Cyber Security Compliance - MedMij

MedMij pentest

Persoonlijke gezondheidsomgevingen (PGO’s)

Een persoonlijke gezondheidsomgeving (PGO) is een website of app, waarin je informatie over je eigen gezondheid bij kan houden en actief aan de slag kan gaan met je gezondheid. Zo kan je jouw medische gegevens verzamelen en beheren, maar deze ook delen met anderen. Op deze manier houd je grip op je gezondheidsgegevens. Van behandelingen tot labuitslagen, medicaties en inentingen. En deze gegevens blijven je hele leven bereikbaar.

Informatiebeveiliging van de PGO

In het streven naar een duurzaam informatiesysteem voor de zorg, heeft het landelijke Informatieberaad Zorg een aantal programma’s opgesteld. Een van die programma’s is MedMij, waarin de beveiliging van de persoonlijke gezondheidsomgeving (PGO) is vastgelegd.

Zie: https://www.medmij.nl/afsprakenstelsel

MedMij heeft als doel dat iedereen die dat wil, op een veilige wijze kan beschikken over zijn of haar medische gegevens. MedMij biedt zowel technisch als juridisch standaarden en richtlijnen voor de toegankelijkheid van data en de uitwisseling van gegevens. Eén van die standaarden is HL7 FHIR, dat is ontwikkeld als eenvoudig te hanteren formaat voor uitwisseling van zorginformatie.

Om als zorgorganisatie in aanmerking te komen voor een MedMij-verklaring, moet u kunnen aantonen dat de PGO veilig en betrouwbaar is. Een van de manieren om dit aan te tonen, is een NEN7510 certificering en het jaarlijkse toetsen van de technische weerbaarheid van de programmatuur van de PGO door middel van een penetratietest.

Penetratietest vereisten van MedMij

Tenminste jaarlijks moet een whitebox applicatiepenetratietest worden uitgevoerd op de externe koppelvlakken door een externe, onafhankelijke organisatie. Voor toetreding tot MedMij is het belangrijk dat deze pentest al minimaal één keer heeft plaatsgevonden en de hoge en gemiddelde risico bevindingen op externe MedMij koppelvlakken zijn opgelost.

Voor penetratietesten die worden uitgevoerd na toetreding tot MedMij, dient een adequaat actieplan opgesteld te worden voor minimaal de hoge en gemiddelde risico’s ten aanzien van de MedMij dienstverlening. Dit actieplan wordt gedeeld met de beheerorganisatie. De corrigerende maatregelen dienen tijdig te worden doorgevoerd.

Een whitebox penetratietest houdt in dat de penetratietester zoveel mogelijk inzicht heeft in de applicatie. Dit kan onder meer inhouden:

  • Toegang tot architectuur/ontwerpdocumentatie;
  • Toegang tot broncode;
  • Inloggegevens voor verschillende rollen.

Het gaat met name om de beveiliging van de gegevens die over het internet worden uitgewisseld. De focus moet dus liggen op de beveiliging van de externe koppelvlakken. Een app of een web portaal is ook een extern koppelvlak.

White Box pentest door ethische hackers van Midland Circle

Om er zeker van te zijn dat de door uw organisatie ontwikkelde (web)applicaties, koppelvlakken (API’s) en de onderliggende infrastructuur vrij zijn van kwetsbaarheden en voldoen aan de gestelde eisen binnen het MedMij afsprakenkader, wordt u geacht een White box pentest te laten uitvoeren. De ethisch hackers worden voorzien van de broncode om maximaal inzicht te hebben in de werking van de ontwikkelde programmatuur.

Na de uitvoering van de pentest door NFIR weet u precies waar u aan toe bent. De gevonden kwetsbaarheden worden in een heldere en complete rapportage aan u gepresenteerd. Dit is inclusief een managementsamenvatting en een advies per kwetsbaarheid met de oplossingsrichting. Iedere kwetsbaarheid is volledig reproduceerbaar, zodat u gericht kan werken aan het wegnemen van deze kwetsbaarheden. Een hertest biedt de uiteindelijke zekerheid dat de eerder gevonden kwetsbaarheden adequaat zijn verholpen.

Wij testen voor u niet alleen (web)applicaties, koppelvlakken (API’s) en de onderliggende infrastructuur. Indien u mobiele applicaties levert, kunnen ook deze door onze ethische hackers onderworpen worden aan een pentest. Alle rollen en rechten worden onder de loep genomen op basis van internationaal erkende methodieken. Daarnaast wordt de creativiteit van de hackers ingezet om niet alleen de “happy flow” te testen maar ook minder gangbare flows te beoordelen. Juist deze minder gebruikelijke flows worden vaak vergeten, maar zijn heel belangrijk om te toetsen op mogelijke kwetsbaarheden. De data die de PGO’s verwerken zijn immers veelal bijzondere persoonsgegevens dus het is extra belangrijk om gedegen te testen.

Over het MedMij-label

Organisaties die aantoonbaar aan de spelregels van MedMij voldoen, mogen het MedMij-label gebruiken. Je komt het label tegen op persoonlijke gezondheidsomgevingen (PGO’s) en bij zorgverleners zoals je huisarts. Als je het label ziet, weet je dat jouw medische gegevens daar veilig en betrouwbaar uitgewisseld kunnen worden volgens de hoge eisen van MedMij.

Veiligheid voorop

MedMij maakt spelregels voor een veilige en betrouwbare uitwisseling van gezondheidsgegevens. Alle organisaties die aantoonbaar aan deze spelregels voldoen, mogen het MedMij-label gebruiken. Je komt het label tegen op een online persoonlijke gezondheidsomgevingen (PGO). Ook zie je het label bij zorgaanbieders of andere gezondheidsprofessionals. Je weet dan dat jouw gezondheidsgegevens daar veilig en betrouwbaar uitgewisseld kunnen worden en dat daarbij voldaan wordt aan de hoge eisen van MedMij.

Toegang tot gezondheidsgegevens

MedMij zorgt ervoor dat iedereen die dat wil toegang krijgt tot zijn of haar eigen gezondheidsgegevens. Via MedMij kunnen gezondheidsgegevens veilig en betrouwbaar uitgewisseld worden. Dat kan van een zorgaanbieder met een MedMij-label naar een persoon die een PGO met een MedMij-label heeft. En weer terug.

Laten we het hebben over hoe u veilig vooruitgang kunt boeken..

Vraag een consult aan
Shape
Shape