Een software-audit log is een registratiemechanisme dat in computersoftware wordt gebruikt om wijzigingen of acties die binnen het softwaresysteem worden uitgevoerd, te volgen en te documenteren. Beschouw het als een digitaal „papieren spoor” dat een gedetailleerde geschiedenis bijhoudt van alle belangrijke activiteiten en interacties die binnen bepaalde softwaretoepassing plaatsvinden.
Wanneer en waarom zou u de auditlogboeken gebruiken
-
Wijzigingen bijhouden: Een van de belangrijkste doelen van een audit log is het bijhouden van wijzigingen die zijn aangebracht in gegevens of instellingen in een softwaretoepassing. Bijvoorbeeld aanmelden, afmelden en wachtwoord opnieuw instellen.
- Beveiliging en naleving: Auditlogboeken zijn cruciaal voor het handhaven van de beveiliging en compliance van een softwaresysteem. Ze helpen ervoor te zorgen dat alleen bevoegde personen wijzigingen aanbrengen, en in geval van ongeautoriseerde toegang of schending van gegevens, ze een overzicht geven van wat er is gebeurd.
- Verantwoordelijkheid: Door vast te leggen wie wijzigingen heeft aangebracht en wanneer, legt een auditlogboek verantwoording af. Het helpt bij het identificeren van verantwoordelijke partijen voor specifieke acties, die essentieel kunnen zijn voor het oplossen van geschillen of fouten.
- Foutdetectie en -oplossing: Als er fouten of afwijkingen optreden in een softwaresysteem, kan het audit log worden gebruikt om vast te stellen wanneer en hoe deze zijn opgetreden. Dit is waardevol voor het diagnosticeren en corrigeren van problemen.
- Wettelijke vereisten: Veel bedrijfstakken en organisaties hebben wettelijke vereisten die het gebruik van auditlogboeken voorschrijven. Naleving van regelgeving vereist vaak het documenteren van alle activiteiten en wijzigingen binnen een systeem.
- Historische gegevens: Een aduit log biedt een historisch archief van de activiteiten van een softwaresysteem. Dit kan nuttig zijn voor analyse, rapportage en besluitvorming, omdat gebruikers hiermee de evolutie van gegevens en instellingen in de loop van de tijd kunnen bekijken.
- Forensisch onderzoek: In geval van verdachte of illegale activiteiten kan een audit log tijdens onderzoeken als waardevol bewijs dienen. Het kan helpen bij het bepalen van de volgorde van de gebeurtenissen en wie erbij betrokken was.
- Gegevensintegriteit: Auditlogboeken helpen de gegevensintegriteit te behouden door ervoor te zorgen dat gegevens consistent en betrouwbaar blijven in de loop van de tijd. Gebruikers kunnen controleren of er niet met gegevens is geknoeid of dat deze zijn beschadigd.
- Procesverbetering: Organisaties kunnen auditloggegevens gebruiken om hun processen te analyseren en te verbeteren. Door de geschiedenis van acties te bestuderen, kunnen ze gebieden identificeren voor optimalisatie en efficiëntieverbeteringen.
Kortom, een software-auditlog is een digitaal hulpmiddel voor het bijhouden van records dat een gedetailleerde geschiedenis van activiteiten binnen een softwaresysteem vastlegt. Het wordt gebruikt om beveiliging, verantwoordelijkheid en compliance te handhaven, wijzigingen te volgen, fouten op te sporen en op te lossen en historische gegevens te analyseren. Het primaire doel is de integriteit en betrouwbaarheid van een softwaresysteem te waarborgen en tegelijkertijd te voldoen aan wettelijke eisen.
Alleen Nederland
Nederland heeft een specifieke eis voor informatiebeveiliging in de gezondheidszorg NEN 7510/3. Gedetailleerde informatie over deze standaard vindt u hier
NEN 7510 gaat over de specifieke structuur van het auditlogboek. NEN 7513 gaat over wat moet worden geregistreerd.
Uit NEN 7513:
'Bescherming van medische gegevens tegen ongeoorloofde toegang en ongeoorloofd gebruik. Patiëntendossiers moeten zodanig worden beveiligd dat zorgverleners, werknemers of derden geen toegang hebben tot dossiers waar ze niets te zoeken hebben.
