Logfiles en NEN 7513: Het 'vergeten kindje' dat leidt tot de hoogste AVG-boetes
Gepost door
Rob Veen
Samenvatting voor de snelle lezer: Veel zorginstellingen focussen op de nieuwe NEN 7510:2024 (beleid), maar verwaarlozen NEN 7513 (logging). Dit is een kostbare fout. De Autoriteit Persoonsgegevens (AP) deelt de hoogste boetes uit voor het niet kunnen herleiden van onrechtmatige inzage in patiëntdossiers (zoals in de HagaZiekenhuis-casus). Een interne audit die enkel controleert of logging "aan staat", mist de essentie. U moet aantonen dat u logging actief monitort en onregelmatigheden detecteert. Zonder actieve controle is logging slechts digitaal bewijs van uw eigen nalatigheid.
Het is het minst aantrekkelijke onderwerp van de hele IT-beveiliging: Logging.
Het vreet opslagruimte, vertraagt in het slechtste geval de systemen en niemand kijkt er ooit naar. Totdat het misgaat.
Wanneer er een datalek is, of een VIP-patiënt (een bekende Nederlander, een collega, of een politicus) wordt opgenomen, verandert die saaie logfile in uw enige reddingsboei of uw doodvonnis.
Bij AuditDirect zien we een verontrustend patroon. Organisaties halen hun NEN 7510 certificering op basis van beleidsstukken, maar falen technisch op de implementatie van NEN 7513 (Logging van acties op elektronische patiëntdossiers).
Dit artikel legt uit waarom dit 'vergeten kindje' levensgevaarlijk is voor uw organisatie, inclusief harde lessen van de Autoriteit Persoonsgegevens.
De Harde Les van de 'Haga-boete' (Waarom dit telt)
Laten we beginnen met het bewijs dat dit geen theoretisch geneuzel is.
In 2019 legde de Autoriteit Persoonsgegevens (AP) een boete van € 460.000,- op aan het HagaZiekenhuis.
De reden? Tientallen medewerkers hadden onbevoegd in het dossier van een bekende Nederlander ('Barbie') gekeken.
Het ziekenhuis werd niet alleen beboet omdat medewerkers nieuwsgierig waren. Ze werden beboet omdat de interne beveiliging van de logging faalde op twee punten:
Authenticatie: Het was onvoldoende duidelijk wie er precies inlogde (gedeelde accounts/onvoldoende 2FA).
Controle: Het ziekenhuis controleerde de logfiles niet proactief. Ze wisten pas dat er onbevoegd gekeken was nadat het in de media verscheen.
Deze uitspraak schiep een juridisch precedent: Logging zonder monitoring is in strijd met de AVG. Als u niet actief controleert wie er in de dossiers kijkt, bent u in overtreding. Punt.
Wat is NEN 7513 precies?
Veel bestuurders en zelfs IT-managers gooien alles op één hoop. Dat is fout.
NEN 7510:2024 is het managementsysteem. Het zegt: "U moet beleid hebben om gegevens te beschermen."
NEN 7513 is de invulling. Het specificeert exact welke data u moet vastleggen bij elke handeling in een elektronisch patiëntendossier (EPD/ZIS).
Volgens NEN 7513 moet u per gebeurtenis vastleggen:
WIE: De identiteit van de gebruiker (niet 'Systeembeheer', maar 'J. Jansen').
WIE (Patiënt): De identiteit van de patiënt wiens dossier is ingezien.
WANNEER: Datum en tijdstip.
WAT: De aard van de gebeurtenis (Inzage, Mutatie, Printen, Export).
WAARMEE: Het werkstation of device.
De meeste systemen loggen dit wel. De data is er. Maar daar stopt het vaak.
De 3 Dodelijke Fouten in uw huidige Logging Audit
Als uw interne auditor langskomt en vraagt: "Staat logging aan?", en u zegt "Ja", en hij zet een vinkje... dan heeft u een waardeloze audit gehad. Hier zijn de drie fouten die u wél moet toetsen.
