Klaar voor AVG?

   .

   .

 

Klik hier om uw Gegevensverwerkingsovereenkomst te ondertekenen met Doctena

Inleiding

De algemene verordening gegevensbescherming (AVG, of GDPR in het Engels) is van kracht en stelt hoge eisen met betrekking tot de integriteit van het individu in de EU. Om te voldoen aan deze eisen heeft Doctena een uitgebreid veiligheidsplan opgezet om de algemene veiligheid van haar bedrijfsvoering te verhogen. Deze post is bedoeld om u op de hoogte te stellen van onze huidige status met betrekking tot de AVG.

De algemene verordening gegevensbescherming (AVG) is de nieuwe Europese regelgeving voor de bescherming van persoonsgegevens die van toepassing is op alle organisaties (met inbegrip van medische praktijken) die binnen de EU actief zijn (evenals niet-EU-organisaties met klanten die zich in de EU-zone bevinden). De definitie van persoonsgegevens volgens de AVG kan worden samengevat als “alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”. De doelstelling van de AVG is de harmonisering van de wetgeving op het gebied van de gegevensbescherming in alle lidstaten van de EU om de integriteit van het individu te versterken. De wet is van kracht sinds 25 mei 2018

De AVG is van toepassing op zowel de verantwoordelijken voor de verwerking van gegevens als op gegevensverwerkers. De verantwoordelijke voor de verwerking van gegevens is de partij die de doeleinden en de manier waarop persoonlijke gegevens worden verwerkt, bepaalt. Terwijl de gegevensverwerker een derde partij is die namens de verantwoordelijke voor de gegevens persoonlijke gegevens verwerkt.

Wat betekent dit?

Doctena is zowel verantwoordelijke voor de verwerking van gegevens als gegevensverwerker.

  1. Als aanbieder van kalenderdiensten aan artsen/gezondheidszorgverleners in de cloud, treedt Doctena hoofdzakelijk op als gegevensverwerker. We verwerken gegevens namens de arts/gezondheidszorgverlener die bepaalt wat er met deze gegevens gebeurt (wijziging, verwijdering, overdracht,…).
  2. Voor patiënten die ervoor kiezen een Doctena account aan te maken, heeft Doctena de rol van verantwoordelijke voor de verwerking van gegevens door de opslag van profielgegevens (voorkeuren, naam, adres, telefoonnummer, e-mail, adres, beoordelingen, etc.) om het beheer van hun afspraken te vergemakkelijken. Het komt erop neer dat we de gegevens kopiëren van het Doctena account naar het Doctor patient account. Doctena beheert ook een logische link van het Doctena account naar de artsafspraken, zodat patiënten de status van hun afspraak kunnen beheren.

Hoe kan u voldoen aan de verordering?

Doctena voldoet aan de normen van de verordening.

Meer specifiek betekent dit voor u dat onze algemene voorwaarden en ons privacybeleid ge-updated zijn, zodat de rechten van iedereen worden nageleefd en tegelijkertijd onze interne veiligheidsnormen aan de eisen voldoen. 

Daarnaast hebben we voor u een specifieke Gegevensverwerkingsovereenkomst (Data processing agreement, DPA) klaargemaakt, die u als arts/gezondheidszorgverlener  (verantwoordelijken voor de verwerking van gegevens)  kan ondertekenen met Doctena (als gegevensverwerker) om aan de normen te voldoen. Tegelijkertijd heeft Doctena een gelijksoortige DPA voor onze eigen gegevensverwerkers die betrokken zijn bij het gehele gegevensverwerkingsproces, zodat in alle gevallen de verwerking van persoonlijke gegevens aan de AVG voldoet. De DPA beschrijft de rollen, de principes en de verplichtingen van de gegevensverwerking.

Klik hier om uw Gegevensverwerkingsovereenkomst te ondertekenen met Doctena 

Download voorbeeld PDF van de Gegevensverwerkingsovereenkomst met Doctena

 

Hoe gaat Doctena om met uw gegevens?

Bij Doctena nemen wij veiligheid en privacy erg serieus en zorgen wij dat we de plaatselijke/nationale wet- en regelgeving naleven. De gegevensbescherming van onze klanten en hun patiënten is voor ons van het uiterste belang, en als bedrijf hebben we een aantal maatregelen geïmplementeerd die ervoor zorgen dat uw gegevens veilig zijn!

Veiligheid is niet alleen een woord voor ons, maar een concept waarvan we doordrongen zijn en waar we dagelijks actie op ondernemen. Daarom benaderen we veiligheid vanuit meerdere invalshoeken:

Speciaal met deze verantwoordelijkheid belaste mensen

Doctena heeft een speciaal Hoofd informatiebeveiliging (Chief Information Security Officer, CISO) en onafhankelijke externe functionarissen voor gegevensbescherming, zoals vastgelegd in de AVG.

Onze CISO is een senior-medewerker met een masteropleiding in beveiliging en een professionele achtergrond in de computerbeveiliging Zijn taak is ervoor te zorgen dat de veiligheid op dagelijkse basis gewaarborgd wordt. Hij doet dit door middel van de implementatie van processen en technologieën en via de coördinatie van de verschillende teams en business units die zich met beveiliging bezighouden. Hij rapporteert rechtstreeks aan ons Hoofd informatie (Chief information officer, CIO) evenals aan de Chief executive officer (CEO), zodat de veiligheid op het hoogste managementniveau gewaarborgd wordt.

