referenties

  • NEN 7510-2:2024+A1:2026 — Medische informatica – Informatiebeveiliging in de zorg – Deel 2: Beheersmaatregelen (geactualiseerde norm voor informatiebeveiliging in de zorg).

  • NCSC — “Volwassen authenticeren” (kennisartikel, doelgroep CISO’s, identiteits- en toegangsbeheerders, securitymanagers): https://www.ncsc.nl/multifactor-authenticatie/volwassen-authenticeren



Last updated: