Welke audit-trail eisen kent NEN 7510 voor patientendossiers?
NEN 7510 vraagt dat elke toegang tot patientgegevens herleidbaar is tot een natuurlijke persoon, met logging op inzage, mutatie en export. Doel is misbruik kunnen detecteren en aantonen wat er met dossiers is gebeurd.
support/compliance-en-wetgeving/audit-trail-nen-7510stappen: 5
Probeer dit eerst zelf
- Schakel logging op het EPD aan voor inzage, wijziging, export, printen en delen. Anonieme of gedeelde accounts moeten weg, anders is logging waardeloos.
- Bewaar logs voldoende lang om een steekproefonderzoek mogelijk te maken. De juiste termijn vraag je via de NEN 7510-tekst en je interne risicoanalyse na, niet uit het hoofd.
- Bouw periodieke logreview in. Een willekeurige steekproef per maand op opvallende inzagen (eigen familie, BN'ers, ex-collega's) is gangbare praktijk.
- Beveilig de logs zelf. Read-only opslag, beperkte toegang, en logging op wie de logs raadpleegt.
- Documenteer het proces. Wie reviewt, hoe vaak, welke escalatie bij vermoeden van misbruik, en hoe je betrokkenen informeert als blijkt dat hun dossier onrechtmatig is bekeken.
Wanneer ons inschakelen
Vermoeden van onrechtmatige inzage of een datalek met patientgegevens vraagt directe melding aan AP, FG en eventueel IGJ. Schakel ondersteuning in.
Zie ook
- Valt mijn bedrijf onder NIS2 of niet?Twee vragen bepalen het: zit je in een aangewezen sector, en haal je de drempel uit Aanbeveling 2003/361/EG (meer dan 50 fte en meer dan 10M omzet of balans). Daaronder val je alleen indirect, via je klanten. De drempel maakt je belangrijke of essentiele entiteit afhankelijk van sector.
- Wat verandert er met de Cyberbeveiligingswet?De Cyberbeveiligingswet is de NL-implementatie van NIS2 en treedt gefaseerd in werking. Controleer NCSC voor de actuele inwerkingtredingsdatum en lagere regelgeving.
- Ben ik als directeur persoonlijk aansprakelijk onder NIS2?Ja, het bestuur is verantwoordelijk voor goedkeuring en toezicht op de cybermaatregelen. Bij ernstige nalatigheid kan dat persoonlijk worden.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.