NEN 7510-1 en NEN 7510-2 zijn normen die eisen stellen en organisaties begeleiden op het gebied van informatiebeveiliging en gezondheidszorg. De primaire doelgroep van NEN 7510 zijn organisaties die werken met persoonlijke gezondheidsinformatie. De normen beschrijven vereisten en een reeks maatregelen die zorginstellingen en andere managers van persoonlijke gezondheidsinformatie moeten nemen om persoonlijke gezondheidsinformatie adequaat te behandelen via een gecontroleerd proces.
CTcue gebruikt de richtsnoeren van NEN 7513 bij het opstellen van de auditlogboeken om ervoor te zorgen dat alle vereiste informatie beschikbaar is, met name: Wie, wat, waar, wanneer en hoe, met betrekking tot de toegang tot medische gegevens.
Toegang tot de audit logs
De toegang tot de audit logs is beperkt tot gebruikers met beheerdersrechten. Als u toegang nodig hebt, dient u contact op te nemen met uw ziekenhuisbeheerder, die u dit kan verlenen.
Administratie > Audit Logs
Het audit log gebruiken
Het scherm audit log bevat verschillende vooraf gedefinieerde filters en gebeurtenistypes om de vereiste informatie vast te leggen en ervoor te zorgen dat alleen de vereiste gegevens in een export worden opgenomen. U kunt desgewenst alle gegevens exporteren zonder Filters of Gebeurtenisbeperkingen toe te passen. Klik op de optie Export Audit logs aan de rechterkant van het scherm om alle beschikbare auditgegevens te exporteren.
Filters
- Datum – Datumbereik van de gebeurtenis(sen) die u wilt vastleggen. Deze optie omvat ook vooraf ingestelde opties voor 'Vorige maand', '6 maanden' en 'Vorig jaar'. Om de gewenste tijdsperiode in te voeren, hoeft u alleen maar de gewenste datum(s) in te voeren, de kalenderoptie of een van de vooraf gedefinieerde opties te gebruiken.
Opmerking: Als u geen tijdstempel selecteert, hebben de geëxporteerde gegevens betrekking op 'Alle tijd', op basis van de andere geselecteerde filters en gebeurtenistypen.
- Gebruiker(s) – hier kunt u een of meerdere gebruikers selecteren door hun e-mailadres in te voeren of op de vervolgkeuzelijst te klikken om een lijst met alle beschikbare gebruikers weer te geven en vervolgens op de gewenste gebruiker te klikken. U hoeft alleen maar het proces te herhalen om meerdere gebruikers toe te voegen. De weergegeven lijst met gebruikers is beperkt tot actieve gebruikers.
Opmerking: Als u niet ten minste één gebruiker selecteert, worden alle gebruikers geëxporteerd op basis van andere geselecteerde filters en gebeurtenistypes.
- Project(en) – Selecteer de project(en) waarvoor u het auditlogboek wilt bekijken. U kunt de projectnaam typen en er vervolgens op klikken om deze te selecteren of de vervolgkeuzelijst gebruiken om alle projecten te bekijken en de project(en) selecteren die u wilt opnemen.
Opmerking: Als u niet ten minste één project selecteert, worden alle projecten geëxporteerd op basis van de andere geselecteerde filters en gebeurtenistypen.
- Patiënt-ID('s) – als u de auditgegevens voor een specifieke patiënt(en) wilt bekijken/vinden, kunt u de patiënt-ID(s) van de EHR hier invoeren. De ID('s) kunnen op één regel of op meerdere regels worden ingevoerd. Als u meerdere ID's toevoegt, moet u een spatie of komma tussen elk item plaatsen, bijvoorbeeld 12345 6789 of 12345.6789.
Opmerking: Als u niet ten minste één patiënt-ID invoert, worden alle patiënten geëxporteerd op basis van de andere geselecteerde filters en voorvaltypen.
