Document toolboxDocument toolbox

Vervallen op 14 mei 2022

A.12.4.3 Logbestanden van beheerders en operators

Norm

RationaleDeze maatregel borgt dat partijen regelmatig controleren of alleen gerechtigde gebruikers toegang hebben tot relevante IT-componenten (waaronder servers, databases en netwerkinfrastructuur).
Implementatie
  1. Het gebruik van toegangsrechten op IT-componenten waar persoonlijke gezondheidsgegevens worden verwerkt MOET worden gelogd;
  2. Deze logging MOET ten minste maandelijks worden gecontroleerd. Dit geldt ook voor eventuele onderaannemers;
  3. Hierbij MOET functiescheiding gewaarborgd zijn;
  4. Tijdens deze controle moet aandacht zijn voor onterecht/onnodig gebruik door medewerkers (met aantoonbare opvolging).
NEN 7510-1:2017A.9.2.5 Beoordeling van toegangsrechten van gebruikers
NEN 7510:2011A.11.2.4 Beoordeling van toegangsrechten van gebruikers

Beoordeling

Auditmethode

  • Stel op basis van de procedures vast dat de logging van servers, databases en netwerkinfrastructuur waar persoonlijke gezondheidsgegevens worden opgeslagen of worden verwerkt maandelijks gecontroleerd worden.
  • Stel vast dat de functionaris(sen) die deze controle uitvoert/uitvoeren geen toegangsrechten verstrekken en/of zelf (beheer)toegang hebben tot de IT-componenten.
  • De controle van logging mag ook geautomatiseerd plaatsvinden. Stel dan vast dat configureren van de geautomatiseerde controle(s) juist en volledig plaatsvindt.

Verificatie

Welke documenten/registraties (incl. versienummers) zijn ingezien.


Rollen

DVP

(tick)

DVZA

(tick)

BO


DVP = Dienstverlener persoon, DVZA = Dienstverlener zorgaanbieder, BO = Beheerorganisatie

Vervallen op 14 mei 2022