Het NewHealth-platform is ontwikkeld voor mensen die zelf of met behulp van begeleiding aan hun mentale gezondheid willen werken, en specifiek ook voor organisaties die actief zijn in de professionele medische dienstverlening. Zij mogen verwachten dat de beveiliging van hun gegevens op een hoog niveau is geregeld. Hieronder is een samenvatting opgenomen van de maatregelen die de NewHealth heeft genomen om aan deze eisen te voldoen.
Hosting & gegevensopslag
Zowel het NewHealth-platform als de bijbehorende gegevens worden gehost bij Microsoft Azure. De databases in Azure kunnen alleen benaderd worden via whitelisted IP-adressen. Alleen onze leaddevelopers en de test-/releasemanager hebben toegang via deze IP-adressen. Bovendien is bij inloggen tweetraps-authenticatie verplicht. Alle gegevens van klanten worden verwerkt en opgeslagen binnen de Europese Economische Ruimte (EER). De locaties van de servers van Microsoft waarop wij gegevens opslaan bevinden zich allen in Noordwest Europa.
Backups
We maken gebruik van de standaard Azure SQL backup-functionaliteiten voor onze databases. De PiTR (Point in Time Restore) is ingesteld op de maximale duur van 35 dagen, in het geval van klantvragen over de data kunnen we dus nog 35 dagen terug kijken. SQL databases worden maximaal 7 dagen bewaard.
Naast de databases maakt het applicatieplatform gebruik van JSON-bestanden die de configuratie van modules bevatten. Deze zijn opgeslagen in Azure Blob Storage, we maken voor productie gebruik van Read-access geo-redundant storage en een soft-delete van 7 dagen. Daarmee moeten we dus altijd een backup kunnen terugzetten.
Onze applicatiecode bevindt zich in Azure DevOps. We maken geen backups van de applicatiecode op de webserver, wanneer dat nodig is kunnen we deze code opnieuw bouwen en deployen. We maken gebruik van de standaard backup-procedure van Micorsoft voor onze code in Azure DevOps.
Het restoren van een backup wordt 2x per jaar getest.
Toegangsbeveiliging
Toegang tot het NewHealth-platform (en alle daarbinnen beschikbare applicaties) voor gebruikers geschiedt met behulp van een webbrowser via een verbinding die met SSL-encryptie is beveiligd.
Toegang voor applicatiebeheerders en -ontwikkelaars loopt altijd via het lokale kantoornetwerk van NewHealth. Gebruikers moeten daartoe fysiek op kantoor aanwezig zijn of via een VPN-verbinding inloggen.
De toegang voor ontwikkeling en onderhoud is beperkt tot specifieke, daartoe bevoegde personen, wier systeemactiviteiten worden gelogd en gemonitord.
Alle gebruikersaccounts zijn beveiligd met een wachtwoord dat hoofdletters, kleine letters, cijfers en speciale tekens moet bevatten. Dit wordt door het systeem afgedwongen. Daarnaast kunnen gebruikers gebruik maken van “wachtwoordloos inloggen” met behulp van een eenmalig bruikbare, kort geldige inloglink die naar hun geauthentiseerde mailadres wordt verzonden.
Tweestaps-authenticatie is optioneel beschikbaar voor alle gebruikers, en verplicht voor alle medewerkers van NewHealth.
Interfaces met systemen van klanten en derde partijen maken gebruik van SAML 2.0, OpenID of OAUTH2-authenticatie. Ze maken gebruik van internetverbindingen met SSL-encryptie of van rechtstreekse een-op-een verbindingen binnen het data center.
Veiligheidsmanagement
Het information security management system (ISMS) van NewHealth is NEN7510 gecertificeerd door LRQA:
‘Informatiebeveiliging met betrekking tot: het ontwikkelen en beheren van e-health SaaS-oplossingen en online modules, de koppeling aan gerelateerde systemen zoals een EPD, alsmede de dienstverlening in relatie tot onze producten, dit alles in overeenstemming met de Verklaring van Toepasselijkheid van de NewHealth Group, versie 1.0.2, d.d. 22/04/2021. Hosting en netwerkbeheer zijn uitbesteed’
De laatste audit heeft plaatsgevonden in april 2025.
Veiligheidstests
Het NewHealth-platform wordt jaarlijks onderworpen aan penetratietests, zowel grey- als black-box tests. Onze huidige testpartner is Onvio Information Security. De laatste penetratietest heeft plaatsgevonden in oktober 2025.
Wet- en regelgeving
NewHealth Collective en Stichting mirro handelen in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG). NewHealth Collective helpt haar zorgklanten te voldoen aan de WGBO (Wet op de geneeskundige behandelingsovereenkomst), wat onder meer betekent dat medische gegevens 15 jaar moeten kunnen worden bewaard.
Alle NewHealth Collective- en Stichting mirro-medewerkers en alle ingehuurde krachten zijn gebonden aan geheimhouding van alle klantgegevens middels een geheimhoudingsverklaring,
Waar van toepassing is ook met alle onderaannemers een Verwerkersovereenkomst gesloten, conform AVG-voorschrift.
Videobellen
Bij videogesprekken maakt NewHealth gebruik van Microsoft Teams. Alleen real-time videobellen wordt ondersteund, er wordt geen content in onze systemen opgeslagen.
Meer weten?
Heb je aanvullende vragen? Stuur dan een e-mail met je vragen naar support@newhealth.nl. Wij nemen dan contact met je op.
Was dit artikel nuttig?
Dat is fantastisch!
Hartelijk dank voor uw beoordeling
Sorry dat we u niet konden helpen
Hartelijk dank voor uw beoordeling
Feedback verzonden
We stellen uw moeite op prijs en zullen proberen het artikel te verbeteren