De voorwaarden


Welkom bij de voorwaarden van Share-board! Hier vind je alle informatie waar je mee akkoord gaat zodra je een (gratis) account aanmaakt.


Wanneer er niks aan de hand is, zal niemand naar de voorwaarden kijken. Pas wanneer er iets mis gaat of er een meningsverschil ontstaat, wordt hiernaar gekeken. En dan is duidelijkheid heel belangrijk. Daarom hebben we alles zo helder mogelijk geformuleerd.


Hieronder vind je een inhoudsopgave, klik om naar het juiste deel te springen.


Share-board voorwaarden transparantie is belangrijk om samen te werken

Voorwaarden & disclaimers


Share-board conformeert zich aan de voorwaarden zoals gesteld in "ICT~Office voorwaarden Module 4 Application service provision, software as a service en computerservice." een document van de branche-organisatie NederlandICT (voorheen ICT~Office). Deze voorwaarden zijn hier te downloaden: Algemene Voorwaarden. Daar waar deze Algemene Voorwaarden conflicteren met de VoorwaardenVerwerkersovereenkomst en Privacy-statement geldt de inhoud van de laatste drie pagina's.


Copyrights van de team-content

De Team-Content (Notities, Nieuws, Initiatieven, Discussies etc.) die wordt opgevoerd in een Share-board is het intellectueel eigendom van de organisatie waar de Gebruikers in dienst zijn, door ingehuurd zijn of die de Gebruikers anderszins vertegenwoordigen. Share-board verstrekt of verkoopt nimmer Content aan derden. Lees verder bij privacy. Er wordt bijzondere aandacht gegeven aan de beveiliging.


Disclaimer bij de team-content

Share-board is niet verantwoordelijk voor Team-Content die door Gebruikers wordt gedeeld of gedownload. Share-board aanvaardt geen enkele aansprakelijkheid en Share-board is niet aansprakelijk voor de schade of kosten die een Gebruiker oploopt of veroorzaakt door gebruik te maken van Share-board. Share-board heeft faciliteiten die het downloaden belemmeren.

Beschikbaarstellen (downloaden) van de team-content 

Share-board stelt Klanten in de gelegenheid om hun Team-Content te downloaden in geval van beeïndiging van de overeenkomst, of indien de Klant de content van rechtswege nodig heeft en wanneer alle betalingen zijn voldaan. Gebruikers zijn zelf verantwoordelijk voor de beveiliging van de gedownloade Team-Content.


Vermijdt ontoelaatbare content

1. Share-board is een closed user group voor het onderling delen van content. Share-board verschaft zich geen inhoudelijke toegang tot de content - anders dan technisch nodig voor het beheer en onderhoud van de applicatie en de database. Gebruikers worden geacht geen content toe te voegen die in strijd is met de wet of respectloos is naar anderen. Elke Beheerder kan content van Teamleden binnen een Share-board-team aanpassen of verwijderen. Share-board roept Gebruikers op elkaar onderling te corrigeren op eventueel ontoelaatbare, niet-respectvolle of onwettige content.


2. De Team-Content is gepseudonimiseerd (versleuteld) en kan - uitsluitend - op bevel van een rechter worden ontsleuteld door Share-board en overdragen aan de door de rechter aangegeven overheidsinstantie.


Disclaimer bij beveiliging

Share-board spant zich om voldoende beveiligingsmaatregelen te nemen. Onze beveiligingsmaatregelen gaan zelfs verder dan die onze directe concurrenten. Share-board garandeert echter niet dat de content 100% veilig is; dat kan namelijk niemand garanderen en uw content op uw bedrijfs- of privé-computer is dat ook niet. Share-board informeert je desgevraagd over de beveiligingsmaatregelen die zijn genomen. Share-board aanvaardt geen enkele aansprakelijkheid. Lees verder bij privacy.


Privacy en AVG

1. Er zijn maatregelen genomen ter bescherming van de persoonsgegevens die voldoen aan de AVG. Lees verder bij privacy-statement. Het privacy-statement is een onderdeel van deze Voorwaarden.


2. Share-board heeft een Verwerkersovereenkomst in het kader van de AVG, die bedoeld is voor en van toepassing is op Gebruikers die (Bijzondere) Peroonsgegevens verwerken met Share-board. Gebruikers dienen zelf vast te stellen of zij (Bijzondere) Peroonsgegevens verwerken met Share-board en wat hun rechten en plichten zijn uit de AVG. De Verwerkersovereenkomst is gebaseerd op de AVG en het gebruik van Share-board als Verwerker en geldt - standaard - voor alle Gebruikers van Share-board. De Verwerkersovereenkomst is een onderdeel van deze Voorwaarden.


Copyrights van Share-board

Voor deze website en het 'format' van Share-board zijn copyrights van toepassing. Lees verder bij copyrights.


Disclaimer bij de informatie op deze website

Deze site is bestemd voor het verstrekken van informatie aan onze klanten. Wij hebben de inhoud van deze site met de grootst mogelijke zorg samengesteld, maar kunnen geen garanties geven met betrekking tot de aard of de inhoud van de informatie op deze site. Wij zijn niet aansprakelijk voor de inhoud van deze informatie of voor de gevolgen van het gebruik daarvan. Het is niet toegestaan deze site te framen. Wij achten ons niet verantwoordelijk of aansprakelijk voor de toegang tot of de informatie op enige site die is verbonden/gelinkt van of naar deze site. We sluiten niet uit dat bepaalde informatie onvolledig is, na verloop van tijd verouderd of niet meer correct is. Share-board is niet aansprakelijk voor de gevolgen van activiteiten die worden ondernomen op basis van deze site en er kunnen ook overigens aan de site geen rechten worden ontleend. Share-board aanvaardt geen aansprakelijkheid voor schade als gevolg van onjuistheden en/of gedateerde informatie.


Beperking van aansprakelijkheid

De aansprakelijkheid van Share-board jegens Gebruiker voor schade als gevolg van een toerekenbare tekortkoming door Share-board in de nakoming van zijn verplichtingen is per gebeurtenis (waarbij een reeks van opeenvolgende gebeurtenissen geldt als één gebeurtenis) beperkt tot de licentie-inkomsten voor Share-board afkomstig van de betrokken Gebruiker opgeteld van de laatste 12 maanden.



Share-board BV

Share-board.nl

1 april 2018



Share-board verwerkt deze gegevens:


1.0 Productiedata

1.1 Share-board team content

1.2 Share-board persoonsgegevens

2.0 Financiële gegevens



1.0 Productiedata

Productiedata is het onderwerp van en valt binnen de scope het ISMS.

Het eigendom van de Productiedata is van Gebruiker(s).

Gebruiker is een Beheerder en/of Teamlid en/of Postbuslid.

Gebruiker heeft toegang tot één of meer Teams van Share-board.

Gebruikers bewerken (muteren) zelf SB-Team-Content.



1.1 Share-board team content =

    + Items (Teksten en Reacties) (zelf te bewerken)

    + Naar een team ingestuurde emails (zelf te bewerken)

    + Geuploade bestanden (zelf te bewerken)

    + Prive-berichten (zelf te bewerken)

    + Loggegevens (niet aanpasbaar)

    + Notificatie (emails) door Share-board gestuurd naar Gebruikers (niet aanpasbaar)

    + Content wordt door Gebruikers (Team) bewerkt



    1.2 Share-board persoonsgegevens van gebruikers =

      + email-adres van gebruiker (zelf te bewerken)(kan niet verwijderen)

      + email-adres van gebruiker kan door eigen Beheerder worden disabled.

      + wachtwoord van gebruiker (zelf te resetten)

      + (voor en achternaam - optioneel)(zelf te bewerken en te verwijderen)

      + (telefoonnummer - optioneel)(zelf te bewerken en te verwijderen)

      + (profielgegevens - optioneel)(zelf te bewerken en te verwijderen)



      2.0 Financiële gegevens

      Financiële gegevens zijn alleen bedoeld voor de facturering en/of de betaling en worden door de Beheerder van een Share-board Factuurteam, Hoofdteam of Zelfstandig team ingevoerd. En kunnen zelf bewerkt en verwijderd worden uit de teams; behalve voor betalingen die reeds zijn gedaan. Facturen worden automatisch gegenereerd, opgeslagen bij Teaminstellingen in Share-board en ge-emaild naar de Administratie van Share-board.


      De (2.0) Financiële gegevens vallen buiten de scope van het ISMS. Zie vertrouwelijkheidsniveau. Hier worden de 'normale' beveiligingsmaatregelen getroffen die gelden voor financiele administratie gemeengoed zijn. Sowieso zijn de Archiefwet en de Fiscale regelgeving van toepassing, waaronder voor de bewaartermijnen.


      Financiële gegevens betreffen alleen Facturen en bevatten

      + E-mailadres van Beheerder (zelf te bewerken)

      + (optioneel) Factuurgegevens voor betalingen aan Share-board (zelf te bewerken en verwijderen)

      + Organisatienaam (zelf te bewerken en verwijderen)

      + Organisatieadres (zelf te bewerken en verwijderen)

      + Organisatie-afdeling (zelf te bewerken en verwijderen)

      + Organisatie administratieve referentiegegevens (zelf te bewerken en verwijderen)

      + Saldo

      + Saldo-specificatie (bijlage factuur): Actuele team-naam, aantal teamleden, hoeveelheid opslag van gegevens (per subteam)

      + (optioneel) Bankgegevens tbv betalingen aan Share-board (alleen na betaling).



      Wat doet Share-board wel en niet met gegevens?


      De manier waarop Share-board gebruikt wordt door gebruikers is beschreven bij functionele setting.

      Gebruikers bewerken (muteren) zelf hun eigen persoonsgegevens.

      Share-board persoonsgegevens zijn persoonsgegevens van de gebruikers van Share-board.

      Share-board muteert inhoudelijk nimmer Share-board persoonsgegevens.

      Share-board draagt nimmer Share-board persoonsgegevens over aan derden.

      Share-board gebruikt Share-board persoonsgegevens voor opleiding/tips aan de betreffende gebruikers.

      Lees verder bij op onze privacy-pagina.


      Share-board gebruikers kunnen vertrouwelijke gegevens zelf opnemen en bewerken in een team. Voorbeelden zijn:

      • Een VvE die de administratie voert met Share-board voor alle VvE-eigenaren.
      • Een bestuur van een voetbalvereniging dat een ledenadministratie voert met Share-board.
      • Een wijkzorgteam waarbij zorgprofessionals samenwerken voor een patiënt met Share-board.

