Norm

Rationale	Deze maatregel borgt dat partijen regelmatig controleren of alleen gerechtigde gebruikers toegang hebben tot relevante IT-componenten (waaronder servers, databases en netwerkinfrastructuur).
Implementatie	Toegangsrechten die zijn verstrekt op IT-componenten waar persoonlijke gezondheidsgegevens worden worden verwerkt MOETEN ten minste maandelijks worden gecontroleerd. Hierbij MOET functiescheiding gewaarborgd zijn. Dit geldt ook voor eventuele onderaannemers. Tijdens deze controle moet aandacht zijn voor medewerkers die geen gebruik (meer) maken van de toegangsrechten (met aantoonbare opvolging).
NEN 7510:2017	A.9.2.5 Beoordeling van toegangsrechten van gebruikers
NEN 7510:2011	A.11.2.4 Beoordeling van toegangsrechten van gebruikers

Beoordeling

Auditmethode

Stel op basis van de procedures vast dat toegangsrechten op servers, databases en netwerkinfrastructuur waar persoonlijke gezondheidsgegevens worden opgeslagen of worden verwerkt maandelijks gecontroleerd worden. Dit geldt ook voor eventuele onderaannemers.
Stel vast dat de functionaris(sen) die deze controle uitvoert/uitvoeren geen toegangsrechten verstrekken en/of zelf (beheer)toegang hebben tot de IT-componenten.
De controle van toegangsrechten mag ook geautomatiseerd plaatsvinden. Stel dan vast dat configureren van de geautomatiseerde controle(s) juist en volledig plaatsvindt

Verificatie

Welke procedures (incl. versienummers) zijn ingezien.

DVP = Dienstverlener persoon, DVA = Dienstverlener aanbieder, BO = Beheerorganisatie