Gegevensbeveiliging
Zoals beschreven in het beleid rondom gegevensbeveiliging moet encryptie worden toegepast op alle gegevens in het MedMij stelsel. Dit gaat echter vooral over de gegevens in rust die bij de DVP en DVA. Binnen het project Generieke functies zal aan deze eisen of aan de uiteindelijke gegevens opslag bij de DVP en DVA geen verandering plaatsvinden.
Voor de toegevoegde rollen van Dienstverlener Toestemmingen (DVT), Dienstverlener Lokalisatie (DVL) en Dienstverlener Vertrouwde Authenticatie (DVVAuth) zal ook onderstaande norm gelden op de van toepassing zijnde gegevens.
Voor de authenticatie tokens zal ook van toepassing zijn dat passende encryptie moet worden toegepast zoals beschreven in Token interface (medmij.nl) en de Oauth2 specificatie: OAuth 2-specificatie.
Norm
Rationale | Persoonlijke gezondheidsgegevens moeten versleuteld worden opgeslagen. Dit heeft als doel dat de vertrouwelijkheid en integriteit van de gezondheidsgegevens gewaarborgd is, ook indien:
|
---|---|
Implementatie | Opgeslagen persoonlijke gezondheidsgegevens MOETEN worden beschermd door middel van encryptie. Hiervoor wordt verwezen naar de aanbevelingen die gelden voor 'near-term protection' en 'long-term protection', zie https://www.keylength.com/. |
Toelichting |
|
NEN 7510:2017 | A.10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen |
NEN 7510:2011 | A.12.3.1 Beleid voor het gebruik van cryptografische beheersmaatregelen |