      Share-board is daartoe uitgelegd en heeft daarvoor beveiligingsmaatregelen getroffen. Lees verder bij op onze beveiligingspagina.


      Gebruikers kunnen dus vertrouwelijke (persoons)gegevens bewerken met Share-board, zoals:

      • Vertrouwelijke Bedrijfsgegevens (high value/risk) van ondernemingen
      • Persoonsgegevens van derden
      • Bijzondere Persoonsgegevens van derden (zoals patientengegevens)
      • Publieksgevoelige informatie van Overheden

      Het eigendom van de Share-board team content behoort toe aan de gebruikers.

      Share-board muteert inhoudelijk nimmer Share-board team content.

      Het bewerken van Share-board team content is een verantwoordelijkheid van de gebruikers.




      Vier vertrouwelijkheidsniveaus voor gegevens


      Share-board onderscheidt vier vertrouwelijkheidsniveaus, waarbij openbaarmaking voor de gebruikers (klanten) en dus ook voor Share-board...

      A) ...geen schade veroorzaakt

      B) ...geringe problemen of geringe operationele ongemakken veroorzaakt

      C) ...kortdurende significante impact op de operationele of tactische doelstellingen

      D) ...ernstige impact op langetermijndoelstellingen of voortbestaan


      A, B, C en D zijn de gegevensclassificatietypen die Share-board hanteert.


      Share-board stelt de impact voor de gebruikers gelijk aan de impact voor Share-board zelf. Immers, bedrijfsmatige schade en imago-verlies bij gebruikers slaan direct (en minstens zo hard) terug op bedrijfsmatige schade (claims) en het imago van Share-board.


      GegevensclassificatietypenScope van ISMS
      (1.1) SB-Team-ContentDBinnen scope van ISMS
      (1.2) SB-PersoonsgegevensBBinnen scope van ISMS
      (2.0) Financiële gegevensBBinnen scope van ISMS


      ad (1.1) SB-Team-Content kan zeer vertrouwelijke en Bijzondere persoonsgegevens bevatten. Die vallen dus vollige in de scope van het ISMS en hebben daarom de hoogste Classificatie (D).


      Definitie Bijzondere persoonsgegevens

      De AVG Artikel 9 spreekt van 'bijzondere categorieën van persoonsgegevens' of 'bijzondere persoonsgegevenscategorieën' en over "gevoelige gegevens", waar de WbP spreekt over 'Bijzondere Persoonsgegevens'. Daarmee worden dezelfde catagorie persoonsgegevens bedoeld.


      ad (1.2) Openbaarmaking kan tot bedrijfsmatige schade en imagoverlies leiden, voor het feit dat openbaarmaking heeft plaatsgevonden, maar inhoudelijk betreft het persoonsgegevens die zich beperken tot 'slechts' alleen het emailadres-adres van Gebruikers. Persoonsgegevens vallen daarentegen weldegelijk binnen de scope van ISMS. Dus krijgen wel de bescherming als waren het D-type gegevens.


      ad (2.0) Openbaarmaking kan tot bedrijfsmatige schade en imagoverlies leiden, voor het feit dat openbaarmaking heeft plaatsgevonden, maar inhoudelijk betreft het vrijwel nooit zeer vertrouwelijke informatie.



      Verantwoordelijkheden volgens de AVG


      Lees hier de Verwerkingsovereenkomst voor de AVG van Share-board in geval Gebruikers Persoonsgegevens verwerken met Share-board.


      De wijze waarop Gebruikers met Share-board werken is beschreven in artikel ISMS 02.0 De Functionele setting van de Gebruikers.


      Gebruikers van Share-board zijn:


      Gebruikers van Share-board = Beheerder(s) + Teamleden + (eventueel Postbusleden)


      Gebruikers verwerken 'SB-Team-Content' met/in Share-board.



      Een Team start iemand die dan de Beheerder wordt. Er is dus minstens één Gebruiker in een Team: één Beheerder. Een Beheerder nodigt anderen uit als Teamlid. De Beheerder kan meerdere Teamleden promoveren tot Beheerders. Lees bij Support welke Gebruikers er zijn en wat de bevoegdheden zijn.


      Gebruikers delen - doorgaans - professionele informatie in een Team. Gebruikers kunnen vertrouwelijke informatie, zoals (bijzondere) persoonsgegevens delen en vastleggen. Share-board faciliteert dat. Share-board verzamelt zelf nimmer Content van of voor Gebruikers.



      Invulling van verantwoordelijkheden 
      volgens AVG/GDPR
      BetrokkeneVerwerkings-
      verantwoordelijke
      Verwerker
      A)(1.0)SB-Team-Content dat eventueel (bijzondere) persoonsgegevens bevatNatuurlijke personen, zoals Burgers, Patiënten en Klanten
      Beheerder(s) en TeamledenShare-board
      B)(1.0)SB-Team-Content dat eventueel vertrouwelijke bedrijfsinformatie bevatAfhankelijk van de content (inhoud)Beheerder(s) en TeamledenShare-board
      C)(1.2)SB-Persoonsgegevens (van Gebruikers)
      Beheerder(s) en TeamledenBeheerder(s)
      Share-board
      D)(2.0)Financiële gegevens 
      Beheerder(s)
      Share-board
      Share-board



      ad. A). AVG van toepassing voor Content van Gebruikers:

      Dat betekent dat op basis van de AVG en voor 'SB-Team-Content' geldt dat

      als (bijzondere) persoonsgegevens (zoals patientengegevens) worden gedeeld en bewaard:

      • de Gebruikers de Verwerkingsverantwoordelijke zijn en
      • Share-board de Verwerker is en
      • de personen die de persoonsgegevens betreffen Betrokkenen zijn.

      >> Bij ISMS 18 wordt uitgelegd hoe Gebruikers kunnen voldoen aan NEN7510 en de AVG indien patiëntengegevens worden gedeeld en bewaard.



      ad. B). AVG/GDPR van NIET toepassing voor Content van Gebruikers:

      Indien SB-Team-Content geen (bijzondere) persoonsgegevens bevat is de AVG NIET van toepassing. Het vaststellen of persoongegevens worden verwerkt met Share-board is een verantwoordelijkheid van de Beheerder(s) van een Team. De Share-board-organisatie heeft en neemt geen inzicht in de Team-Content.


      >> Bij ISMS 18 wordt uitgelegd hoe Gebruikers extra maatregelen kunnen nemen om met zeer vertrouwelijke (High Secure) bedrijfsgegevens te kunnen omgegaan. Hoewel deze instructies geënt zijn op de NEN7510, NEN7512 en NEN7513 zijn ze ook zeer geschikt voor extra vertrouwelijke samenwerkingen in het algemeen.



      ad. C). De (1.2) SB-Persoonsgegevens van Gebruikers

      De (1.2) SB-Persoonsgegevens van Gebruikers betreft (minimaal) het email-adres en zijn door de deels door de Gebruikers zelf en door Beheerder(s) aan te passen en te verwijderen. De Gebruikers zijn hier Verwerkingsverantwoordelijke én Betrokkenen. De mogelijkheden om persoonsgegevens aan te passen en te verwijderen zijn hierboven gegeven. Share-board kan - gelet op de aard van de applicatie - deze Persoonsgegevens niet veranderen of verwijderen.



      ad. D). De (2.0) Financiële gegevens

      De (2.0) Financiële (lees: factuur-)gegevens kunnen door de Beheerder(s) zelf worden ingevoerd en aangepast, tot het moment dat een factuur of een saldo-overzicht door Share-board is gegenereerd en vastgelegd. Daarna geldt de Archiefwet en de fiscale regelgeving. 


      Share-board geeft transparantie over de verwerking van jouw gegevens

      Verwerkingsovereenkomst


      Deze Verwerkersovereenkomst is opgesteld in het kader van de AVG en is bedoeld voor en is van toepassing op Gebruikers die (Bijzondere) Peroonsgegevens verwerken met Share-board. Gebruikers dienen zelf vast te stellen of zij (Bijzondere) Peroonsgegevens verwerken met Share-board en wat de rechten en plichten zijn uit de AVG. Deze Verwerkersovereenkomst is gebaseerd op de AVG en het gebruik van Share-board als Verwerker en geldt - standaard - voor alle Gebruikers van Share-board. Indien een Gebruiker een wijziging wenst op deze standaard Verwerkingovereenkomst, kunnen zij een verzoek daartoe doen aan Share-board via info@Share-board.nl.

      Deze Verwerkingsovereenkomst is een onderdeel van de Voorwaarden van Share-board.

      Share-board heeft stringente technische en organisatorische beveiligingsmaatregelen genomen die het verwerken van Bijzondere Persoonsgegevens (patientengegevens) faciliteren.


      Het gebruik van persoonsgegevens met Share-board

      Gebruik1

      Persoonsgegevens van Gebruikers van Share-board betreffen de inlog- en profielgegevens van Gebruikers van Share-board met als doel die Gebruikers toegang te geven tot Share-board en te ondersteunen bij het gebruik van Share-board. In dit geval is Share-board de Verantwoordelijke, de Gebruiker de Betrokkene en zijn de leveranciers van Share-board de Verwerkers. De Verwerkingsovereenkomst is op Gebruik1 niet van toepassing. De AVG is uiteraard wel van toepassing op Gebruik1: lees het Privacy-statement.


      Gebruik2

      Persoonsgegevens die Gebruikers van Share-board bewerken met Share-board, indien Gebruikers informatie over Personen onderling vastleggen en delen met Share-board, met als doel om - bijvoorbeeld - de communicatie en administratie met en voor leden te voeren of om informatie te delen over en met patiënten of cursisten. De ISMS beschrijft de wijze waarop Gebruikers met Share-board.nl werken. In dit geval zijn de Gebruikers de Verantwoordelijken en de Verwerkers, de Personen waarover de Persoonsgegevens worden verwerkt met Share-board de Betrokkenen en is Share-board (en haar leveranciers) de Verwerker. De Verwerkingsovereenkomst is op Gebruik2 van toepassing.


      Achtergrondinformatie

      Pagina ISMS 02.0 De Functionele setting van de Gebruikers beschrijft de wijze waarop Gebruikers met Share-board.nl werken.

      Het Privacy-statement van Share-board vind je hier.

      Bij gegevens vind je het soort gegevens dat door Gebruikers met Share-board kunnen verwerken en door Share-board BV worden verwerkt.

      Pagina www.share-board.nl/gegevens/#verantwoordelijkheden beschrijft welke rollen Share-board BV onderscheidt en welke verantwoordelijkheden gelden bij het verwerken van Persoonsgegevens met Share-board.nl.

