Veilig en betrouwbaar
VECOZO verwerkt privacygevoelige gegevens. We streven dan ook naar maximale veiligheid en betrouwbaarheid van ons platform. En dat alles aantoonbaar.
Wij zijn het landelijke knooppunt voor veilige digitale communicatie in de zorg. We zorgen ervoor dat gegevensuitwisseling tussen onder andere zorgaanbieders, zorgverzekeraars, zorgkantoren en gemeenten veilig en efficiënt gebeurt.
U kunt ons zien als een veilige digitale postbode. We brengen berichten of gegevens van A naar B en weer terug. We controleren automatisch op bepaalde eisen en alleen gebruikers met een vertrouwd toegangsmiddel (zoals onze certificaten, eHerkenning en de UZI-pas) kunnen gebruikmaken van onze diensten. En net als de postbode kunnen we niet zien wat er in de berichten staat omdat deze versleuteld zijn.
Alleen partijen die bevoegd zijn de gegevens in te zien of te verwerken mogen dat. We hebben technische maatregelen genomen om dit te borgen. Vanzelfsprekend kunnen andere partijen niet bij de gegevens, ook VECOZO zelf niet.
Informatiebeveiliging
Als normen voor de kwaliteit van onze informatiebeveiliging hanteren we onder andere de NEN7510, WebTrust en geldende wetgeving.
Wij voldoen aan privacy wet- en regelgeving. Dat betekent dat we duidelijk in kaart hebben met welke partijen we zaken doen en welke gegevens tussen die partijen en VECOZO uitgewisseld worden. Dit gebeurt veilig, volgens de geldende privacy- en gegevensbeschermingsregelgeving.
Wet- en regelgeving eist dat bij de verwerking van persoonsgegevens passende technische en organisatorische maatregelen genomen worden. Specifiek voor de zorg geldt als norm de NEN7510. Deze norm achten wij van grote waarde bij de aansluiting van partijen op onze systemen.
Zorgaanbieders moeten conform NEN7510 zorgen voor een veilig en zorgvuldig gebruik van het door hen gebruikte zorginformatiesysteem. Wij ondersteunen zorgaanbieders daarbij door naar bewijslast te vragen bij de door hen ingeschakelde software- en administratieve dienstverleners over naleving van de NEN7510.
Voor meer informatie over bovenstaand, verwijzen we u naar de pagina Over informatiebeveiliging.
Normen
Wij neemt honderden beheersmaatregelen, passend bij verschillende soorten risico’s. Denk aan het toepassen van bepaalde netwerkprotocollen om misbruik door derden te voorkomen. Maar ook aan strenge functiescheiding binnen VECOZO en security scans op de broncode van onze applicaties. Of aan gescheiden cloud-omgevingen, zodat we diensten bij een verstoring in één datacenter kunnen continueren vanuit het andere datacenter.
Certificaatbeleid
We geven persoonlijke en systeemcertificaten uit als authenticatiemiddel voor partijen die van onze diensten gebruikmaken. Ons certificaatbeleid is te lezen in onze Certificate policy/Certificate Practice Statement (CP/CPS). De CP/CPS beschrijft de procedures die VECOZO volgt:
- bij het uitgeven en beheren van certificaten in de zorgwereld,
- en het onderhouden van een op zulke certificaten gebaseerde beveiligde infrastructuur,
- tot en met de acceptatie van certificaten door gebruikers.
Bekijk de VECOZO Certificate Policy versie 4.0
Auditors
VECOZO laat de kwaliteit van de gehele informatiebeveiliging jaarlijks door externe auditors beoordelen. Dit leidt tot verschillende rapportages, voor verschillende doelgroepen.
| Thema | Kader | Rapportages |
|
Certificaatdienstverlening |
Gebaseerd op Webtrust for RA 1.1 |
Assurance rapport, NOREA richtlijn 3000A-Type II (voor opdrachtgevers) |
|
Informatiebeveiliging in de zorg |
NEN 7510 |
Assurance rapport, NOREA richtlijn 3000A-Type II (voor opdrachtgevers) |
|
Informatiebeveiliging in de zorg |
|
|
|
Informatiebeveiligings- |
|
|
|
Dienstspecifieke eisen |
Kader zoals afgestemd met opdrachtgevers |
Assurance rapport, NOREA richtlijn 3000A-Type II (voor opdrachtgevers) |
|
Grouper |
Kader zoals afgestemd met opdrachtgever |
Assurance rapportage, uitgevoerd in lijn met NOREA Richtlijn 3402. Voor gebruikers (ziekenhuizen, via onze afdeling Suppport). |
