A. 9.2.5 Beoordeling van toegangsrechten van gebruikers
Norm
| Rationale | Deze maatregel borgt dat partijen regelmatig controleren of alleen gerechtigde gebruikers toegang hebben tot relevante IT-componenten (waaronder servers, databases en netwerkinfrastructuur). |
|---|
| Implementatie | - Toegangsrechten die zijn verstrekt op IT-componenten waar persoonlijke gezondheidsgegevens worden worden verwerkt MOETEN ten minste maandelijks worden gecontroleerd.
- Hierbij MOET functiescheiding gewaarborgd zijn.
- Dit geldt ook voor eventuele onderaannemers.
- Tijdens deze controle moet aandacht zijn voor medewerkers die geen gebruik (meer) maken van de toegangsrechten (met aantoonbare opvolging).
|
|---|
| NEN 7510:2017 | A.9.2.5 Beoordeling van toegangsrechten van gebruikers |
|---|
| NEN 7510:2011 | A.11.2.4 Beoordeling van toegangsrechten van gebruikers |
|---|
Beoordeling
Auditmethode | - Stel op basis van de procedures vast dat toegangsrechten op servers, databases en netwerkinfrastructuur waar persoonlijke gezondheidsgegevens worden opgeslagen of worden verwerkt maandelijks gecontroleerd worden. Dit geldt ook voor eventuele onderaannemers.
- Stel vast dat de functionaris(sen) die deze controle uitvoert/uitvoeren geen toegangsrechten verstrekken en/of zelf (beheer)toegang hebben tot de IT-componenten.
- De controle van toegangsrechten mag ook geautomatiseerd plaatsvinden. Stel dan vast dat configureren van de geautomatiseerde controle(s) juist en volledig plaatsvindt
|
|---|
Verificatie | Welke procedures (incl. versienummers) zijn ingezien. |
|---|
Rollen
DVP = Dienstverlener persoon, DVA = Dienstverlener aanbieder, BO = Beheerorganisatie