      Pagina www.share-board.nl/gegevens/#vertrouwelijkheidsniveaus beschrijft welke vertrouwelijkheidsniveaus van gegevens die met Share-board.nl worden verwerkt.

      Pagina www.share-board.nl/beveiliging/isms geeft het Information Security Management Systeem van Share-board BV dat voldoet aan de ISO27001 (inclusief Bijlage A) en NEN7510 (inclusief NEN7512 en NEN7513) en gecertificeerd is door Kiwa: www.share-board.nl/beveiliging/#certificaten tegen de ISO27001 en NEN7510.

      Pagina www.share-board.nl/beveiliging/isms/isms18 beschrijft de manier waarop Gebruikers de vertrouwelijkheid van Team-Content kunnen borgen met Share-board.nl.


      Definities verwerkingsovereenkomst

      Partijen: Gebruiker als Verwerkingsverantwoordelijke en Share-board als Verwerker worden hieronder gezamenlijk aangeduid als Partijen.

      Team-Content: de content die door Gebruikers worden verwerkt met behulp van Share-board. Lees hier meer over de gegevens die Share-board verwerkt. Een typische samenwerking tussen de Gebruikers is gegeven bij ISMS 2.0 Functionele Setting.

      Persoonsgegeven: Elk gegeven betreffende een natuurlijke persoon dat herleidbaar kan zijn naar die natuurlijke persoon.

      Bijzondere Persoonsgegevens: Persoonsgegevens betreffende ondermeer gezondheid, geloof, politieke voorkeur en geaardheid.

      Share-board: het cloud platform waarmee Gebruikers gegevens - waaronder Persoonsgegevens - kunnen opslaan, bewerken en delen. Met Share-board wordt ook Share-boardBV bedoeld dat Share-board functionaliteit aanbiedt voor Gebruik en de Verwerker is in het kader van deze Verwerkingsovereenkomst.

      Verwerken: elke handeling of elk geheel van handelingen met betrekking tot (Bijzondere) Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van ter beschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens; 

      Gebruiker: Beheerders en Teamleden die tezamen Team-Content verwerken in een of meer Share-board-team(s) en is de Verwerkingsverantwoordelijke in het kader van deze Verwerkingsovereenkomst.

      Datalek: een inbreuk op de beveiliging van (Bijzondere) Persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot - of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot - de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte (Bijzondere) Persoonsgegevens, en die wellicht tot immateriële schade kan leiden of een risico inhoudt voor de rechten en vrijheden van Betrokkene(n);

      Pseudonimiseren: betreft versleutelen van gegevens, waarbij een sleutel wordt bewaard en gegevens terug leesbaar te maken zijn met de sleutel. Anonimiseren betreft het willekeurig versleutelen, waarbij de sleutel niet wordt bewaard en gegevens nimmer meer terug te herleiden zijn.

      Betrokkene: degene op wie de (Bijzondere) Persoonsgegevens betrekking hebben. 

      AP: de Autoriteit Persoonsgegevens, het zelfstandig bestuursorgaan dat in Nederland bij wet als toezichthouder is aangesteld voor het toezicht op de Verwerking van Persoonsgegevens.

      AVG: de Algemene Verordening Gegevensbescherming. Engels: GDPR: General Data Protection Regulation.

      Verwerkersovereenkomst: deze verwerkersovereenkomst.


      Toepassingsgebied verwerkingsovereenkomst

      1. Deze Verwerkersovereenkomst is van alleen toepassing op het Verwerken van Persoonsgegevens van Gebruikers door Share-board (Gebruik2). Op Gebruik1 is de AVG wel van toepassing maar niet deze Verwerkingsovereenkomst. Bij AVG wordt beschreven hoe Share-board de AVG invult voor Gebruik1.


      Verplichtingen van Share-board

      2. Share-board als Verwerker zal de Persoonsgegevens uitsluitend ten behoeve van de Gebruiker als Verwerkingsverantwoordelijke Verwerken en slechts voor zover noodzakelijk voor de dienstverlening van Verwerker aan Verwerkingsverantwoordelijke, zoals gegeven in ISMS 2.0 Functionele setting.

      3. Share-board zal ervoor zorgen dat haar verplichtingen uit deze Verwerkersovereenkomst worden opgelegd aan de Leveranciers die Persoonsgegevens verwerken onder het gezag van Share-board.

      4. Share-board zal, voor zover dat binnen haar macht ligt, bijstand verlenen aan de Gebruiker in het nakomen van zijn verplichtingen: om verzoeken van Betrokkenen te beantwoorden die hun rechten uitoefenen onder de AVG met de juiste beveiligingsmaatregelen voor de Verwerking van de (Bijzondere) Persoonsgegevens en het melden van Datalekken aan de AP en de Gebruikers.

      5. Eventueel te maken kosten hiervoor zullen in rekening gebracht worden bij de Gebruiker. Dit zal tevoren aangeven worden.

      6. In het geval dat een Betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten richt aan Share-board, zal Share-board het verzoek doorsturen aan Gebruiker en die het verzoek zal afhandelen en de Betrokkene daarvan op de hoogte stellen.


      Verplichtingen van gebruikers

      1. De Gebruikers zijn verantwoordelijk voor het toepassen van de AVG indien de Gebruikers Persoonsgegevens verwerken van andere personen dan de Gebruikers zelf.

      2. Indien Gebruikers Bijzondere Persoonsgegevens zoals Zorg- of Patientengegevens, verwerken dienen de Gebruikers in het kader van de NEN7510 extra voorzieningen te treffen. Die voorzieningen zijn als tip gegeven op bij ISMS 18.0.

      3. De Gebruiker is als Verwerkingsverantwoordelijke voor Gebruik2, volledig verantwoordelijk is voor het vaststellen van het doel en de middelen voor de verwerking van (Bijzondere) Persoonsgegevens. Het is Share-board als Verwerker onbekend met de (Bijzondere) Persoonsgegevens die in Share-board worden opgeslagen door Verwerkingsverantwoordelijke en met welk doel dat gebeurt. Het is aan de Gebruiker om te bepalen dat zij de (Bijzondere) Persoonsgegevens onder de overeengekomen voorwaarden bij Verwerker mag opslaan en verwerken. Het volgende deel beschrijft de verantwoordelijkheden die gelden bij het verwerken van (Bijzondere) Persoonsgegevens met Share-board.

      4. Gebruiker zal Share-board op de hoogte stellen van de identiteit van haar functionaris voor de gegevensbescherming en/of vertegenwoordiger, voor zover zij die heeft aangesteld. Wijzigingen dienen onverwijld te worden doorgegeven aan Share-board. Indien Gebruiker geen functionaris of vertegenwoordiger opgeeft, gaat Share-board ervan uit dat de Beheerder de vertegenwoordiger is.

      5. Gebruiker garandeert dat de inhoud, het gebruik van en de opdracht tot de Verwerkingen van de (Bijzondere) Persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.


      Leveranciers

      1. Share-board maakt gebruik van derden. De contactpagina op de website van Share-board toont die leveranciers. Met de Leveranciers zijn Verwerkersovereenkomsten overeenkomstig de AVG van kracht. Share-board is vrij om andere Leveranciers te kiezen. Tussen Leveranciers en Share-board zijn eveneens verwerkersovereenkomsten van kracht die deze Verwerkersovereenkomst ondersteunen.


      Doorgifte van gegevens

      1. Share-board mag de Team-content inclusief de (Bijzondere) Persoonsgegevens verwerken in landen binnen de Europees Economische Ruimte (EER). Doorgifte naar landen buiten de EER is zonder toestemming van de Gebruiker verboden.


      Beveiliging

      1. Share-board heeft, rekening houdend met de stand van de techniek, de uitvoeringskosten en de haar bekende informatie over de verwerkingsdoeleinden en de risico’s van de Verwerking, passende technische en organisatorische maatregelen genomen voor het laten Verwerken van (Bijzondere) Persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige Verwerking waaronder het onbevoegde toegang tot of ongeoorloofde aantasting, wijziging of verstrekking van de (Bijzondere) Persoonsgegevens). 

      2. Het deel beveiliging beschrijft de maatregelen die Share-board heeft genomen voor het passende gewenste (hoge) beveiligingsniveau.

      3. Share-board mag de maatregelen op ieder moment eenzijdig aanpassen doch zal altijd hetzelfde of een hoger beveiligingsniveau garanderen.

      4. Share-board werkt conform standaarden die geacht worden te voldoen aan de beveiligingseisen rekening houdend met de stand van de techniek.

      5. Share-board zorgt ervoor dat periodiek een audit of test wordt gehouden door een gekwalificeerde derde partij, waarin deze het oordeel en de bevindingen over de beveiligingsmaatregelen in het licht van deze Verwerkersovereenkomst en het door Share-board gestelde doel en toegepaste standaarden. Het auditrapport wordt bij beveiliging getoond, teneinde Gebruikers in staat te stellen om de naleving objectief vast te stellen.


      Meldplicht

      1. Verwerkingsverantwoordelijke is te allen tijde verantwoordelijk voor de wettelijk vereiste melding van een Datalek aan de AP en/of Gebruikers.

      2. Om Gebruiker in staat te stellen aan deze wettelijke plicht te voldoen, stelt Share-board de Gebruiker onverwijld en indien mogelijk binnen 24 uur nadat is vastgesteld dat sprake is van een Datalek, op de hoogte van een eventueel Datalek. Melding wordt gedaan aan de Beheerder(s) van de Betrokken team(s). 

      3. De mededeling door de Share-board maakt in elk geval melding van het feit dat er een Datalek is geweest. Daarnaast beschrijft de mededeling: de aard van het Datalek, waar mogelijk onder vermelding van de categorieën van Betrokkenen en, bij benadering, de duur en omvang van het Datalek; de contactgegevens van helpdesk van Share-board voor meer informatie; de waarschijnlijke gevolgen van het Datalek; de maatregelen die Share-board voorstelt of neemt om het Datalek aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.


      Geheimhouding

      1. Op alle (Bijzondere) Persoonsgegevens die Share-board van Gebruiker bewerkt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Share-board zal Team-Content deze informatie nimmer voor een ander doel gebruiken dan waarvoor zij deze verwerkt en nimmer ontsluiten (naar derden).


      Overdragen

      1. Indien Share-board op grond van een wettelijke verplichting gehouden is om (Bijzondere) Persoonsgegevens aan een derde te verstrekken, zal zij Gebruiker hiervan tevoren op de hoogte stellen, tenzij dit verboden is onder de betreffende wetgeving. De Team-Content is gepseudonimiseerd (versleuteld) en kan op bevel van een rechter worden ontsleuteld door Share-board en overdragen aan de door de rechter aangegeven overheidsinstantie.


