Informatiebeveiliging en privacy

Bär Software B.V. gaat zorgvuldig om met persoonsgegevens. Hieronder lees je welke maatregelen wij nemen om gegevens te beschermen en welke maatregelen wij hebben voor informatiebeveiliging.

Privacy en AVG (GDPR)

Identiteit en verantwoordelijkheid

Het Roermond Score Programma (RSP) wordt vermarkt door Bär Software B.V., gevestigd in Nederland. Bär Software B.V. biedt diensten en producten aan professionele gebruikers, meestal ofwel voor wetenschappelijke/educatieve doeleinden of voor het screenen of diagnostiseren in de geestelijke gezondheidszorg. 

 

Doel van het verwerken van data op onze servers

RSP is van oorsprong een On Premises programma dat volledig draait binnen het netwerk van een zorginstelling. Hiermee heeft Bär Software B.V. dus ook geen enkele toegang tot de gegevens.

Sinds 2017 is er een online variant genaamd RSPweb beschikbaar. Dit is een Software-as-a-Service. Met deze nieuwere variant worden er wel gegevens op onze servers opgeslagen. Dat doen we met de volgende redenen:

  • Voor het berekenen van scores op diagnostische meetinstrumenten en het maken van rapporten van de resultaten daarvan. Voor veel van de instrumenten in het platform zijn maar weinig persoonlijke gegevens nodig, namelijk leeftijd en geslacht. Voor een aantal instrumenten is ook een opleidingsniveau vereist om resultaten te kunnen vergelijken met normen. Verder worden metingen opgeslagen, zoals antwoorden op vragenlijsten. Die antwoorden zijn over het algemeen gecodeerd in cijfers en de vraag wordt zelf niet erbij opgeslagen, dus bijvoorbeeld ‘Vraag 2: Antwoord 1’. In sommige gevallen bestaat het antwoord uit open tekst. Die meetgegevens worden vergeleken met normtabellen en vervolgens in rapporten verwerkt. Het vergelijken van scores met normen meestal alleen mogelijk wanneer minimaal leeftijd en geslacht bekend zijn.
  • Voor het monitoren van de veiligheid van de data en het systeem. We houden continu in de gaten of het systeem alleen gebruikt wordt voor het professionele doel waar het voor ontworpen is. Dat doen we door logboeken te bekijken. Deze logboeken bevatten informatie over wie op welk moment, welk subsysteem gebruikt. We bewaren ook het IP-adres van de computer waarmee de systemen gebruikt worden. Bij incidenten of storingen kunnen we op die manier de gebeurtenissen volgen die vooraf gingen aan de situatie.
  • Facturatie, boekhouding en belastingen. Afhankelijk van het gekozen licentiemodel bewaken we de toegang en gebruik van het pakket om het gebruik in rekening te brengen.
  • Verbetering van de prestaties en bruikbaarheid van het systeem en de instrumenten. We zijn continu bezig met het verbeteren van de gebruikerservaring. Daarom monitoren we welke subsystemen gebruikt worden en ook of daarbij fouten optreden tijdens het gebruik. Anonieme, statistische gegevens maken het mogelijk de kwaliteit en performance van de instrumenten te bewaken of te verbeteren.
  • Communicatie. We houden contactgegevens bij om contact op te kunnen nemen met gebruikers voor relevante onderwerpen, zoals beschikbare software updates. We houden in geen enkel geval contactgegevens bij van cliënten. Ook niet bij de optionele module voor het online afnemen van vragenlijsten. Indien hier een e-maildres van een cliënt wordt ingevuld wordt deze niet door RSP opgeslagen.

Derden

Bär Software B.V. deelt geen persoonlijke gegevens met derden, behalve in de volgende gevallen:

  • Indien dit ons door de wet verplicht wordt.
  • Wanneer dat nodig is voor het oplossen van een technisch probleem. Normaal gezien zullen wij technische problemen altijd zelf oplossen. In sommige gevallen, bijvoorbeeld als een probleem dermate urgent of complex is dat inhuur noodzakelijk is, kan een externe partij ingehuurd worden. In zulke gevallen worden die partijen per contract verplicht aan dezelfde voorwaarden te voldoen. Verder loggen we iedere vorm van toegang tot de systemen en de data.

