Embedded Files
Doel van dit document
Doel van dit document
Procaryote implementeert passende beveiligingsmaatregelen om de persoonlijke gegevens die zij verwerkt te beschermen tegen ongeautoriseerde toegang, wijziging of vernietiging. Gegevensbeveiliging, vertrouwelijkheid en privacy van patiënten voldoen aan de toepasselijke wetgeving, inclusief de Europese Algemene Verordening Gegevensbescherming (AVG). Procaryote volgt de strengste procedures om de beste informatiebeveiliging te waarborgen, inclusief de informatie die we over u verzamelen, zoals beschreven in dit beleid. Dit betekent dat Procaryote een wereldklasse informatiebeveiligingsbeheersysteem heeft, dat zorgt voor strenge bescherming van de verwerkte gegevens.
Deze Technische en Organisatorische Beveiligingsmaatregelen (Beveiligingsmaatregelen) leggen uit hoe Procaryote de beveiliging van de persoonlijke gegevens die zij verwerkt waarborgt. Ze beschrijven het geheel van maatregelen, procedures en processen dat Procaryote heeft geïmplementeerd om de beschikbaarheid, integriteit en vertrouwelijkheid van alle vormen van informatie te waarborgen, om de continuïteit van informatie en informatievoorziening te waarborgen, inclusief de onderliggende IT-infrastructuur, en om de mogelijke gevolgen van beveiligingsincidenten tot een acceptabel en vooraf bepaald niveau te beperken.
Als u een overeenkomst met Procaryote heeft als zorgprofessional, als patiënt of als geregistreerde gebruiker, maken deze Beveiligingsmaatregelen deel uit van die overeenkomst.
Technische maatregelen
Technische maatregelen
Technische maatregelen verwijzen naar de maatregelen en controles die Procaryote implementeert voor haar systemen en elke technologische aspect van de organisatie, inclusief apparaten, netwerken en hardware.
Gegevensopslag
Gegevensopslag
Alle door Procaryote verwerkte persoonlijke gegevens en informatie worden in de cloud opgeslagen en niet op een locatie die eigendom is van of geëxploiteerd wordt door Procaryote. De cloud-serviceprovider(s) van Procaryote is/zijn verantwoordelijk voor de beveiliging van hun datacenters. Procaryote voert regelmatig, en minstens eenmaal per jaar, een due diligence uit bij haar cloud-serviceprovider(s), inclusief het verkrijgen en beoordelen van certificeringen voor naleving van beveiliging.
Beschikbaarheid
Beschikbaarheid
Onze infrastructuur is geconfigureerd om hoge beschikbaarheid te bieden. De databases en servers van Procaryote zijn in meerdere datacenters ingezet. Als een van de datacenters een probleem ondervindt, blijven onze diensten beschikbaar. Onze applicaties worden ook gehost achter een Content Delivery Network (CDN).
Het Content Delivery Network is essentieel voor het verbeteren van de snelheid, betrouwbaarheid en beveiliging van internetdiensten, waarbij content effectief en betrouwbaar aan eindgebruikers over de hele wereld wordt geleverd. De belangrijkste voordelen zijn:
Vermindering van latentie: Het CDN plaatst servers op de geografisch dichtstbijzijnde locaties bij de eindgebruikers. Dit verkort de tijd die nodig is om gegevens tussen de server en de gebruiker te verplaatsen, waardoor de laadsnelheid van webpagina’s en andere inhoud wordt verbeterd.
Verkeersverdeling: Een CDN verdeelt de verkeersbelasting over meerdere servers, waardoor overbelasting van een enkele server wordt voorkomen, wat kan leiden tot uitval of vertragingen.
Prestatieverbetering: Door gecachte kopieën van inhoud op verschillende locaties wereldwijd op te slaan, kan een CDN snellere toegang tot gegevens bieden en de algehele prestaties van websites of applicaties verbeteren.
Verhoogde beveiliging: Het CDN helpt Distributed Denial of Service (DDoS)-aanvallen te beperken door kwaadaardig verkeer over meerdere servers te verspreiden, waardoor wordt voorkomen dat een enkel doelwit wordt overweldigd.
Hoge beschikbaarheid en redundantie: In geval van een serveruitval kan het CDN het verkeer omleiden naar een andere functionele server, waardoor de continue beschikbaarheid van de dienst wordt gegarandeerd.
