General Data Protection Regulation (GDPR)

Digitalisering verandert de wereld in een hoog tempo. Aan de ene kant maakt het veel zaken eenvoudiger. Aan de andere kant brengen al die data ook de nodige risico’s met zich mee, met name op het gebied van privacy. Dit is dan ook een belangrijk punt voor de Europese Unie geweest en daarom hebben ze in 2016 de General Data Protection Regulation (GDPR) opgesteld, een regeling die ook veel middelgrote instellingen raakt.

De General Data Protection Regulation (GDPR) is alweer van kracht sinds 25 mei 2018. Het doel is iets te doen aan de bescherming van de Europese burger. Deze wetgeving geldt dan ook niet alleen voor bedrijven die in Europa gevestigd zijn, maar is relevant voor alle organisaties die persoonsgegevens verzamelen van Europese burgers.

Daarnaast wil GDPR kaders geven aan organisaties die persoonsgegevens verzamelen. Omdat deze kaders compleet ontbraken, waren veel organisaties zich totaal niet bewust van welke gegevens ze eigenlijk hebben, waar deze gegevens opgeslagen staan, en wie allemaal toegang hebben tot deze gegevens. GDPR moet hier verandering in brengen. Gegevens verzamelen is niet compleet verboden, maar je moet als organisatie wel netjes toestemming vragen aan de gebruiker, en een goede reden hebben om deze gegevens te verzamelen.

RAM Infotechnology is uiteraard AVG/GDPR-compliant

  1. We hebben een privacy policy / informatiebeveiligingsbeleid
    1. Er zijn maatregelen getroffen om vertrouwelijke gegevens te beveiligen, zoals het beperken van toegang tot deze gegevens zodat alleen geautoriseerde medewerkers toegang hebben.
    2. Medewerkers mogen gegevens niet voor andere doeleinden gebruiken dan voor het werk dat zij verrichten.
    3. Een directielid is verantwoordelijk gesteld voor het toezien op de naleving van de maatregelen en op het compliant zijn aan de GDPR.
  2. We hebben een procedure meldplicht datalekken. In deze procedure is onder andere het volgende opgenomen:
    1. Het verschil tussen een beveiligingsincident en een datalek: een beveiligingsincident is een datalek indien de bescherming van persoonsgegevens is doorbroken, waarbij de gegevens zijn blootgesteld aan verlies of onrechtmatige verwerking van persoonsgegevens;
    2. Beveiligingsincidenten worden altijd geregistreerd in een registratietool;
    3. Bij een datalek wordt dit zo spoedig mogelijk, maar in ieder geval binnen 72 uur, gemeld bij de Autoriteit Persoonsgegevens;
    4. Bij een datalek wordt een risico-inschatting gemaakt en worden betrokkenen zo nodig op de hoogte gesteld;
    5. Voorbeelden van incidenten die kunnen leiden tot een datalek, waaronder het verliezen van een USB-stick, een inbraak door een hacker, een malwarebesmetting of een calamiteit zoals brand in het datacentrum.
  3. We houden een register bij per verwerking van de services die u verleent aan de verantwoordelijke, met welke middelen wij deze services verlenen en de categorieën van gegevens die wij verwerken.
  4. We gebruiken de persoonsgegevens alleen voor verwerkingen die we in opdracht van de klant uitvoeren.
  5. De toegang tot persoonsgegevens binnen onze systemen zijn ingericht volgens het “need-to-know”-principe.
  6. We hebben bij het ontwerp en de inrichting van onze IT-infrastructuur en IT-architectuur voldoende beveiligingsmaatregelen ingericht om zorg te dragen dat ongeautoriseerde toegang tot persoonsgegevens zoveel mogelijk wordt voorkomen.
  7. Persoonlijke digitale identifiers, zoals BSN, verwerken wij en slaan wij versleuteld (encrypted)
  8. Bijzondere gegevens slaan wij versleuteld op. Bijzondere gegevens zijn o.a. godsdienst, ras en gezondheid, maar ook biometrische gegevens, zoals vingerafdrukken, stem, handschrift en scans van het netvlies.
  9. We zijn in staat persoonsgegevens te corrigeren, te laten verwijderen en over te dragen aan de verantwoordelijke of een andere verwerker, indien de verantwoordelijke hier om vraagt.
  10. Wij hebben een verwerkersovereenkomst afgesloten met de verantwoordelijke.

Certificeringen & normeringen

Naast onze uitgebreide maatregelen in het kader van de GDPR beschikken wij ook over alle relevante certificaten en normeringen, zoals ISO 9001, ISO 14001, ISO 27001, NEN 7510 certificeringen, SOC 2, type II verklaring en zijn we gekwalificeerd als zorgserviceprovider (ZSP) en als Goed Beheerd ZorgNetwerk (GZN). Niet alleen onze software en procedures hebben een uitvoerige audit ondergaan, ook de fysieke beveiliging van onze gebouwen en de integriteit van onze specialisten zijn in dat proces meegenomen. Deze certificeringen onderstrepen dat we de ICT-processen en -procedures aantoonbaar kennen en verzekert organisaties van een getoetst kwaliteitsniveau.

Frank Waarsenburg

Frank Waarsenburg

Chief Information Security Officer

030 – 2 390 390