Transparante en veilige logging bij Johan
Bij Johan hechten we veel waarde aan transparantie en veiligheid als het gaat om logging en monitoring. Daarom worden logbestanden van onze productieomgeving automatisch gegenereerd en periodiek beoordeeld door ons development team.
Wat is vastgelegd?
24/7 logging en monitoring.
Syslogging is een uitbesteed proces en wordt ingericht en afgehandeld door hostingpartij True BV. Zij garanderen syslogging en monitoring van alle logins en events op servers en netwerkcomponenten zoals routers, firewalls en switches e.d. Syslogging omvat onder meer alle logging met betrekking tot hardware events, aanmeldpogingen, authenticatie, OS-changes en services. Deze logs worden periodiek beoordeeld. Kritieke logentry’s zoals errors en exceptions worden daarnaast gepushed naar de monitoring omgeving van Johan BV zelf en direct beoordeeld door het devop team. Monitoring en capaciteitsbeheer vindt plaats op alle essentiële onderdelen, zowel m.b.t. hardware als services. Voor alle processen zijn targets vastgelegd en (waar het een uitbesteed proces betreft) opgenomen in een SLA. Monitoring of processen aan gestelde eisen voldoen is van toepassing; bij non-conformiteit vindt automatisch terugkoppeling plaats via notificaties naar zowel True BV als naar Johan BV.Applicatie logging:
Johan verzorgt logging op applicatieniveau met tools zoals Papertrail en New Relic. Deze Informatie over individuele gebruikersacties binnen het systeem wordt strikt vertrouwelijk behandeld en alleen verstrekt bij een incident.Logging van wijzigingen op persoonsgegevens.
Voor alle wijzigingen op persoonsgegevens in het Johan Portaal is een audittrail van toepassing. Alle wijzigingen op persoonsgegevens en gezondheidsdata door zorgprofessionals worden gelogd. (Wie heeft welke wijziging doorgevoerd in welke data op welk moment?) Logs zijn ter inzage voor sysops. Logging wordt deels direct inzichtelijk gemaakt in het Johan Portaal bij de gebruiker die gezondheidsdata invoert, wijzigt of verwijdert. Dit "changelog" is ook beschikbaar voor berekeningen dmv "dependencies". Lees: als er een dependency wordt aangepast op een manier die effect heeft op het berekenen van resultaten, dan wordt ook die wijziging gelogd.Notificaties bij incidenten.
Voor alle logging geldt dat er notificaties ingesteld zijn voor kritieke logentry’s zoals errors en exceptions: deze worden gepushed naar zowel hostingpartij True als naar Johan BV zelf en direct beoordeeld. Na beoordeling worden eventuele noodzakelijke wijzigingen afgehandeld middels een incident- en wijzigingsprocedure.
Compliance met ISO-27001:2023 en NEN-7510-1:2017
Logging is compliant met ISO-27001:2023 en NEN-7510-1:2017. Relevante controls zijn opgenomen in de VVT, waaronder de aan logging gerelateerde controls uit Annex A van de ISO-27001:2023 norm (o.a. 8.15, 8.16, 5.7, 5.28, 5.30, 8.6) en de controls uit de NEN-7510-1:2017 norm (o.a. 12.4.1, 12.4.2, 16.1.2 en 16.1.4).
Daar waar logging een uitbesteed proces is, borgt Johan complicance door aan de betreffende leverancier dezelfde eisen te stellen, deze vast te leggen in SLA’s en verwerkersovereenkomsten en de leverancier periodiek te controleren.
Beveiliging en Toegang
Onze logging is beschermd tegen manipulatie en onbevoegde toegang door o.a. Alleen-lezen instellingen voor logbestanden en databases en door strikte toegangsbeperking.
Wanneer worden logs beoordeeld?
Logs worden standaard gemonitord door de devops. Daarnaast kan om aanvullende beoordeling gevraagd worden indien de directie of de security officer daar aanleiding toe ziet. Dit geldt ook voor logs van functionele beheerders binnen het Johan Portaal.
Met deze aanpak garanderen we zowel veiligheid als naleving van ethische standaarden, terwijl we de juiste balans vinden tussen transparantie en vertrouwelijkheid.
Heb je vragen over logging of monitoring? Neem gerust contact met ons op!