Document toolboxDocument toolbox

A.12.4.3 Logbestanden van beheerders en operators


Norm

RationaleDeze maatregel borgt dat partijen regelmatig controleren of alleen gerechtigde gebruikers toegang hebben tot relevante IT-componenten (waaronder servers, databases en netwerkinfrastructuur).
Implementatie
  1. Het gebruik van toegangsrechten op IT-componenten waar persoonlijke gezondheidsgegevens worden verwerkt MOET worden gelogd;
  2. Deze logging MOET ten minste maandelijks worden gecontroleerd. Dit geldt ook voor eventuele onderaannemers;
  3. Hierbij MOET functiescheiding gewaarborgd zijn;
  4. Tijdens deze controle moet aandacht zijn voor onterecht/onnodig gebruik door medewerkers (met aantoonbare opvolging).
NEN 7510-1:2017A.9.2.5 Beoordeling van toegangsrechten van gebruikers
NEN 7510:2011A.11.2.4 Beoordeling van toegangsrechten van gebruikers

Beoordeling

Auditmethode

  • Stel op basis van de procedures vast dat de logging van servers, databases en netwerkinfrastructuur waar persoonlijke gezondheidsgegevens worden opgeslagen of worden verwerkt maandelijks gecontroleerd worden.
  • Stel vast dat de functionaris(sen) die deze controle uitvoert/uitvoeren geen toegangsrechten verstrekken en/of zelf (beheer)toegang hebben tot de IT-componenten.
  • De controle van logging mag ook geautomatiseerd plaatsvinden. Stel dan vast dat configureren van de geautomatiseerde controle(s) juist en volledig plaatsvindt.

Verificatie

Welke documenten/registraties (incl. versienummers) zijn ingezien.


Rollen

DVP

(tick)

DVA

(tick)

BO


DVP = Dienstverlener persoon, DVA = Dienstverlener aanbieder, BO = Beheerorganisatie