Om de privacy van jouw data te waarborgen en je persoonsgegevens te beschermen, hanteert Acture verschillende maatregelen. De Algemene Verordening Gegevensbescherming (AVG) vormt de basis voor ons informatiebeveiligingsbeleid. Daarbij voldoet Acture aan de Nederlandse en Europese privacywetgeving en richtlijnen met betrekking tot de verwerking van persoonsgegevens. 

De AVG heeft Acture aangesteld als ‘verwerkingsverantwoordelijke’. Hieruit volgt dat Acture in de uitvoering van de dienstverlening daadwerkelijk en zelfstandig beslissingen neemt over de verwerking van persoonsgegevens en daarmee feitelijk bepaalt wat er met die persoonsgegevens gebeurt. Met andere woorden: Acture bepaalt het doel en (de wezenlijke aspecten van) de middelen van de verwerkingen. 

De AVG stelt maatregelen voor Acture als verwerkingsverantwoordelijke. Dit betreft de volgende maatregelen: 

• Acture en haar leveranciers houden zich te allen tijde aan de wet; 
• Acture treft voldoende maatregelen ten behoeve van haar technische en organisatorische beveiliging; 
• Acture heeft een functionaris gegevensbescherming aangesteld die dient als interne toezichthouder en adviseur; 
• Acture zorgt ervoor dat jouw gegevens vertrouwelijk worden behandeld; 
• Acture meldt een datalek bij het AP na constatering. Acture heeft een meldpunt ingericht voor het melden van datalekken. Constateert je een datalek? Meld dit direct bij privacy@acture.nl; 
• Acture hanteert bij het ontwikkelen van haar software het ‘privacy by design’ en ‘privacy by default’ principe; 
• Acture maakt afspraken met de verwerkers en verwerkingsverantwoordelijken; 
• Acture heeft een privacy impact assessment opgesteld die periodiek wordt herzien. 
• Alle bovenstaande punten zijn getoetst conform ISO27001 normenkader. 

Er is een privacy impact assessment opgesteld

Acture gebruikt Zivver voor het veilig mailen van vertrouwelijke informatie. Hierdoor hebben we de garantie dat gevoelige informatie met de modernste beveiliging wordt verstuurd en dat niemand anders dan jij de inhoud van de e-mail kan lezen.

In het kader van ISO9001 en ISO27001 worden er jaarlijks bewustwordingssessies georganiseerd ten aanzien van informatiebeveiliging en de AVG. Deze bewustwordingssessies zijn verplicht voor alle medewerkers. Daarnaast worden er ook bewustwordingssessies georganiseerd voor nieuwe medewerkers tijdens het onboarding traject. 

Om alle data veilig te stellen, worden er dagelijks meerdere back-ups van systemen gemaakt. Alle back-ups zijn bedoeld om gegevens terug te kunnen halen in het geval van een calamiteit. Indien er een dergelijke calamiteit voorvalt, wordt de meest recente back-up gebruikt om het systeem weer te herstellen. 

Acture beschikt over gedragsregels waarbij de focus wordt gelegd op vertrouwelijkheid, integriteit en beschikbaarheid van informatie zodat deze zo goed mogelijk worden beschermd. Elke medewerker dient deze gedragsregels voor akkoord te ondertekenen. 

Jaarlijks wordt er een interne privacy audit uitgevoerd. Tijdens de interne privacy audit wordt het privacy beleid, de procedures en nalevingscontroles beoordeelt. Ook zijn er interviews met stakeholders. De AVG-compliance wordt beoordeeld in het licht van de privacywetgeving. Er volgt vervolgens een rapport met overzicht van conclusies aanbevelingen en prioriteiten. 

Jaarlijks wordt een penetratietest uitgevoerd volgens de black box en de grey box methode. Bij de black box methode worden de webportalen en de infrastructuur getest door ethische hackers op basis van minimale informatie en zonder vooraf bekendgemaakte inloggegevens. De kwetsbaarhedenscans worden op twee niveaus uitgevoerd: op webserver- en webapplicatieniveau.

Bij de grey box methode beschikken ethische hackers over testcredentials, zoals bijvoorbeeld gebruikersnamen en wachtwoorden. Hiermee wordt onder andere onderzocht of autorisaties binnen de applicaties correct gewaarborgd zijn. Met grey box testen wordt meer nadruk gelegd op de werking van de functionele beveiligingsmaatregelen. 

