AVG

AVG
 

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU).  De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). Onze maatregelen om te voldoen aan de AVG zijn beschreven in onze Data Pro Statement​. Deze is hier te downloaden:
 

pm-0216-med-img_7630-1016.jpg

AVG-tool

Met onze AVG-tool krijg je extra mogelijkheden in de software om makkelijk aan AVG-vragen te voldoen. 

Dataportabiliteit

Als relaties hun gegevens willen meenemen moet je alle gegevens in een voor machines leesbare bestand mee kunnen geven. Het meegeven van een PDF of Word document of een fysieke brief voldoet wel  voor de recht op inzage , maar een relatie (een ‘betrokkene’ en volgens de AVG een ‘data subject’) heeft nu ook het recht om zijn of haar gegevens “mee te nemen”. Daarom moet je een door een machine leesbare bestand kunnen geven. 

Onze AVG-tool zorgt ervoor dat de gegevens van een betrokkene met de druk op een knop in een gecomprimeerd bestand (ZIP) kunnen worden gedownload uit KorènCRM. In dit bestand vindt je de gegevens van een betrokkene in een Word-bestand en XML-bestand. Daarnaast zitten ook alle dossierdocumenten hierin (zowel tekstenbestanden als afbeeldingen etc.).

Door de data in een Word en XML-bestand aan te leveren voldoen we aan het verzoek de gegevens van een betrokkene in machine leesbare format kunnen aanleveren bij de betrokkene.

Recht op inzage

Een betrokkene heeft het recht om zijn of haar gegevens in te kunnen zien en eventueel ook wijzigen aan te kunnen (laten) brengen.

Met de gratis webapp WerktVoorMij kunnen jouw relaties zelf hun gegevens kunnen inzien. Betrokkenen hebben aanvullend daarop ook de mogelijkheid om hun gegevens te wijzigen. Als een dergelijke wijziging gedaan is moet dit nog bevestigd worden in KorènCRM  (dit kan met een druk op de knop). Hiermee voldoe je deel aan het recht op correctie. Via de webapp kunnen niet alle gegevens worden ingezien. Dit kan wel geregeld worden via de AVG-tool of een andere soort websitekoppeling.

 

Recht op vergetelheid

Betrokkenen hebben het recht op vergeten te worden. Dit betekent dat ze je kunnen vragen om alle door hen aangeleverde gegevens te verwijderen. In KorènCRM kun je makkelijk een relatie inactief maken. Vervolgens krijg je een melding wanneer je inactieve relaties moet verwijderen. Dit hangt af van de ingestelde bewaartermijn. Je hebt de mogelijkheid op relaties per stuk of in bulk te verwijderen.​

Persoonsgegevens naar Korèn versturen

Wij waarschuwen KorènCRM gebruikers ervoor om geen persoonsgegevens in de vorm van screenshots of bijlages op te sturen via e-mail. E-mail is onvoldoende  beveiligd voor het verzenden van dergelijke gegevens.

In het geval van support m.b.t. een relatie in KorènCRM vragen wij aan gebruikers of ze een KorènCRM relatienummer willen noemen zodat wij zelf in de software naar de situatie in de software kunnen kijken. Hiermee voorkomen we dat er (gevoelige/bijzondere) persoonsgegevens mogelijk gelekt worden. In het uitzonderlijke geval dat een screenshot toch nodig is om een vraag goed te kunnen stellen, moeten deze gecensureerd worden zodat er geen persoonsgegevens meer op staan. Denk er ook aan dat er niet per abuis andere zaken (zoals e-mails) zichtbaar zijn op een screenshot.

Als je persoonsgegevens naar ons toe wilt versturen kan dat beveiligd via SFTP (SSH File Transfer Protocol). Verstuur nooit persoonsgegevens over e-mail of FTP want beide zijn onvoldoende beveiligd. Neem contact op met onze helpdesk als je van ons een SFTP login wilt.
 

Privacy by Design

We houden bij het ontwerpen van de software al rekening met de privacy.  Enkele voorbeelden hiervan zijn:

  • Extra visuele en tekstuele waarschuwingen bij het verlenen van toegang 

  • Het is alleen mogelijk om bepaalde tabbladen of velden in te zien / te wijzigen / te verwijderen als de gebruiker ook toegang heeft tot de corresponderende module. Als een gebruiker geen toegang heeft tot bepaalde gedeeltes/functies binnen een module dan zijn deze of niet zichtbaar of grijs en niet aanklikbaar.

