Privacyverklaring Zilos
Zilos ZGP Services levert als softwareleverancier een web-based elektronisch patiëntendossier (EPD) aan instellingen en vrijgevestigde praktijken in de geestelijke gezondheidszorg (GGZ). Die applicatie, met de naam Epos, biedt registratie, facturatie en aanverwante functionaliteit voor de Zvw (SGGZ, GBGGZ en het Zorgprestatiemodel), Jeugdwet, Wmo en WFz (extramurale parameters). Daarnaast geven wij training, ondersteuning en advies aan organisaties in de GGZ. In het kader van onze dienstverlening verwerken wij persoonsgegevens. Deze persoonsgegevens kunnen door uzelf zijn aangeleverd, bijvoorbeeld per e-mail of met het contactformulier op onze website. Ook kan het zijn dat wij uw persoonsgegevens verwerken als u een patiënt/cliënt, medewerker of relatie bent van een van onze klanten. In deze privacyverklaring leggen wij uit welke persoonsgegevens wij verzamelen en gebruiken en met welk doel. Ook leggen we uit wat uw rechten zijn en hoe de persoonsgegevens worden beveiligd. Wij raden u aan deze verklaring zorgvuldig te lezen.
Zorgvuldig omgaan met persoonsgegevens vinden wij van groot belang. Persoonsgegevens worden door ons dan ook zorgvuldig verwerkt en beveiligd. Daarbij houden wij ons aan de eisen uit de privacywetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG).
Dat betekent dat wij:
- Duidelijk aangeven welke persoonsgegevens wij verwerken, voor welke doeleinden en op basis van welke wettelijke grondslagen.
- Het verzamelen van persoonsgegevens beperken tot alleen wat nodig is voor de doeleinden waarvoor ze worden verwerkt.
- Persoonsgegevens niet langer bewaren dan nodig is voor de doeleinden waarvoor ze worden verwerkt.
- Uitdrukkelijk toestemming vragen voor het verwerken van de persoonsgegevens in de gevallen waarvoor dat vereist is.
- Gegevens niet doorgeven aan derde partijen, tenzij dat nodig is voor de uitvoering van de overeenkomst met onze klanten of wanneer wij daar wettelijk toe verplicht zijn.
- Bij het delen van persoonsgegevens afspraken maken met derde partijen om er o.a. voor te zorgen deze niet voor andere doeleinden worden gebruikt.
- Passende beveiligingsmaatregelen nemen om de persoonsgegevens te beschermen en dat ook eisen van partijen die in opdracht van ons persoonsgegevens verwerken.
- Aan alle rechten van betrokken personen meewerken om hun eigen persoonsgegevens in te zien, te corrigeren of te verwijderen.
- Wij hebben een Functionaris voor de Gegevensbescherming (FG) aangesteld.
Persoonsgegevens
Van bezoekers van onze algemene website (zilos.nl) kunnen wij de volgende gegevens verwerken:
- IP-adressen
- Gebruiksgegevens
- Ingevulde gegevens van het contactformulier
Deze algemene website staat volledig los van onze webapplicatie voor klanten. Zie daarvoor hoofdstuk 4 en 5 van deze privacyverklaring.
Doeleinde en rechtsgrond
Wij verwerken uw persoonsgegevens enkel voor deze doeleinden:
- Het bieden van een goed werkende website met daarop informatie over ons bedrijf en onze diensten.
- Het leveren van informatie aan relaties en geïnteresseerden, zoals antwoorden op vragen en informatieverzoeken.
De wettelijke grondslag op basis waarvan wij deze persoonsgegevens verwerken is:
- Wij hebben een gerechtvaardigd belang, namelijk dat het noodzakelijk is voor het uitvoeren van onze bedrijfsactiviteiten.
Ontvangers
We verstrekken uw gegevens nooit zomaar aan derden. Uw gegevens worden uitsluitend verstrekt indien dit nodig is om te voldoen aan een wettelijke verplichting.
Subverwerkers
Wij maken gebruik van de diensten van Studio Projectie, het hosting bedrijf achter onze algemene website om gegevens van websitebezoekers te verwerken.
