We houden ervan om Mobile Health toepassingen te bedenken, ontwikkelen en helpen te implementeren. Maar de tijd van een ‘simpele medische app’ is lang geleden. Gezondheid is ons meest persoonlijke bezit en onze mobiele telefoons worden meer en meer gebruikt voor het bijhouden van persoonlijke medische informatie. Het zeker stellen van deze gegevens moet voor elke Mobile Health ontwikkelaar de hoogste prioriteit hebben.
Gecertificeerd
Synappz heeft de afgelopen vier jaar flink geïnvesteerd in de veiligheid van de technologie en de onze interne organisatie om er zeker van te zijn dat medische data volgens de laatste wet- en regelgeving worden behandeld. Wij willen 100% transparant zijn in hoe we dat geregeld hebben.
Synappz heeft in 2012 als eerste in Nederland een medische app voorzien van een CE-keurmerk. Maar naast deze productgebonden certificering zijn er 2 hogere niveaus waarop data security goed geregeld moet zijn: organisatorisch en technologisch.
Organisatorisch
EU wet- en regelgeving dicteert dat elke organisatie die werkt met persoonsgegevens aan strikte normen en eisen moet voldoen. Een organisatie kan aantonen aan de wettelijke eisen te voldoen door haar organisatie en processen te laten auditeren op basis van de volgende certificeringen:
• ISO 27001: Internationale standaard voor informatiebeveiliging
• NEN 7510: Norm voor Informatiebeveiliging Management in de Zorg
(Nederlandse equivalent van de internationale ISO 27799 norm)
Technologisch
We gaan het niet mooier maken dan dat het is: geen enkel systeem is 100% waterdicht. Zelfs de NSA niet. Toch kunnen er genoeg maatregelen genomen worden om de (medische) data opslag tot aan de tand te beveiligen.
De afgelopen vier jaar is ons back-end platform de Cortex opgebouwd, waarbij beveiliging van meet af aan hoog in het vaandel stond. De volgende zaken hebben we standaard in de Cortex opgenomen:
Server hosting
Onze fysieke servers zijn ondergebracht bij een gerenommeerde cloud hosting provider, actief in 33 landen op 5 continenten. Alle Europese data worden gehost in volledig gecertificeerde datacentra in Nederland en kunnen niet ter beschikking komen van buitenlandse autoriteiten (US Patriot Act). Deze datacentra zijn uitgerust met de meest geavanceerde beveiligingssystemen (biometrische handscanners, visuele inspectie, camera’s, etc).
Data opslag en transport
Voor de toegang tot onze database hanteren wij de internationale OAuth 2.0 standaard, die wij middels een aantal verschillende encryptietechnologieën verder hebben verbeterd. Dit Login Framework wordt gebruikt in onze volledig nieuw opgezette onboarding-methodologie voor medische apps.
Het versturen van gegevens via het web doen wij door gebruik te maken van het het versleutelde TLS protocol, een cryptografisch algoritme voor het veilig versturen van gegevens. In feite wordt er een versleutelde ‘schil’ om de data heen gelegd vóórdat deze naar buiten gaan.
Bij het opslaan van de gegevens maken we gebruik van 3 gescheiden databases om een ultiem veilige scheiding in gevoelige persoonsgegevens te kunnen realiseren: een database met login-gegevens (zoals e-mail en wachtwoord), een database met niet-medische gebruikersgegevens (zoals NAW-gegevens indien van toepassing) en een database met de feitelijke medische data. De koppeling tussen deze databases wordt geregeld via sleutels die beveiligd zijn via AES256 versleuteling en alleen door de gebruiker kunnen worden gekoppeld.
Resultaat
Gedurende het volledige bouwtraject van de Cortex hebben privacy en security experts van Deloitte ons bijgestaan om de gerealiseerde backend oplossing aan te laten sluiten bij de uiterst strenge eisen, zoals zij die binnen haar Assuring Medical Apps certificeringstraject hanteert. Zo heeft een team van ethical hackers een serie state-of-the-art penetratietesten doorgevoerd op de Cortex om elke vorm van kwaadwillige toegang of datalekkage uit te sluiten. Door een constante focus te leggen op deze beveiligingsaspecten zijn wij trots te melden dat ons Cortex backend als hoogste A+ status in SSL Labs van Qualys is geclassificeerd.
In één A4tje uitleggen hoe wij de medische gegevens op een veilige en betrouwbare manier behandelen is uiteraard een uitdaging. Indien u meer wilt weten neem dan vooral even contact met ons op. Of stuur een mail naar privacy@synappz.nl. Wij sturen u dan meteen onze uitgebreidere White Paper toe over dit onderwerp.