Beveiliging en privacy

Laatst bijgewerkt: 7 maart 2019

Inleiding

MijnDiAd wordt gebruikt om cliëntgegevens in vast te leggen. Naast namen, adressen en contactgegevens worden er ook zogeheten bijzondere persoonsgegevens in vastgelegd. Het gaat hier om bijvoorbeeld medische gegevens of het BSN nummer van de cliënt.

Omdat het om (zeer) gevoelige gegevens kan gaan is een adequate beveiliging uiterst belangrijk. Daarnaast is vanaf 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) van kracht. Deze Europese privacywetgeving stelt meer eisen aan organisaties om de privacy van consumenten te waarborgen. Een adequate beveiliging is hierdoor nog belangrijker geworden.

De beveiliging heeft een juridische en een technische kant. Juridisch gaat het om welke afspraken er gemaakt zijn en hoe deze zijn vastgelegd. De technische kant gaat over de manier waarop de techniek is ingeregeld om de cliëntgegevens zo goed mogelijk te beschermen.

Vooropgesteld: de gebruiker is vaak de zwakste schakel. Als er niet zorgvuldig wordt omgegaan met inloggegevens, dan heeft de beveiliging daarna weinig zin. Ter vergelijking: een gigantische kluisdeur waarvan je de sleutel onder de mat legt zal geen goede beveiliging opleveren.

 

Jij blijft eigenaar van de gegevens

Alle gegevens die jij of jouw cliënten in MijnDiAd invoeren blijven van jou. Wij verwerken enkel gegevens en zorgen voor de beschikbaarheid van de gegevens. Je kunt de gegevens altijd exporteren voor andere doeleinden. We gebruiken je gegevens enkel om MijnDiAd te verbeteren en om MijnDiAd voor jou beschikbaar te hebben. We zullen je gegevens niet verkopen en we zullen niet zonder je toestemming contact met jouw cliënten opnemen.

Juridisch / AVG

In de Wet Bescherming Persoonsgegevens is de regelgeving m.b.t. het verwerken van persoonsgegevens vastgelegd. Deze wet is vanaf 25 mei 2018 vervangen door de AVG wetgeving. Belangrijke uitgangspunten hierbij zijn:

  1. Zorg voor de juiste grondslag voor de verwerking van de persoonsgegevens. Leg alleen gegevens vast die van belang zijn voor de behandeling van de cliënt. Sla geen gegevens op die misschien ‘ooit van pas komen’.
  2. Informeer cliënten over het doeleinde waarvoor de gegevens verwerkt worden. Dit kan bijvoorbeeld zijn voor het opstellen van een juiste factuur of het kunnen volgen van de resultaten van een behandeling.
  3. Zorg voor passende maatregelen om persoonsgegevens te beveiligen. Dit gaat over alle gegevens, ongeacht de vorm waarin ze zijn vastgelegd. Gegevens die in MijnDiAd worden opgeslagen dienen beveiligd te zijn, maar ook voor persoonsgegevens die op papier staan dienen passende maatregelen genomen te worden (liggen dossiers bijvoorbeeld in een afgesloten kluis).

Voor de wet is MijnDiAd een verwerker en is de klant van MijnDiAd de verantwoordelijke. MijnDiAd verwerkt namelijk enkel gegevens in opdracht van haar klanten. De afspraken die we hierover met klanten maken zijn vastgelegd in een verwerkersovereenkomst. Hierin zijn de verplichtingen m.b.t. de verwerking van de persoonsgegevens tussen jou en MijnDiAd vastgelegd. Daarnaast is hierin een geheimhoudingsplicht opgenomen.

Als je klant wordt bij MijnDiAd dien je akkoord te gaan met de algemene voorwaarden, privacyverklaring en verwerkersovereenkomst.

Daarnaast maakt MijnDiAd gebruik van derde partijen die toegang hebben tot de persoonsgegevens. Ook met deze partijen (hostingpartij en systeembeheerder) heeft MijnDiAd verwerkersovereenkomsten inclusief geheimhoudingsplicht afgesloten. Deze verwerkersovereenkomsten kun je bij MijnDiAd ter inzage opvragen.

Door deze overeenkomsten kun je aantonen dat er duidelijke afspraken zijn en dat geheimhouding gewaarborgd is.

Technisch

Naast de juridische kant draagt MijnDiAd zorg voor een adequate beveiliging van MijnDiAd. Jouw gegevens worden op een server (een computer, speciaal ingericht voor MijnDiAd) in Nederland opgeslagen. Dit wordt vaak ‘werken in de cloud’ genoemd. Dit betekent dat de server op internet is aangesloten zodat je overal bij jouw cliëntgegevens kunt. Het beveiligen van de gegevens doen we op de volgende manieren:

  1. Alle gegevens worden enkel over een HTTPS-verbinding (SHA-256 met RSA-codering) verzonden.
  2. De gevoelige gegevens (zoals de NAW, gegevens, mailadressen en rapportages) worden versleuteld in de database opgeslagen.
  3. Klanten worden verplicht een sterk wachtwoord te gebruiken.
  4. Het is verplicht om twee-staps-verificatie te gebruiken. Hierdoor is naast het wachtwoord een extra code nodig (die wordt gegenereerd op je telefoon) om in te kunnen loggen op MijnDiAd.
  5. De servers die gebruikt worden voor het bewaren van de gegevens staan in Nederland in een beveiligd datacentrum van Previder. Dit datacentrum heeft verschillende certificeringen om een stabiele en veilige toegang voor MijnDiAd te realiseren:
    • ISO 27001:2013 gecertificeerd
    • ISO 14001:2015 gecertificeerd
    • ISO 9001:2015 gecertificeerd
    • NEN 7510 gecertificeerd
  6. Elke klant heeft een eigen database.
  7. Elke 24 uur wordt er een back-up gemaakt van de databases
  8. De actuele gegevens staan altijd op 2 fysiek gescheiden locaties. Bij een ramp, kan hierdoor worden overgeschakeld naar de andere locatie.

Mocht je vragen hebben over de beveiliging of geheimhouding van cliëntgegevens neem dan gerust contact met ons op.

MijnDiAd maakt gebruik van cookies

We nemen je privacy serieus. Door gebruik te maken van deze website ga je akkoord met onze Privacyverklaring. Deze website maakt gebruik van cookies om o.a. statistieken bij te houden.

Mogen we ook trackingcookies plaatsen voor gerichte marketing? Klik dan op Oké. Wil je dit niet, klik dan op Niet oké, we zullen dan geen trackingcookies plaatsen.