Export samenvatting
Het exportoverzicht aan de rechterkant van het scherm 'audit logs' geeft u een overzicht van de audit op basis van de filters die u hebt toegepast en alle geselecteerde gebeurtenistypes. Hiermee kunt u in één oogopslag de details zien van de audit die u maakt voordat u de export uitvoert.
Als u bijvoorbeeld ziet dat het totale aantal gebeurtenissen 0 is, zijn de filters die u hebt toegepast te beperkt of zijn er gewoon geen gegevens voor de gegeven filters, bijvoorbeeld een bepaalde gebruiker. Standaard zijn alle gebeurtenistypes geselecteerd.
In het Exportoverzicht worden ook de details weergegeven van het tijdstip waarop de export eerder werd gebruikt.
Gebeurtenis typen
In het gedeelte gebeurtenistypen van het scherm Audit kunt u het type informatie selecteren dat u wilt opnemen in de audit-export. Dit gedeelte van het scherm Audit bestaat uit 4 onderdelen, zoals hieronder beschreven.
Het gedeelte Gebeurtenis typen is onderverdeeld in 4 gebieden:
1. Gebruiker
Met deze gebeurtenissen kunt u rapporteren over gebruiker gerelateerde activiteiten, zoals Aanmelden/Afmelden.
2. Project
Met deze gebeurtenissen kunt u rapporteren over het project, bijvoorbeeld wanneer een project is aangemaakt, bijgewerkt of verwijderd.
3. Beheerder
Met deze gebeurtenissen kunt u rapporteren over wijzigingen op beheerdersniveau, zoals gebruikersmachtigingen.
4. Patiëntgegevens
Met deze gebeurtenissen kunt u rapporteren welke patiëntgegevens zijn opgenomen in een bepaald project en, in combinatie met de typen gebruikers- en projectgebeurtenissen, door wie en wanneer.
Scenario
Een gebruiker kan zich zorgen maken dat zijn of haar aanmeldingsgegevens zijn gebruikt om toegang te krijgen tot het systeem zonder dat hij of zij het weet. Het scherm Audit kan snel worden gebruikt om te bepalen of dit het geval is of dat er mislukte aanmeldingspogingen zijn geweest. Met behulp van de filters en gebeurtenistypes hieronder kunt u zien of dergelijke pogingen tot aanmelding hebben plaatsgevonden.
In dit voorbeeld zijn de filters ingesteld voor de laatste 6 maanden en de gebruiker is de persoon die denkt dat zijn account is gebruikt/geopend. In dit stadium zijn geen andere filters nodig.
Als u een specifieke sectie wilt openen, klikt u op de sectiekop aan de linkerkant. De blauwe verticale balk geeft het gedeelte aan dat u momenteel bekijkt. Onder elke sectie ziet u het aantal beschikbare gebeurtenistypes en van deze typen, hoeveel er momenteel zijn geselecteerd.
Voordat u de vereiste gebeurtenistypes kiest, wordt u door een snelle controle van het exportoverzicht geïnformeerd of er gebeurtenissen zijn geweest in het tijdsbestek dat voor deze gebruiker is geselecteerd. Als alle gebeurtenistypes zijn geselecteerd, onthoud dan dat dit de standaardinstelling is en het totale aantal gebeurtenissen nul is, dan hoeft u niet verder te gaan, omdat dit bevestigt dat het systeem geen toegang heeft en er geen mislukte aanmeldingspogingen zijn geweest. We gaan ervan uit dat er nog steeds gebeurtenissen zijn geregistreerd, voor dit voorbeeld.
Nu de filters zijn ingesteld en gebeurtenissen zijn vastgelegd, kunnen de gebeurtenistypes worden ingesteld om de gegevens met betrekking tot dit scenario op te halen. In plaats van alle soorten evenementen die u niet nodig hebt uit te schakelen, is het veel eenvoudiger om de optie ‘selecteer - Niets’ te gebruiken, om alle 47 soorten evenementen te deselecteren en vervolgens de gewenste typen te selecteren.
Aangezien dit scenario aanvankelijk betrekking had op gebruikerstoegang, zijn alleen de typen gebruikersgebeurtenissen nodig. Vink gewoon de opties aan die u wilt opnemen.
