FAQ
Inhoudsopgave
Om de privacy van jouw data te waarborgen en je persoonsgegevens te beschermen, hanteert Acture verschillende maatregelen. De Algemene Verordening Gegevensbescherming (AVG) vormt de basis voor ons informatiebeveiligingsbeleid. Daarbij voldoet Acture aan de Nederlandse en Europese privacywetgeving en richtlijnen met betrekking tot de verwerking van persoonsgegevens.
De AVG heeft Acture aangesteld als ‘verwerkingsverantwoordelijke’. Hieruit volgt dat Acture in de uitvoering van de dienstverlening daadwerkelijk en zelfstandig beslissingen neemt over de verwerking van persoonsgegevens en daarmee feitelijk bepaalt wat er met die persoonsgegevens gebeurt. Met andere woorden: Acture bepaalt het doel en (de wezenlijke aspecten van) de middelen van de verwerkingen.
De AVG stelt maatregelen voor Acture als verwerkingsverantwoordelijke. Dit betreft de volgende maatregelen:
- Acture en haar leveranciers houden zich te allen tijde aan de wet;
- Acture treft voldoende maatregelen ten behoeve van haar technische en organisatorische beveiliging;
- Acture heeft een functionaris gegevensbescherming aangesteld die dient als interne toezichthouder en adviseur;
- Acture zorgt ervoor dat jouw gegevens vertrouwelijk worden behandeld;
- Acture meldt een datalek bij het AP na constatering. Acture heeft een meldpunt ingericht voor het melden van datalekken. Constateert je een datalek? Meld dit direct bij privacy@acture.nl;
- Acture hanteert bij het ontwikkelen van haar software het ‘privacy by design’ en ‘privacy by default’ principe;
- Acture maakt afspraken met de verwerkers en verwerkingsverantwoordelijken;
- Acture heeft een privacy impact assessment opgesteld die periodiek wordt herzien.
- Alle bovenstaande punten zijn getoetst conform ISO27001 normenkader.
Er is een privacy impact assessment opgesteld.
De autorisaties van gebruikers zijn zodanig ingesteld dat personen die bepaalde (medische) gegevens niet mogen verwerken, deze gegevens ook niet kunnen inzien.
Om de gegevens van Klout7 te beschermen, moet een onderscheid worden gemaakt tussen de medische en niet-medische datadomeinen. Om te voldoen aan de Nederlandse regelgeving rondom medische gegevens zijn er aanvullende maatregelen getroffen.
Gegevens bestaan uit 2 soorten:
- gestructureerde gegevens die worden opgeslagen in de relationele database van SQL Server
- ongestructureerde data in de vorm van documenten die worden opgeslagen in Azure Filestorage
Maatregelen ter bescherming van niet-medische gegevens:
- De verbinding tussen de database en de applicatie is uitgerust met extra beveiliging zoals specifieke certificaten, gecodeerde instellingen en IP-beveiliging. Dit zorgt ervoor dat de verbinding optimaal beveiligd is. Meer informatie
- Fysieke bestanden worden opgeslagen in Microsoft Azure storage. De bestanden op deze storage worden versleuteld opgeslagen, zodat deze zonder sleutel niet bruikbaar zijn. Meer informatie
Ook wanneer de bestanden worden opgehaald van de storage naar de virtuele machine wordt encryptie toegepast op het SMB 3.0 protocol. Meer informatie
Bestanden die (tijdelijk) op het bestandssysteem van de virtuele machine terecht komen zijn versleuteld middels Disk encryption. Meer informatie - Op bestandsniveau worden binnen de server omgeving specifieke rechten ingesteld, dit als extra maatregel.