      Audit

      1. Gebruiker kan de eerder genoemde auditrapporten inzien via de website. Indien het in het kader van haar verantwoordingsplicht voor Gebruiker redelijkerwijs noodzakelijk is om, in aanvulling op dit auditrapport, nadere zekerheden te verkrijgen dan zal Gebruiker dit faciliteren en zullen Partijen in overleg treden over de nadere invulling en uitwerking daarvan. Share-board is gerechtigd de kosten daarvoor in rekening te brengen.

      2. Gebruiker heeft het recht om audits uit te laten voeren op de naleving van deze Verwerkersovereenkomst indien dit gebeurt door of namens een wettelijke toezichthouder (“right to examine/right to audit”) op grond van een wettelijke bevoegdheid tot controle van naleving van de AVG of andere op Gebruiker toepasselijke wet- en regelgeving. Op verzoek van Share-board toont Gebruiker aan dat sprake is van een dergelijke wettelijke bevoegdheid. Share-board zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante gegevens tijdig ter beschikking stellen. De kosten voor de audit worden door Gebruiker gedragen. Share-board is gerechtigd redelijke kosten voor deze bijstand aan Gebruiker door te en zal Gebruiker dit zo mogelijk tevoren aangeven.

      3. De bevindingen naar aanleiding van de uitgevoerde audit zullen aan Share-board beschikbaar worden gesteld en door Share-board worden beoordeeld en kunnen, naar eigen goeddunken van Share-board en op de wijze zoals Share-board zelf bepaalt, worden doorgevoerd door Share-board. 


      Aansprakelijkheid

      1. De aansprakelijkheid van Share-board jegens Gebruiker voor schade (waaronder schade als gevolg van eventuele aanspraken van de AP en/of Betrokkenen en alle daarmee verband houdende kosten) als gevolg van een toerekenbare tekortkoming door Share-board in de nakoming van zijn verplichtingen onder deze Verwerkersovereenkomst, de AVG, dan wel uit onrechtmatige daad of anderszins, is per gebeurtenis (waarbij een reeks van opeenvolgende gebeurtenissen geldt als één gebeurtenis) beperkt tot de licentie-inkomsten voor Share-board afkomstig van de betrokken Gebruiker opgeteld van de laatste 12 maanden. 

      2. Gebruiker vrijwaart Share-board voor schade (waaronder schade als gevolg van eventuele aanspraken van de AP en/of Betrokkenen, en alle daarmee verband houdende kosten), indien deze aanspraak een toerekenbare tekortkoming betreft van Gebruiker van zijn verplichtingen onder deze Verwerkersovereenkomst of de AVG.


      Duur en beëindiging

      1. Deze Verwerkersovereenkomst komt tot stand door het starten van een ‘Share-board Team’ in Share-board. Deze Verwerkersovereenkomst duurt zo lang als Gebruiker gebruik maakt van dienstverlening van Share-board, waarbij Share-board de Gebruiker (Bijzondere) Persoonsgegevens laat verwerken.

      2. Bij beëindiging van de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, heeft de Gebruiker de mogelijkheid om een download te maken van alle Team-Content inclusief de (Bijzondere) Persoonsgegevens. Na de aangegeven spijt-periode verwijdert Share-board de Team-Content inclusief de (Bijzondere) Persoonsgegevens definitief.


      Overige bepalingen

      1. In geval van strijdigheid van de bepalingen van deze Verwerkersovereenkomst met de Algemene Voorwaarden van Share-board prevaleert deze Verwerkersovereenkomst. 

      2. Deze Verwerkersovereenkomst is aangegaan met het doel te voldoen aan de vereisten gesteld door de AVG aan de Verwerking van (Bijzondere) Persoonsgegevens door Verwerker ten behoeve van Gebruiker.

      3. Share-board is gerechtigd deze Verwerkersovereenkomst van tijd tot tijd eenzijdig te herzien. Ondermeer indien de wettelijke vereisten dat vergen en ten einde weer te voldoen aan de wettelijke aanpassing. Een nieuwe versie zal worden getoond op de website van Share-board. Share-board zal via een Notificatie in Share-board de Gebruikers daarvan op te hoogte stellen en een nieuwe versie van de Verwerkersovereenkomst wordt getoond op de website van Share-board.

      4. De Gebruiker kan op elk moment de dienstverlening beeindigen door het verwijderen van de teams van de Gebruiker. Na de aangegeven spijt-periode verwijdert Share-board de Team-Content inclusief de (Bijzondere) Persoonsgegevens definitief.

      5. Op de Verwerkersovereenkomst en de uitvoering daarvan is het Nederlands recht van toepassing. Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin Share-board gevestigd is.


      Share-board BV

      Share-board.nl

      1 april 2018


      Privacy voorwaarden


      De AVG (GDPR) is per mei 2018 van toepassing: de AVG betreft de Europese verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming). 


      Verwerkingsovereenkomst

      Hier vind je de Verwerkingsovereenkomst. Deze is van toepassing is wanneer Gebruikers Persoonsgegevens of Bijzondere Persoonsgegevens verwerken als Team-Content in één of meerdere teams van Share-board. De Verwerkingsovereenkomst is een onderdeel van Voorwaarden van Share-board.


      Respect

      Share-board respecteert de privacy van gebruikers. Share-board heeft maatregelen genomen om hier invulling aan te geven en te voldoen aan de AVG. Lees hier de gegevens die Share-board verwerkt en de verantwoordelijkheden gebruikers zelf.


      Closed user groups

      Share-board is bedoeld voor 'closed user groups' (teams), waarin bekenden elkaar toegang verschaffen. Gebruikers worden als Teamleden uitgenodigd door de Beheerder van een Share-board-team. De Beheerder is een Gebruiker die als eerste een Share-board-team start en daarna andere Gebruikers als Teamleden uitnodigt. Bekenden zijn bijvoorbeeld collega's, bestuursleden of partners. Een Gebruiker kan in meerdere Teams actief zijn. Share-board zal nooit een Gebruiker uitnodigen. Bij ISMS 2.0 Functionele setting wordt de wijze beschreven waarop Gebruikers met Share-board werken.


      Beperkt gebruik van persoonsgegevens

      Persoonsgegevens die worden opgeslagen beperken zich in eerste instantie tot het emailadres. Het emailadres wordt in eerste instantie door de Beheerder aangemaakt als onderdeel van de uitnodiging. Uitgenodigde Gebruikers kunnen zichzelf direct (of op een later moment) deactiveren en niet (meer) participeren. Een Gebruiker kan zelf voor- en achternaam en andere persoonlijke gegevens opvoeren, bewerken en verwijderen bij Mijn Profiel. Lees hier de gegevens die Share-board verwerkt en de verantwoordelijkheden gebruikers zelf.


      Non-disclosure

      Share-board verklaart dat Persoonsgegevens en Team-Content nimmer aan derde partijen of personen worden aangeboden.


      Recht tot inzage

      Gebruikers hebben conform de AVG recht op inzicht in de Persoonsgegevens die worden bewaard. Een Gebruiker heeft toegang en inzicht tot zijn/haar persoonsgegevens onder 'Mijn profiel'. De Gebruiker kan zelf zijn/haar Persoonsgegevens aanpassen. Andere Persoonsgegevens dan zichtbaar voor de Gebruiker, worden niet opgeslagen. Hier vind je de gegevens die Share-board verwerkt ten behoeve van Gebruikers.


      Tweetrapsverificatie

      1. De Beheerder nodigt een Teamlid uit via Share-board op basis van het emailadres dat bij de beheerder bekend is; bijvoorbeeld het emailadres van de organisatie waarvoor beiden werken. Het teamlid verifieert het opgegeven emailadres door de klikken op een link in de uitnodigingsmail.

      2. De Beheerder kan voor een of meer team(s) de tweetrapsverificatie standaard aan-zetten (High Secure-modus). Bij elke inlog wordt gevraagd de code in de geven die via de email is gegeven door Share-board. Deze twee-trapsverificatie werkt dan voor alle teams van die Gebruiker.


      Gebruiker verwijderen

      Een Teamlid heeft de mogelijkheid om zichzelf te verwijderen uit een of meer teams bij Instellingen / Mijn Profiel / Mijn teams. Een Beheerder kan eveneens een Teamlid verwijderen. Een Beheerder kan zichzelf verwijderen, indien hij/zij een ander Teamlid tot Beheerder heeft gepromoveerd. Share-board kan en en zal nimmer een gebruiker verwijderen. Zie De-activatie.


      Verwijdering van team-content

      Gebruikers in een Team kunnen zelf hun Team-Content-items verwijderen (uit de prullenbak); tenzij de Beheerder 'permanent verwijderen' heeft uitgeschakeld. De Beheerder van een High Secure (zorg) team kan instellen dat Team-content niet verwijderd wordt (tenzij op expliciet verzoek van bijvoorbeeld een patiënt). Lees verder bij High Secure samenwerken. Share-board kan en en zal nimmer zelfstandig Persoonsgegevens en Team-Content verwijderen. Alle Team-Content en Persoonsgegevens kunnen door een Beheerder van een team volledig verwijderd worden van de database. Share-board hanteert een back-up-periode van één maand t.b.v. een eventuele restore. Indien door een beheerder een team is verwijderd kunnen na die back-up-periode nimmer Persoonsgegevens en Team-Content worden teruggehaald.


      Beveiliging

      Bij beveiliging zijn de maatregelen beschreven die door Share-board genomen zijn voor de bescherming van en tegen de ontsluiting van de Team-Content en Persoonsgegevens van gebruikers. Zie ook de Voorwaarden van Share-board ten aanzien van het gebruik van Team-Content.


      De-activatie

      Gebruikers kunnen door de Beheerder van een team worden gedeactiveerd. Een Gebruiker kan zichzelf deactiveren voor een team. Alleen het gebruikte email-adres blijft dan bewaard, gekoppeld aan de Team-content (de items) die door de Gebruiker zelf zijn aangemaakt of bewerkt. Het email-adres krijgt na de-activatie de toevoeging 'vertrokken', zodat de achterblijvende teamleden weten dat deze gebruiker niet meer actief is binnen dat team. Dit beleid is gelijk aan elke organisatie, waar een persoon als auteur informatie heeft bewerkt en waar de informatie achterblijft in die organisatie. Zie ook 'Gebruiker verwijderen'.


