Hoe veilig is de BETERapp?

 

De veiligheid van de BETERapp is vanaf de start van de bouw een centraal aandachtspunt geweest. Als gebruiker (zowel voor burgers en cliënten als professional) moet je er op kunnen vertrouwen dat de data in veilige handen zijn en de techniek en processen erop zijn gericht om dit veilig te houden. Wij werken continu aan het waarborgen van deze veiligheid.

In deze factsheet volgt een samenvatting van hetgeen wij doen om BETER een veilige app en platform te houden.

1) De wet

De BETERapp is aangemeld als gegevensdrager bij het College Bescherming Persoonsgegevens (CBP). Wanneer je de BETERapp besluit te gebruiken ga je akkoord met de gebruikersvoorwaarden. Hierin staat beschreven dat Bloei NL B.V. als leverancier van de app is gehouden aan de Wet geneeskundige behandelingsovereenkomst (WGBO) en de Wet bescherming persoonsgegevens (WBGP). Deze wetten beschermen je tegen eventueel misbruik van gegevens.

Via deze links kun je meer lezen over deze wetten.

2) De juridische voorwaarden

Ook wijzelf hebben een aantal voorwaarden en beleidsafspraken gemaakt met betrekking tot de veiligheid van jouw data. Deze staan onder andere beschreven in de Gebruiksvoorwaarden en Privacy Policy voor een BETERapp gebruiker, maar ook in die van een helper (begeleider/mantelzorger/hulpverlener). Daarnaast zijn er beleidsafspraken, overeenkomsten, contracten en gedragscodes gemaakt voor intern gebruik en voor onze klanten waarin de privacy van de gebruikers en veiligheid van de data met hoogste prioriteit is behandeld. Lees via onderstaande links meer over deze voorwaarden en afspraken.

3) De techniek

Er zijn twee mogelijkheden die een gebruiker van de smartphone app heeft: je deelt de gegevens uit de app met iemand die helpt via mijn.beterapp.nl, of niet.

Als je de gegevens niet deeltINFOSYS
Dan staat hetgeen iemand over zichzelf bijhoudt alleen op de smartphone. Nergens anders. Je kunt de app nog extra beveiligen met een toegangscode, los van de code die op de mobiel zelf ingesteld kan worden. De data op de smartphone is ook versleuteld; hierdoor is het alleen uit te lezen door de app zelf en dus niet door andere apps of bijvoorbeeld de Android of Apple Cloud. LET OP: als de smartphone kwijt raakt en er is geen extra toegangscode ingesteld op de telefoon of op de app zelf, alleen dan kan de vinder zien hoe iemand zich voelde en of hij de ingestelde doelen haalde. Op afstand is de database niet uit te lezen.

Op de achtergrond verzamelt de app wel statistische data over gebruik en downloads. Denk aan data als ‘De app is gedownload op 456 iOS telefoons met iOS 8.0.1.’. Geen persoonlijke data, maar geanonimiseerde en puur technische informatie, zodat onze appbouwer de app kan blijven verbeteren. Zie https://stats.evect.net/api/v1/docs.html. Deze informatie wordt dus uitsluitend voor service doeleinden gebruikt.

Als je de gegevens wél deelt
Via een account op mijn.beterapp.nl kan er een verbinding worden gemaakt met de smartphone app. Als dit gebeurt worden er gegevens gedeeld via een server, zodat hetgeen de helper schrijft op de smartphone terecht komt en hetgeen de burger of cliënt bijhoudt bij de helper uitkomt.

Deze server staat in Nederland en wordt gehost door Motiv, een ICT security specialist. Zij voldoen aan de laatste ISO normen, wat ‘Nerd-erlandisch’ is voor ‘ze voldoen aan de laatste richtlijnen die beschikbaar zijn omtrent het beveiligen van online data’. Veiliger dan deze norm bestaat het nog niet.

Om te kunnen koppelen moeten er twee unieke QR codes gescand worden. Op deze manier wordt een unieke ‘sleutel’ uitgewisseld. Door de QR code scan methode te gebruiken wordt deze unieke sleutel niet via het internet verstuurd, maar ‘door de lucht’ (net als het maken van een foto). Dat maakt het onderscheppen van deze sleutel via het internet zeer lastig.

We hebben in deze stap daarnaast extra beveiliging ingebouwd met certificaten (een soort paspoort, maar dan voor een systeem). Waar normaal gesproken alleen wordt gecheckt óf er een certificaat aanwezig is, wordt door ons gecheckt of het certificaat ook daadwerkelijk óns certificaat is. Als dat niet zo blijkt te zijn, om wat voor reden dan ook, worden jouw gegevens niet uitgewisseld. Je kunt dus niet per ongeluk een verkeerde QR code scannen en met een ander systeem dan BETER gekoppeld raken. Als alle certificaten (het zijn er drie in totaal) goedgekeurd zijn, wordt jouw data vervolgens verstuurd naar de BETER webserver. Degene waarmee je net bent gekoppeld, kan nu jouw data bekijken. Dit gaat via een veilige SSL-verbinding (te herkennen aan de S in httpS://…). Lees meer over onze serverhost of over SSL-verbindingen.

De gegevens van de helper (mijn.beterapp.nl)
De mensen die anderen via de BETERapp willen coachen om hun doelen te halen, maken een account aan op mijn.beterapp.nl. De unieke combinatie van gebruikersnaam en wachtwoord maakt dat je in de omgeving kunt en met mensen de koppeling kunt maken.

Voor het beheer van deze website huurt Bloei NL B.V. een derde partij in. Zij kunnen de gebruikersnamen zien van de helpers en bekijken hoe vaak zij zijn ingelogd en/of berichten hebben geplaatst in de app. Met alle betrokken partijen zijn afspraken gemaakt met betrekking tot de veiligheid van jouw gegevens. Niemand mag bij de inhoudelijke gegevens. Ook is duidelijk afgesproken wie de ontwikkelaars zijn die aan de BETERapp werken. Lees hier mee over de derde partijen waar Bloei NL mee samenwerkt.

  • Soflomo – Ontwikkelaar van de BETERwebapp en de BETERserver
  • eVect – Ontwikkelaar van de BETERapp voor iPhones
  • New Nexus – Ontwikkelaar voor de BETERapp voor Android telefoons

Via Bloei NL is het mogelijk om een account op te zeggen of een nieuw wachtwoord in te stellen. Deze service willen we dit jaar via het web beschikbaar maken, zodat je zelf een account kunt verwijderen of een wachtwoord aan kunt passen. Zoals met alle websites die werken met een combinatie van wachtwoord en gebruikersnaam is het belangrijk deze veilig te kiezen. Maak het niet te makkelijk en kies niet één wachtwoord voor al je accounts.

4) Screening door anderen

Vanzelfsprekend laten we onze app graag zoveel mogelijk door iedereen checken en keuren, het kan er altijd alleen maar beter van worden. Onlangs is de BETERapp getest door de Jeugdcloud Appstore; een nieuw platform voor gevalideerde apps voor de jeugd. Goed nieuws, want de uitslag van de keuring was positief.

‘The iOS Application is properly secured in its network communications and no critical issues were found in its security. No issues where found in regards to security of the BETER web app and the web app functions without any issues.’