Optimalisatie van bandbreedte: Door compressie- en cachingtechnieken te gebruiken, kan het CDN de hoeveelheid gebruikte bandbreedte en de daarmee samenhangende kosten voor contentproviders verminderen.
Scheiding van omgevingen
Scheiding van omgevingen
Procaryote zorgt voor een strikte scheiding tussen productie- en niet-productieomgevingen om het risico van ongeautoriseerde toegang of wijzigingen aan de operationele omgeving te verminderen. De productieomgeving is geïsoleerd in een dedicated netwerk. De niet-productieomgevingen van Procaryote worden gebruikt voor ontwikkeling, testen en productie-implementaties. Er wordt niet getest met productiedata.
Cyberveiligheid
Cyberveiligheid
Procaryote heeft detectie-, preventie- en herstelcontroles geïmplementeerd om haar systemen en gegevens te beschermen tegen malware (zoals virussen, spyware en ransomware). De internetverbinding en het interne netwerk van Procaryote zijn beveiligd met een krachtige firewall. Het wifi-netwerk is met een wachtwoord beveiligd en gasten gebruiken een apart wifi-netwerk. Om wijziging of misbruik van de activa van Procaryote te voorkomen, worden conflicterende taken of verantwoordelijkheden door verschillende personen uitgevoerd. Wanneer dit niet mogelijk is vanwege de beperkte grootte van Procaryote, worden andere maatregelen genomen (zoals toezicht of monitoring).
Versleuteling
Versleuteling
Procaryote gebruikt versleuteling om vertrouwelijke en gevoelige informatie te beschermen, zowel in rust als tijdens overdracht.
Fysieke beveiliging
Fysieke beveiliging
Procaryote heeft fysieke beveiligingscontroles geïmplementeerd die passen bij het risiconiveau dat wordt veroorzaakt door de informatie die wordt bewaard en de aard van de operaties in de kantoren van Procaryote. De kantoren van Procaryote bevinden zich in een gebouw met toegang beperkt tot houders van toegangsmiddelen die zijn verstrekt na een formeel goedkeuringsproces. De kantoren en vergaderruimten van Procaryote zijn gereserveerd voor personeel dat toegang nodig heeft tot deze gebieden om hun taken uit te voeren. De toegangsmiddelen van het personeel worden ingetrokken wanneer ze niet langer nodig zijn, inclusief binnen één werkdag na een functiewijziging of vertrek van het betreffende personeel. Papieren kopieën van documenten worden opgeslagen in een afgesloten kast. Bezoekers worden begeleid in alle niet-openbare ruimtes en nooit zonder toezicht gelaten. Brandalarmen en brandblussers worden regelmatig gecontroleerd en hun toegang wordt niet geblokkeerd.
Correcte verwijdering
Correcte verwijdering
Procaryote zorgt ervoor dat documenten en apparaten die persoonlijke gegevens of andere gevoelige informatie bevatten of mogelijk bevatten op een veilige manier worden vernietigd, zodat persoonlijke gegevens of gevoelige informatie niet door een ongeautoriseerd persoon kunnen worden hersteld. Alle papieren kopieën, creditcards en cd/dvd-roms die niet meer nodig zijn, worden op kantoor versnipperd. Hardwareapparaten worden veilig gewist en opgeslagen op een veilige locatie voordat ze worden opgehaald door een nationaal erkend hardwarevernietigingsbedrijf voor recycling of vernietiging.
Wachtwoorden
Wachtwoorden
Procaryote vereist dat intern en extern personeel, systemen en diensten (cloud) die vertrouwelijke of gevoelige informatie bevatten, sterke wachtwoorden instellen en, waar mogelijk, multi-factor authenticatie activeren. Twee-factor authenticatie is vereist voor systemen die gevoelige en vertrouwelijke informatie bevatten. Wachtwoorden worden versleuteld/gehasht opgeslagen en gescheiden van andere gegevens, en inloggegevens worden versleuteld verzonden.
Toegangsrechten
Toegangsrechten
Toegang tot databases die persoonlijke gegevens bevatten en tot documenten die gevoelige gegevens bevatten, wordt alleen verleend op basis van een need-to-know/use-basis. Alle personeelsleden met toegang tot deze databases of gevoelige documenten zijn gebonden aan vertrouwelijkheids- en beveiligingsverplichtingen. Logische toegangsrechten worden regelmatig herzien op basis van informatieclassificatie. Gebruikerstoegangsrechten worden elk kwartaal herzien. Toegang tot de systemen van Procaryote wordt binnen één werkdag ingetrokken na het vertrek van een werknemer of aannemer. Procaryote houdt een logboek bij van alle verbindingen met haar databases.