      Share-board BV

      Share-board.nl

      1 april 2018

      Beveiliging


      Wij nemen jullie gegevens zeer serieus. Daarom hebben we relevante beveiligingsmaatregelen getroffen. Hieronder vind je een inleiding tot de beveiligingsmaatregelen die we nemen.


      ISO27001

      Het Information Security Management System (ISMS) van Share-board voldoet aan ISO27001:2013, de internationale standaard voor informatiebeveiliging.


      NEN7510

      Bovendien mogen zorgprofessionals patiëntengegevens bewerken met Share-board, omdat Share-board voldoet aan de informatiebeveiligingsnorm voor de zorgsector: NEN7510:2011 (inclusief de NEN7512:2015 en NEN7513:2010).


      CERTIFICATEN

      Share-board is door KIWA gecertificeerd voor de ISO27001 en NEN7510 (zorg- cq patiëntengegevens). Hieronder kun je de rapporten en certificaten downloaden:


      ISO27001 Certificaat van Share-board BV


      NEN7510 Certificaat van Share-board BV


      Auditrapport Share-board BV ISO27001 NEN7510 Kiwa



      Share-board kan en mag gebruik worden om patiëntengegevens te bewerken, maar je kunt alle soortengegevens bewerken met Share-board. De NEN7510 geeft het extra vertrouwen dat ALLE soorten gegevens heel goed beveiligd zijn.


      VVT, Verklaring van Toepassing (SOA, Statement of Applicability)

      Je kunt de VVT hier downloaden: share-board-feb2019-publicatieversie.pdf


      1.0 Doel

      Share-board biedt een goed beveiligd platform om zeer vertrouwelijk informatie te kunnen delen en te kunnen samenwerken in een vertrouwde omgeving. Privacy en security worden terecht steeds belangrijker gevonden in de markt en de maatschappij. Wij maken ons sterk dat jullie gegevens bij ons, minstens even goed of beter beveiligd zijn dan bij jullie zelf.

      We hebben Share-board geschikt gemaakt voor high-secure toepassingen, voor industrie, overheid en de zorg. Share-Board is ondermeer geschikt voor het bewerken van 'Bijzondere persoonsgegevens' zoals patienten/gezondheidsgegevens. Share-board voldoet aan de AVG (GDPR) en aan de NEN7510. Lees hier de maatregelen voor het beschermen van de privacy. Lees hier de gegevens die Share-board verwerkt.

      Concurrentiepositie.

      Het een onderscheidende factoren omdat geen van de concurrenten de high-security-maatregelen hebben genomen (september 2016).

      Normering van de doelstellingen.

      98% Beschikbaarheid per maand. Lees hier de effectieve beschikbaarheid.

      100% Betrouwbaarheid: 0 incidenten per jaar. Lees hier de effectieve betrouwbaarheid.

      100% Integriteit: 0 incidenten per jaar. Lees hier de effectieve integriteit.

      100% Privacy: 0 incidenten per jaar. Lees hier de effectieve privacybescherming.

      2.0 Hosting



      De Share-board-servers staan veilig op een locatie in Nederland bij CloudVPS (hosting-dienstverlener). CloudVPS is eveneens ISO/IEC 27001:2005 en NEN7510 gecertificeerd.


      3.0 Logging. Makkelijk conformeren aan een kwaliteitssysteem.

      Vanaf release 4.3.2 worden alle bewerkingen door Gebruikers op de gegevens gelogd in elk Share-board team. Share-board maakt het teams makkelijker om samen te werken overeenkomstig een beveiligings- en/of kwaliteitssysteem als ISO9001, NEN751 of ISO27001. Immers, de principes van 'zeg wat je doet en laat zien dat je doet wat je zegt' werkt bij Share-board automatisch - zonder extra - handelingen. De logs zijn zichtbaar voor alle teamleden bij Teaminstellingen/Logging. Logs kunnen niet worden bewerkt, alleen worden gelezen. De Logging-functie voldoet aan NEN7513:2005 de norm voor de zorgsector.


      4.0 Versleuteling van de gegevens: database- en bestandsencryptie.

      Vanaf release 4.3.2 zijn alle bestanden en gegevens van de teams versleuteld (encrypted) opgeslagen. Voor de encryptie/decryptie van database en bestanden wordt gebruik gemaakt van het AES-algoritme met een sleutel van 256-bits (AES-256). Share-board onderscheidt zich met de versleuteling van de database en bestanden ten opzichte van de andere samenwerkingsapplicaties in de wereld. AES-256 wordt door experts beschouwd als de meest veilige versleutelingsmechanisme van dit moment en wordt ook door banken toegepast.

      5.0 Versleuteling van de verbindingen




      Share-board maakt gebruik van een beveiligde/versleutelde (https) verbinding op basis van een betrouwbaar SSL-certificaat, ook op basis van de AES-256-versleuteling. Dat betekent dat uw verbinding met onze server niet kan worden afgeluisterd.


      6.0 Beveiliging 'by design'



      Alle software is speciaal ontwikkeld voor Share-board. De beveiligingsmaatregelen zijn in het ontwerp reeds ingebed. De applicatie is beschermd tegen onder andere SQL-injecties, XSS, Url-manipulaties. Lees hier ook waarom het werken met Share-board intrinsiek veilig is.


      7.0 Externe audits en testen door derden

      Periodiek worden door derden (security-specialisten) zoals On2iT PEN(etratie)testen (ethical hack) en vulnerability assessments uitgevoerd op Share-board. De aanbevelingen actualiseren de beveiligingsmaatregelen. Voor jouw en onze geruststelling.


      8.0 Kwetsbaarheid door gebruikers zelf



      Share-board geeft sterke wachtwoorden uit. Openstaande sessies worden na 20 minuten gesloten. Dat verkleint de kans dat onbeheerde computers door onbevoegden worden benaderd.


      9.0 Tweetrapsvalidatie bij wachtwoord-reset, de eerste uitnodiging en (optioneel) bij elke inlogpoging.




      Tweetrapsverificatie is verplicht voor nieuwe gebruikers en voor het resetten van wachtwoorden door middel van gecodeerde links in de mail die bevestigd moeten worden. Account contactverificatie maakt dat een persoon die wordt uitgenodigd door een Beheerder van expliciet bevestigt dat de inloggegevens correct zijn alvorens toegang te krijgen tot Share-board. Tweetrapsverificatie voor elke inlogpoging is als optie door de Beheerder in te stellen, waarbij Share-board via het bekende emailadres een code geeft dat nodig is om in te loggen.


      10.0 Interne audits en directiebeoordelingen

      Elk kwartaal evalueren we onze organisatorische en technologische maatregelen en bepalen we of en hoe we dienen bij te sturen om de hierboven gegeven doelen te borgen (PDAC-cirkel).


      11. ISO27001, NEN7510, NEN7512 en NEN7513

      Hier tref je het Information Security Management System (ISMS) van Share-board. Dit ISMS voldoet aan de internationale norm ISO27001 én aan de NEN7510. Hoewel we de organisatorische en technologische maatregelen hierboven hebben genomen, bereiden we ons ook voor om ons ISMS gecertificeerd te hebben conform deze normen. Voor de high secure toepassing en voor de zorg tref je hier specifieke uitleg en enkele instructie die de normen vragen van de Gebruikers.


      12. Maatwerk

      Desgevraagd kunnen we met uw security officer de genomen maatregelen bespreken en indien gewenst maatwerkvoorzieningen treffen zoals private/on site hosting, single login- en VPN-faciliteiten.


      13. Meer informatie?

      We kunnen helaas niet de informatie over al onze beveiligingsmaatregelen openlijk op deze website zetten. Mocht je meer informatie willen, neem dan persoonlijk contact met ons op.


      Share-board BV

      18 februari 2019



      Het Information Security Management System (ISMS) van Share-board


      Dit ISMS voldoet aan ISO271001 en NEN7510 en is gecertificeerd door Kiwa in oktober 2017. Zie hier de certificaten. Dit ISMS is bijgewerkt op 18 februari 2019.


      ISMS 01.0 Beleid en Doelstelling

      Het doel van de beveiliging is ook beschreven bij beveiliging en privacy. De formele tekst volgt hieronder.



      Artikel ISMS 1.1 Doel van de organisatie

      Het doel van Share-board is om gebruikers makkelijk en veilig te kunnen laten samenwerken, tevreden klanten te houden en voldoende winst te kunnen maken voor een duurzame dienstverlening en doorontwikkeling van product en dienst. De MVO-doelstelling van Share-board is vertaald naar het feit dat gebruikers van non-profit-organisaties geen gebruikersfee hoeven te betalen.


      Artikel ISMS 1.2 Context (maatschappij, technologie en kaders).

      Privacy en security worden steeds belangrijker worden. Dit is een algemene trend in de markt en in de maatschappij. Met name bij professionele gebruikers. Dreigingen op het internet en misstappen van technologiebedrijven geven een gevoel van wantrouwen en onveiligheid in de cyberspace. Het ncsc.nl (nctv.nl) geeft elk jaar een actueel dreigingsbeeld lees verder het dreigingsbeeld door NCSC. Share-board dient te voldoen aan de wetgeving en aan marktstandaarden omwille van het vertrouwen van klanten in de dienst.


      Artikel ISMS 1.3 Doel en beleid van de informatiebeveiliging.

      Share-board wil de veilige haven zijn. De vertrouwelijkheid van content en van persoonsgegevens is bij Share-board vanzelfsprekend. Share-board is geschikt en wil geschikt blijven voor gebruikers in high-secure marktsegmenten zoals de zorgsector, overheden en high-tech-bedrijven; waar de vertrouwelijkheid van eminent belang is. Voor Share-board is security ook een competitief voordeel omdat concurrenten (nog) nauwelijks high-security-maatregelen hebben genomen (september 2016).


      Artikel ISMS 1.4 Beveiligingsdoelstelling

      Share-board biedt een goed beveiligd platform om zeer vertrouwelijk informatie te kunnen delen en te kunnen samenwerken in een vertrouwde omgeving. Privacy en security worden terecht steeds belangrijker gevonden in de markt en de maatschappij. We hebben Share-board geschikt gemaakt voor high-secure professionele toepassingen, als industrie, dienstverlening, overheid en de zorg. Wij maken ons sterk dat gegevens van gebruikers, minstens even goed of beter beveiligd zijn dan bij hen zelf. Artikel ISMS 7.0 ‘De normering en realisatie’ geeft de doelnormeringen en de realisatie per maand.


      Artikel ISMS 1.5 Privacydoelstelling

      Share-board respecteert de privacy van gebruikers. Share-board heeft maatregelen genomen om hier invulling aan te geven. Share-Board is ondermeer geschikt voor het bewerken van 'Bijzondere persoonsgegevens' zoals patienten/gezondheidsgegevens. Share-board voldoet aan de AVG (GDPR) en aan de NEN7510. Lees hier de maatregelen voor het beschermen van de privacy.

