Support IB FAQ vragen
Veelgestelde vragen over privacy, security en informatiebeveiliging
Bij Johan nemen wij privacy, security en informatiebeveiliging uiterst serieus. Ons platform is ontworpen met robuuste beveiligingsmaatregelen en volledig in lijn met de AVG, zodat partners erop kunnen vertrouwen dat gevoelige gegevens veilig en zorgvuldig worden behandeld volgens de modernste standaarden. Op deze pagina zijn antwoorden te vinden op veelgestelde vragen rondom privacy en security. Zijn er specifieke vragen? Dan verzoeken wij contact op te nemen via privacy@johan.nl.
-
Applicatie en software
- Welke mailprovider wordt er gebruikt en welke standaarden volgen jullie?
- Johan maakt gebruik van een professionele mailprovider die voldoet aan moderne beveiligings- en privacystandaarden. Voor meer details kunt u contact opnemen via support@johan.nl en een kopie van de technische specificaties opvragen.
- Johan maakt gebruik van een professionele mailprovider die voldoet aan moderne beveiligings- en privacystandaarden. Voor meer details kunt u contact opnemen via support@johan.nl en een kopie van de technische specificaties opvragen.
- Waar kan ik de beschikbaarheid van de Johan-applicatie zien?
- U kunt de beschikbaarheid en eventuele meldingen over incidenten of onderhoud vinden op onze statuspagina: status.johan.nl.
- U kunt de beschikbaarheid en eventuele meldingen over incidenten of onderhoud vinden op onze statuspagina: status.johan.nl.
- Hoe wordt bepaald wie toegang heeft tot welke gegevens?
- Toegang wordt geregeld via een strikt toegangsbeheerbeleid dat is ontworpen om privacy en beveiliging te waarborgen. Meer informatie is beschikbaar in onze Toegangsbeheerprocedure, op aanvraag via support@johan.nl.
- Toegang wordt geregeld via een strikt toegangsbeheerbeleid dat is ontworpen om privacy en beveiliging te waarborgen. Meer informatie is beschikbaar in onze Toegangsbeheerprocedure, op aanvraag via support@johan.nl.
- Hoe wordt de performance van de applicatie gegarandeerd?
- Onze applicatie is gebouwd op een robuuste architectuur en wordt continu gemonitord met geavanceerde tools. Hiermee kunnen we mogelijke issues proactief identificeren en oplossen. Wilt u meer weten? Vraag ons Technisch Architectuuroverzicht op via support@johan.nl.
-
Privacy
- Hoe gaat Johan om met privacygevoelige informatie?
-
- Wij hanteren strikte richtlijnen voor de verwerking van gegevens, volledig in lijn met de AVG. Dit omvat onder meer versleuteling en toegangscontrole. De details kunt u nalezen in onze Privacyverklaring, beschikbaar op johan.nl/privacy.
- Wij hanteren strikte richtlijnen voor de verwerking van gegevens, volledig in lijn met de AVG. Dit omvat onder meer versleuteling en toegangscontrole. De details kunt u nalezen in onze Privacyverklaring, beschikbaar op johan.nl/privacy.
-
- Waar kan ik de privacyverklaring van Johan vinden?
- Onze privacyverklaring is eenvoudig toegankelijk via johan.nl/privacy.
- Onze privacyverklaring is eenvoudig toegankelijk via johan.nl/privacy.
- Waar is de Verklaring van Toepasselijkheid (VVT) beschikbaar?
- De Verklaring van Toepasselijkheid (VVT), met een overzicht van alle beveiligingsmaatregelen, kan worden opgevraagd via privacy@johan.nl.
-
Security
- Hoe wordt de veiligheid en beschikbaarheid de data op Johan geborgd?
- Voor de techniek en hosting maakt Johan gebruik van eigen (virtual) dedicated servers in een datacenter met dat aan de hoogste eisen voldoet, waaronder ISO27001, NEN7510 en ISO 9001 certificering. Beschikbaarheid wordt mede geborgd door de keuze voor een TIER III datacenter.
