Deze maatregel borgt dat Aangeslotenen regelmatig controleren of alleen gerechtigde gebruikers toegang hebben tot relevante IT-componenten (waaronder servers, databases en netwerkinfrastructuur).

Toegangsrechten die zijn verstrekt op IT-componenten waar persoonlijke gegevens worden verwerkt, worden ten minste maandelijks gecontroleerd, ook door eventuele onderaannemers. Functiescheiding is hierbij gewaarborgd en tijdens de controle wordt expliciet aandacht geschonken aan medewerkers die geen gebruik (meer) maken van de toegangsrechten (met aantoonbare opvolging).

De gedachte bij dit normelement is dat een informatie-eigenaar periodiek toetst of de juiste personen ook daadwerkelijk bij de juiste gegevens kunnen en of dat (1) er geen accounts onnodig actief zijn, en (2) of dat de actieve accounts niet te veel rechten hebben. De verantwoordelijkheid hiertoe ligt bij de betreffende Dienstverlener.

A.9.2.5 Beoordeling van toegangsrechten van gebruikers

• Stel op basis van de procedures vast dat toegangsrechten op relevante IT-componenten (waaronder servers, databases en netwerkinfrastructuur) waar persoonlijke gegevens worden opgeslagen of worden verwerkt maandelijks gecontroleerd worden, ook door eventuele onderaannemers.

• Stel vast dat de functionaris(sen) die deze controle uitvoert/uitvoeren geen toegangs­rechten verstrekken en/of zelf (beheer)toegang hebben tot deze IT-componenten.

• Indien de controle van toegangsrechten geautomatiseerd plaatsvindt, stel dan vast dat configuratie van de geautomatiseerde controle(s) juist en volledig plaatsvindt.

• Welke informatie / procedures (incl. versienummers) zijn ingezien.

• Met wie gesproken is ter bevestiging van toepassing van de maatregelen.