      Lees hier de gegevens die Share-board verwerkt en de verantwoordelijkheden gebruikers zelf. Artikel ISMS 7.0 ‘De normering en realisatie’ geeft de doelnormeringen en de realisatie per maand.


      Artikel ISMS 1.6 De reikwijdte

      De reikwijdte van het ISMS is gedefinieerd in de artikelen:

      ISMS 2.0 De Functionele setting

      ISMS 3.0 De Betrokken Actoren

      ISMS 4.0 De Technische setting

      ISMS 5.0 Het onderwerp van de ISMS


      Artikel ISMS 1.7 De vastlegging van het ISMS

      Het ISMS is op topniveau gepubliceerd op de website van Share-board. De volledige ISMS is vastgelegd als artikelen in het Share-board-werkteam voor de Engineers, Security-Officer en Directie, genaamd: SB-Techniek. Vanwege de specifieke rollen en verantwoordelijkheden - ook van Gebruikers - in het kader van de AVG zijn expliciet de type (persoons)gegevens, rollen en vertrouwelijkheidsniveaus bij gegevens.


      Artikel ISMS 1.8 Toepassingsgebied

      De teksten van de Toepassingsgebieden zijn de tekst zoals op de certificaten zijn vermeld.


      Artikel ISMS 1.8.1 Toepassingsgebied NEN7510

      Het ISMS van Share-board betreft de informatiebeveiliging en de privacybescherming van patiëntengegevens en/of bedrijfsgevoelige informatie alsmede de persoonsgegevens van de gebruikers zelf, die door gebruikers aan Share-board worden toevertrouwd om onderling makkelijk en vertrouwelijk te kunnen samenwerken.


      Artikel ISMS 1.8.2 Toepassingsgebied IS27001

      Het ISMS van Share-board betreft de informatiebeveiliging en de privacybescherming van bedrijfsgevoelige informatie en/of bijzondere persoonsgegevens alsmede de persoonsgegevens van de gebruikers zelf, die door gebruikers aan Share-board worden toevertrouwd om onderling makkelijk en vertrouwelijk te kunnen samenwerken.


      ISMS 2.0 De Functionele setting van de gebruikers

      Klanten zijn zakelijk professionele gebruikers zoals projectteams, managementteams en samenwerkingsverbanden. Klanten zijn ook semi-professionele gebruikers als besturen en commissies voor bijvoorbeeld verenigingen en stichtingen. Gebruikers loggen in via een browser vanaf een computer, tablet of smartphone op de Share-board browser-applicatie (SAAS). Een initiële gebruiker registreert zich op Share-board en start daarmee een nieuw Share-board-team en is direct de beheerder van dat Share-board-team. De beheerder kan andere gebruikers als Teamleden uitnodigen. Andere Teamleden zijn collega’s, partners, medewerkers en bestuursleden in professionele en semi-professionele samenwerkingssituaties. Wanneer de genodigden de uitnodiging accepteren kunnen zij onderling informatie delen en bewerken als in een Closed-User-Group.De website (share-board.nl) beschrijft de voordelen en de verschillende toepassingen. De support-site (support.share-board.nl) legt uit hoe je het gebruikt. De essentie is dat in elk Share-board-team de Teamleden/Gebruikers elkaar kennen, elkaar uitnodigen om deel te nemen, gegevens delen en bewerken en documenten delen en vertrouwelijkheid verwachten. Een Teamlid/Gebruiker kan in meerdere Share-board-teams tegelijk actief zijn. Elk Share-board-team is gesloten ten opzichte van andere teams. De website (share-board.nl) beschrijft enkele typische toepassingen. Lees bij Support welke Gebruikers er zijn en Lees hier wat de Verantwoordelijkheden zijn.


      ISMS 03.0 De Betrokken Actoren van Share-board

      De Actoren zijn De Gebruikers, De Engineers, De Directie en de Security-Officer. Voor Gebruikers zie ISMS 2.0. De Engineers zijn (1) de Ontwikkel-Engineers, zij richten zich op de Applicatie-ontwikkeling, het Applicatiebeheer en het functionele (server-)beheer en (2) de Hosting-Engineers voeren het technisch beheer uit van de servers. Share-board huurt Security-experts in als point-expertise ter ondersteuning, testen en advisering. De Directie van Share-board is verantwoordelijk voor het ISMS. De beide Directieleden zijn beiden beslissingsbevoegd en onderling uitwisselbaar. De rol van Security-officer wordt door één van de directieleden ingevuld. Zie ISMS 3.1 voor de actuele actoren. De Engineers werken vanuit de werklocaties van Actoren of vanuit hun thuiswerkplek. De Directie en de Security-officer werken vanuit verschillende kantoren in het land en vanuit de thuiswerkplek.


      ISMS 04.0 De Technische setting.

      Artikel ISMS 04.0 Share-board’s Configuratie (rechts) beschrijft de technische opzet van Share-board. Dit artikel wordt om beveiligingsredenen niet gepubliceerd.


      ISMS 05.0 Het onderwerp van de ISMS.

      De Productiedata is het onderwerp van dit ISMS. De Productiedata bevindt zich alleen op de servers van de Productie-omgeving. Productiedata bestaat uit content (gegevens opgeslagen in de database), de mutatielogs (ISMS 18.10) en de door Gebruikers geuploade bestanden. Lees welke gegevens worden verwerkt bij gegevens. Share-board hanteert 4 classificatieniveaus. Het toevoegen, aanpassen, downloaden en verwijderen van Productiedata met de Applicatie-software (de Share-board-applicatie), is het gebruiken van Share-board en is een verantwoordelijkheid van de Gebruikers zelf. Share-board faciliteert het bewerken door de Gebruikers van Productiedata. De Engineers en de Security-officer kunnen - technisch gezien - bij de onleesbare (versleutelde) Productiedata, doch enkel om bij te dragen aan de Doelen. Zij veranderen de Productiedata nimmer. Lees verder bij Artikel ISMS 11.0 Organisatorische maatregelen.


      ISMS 06.0 De wet, standaarden en richtlijnen.

      De Wet Bescherming Persoonsgegevens is van toepassing, waarbij we ook voldoen aan de voorwaarden om Bijzondere Persoonsgegevens te laten bewerken door Gebruikers. Het ISMS van Share-board voldoet aan ISO27001 en NEN7510, inclusief NEN7512 (gegevensuitwisseling) en NEN7513 (logging).


      Artikel ISMS 7.0 Reikwijdte, beveiligingsdoelen, de normering en de realisatie.

      De Reikwijdte (scope) van de ISO27001: betreft de privacybescherming van natuurlijke personen en de beveiliging van bedrijfsgevoelige informatie en (bijzondere) persoonsgegevens die door Gebruikers onderling worden gedeeld en bewerkt in Share-board teneinde vertrouwelijk te kunnen samenwerken.

      De Reikwijdte (scope) van de NEN7510: betreft de privacybescherming van natuurlijke personen en de beveiliging van patientengegevens die door zorgprofessionals onderling worden gedeeld en bewerkt in Share-board bij het gezamenlijk verlenen van zorg.

      Het ISMS richt zich op de (7.1) Beschikbaarheid, (7.2) Vertrouwelijkheid en (7.3) Integriteit van de Productiedata.


      Artikel ISMS 7.1 

      KPI: De Beschikbaarheid (data accessibility) normeren we als ‘voldoende hoog’: >= 98% per maand. Gebruikers beperken zich voornamelijk tot Nederland of Europa die tijdens kantooruren (CET) en ’s avonds gebruik maken van Share-board. Vooralsnog verwachten we geen klanten die high availability (24/7) verlangen. De hoster levert een beschikbaarheid van > 99% per maand. Een normale beschikbaarheid van 98% betekent dat het systeem enkele uren per maand, bij voorbeeld tussen 08.00 en 11.00 voor updates even uit de lucht is. We nemen de ruimte van 98% om gepland onderhoud (nieuwe releases, bug fixes en updates) aan de randen van de dag uit te voeren; bij uitzondering ’s nachts of in het weekend. Alle Productiedata wordt elke dag (04.00) gebackup-ed naar een andere beveiligde locatie. Theoretisch kunnen Gebruikers maximaal ca 23 uur kwijt zijn als gevolg van een Restore na een crash van de VPS. De betrouwbaarheid van de VPS-en zijn zeer hoog. Dit heeft tot dusver nog nooit plaatsgevonden en er is geen reden om aan te nemen dat dat binnenkort wel gaat gebeuren. Ongepland storingsonderhoud worden z.s.m. uitgevoerd. De pagina Onderhoud op de website geeft de gerealiseerde Beschikbaarheid over de laatste 6 maanden: de effectieve beschikbaarheid is ver boven 99,5%. De gerealiseerde/gemeten Beschikbaarheid wordt geregistreerd op de pagina betrouwbaarheid en logs.


      Artikel ISMS 7.2 

      KPI: De Vertrouwelijkheid (nothing goes out) normeren we als ‘zeer hoog’ met een normering als: het voldoen aan de AVG voor Bijzondere Persoonsgegevens. Het concrete doel voor Vertrouwelijkheid is: 100% Vertrouwelijkheid / Privacy: 0 incidenten per jaar. We willen ook gebruikers bedienen die een ’high secure’ omgeving nodig hebben, zoals professionals in de zorgsector. Bijzondere Persoonsgegevens zoals vastgelegd in de AVG kunnen door Share-board worden gefaciliteerd. We nemen dan ook stevige beveiligingsmaatregelen, waaronder het versleutelen van de Productiedata. De gerealiseerde/gemeten Vertrouwelijkheid wordt geregistreerd op de pagina transparantie.


      Artikel ISMS 7.3 

      KPI: De Integriteit (no data changed) normeren we als ‘zeer hoog’. Voor high secure toepassingen is data-integriteit een belangrijk aspect. Het concrete doel voor Integriteit is nader geformuleerd bij beveiliging: 100% Integriteit: 0 incidenten per jaar. Share-board past alleen legale en robuuste software toe (ISMS 11.4) en Productiedata verlaat nimmer de betrokken databases (ISMS 11.1). Share-board muteert niet zelfstandig en inhoudelijk de Productiedata, anders dan het faciliteren van bewerkingen door de Gebruikers. Alle gegevensmutaties worden gelogd (ISMS 18.10). Eventuele integriteitsproblemen, waarvan overigens de kans heel erg klein is, zijn daarmee toch herleidbaar en herstelbaar.

