We hoeven niet te weten wie je bent!

We willen alleen maar weten hoeveel mensen onze website bezoeken. Maar als je wilt kun je dat weigeren.
Lees hier meer over onze cookies.

Beveiligingsverklaring Minddistrict

Veiligheid is essentieel,

vooral in de digitale gezondheidszorg


1. Doel en toepassingsgebied

Deze Beveiligingsverklaring is van toepassing op de activiteiten van Mind District Holding B.V. en de gerelateerde entiteiten Minddistrict B.V., Minddistrict Development B.V., Minddistrict GmbH en Minddistrict Ltd., hierna aangeduid als "Minddistrict".

Minddistrict is toonaangevend op het gebied van ehealth-oplossingen. Omdat veel van onze klanten medische zorg verlenen, nemen we de veiligheid en privacy van onze klanten en hun cliënten uiterst serieus. Wij zien gegevensbescherming als één van de kernwaardes voor het opbouwen van vertrouwen bij onze klanten en opdrachtgevers.

Wij dragen er zorg voor dat vertrouwelijke en gevoelige persoonsgegevens veilig, en in overeenstemming met de relevante wet- en regelgeving en informatiebeveiligingsnormen worden behandeld. Minddistrict maakt gebruik van geavanceerde technologie en state-of-the-art maatregelen om een beveiligingsniveau te waarborgen dat geschikt is om vertrouwelijke en gevoelige persoonsgegevens te verwerken.

Het doel van deze Beveiligingsverklaring is om transparantie te bieden over onze technische en organisatorische beveiligingsmaatregelen die erop toezien dat vertrouwelijke en persoonlijke gegevens op passende wijze worden beschermd. Verder updaten wij ons privacy- en beveiligingsbeleid op regelmatige basis. Meer informatie over hoe wij omgaan met persoonsgegevens is te vinden in onze Privacyverklaring.

2. Algemeen

Minddistrict sluit met haar klanten Verwerkersovereenkomsten af. In deze overeenkomsten worden de technische en organisatorische beveiligingsmaatregelen die we hebben geïmplementeerd overeengekomen. Deze maatregelen hebben als doel om de persoonsgegevens van onze klanten en hun cliënten te beschermen. Verder werken wij volgens de ISO 27001:2017, NEN 7510:2017, NEN 7512:2022, NEN 7513:2018 en KBV certificering. Minddistrict is full scope ISO 27001 en NEN 7510 gecertificeerd.

Op verzoek kunnen wij een samenvatting geven van ons Information Security Management System (hierna "ISMS") of inzicht geven in onze certificaten. Dergelijke verzoeken kunnen worden gestuurd naar onze Compliance afdeling via compliance@minddistrict.com.

Hieronder hebben we een aantal van onze belangrijkste organisatorische en technische beveiligingsmaatregelen beschreven. Bij deze willen wij u erop wijzen dat deze set van maatregelen niet volledig is en tot doel dient om een overzicht te geven.

3. Beveiliging van Platformgebruikers

  • Authenticatie: gebruikersgegevens in onze database worden logisch gescheiden door middel van toegangsregels die gebaseerd zijn op accounts. Gebruikersaccounts hebben unieke gebruikersnamen en wachtwoorden die moeten worden ingevoerd telkens wanneer een gebruiker zich aanmeldt. Minddistrict plaatst alleen een sessiecookie om gecodeerde authenticatie-informatie vast te leggen voor de duur van een specifieke sessie. Deze sessiecookie bevat niet het wachtwoord van de gebruiker.

  • Wachtwoorden: wachtwoorden voor gebruikersapplicaties hebben specifieke vereisten wat betreft complexiteit, zoals het gebruik van een minimumaantal tekens (12) en het gebruik van speciale tekens. Verder worden wachtwoorden versleuteld opgeslagen.

  • Gegevensportabiliteit en gegevensbewaring: Minddistrict stelt klanten in staat om persoonlijke gegevens uit ons systeem te exporteren, in overeenstemming met een interne procedure om misbruik of ongeoorloofd gebruik te voorkomen.

  • Privacy: informatie met betrekking tot privacy en verwerking van persoonsgegevens is te vinden in onze Privacyverklaring.