- Wat zijn de RPO en RTO-tijden van Johan?
- Onze Recovery Point Objective (RPO) is 24 uur en de Recovery Time Objective (RTO) is vastgesteld op 8 uur. In de praktijk blijkt dit vaak korter te zijn, afhankelijk van de situatie. Meer details zijn te vinden in ons Disaster Recovery Plan, op aanvraag via support@johan.nl.
- Onze Recovery Point Objective (RPO) is 24 uur en de Recovery Time Objective (RTO) is vastgesteld op 8 uur. In de praktijk blijkt dit vaak korter te zijn, afhankelijk van de situatie. Meer details zijn te vinden in ons Disaster Recovery Plan, op aanvraag via support@johan.nl.
- Wat is jullie back-upbeleid?
- Wij maken dagelijks een volledige back-up, met een retentieperiode van 30 dagen. Voor specifieke informatie over ons back-upbeleid kunt u contact opnemen via support@johan.nl.
- Wij maken dagelijks een volledige back-up, met een retentieperiode van 30 dagen. Voor specifieke informatie over ons back-upbeleid kunt u contact opnemen via support@johan.nl.
- Welke SLA hanteren jullie voor de hosting?
- Johan heeft het hoogste Service Level Agreement (SLA) bij haar hostingpartij, waardoor beschikbaarheid, beveiliging en support gegarandeerd zijn;
- Welke beveiligingsmaatregelen zijn er getroffen voor data en toegang?
- Onze beveiligingsmaatregelen omvatten versleuteling, netwerkbeveiliging en toegangscontrole. Een uitgebreide beschrijving vindt u in onze Beveiligingsrichtlijnen, beschikbaar via security@johan.nl.
- Onze beveiligingsmaatregelen omvatten versleuteling, netwerkbeveiliging en toegangscontrole. Een uitgebreide beschrijving vindt u in onze Beveiligingsrichtlijnen, beschikbaar via security@johan.nl.
- Voeren jullie ook PEN testen uit?
- Johan ontwikkelt software in een strikt functie gescheiden OTAP straat, past onder meer de OWASP top 25 toe en laat regelmatig PEN testen uitvoeren door derden op haar omgevingen. Resultaten van PEN testen kunnen worden opgevraagd via privacy@johan.nl.
- Wordt er encryptie toegepast?
- Al het data verkeer van- en naar het Johan Portaal verloopt via een beveiligde verbinding; Johan past encryptie toe bij transport én opslag van de data.
-
Compliance en juridische borging
- Hoe waarborgt Johan compliance met AVG (GDPR)?
- Wij waarborgen compliance met de AVG via een integrale aanpak, waaronder DPIA’s, verwerkersovereenkomsten en regelmatige audits. Meer informatie staat in ons Privacybeleid en AVG-complianceoverzicht, beschikbaar op johan.nl/privacy.
- Wij waarborgen compliance met de AVG via een integrale aanpak, waaronder DPIA’s, verwerkersovereenkomsten en regelmatige audits. Meer informatie staat in ons Privacybeleid en AVG-complianceoverzicht, beschikbaar op johan.nl/privacy.
- Hoe kan ik meer informatie krijgen over juridische overeenkomsten, zoals SLA’s en verwerkersovereenkomsten?
- U kunt onze juridische documentatie, zoals SLA’s en verwerkersovereenkomsten, opvragen via support@johan.nl.
- U kunt onze juridische documentatie, zoals SLA’s en verwerkersovereenkomsten, opvragen via support@johan.nl.
- Welke informatie beveiligingscertificaten heeft Johan?
- Sinds de start van Johan zijn wij ISO 27001 gecertificeerd. Tevens leggen wij strenge eisen op aan de leveranciers waar wij mee werken. Zo heeft onze hosting provider NEN 7510 certificering.
