Document toolboxDocument toolbox

(MedMij Afsprakenstelsel 2.0.2) A.12.4.1 Gebeurtenissen registreren


Norm

Rationale

Deze maatregel borgt dat relevante security gebeurtenissen in systemen van de deelnemers en de beheerorganisatie (zoals het verlenen van toestemming aan aanbieder door de persoon, het inzien of wijzigen van een PGO of het wijzigen aan loggen van gebruikers aan hun PGO) ten minste 12 maanden inzichtelijk blijven.

Implementatie

Logging MOET plaatsvinden zoals gespecificeerd in het afsprakenstelsel (zie Functies en gegevens, Core onder Logging)

Daarnaast MOETEN de volgende acties ten minste 12 maanden onweerlegbaar en controleerbaar worden gelogd: 

  • De actie waarbij de persoon via de DVP bij de DVA gegevens wil opvragen
  • De acties waarbij de persoon toestemming geeft voor de uitwisseling conform de specificaties in het afsprakenstelsel (indien uitgevoerd onder verantwoordelijkheid van de DVA)

NEN 7510-1:2017

A.12.4.1 Gebeurtenissen registreren

NEN 7510:2011

A.10.10.1 Aanmaken audit-logbestanden

A.10.10.2 Controle van systeemgebruik

Beoordeling

Auditmethode

  • Stel vast of de logbestanden voldoen aan de voorwaarden van het afsprakenstelsel (zie Processen en informatie onder Logging).
  • Stel vast hoe de onweerlegbaarheid en controleerbaarheid van de logs over personen is ingericht. Stel vast dat deze altijd minimaal 12 maanden beschikbar blijven.

Verificatie

  • Evidence m.b.t. de logbestanden.
  • Evidence m.b.t. aansluiting.

Rollen

DVP

(tick)

DVA

(tick)

BO


DVP = Dienstverlener persoon, DVA = Dienstverlener aanbieder, BO = Beheerorganisatie