  • Data Residency: alle Platformgegevens inclusief persoonlijke (gezondheids)gegevens van gebruikers worden opgeslagen op servers die zich bevinden in beveiligde databases in de Europese Economische Ruimte (hierna "EER"). De EER vereist een hoog niveau van privacy. Voor klanten in het Verenigd Koninkrijk worden alle platformgegevens inclusief persoonlijke (gezondheids)gegevens van gebruikers opgeslagen op een aparte locatie in het Verenigd Koninkrijk. Voor meer informatie over subverwerkers van Minddistrict verwijzen wij u naar de bovengenoemde Privacyverklaringen.

4. Fysieke beveiliging

Alle gegevens van onze platform- en productieserver, waaronder persoonlijke (gezondheids)gegevens van gebruikers, worden in beveiligde datacenters opgeslagen bij onze hostingprovider Intermax B.V. Deze datacenters bevatten alle noodzakelijke fysieke beveiligingscontroles die u zou verwachten in een state-of-the-art datacenter (24×7 monitoring, camera's, bezoekerslogboeken, toegangsvereisten etc). Onze hostingprovider Intermax heeft certificeringen voor ISO 27001, ISAE 3402 Type II en ISO 14001.

5. Netwerkbeveiliging

  • Testen en ontwikkelen: systeemfunctionaliteit en ontwerpwijzigingen worden geverifieerd in een afzonderlijke testomgeving en onderworpen aan automatische en handmatige tests voordat zij geïmplementeerd worden in onze actieve productiesystemen.

  • Firewalls: Minddistrict gebruikt een meerlaagse firewall-oplossing die ervoor zorgt dat toegang beperkt wordt tot toegestane gebruikers en gecontroleerde processen.

  • Toegangscontrole: de toegang tot persoonsgegevens is strikt gereguleerd. Dit betekent dat alleen medewerkers met bepaalde rollen of verantwoordelijkheden toegang hebben tot persoonsgegevens van gebruikers wanneer dit nodig is. Minddistrict heeft een intern beleid dat richtlijnen bevat over de verschillende toegangsniveaus, zowel binnen Minddistrict als bij de organisatie van de klant.

  • Logboekregistratie en controle: centrale systemen voor logboekregistratie leggen de toegang (inclusief de authenticatiepogingen) tot interne systemen vast en archiveren deze.

  • Encryptie in Transit: Minddistrict heeft Transport Layer Security (TLS) standaard ingeschakeld om verkeer tussen de gebruiker en het Minddistrict e-health platform te versleutelen. Alle communicatie met onze domeinen (minddistrict.com/nl-nl, minddistrict.com en minddistrict.com/de-de) loopt via TLS-verbindingen, waarbij bescherming plaatsvindt met gebruik van serverauthenticatie en gegevensversleuteling. Dit zorgt ervoor dat gegevens tijdens de overdracht beschermd zijn en alleen beschikbaar zijn voor de beoogde ontvangers.

6. Beheer van kwetsbaarheden

  • Patches: we zorgen ervoor dat kritische beveiligingspatches worden toegepast op onze systemen, applicaties en netwerkinfrastructuur om de blootstelling aan kwetsbaarheden te beperken.

  • Scans door derden: onze omgevingen worden continu gescand met behulp van hoogwaardige beveiligingstools. Deze hulpprogramma's zijn geconfigureerd voor het uitvoeren van kwetsbaarheidsbeoordelingen van toepassingen en netwerken, die testen op patchstatus en misconfiguratie van systemen en websites.

  • Penetratietesten: een externe organisatie voert (tenminste) jaarlijks een penetratietest uit op het Minddistrict platform. We selecteren bekwame en erkende organisaties om een hoog beveiligingsniveau en uitgebreide rapportage van bevindingen te garanderen.

7. Organisatorische en administratieve beveiliging

  • Informatiebeveiliging: wij werken volgens ISO 27001:2017, NEN 7510:2017, NEN 7512:2022, NEN 7513:2018 en KBV certificering. Minddistrict is full scope ISO 27001 en NEN 7510 gecertificeerd.

  • Screening en training van werknemers: we voeren antecedentenonderzoeken uit naar onze werknemers. Iedere werknemer is verplicht om een Verklaring omtrent gedrag (“VOG”), of een ander vergelijkbaar document, aan te leveren bij indiensttreding. Al onze medewerkers hebben een geheimhoudingsverklaring ondertekend en krijgen trainingen op het gebied van informatiebeveiliging bij indiensttreding en gedurende hun dienstverband.