Bewaartermijn
Wij zullen uw persoonsgegevens niet langer verwerken dan nodig is voor het doel waarvoor deze zijn verstrekt.
Rechten van betrokkenen
U heeft het recht om uw eigen persoonsgegevens in te zien, te corrigeren of te verwijderen. Ook heeft u het recht om de verwerking van uw persoonsgegevens op te schorten of te beëindigen. Wij verlenen onze medewerking aan alle privacyrechten van de AVG:
- Recht op inzage. Dat is het recht van mensen om onder meer een kopie te ontvangen van de persoonsgegevens die u van hen verwerkt.
- Recht op vergetelheid. Mensen hebben het recht om ‘vergeten’ te worden.
- Recht op rectificatie en aanvulling. Het recht om de persoonsgegevens die u verwerkt te laten wijzigen.
- Het recht op dataportabiliteit. Het recht om persoonsgegevens over te laten dragen aan een andere partij.
- Het recht op beperking van de verwerking: Het recht om minder gegevens te laten verwerken.
- Het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Oftewel: het recht op een menselijke blik bij besluiten.
- Het recht om bezwaar te maken tegen de gegevensverwerking.
- Het recht op duidelijke informatie over wat wij met uw persoonsgegevens doen.
Wij verlenen onze medewerking aan alle privacyrechten van de AVG.
Persoonsgegevens
In de applicatie die wij leveren aan onze klanten (Epos) worden patiënt-/cliëntgegevens in de geestelijke gezondheidszorg opgeslagen. Wij verwerken deze gegevens uitsluitend in opdracht van onze klanten, de zorgaanbieders. Wij kunnen de volgende persoonsgegevens verwerken:
- Naam, adresgegevens, BSN, geboortedatum en ID-gegevens
- E-mailadressen, telefoonnummers en andere contactgegevens
- Afkomst, persoonlijke achtergrond en voorkeuren
- Medische dossiergegevens, waaronder:
- Intakegegevens
- Medische voorgeschiedenis
- Diagnostische gegevens
- Vragenlijsten
- Behandelgegevens
- Verslagen
- Correspondentie
- Medicatiegegevens
- Gegevens over familieleden en andere relaties van de cliënt
- Gegevens over andere zorgverleners
- Financiële en bankgegevens
Een groot deel van de gegevens die wij verwerken worden door de wet aangemerkt als “bijzondere persoonsgegevens”, vanwege het zeer privacygevoelige karakter van die gegevens. Dit type persoonsgegeven wordt extra beschermd door de wet.
Doeleinde en rechtsgrond
Het doeleinde waarvoor wij deze persoonsgegevens verwerken is het leveren van een web-based EPD-applicatie aan organisaties in de GGZ. Wij verwerken de persoonsgegevens uitsluitend in opdracht van onze klanten en in overeenstemming met de afgesloten overeenkomst.
Wij hebben nauwkeurige afspraken met onze klanten gemaakt over de verwerking van uw persoonsgegevens door middel van een verwerkersovereenkomst die deel uitmaakt van onze algemene voorwaarden. De klant is daarin verwerkingsverantwoordelijke en Zilos ZGP Services is verwerker.
De wettelijke grondslag op basis waarvan deze bijzondere persoonsgegevens mogen worden verwerkt is de noodzaak voor het kunnen verstrekken van gezondheidszorg.
Ontvangers
Wij delen uw persoonsgegevens niet met derden, tenzij de zorgaanbieder expliciet aan ons opdracht heeft gegeven om de gegevens te delen. Een uitzondering hierop is het verstrekken van persoonsgegevens om te voldoen aan een wettelijke verplichting.
Subverwerkers
Voor de opslag van deze persoonsgegevens maken we gebruik van datacenters in België van het bedrijf Combell. Wij hebben met Combell een verwerkersovereenkomst afgesloten, waarin wij eenzelfde niveau van beveiliging en vertrouwelijkheid van uw gegevens afdwingen. Wij blijven verantwoordelijk voor deze verwerkingen. Combell is evenals Zilos ZGP Services gecertificeerd voor ISO 27001*, een internationale standaard voor informatiebeveiliging. Combell voldoet volledig aan de AVG**.
