Wij zijn ons ervan bewust dat er gevoelige persoonsgegevens, onder meer van medische aard, worden verzameld in de NiceDay-app. De AVG stelt strenge eisen aan het verwerken van dergelijke persoonsgegevens, bijvoorbeeld omtrent beveiliging. NiceDay heeft passende maatregelen getroffen om de persoonsgegevens te beschermen en houdt deze maatregelen van tijd tot tijd up to date. Op deze pagina informeren wij u over deze maatregelen en andere details over hoe wij met persoonsgegevens omgaan. Voor onze volledige privacyverklaring, klik hier.
Uitgangspunten AVG
In 2018 is de Algemene Verordening Gegevensbescherming van kracht geworden. Deze wet regelt op Europees niveau op welke manier de privacy van betrokkenen wordt beschermd bij het verwerken van persoonsgegevens.
Elke verwerking van persoonsgegevens dient in ieder geval te voldoen aan de principes van rechtmatigheid, behoorlijkheid en transparantie. Voor het voldoen aan de wet is de verwerkingsverantwoordelijke verantwoordelijk, samen met eventuele verwerkers.
Wanneer NiceDay wordt gebruikt in het kader van een medische behandelovereenkomst door een zorgverlener, of door een werkgever in het kader van een arbeidsovereenkomst, geldt NiceDay als verwerker. De verwerkingsverantwoordelijke is dan de partij die het gebruik van de applicatie met ons is overeengekomen. Die partij bepaalt immers het doel van de inzet van de applicatie.
Voor particulieren die op eigen initiatief gebruik willen maken van de NiceDay-app geldt NiceDay als verwerkingsverantwoordelijke.
Wat doet NiceDay om uw persoonsgegevens te beschermen?
Verwerkersovereenkomsten
NiceDay sluit verwerkersovereenkomsten, gebaseerd op een model dat gangbaar is in de zorgsector, met de verwerking verantwoordelijken (indien van toepassing) en met de door NiceDay ingeschakelde (sub)verwerkers.
De actuele (sub)verwerkers van NiceDay zijn:
| Naam partij | Type partij | Locatie opslag persoonsgegevens | Waarborg voor gegevensverwerking buiten de EER (indien van toepassing) |
|---|---|---|---|
| Google Cloud (Region: Netherlands) | Primary Data Hosting | https://cloud.google.com | |
| CloudVPS | Data Hosting Failover | https://www.cloudvps.nl/ | |
| Amazon S3 (Region: Germany) | Uploading Files & Photos | https://aws.amazon.com/s3/ | |
| Twilio | Primary Video Calling Technology Provider | https://www.twilio.com/video | |
| Segment | Analytics Warehousing | https://segment.com/ | |
| Firebase | Crash Reporting (Mobile Apps) | https://firebase.google.com/ | |
| Urban Airship | Push Notifications Service Provider | https://www.airship.com/ | |
| Mailjet | Email Service Provider | https://mailjet.com/ | |
| Visual Studio App Center | Application Updates Provider | https://appcenter.ms/ | |
| Cloudflare | DNS Provider | https://cloudflare.com | |
| Freshdesk | Ticketing Support | https://freshdesk.com |
Privacyverklaring
Wij proberen zo transparant mogelijk te zijn over het gebruik van persoonsgegevens. Daarvoor hebben wij een privacyverklaring opgesteld, die u hier kunt bereiken. Onder meer wordt hierin behandeld hoe een betrokkene zijn of haar rechten onder de AVG, zoals inzage of verwijdering, kan uitoefenen, in het geval dat NiceDay verwerkingsverantwoordelijke is.
Beveiligingsmaatregelen
NiceDay neemt passende technische en organisatorische maatregelen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens). Dit betekent dat NiceDay een combinatie van onder andere firewalls, encryptie- en authenticatie procedures gebruikt om persoonsgegevens veilig te stellen en gebruikersaccounts en –systemen te beschermen voor onbevoegde toegang.
NiceDay heeft in ieder geval de volgende technische maatregelen getroffen.
- De netwerkservers zijn ondergebracht in een veilig datacenter van Google Cloud regio Nederland en Cloud VPS;
- De internetverbindingen binnen deze provider zijn geen open internetlijnen maar private lijnen. Het dataverkeer (bijvoorbeeld van computers naar servers en van servers naar printers) is volledig gescheiden van het open internet;
- Verwerkingsverantwoordelijke heeft één goede en veilige ontsluiting naar en van het internet middels een L5 beveiligingsoplossing. Alleen het nodige verkeer van binnen naar buiten en van buiten naar binnen staat open.
- Voor het werken vanaf internet locaties op het systeem van Verwerkingsverantwoordelijke wordt er gebruik gemaakt van twee factor-authenticatie, namelijk een persoonlijk wachtwoord voor toegang tot een computer en een ander persoonlijk wachtwoord voor gebruikmaking van een VPN verbinding;
- Er is een wachtwoordbeleid om in te kunnen loggen op de terminal server. Toegang tot servers is alleen mogelijk met verificatie van openbare / persoonlijke sleutels en is alleen toegankelijk met VPN verbindingen.
- Er is sprake van een goede virusscanner. Op de inkomende mail zit een goed ‘managed’ filter om schadelijke code tegen te houden. Uitgaande mail wordt (indien mogelijk door de ontvangende kant) versleuteld verstuurd over het internet;
- Het verwerken van data wordt ook binnen het netwerk zoveel als mogelijk versleuteld afgehandeld;
- Binnen het netwerk wordt er gebruik gemaakt van rechtengroepen. Het lidmaatschap van een rechtengroep geeft het recht om bepaalde bestanden of applicaties te kunnen gebruiken.
NiceDay heeft de volgende organisatorische maatregelen getroffen:
- Medewerkers hebben alleen toegang tot Persoonsgegevens indien en zodra Verwerkingsverantwoordelijke daar toestemming voor geeft;
- Medewerkers dienen een werkplek te “locken” met vlag+L voordat de werkplek verlaten wordt;
- Het gebruik van webapplicaties op computers van medewerkers wordt afgeraden i.v.m. het lekken van geopende bestanden via de temporary map van de internet browser;
- Er is een uitdienst procedure. Hier worden de te nemen stappen beschreven voor het technisch ontnemen van toegang tot de verschillende systemen, zodat een ex-medewerker zich niet ongewenst toegang kan verschaffen tot deze systemen.