-
Deelnemers
- Wat gebeurt er met de privacy wanneer iemand een JOHAN-account aanmaakt?
- Bij het aanmaken van een JOHAN-account geeft de gebruiker toestemming voor de verwerking van zijn of haar gegevens. JOHAN respecteert de privacy van de gebruiker en deelt de gegevens nooit met onbevoegden. Voor een gedetailleerd overzicht van hoe JOHAN met gegevens omgaat, kan de gebruiker de volledige [privacyverklaring](link naar privacyverklaring) raadplegen.
- Kan iedereen producten of diensten aanbieden via JOHAN?
- Nee, alleen geselecteerde aanbieders kunnen producten of diensten aanbieden via JOHAN. Dit kunnen bijvoorbeeld werkgevers, brancheorganisaties, opleidingsinstituten of gezondheidscoaches zijn. De gebruiker wordt altijd vooraf geïnformeerd over de aanbieder en diens privacyvoorwaarden voordat een product wordt afgenomen.
- Is deelname aan JOHAN verplicht?
- Nee, deelname is altijd vrijwillig. Je bent vrij om te kiezen of je een JOHAN-account aanmaakt en of je bepaalde producten of diensten afneemt. Je aanbieder kan je nooit verplichten om een account aan te maken of producten te kiezen.
- Wie heeft toegang tot de gegevens in een JOHAN-account?
- De gebruiker is de enige eigenaar van het JOHAN-account en heeft exclusief toegang tot de gegevens. JOHAN zorgt ervoor dat de gegevens veilig zijn en niet gedeeld worden met aanbieders of derden zonder toestemming van de gebruiker. Antwoorden op vragenlijsten of surveys zijn alleen voor de gebruiker zichtbaar en kunnen niet door de aanbieder worden ingezien.
- Wat gebeurt er als iemand zijn of haar JOHAN-account wil verwijderen?
- Een gebruiker kan zijn of haar JOHAN-account altijd opheffen en de gegevens verwijderen. JOHAN respecteert het recht van de gebruiker om gegevens te laten verwijderen en zorgt ervoor dat dit op een veilige manier gebeurt. Voor meer informatie kan de gebruiker contact opnemen via privacy@johan.nl.
- Hoe waarborgt JOHAN de veiligheid van de gegevens?
- JOHAN neemt de beveiliging van gegevens serieus en heeft technische en organisatorische maatregelen getroffen om de gegevens van gebruikers te beschermen. JOHAN is ISO-27001 gecertificeerd, wat de belangrijkste standaard voor informatiebeveiliging is. Voor meer informatie over de getroffen maatregelen kan contact worden opgenomen via privacy@johan.nl.
- Kan een aanbieder het JOHAN-account van een gebruiker beheren?
- Nee, de gebruiker is de enige eigenaar van het JOHAN-account en heeft volledige controle. De aanbieder heeft geen toegang tot het account en bepaalt zelf of producten of diensten worden afgenomen. Het account blijft behouden, zelfs als de gebruiker geen relatie meer heeft met de partij die het account heeft aangeboden.
- Nee, de gebruiker is de enige eigenaar van het JOHAN-account en heeft volledige controle. De aanbieder heeft geen toegang tot het account en bepaalt zelf of producten of diensten worden afgenomen. Het account blijft behouden, zelfs als de gebruiker geen relatie meer heeft met de partij die het account heeft aangeboden.
- Waar kan de volledige privacyverklaring van JOHAN worden gelezen?
- De volledige privacyverklaring van JOHAN is te lezen op de website via johan.nl/privacy. Voor verdere vragen kan contact worden opgenomen via privacy@johan.nl.
- Hoe worden deelnemer accounts beveiligd?