* https://www.combell.nl/managed-hosting/security
** https://www.combell.com/nl/blog/avg-gdpr-wat-moet-je-weten-als-combell-klant/
Bewaartermijn
Wij zullen uw persoonsgegevens niet langer verwerken dan nodig is voor het doel waarvoor deze zijn verstrekt. De wettelijke bewaartermijn van medische gegevens is 20 jaar na de laatste wijziging in het dossier. Uw zorgaanbieder is verantwoordelijk voor het handhaven van de bewaartermijnen. Zij kunnen zelf gegevens verwijderen.
Zorgaanbieders die de licentieovereenkomst beëindigen, krijgen al hun gegevens mee in een exportbestand uit Epos. Zij moeten vervolgens beslissen om een inkijkaccount in Epos te nemen of om de gegevens permanent door ons te laten verwijderen.
Rechten van betrokkenen
U heeft de volgende rechten:
- Recht op inzage. Dat is het recht van mensen om onder meer een kopie te ontvangen van de persoonsgegevens die u van hen verwerkt.
- Recht op vergetelheid. Mensen hebben het recht om ‘vergeten’ te worden.
- Recht op rectificatie en aanvulling. Het recht om de persoonsgegevens die u verwerkt te laten wijzigen.
- Het recht op dataportabiliteit. Het recht om persoonsgegevens over te laten dragen aan een andere partij.
- Het recht op beperking van de verwerking: Het recht om minder gegevens te laten verwerken.
- Het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Oftewel: het recht op een menselijke blik bij besluiten.
- Het recht om bezwaar te maken tegen de gegevensverwerking.
- Het recht op duidelijke informatie over wat wij met uw persoonsgegevens doen.
Het is de verantwoordelijkheid van uw zorgaanbieder om hieraan medewerking te verlenen. Wij zullen onze medewerking verlenen aan alle wettelijke verzoeken.
Persoonsgegevens
Voor het uitvoeren van de licentieovereenkomst en het leveren van ondersteuning aan klanten verwerken wij persoonsgegevens. Daarbij gaat het om persoonsgegevens van medewerkers en relaties van de organisaties van klanten, om relaties van Zilos ZGP Services en om gebruikers van Epos.
Ook verwerken wij persoonsgegevens van iedereen die met ons communiceert via de telefoon, e-mail of het contactformulier op onze website.
Wij verwerken de volgende persoonsgegevens:
- Naam en adresgegevens
- E-mailadressen, telefoonnummers en andere contactgegevens
- Bankgegevens
- Correspondentie
- Gebruiks- en loggegevens van Epos
- IP-adressen en systeeminformatie
Wij verwerken uw persoonsgegevens enkel voor deze doeleinden:
- Het uitvoeren van de licentieovereenkomst, waaronder het sturen van facturen, het incasseren van facturen via automatische incasso, het leveren van ondersteuning en training en het voldoen aan informatieverzoeken van klanten.
- Het leveren van informatie aan relaties en geïnteresseerden, zoals antwoorden op vragen en informatieverzoeken en het geven van offertes en demonstraties.
- Het is noodzakelijk voor de uitvoering van de overeenkomst met klanten.
- Wij hebben een gerechtvaardigd belang, namelijk dat het noodzakelijk is voor het uitvoeren van onze bedrijfsactiviteiten.
- Er zijn wettelijke verplichtingen waaraan wij als bedrijf moeten voldoen.
We verstrekken uw gegevens nooit zomaar aan derden. Uw gegevens worden uitsluitend verstrekt indien dit nodig is voor de uitvoering van de licentieovereenkomst of om te voldoen aan een wettelijke verplichting
.
Subverwerkers
Wij maken gebruik van de diensten van Dropbox en Google voor de cloudopslag van bovengenoemde persoonsgegevens. Met beide bedrijven hebben wij een verwerkersovereenkomst om zorg te dragen dat de gegevens vertrouwelijk worden behandeld en goed zijn beveiligd. Dropbox en Google voldoen beide aan de AVG* en hebben een uitgebreid beveiligingsbeleid**.
Voor het maken van opdrachten voor automatische incasso maken wij gebruik van De Betaalfabriek. Aan deze dienst worden enkel de gegevens verstrekt die nodig zijn om de incasso opdrachten te maken.
