Deze maatregel borgt dat partijen regelmatig controleren of alleen gerechtigde gebruikers toegang hebben tot relevante IT-componenten (waaronder servers, databases en netwerkinfrastructuur).

1. Het gebruik van toegangsrechten op IT-componenten waar persoonlijke gezondheidsgegevens worden verwerkt MOET worden gelogd;

2. Deze logging MOET ten minste maandelijks worden gecontroleerd. Dit geldt ook voor eventuele onderaannemers;

3. Hierbij MOET functiescheiding gewaarborgd zijn;

4. Tijdens deze controle moet aandacht zijn voor onterecht/onnodig gebruik door medewerkers (met aantoonbare opvolging).

A.9.2.5 Beoordeling van toegangsrechten van gebruikers

A.11.2.4 Beoordeling van toegangsrechten van gebruikers

• Stel op basis van de procedures vast dat de logging van servers, databases en netwerkinfrastructuur waar persoonlijke gezondheidsgegevens worden opgeslagen of worden verwerkt maandelijks gecontroleerd worden.

• Stel vast dat de functionaris(sen) die deze controle uitvoert/uitvoeren geen toegangsrechten verstrekken en/of zelf (beheer)toegang hebben tot de IT-componenten.

• De controle van logging mag ook geautomatiseerd plaatsvinden. Stel dan vast dat configureren van de geautomatiseerde controle(s) juist en volledig plaatsvindt.

Welke documenten/registraties (incl. versienummers) zijn ingezien.