In deze fase is het weer handig om de export samenvatting te controleren, als het totale aantal gebeurtenissen nul is, is er geen verdere actie nodig. Als er gebeurtenissen zijn die u kunt selecteren en deselecteren om te zien hoe dit van invloed is op het voorvaloverzicht, helpt dit u om te bepalen welke gegevens voor deze gebeurtenissen zijn geregistreerd. Als ik bijvoorbeeld 'Aanmelding mislukt, ongeldig wachtwoord’ deselecteer, geeft de samenvatting nul events (geen data) weer. Dit betekent dat er weliswaar pogingen zijn gedaan om in te loggen bij het systeem, maar dat er geen succesvol resultaat is omdat er geen gebeurtenisgegevens zijn geregistreerd voor de login-gebeurtenis. Voor dit voorbeeld, we eindigen in deze fase, zijn er een paar manieren om dit scenario te volgen:
- U kunt het auditscherm gebruiken, zonder dat u de gegevens hoeft te exporteren. Exporteren is de laatste fase en u gebruikt dit alleen indien nodig. Controleer altijd het Exportoverzicht.
- Ook al waren er geen succesvolle aanmeldingen bij het systeem, toch zou het raadzaam zijn om verder te gaan met de export, aangezien het bestand informatie bevat over het 'wie' in de vorm van het IP-adres en dit kan worden gebruikt voor verder onderzoek door uw IT-team.
De auditgegevens exporteren en downloaden
Nadat u de vereiste filters hebt toegepast en de specifieke gebeurtenistypes hebt gekozen waarin u geïnteresseerd bent, kunt u de auditgegevens exporteren. Het is de moeite waard om in dit stadium het Exportoverzicht te bekijken om te bevestigen dat er gebeurtenissen zijn die aan uw criteria voldoen.
Om toegang te krijgen tot de auditgegevens zijn 2 stappen nodig:
1. Auditlogboeken exporteren
Hiermee exporteert u een bestand op basis van uw filters en gebeurtenistypes naar een tijdelijke map. U ziet een voortgangsbalk terwijl dit gebeurt en het systeem bevestigt dit zodra het proces is voltooid. U kunt ook zien wanneer de laatste export is voltooid.
2. Download auditlogboeken
Zodra het exporteren is voltooid, kunt u het bestand downloaden als een Excel-werkblad. Het laatste gedeelte van de bestandsnaam is de datum waarop het exporteren is voltooid. Opmerking: Als u de audit logs exporteert en vervolgens de filters of gebeurtenistypes wijzigt en nogmaals op de audit logs exporteren drukt, wordt het eerder geëxporteerde bestand overschreven.
Het controlelogboek begrijpen
Het audit log wordt eenvoudig geproduceerd in Excel-indeling, waardoor het zeer gemakkelijk te lezen en te integreren is, mocht dat nodig zijn. Elk veld in het bestand wordt uitgevoerd naar een afzonderlijke kolom, met uitzondering van de kolom 'entiteiten' die de projectdetails bevat. Deze kolom is gescheiden door komma's en kan eenvoudig worden geconverteerd naar afzonderlijke kolommen, indien nodig met behulp van de functie Tekst naar kolommen die is ingebouwd in Excel. Het bestand bevat in totaal 26 kolommen en bevat een volledige beschrijving van de wie, wat, waar, wanneer en hoe, volgens de richtlijnen van NEN 7513 (alleen Nederland).
- Wie – in de kolommen met gebruikersgerelateerde informatie wordt de wie behandeld.
- Wat – is beperkt tot de ziekenhuis-ID.
- Waar – de locatie waar de logboekregistratie heeft plaatsgevonden, zoals het IP-adres (toegangs-id)
- Wanneer – de UTC-datum waarop de gegevens zijn geopend.
- Hoe – dit is iets lastiger, maar in wezen is dit het downloaden van de exportresultaten of het bekijken van vragen. De informatie in dit auditbestand omvat de hoe, zoals deze de acties beschrijft die een gebruiker binnen de toepassing heeft ondernomen.
Voor meer informatie over het gebruik van de functie Audit kunt u contact opnemen met het ondersteuningsteam support@ctcue.com