* Dropbox: https://www.dropbox.com/nl_NL/security/GDPR, Google: https://cloud.google.com/security/gdpr/.
** Dropbox: https://www.dropbox.com/security, Google: https://cloud.google.com/security/.
Bewaartermijn
Wij zullen uw persoonsgegevens niet langer verwerken dan nodig is voor het doel waarvoor deze zijn verstrekt. De wettelijke bewaartermijn van financiële gegevens is 7 jaar. Wij kunnen uw persoonsgegevens langer bewaren dan de duur van de overeenkomst, als die gebruikt kunnen worden om toekomstige supportvragen efficiënter te beantwoorden.
Rechten van betrokkenen
U heeft de volgende rechten:
- Recht op inzage. Dat is het recht van mensen om onder meer een kopie te ontvangen van de persoonsgegevens die u van hen verwerkt.
- Recht op vergetelheid. Mensen hebben het recht om ‘vergeten’ te worden.
- Recht op rectificatie en aanvulling. Het recht om de persoonsgegevens die u verwerkt te laten wijzigen.
- Het recht op dataportabiliteit. Het recht om persoonsgegevens over te laten dragen aan een andere partij.
- Het recht op beperking van de verwerking: Het recht om minder gegevens te laten verwerken.
- Het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Oftewel: het recht op een menselijke blik bij besluiten.
- Het recht om bezwaar te maken tegen de gegevensverwerking.
- Het recht op duidelijke informatie over wat wij met uw persoonsgegevens doen.
Wij verlenen onze medewerking aan alle privacyrechten van de AVG.
Persoonsgegevens
Voor het voeren van een personeels- en salarisadministratie verwerken wij gegevens van werknemers. Daarnaast verwerken wij voor het sollicitatieproces gegevens van sollicitanten.
Wij kunnen de volgende persoonsgegevens verwerken:
- Naam en adresgegevens
- E-mailadressen, telefoonnummers en andere contactgegevens
- BSN
- Bankgegevens
- Correspondentie
- Arbeidsgerelateerde gegevens
- Salarisgegevens
- Tijdsbesteding
- Sollicitatiegegevens
Doeleinde en rechtsgrond
Wij verwerken uw persoonsgegevens enkel voor deze doeleinden:
- Het voeren van een personeels- en salarisadministratie en het uitvoeren van een sollicitatieproces.
De wettelijke grondslagen op basis waarvan wij deze persoonsgegevens verwerken zijn:
- Wij hebben een gerechtvaardigd belang, namelijk dat het noodzakelijk is voor het uitvoeren van onze bedrijfsactiviteiten.
- Er zijn wettelijke verplichtingen waaraan wij als bedrijf moeten voldoen.
Ontvangers
We verstrekken uw gegevens nooit zomaar aan derden. Uw gegevens worden uitsluitend verstrekt indien dit nodig is om te voldoen aan een wettelijke verplichting.
Subverwerkers
Wij maken gebruik van de diensten van onze accountant H.B.A. v. Hulzen-Berbé (accountant). Zij is subverwerker van uw persoonsgegevens.
Bewaartermijn
Wij zullen uw persoonsgegevens niet langer verwerken dan nodig is voor het doel waarvoor deze zijn verstrekt. De wettelijke bewaartermijn van fiscale gegevens is 7 jaar, ID-bewijzen 5 jaar, dossiers 2 jaar na einde dienstverband en de gegevens sollicitanten 4 weken.
Rechten van betrokkenen
U heeft de volgende rechten:
- Recht op inzage. Dat is het recht van mensen om onder meer een kopie te ontvangen van de persoonsgegevens die u van hen verwerkt.
- Recht op vergetelheid. Mensen hebben het recht om ‘vergeten’ te worden.
- Recht op rectificatie en aanvulling. Het recht om de persoonsgegevens die u verwerkt te laten wijzigen.
- Het recht op dataportabiliteit. Het recht om persoonsgegevens over te laten dragen aan een andere partij.
- Het recht op beperking van de verwerking: Het recht om minder gegevens te laten verwerken.