      De gerealiseerde/gemeten Integriteit wordt geregistreerd op de pagina transparantie.


      ISMS 08.0 Risico-analyse.

      Risico-analyse (RA) is bedoeld om de kans en impact van security-risico’s te bepalen en op basis daarvan vast te stellen welke maatregelen nodig zijn om de doelen te halen. De Security-Officer initieert minstens één maal per jaar een actualisatie van de risico-analyse. Zie rechts het artikel 'ISMS 08.0 Jaarlijkse risico-analyse': het geeft de opzet en resultaten van de uitgevoerde risico-analyses.


      ISMS 09.0 Keuze van de Maatregelen.

      Maatregelen zijn een gevolg van of gebaseerd op adviezen, evaluaties, audits, testen, best practices, de wet, standaarden en richtlijnen. Maatregelen zijn bedoeld om de Doelen te halen. De mate waarin Risico's worden gelopen c.q. de Doelen met een redelijk kans bedreigen, bepalen de keuzes voor de Maatregelen. Maatregelen zijn technologisch of organisatorisch van aard. De Directieleden beoordelen de Risico’s en stellen de Maatregelen vast.


      ISMS 10.0 Technologische maatregelen.

      De volgende technologische maatregelen gelden.

      ISMS 10.1 De programmatuur van Share-board-applicatie is ontworpen met het Security-by-design-principe. Artikel ISMS 10.1 geeft die principes.

      ISMS 10.2 Beveiligde verbindingen (HTTPS, FTPS, SSH). Lees verder in artikel ISMS 10.4 Share-board’s Configuratie.

      ISMS 10.3 Backup- en Restore.

      ISMS 10.3.1. Backup. De gehele Linux-omgeving wordt gebackuped, inclusief DirectAdmin-, Firewall-, instellingen, volgens het schema: een keer per dag een incremental backup om 04.00, een keer per week een full backup en een keer maand full backup. Een backup locked de database voor delen van seconden. De Hoster laat automatisch de backup’s uitvoeren om 04.00 naar andere fysieke locatie van Hoster.

      ISMS 10.3.2. Restore. Na een eventuele crash van de Productieserver voert Hoster de complete restore van de gehele server uit. De Engineers zetten enkele bestanden of één database terug, indien nodig.

      ISMS 10.4. Share-board’s Configuratie beschrijft de technische (server) configuratie en de gekozen opzet en zie artikel ISMS 10.4.6. Encryptie van Productiedata. Bestanden en de content in de Productiedatabase is versleuteld met EAS-256-hash.

      Artikel ISMS 10.5 Logging. Alle mutaties worden gelogd. Lees bij ISMS 18.10 Logging ivm de dossierplicht van de NEN7510/7513.


      ISMS 11.0 Organisatorische maatregelen.

      Artikel ISMS 11.0 Organisatorische maatregelen

      Maatregelen zijn een gevolg van de adviezen, evaluaties, audits en testen. De volgende organisatorische maatregelen zijn reeds genomen.

      ISMS 11.1 De Betrokken Actoren maken geen kopiën van de Productiedata (afspraak) en gebruiken geen losse of andere media. De Productiedata bevindt zich op de Productie.db, Sleutel.db, Logs.db en Bestanden.db., zie artikel ISMS 4.4. De Test- en ontwikkelomgevingen bevatten geen Productiedata.

      ISMS 11.2 Evaluaties. Artikel ISMS17.0 beschrijft de periodieke evaluaties.

      ISMS 11.3 De Betrokken Actoren bevestigen het Security-protocol persoonlijk en expliciet.

      ISMS 11.4 Share-board maakt alleen gebruik van legale software. De gelicenceerde en OpenSource-software die op wordt toegepast zijn gegeven in ISMS 4.0 Share-board’s Configuratie. Eventuele Opensource-software of free-ware wordt uitsluitend gebruikt indien de software een onbesproken imago heeft en/of de leveranciers van onbesproken zijn. Bovendien - en van groot belang - de encryptie toegepast op de Productiedata, sluit beinvloeding door (externe) software uit.

      ISMS 11.5 Security-officer geeft de wachtwoorden uit van de Engineers (proces). Lees verder bij de notitie ISMS 11.5.


      ISMS 12.0 Algemene principes (informatief).

      De algemene principes die we voor (het ontwerp en de exploitatie van) Share-board hanteren, zijn: by-design, safety- en quality-first, limit-the-access (need-to-have), don’t-copy, simplicity, koppeling en samenhang. Deze principes dragen bij aan de onderhoudbaarheid, de robuustheid en de fault-tolerance van de Share-board; bijdragend aan de Doelen van de informatiebeveiliging. De Betrokken Actoren kunnen deze principes (impliciet of expliciet) gebruiken in de onderlinge communicatie en bij het maken van keuzes.


      ISMS 13.0 Handhaven.

      De Betrokken Actoren werken samen in een dedicated en transparante werkomgeving. Eventuele afwijkingen van de Afspraken en Processen worden direct gecommuniceerd, leiden tot correcties en kunnen leiden tot Verbetersuggesties. We maken zelf ook gebruik van Share-board, waardoor afspraken meteen vastliggen en traceerbaar zijn. De Betrokken Actoren maken elkaar gevraagd of ongevraagd attent op het op handhaven of verbeteren van de beveiliging en/of de beveiligingsmaatregelen om de Doelen te (blijven) halen. De Betrokken Actoren bevestigen het ISMS-Protocol persoonlijk. Zie bijlage ISMS 11.3.


      ISMS 14.0 Verbeterplanning

      De Betrokken Actoren brengen Verbetersuggesties in, voor het ISMS 14.0 Verbeterplan. De manier waarop is gegeven in ISMS 15.0. Verbetersuggesties zijn adviezen, verzoeken, aanbevelingen, (nieuwe) standaarden, regelgeving of best practices en worden ingebracht door Betrokken Actoren, gebruikers, adviseurs, auditors of testers. Een Directielid beoordeelt of en hoe de Verbetersuggesties direct of vertraagd worden ingevoerd. De beoordeling vindt plaats tijdens de Kwartaalevaluaties of zo veel eerder dan nodig geacht. De in te voeren Verbetersuggesties leiden tot preventieve of correctieve maatregelen. De cybersecurity officer legt de maatregelen vast in ISMS 14.0 Verbeterplan.


      ISMS 15.0 Interne communicatie en vastlegging.

      De Betrokken Actoren werken zelf ook samen met Share-board in het team: SB-Techniek. Alle communicatie en vastlegging inclusief alle onderdelen van dit ISMS, zijn ingebed in het team 'SB-Techniek' zelf. De uitvoering en de vastlegging gaan zo hand-in-hand. Aanpassingen in het ISMS worden expliciet en inhoudelijk besproken in een Kwartaalevaluatie-meeting met alle Betrokken Actoren. Via ISMS 13.0 Handhaven en ISMS 17.0 Kwartaalevaluaties borgt de implementatie. De Betrokken Actoren zijn alle zeer bewust van het belang en bevestigen het ISMS 11.3 Protocol persoonlijk.


      ISMS 16.0 Externe communicatie.

      ISMS 16.1. De webpagina ‘ISMS’ toont de inhoud van hoofdartikelen van dit ISMS en van het artikel ISMS 18.0 High secure samenwerken (zoals in de zorg). De onderliggende artikelen van dit ISMS worden niet algemeen gepubliceerd om beveiligingsredenen, maar kunnen desgevraagd worden getoond.

      ISMS 16.2. De Security-Officer mailt direct de betrokken Beheerders als vertegenwoodigers van de Gebruikers in het geval van (een serieus vermoeden van) een inbreuk op de Vertrouwelijkheid en/of de Integriteit van de Productiedata zich voordoet. De Engineers starten een onderzoek naar de oorzaak en eventueel worden extra Maatregelen genomen. De Security-officer houdt de Beheerders van de betrokken teams op de hoogte tijdens en aan het einde van het onderzoek, totdat de eventuele Maatregelen zijn genomen of het issue wordt gesloten.


      ISMS 17.0 Kwartaalevaluaties: evaluaties, testen en/of audits. PDAC-verbetercirkel.

      De Security-Officer maakt elk jaar een evualatieplanning gemaakt in (ISMS 17.1 Kwartaalevaluatieplanning) met elk kwartaal een evaluatie: (*) interne kwartaalevaluatie (informele interne audit) of een (*) technische robuustheids- of pen-testen of een compromise assessments, of een (*) externe audit of een (*) externe certificeringsaudit (opvolgingsaudit door Kiwa) of een (*) interne gevolgd door een directiebeoordeling. Elk jaar wordt minstens een interne audit gehouden op basis van de procedure ISMS 17.2 Interne audit (procedure) dat gevolgd wordt door een directiebeoordeling, op basis van de procedure ISMS 19.0 Directiebeoordeling. De technisch testen wordt gepland op basis van ontwikkelingen in het technische risicoprofiel cq het dreigingsbeeld. Het certificeringsinstituut audit eens per jaar het functioneren van het ISMS als geheel tegen de normstandaarden NEN7510 en ISO27001. De Security-Officer legt de Agendapunten, de Besluiten en de Acties vast in de betrokken Meeting. De resultaten van de audits en testen zijn besluiten die kunnen leiden tot verbetermaatregelen, welke alle worden geregistreerd in ISMS 14.0 Verbeterplanning.


      ISMS 18.0 High secure samenwerken, zoals in de zorg.

      ISMS 18.0 is bedoeld voor high-secure toepassingen zoals:

      • voor de zorgsector (omwille van privacy)
      • voor overheden (omwille van privacy)
      • voor high-tech-bedrijven (omwille van o.a. intellectual property.

      ISMS 18.0 geeft nadere uitleg en instructies voor het toepassen van Share-board vanuit de essentie van de normen: 

      - NEN7510:2011 (Informatiebeveiliging voor de zorg)

      - NEN7512:2015 (Gegevensuitwisseling in de zorg) en

      - NEN7513:2010 (Logging voor de zorg).

      Share-board is geschikt voor high secure toepassingen. Je krijgt met Share-board een out-of-the-box high secure werkomgeving, dat beveiligd werken en eenvoud op een vanzelfsprekende manier heeft gecombineerd. High secure werken betekent met Share-board geen extra rompslomp volgens Share-boards Share & Hold-principe. De uitleg hieronder zijn specifiek bedoeld voor de zorg en om te voldoen aan de strenge beveiligingseisen die voor gegevens over gezondheid gelden en vastgelegd zijn in de genoemde NEN7510/12/13 normen. Voor andere high secure toepassingen bepaal je zelf welke van de onderstaande suggesties je toepasselijk vindt.