Ingebouwde beveiliging

Telkens wanneer wij innoveren en aan nieuwe producten en toepassingen werken, is het thema “veiligheid” een van de eerste stappen op de checklist. Hierdoor kunnen er zeker van zijn dat de veiligheid bij het ontwerpen van onze producten gegarandeerd is en nemen we technologische en ontwerpbeslissingen die tot een veilige implementatie leiden.

Controle en toezicht

We gebruiken drie, in de sector algemeen aanvaarde, middelen om onze platforms voortdurend te controleren op en te beschermen tegen mogelijke veiligheidsproblemen:

  • Een Web Application Firewallvormt onze eerste verdedigingslinie tegen algemene bedreigingen alsDDOS-aanvallen en kwaadaardige webverzoeken. Dit omvat ook de automatische blokkering van apparaten/hulpmiddelen op het internet met een algemeen bekende slechte reputatie.
  • Een permanent platform voor penetratietestsdat onze platforms 24 uur per dag scant en dat onze ontwikkelingsteams informeert wanneer er sprake is van een mogelijk nieuw veiligheidsrisico, zodat ze onmiddellijk corrigerende maatregelen kunnen treffen.
    Central patient portal

    Agenda PRO
  • Een opsporingssysteem voor aanvallendat ons waarschuwt zodra er verdachte activiteiten worden waargenomen op het platform, en informatie verschaft over hoe deze activiteiten kunnen worden gestopt.

Deze diensten brengen kosten met zich mee en Doctena wijst een aanzienlijk bedrag van zijn IT-budget toe aan deze veiligheidstools.

Geautomatiseerde beveiligingsupdates

Als onderdeel van ons continue uitrolsysteem nemen we op een wekelijkse basis, en voor de meeste op een bijna dagelijkse basis, in al onze systemen beveiligingsupdates op.

Beveiligingsaudits

Eenmaal per jaar worden onze platforms doorgelicht door een bekend IT-beveiligingsbedrijf dat ook grote en complexe banksystemen voor veiligheid en veerkracht certificeert. De resultaten van deze audits worden door onze IT-teams geanalyseerd die er vervolgens actie op ondernemen, zodat het auditbedrijf ons een certificaat kan verstrekken waaruit het hoge niveau van onze beveiliging blijkt.

Encryptie

De vertrouwelijke gegevens die we in onze database opslaan, is versleuteld met het 256 bit AES algoritme, de norm voor onze sector. De laptops van onze werknemers zijn ook versleuteld en er moeten strenge veiligheidsprotocollen in acht worden genomen.

Onze platforms implementeren voor “data in transit” ook de encryptie die de norm is voor onze sector, zodat de communicatie tussen ons platform en de webbrowser van de gebruiker niet door derden kan worden onderschept wanneer het platform wordt gebruikt.

Selectieproces voor partners

Wanneer we met externe partners of onderaannemers werken, vereisen we dat zij ten minste voldoen aan de veiligheidsnormen die wij hanteren. Wanneer het om veiligheid gaat, willen we geen zwakke schakels in onze productie- en operationele ketens.

Gegevensverwerking en opslaglocatie

De infrastructuur van de server van Doctena wordt gehost op Amazon Web Services en maakt alleen gebruik van datacenters die zich in de regio Frankfurt (eu-central-1) bevinden, zodat de gegevens de EU nooit verlaten. Amazon Web Services voldoet volledig aan de normen van de AVG, waarover u hier aanvullende informatie kunt vinden:

https://aws.amazon.com/blogs/security/all-aws-services-gdpr-ready/

 

Hoge beschikbaarheid

Al onze applicatie-databases zijn opgezet met een hoge beschikbaarheid, zodat op elk gewenst moment alle data zich in tenminste twee datacenters bevindt, die geografisch van elkaar gescheiden zijn. Er wordt dagelijks automatisch een snapshot genomen uit deze databases voor calamiteitenherstel, in combinatie met een andere reservekopie dat voor dagelijkse hersteldoeleinden wordt gemaakt. Dit wordt vervolgens opgeslagen in een extreem beveiligde en versleutelde opslagoplossing in een datacenter in Luxemburg.

AVG en ISO27001

In de loop van 2018 en in de nasleep van de AVG-regelgeving van de EU, gaat Doctena werken aan het behalen van de ISO27001-certificatie.

ISO/IEC 27001:2013 (ISO 27001) is de internationale standaard die de beste praktijken beschrijft voor een ISMS (information security management system). Het behalen van een geaccrediteerde certificatie voor ISO 27001 is het bewijs dat uw bedrijf de beste praktijken op het gebied van IT-beveiliging volgt. Het verschaft een onafhankelijke en deskundige controle dat de IT-beveiliging wordt beheerd in lijn met de internationale beste praktijken en bedrijfsdoelstellingen. ISO 27001 wordt ondersteund door zijn praktijkcode voor IT-beveiligingsbeheer, ISO/IEC 27002:2013

Track record

Sinds haar oprichting heeft Doctena nooit met beveiligingslekken te maken gehad!

Aanvullende informatie

Als u vragen heeft over AVG en uw gebruik van Doctena, stuur ons dan alstublieft een e-mail

support+gdpr@doctena.com

Wij wijzen erop dat deze post alleen bedoeld is ter informatie en niet als juridisch advies beschouwd mag worden.

 

Links

https://gdpr-info.eu/