- Het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Oftewel: het recht op een menselijke blik bij besluiten.
- Het recht om bezwaar te maken tegen de gegevensverwerking.
- Het recht op duidelijke informatie over wat wij met uw persoonsgegevens doen.
Wij verlenen onze medewerking aan alle privacyrechten van de AVG.
We gebruiken alleen technische en functionele cookies. Een cookie is een klein tekstbestand dat bij het eerste bezoek aan deze website wordt opgeslagen op uw computer, tablet of smartphone. De cookies die wij gebruiken zijn noodzakelijk voor de technische werking van de website en uw gebruiksgemak. Ze zorgen ervoor dat de website naar behoren werkt en onthouden bijvoorbeeld uw voorkeursinstellingen. Ook kunnen wij hiermee onze website optimaliseren.
Inleiding
Wij nemen de beveiliging van uw persoonsgegevens zeer serieus. De beschikbaarheid, integriteit en vertrouwelijkheid van uw gegevens heeft bij ons de hoogste prioriteit. In dit onderdeel van onze privacyverklaring beschrijven we onze technische en organisatorische maatregelen om uw persoonsgegevens te beschermen.
Certificering
We hebben een managementsysteem voor informatieveiligheid ingericht dat voldoet aan de normeisen van NEN 7510 (Nederlandse norm) en ISO 27001 (internationale norm). Wij worden jaarlijks gecontroleerd door een onafhankelijk bedrijf op naleving van deze normen.
Privacy by design
Bij de ontwikkeling van Epos hebben wij van het begin het principe privacy by design toegepast. Dit betekent dat we al bij het ontwerp hebben voorzien in technische en organisatorische maatregelen om de privacyrisico’s voor mensen zo klein mogelijk te maken. Privacy als kernwaarde is een onderdeel van ons ontwikkelbeleid. Daarnaast hebben we specifieke eisen en doelen voor informatieveiligheid gesteld als onderdeel van het ontwikkelproces, zoals de toetsing van de beveiliging (authenticatie en autorisatie) en de validatie van invoer- en uitvoergegevens.
Epos heeft een fijnmazig in te stellen systeem van toegangsrechten, waardoor persoonsgegevens optimaal kunnen worden afgeschermd voor onbevoegden. Daarnaast zijn de gegevens in Epos beveiligd door meerdere lagen van technische en logische beveiliging en is er sprake van uitgebreide logging.
Privacy by default
Ook het principe privacy by default is onderdeel van ons beleid. Hierdoor hebben bijvoorbeeld nieuw aangemaakte gebruikers in Epos standaard geen enkel recht. Alle rechten moeten met de hand worden toegekend door een beheerder. In onze eigen bedrijfsvoering geldt dit principe ook: we vragen niet meer gegevens van klanten dan nodig zijn voor de levering van onze diensten.
Geheimhouding
Bij Zilos ZGP Services hebben medewerkers alleen toegang tot bepaalde persoonsgegevens als dat noodzakelijk is voor de uitoefening van hun taken. Wij houden bij wie toegang heeft tot welke gegevens middels een autorisatiematrix. Alle medewerkers en opdrachtnemers van Zilos hebben een geheimhoudingsovereenkomst ondertekend met een hoge boeteclausule.
Verwerkersovereenkomsten
Met organisaties die uw gegevens verwerken in onze opdracht sluiten wij een verwerkersovereenkomst om te zorgen voor eenzelfde niveau van beveiliging en vertrouwelijkheid van de gegevens. Bij de selectie van subverwerkers hebben wij een streng selectieproces, zodat we zeker weten dat ze voldoen aan de eisen die wij stellen aan informatieveiligheid.
Als subverwerker voor onze klanten, hebben wij zelf ook met hen een verwerkersovereenkomst afgesloten. Deze maakt deel uit van onze algemene voorwaarden. De klant is hierbij de verwerkingsverantwoordelijke en Zilos ZGP Services de verwerker. Deze overeenkomst volgt het Model Verwerkersovereenkomst Brancheorganisaties Zorg, zodat de afspraken voldoen aan de AVG én aan de eisen en wensen van de zorgaanbieders.