- De volledige database wordt gecodeerd volgens ‘Transparant Data Encryption’ (TDE). Dit is een onderdeel van Microsoft SQL Server. Deze techniek zorgt ervoor dat de data file en de log file beveiligd zijn. Mocht de database worden verplaatst, dan kan de gebruiker hier niets mee doen i.v.m. de encryptie. Meer informatie
Maatregelen ter bescherming van medische gegevens zijn (naast maatregelen ter bescherming van niet-medische gegevens)
- Om herkenning te voorkomen, worden de namen van de bestanden en de extensies ook gecodeerd d.m.v. een sleutel. Zo kan men op basis van bestandsnaam ook geen data analyseren.
- Wanneer een database administrator (onderhoud) toegang heeft tot de middels TDE beveiligde database, kan deze de data inzien. Om dit te voorkomen wordt de data in de database ook nog beveiligd middels codering. De database is met de juiste rechten en sleutels dan wel bereikbaar, maar de data niet beschikbaar. Hiervoor gebruiken we symmetric encryption.
Er zijn geen fysieke servers bij Acture in gebruik wat betreft de KA omgeving, enkel virtuele servers welke afgenomen worden uit het Microsoft Azure platform. Microsoft is verantwoordelijk voor het up-to-date zijn van de fysieke servers en de vervanging daarvan.
Alle servers zijn gedeployed in de Azure region WEST Europe. Dit betekent dat de datacenters van deze regio (Amsterdam) gebruikt worden.
Acture neemt de beveiliging van Klout7 zeer serieus. De veiligheid van het systeem wordt dan ook actief bewaakt. Als je desondanks kwetsbaarheden ontdekt binnen Klout7, neem dan direct contact met ons op via privacy@acture.nl. Kwetsbaarheden gemeld via dit mailadres worden direct in behandeling genomen.
Je hebt enkel toegang tot jouw gegevens in Klout7 met een geldige gebruikersnaam en wachtwoord. Het wachtwoord van systeemgebruikers moet aan verschillende specificaties voldoen. Klout7 maakt daarnaast gebruik van cryptografische maatregelen: tweezijdige authenticatie, versleuteling en encryptie via een beveiligde SSL verbinding. Hiermee wordt geheime en gevoelige informatie beschermd en versleuteld.
De beveiliging van jouw data wordt actief gemonitord. De autorisaties van gebruikers zijn zodanig ingesteld dat personen die bepaalde (medische) gegevens niet mogen verwerken, deze gegevens ook niet kunnen inzien.
Klout7 wordt beschermd door malware en door het gebruik van virusprotectie zorgt Acture ervoor dat haar gebruikers niet besmet worden met virussen. Voor de bescherming van jouw eigen gegevens vertrouwen wij erop dat jouw systemen in bezit zijn van virusdetectie en malware-protectie.
Het wachtwoord van systeemgebruikers moet aan verschillende specificaties voldoen. Het gebruik van STERKE wachtwoorden is verplicht. Het Welkomwachtwoord moet direct aangepast worden. Reeds gebruikte wachtwoorden hergebruiken of alleen het cijfer aanpassen mag niet. Acceptatievoorwaarden zijn verschillend. Echter beleidsregels zijn: Minimaal 16 karakters en 3 van de 4 volgende criteria: 1 hoofdletter, 1 kleine letter, 1 cijfer, 1 speciaal teken.
Jaarlijks wordt een leveranciersselectie uitgevoerd op gebied van de AVG en alle leveranciers die persoonsgegevens verwerken worden in detail beoordeeld door middel van een risicoanalyse op beschikbaarheid, vertrouwelijkheid en integriteit. Tevens is met alle leveranciers een verwerkersovereenkomst afgesloten indien noodzakelijk.
Wij gebruiken jouw herleidbare klantgegevens niet voor andere doeleinden dan de uitvoering van onze dienstverlening. Bij de uitvoering van onze werkzaamheden hebben wij te maken met verschillende soorten persoonsgegevens. De soorten persoonsgegevens die wij van jou verwerken variëren. Dit is afhankelijk van de dienstverlening die je bij Acture afneemt én afhankelijk van de overeenkomst met Acture. Indien de overeenkomst met Acture wordt beëindigd, is Acture niet in staat jouw gegevens te verwijderen in verband met de wettelijke bewaarplicht.