1. De "Write-Only" Val
Veel organisaties behandelen logs als een zwart gat. Data gaat erin, en komt er nooit meer uit.
Het Risico: Een hacker zit al 180 dagen in uw netwerk (de gemiddelde 'dwell time' voor detectie). Hij wist zijn sporen langzaam uit. Omdat u nooit kijkt, ziet u de inbraak pas als de ransomware wordt geactiveerd.
De AuditDirect Vraag: "Laat mij het rapport zien van de laatste steekproefcontrole op onrechtmatige inzage. Wanneer heeft de Privacy Officer voor het laatst een 'vreemde' toegang onderzocht?"
2. De "Technische Ruis" (False Positives)
U zet logging aan op 'Debug' niveau. Gevolg: Miljoenen regels logdata per dag.
Het Risico: Als u alles logt, ziet u niets. De spreekwoordelijke naald in de hooiberg. Belangrijke signalen (bijv. 500 downloads in de nacht) verdrinken in de meldingen dat de printerverbinding succesvol is.
De AuditDirect Vraag: "Hoe filteren wij de logs? Welke 'Use Cases' hebben we gedefinieerd voor alarmering?"
3. De Keten-Blindheid (Leveranciers met Sleutels)
U gebruikt een SaaS-oplossing (bijv. ChipSoft, Nedap, Epic). U gaat ervan uit dat zij het regelen.
Het Risico: U bent de Verwerkingsverantwoordelijke. Maar ziet u wat de beheerders van de leverancier doen? Vaak hebben support-medewerkers van de leverancier 'super-admin' rechten ("God-mode") om u te helpen bij incidenten. Wordt hun gedrag gelogd? En controleert u of zij niet onterecht in dossiers kijken?
De AuditDirect Vraag: "Kunnen wij zelfstandig bij de audit-trails van de leverancier zelf, en hoe verifiëren we dat er geen misbruik wordt gemaakt van beheerdersrechten?"
De 'Vinklijst' Audit vs. De 'AVG-Proof' Audit
Hoe weet u of uw huidige aanpak voldoet aan de strenge eisen van de Autoriteit Persoonsgegevens?
Onderwerp | De Standaard Interne Audit (Fout) | De AuditDirect Aanpak (Goed) |
Bewaartermijn | "Bewaren we logs 5 jaar?" | "Staan de logs op een gescheiden server waar systeembeheerders ze niet kunnen wissen (integriteit)?" |
Controle | "Is er een procedure voor controle?" | "Toon aan dat 'intelligent access monitoring' (algoritmes) actief is om afwijkingen te vinden." |
Inhoud | "Wordt er gelogd?" | "Kunnen we een volledige reconstructie maken van de 'patient journey' van patiënt X op dag Y?" |
Alerting | Geen vraag over gesteld. | "Krijgt de CISO een alert als een arts dossiers opent van een afdeling waar hij niet werkt?" |
Technische Oplossing: SIEM voor "Niet-IT'ers"
U kunt dit niet meer met de hand doen (Excel sheets doorzoeken is onbegonnen werk). De oplossing waar de IGJ en AP naartoe sturen is SIEM (Security Information and Event Management).
Veel zorgbestuurders schrikken hiervan: "Dat klinkt als een investering van een ton."
Dat hoeft niet. U hoeft geen eigen 'Cyber Defense Center' te bouwen.
Hoe lost u dit pragmatisch op?
Managed SIEM/SOC: Voor het MKB in de zorg zijn er abonnementen (Security-as-a-Service). U betaalt per maand/gebruiker. Een externe partij kijkt 24/7 naar uw logs en belt u alleen als het écht mis is.
Gebruik wat u heeft: Werkt u met Microsoft 365? De 'Sentinel' functionaliteit kan vaak relatief eenvoudig worden aangezet om in ieder geval uw kantoorautomatisering te bewaken.
Business Logic Regels: Stel simpele regels in binnen uw EPD software (vraag uw leverancier hoe dit moet). Bijvoorbeeld:
De "VIP" Rule: Melding als iemand in het dossier van een bekend persoon of collega kijkt.