Acture beschikt over een Online Academy waar trainingen/cursussen worden aangeboden. De training AVG Security Awareness en AVG Privacy Awareness zijn verplichte trainingen tijdens het onboarding traject, met een toets ter afsluiting die met goed resultaat dient te worden behaald. Privacy & Security Awareness Acture is een jaarlijkse opfriscursus die verplicht is voor alle medewerkers. 

De Autoriteit Persoonsgegevens beleidsregels opgesteld inzake ‘de zieke werknemer’ deze regels worden strikt in acht genomen binnen Acture. 

De autorisaties van gebruikers zijn zodanig ingesteld dat personen die bepaalde (medische) gegevens niet mogen verwerken, deze gegevens ook niet kunnen inzien.  

Om de gegevens van Klout7 te beschermen, moet een onderscheid worden gemaakt tussen de medische en niet-medische datadomeinen. Om te voldoen aan de Nederlandse regelgeving rondom medische gegevens zijn er aanvullende maatregelen getroffen. 

Data wordt in principe gehost binnen Nederland; dan wel binnen de EEG.

Acture neemt de beveiliging van gegevens zeer serieus. De veiligheid van Acture wordt dan ook actief bewaakt. Als je desondanks kwetsbaarheden ontdekt neem dan direct contact met ons op via privacy@acture.nl. Kwetsbaarheden gemeld via dit mailadres worden direct in behandeling genomen. 

Je hebt enkel toegang tot jouw gegevens in onze systemen met een geldige gebruikersnaam en wachtwoord. Het wachtwoord van systeemgebruikers moet aan verschillende specificaties voldoen. Acture maakt daarnaast gebruik van cryptografische maatregelen: tweezijdige authenticatie, versleuteling en encryptie via een beveiligde SSL-verbinding. Hiermee wordt geheime en gevoelige informatie beschermd en versleuteld. 

De beveiliging van jouw data wordt actief gemonitord. De autorisaties van gebruikers zijn zodanig ingesteld dat personen die bepaalde (medische) gegevens niet mogen verwerken, deze gegevens ook niet kunnen inzien. 

Acture wordt beschermd voor malware en door het gebruik van virusprotectie zorgt Acture ervoor dat haar systemen niet besmet worden met computervirussen. Voor de bescherming van jouw eigen gegevens vertrouwen wij erop dat jouw systemen in bezit zijn van virusdetectie en malware-protectie. 

Jaarlijks wordt een leveranciersselectie uitgevoerd op gebied van de AVG en alle leveranciers die persoonsgegevens verwerken worden in detail beoordeeld door middel van een risicoanalyse op beschikbaarheid, vertrouwelijkheid en integriteit. Ook is met alle leveranciers een verwerkersovereenkomst afgesloten indien noodzakelijk.

Wij gebruiken jouw herleidbare klantgegevens niet voor andere doeleinden dan de uitvoering van onze dienstverlening. Bij de uitvoering van onze werkzaamheden hebben wij te maken met verschillende soorten persoonsgegevens. De soorten persoonsgegevens die wij van jouw verwerken variëren. Dit is afhankelijk van de dienstverlening die je bij Acture afneemt én afhankelijk van de overeenkomst met Acture. Indien de overeenkomst met Acture wordt beëindigd, is Acture niet in staat jouw gegevens te verwijderen in verband met de wettelijke bewaarplicht. 

Alle gegevens worden binnen Acture opgeslagen in overeenstemming met de ISO27001 standaard. De maatregelen die hieraan gekoppeld zijn, zijn in overeenstemming met de richtlijnen van Beveiliging van Persoonsgegevens van de Nederlandse Autoriteit Persoonsgegevens. 

De wijzigingsbeheerprocedure voor (database)wijzigingen behoort gedocumenteerd te zijn. Deze omvat in ieder geval: 

• Alle databasewijzigingen dienen te worden vastgelegd, te worden voorzien van een versienummer en herleidbaar zijn naar individuele personen. 
• Alle handelingen die mensen verrichten in het systeem worden gelogd. 
• Ontwikkelingen in de automatisering verlopen altijd via OTAP. 
• Proceswijzigingen of ontwikkelverzoeken gaan altijd via het ISMS (information security managementsysteem). 
• De testomgeving is volledig geanonimiseerd.