Document toolboxDocument toolbox

A. 9.2.5 Beoordeling van toegangsrechten van gebruikers


Norm

RationaleDeze maatregel borgt dat partijen regelmatig controleren of alleen gerechtigde gebruikers toegang hebben tot relevante IT-componenten (waaronder servers, databases en netwerkinfrastructuur).
Implementatie
  1. Toegangsrechten die zijn verstrekt op IT-componenten waar persoonlijke gezondheidsgegevens worden worden verwerkt MOETEN ten minste maandelijks worden gecontroleerd.
  2. Hierbij MOET functiescheiding gewaarborgd zijn.
  3. Dit geldt ook voor eventuele onderaannemers.
  4. Tijdens deze controle moet aandacht zijn voor medewerkers die geen gebruik (meer) maken van de toegangsrechten (met aantoonbare opvolging).
NEN 7510:2017A.9.2.5 Beoordeling van toegangsrechten van gebruikers
NEN 7510:2011A.11.2.4 Beoordeling van toegangsrechten van gebruikers

Beoordeling

Auditmethode

  • Stel op basis van de procedures vast dat toegangsrechten op servers, databases en netwerkinfrastructuur waar persoonlijke gezondheidsgegevens worden opgeslagen of worden verwerkt maandelijks gecontroleerd worden. Dit geldt ook voor eventuele onderaannemers.
  • Stel vast dat de functionaris(sen) die deze controle uitvoert/uitvoeren geen toegangs­rechten verstrekken en/of zelf (beheer)toegang hebben tot de IT-componenten.
  • De controle van toegangsrechten mag ook geautomatiseerd plaatsvinden. Stel dan vast dat configureren van de geautomatiseerde controle(s) juist en volledig plaatsvindt

Verificatie

Welke procedures (incl. versienummers) zijn ingezien.


Rollen

DVP

(tick)

DVA

(tick)

BO

(tick)

DVP = Dienstverlener persoon, DVA = Dienstverlener aanbieder, BO = Beheerorganisatie