De "Volume" Rule: Melding als iemand >50 dossiers per uur opent.
De "Tijd" Rule: Melding bij inloggen tussen 02:00 en 05:00 uur (tenzij nachtdienst).
Als uw interne audit niet controleert of deze regels bestaan en werken, bent u blind.
Begrippenlijst
Zorg dat u deze termen kent voordat u met de auditor (of de inspecteur) in gesprek gaat.
Audit Trail: Een chronologisch overzicht van systeemactiviteiten die voldoende detail bevatten om de volgorde van gebeurtenissen te reconstrueren.
SIEM: Software die logfiles van verschillende bronnen verzamelt en analyseert op afwijkingen.
Onweerlegbaarheid (Non-repudiation): De zekerheid dat iemand niet kan ontkennen dat hij/zij een actie heeft uitgevoerd. In de zorg betekent dit: inloggen met een persoonsgebonden middel (zoals UZI-pas) en géén gedeelde accounts.
Integriteit van Logs: De garantie dat niemand (ook de beheerder niet) logregels kan verwijderen om sporen uit te wissen.
Conclusie: Maak van uw Logfile een Wapen
Een datalek is vervelend. Een datalek dat u niet kunt verklaren omdat uw logs niet op orde zijn, is fataal voor uw reputatie en uw bankrekening.
Stop met het behandelen van NEN 7513 als een administratieve last. Het is uw zwarte doos (zoals in een vliegtuig). Als het misgaat, is dit het enige dat u de waarheid vertelt.
Bij AuditDirect controleren we uw log-processen niet met een checklist, maar met scenario's.
"Stel, ik ben de ex-partner van een medewerker en ik werk op de administratie. Hoe snel merkt u dat ik in het dossier van mijn ex kijk?"
Als het antwoord is: "Dat merken we waarschijnlijk niet", dan heeft u werk te doen.
Wilt u weten of uw organisatie 'Haga-proof' is?
Vraag een interne audit aan waarin we specifiek de NEN 7513 logging en monitoring onder de loep nemen.
Veelgestelde Vragen over Logging
1. Hoe lang moet ik logfiles bewaren volgens NEN 7513?
Hierover bestaat veel verwarring, maar de regelgeving is helder. Het Besluit elektronische gegevensverwerking door zorgaanbieders (Begz) bepaalt dat logregels ten minste 5 jaar moeten worden bewaard. Let op: Gedurende die 5 jaar moet de integriteit gewaarborgd zijn. U moet dus bewijzen dat de logs in jaar 4 niet gewijzigd zijn. Hierbij komt een immutable log server dus goed van pas.
2. Mag ik zomaar logs van medewerkers bekijken? (Privacy van de medewerker)
Nee, dat mag niet zomaar ('snuffelen'). U heeft een protocol nodig waarin staat wanneer en door wie logs bekeken mogen worden (bijvoorbeeld na een signaal van een datalek). Hoewel instemming van de OR (Ondernemingsraad) niet altijd hard vereist is voor de techniek, is het zeer verstandig het protocol wel af te stemmen met de OR om draagvlak te creëren.
3. Is NEN 7513 verplicht voor kleine zorgpraktijken?
Ja. De AVG maakt geen onderscheid in grootte als het gaat om beveiliging van bijzondere persoonsgegevens. Ook een zelfstandige fysiotherapeut moet achteraf kunnen verklaren wie, wanneer in een dossier heeft gekeken.
Bronnen en Verwijzingen:
Autoriteit Persoonsgegevens (AP). Dossier Beveiliging persoonsgegevens. autoriteitpersoonsgegevens.nl
Rechtspraak. Uitspraak Rechtbank Den Haag (HagaZiekenhuis). rechtspraak.nl
NEN. Norm NEN 7513:2018. nen.nl
Overheid.nl. Besluit elektronische gegevensverwerking door zorgaanbieders (Begz).