Organisatorische maatregelen
Organisatorische maatregelen
Organisatorische maatregelen verwijzen naar de beleidslijnen, standaardprocedures en audits die Procaryote implementeert om consistentie in de bescherming van persoonlijke gegevens tijdens de gehele verwerkingscyclus te waarborgen.
Informatiebeveiligingsmanagementsysteem
Informatiebeveiligingsmanagementsysteem
Het Informatiebeveiligingsmanagementsysteem (ISMS) van Procaryote is een set van beleidslijnen en procedures bedoeld om persoonlijke en gevoelige gegevens te beschermen. Het omvat alle personen, systemen en processen van Procaryote, inclusief werknemers, klanten, leveranciers en derden. Het doel is om de beveiliging en continuïteit van informatie te waarborgen en de impact van beveiligingsincidenten te beperken.
Het ISMS wordt beheerd door een toegewijd beveiligingsteam onder leiding van de beveiligingsfunctionaris. Procaryote monitort en actualiseert het ISMS jaarlijks om organisatorische, technologische en wettelijke wijzigingen te weerspiegelen. Een formeel beveiligingsbeleid, goedgekeurd door het senior management, zorgt voor naleving en de effectiviteit van beveiligingscontroles.
Continuïteitsbeleid en rampenherstelplannen
Continuïteitsbeleid en rampenherstelplannen
Procaryote onderhoudt een gedocumenteerd Continuïteitsbeleid en Rampenherstelplannen. Ons beleid en onze plannen omvatten:
Duidelijk gedefinieerde rollen en verantwoordelijkheden;
Herstelpuntdoelstellingen (RPO);
Hersteltijddoelstellingen (RTO); en
Een back-upbeleid.
Procaryote herziet en actualiseert zijn Continuïteitsbeleid en Rampenherstelplannen minstens eenmaal per jaar. Back-ups worden maandelijks getest.
Incidentbeheerproces
Incidentbeheerproces
Procaryote heeft een Incidentbeheerproces ontwikkeld en onderhoudt dit proces voor gebruik in geval van een feitelijke of vermoedelijke datalek of ander beveiligingsincident. Het definieert duidelijke rollen en verantwoordelijkheden, rapportagemechanismen en procedures voor het classificeren, bevatten en herstellen van het incident. Het omvat ook procedures voor de vereiste meldingen aan relevante autoriteiten en getroffen personen, evenals mechanismen die zijn ontworpen om soortgelijke incidenten in de toekomst te voorkomen.
Softwareontwikkelingsproces
Softwareontwikkelingsproces
Het Softwareontwikkelingsproces van Procaryote omvat principes en regels met betrekking tot de opslag van broncode, broncodebeoordeling en de regels en principes die worden toegepast op het ontwerp en de engineering van systemen, netwerken en infrastructuren. Netwerk/systeemarchitectuur en ontwerpen worden altijd door collega’s beoordeeld en alle wijzigingen aan de architectuur/het systeem van Procaryote worden eerst getest en gepubliceerd in de staging-omgeving van Procaryote voordat ze worden toegepast in de productieomgeving. De beveiliging is ontworpen om een regelmatige adoptie van nieuwe technologieën mogelijk te maken, inclusief een veilig en logisch technologie-upgradeproces.
Penetratietesten en risicobeoordelingen
Penetratietesten en risicobeoordelingen
Procaryote ondergaat regelmatige audits door interne en externe beveiligingsteams. Intern voert Procaryote regelmatig risicobeoordelingen uit onder de verantwoordelijkheid van de risicomanager. Procaryote voert ook onaangekondigde audits en phishing-oefeningen uit gericht op haar personeel. Minstens één keer per drie jaar of na een grote wijziging in de architectuur/infrastructuur van Procaryote ondergaat Procaryote ook externe penetratietests door een nationaal erkend beveiligingsbedrijf.
Functionaris Gegevensbescherming
Functionaris Gegevensbescherming
Procaryote heeft een Functionaris Gegevensbescherming (Data Protection Officer - DPO) die rechtstreeks rapporteert aan het managementteam. Deze DPO heeft gecombineerde ervaring in recht, technologie en de gezondheidssector. De verantwoordelijkheden van de DPO bij Procaryote omvatten:
Informeren en adviseren van Procaryote en haar medewerkers over hun wettelijke verplichtingen op het gebied van gegevensbescherming.
