1. Toegangsrechten die zijn verstrekt op IT-componenten waar persoonlijke gezondheidsgegevens worden worden verwerkt MOETEN ten minste maandelijks worden gecontroleerd.
2. Hierbij MOET functiescheiding gewaarborgd zijn.
3. Dit geldt ook voor eventuele onderaannemers.
4. Tijdens deze controle moet aandacht zijn voor medewerkers die geen gebruik (meer) maken van de toegangsrechten (met aantoonbare opvolging).

• Stel op basis van de procedures vast dat toegangsrechten op servers, databases en netwerkinfrastructuur waar persoonlijke gezondheidsgegevens worden opgeslagen of worden verwerkt maandelijks gecontroleerd worden. Dit geldt ook voor eventuele onderaannemers.
• Stel vast dat de functionaris(sen) die deze controle uitvoert/uitvoeren geen toegangs­rechten verstrekken en/of zelf (beheer)toegang hebben tot de IT-componenten.
• De controle van toegangsrechten mag ook geautomatiseerd plaatsvinden. Stel dan vast dat configureren van de geautomatiseerde controle(s) juist en volledig plaatsvindt

Welke procedures (incl. versienummers) zijn ingezien.