Norm

Rationale	Deze maatregel borgt dat deelnemers beschikken over een bruikbare back-up.
Implementatie	Er MOETEN maatregelen zijn geïmplementeerd waardoor het gegevensverlies van persoonlijke gezondheidsinformatie maximaal 24 uur bedraagt. Daarnaast moet een herstelprocedure zijn ingericht waardoor de gegevens van een persoon binnen 24 uur terug kunnen worden geplaatst in geval van een incident. Deze herstelprocedure wordt minimaal jaarlijks getest.
Toelichting	Deze maatregel MAG worden uitgesloten door een DVP indien de persoonlijke gezondheidsinformatie niet centraal wordt opgeslagen.
NEN 7510-1:2017	A.12.3.1 Back-up van informatie
NEN 7510:2011	A.10.5.1 Reservekopieën (back-ups)

Beoordeling

Auditmethode	Stel vast dat de organisatie maatregelen heeft ingericht waardoor gegevensverlies is beperkt tot maximaal 24 uur. Dit zijn bijvoorbeeld back-ups en/of heet repliceren van gegevens. Stel vast dat de herstelprocedure binnen 24u uitgevoegd kan worden en minimaal jaarlijks wordt getest. Stel daarnaast via monitoring en rapportages vast dat de leverancier voldoet
Verificatie	Welke procedures (incl. versienummers) zijn ingezien. Evidence m.b.t. de (minimaal) jaarlijkse test.

DVP = Dienstverlener persoon, DVA = Dienstverlener aanbieder, BO = Beheerorganisatie