Is de website account.mirro.nl veilig?

Het Mirro-platform is ontwikkeld voor mensen die aan hun mentale gezondheid willen werken. Zij mogen verwachten dat de beveiliging van hun gegevens op een hoog niveau is geregeld. Hieronder is een samenvatting opgenomen van de maatregelen die de Stichting Mirro heeft genomen om aan deze eisen te voldoen. 

Hosting & gegevensopslag 

Zowel het Mirro-platform als de bijbehorende gegevens worden gehost bij KPN Interned Services. Informatie over hun beveiligingsbeleid en de relevante certificaten vind je op https://www.kpn.com/zakelijk/security.htm.

Alle gegevens van klanten worden verwerkt en opgeslagen binnen de Europese Economische Ruimte (EER), 

Van alle klantgegevens wordt minimaal een keer per dag een back-up gemaakt die buiten het data center wordt opgeslagen, op twee verschillende Nederlandse locaties van KPN/Argeweb.

Wachtwoorden en gegevens binnen de modules worden gehashed opgeslagen: in plaats van gewone tekst wordt deze met een hashing omgezet in de code. In tegenstelling tot de encryptiemethode kan de code niet worden omgezet in de oorspronkelijke gegevens. Op deze manier zijn alle gebruikersgegevens veiliger voor aanvallen van hackers. 

Toegangsbeveiliging 

Toegang tot het Mirro-platform (en alle daarbinnen beschikbare applicaties) voor gebruikers geschiedt met behulp van een webbrowser via een verbinding die met SSL-encryptie is beveiligd. 

Toegang voor applicatiebeheerders en -ontwikkelaars tot de database van de applicatie loopt altijd via het lokale kantoornetwerk van NewHealth/Ortec. Gebruikers moeten daartoe fysiek op kantoor aanwezig zijn of via een VPN-verbinding inloggen. 

De toegang voor ontwikkeling en onderhoud is beperkt tot specifieke, daartoe bevoegde personen, wier systeemactiviteiten worden gelogd en gemonitord. 

Alle gebruikersaccounts zijn beveiligd met een wachtwoord dat hoofdletters, kleine letters, cijfers en speciale tekens moet bevatten. Dit wordt door het systeem afgedwongen. 

Tweestapsauthenticatie is optioneel beschikbaar voor alle gebruikers, en verplicht voor alle medewerkers van NewHealth en Stichting Mirro.

Interfaces met systemen van klanten (bijvoorbeeld voor een Single Sign On vanuit het intranet van de klant) en derde partijen maken gebruik van SAML 2.0, OpenID of OAUTH2-authenticatie. Ze maken gebruik van internetverbindingen met SSL-encryptie of van rechtstreekse een-op-een verbindingen binnen het data center. 

Veiligheidsmanagement 

Het information security management system (ISMS) van NewHealth en Stichting Mirro is NEN7510 gecertificeerd door Lloyd's Register certificeringen:  

‘Het ontwikkelen en beheren van E-Health SaaS-oplossingenen online modules, de koppeling aan gerelateerde systemen zoals een EPD, alsmede de dienstverlening in relatie tot onze producten, dit alles in overeenstemming met de Verklaring van Toepasselijkheid van de NewHealth Group, versie 3.0,d.d. 18-03-2021. Hosting en netwerkbeheer zijn uitbesteed’.

De laatste audit heeft plaatsgevonden in april 2022.

Veiligheidstests 

Het Mirro-platform wordt regelmatig onderworpen aan penetratietests, zowel grey als black box tests. Onze huidige testpartner is Onvio Information Security (www.onvio.nl). 

Wet- en regelgeving 

NewHealth en Stichting Mirro handelen in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG).  

Alle NewHealth en Stichting Mirro-medewerkers en alle ingehuurde krachten zijn gebonden aan geheimhouding van alle klantgegevens middels een geheimhoudingsverklaring. 

Waar van toepassing is ook met alle onderaannemers een Verwerkersovereenkomst gesloten, conform AVG-voorschrift. 

Meer weten? 

Heb je aanvullende vragen? Stuur dan een e-mail met je vragen naar support@mirro.nl. Of stel je vraag via het contactformulier binnen de applicatie. Wij nemen dan contact met je op.

Stichting Mirro doet er als alles aan om je gegevens te beschermen. 

In het gegevensbeschermingsbeleid kun je lezen hoe wij dit geregeld hebben.