Het NewHealth-platform is ontwikkeld voor mensen die zelf of met behulp van begeleiding aan hun mentale gezondheid willen werken, en specifiek ook voor organisaties die actief zijn in de professionele medische dienstverlening. Zij mogen verwachten dat de beveiliging van hun gegevens op een hoog niveau is geregeld. Hieronder is een samenvatting opgenomen van de maatregelen die de NewHealth-organisatie Health Collective heeft genomen om aan deze eisen te voldoen. 


Hosting & gegevensopslag 


Zowel het NewHealth-platform als de bijbehorende gegevens worden gehost bij Leaseweb. Informatie over hun beveiligingsbeleid en de relevante certificaten vind je op https://www.leaseweb.com/nl/certificeringen


Alle gegevens van klanten worden verwerkt en opgeslagen binnen de Europese Economische Ruimte (EER), in het Evoswitch AMS1 data center in Haarlem. Informatie over hun veiligheidsmaatregelen vind je hier. 


Binnen dit data center beschikt NewHealth Collective over een private rack, waar alle hardware volledig redundant is uitgevoerd. 


Van alle klantgegevens wordt minimaal een keer per dag een back-up gemaakt die buiten het data center wordt opgeslagen, op twee verschillende Nederlandse locaties van KPN/Argeweb.


Toegangsbeveiliging 


Toegang tot het NewHealth-platform (en alle daarbinnen beschikbare applicaties) voor gebruikers geschiedt met behulp van een webbrowser via een verbinding die met SSL-encryptie is beveiligd. 


Toegang voor applicatiebeheerders en -ontwikkelaars loopt altijd via het lokale kantoornetwerk van NewHealth Collective/Ortec. Gebruikers moeten daartoe fysiek op kantoor aanwezig zijn of via een VPN-verbinding inloggen. 


De toegang voor ontwikkeling en onderhoud is beperkt tot specifieke, daartoe bevoegde personen, wier systeemactiviteiten worden gelogd en gemonitord. 


Alle gebruikersaccounts zijn beveiligd met een wachtwoord dat hoofdletters, kleine letters, cijfers en speciale tekens moet bevatten. Dit wordt door het systeem afgedwongen. Daarnaast kunnen gebruikers gebruik maken van “wachtwoordloos inloggen” met behulp van een eenmalig bruikbare, kort geldige inloglink die naar hun geauthentiseerde mailadres wordt verzonden. 


Tweestapsauthenticatie is optioneel beschikbaar voor alle gebruikers, en verplicht voor alle medewerkers van NewHealth Collective en Stichting mirro.


Interfaces met systemen van klanten en derde partijen maken gebruik van SAML 2.0, OpenID of OAUTH2-authenticatie. Ze maken gebruik van internetverbindingen met SSL-encryptie of van rechtstreekse een-op-een verbindingen binnen het data center. 


Veiligheidsmanagement 


Het information security management system (ISMS) van NewHealth Collective en Stichting mirro is NEN7510 gecertificeerd door Lloyd's Register certificeringen:  


‘Het ontwikkelen en beheren van E-Health SaaS-oplossingenen online modules, de koppeling aan gerelateerde systemen zoals een EPD, alsmede de dienstverlening in relatie tot onze producten, dit alles in overeenstemming met de Verklaring van Toepasselijkheid van de NewHealth Group, versie 3.0,d.d. 18-03-2021.Hosting en netwerkbeheer zijn uitbesteed’.


De laatste audit heeft plaatsgevonden in april 2022.


Veiligheidstests 


Het NewHealth-platform wordt jaarlijks onderworpen aan penetratietests, zowel grey als black box tests. Onze huidige testpartner is Onvio Information Security. De laatste penetratietest heeft plaatsgevonden in december 2021.



Wet- en regelgeving 


NewHealth Collective en Stichting mirro handelen in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG). NewHealth Collective helpt haar zorgklanten te voldoen aan de WGBO (Wet op de geneeskundige behandelingsovereenkomst), wat onder meer betekent dat medische gegevens 15 jaar moeten kunnen worden bewaard. 


Alle NewHealth Collective- en Stichting mirro-medewerkers en alle ingehuurde krachten zijn gebonden aan geheimhouding van alle klantgegevens middels een geheimhoudingsverklaring, 


Waar van toepassing is ook met alle onderaannemers een Verwerkersovereenkomst gesloten, conform AVG-voorschrift. 


Video 


Beeldbellen via WebRTC is beschikbaar binnen het NewHealth-platform. Video- en audiostreams zijn versleuteld door middel van SRT (AES, 128-bit sleutels) en met HMAC-SHA1 wordt de data-integriteit gewaarborgd. 


Alleen real-time beeldbellen wordt ondersteund, er wordt geen content in onze systemen opgeslagen.  


Meer weten? 


Heb je aanvullende vragen? Stuur dan een e-mail met je vragen naar support@newhealthcollective.nl. Wij nemen dan contact met je op.