You are viewing an old version of this page. View the current version.
Compare with Current
View Page History
Version 1
Next »
Locatie
A.12.4.1 Gebeurtenissen registreren
Oude tekst
Rationale | Deze maatregel borgt dat relevante security gebeurtenissen in systemen van de deelnemers en de beheerorganisatie (zoals het verlenen van toestemming aan aanbieder door de persoon, het inzien of wijzigen van een PGO of het wijzigen aan loggen van gebruikers aan hun PGO) ten minste 12 maanden inzichtelijk blijven. |
---|
Implementatie | Logging MOET plaatsvinden zoals gespecificeerd in het afsprakenstelsel (zie Functies en gegevens, Core onder Logging)
Daarnaast MOETEN de volgende acties ten minste 12 maanden onweerlegbaar en controleerbaar worden gelogd:
De actie waarbij de persoon via de DVP bij de DVA gegevens wil opvragen
De acties waarbij de persoon toestemming geeft voor de uitwisseling conform de specificaties in het afsprakenstelsel (indien uitgevoerd onder verantwoordelijkheid van de DVA)
|
---|
NEN 7510-1:2017 | A.12.4.1 Gebeurtenissen registreren |
---|
NEN 7510:2011 | A.10.10.1 Aanmaken audit-logbestanden A.10.10.2 Controle van systeemgebruik |
---|
Beoordeling
Auditmethode | Stel vast of de logbestanden voldoen aan de voorwaarden van het afsprakenstelsel (zie Processen en informatie onder Logging).
Stel vast hoe de onweerlegbaarheid en controleerbaarheid van de logs over personen is ingericht. Stel vast dat deze altijd minimaal 12 maanden beschikbaar blijven.
|
---|
Verificatie | |
---|
Nieuwe tekst
Rationale | Deze maatregel borgt dat relevante security gebeurtenissen in systemen van de deelnemers en de beheerorganisatie (zoals het verlenen van toestemming aan aanbieder door de persoon, het inzien of wijzigen van een PGO of het wijzigen aan loggen van gebruikers aan hun PGO) gelogd moeten worden. |
---|
Implementatie | Toegangslog Vanuit wettelijke verplichting richten deelnemer de logbestanden in zoals beschreven in de de AVG en NEN 7513:2018. De minister heeft hiervoor een minimale termijn van vijf jaar vastgesteld. De volgende acties moeten ten minste onweerlegbaar en controleerbaar worden gelogd voor zowel een minimale als maximale periode van vijf jaar. Na afloop van de bewaartermijn moeten deze logbestanden worden vernietigd. De acties waarbij de persoon via de DVP bij de DVA gegevens wil verzamelen of delen De acties waarbij de persoon toestemming geeft voor de uitwisseling conform de specificaties in het afsprakenstelsel (indien uitgevoerd onder verwerkingsverantwoordelijkheid van de DVA)
Specifiek voor DVA: Als de acties onderdeel zijn van het patiëntendossier, dan valt dit onder de verantwoordelijkheid van de zorgaanbieder, waar mogelijk andere regels voor bewaartermijnen van toepassing zijn.
Technische logs De bewaartermijn voor technische logbestanden, zoals applicatie of service logs, hoeven niet aan vijf jaar termijn te voldoen. Deelnemers kunnen autonoom bepalen hoelang ze technische logs moeten bewaren op basis van best practices, zoals bijvoorbeeld beschreven in NIST SP 800-92 of CIS Control 6. Daarnaast kan een risicoanalyse de organisatie in staat stellen de bewaartermijn te bepalen die het beste past bij de specifieke behoeften en risico's van hun omgeving. Als richtlijn wordt vaak aanbevolen om technische logs ten minste één jaar te bewaren, omdat dit cruciaal kan zijn voor het uitvoeren van een effectieve incident response en forensisch onderzoek.
Ketenlog Uitzondering Wanneer er een klacht is ingediend of juridische procedure aanhangig is gemaakt door een deelnemer, VZVZ of Stichting MedMij dan kan er een uitzondering worden gemaakt op de bewaartermijnen. In een dergelijke situatie of wanneer een dergelijke situatie door zowel VZVZ als Stichting MedMij als aannemelijk wordt geacht, mogen de relevant geachte logregels en de relevante geachte rapportages tot maximaal 10 jaar na het ontstaan van de loggegevens worden bewaard. Praktische aanpak is om export te maken van de relevante logregels en deze informatie vast te leggen in een register dat specifiek is gewijd voor uitzonderingen. Door deze afzonderlijke procedure voor het verlengd bewaren van logregels, kunnen organisaties voldoen bij klachten, terwijl de reguliere bewaartermijnen van loggegevens worden gehandhaafd.
|
---|
NEN 7510-1:2017 | A.12.4.1 Gebeurtenissen registreren |
---|
NEN 7510:2011 | A.10.10.1 Aanmaken audit-logbestanden A.10.10.2 Controle van systeemgebruik |
---|
Beoordeling
Auditmethode | Stel vast of de logbestanden voor toegangslog en ketenlog voldoen aan de voorwaarden |
---|
Verificatie | |
---|
In te voegen links
AVG: https://autoriteitpersoonsgegevens.nl/uploads/imported/verordening_2016_-_679_definitief.pdf
NEN 7513:2018 https://www.nen.nl/nen-7513-2018-nl-245399
Logging interface: Logging interface
Verantwoordelijkheden, Core onder Logging: Verantwoordelijkheden, Core