Deze maatregel borgt dat relevante security gebeurtenissen in systemen van de deelnemers en de beheerorganisatie (zoals het verlenen van toestemming aan aanbieder door de persoon, het inzien of wijzigen van een PGO of het wijzigen aan loggen van gebruikers aan hun PGO) ten minste 12 maanden inzichtelijk blijven.

Logging MOET plaatsvinden zoals gespecificeerd in het afsprakenstelsel (zie Functies en gegevens, Core onder Logging)

Daarnaast MOETEN de volgende acties ten minste 12 maanden onweerlegbaar en controleerbaar worden gelogd: 

• De actie waarbij de persoon via de DVP bij de DVA gegevens wil opvragen

• De acties waarbij de persoon toestemming geeft voor de uitwisseling conform de specificaties in het afsprakenstelsel (indien uitgevoerd onder verantwoordelijkheid van de DVA)

A.12.4.1 Gebeurtenissen registreren

A.10.10.1 Aanmaken audit-logbestanden

A.10.10.2 Controle van systeemgebruik

• Stel vast of de logbestanden voldoen aan de voorwaarden van het afsprakenstelsel (zie Processen en informatie onder Logging).

• Stel vast hoe de onweerlegbaarheid en controleerbaarheid van de logs over personen is ingericht. Stel vast dat deze altijd minimaal 12 maanden beschikbaar blijven.

• Evidence m.b.t. de logbestanden.

• Evidence m.b.t. aansluiting.

Deze maatregel borgt dat relevante security gebeurtenissen in systemen van de deelnemers en de beheerorganisatie gelogd worden. Voorbeelden zijn het verlenen van toestemming aan aanbieder door de persoon of het inzien of wijzigen van een PGO.

• Toegangslog

  • Deelnemers richten logbestanden in zoals beschreven in de AVG en NEN 7513:2018 en zorgen voor een wettelijke bewaartermijn van vijf jaar. De volgende acties moeten ten minste onweerlegbaar en controleerbaar worden gelogd.

    • De acties waarbij de persoon gegevens wil verzamelen of delen.

    • De acties waarbij de persoon toestemming geeft voor uitwisseling conform de specificaties in het afsprakenstelsel.

• Technische logs

  • De bewaartermijn voor technische logbestanden, zoals applicatie of service logs, hoeven niet aan de vijf jaar termijn te voldoen. Deelnemers kunnen bewaartermijnen vaststellen voor de technische logs op basis van best practices, zoals bijvoorbeeld beschreven in NIST SP 800-92 of CIS Control 6. Daarnaast kan een risicoanalyse de organisatie in staat stellen de bewaartermijn te bepalen die het beste past bij de specifieke behoeften en risico's van hun omgeving. Als richtlijn wordt aanbevolen om technische logs ten minste één jaar te bewaren, aangezien dit cruciaal kan zijn voor het uitvoeren van effectieve incident response en forensisch onderzoek.

• Ketenlog

  • Vanuit het afsprakenstelsel moeten Deelnemers gebeurtenissen vastleggen ten behoeve van ketenmonitoring en -logging (Zie de Verantwoordelijkheden, core onder logging en de Logging interface). De bewaartermijn van de logbestanden is ten minste 24 maanden en niet meer dan 36 maanden. De maximum bewaartermijn voor de loggegevens voor ketenlog is lager omdat deze niet gegevens over inzage en/of bewerkingen van het medisch dossier betreffen. De minimale en maximale bewaartermijnen van deze logbestanden passen binnen de uitersten die daartoe zijn bepaald door NEN7513:2018 (paragraaf 8.5).

  • De maximum bewaartermijn van 36 maanden is niet van toepassing op aggregaten en algemene tellingen. Deze aggregaten en algemene tellingen mogen niet zijn voorzien van herleidbare gegevens zoals trace-id en session-id.

• Uitzondering

  • In het geval van een klacht of een juridische procedure mag een Deelnemer een uitzondering maken op de bewaartermijnen. Dan mogen de relevant geachte logregels en de relevante geachte rapportages tot maximaal 10 jaar na het ontstaan van de loggegevens worden bewaard. Praktische aanpak is om een export te maken van de relevante logregels en deze informatie vast te leggen in een register dat specifiek is gewijd voor uitzonderingen. Door deze afzonderlijke procedure voor het verlengd bewaren van logregels kunnen organisaties voldoen bij klachten, terwijl de reguliere bewaartermijnen van loggegevens worden gehandhaafd.

A.12.4.1 Gebeurtenissen registreren

A.10.10.1 Aanmaken audit-logbestanden

A.10.10.2 Controle van systeemgebruik

Stel vast of de logbestanden voor toegangslog en ketenlog voldoen aan de voorwaarden zoals gesteld in de implementatie.

• Evidence m.b.t. de logbestanden.

• Evidence m.b.t. aansluiting.