Samenwerken met de interne Privacy Officer over privacykwesties.
Toezicht houden op de naleving van alle gegevensbeschermingswetgeving door Procaryote, inclusief door audits, bewustmakingsactiviteiten en training voor personeel dat betrokken is bij gegevensverwerking.
Advies geven bij het uitvoeren van Gegevensbeschermingseffectbeoordelingen en het toezicht houden op hun implementatie.
Fungeren als aanspreekpunt voor individuen met betrekking tot de verwerking van hun persoonlijke gegevens en de uitoefening van hun rechten.
Samenwerken met Gegevensbeschermingsautoriteiten (DPA) en fungeren als aanspreekpunt voor deze autoriteiten met betrekking tot vragen over gegevensverwerking.
Dit kader zorgt ervoor dat Procaryote de hoogste normen op het gebied van gegevensbescherming handhaaft en de rechten van individuen respecteert.
Training
Training
Alle medewerkers van Procaryote en, indien van toepassing, aannemers, ontvangen passende training en bewustwording, evenals regelmatige updates over organisatorisch beleid en procedures, afhankelijk van hun rol. Naast deze verplichte training biedt Procaryote haar personeel extra trainingsbronnen, waaronder extra beveiligingslectuur en hackathons.
Due Diligence-controles
Due Diligence-controles
Procaryote voert due diligence-controles uit bij alle nieuwe medewerkers en externe aannemers die toegang hebben tot de systemen en informatie van het bedrijf. Alle medewerkers en aannemers zijn gebonden aan vertrouwelijkheidsverplichtingen, die ook na beëindiging van hun dienstverband of samenwerking van kracht blijven. Procaryote handhaaft een strikt disciplinair procedure voor schendingen door het personeel van hun beveiligings- en vertrouwelijkheidsverplichtingen.
Overige beleidslijnen en procedures
Overige beleidslijnen en procedures
Procaryote heeft verschillende beleidslijnen en procedures ingevoerd om effectieve bescherming van haar informatie en activa te waarborgen. Deze omvatten:
Informatieclassificatiebeleid: Definieert de gevoeligheidsniveaus van informatie en passende beschermingsmaatregelen.
Informatiebehoudbeleid: Specificeert gegevensbewaarperiodes en veilige vernietigingsprocedures.
Toegangscontrolebeleid: Reguleert de toegang tot systemen en informatie op basis van rollen en verantwoordelijkheden.
Cryptografiebeleid: Reguleert het gebruik van versleutelingstechnieken om gevoelige gegevens te beschermen.
Wachtwoordbeleid: Details de vereisten voor het creëren en beheren van wachtwoorden om hun robuustheid te waarborgen.
Beleid voor mobiele apparaten: Reguleert het gebruik van mobiele apparaten om toegang te krijgen tot bedrijfsinformatie.
Gedragscode: Behandelt aanvullende beveiligingsaspecten zoals thuiswerken, gebruik van persoonlijke apparaten, e-mail en bestandsoverdracht.
Elk beleid wordt minstens één keer per jaar herzien om ervoor te zorgen dat het up-to-date en effectief blijft tegen nieuwe bedreigingen en wettelijke vereisten.
Wijzigingen aan dit document
Wijzigingen aan dit document
Dit document is de laatste versie volgens de onderstaande versielijst. We herzien dit document regelmatig om ervoor te zorgen dat het up-to-date is en kunnen het in de loop van de tijd wijzigen om wijzigingen in onze diensten en gegevensverwerkingsactiviteiten weer te geven. Als we dit doen, zullen we de bijgewerkte beveiligingsmaatregelen op deze webpagina publiceren. Raadpleeg deze Beveiligingsmaatregelen voor eventuele wijzigingen, aangezien elke herziene versie van de beveiligingsmaatregelen van toepassing zal zijn op alle persoonlijke gegevens die door Procaryote worden verwerkt.
Samenvatting van wijzigingen
Samenvatting van wijzigingen
V1.0 - 10 april 2021: Eerste versie.
Contact
Contact
Om te communiceren met Procaryote over deze beveiligingsmaatregelen, stuur een e-mail naar security@procaryote.com.
Page updated
Report abuse