Beveiligingsverklaring rondom gebruikersgegevens
Minddistrict is toonaangevend op het gebied van ehealthoplossingen. Duizenden instellingen en zorgverleners vertrouwen hun gegevens toe aan een ehealthplatform van Minddistrict en maken gebruik van onze diensten. Omdat veel van onze klanten medische zorg aanbieden, nemen we de veiligheid en privacy van onze klanten en hun cliënten uiterst serieus.
We doen er alles aan om zeker te stellen dat er veilig wordt omgegaan met gebruikersgegevens, in overeenstemming met de strikte regelgeving op het gebied van privacy. Minddistrict gebruikt geavanceerde technologie en neemt alle benodigde maatregelen om een veiligheidsniveau te waarborgen dat afdoende bescherming biedt en commercieel haalbaar is. Het doel van deze veiligheidsverklaring is om transparantie te bieden over onze beveiligingsinfrastructuur en -praktijken, zodat u erop kunt vertrouwen dat uw gegevens goed beschermd worden. Bij Minddistrict evalueren we de beveiliging en beleidslijnen regelmatig en passen deze waar nodig aan. In ons privacybeleid vindt u meer informatie over de manier waarop wij omgaan met de persoonlijke gegevens van cliënten op ons platform.
Veiligheid van gebruikers
- Verificatie: gebruikersgegevens worden in onze database logisch gescheiden door middel van toegangsregels op basis van accounts. Gebruikersaccounts hebben unieke gebruikersnamen en wachtwoorden die een gebruiker telkens moet invoeren als hij of zij zich aanmeldt. Minddistrict plaatst een cookie op het apparaat van de gebruiker; dit is louter om gecodeerde verificatiegegevens vast te leggen voor de duur van een specifieke sessie. De sessiecookie bevat niet het wachtwoord van de gebruiker.
- Wachtwoorden: voor wachtwoorden van gebruikersapplicaties gelden minimum vereisten wat betreft complexiteit, zoals een minimum aantal tekens (12) en het gebruik van speciale tekens. Wachtwoorden worden versleuteld opgeslagen.
- Single sign-on: voor bepaalde klanten ondersteunt Minddistrict toegangscontrole voor oplossingen van Minddistrict.
- Gegevensportabiliteit en gegevensbehoud: Minddistrict stelt klanten in staat om hun gegevens vanuit ons systeem te exporteren. Daarbij moet er een strikte procedure worden gevolgd om misbruik of niet-geautoriseerde verspreiding van gegevens te voorkomen. Wij slaan zelf ook gegevens op en kunnen deze gebruiken bij andere applicaties.
- Privacy: we hebben een privacybeleid dat transparantie biedt over de beleidsregels die we volgen bij het verwerken van uw gegevens, o.a. ten aanzien van hoe we uw gegevens gebruiken, met wie we ze delen en hoe lang we ze bewaren.
- Gegevensopslag: alle gegevens van Minddistrict-gebruikers worden opgeslagen op servers in veilige databases die zich in de Europese Economische Gemeenschap (EEG) bevinden. De EEG vereist een zeer hoog privacyniveau. Voor klanten in het Verenigd Koninkrijk worden alle persoonlijke gegevens van cliënten opgeslagen op een afzonderlijke locatie in het Verenigd Koninkrijk. Alleen bepaalde productieservers bevatten persoonlijke gegevens van eindgebruikers; ontwikkelingsservers bevatten geen persoonlijke gegevens. Onze zakelijke gegevens en de bedrijfswebsite van Minddistrict worden opgeslagen op een (fysiek en logisch) afzonderlijke locatie, gescheiden van onze productieomgeving.
Fysieke veiligheid
De oplossingen en productieomgeving van Minddistrict worden opgeslagen in zwaar beveiligde datacenters. Deze datacenters maken gebruik van alle benodigde fysieke beveiligingscontroles die tegenwoordig gangbaar zijn in een datacenter (24/7 monitoring, camera’s, bezoekerslogs, toegangseisen). Onze hostingpartner heeft certificeringen voor ISO 27001:2013, ISAE 3402 Type II, NEN 7510 en ISO 14001. Meer informatie vindt u hier: Intermax.
Netwerkbeveiliging
- Testen & ontwikkelen: systeemfunctionaliteit en aanpassingen in het ontwerp worden geverifieerd in een afzonderlijke testomgeving en worden automatisch en handmatig getest voordat ze worden ingezet op onze actieve systemen.
- Firewalls: Minddistrict gebruikt een meerlaagse firewall-oplossing om toegang te beperken tot bevoegde gebruikers en gecontroleerde processen.
- Toegangscontrole: voor toegang van personeel tot onze app is twee-factor authenticatie vereist. Daarnaast wordt er op rollen gebaseerde toegang toegepast om ervoor te zorgen dat alleen bevoegde medewerkers bij bepaalde omgevingen of gegevens kunnen komen.
- Logs en audits: centrale logsystemen leggen toegang (inclusief authenticatiepogingen) tot interne systemen vast en archiveren deze informatie.
- Versleutelde gegevensoverdracht: Minddistrict heeft standaard TLS (Transport Layer Security) ingeschakeld om dataverkeer tussen u en ons ehealthplatform te versleutelen. Alle communicatie met onze domeinen (minddistrict.com, mindistrict.co.uk en minddistrict.de) loopt via TLS-verbindingen, waarbij bescherming plaatsvindt middels serverauthenticatie en gegevensversleuteling. Dit zorgt ervoor dat gegevens tijdens de overdracht veilig en beschermd zijn en alleen beschikbaar zijn voor de beoogde ontvangers. We streven er altijd naar om de hoogst mogelijke waardering bij SSL-tests te behalen.
