Beveiliging en privacy

Laatst bijgewerkt: 26 oktober 2018

Inleiding

MijnDiAd wordt gebruikt om uw cliëntgegevens in vast te leggen. Naast namen, adressen en contactgegevens worden er ook zogeheten bijzondere persoonsgegevens in vastgelegd. Het gaat hier om bijvoorbeeld medische gegevens of het BSN nummer van de cliënt.

Omdat het om (zeer) gevoelige gegevens kan gaan is een adequate beveiliging uiterst belangrijk. Daarnaast wordt vanaf 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) van kracht. Dit is nieuwe Europese privacywetgeving waarmee de waarborging van de privacy van uw cliënten en een adequate beveiliging van de gegevens nog belangrijker wordt.

De beveiliging heeft een juridische en een technische kant. Juridisch gaat het om welke afspraken er gemaakt zijn en hoe deze zijn vastgelegd. De technische kant gaat over de manier waarop de techniek is ingeregeld om uw cliëntgegevens zo goed mogelijk te beschermen.

Vooropgesteld: de gebruiker is vaak de zwakste schakel. Als er niet zorgvuldig wordt omgegaan met inloggegevens, dan heeft de beveiliging daarna weinig zin. Ter vergelijking: een gigantische kluisdeur waarvan je de sleutel onder de mat legt zal geen goede beveiliging opleveren.

 

U blijft eigenaar van de gegevens

Alle gegevens die u of uw cliënten in MijnDiAd invoeren blijven van u. Wij verwerken enkel gegevens en zorgen voor de beschikbaarheid van de gegevens. U kunt de gegevens altijd exporteren voor andere doeleinden. We gebruiken uw gegevens enkel om MijnDiAd te verbeteren en om MijnDiAd voor u beschikbaar te hebben. We zullen uw gegevens niet verkopen en we zullen niet zonder uw toestemming contact met uw cliënten opnemen.

Juridisch / AVG

In de Wet Bescherming Persoonsgegevens is de regelgeving m.b.t. het verwerken van persoonsgegevens vastgelegd. Deze wet wordt vanaf 25 mei vervangen door de AVG wetgeving. Belangrijke uitgangspunten hierbij zijn:

  1. Zorg voor de juiste grondslag voor de verwerking van de persoonsgegevens. Leg alleen gegevens vast die van belang zijn voor de behandeling van de cliënt. Sla geen gegevens op die misschien ‘ooit van pas komen’.
  2. Informeer cliënten over het doeleinde waarvoor de gegevens verwerkt worden. Dit kan bijvoorbeeld zijn voor het opstellen van een juiste factuur of het kunnen volgen van de resultaten van een behandeling.
  3. Zorg voor passende maatregelen om persoonsgegevens te beveiligen. Dit gaat over alle gegevens, ongeacht de vorm waarin ze zijn vastgelegd. Gegevens die in MijnDiAd worden opgeslagen dienen beveiligd te zijn, maar ook voor persoonsgegevens die op papier staan dienen passende maatregelen genomen te worden (liggen dossiers bijvoorbeeld in een kluis).

Voor de wet is MijnDiAd een verwerker en is de klant van MijnDiAd de verantwoordelijke. MijnDiAd verwerkt namelijk enkel gegevens in opdracht van haar klanten. In de algemene voorwaarden van MijnDiAd is daarom een zogeheten verwerkersovereenkomst opgenomen. Deze zal in verband met de AVG vervangen worden door een losse verwerkersovereenkomst. Hierin zijn de verplichtingen m.b.t. de verwerking van de persoonsgegevens tussen u en MijnDiAd vastgelegd. Daarnaast is hierin een geheimhoudingsplicht opgenomen.

Als u klant wordt bij MijnDiAd dient u akkoord te gaan met de algemene voorwaarden en de hierin opgenomen bewerkersovereenkomst. Binnenkort zullen we nieuwe algemene voorwaarden beschikbaar komen en gaan we werken met een losse verwerkersovereenkomst.

Daarnaast maakt MijnDiAd gebruik van derde partijen die toegang hebben tot de persoonsgegevens. Ook met deze partijen (hostingpartij en systeembeheerder) heeft MijnDiAd verwerkersovereenkomsten inclusief geheimhoudingsplicht afgesloten. Deze verwerkersovereenkomsten kunt u bij MijnDiAd ter inzage opvragen.

Door deze overeenkomsten kunt u aantonen dat er duidelijke afspraken zijn en dat geheimhouding gewaarborgd is.

Technisch

Naast de juridische kant draagt MijnDiAd zorg voor een adequate beveiliging van MijnDiAd. Uw gegevens worden op een server (een computer, speciaal ingericht voor MIjnDiAd) in Nederland opgeslagen. Dit wordt vaak ‘werken in de cloud’ genoemd. Dit betekent dat de server op internet is aangesloten zodat u overal bij uw cliëntgegevens kunt. Het beveiligen van de gegevens doen we op de volgende manieren:

  1. Alle gegevens worden enkel over een HTTPS-verbinding (SHA-256 met RSA-codering) verzonden.
  2. De gevoelige gegevens (zoals de NAW, gegevens, mailadressen en rapportages) worden versleuteld in de database opgeslagen.
  3. Klanten worden verplicht een sterk wachtwoord te gebruiken.
  4. Het is verplicht om twee-staps-verificatie te gebruiken. Hierdoor is naast het wachtwoord een extra code nodig (die wordt gegenereerd op uw telefoon) om in te kunnen loggen op MijnDiAd.
  5. De servers die gebruikt worden voor het bewaren van uw gegevens staan in Nederland in een beveiligd datacentrum van Previder. Dit datacentrum heeft verschillende certificeringen om een stabiele en veilige toegang voor MijnDiAd te realiseren:
    • ISO 27001:2013 gecertificeerd
    • ISO 14001:2015 gecertificeerd
    • ISO 9001:2015 gecertificeerd
    • NEN 7510 gecertificeerd
  6. U heeft een eigen database met alle gegevens. Voor elke klant hebben we een aparte silo zodat u nooit de gegevens van een andere klant kunt zien.
  7. Elke 4 uur wordt er een back-up gemaakt van de databases met cliëntgegevens.
  8. De actuele gegevens staan altijd op 2 fysiek gescheiden locaties. Bij een ramp, kan hierdoor worden overgeschakeld naar de andere locatie.

Mocht u vragen hebben over de beveiliging of geheimhouding van uw cliëntgegevens neem dan gerust contact met ons op.

MijnDiAd maakt gebruik van cookies

We nemen je privacy serieus. Door gebruik te maken van deze website ga je akkoord met onze Privacyverklaring. Deze website maakt gebruik van cookies om o.a. statistieken bij te houden.

Mogen we ook trackingcookies plaatsen voor gerichte marketing? Klik dan op Oké. Wil je dit niet, klik dan op Niet oké, we zullen dan geen trackingcookies plaatsen.