Beveiliging datacenter
Voor de levering van onze webapplicatie maken we gebruik van cloud-servers van combell. Wij hebben met hen een overeenkomst en SLA afgesloten waarmee we aan onze verplichtingen voor informatieveiligheid kunnen voldoen. Daarnaast hebben zij een certificering voor de internationale normen ISO 27001 (informatieveiligheid) en ISO 9001 (kwaliteit).
Elke server is aangesloten op twee stroomcircuits. Hierdoor wordt een redundantie gecreëerd voor de stroomvoorziening naar de servers. Indien namelijk één circuit uitvalt, blijft de server gevoed door het ander stroomcircuit. Bovendien is elk circuit aangesloten op een apart elektriciteitsnet. Elk circuit is bovendien voorzien van UPS’s (uninterruptible power supplies) en backup-batterijen.
Naast de redundante stroomcircuits met hun backup-voorzieningen, zijn er ook generatoren aanwezig, zodat bij langdurige stroomonderbrekingen een permanente stroomvoorziening aanwezig is. Alle noodstroomvoorzieningen worden op regelmatige basis getest door een gespecialiseerd onderhoudsteam.
Combell’s netwerkinfrastructuur is ook redundant uitgevoerd wat concreet betekent dat alle systemen dubbel zijn geïnstalleerd. Gaat er toch een systeem uit, dan neemt het andere systeem over. Het netwerk van Combell heeft een capaciteit van 100 gigabit/s, waardoor DDOS-aanvallen worden bemoeilijkt.
Netwerkbeveiliging
In onze netwerkbeveiliging hanteren we vijf principes:
1. Redundantie Het redundant uitvoeren van (kritieke) netwerkcomponenten.
2. Diversiteit Het toepassen van meervoudige beveiligingsmechanismen, zoals firewalls, isolatie, encryptie (TLS), HSTS, VPN-verbindingen, IP-whitelisting, authenticatie in twee stappen, etc.
3. Isolatie Het netwerk zo inrichten dat delen ervan kunnen worden geïsoleerd.
4. Veilige defaults Al het onbekende verkeer is geblokkeerd en alle netwerkcomponenten, zoals routers en firewalls, zijn op de juiste manier geconfigureerd.
5. Beperkingen Het toevoegen van privilege beperkingen en encryptie op informatie op het netwerk.
Technische beveiliging
Voor de technische beveiliging van uw gegevens gebruiken we, zonder in details te treden, o.a. de volgende technieken:
- We gebruiken meerdere vormen van fysieke en logische toegangsbeveiliging.
- We passen cryptografie toe om gegevens te versleutelen tijdens verzending.
- We gebruiken bescherming tegen malware.
- We volgen duidelijke back-up- en herstelprocedures.
- We gebruiken automatische monitoring om de correcte werking van de de software te controleren en of er pogingen tot onbevoegde toegang zijn.
- We passen uitgebreide logging toe en controleren regelmatig onze logbestanden.
- We gebruiken OTAP-ontwikkelstraat. Voordat een wijziging in Epos wordt vrijgegeven, wordt deze eerst uitgebreid getest op onze gescheiden test- en acceptatieomgevingen.
- We doen aan incidenten- en change -management met behulp van onze interne Issue Tracker.
Neem contact met ons op als u vragen heeft over deze privacyverklaring of een klacht heeft over de verwerking van uw persoonsgegevens. Onze contactgegevens en die van onze functionaris voor de gegevensbescherming zijn:
Verwerkingsverantwoordelijke
Zilos ZGP Services
Patrick Chin A Foeng (directeur)
Hoogmadeseweg 58
2351 CV Leiderdorp
Telefoon: +31 (0)6 522 23 358
E-mail: info@eposzilos.nl
Functionaris voor de Gegevensbescherming (FG)
Rowan Rossing
Emmalaan 32
9801 PB Zuidhorn
E-mail: fg@eposzilos.nl
Als u een klacht heeft over de verwerking van uw persoonsgegevens en het niet lukt om er samen met ons uit te komen, dan heeft u op grond van de privacywetgeving ook het recht om een klacht in te dienen bij de privacytoezichthouder, de Autoriteit Persoonsgegevens.