- Deelnemer accounts worden naast een wachtwoord dat moet voldoen aan een aantal eisen, ook beveiligd met een two-factor authenticatiecode (SMS of OTP). Dit maakt een deelnemer account extra goed beveiligd.
- Deelnemer accounts worden naast een wachtwoord dat moet voldoen aan een aantal eisen, ook beveiligd met een two-factor authenticatiecode (SMS of OTP). Dit maakt een deelnemer account extra goed beveiligd.
- Hoe lang zijn wachtwoorden gelden / verlopen wachtwoorden automatisch?
- Wij kiezen ervoor om het wachtwoord niet automatisch te laten verlopen, omdat het extra beschermd is met een tweede factor, zoals het SMS of OTP token. Hiermee is het risico op misbruik van het account al vele malen kleiner dan zonder tweede factor. In die zin is het risico voldoende gemitigeerd om de eis dat het wachtwoord automatisch moet verlopen, te laten vallen.
Los daarvan: het verplicht moeten vernieuwen van wachtwoorden maakt die wachtwoorden niet perse veiliger. Wat de meerderheid doet, is geen totaal ander wachtwoord nemen, maar slechts een kleine verandering aanbrengen, zoals een extra cijfer aan het eind. Stel dat je iemand zijn eerste wachtwoord hebt, dan kan je met brute force het andere wachtwoord vaak ook verkrijgen. Ware het niet dat dit door onze twee factor authenticatie sterk wordt bemoeilijkt.
- Wij kiezen ervoor om het wachtwoord niet automatisch te laten verlopen, omdat het extra beschermd is met een tweede factor, zoals het SMS of OTP token. Hiermee is het risico op misbruik van het account al vele malen kleiner dan zonder tweede factor. In die zin is het risico voldoende gemitigeerd om de eis dat het wachtwoord automatisch moet verlopen, te laten vallen.
- Wat moet er gebeuren als de partner van een overleden deelnemer inzage wil in de resultaten?
- Indien er tussen de overledene en zijn/haar levenspartner niets is vastgelegd over inzage na overlijden, dan is inzage in beginsel niet toegestaan. Het uitgangspunt in de wet is namelijk: “Is uw familielid is overleden, dan heeft u geen recht om het medisch dossier van de overledene in te zien”. Hier zijn enkele mogelijke uitzonderingen op:
- De overledene heeft toestemming gegeven voor inzage. Bijvoorbeeld via een z.g. (notarieel) levenstestament, een getekende schriftelijke verklaring of in het medisch dossier zelf;
- Indien er sprake is van onjuiste medische handelingen; (niet van toepassing voor Johan, er is bij Johan data geen sprake van een behandelovereenkomst.)
- Er is mogelijk recht op inzage indien de overledene dit nodig heeft. Die moet daarbij wel aangeven waarom inzage nodig is. Bijvoorbeeld om een rechtszaak aan te spannen, voor een erfenis, of als de levenspartner informatie wilt krijgen over een erfelijke aandoening;
- Als er de indruk bestaat dat er een medische fout is gemaakt en het medisch dossier dit mogelijk zou kunnen aantonen, kan er een inzageverzoek worden gedaan. Ook hier is dat voor Johan niet van toepassing, omdat er geen sprake is van een behandelovereenkomst tussen Johan en de overledene in de zin van de WGBO.
- Concluderend: alleen indien het recht op inzage vooraf is vastgelegd door de overledene, of de levenspartner kan aantonen waarom inzage nodig is, kan Johan het account overdragen naar de levenspartner.
- Zie onder andere:
- In het geval de levenspartner geen wettelijke grondslag heeft om het dossier op te vragen, kunnen wij hier dus helaas niets in betekenen.
- Met betrekking tot verdere acties (account verwijderen of niet? Inzage geven of niet?) is indien de partner optreedt als verwerkingsverantwoordelijke voor deze persoonsgegevens iedere beslissing van de partner leidend en mag en kan Johan hier dus geen enkele beslissing over nemen.