Gegevensverwerking

Welke routes leggen de gegevens af en hoe wordt hierin privacy gewaarborgd?

Om de data van Keurmerkdragers toe te voegen aan de spiegelrapportages, werken wij samen met InfinitCare. InfinitCare is een TTP die voor ons de ROM-gegevens verzamelt, verwerkt tot onherleidbare geaggregeerde gegevens op organisatie niveau en die vervolgens aan ons (KiBG) aanlevert, met als doel deze ROM-gegevens op te nemen in de spiegelrapportages. 

Er zijn verschillende manieren om de gegevens naar InfinitCare aan te leveren. Meestal wordt er gebruik gemaakt van een automatische koppeling via de ROM leverancier. Het is ook mogelijk om de data rechtstreeks (zelf) aan te leveren.

SR IF

InfinitCare

InfinitCare is gecertificeerd conform de eisen van de internationale norm van informatiebeveiliging: ISO/IEC 27001 (NEN 7510).  Meer informatie over hoe ze met informatiebeveiliging omgaan lees je hier.  

Stichting KiBG

De gegevens die KiBG ontvangt en beheert, zijn niet herleidbaar naar personen. Wij ontvangen alleen gegevens op organisatieniveau (zogenaamde 'geaggregeerde gegevens'). Deze gegevens worden door InfinitCare aan KiBG geleverd. De keurmerkdrager geeft hier toestemming voor in de Overeenkomst KiBG.

Wat doet KiBG om aan de geldende privacy-regelgeving te voldoen?
De Algemene Verordening Gegevensbescherming (AVG) is een Europese wet waar organisaties per 25 mei 2018 aan moeten voldoen. Deze nieuwe wetgeving is in het leven geroepen om de bescherming van persoonsgegevens te kunnen garanderen binnen de EU. Veel onderwerpen in de AVG, en ook vanuit de huidige Wet Bescherming Persoonsgegevens, kunnen worden geborgd in een informatiebeveiligingssysteem op basis van ISO 27001.

Omdat KiBG geen persoonsgegevens beheert, is certificering niet nodig. Wel is het van belang om zorgvuldig met de beschikbare gegevens om te gaan. Omdat we hier grote waarde aan hechten wordt ieder jaar een externe audit uitgevoerd om te toetsen in hoeverre we aan de ISO27001 norm voldoen. Komen hier verbeterpunten uit? Dan worden die direct opgepakt en in de daaropvolgende audit opnieuw getoetst.

We hebben de volgende maatregelen getroffen om de informatiebeveiliging te borgen:

  • We hebben met alle betrokken partijen een Bewerkersovereenkomst afgesloten waarin de rechten en plichten met betrekking tot de gegevensverwerking zijn uitgewerkt
  • Alle medewerkers van KiBG tekenen een geheimhoudingsverklaring
  • KiBG heeft een informatiebeveiligingsbeleid en een autorisatiematrix
  • De data-uitwisseling met InfinitCare verloopt via een beveiligd portaal
  • De omgeving waar gegevens worden opgeslagen en getoond als rapportages is beveiligd conform de AVG-vereisten
  • Als we rapportages of inzichten daaruit versturen via email, maken we gebruik van ZIVVER - een tool voor beveiligd mailverkeer