Alle gegevens worden binnen Klout7 opgeslagen conform de ISO27001 standaard. De maatregelen die hieraan gekoppeld zijn, zijn conform de richtlijnen van Beveiliging van Persoonsgegevens van de Nederlandse Autoriteit Persoonsgegevens.
De wijzigingsbeheerprocedure voor (database)wijzigingen behoort gedocumenteerd te zijn. Deze omvat in ieder geval:
- Alle databasewijzigingen dienen te worden vastgelegd, te worden voorzien van een versienummer en herleidbaar zijn naar individuele personen.
- Alle handelingen die mensen verrichten in het systeem worden gelogd.
- Ontwikkelingen in de automatisering verlopen altijd via OTAP.
- Proceswijzigingen of ontwikkelverzoeken gaan altijd via het ISMS (information security management systeem).
- De testomgeving is volledig geanonimiseerd.
In het kader van ISO9001 en ISO27001 worden er jaarlijks bewustwordingsessies georganiseerd ten aanzien van informatiebeveiliging en de AVG. Deze bewustwordingsessies zijn verplicht voor alle medewerkers. Daarnaast worden er tevens bewustwordingssessies georganiseerd voor nieuwe medewerkers tijdens het onboarding traject.
Om alle data binnen Klout7 veilig te stellen, worden er dagelijks meerdere back-ups van het systeem gemaakt. Alle back-ups zijn bedoeld om gegevens terug te kunnen halen in het geval van een calamiteit. Indien er een dergelijke calamiteit voorvalt, wordt de meest recente back-up gebruikt om het systeem weer te herstellen.
Acture beschikt over gedragsregels waarbij de focus wordt gelegd op vertrouwelijkheid, integriteit en beschikbaarheid van informatie zodat deze zo goed mogelijk worden beschermd. Elke medewerker dient deze gedragsregels voor akkoord te ondertekenen.
Jaarlijks wordt er een interne privacy audit uitgevoerd. Tijdens de interne privacy audit wordt het privacybeleid, de procedures en nalevingscontroles beoordeelt. Tevens zijn er interviews met stakeholders. De AVG compliance wordt beoordeeld in het licht van de privacywetgeving. Er volgt vervolgens een rapport met overzicht van conclusies aanbevelingen en prioriteiten.
Acture heeft haar informatiebeveiligingsmanagementsystemen gecertificeerd conform de internationale ISO normen voor kwaliteit en waarborging. Hiermee wordt aangetoond dat Acture voldoet aan ISO27001, ISO27701 en ISO9001 en streeft naar voortdurende verbetering.
Jaarlijks wordt een penetratietest uitgevoerd volgens de black box en de grey box methode. Bij de black box methode worden de webportalen en de infrastructuur getest door ethische hackers op basis van minimale informatie en zonder vooraf bekend gemaakte inloggegevens. De kwetsbaarhedenscans worden op twee niveaus uitgevoerd: op webserver- en webapplicatieniveau. Bij de grey box methode beschikken ethische hackers over testcredentials, zoals bijvoorbeeld gebruikersnamen en wachtwoorden. Hiermee wordt onder andere onderzocht of autorisaties binnen de applicaties correct gewaarborgd zijn. Met grey box testen wordt meer nadruk gelegd op de werking van de functionele beveiligingsmaatregelen.
Acture beschikt over een Online Academy waar trainingen/cursussen worden aangeboden. De training AVG Security Awareness en AVG Privacy Awareness zijn verplichte trainingen tijdens het onboarding traject, met een toets ter afsluiting die met goed resultaat dient te worden behaald. Privacy & Security Awareness Acture is een jaarlijkse opfriscursus die verplicht is voor alle medewerkers.
De beleidsregels die op 21april 2016 zijn gepubliceerd door de Autoriteit Persoonsgegevens inzake ‘de zieke werknemer’ worden strikt in acht genomen door de casemanagers.