085 - 3010 880 info@mijndiad.nl

Beveiliging en privacy

Laatst bijgewerkt: 22 mei 2017

Inleiding

MijnDiAd wordt gebruikt om uw cliëntgegevens in vast te leggen. Naast namen, adressen en contactgegevens worden er ook zogeheten bijzondere persoonsgegevens in vastgelegd. Het gaat hier om bijvoorbeeld het BSN-nummer en medische gegevens van de cliënt.

Omdat het om (zeer) gevoelige gegevens kan gaan is een adequate beveiliging uiterst belangrijk. Op deze pagina lichten we toe hoe we omgaan met de beveiliging van uw gegevens.

De beveiliging heeft een juridische en een technische kant. Juridisch gaat het om welke afspraken er gemaakt zijn en hoe deze zijn vastgelegd. De technische kant gaat over de manier waarop de techniek is ingeregeld om uw cliëntgegevens zo goed mogelijk te beschermen.

Vooropgesteld: de gebruiker is vaak de zwakste schakel. Als er niet zorgvuldig wordt omgegaan met inloggegevens, dan heeft de beveiliging daarna weinig zin. Ter vergelijking: een gigantische kluisdeur waarvan je de sleutel onder de mat legt zal geen goede beveiliging opleveren.

 

U blijft eigenaar van de gegevens

Alle gegevens die u of uw cliënten in MijnDiAd invoeren blijven van u. Wij verwerken enkel gegevens en zorgen voor de beschikbaarheid van de gegevens. U kunt de gegevens altijd exporteren voor andere doeleinden. We gebruiken uw gegevens enkel om MijnDiAd te verbeteren en om MijnDiAd voor u beschikbaar te hebben. We zullen uw gegevens niet verkopen en we zullen niet zonder uw toestemming contact met uw cliënten opnemen.

Juridisch

In de Wet Bescherming Persoonsgegevens is de regelgeving m.b.t. het verwerken van persoonsgegevens vastgelegd. Belangrijke uitgangspunten hierbij zijn:

  1. Zorg voor de juiste grondslag voor de verwerking van de persoonsgegevens. Leg alleen gegevens vast die van belang zijn voor de behandeling van de cliënt. Sla geen gegevens op die misschien ‘ooit van pas komen’.
  2. Informeer cliënten over het doeleinde waarvoor de gegevens verwerkt worden. Dit kan bijvoorbeeld zijn voor het opstellen van een juiste factuur of het kunnen volgen van de resultaten van een behandeling.
  3. Zorg voor passende maatregelen om persoonsgegevens te beveiligen. Dit gaat over alle gegevens, ongeacht de vorm waarin ze zijn vastgelegd. Gegevens die in MijnDiAd worden opgeslagen dienen beveiligd te zijn, maar ook voor persoonsgegevens die op papier staan dienen passende maatregelen genomen te worden (liggen dossiers bijvoorbeeld in een kluis).

Voor de wet is MijnDiAd een bewerker en is de klant van MijnDiAd de verantwoordelijke. MijnDiAd verwerkt namelijk enkel gegevens in opdracht van haar klanten. In de algemene voorwaarden van MijnDiAd is daarom een zogeheten bewerkersovereenkomst opgenomen. Hierin zijn de verplichtingen m.b.t. de verwerking van de persoonsgegevens tussen u en MijnDiAd vastgelegd. Daarnaast is hierin een geheimhoudingsplicht opgenomen.

Als u klant wordt bij MijnDiAd dient u akkoord te gaan met de algemene voorwaarden en de hierin opgenomen bewerkersovereenkomst.

Daarnaast maakt MijnDiAd gebruik van derde partijen die toegang hebben tot de persoonsgegevens. Ook met deze partijen (hostingpartij en systeembeheerder) heeft MijnDiAd bewerkersovereenkomsten inclusief geheimhoudingsplicht afgesloten. Deze bewerkersovereenkomsten kunt u bij MijnDiAd ter inzage opvragen.

Door deze overeenkomsten kunt u aantonen dat er duidelijke afspraken zijn en dat geheimhouding gewaarborgd is.

Technisch

Naast de juridische kant draagt MijnDiAd zorg voor een adequate beveiliging van MijnDiAd. Uw gegevens worden op een server (een computer, speciaal ingericht voor MIjnDiAd) in Nederland opgeslagen. Dit wordt vaak ‘werken in de cloud’ genoemd. Dit betekent dat de server op internet is aangesloten zodat u overal bij uw cliëntgegevens kunt. Het beveiligen van de gegevens doen we op de volgende manieren:

  1. Alle gegevens worden enkel over een HTTPS-verbinding (SHA-256 met RSA-codering) verzonden.
  2. Klanten worden verplicht een sterk wachtwoord te gebruiken.
  3. Het is mogelijk om two-factor-authenticatie te gebruiken. Hierdoor is naast het wachtwoord een extra code nodig om in te kunnen loggen op MijnDiAd.
  4. De servers die gebruikt worden voor het bewaren van uw gegevens staan in Nederland in een beveiligd datacentrum van Tilaa. Dit datacentrum heeft verschillende certificeringen om een stabiele en veilige toegang voor MijnDiAd te realiseren:
    • ISO/IEC 27001:2013 gecertificeerd
    • PCI DSS 3.2 gecertificeerd
    • ISO/IEC 9001:2008 gecertificeerd
    • NEN 7510:2011 gecertificeerd
    • ISAE 3402 Type I
  5. U heeft een eigen database met alle gegevens. Voor elke klant hebben we een aparte silo zodat u nooit de gegevens van een andere klant kan zien.
  6. Elke 24 uur maken we een beveiligde back-up naar een andere locatie in Nederland.

Mocht u vragen hebben over de beveiliging of geheimhouding van uw cliëntgegevens neem dan gerust contact met ons op.