|
Omschrijving Change |
Korte omschrijving
Aanleiding: Deze aanscherping van norm A.9.4.1 sluit aan bij twee actuele nationale kaders voor toegangsbeheer en authenticatie in de zorg:
Daarnaast laat het huidige Afsprakenstelsel ruimte voor variatie in implementatie. Het is niet expliciet over:
Dit leidt tot variatie in interpretatie en implementatie, en beperkt de toetsbaarheid van beveiligingsmaatregelen. Met deze aanscherping krijgen deelnemers concretere en beter toetsbare criteria, in lijn met de Nederlandse zorg- en cybersecurity-kaders.
Norm A.9.4.1 "Beperking toegang tot informatie" wordt uitgebreid met:
Impact
|
|
Impact op |
|
|
Moeten afbeeldingen/mockups aangepast worden? |
|
|
Aan te passen versies afsprakenstelsel |
TBD – bij release-planning vaststellen (Q3-2026 release) |
|
Classificatie |
|
|
Implementatietermijn |
Publicatie: 11 augustus 2026 (in AS-release, versie nader te bepalen door C&R)
|
|
Gerelateerde tickets (o.a. ticket van deze ticket) |
AF-531: Onderhoud - Sessieduur en Cookies PGO beschrijven deel 3 |
|
Status |
|
|
Akkoord bevonden door |
|
Tijdlijn en overgangsregeling
Een implementatietermijn is opgenomen omdat de uitfasering van SMS en e-mail als tweede factor een actieve migratie van eindgebruikers vergt naar een sterke authenticatiefactor. Deze migratie omvat technische aanpassingen aan de DVP-systemen, een nieuwe enrollment-flow, gebruikerscommunicatie en helpdesk-capaciteit voor achterblijvers. De gekozen termijn van ruim tien maanden sluit aan bij vergelijkbare aanscherpingen binnen het MedMij Afsprakenstelsel en past binnen één jaarlijkse validatiecyclus.
|
Datum |
Stap |
|---|---|
|
9–15 juni 2026 |
Aankondiging via Change & Release Management op changemanagement.medmij.nl |
|
25 juni 2026 |
Expertsessie deelnemers |
|
16 juli 2026 |
Einde feedbacktermijn (3 weken na expertsessie) |
|
11 augustus 2026 |
Publicatiedatum in AS-release |
|
30 juni 2027 |
Verplichte conformiteit voor alle DVP's |
Uitwerking
Door te voeren wijzigingen
|
Locatie |
|
Nieuwe situatie |
In te voegen links (optioneel) |
|---|---|---|---|
|
Norm
|
Authenticatie van personen (eindgebruikers) MOET plaatsvinden op basis van minimaal twee factoren. Na succesvolle authenticatie krijgen personen alleen toegang tot hun eigen persoonlijke gezondheidsgegevens of de gegevens van de vertegenwoordigde. Scope: Dit geldt voor het gehele MedMij PGO en voor alle gebruikers die hier toegang toe krijgen. Dit is onafhankelijk of deze gebruikers MedMij uitwisselingen gebruiken of niet. Naast zwakkere tweede factoren als e-mail en SMS MOET een deelnemer ook één of meerdere sterkere tweede factoren aanbieden. De Persoon bepaalt zelf welke tweede factor wordt gebruikt.
In deze versie van het Afsprakenstelsel worden e-mail en SMS als tweede factor nog geaccepteerd. Het voornemen is deze methode te schrappen. Dit kan, op het moment dat grotere beveiligingsrisico's optreden, via een snel door te voeren patch van het Afsprakenstelsel. |
Authenticatie van personen
Authenticatie van personen (eindgebruikers) MOET plaatsvinden op basis van minimaal twee factoren Na succesvolle authenticatie krijgen personen alleen toegang tot hun eigen persoonlijke gezondheidsgegevens of de gegevens van de vertegenwoordigde. Scope: Dit geldt voor het gehele MedMij-PGO en voor alle gebruikers die hier toegang toe krijgen
Tweede factor
De deelnemer MOET één of meerdere sterke tweede authenticatiefactoren aanbieden.
Zwakke authenticatiefactoren, zoals SMS en e-mail, zijn niet toegestaan. Sessieduur na authenticatie
De deelnemer MOET een sessieduur vaststellen die passend is bij de bescherming van persoonlijke gezondheidsgegevens. De gekozen sessieduur MOET:
Richtlijn: maximaal 15 minuten inactiviteit en maximaal 30 minuten absolute sessieduur zonder herauthenticatie. Afwijken naar boven is toegestaan mits expliciet onderbouwd in de risicoafweging en passend bij het informatieclassificatieniveau van de betrokken gegevens. Raadpleeg het Informatieclassificatiebeleid van Medmij voor meer informatie Sessiebeheer
De deelnemer MOET maatregelen treffen om te voorkomen dat sessies onnodig lang actief blijven. Sessies MOETEN:
Onder gevoelige of impactvolle acties vallen onder andere (niet-uitputtende lijst):
“Onthoud mij” en device-binding
Een deelnemer MAG een “onthoud mij”-functionaliteit aanbieden als gebruikersfunctionaliteit. Indien een “onthoud mij”-functionaliteit wordt aangeboden, gelden de volgende eisen:
Authenticatiefactoren (toelichting)
De twee authenticatiefactoren MOETEN afkomstig zijn uit verschillende categorieën:
Het gebruik van meerdere factoren binnen dezelfde categorie geldt niet als twee-factorauthenticatie |
A. 9.4.1 Beperking toegang tot informatie
|
Ten aanzien van de in het eerste punt bedoelde twee factoren gelden de volgende twee richtlijnen. Ten eerste moeten de factoren uit verschillende van de volgende categorieën gebruikt worden.
Twee factoren Bijvoorbeeld, wanneer er tijdens het inloggen zowel een TouchID als een FaceID gebruikt wordt, dan is er geen sprake van two-factor, omdat het beide inherente authenticatiefactoren zijn. Ten tweede moet het gebruik van beide factoren tijdens het inloggen achter elkaar plaatsvinden en in het inlog-proces onlosmakelijk aan elkaar verbonden zijn. Twee factoren Bijvoorbeeld, wanneer FaceID gebruikt wordt om met de iCloud password manager een wachtwoord in te voeren is er geen sprake van twee-factorauthenticatie, omdat het wachtwoord ook handmatig ingevoerd kan worden. Deze tabel toont voorbeelden van veelgebruikte authenticatiefactoren.
SMS en e-mail zijn geen toegestane authenticatiefactoren Bescherming van eindgebruikers
Eindgebruikers moeten erop kunnen vertrouwen dat:
|
|
|
Referenties
-
NEN 7510-2:2024+A1:2026 — Medische informatica – Informatiebeveiliging in de zorg – Deel 2: Beheersmaatregelen (geactualiseerde norm voor informatiebeveiliging in de zorg).
-
NCSC — “Volwassen authenticeren” (kennisartikel, doelgroep CISO’s, identiteits- en toegangsbeheerders, securitymanagers): https://www.ncsc.nl/multifactor-authenticatie/volwassen-authenticeren