  • Bij het verwijderen van relaties in bulk staat de software zo ingesteld dat het standaard alleen inactieve relaties zal verwijderen ten behoeve van het recht op vergetelheid. Er kan wel gekozen worden om alleen relaties die om een bepaalde reden inactief zijn gezet te selecteren eventueel vanaf een specifieke datum.

  • Bij het verwijderen van inactieve relaties staat standaard ingesteld dat alle inactieve relaties tot 2 jaar terug worden meegenomen. De gebruiker kan dit uiteraard aanpassen naar eigen inzicht en dit termijn korter of langer maken.

  • Als je bij het inloggen een KorènGuard melding krijgt dat er een code is gestuurd naar je e-mailadres is je mailadres niet geheel zichtbaar maar verhaspeld. 

Privacy by Default

Privacy staat maximaal ingesteld. De volgende zaken staan standaard aan:

  • Two step authentication met e-mail staat standaard aan en mag niet uitgezet worden. Dit is uit veiligheidsoverwegingen niet uit te zetten. Deze beveiligingsmethode is ook toegepast op de mobiele versie van KorènCRM.

  • Als er een nieuwe gebruikersgroep aangemaakt wordt staan alle toestemmingen standaard op “geen toegang”. Er moet bij iedere groep dus expliciet toestemming worden verleend voor het uitvoeren van bepaalde handelingen in de software.

  • Als je rechten verleend aan een gebruikersgroep zal de software je mogelijk waarschuwen waartoe deze groep toegang heeft. Hiermee kun je een profiel schetsen van een gebruikersgroep.

Gebruikersbeheer: autorisaties & functiegroepen

 

Functiegroep

Met deze groep geef je aan in welke functionele groep een gebruiker zit (bij frontoffice, of servicedienst medewerker enz.). Dit is bijv. handig als het gaat om taken toebedelen aan bepaalde groep gebruikers. Doordat autorisatie gescheiden is van functie kunnen gebruikers in dezelfde functiegroep zitten maar andere bevoegdheden. 

Voorbeeld: Een teamleider kan in dezelfde functiegroep (Alarmering) zitten als een medewerker Alarmering maar de teamleider mag bijv. wel BSN nummers inzien en de medewerkers niet. De teamleider zit een authorisatiegroep 'Frontoffice teamleider' en heeft meer bevoegdheden dan de medewerker die een functiegroep 'Frontoffice medewerker'. 

Data Pro Gecertificeerd

Onze brancheorganisatie Nederland ICT heeft een nieuwe certificering gelanceerd met oog op de AVG. Het Data Pro Code certificaat is specifiek gericht op data processors (verwerkers en voorheen bekend als bewerkers). De certificering is toegespitst op de praktijk en is inhoudelijk een relevante certificering op verwerkersgebied. De certificering wordt gedaan door een onafhankelijke derde partij (buiten Nederland ICT om) en jaarlijks opnieuw getoetst. Meer info over dit certificaat kun je hier vinden.

 

Wij zijn gecertificeerd en behoren tot de eerste lichting gecertificeerde bedrijven waar we uiteraard heel trots op zijn. We zijn geslaagd met een gemiddelde van 43,4 punten (van de 50). Op 2 van de 8 punten zijn we zelfs beoordeeld met vooruitstrevend.

Hieronder kun je onze cijferlijst inzien.

722-0005-Logo-Data-Pro-Certified_RGB_DTP
data+pro+cijfer+certified.jpg

BSN Zorg Keurmerk RB/IV +

Onze software is in het bezit van de hoogste certificering als het gaat om BSN verificatie. Hiermee kun je, mits je over een geldige licentie beschikt, NAW gegevens uit de Gemeentelijke Basis Administratie (GBA) opvragen ter verificatie. Dit is een must voor iedere zorgorganisatie en andere organisaties die autorisatie hebben om het burgerservicenummer op te vragen. 

bsn+zorg+keurmerk+RB+IV++ (1).jpg

Verzekering tegen cyberrisico's

Cyberincidenten komen regelmatig voor. Helaas realiseren veel bedrijven te laat wat de cyberrisico’s zijn, namelijk als ze getroffen zijn door een datalek of gehackt zijn. Wij doen er alles om preventief te werken. Voor het geval zich een incident wel zou voordoen hebben we met de Chubb cyber security verzekering de meeste gerenommeerde verzekering genomen die er is. Chubb is wereldwijd de specialist hierin.