Hoe we werken

MRDM is een Trusted Partner in Medical Data. Daarom vormen privacy en security de kern van al onze activiteiten.

MRDM is NEN7510 en ISO27001 gecertificeerd en voldoet het aan EU-wetgeving. MRDM treedt vooral op als verwerker voor zorginstellingen.

We faciliteren benodigde documentatie

Voordat MRDM zijn diensten kan leveren, moet de vereiste wettelijke documentatie, zoals een Verwerkersovereenkomst, in orde zijn. Deze documenten specificeren de kaders en doelen van de gegevensverwerking en stellen MRDM in staat om namens de Verwerkingsverantwoordelijke met medische data te werken. Dit is meestal de zorginstelling.

We houden rekening met patient consent

Lokale wetgeving bepaalt hoe MRDM met data omgaat. In veel gevallen is expliciete toestemming van patiënten nodig om hun zorgdata te mogen verwerken.

We versleutelen data

MRDM verzamelt, anonimiseert, aggregeert en versleutelt data. Data is te allen tijde tijdens transport (encrypted in transit) en bij opslag (encrypted at rest) versleuteld. Onze versleuteling is gebaseerd op de best practices zoals opgesteld door het Nationaal Cyber Security Center (NCSC) en internationale instituten (ENISA/NIST).

We beheren de datatoegang

In hoeverre men toegang heeft tot welke onderdelen van de infrastructuur, is afhankelijk van het autorisatieniveau van de gebruiker. Om dit autorisatieniveau en de identiteit van de gebruiker in relatie tot de betreffende organisatie te controleren, hanteren we persoonlijke accounts met twee-factor authenticatie.

We beheren veiligheid

We hanteren een pro-actief incident management protocol, voeren penetratietesten uit en monitoren continu de veiligheid van onze data. Ongeautoriseerde toegangspogingen worden geregistreerd en geanalyseerd.

We maken back-ups

Data wordt redundant en apart opgeslagen van de productieomgeving. Het belangrijkste doel van back-ups is om te voorzien in noodherstel, zodat een minimale hoeveelheid aan data verloren gaat in geval van nood en de systemen weer snel kunnen draaien.

U hebt de controle over datadistributie

Data wordt alleen gedeeld als de verwerkingsverantwoordelijke daarvoor toestemming hebben gegeven  en het in overeenstemming is met bestaande overeenkomsten.

Onze medewerkers hebben diepgaande kennis

Onze privacy en information security afdeling ontwerpt, implementeert en overziet veilige werkprocessen. De betreffende medewerkers zijn opgeleid volgens industriestandaarden (CIPP/E, CIPM en CIPT).

Door training en formele en informele sessies in het bedrijf blijven alle medewerkers op de hoogte van de huidige privacy en security wet- en regelgeving. Daarnaast vragen we medewerkers om een verklaring omtrent gedrag (VOG) en zijn ze verplicht tot geheimhouding.  MRDM werkt op basis van security en privacy by design, wat betekent dat beide aspecten zijn geïntegreerd in het ontwerp van nieuwe producten en diensten. Bij alle stappen in het dataverwerkingsproces wordt rekening gehouden met privacy en security.

We hebben toegang tot aanvullend juridisch advies

Om er zeker van te zijn dat we volledig voldoen aan alle relevante wetgeving omtrent privacy, dataveiligheid en andere relevante onderwerpen, werken we nauw samen met advocatenkantoren die gespecialiseerd zijn in Nederlandse, Europese en internationale privacywetten met een specifieke focus op de zorgsector.

Andere partijen in de dataketen

Derde partijen en leveranciers worden te allen tijden gescreend en bevraagd over een aantal vaste onderwerpen die minimaal een met MRDM vergelijkbaar niveau van veiligheid en privacy garanderen. Leveranciers en derde partijen worden expliciet gevraagd om aantoonbaar specifieke risico’s te minimaliseren. Leveranciers en derde partijen worden regelmatig gemonitord op basis van onze eisen voor samenwerking.