In geen enkele omstandigheid zullen we persoonlijke gegevens gebruiken voor het opbouwen van profielen. We gebruiken de gegevens niet voor advertenties of politieke doeleinden en zullen ze ook nooit doorgeven aan partijen die zulke intenties hebben.

 

Opslag van de data

In RSPweb ingevoerde data worden opgeslagen in een Europees datacenter, in Nederland Het datacenter heeft een ISO 27001 en NEN 7510 certificaat dat jaarlijks door een externe audit opnieuw gecontroleerd wordt. We bewaren de data permanent, tot verwijdering aangevraagd wordt. Deze verwijdering kan wettelijk opgelegd zijn of door de leverancier van die data aangevraagd worden. Indien u verwijdering aan wilt vragen of de toestemming voor het gebruik van die gegevens in wilt trekken kunt u op ieder moment contact met ons opnemen. Indien u gebruik maakt van RSP On Premises dan regelt uw eigen instelling of diens ICT dienst de opslag van de data en de beveiliging daarvan.

 

Cookies

RSPweb slaat enkel zogenaamde cookies in uw browser op om de bruikbaarheid van de site te vergroten.

 

Verwerkersovereenkomst

Een instelling die RSPweb gebruikt en daar persoonlijke gegevens in invoert wordt volgens de Algemene Verordening Gegevensbescherming (AVG) gezien als Verwerkingsverantwoordelijk en dient met Bär Software B.V. een verwerkersovereenkomst te sluiten: persoonlijke gegevens van medewerkers van de instelling, als ook van cliënten van de instelling, worden op onze servers verwerkt. Indien de instelling RSP On Premises gebruikt is dat anders: de persoonlijke gegevens van cliënten worden dan binnen de instelling bewaard en zijn niet toegankelijk voor Bär Software B.V. De enige gegevens die wij in het geval van RSP On Premises op onze servers bewaren zijn de logingegevens van de gebruikers die updates van de software kunnen downloaden.

 

Beveiligingsmaatregelen

We hebben onder andere de volgende maatregelen genomen om zorg te dragen voor de veiligheid en privacy:

  • We bewaren geen wachtwoorden op onze servers. Om te controleren of het wachtwoord dat u invoert juist is vergelijken we het met een afgeleide die alleen in één richting werkt: we kunnen dus zien of een wachtwoord juist is, maar niet wat dat wachtwoord is.
  • Gegevens die niet nodig zijn voor het gebruik van de instrumenten hoeft u ook niet in te voeren.
  • Data die we verzamelen worden opgeslagen in een streng beveiligd, gecertificeerd datacenter.
  • Gegevens van verschillende gebruikers worden zoveel mogelijk gescheiden opgeslagen. Onze servers zijn ook beschikbaar als volledig dedicated systeem.
  • We houden logboeken bij van de gebeurtenissen in het systeem zodat we bij incidenten of storingen snel kunnen achterhalen wat er gebeurd is.
  • Met behulp van een monitoringsysteem houden we onze diensten continu in de gaten.
  • Met een proactief beleid zorgen we er steeds voor dat de systemen beschermd zijn tegen de nieuwste dreigingen.
  • Een back-upsysteem zorgt ervoor dat we snel kunnen herstellen bij uitval.
  • Toegangsgegevens die we zelf nodig hebben voor onderhoud van de systemen zijn encrypted opgeslagen.
  • We gebruiken SSL en TLS voor de beveiliging van communicatie.
  • We bieden two-factor authentication middels een SSO-koppeling via Microsoft Azure, ADFS, of Google. Daarnaast bieden we een speciaal voor RSP ontwikkelde sleutelapplicatie waarmee RSPweb gekoppeld kan worden aan uw eigen rechtenstructuur via Active Directory.
  • De broncode van de systemen is ondergebracht in een versiebeheersysteem, zodat we elke wijziging in de systemen tot in het diepste detail kunnen volgen.