  • Leveranciers: we hanteren een procedure voor de leveranciersbeoordeling. We screenen onze leveranciers om te waarborgen dat ze voldoen aan de noodzakelijke vertrouwelijkheid en beveiligingsverplichtingen.

  • Toegang: toegangscontroles tot persoonlijke gegevens in onze databases, systemen en omgevingen worden ingesteld op basis van ‘need-to-know / least privilege necessary’, zoals vastgelegd in ons beleid.

8. Praktijken voor softwareontwikkeling

  • Compatibiliteit: we doen er alles aan om het Minddistrict product compatibel te houden met verschillende besturingssystemen zoals Windows, Android en iOS. Om klantintegraties te vergemakkelijken, participeert Minddistrict in verschillende compatibiliteitsprojecten zoals Koppeltaal.

  • Programmering: onze softwareontwikkelaars gebruiken best practices en richtlijnen voor veilige programmering die voldoen aan de eisen van de OWASP Top 10.

  • Implementatie: we implementeren code op regelmatige basis. Daardoor kunnen we snel reageren in het geval dat een bug of kwetsbaarheid in onze code wordt ontdekt.

9. Afhandeling van inbreuken op de beveiliging

Ondanks alle inspanningen is geen enkele methode van overdracht via internet of elektronische opslag 100% veilig. Dat betekent dat we geen absolute veiligheid kunnen garanderen. In het geval dat Minddistrict een beveiligingsinbreuk ontdekt, zullen wij de getroffen klanten daarvan zo snel mogelijk op de hoogte stellen zodat ze passende beschermingsmaatregelen kunnen nemen. We doen dit conform de geldende EU-wetgeving inzake kennisgeving van privacy en beveiligingsinbreuken. Gedetailleerde informatie over het afhandelen van beveiligingsinbreuken wordt in de Verwerkersovereenkomst met onze klanten afgesproken.

10. Uw verantwoordelijkheden

Het beveiligen van gegevens kan niet alleen door Minddistrict worden gedaan. Beveiliging is afhankelijk van alle partijen, zowel klanten als hun gebruikers. Gebruikers zijn verplicht om hun accounts veilig te houden door verantwoordelijk om te gaan met wachtwoorden en gebruik te maken van vertrouwde netwerken. Gebruikersapparaten en software moeten up-to-date zijn om de kans op een beveiligingsinbreuk te verkleinen. Verder moeten klanten ervoor zorgen dat zij passende maatregelen nemen om een toereikend beveiligingsniveau voor de betrokken persoonsgegevens te waarborgen.

Op verzoek kunnen wij advies geven over het gebruik van het Minddistrict Platform, maar het is de verantwoordelijkheid van de Verwerkingsverantwoordelijke om ervoor te zorgen dat persoonsgegevens op een veilige, verantwoordelijke en legitieme manier worden verwerkt.

11. Wijzigingen in deze Beveiligingsverklaring

We behouden ons het recht om deze Beveiligingsverklaring te herzien en aan te passen indien wij dat nodig achten. In het geval dat wij wijzigingen aanbrengen in deze Beveiligingsverklaring, zullen we de hieronder vermelde herzieningsdatum wijzigen en is de gewijzigde versie van toepassing op u vanaf de datum van herziening. Wij raden u aan om deze Beveiligingsverklaring regelmatig te lezen, zodat u op de hoogte bent van de wijze waarop wij uw gegevens beschermen.

Deze Beveiligingsverklaring is voor het laatst bijgewerkt op 10-11-2023.

12. Contactgegevens

Indien u een vraag heeft of meer informatie wilt over onze privacy en beveiliging, neem dan gerust contact op met onze Compliance afdeling door een e-mail te sturen naar compliance@minddistrict.com.

Wij zullen ervoor zorgen dat uw verzoek met zorg wordt behandeld.

12.1 Dubbelzinnigheid of conflict

Minddistrict heeft deze Beveiligingsverklaring in meerdere talen gepubliceerd. In het geval van een eventuele dubbelzinnigheid of conflict in betekenis tussen de Engelstalige versie en de vertaling ervan, prevaleert de Engelstalige versie.