Kwetsbaarheidsbeheer
- Patches: we zorgen ervoor dat kritische beveiligingspatches worden toegepast op onze systemen, applicaties en netwerkinfrastructuur om kwetsbaarheden tot een minimum te beperken.
- Scans door derden: onze omgevingen worden continu gescand met behulp van de best beschikbare beveiligingstools. Deze tools zijn geconfigureerd om kwetsbaarheden in applicaties en netwerken te beoordelen, waarbij ze o.a. testen op patchstatus en basale misconfiguratie van systemen en websites.
- Penetratietesten: externe organisaties voeren periodieke penetratietesten uit. We selecteren hiervoor uitstekend gekwalificeerde en erkende bedrijven, zodat we het hoogste beveiligingsniveau kunnen waarborgen. Hun bevindingen worden meteen omgezet in actieve beschermingsmaatregelen.
Beveiliging van organisatie & administratie
- Informatiebeveiliging: we hanteren interne beleidsregels t.a.v. informatiebeveiliging (waaronder specifieke plannen voor het reageren op incidenten) en we controleren en herzien deze regelmatig.
- Screening van werknemers: we voeren een antecedentenonderzoek uit naar onze werknemers. Al onze werknemers hebben een vertrouwelijkheidsverklaring ondertekend en houden zich aan onze interne beleidsregels.
- Training: onze werknemers krijgen training op het gebied van veiligheid en technologie.
- Serviceproviders: we screenen onze serviceproviders en verplichten hen om de voor de omstandigheden vereiste maatregelen met betrekking tot vertrouwelijkheid en beveiliging te nemen.
- Toegang: toegangscontroles voor gevoelige informatie op onze databases, systemen en omgevingen worden ingesteld op basis van ‘need-to-know / least privilege necessary’, zoals is vastgelegd in ons beleid. Dit betekent dat medewerkers alleen toegang krijgen tot gegevens die ze nodig hebben om hun taken uit te voeren en dat alleen de strikt noodzakelijke rechten worden toegekend.
Praktijken voor softwareontwikkeling
- Compatibiliteit: We streven ernaar om onze Minddistrict-oplossingen compatibel te houden met diverse besturingssystemen zoals Windows, Android en iOS. Minddistrict is bovendien actief deelnemer aan compatibiliteitsprojecten zoals koppeltaal, waarmee klanten oplossingen van Minddistrict kunnen koppelen aan hun omgeving en aan oplossingen van derden.
- Programmering: onze technici hanteren best practices en richtlijnen voor veilig programmeren die de norm zijn in deze bedrijfstak en voldoen aan de eisen van OWASP Top 10.
- Implementatie: we implementeren regelmatig nieuwe programmeercode, zodat we snel kunnen reageren in het geval er een bug of kwetsbaarheid wordt ontdekt in onze programmatuur.
Behandeling van beveiligingsinbreuken
Ondanks alle inspanningen is geen enkele overdrachtsmethode via het internet en geen enkele methode voor elektronische opslag 100% veilig. We kunnen dus geen absolute veiligheid garanderen. Echter, als Minddistrict een beveiligingsinbreuk ontdekt, brengen we de getroffen klanten (en zo nodig ook de gebruikers) op de hoogte, zodat ze de betreffende beschermingsmaatregelen kunnen nemen. We doen dit conform de geldende EU-wetgeving met betrekking tot privacy en kennisgeving bij een inbreuk. Dergelijke kennisgeving kan betekenen het verzenden van een e-mail met informatie of het plaatsen van een bericht op onze website als er een inbreuk heeft plaatsgevonden.
Uw verantwoordelijkheden
Gegevens beveiligd houden is niet alleen een taak van Minddistrict. Beveiliging hangt van alle betrokken partijen af, dus ook van onze klanten en al hun cliënten. Ook zij moeten hun accounts veilig houden door verantwoordelijk gebruik van wachtwoorden en door onze oplossingen in een veilige omgeving te gebruiken. Zorg ervoor dat uw apparaten en software up-to-date zijn, zodat u voldoet aan de normen in uw bedrijfstak; hiermee kunt u het risico op gevaarlijke situaties al enorm terugdringen. Klanten dienen er ook voor te zorgen dat ze afdoende beveiligd zijn door een veiligheidssysteem voor gegevensbeheer te gebruiken en de juiste meetregelen te treffen om een toereikend beschermingsniveau te waarborgen voor de betreffende gegevens.
Op verzoek kunnen we advies geven over het gebruik van onze oplossingen, maar het is uw verantwoordelijkheid als gegevensbeheerder en/of in uw eigen belang als betrokkene om te garanderen dat uw gegevens op een veilige, verantwoorde en legitieme wijze worden verwerkt.
Speciale verzoeken van klanten
Vanwege het grote aantal klanten dat onze service gebruikt, kunnen specifieke beveiligingskwesties of aangepaste beveiligingsmethodes alleen worden gerealiseerd voor klanten die een bepaalde hoeveelheid licenties en oplossingen afnemen bij Minddistrict. Als uw bedrijf een groot aantal potentiële of bestaande gebruikers heeft en geïnteresseerd is om dergelijke regelingen te bespreken, neemt u dan contact met ons op via e-mail of per post:
Minddistrict
Jan Evertsenstraat 749
1061 XZ Amsterdam
We zorgen ervoor dat uw aanvraag met de grootste zorg wordt behandeld.