Security & Compliance

Transparante informatie over hoe Maira uw zorggegevens beveiligt

Introductie

Maira is gebouwd voor Nederlandse zorgorganisaties met Europese data residency, enterprise-grade beveiliging en naleving van alle relevante healthcare compliance standaarden. Maira biedt veilige toegang tot geavanceerde AI-functies terwijl volledige gegevenssouvereiniteit en privacy-bescherming wordt gewaarborgd.

1. Gegevenssouvereiniteit & Residency

Waar worden onze gegevens verwerkt?

Alle gegevensverwerking vindt uitsluitend plaats op Europees grondgebied:

  • Patiëntgegevens: Opgeslagen op Nederlandse servers (Scaleway & SQR B.V.)
  • AI-verwerking: Microsoft Azure EU-regio's voor OpenAI-modellen
  • Spraak transcriptie: Scaleway Whisper-service in Nederland
  • Geen data-export: Nul data-overdracht naar servers buiten de EU
  • Databestuursgarantie: Volledige naleving van EU-vereisten voor gegevenslocalisatie

Gebruiken we privé of openbare AI-eindpunten?

Maira maakt gebruik van Azure OpenAI-privé-eindpunten, wat garandeert:

  • Speciale, geïsoleerde netwerkverbindingen
  • Geen gegevensblootstelling aan openbaar internet tijdens verwerking
  • Verbeterde beveiligingspositie vergeleken met standaard API-toegang
  • Privé-netwerkrouting binnen Microsoft's EU-infrastructuur

2. AVG-nalevingskader

Hoe gaat Maira om met AVG-compliance?

Maira implementeert uitgebreide AVG-compliance door:

  • Data Processing Agreements (DPA's): Beschikbaar voor alle zorgorganisaties
  • Privacy by Design: Ingebouwde privacycontroles en gegevensverwijdering
  • Rechtmatig belang: Verwerking gebaseerd op verbetering van zorgkwaliteit
  • Rechten van betrokkenen: Volledige ondersteuning voor toegang, overdraagbaarheid en verwijderingsverzoeken

Hoe gaat u om met patiëntgegevens onder de AVG?

  • Volledige gebruikerscontrole: Organisaties kunnen patiëntgegevens op elk moment verwijderen
  • Automatische verwijdering: Verwijdering met audit trails na expiratie
  • Versleuteling: AES-256 encryptie voor alle opgeslagen gegevens
  • Gegevensminimalisatie: Alleen essentiële gegevens voor bedrijfsvoering

3. Veiligheidscertificaten & Normen

Welke veiligheidscertificaten behouden we?

Maira handhaaft Europese healthcare-specifieke certificeringen:

  • ISO 27001: Informatieveiligheidsmanagementsysteem certificering
  • NEN 7510: Nederlandse norm voor informatiebeveiliging in zorg
  • Regelmatige audits: Jaarlijkse onafhankelijke veiligheidsevaluaties
  • Doorlopende monitoring: Real-time beveiligingspositiemanagement

4. Technische Beveiligingsarchitectuur

Welke encryptiestandaarden gebruikt u?

  • In-transit: TLS 1.3-encryptie volgens industriestandaard
  • At-rest: AES-256 encryptie voor alle opgeslagen gegevens
  • End-to-end: Encryptie behouden throughout de volledige gegevenslevenscyclus
  • Access Control: Rol-gebaseerde toegangscontroles met sterke authenticatie

Hoe worden inbreuken voorkomen?

  • Regelmatige penetratietesten door onafhankelijke beveiligingsonderzoekers
  • Real-time inbraakdetectie en automatische reactie
  • Geautomatiseerde beveiligingsscans op vulnerabilities
  • Medewerkertraining op beveiligingsbewustzijn

5. Gegevenslevenscyclus & Bewaarbeleid

Wat is het bewaarbeleid voor patiëntgegevens?

Maira implementeert strikt gegevensbeheersbeheer:

  • Actieve periode: Zolang de zorgorganisatie dat nodig heeft
  • Wettelijke vereisten: Conform medische dossiers retentie (meestal 10 jaar)
  • Automatische verwijdering: Gegarandeerde verwijdering na organisatiebesluit
  • Audit trail: Verwijderingsactiviteiten geregistreerd voor compliance verificatie

Kunnen gegevens worden hersteld na verwijdering?

Nee. Ons verwijderingsproces garandeert dat:

  • Persoonlijke identificatoren permanent worden verwijderd
  • Patiëntgegevens niet meer attributeerbaar zijn aan individuen
  • Herstel technisch onmogelijk is
  • Het proces voldoet aan GDPR "recht op vergetelheid"

6. AI-Model Veiligheid & Privacy

Hoe garanderen we dat AI-providers geen toegang hebben tot onze gegevens?

Meerdere beveiligingslagen:

  • Contractuele overeenkomsten: Strikte data processing agreements met Microsoft Azure
  • Technische controles: Privé-eindpunten voorkomen gegevensblootstelling
  • EU-verwerking: Alle AI-verwerking binnen EU-grenzen
  • Geen trainingsgegevens: Gebruikersinvoer nooit gebruikt voor modelverbetering
  • Onmiddellijke verwijdering: Verwerkingsgegevens direct na respons gegenereerd verwijderd

Welke AI-functies zijn beschikbaar?

  • Spraakomzetting: Scaleway Whisper in Nederland
  • Tekstgeneratie: Azure OpenAI modellen (EU-regio)
  • Documentanalyse: Lokale verwerking waar mogelijk
  • Dezelfde beveiliging: Identieke beveiligingsnormen voor alle functies

7. Incidentrespons & Transparantie

Hoe handelen we beveiligingsinbreuken af?

Maira volgt een striktur incidentresponsprotocol:

  • Onmiddellijke notificatie: U wordt onmiddellijk op de hoogte gesteld van inbreuken
  • 72-uur melding: Wettelijke vereiste binnen 72 uur na ontdekking
  • Grondige analyse: Onafhankelijke forensische analyse van elke inbreuk
  • Gedetailleerd rapport: Volledige details over impact en remediation

8. Contact & Vragen

Hebt u vragen over beveiliging, compliance of privacy? Ons beveiligingsteam helpt graag verder.

Beveiligingsteam: security@maira.health

Compliance-vragen: compliance@maira.health