Norm

Rationale	Deze maatregel borgt dat persoonlijke gezondheidsgegevens alleen toegankelijk zijn voor de zorgaanbieder en de zorggebruiker (zie ook (MedMij Afsprakenstelsel 2.2.3) A.10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen).
Implementatie	Er MOETEN technische en organisatorische maatregelen worden genomen om inzage van persoonlijke gezondheidsgegevens door medewerkers te voorkomen. De organisatie dient minimaal elk halfjaar en na grote wijzigingen een self-assessment uit te voeren om vast te stellen dat deze maatregelen nog effectief zijn. In (zeer) uitzonderlijke gevallen is inzage in persoonlijke gezondheidsgegevens niet te voorkomen. Hiervoor dient de organisatie een (nood)procedure te documenteren. Deze procedure dient in te gaan op: Functiescheiding tussen vragen van toestemming voor inzage en het geven van toestemming door een verantwoordelijke functionaris; Randvoorwaarden en maatregelen met als doel dat inzage plaatsvindt op een gecontroleerde en zo beperkt mogelijke (in tijd en hoeveelheid gegevens) wijze; Borging dat de deelnemer voldoet wordt aan wet- en regelgeving (AVG, Meldplicht Datalekken) en de geldende versie van het MedMij Afsprakenstelsel; Vastlegging en verantwoording van de getroffen acties.
NEN 7510:2017	A.9.1.1 Beleid voor toegangsbeveiliging
NEN 7510:2011	A.11.1.1 Toegangsbeleid

Beoordeling

Auditmethode

Stel vast dat het technisch onmogelijk is gemaakt dat (medewerkers van) partijen zich inzage kunnen verschaffen in persoonlijke gezondheidsgegevens. Dit geldt ook voor eventuele onderaannemers
Stel vast dat self assessment minimaal elk halfjaar en na grote wijzigingen is uitgevoerd.
Stel vast dat de (nood)procedure is opgesteld en effectief is (m.a.w. geen toegang is verkregen zonder toepassing van de procedure).
Indien inzage heeft plaatsgevonden: Controleer de vastlegging en verantwoording

Verificatie

Welke documenten (incl. versienummers) zijn ingezien.

DVP = Dienstverlener persoon, DVA = Dienstverlener aanbieder, BO = Beheerorganisatie