A.12.4.3 Logbestanden van beheerders en operators
Norm
| Rationale | Deze maatregel borgt dat partijen regelmatig controleren of alleen gerechtigde gebruikers toegang hebben tot relevante IT-componenten (waaronder servers, databases en netwerkinfrastructuur). |
|---|
| Implementatie | - Het gebruik van toegangsrechten op IT-componenten waar persoonlijke gezondheidsgegevens worden verwerkt MOET worden gelogd;
- Deze logging MOET ten minste maandelijks worden gecontroleerd. Dit geldt ook voor eventuele onderaannemers;
- Hierbij MOET functiescheiding gewaarborgd zijn;
- Tijdens deze controle moet aandacht zijn voor onterecht/onnodig gebruik door medewerkers (met aantoonbare opvolging).
|
|---|
| NEN 7510-1:2017 | A.9.2.5 Beoordeling van toegangsrechten van gebruikers |
|---|
| NEN 7510:2011 | A.11.2.4 Beoordeling van toegangsrechten van gebruikers |
|---|
Beoordeling
Auditmethode | - Stel op basis van de procedures vast dat de logging van servers, databases en netwerkinfrastructuur waar persoonlijke gezondheidsgegevens worden opgeslagen of worden verwerkt maandelijks gecontroleerd worden.
- Stel vast dat de functionaris(sen) die deze controle uitvoert/uitvoeren geen toegangsrechten verstrekken en/of zelf (beheer)toegang hebben tot de IT-componenten.
- De controle van logging mag ook geautomatiseerd plaatsvinden. Stel dan vast dat configureren van de geautomatiseerde controle(s) juist en volledig plaatsvindt.
|
|---|
Verificatie | Welke documenten/registraties (incl. versienummers) zijn ingezien. |
|---|
Rollen
DVP = Dienstverlener persoon, DVA = Dienstverlener aanbieder, BO = Beheerorganisatie