      ISMS 18.1 Beveiligingsdoelen van Share-board.

      Vertrouwen, betrouwbaarheid en vertrouwelijkheid betekent in deze context, dat SB een te vertrouwen systeem is, dat vertrouwelijkheid en integriteit van gegevens en gegevensuitwisseling tussen (zorg-)professionals borgt (NEN7512). De betrouwbaarheid uit zich in een beschikbaar van 98%. Zie ook artikel ISMS 7.0 De reikwijdte en de normering.


      ISMS 18.2 Geen ontsluiting door (zorg-)teamleden.

      Het is aan de (zorg-)professional zelf om de inhoudelijkheid van de gegevens in Share-board niet naar buiten te brengen en niet te delen met onbevoegden. Share-board is daarvoor nimmer aansprakelijk (disclaimer). (NEN7512). Daartoe gelden de principes van NEN7510 of ISO27001 vanuit de eigen (zorg-)organisatie.


      ISMS 18.3 Interface tussen systemen vs communicatie tussen professionals.

      De technische uitwisseling van gegevens tussen (zorg)systemen is in het gebruik van Share-board niet van toepassing. Er is geen sprake van technische koppelingen tussen systemen van verschillende (zorg)partijen. De functionele uitwisseling van gegevens tussen (zorg)professionals is wel van toepassing. Er is wel sprake van het faciliteren van communicatie tussen (zorg)professionals al of niet van verschillende (zorg)partijen. Alle gegevens zijn en blijven binnen één systeem: het Share-board-team. (NEN7512). Het Share-board-team fungeert als een vertrouwde closed user group. 


      ISMS 18.4 Bemoeilijken van ontsluiting door (zorg-)teamleden.

      Om het (onbewust) exporteren van gegevens te bemoeilijken, biedt Share-board de faciliteiten die bewerkstelligen dat gegevens in een Share-board-team slechts na accordering kan verlaten: de delen, printen naar pdf, download-functie en de logs) kunnen door de Beheerder worden voorzien van een expliciete bevestiging (Je staat op het punt om …. Weet je zeker dat…). (NEN7512).


      ISMS 18.5 Bepalen van de toegang.

      De Beheerder van een zorgteam kan zijn een wijkverpleegkundige, een huisarts of een vertegenwoordiger van een (thuis)zorginstelling. Een vertegenwoordiger van een (thuis)zorginstelling kan ook om redenen van support en (zorg)kwaliteit toegang hebben tot (zorg)team(s). Het is aan de (zorg)professional en de (zorg)organisaties te bepalen of de (zorg)professionals gekwalificeerd zijn om toegang te hebben tot en samen te werken in een Share-board-team dat (zorg)gegevens onderling deelt en vastlegt. Share-board is daarvoor nimmer aansprakelijk (disclaimer). (NEN7512). De (zorg)professionals kunnen onderling vaststellen welke professionals deelnemen in de samenwerking (in het Share-board-team) bij Instellingen, Mijn Team en Teamleden.


      ISMS 18.6 Verantwoordelijkheid van de gebruikers.

      De beveiliging van gegevens en voorzieningen buiten Share-board en bij de (zorg-)organisatie en/of (zorg)professional zelf, zijn een verantwoordelijkheid van de (zorg)organisatie zelf. De samenwerkende organisaties moeten van elkaar verlangen dat zij hun informatiebeveiliging naar behoren hebben geregeld. Voor (zorg-)organisaties en/of professionals kan dat conform NEN 7510 zijn. (NEN7512).


      ISMS 18.7 Beveiligingsdoelen van Share-board.

      Voor toepassingen waar een eventuele tijdelijke onbeschikbaarheid van gegevens zou kunnen leiden tot acute en catastrofale gevolgen, zoals een hart/long-machine, dient Share-board niet te worden toegepast (disclaimer). Lees de relatief hoge Beschikbaarheid van Share-board op de beveiligings- en betrouwbaarheidspagina. Maar, Share-board garandeert geen onbeperkte beschikbaarheid. (NEN7512).


      ISMS 18.8 Bepalen van de toegang.

      Eén van de (zorg-)professionals in een Share-board-team is de beheerder van dat Share-board-(zorg)-team en nodigt de andere (zorg-)professionals uit en geeft toegang tot de gezamenlijke gegevens. De initiële authenticatie (door het uitnodigen als een teamlid) en de validatie daarvan is in eerste instantie de verantwoordelijkheid van de beheerder van het Share-board-team. Na de toetreding geldt een collectieve verantwoordelijkheid. Immers, alle (zorg-)professionals kunnen indiceren dat een team-lid al of niet gekwalificeerd is. Een teamlid kan verwijderd worden. Lees ook ISMS 18.9 Verwijderen.


      ISMS 18.8.1 Uitnodigen van (zorg-)professionals.

      De (zorg-)professional wordt door de Beheerder geidentificeerd en uitgenodigd aan de hand van zijn/haar professioneel emailadres. Bij de toegang hanteert Share-board een twee-traps-verificatie (authenticatie) via email: Share-board verleent toegang uitsluitend vanuit een geverifiëerd werkend (zakelijk) emailadres (‘klik op deze onleesbare en unieke link’) en een sterk wachtwoord (ISMS 11.5.1).


      ISMS 18.9 Verwijderen van zorg-teamlid.

      De Beheerder van het Share-board-team (ISMS 18.8) kan een (zorg)professional uitsluiten van verdere deelname door de (zorg)professional te verwijderen van het team bij Instellingen, Teamleden, driepunt-icoon, Verwijder gebruiker. Vanaf dat moment heeft de betrokken (zorg)professional geen toegang meer tot dat SB-team. De (zorg)profesional blijft zichtbaar in de lijst Vertrokken teamleden. Alle items en alle bewerkingen die door een vertrokken teamlid zijn gedaan blijven bewaard.


      ISMS 18.10 Logging. Dossierplicht.

      Alle mutaties in een Share-board-team worden gelogd. Een log-bestand kan op elk moment worden gedownload door alle teamleden. Logging kan niet worden uitgezet. De logs kunnen niet worden verwijderd. Logs werken in alle soorten Share-board-teams. Logs kunnen alleen door de teamleden worden gedownload en ingezien. Alleen team-mutaties worden gelogd, met een time-stamp van het systeem (server). Persoonsgerelateerde mutaties - zoals wachtwoord, inlogcodes en Mijn Profiel-informatie - worden NIET gelogd.


      ISMS 18.10.1. Definitief verwijderen uit prullenbak op verzoek van patient.

      De beheerder geeft aan bij Teaminstellingen / Prullenbak, dat verwijderde items en bestanden niet definitief kunnen worden verwijderd uit de lijst Verwijderd. De Prullenbak kan dan niet worden geleegd. Op verzoek van een patient dienen gegevens toch te worden verwijderd. Het verzoek tot verwijderen dient gelogd te worden met een Reactie (fixed) of een Actie (logged).


      ISMS 18.11 Patient zelf toegang geven.

      Ter invulling van NEN7510 en NEN7513 en in navolging van ISMS 18.8 kan de beheerder van een Share-board-team, ook een patient zelf toegang geven tot zijn/haar betrokken Share-board-zorg-team. De patient kan meekijken met de communicatie in het zorgteam en kan klacht-omschrijvingen van de symptomen ingeven en vragen stellen. (PRAC **).


      ISMS 18.12. Rol- en Autorisatietekenning.

      De Beheerder kan een Notitie aanmaken met de title ‘Rol- en Autorisatietoekenning’ en daarin een korte omschrijving van de rollen en de autorisaties van de betrokken zorgprofesssionals die zijn of worden uitgenodigd in het zorgteam (PRAC **). Zie ook Artikel ISMS 18.8.


      ISMS 18.13. Mantelzorger. Samenwerking en Toegang.

      Een patient kan indien gewenst toestemming verlenen om mantelzorger(s) uit te nodigen in het betrokken patient-zorg-team. De Beheerder nodigt dan eerst de patient uit in zijn/haar Share-board-team. Laat de patient, al of niet onder begeleiding, toestemming geven in de vorm van een reactie bij de Notitie Rol- en Autoriatietoekenning dat ook de mantelzorger toegang hebben tot de betrokken zorg-gegevens. Na de toestemming kan de Beheerder de betrokken mantelzorger(s) uitnodigen. Zo ook kan de patient de toestemming ook weer intrekken, waarna de Beheerder een zorgprofessional of een mantelzorger kan verwijderen. (PRAC**)


      ISMS 18.14, 18.15, 18.16 en 18.17. ‘Statements of Applicability’ (SOA).

      De artikelen ISMS 18.14, 18.15, 18.16 en 18.17 geven de ‘Statements of Applicability’ (SOA) van de overeenkomstigheid van dit ISMS met de respectievelijk normen ISO27001:2013, NEN7510:2011 (Informatiebeveiliging voor de zorg), NEN7512:2015 (Gegevensuitwisseling) en NEN7513:2010 (Logging). Deze artikelen worden desgevraagd verstrekt.

      *) Voor Uitnodigen lees Support-pagina’s "Nieuw teamlid uitnodigen"

      **) PRAC(/SRAC). Privacy (/security) related application condition. Betreft een nadere instructie uit te voeren door de teamleden om te voldoen aan specifieke privacy (/security) normen.

      ISMS 19.0 Directiebeoordeling

      De directie van SB beoordeelt elk jaar de doelstellingen - vanuit de context van de toepassing - en de effectiviteit van het functioneren van de informatiebeveiliging c.q. van het ISMS. Artikel ISMS 19.0 Directiebeoordeling beschrijft de procedure. Het verslag wordt vastgelegd als Verslag Directiebeoordeling (jaar).




      Dataopslag


      De dataopslag geldt alleen voor geuploade bestanden. Alles wat je in Share-board zelf typt, wordt niet meegeteld bij de dataopslag. De kosten van dataopslag zijn te vinden op de prijzenpagina.


      Gratis 2 GB dataopslag per gebruiker 

      De 2 GB gratis dataopslag per gebruiker geldt voor "kleine teams" en "betalen per gebruiker". De dataopslag wordt berekend over het hele team. Als je bijvoorbeeld een team hebt met 10 gebruikers, dan begin je pas te betalen als de totale dataopslag groter is dan 20 GB. Je betaalt per maand voor de dataopslag, de kosten zijn te vinden op de prijzenpagina.


      Copyrights


      Share-board BV. Alle woord- en beeldmerken op deze site zijn eigendom van Share-board BV, tenzij anders aangegeven. Zonder schriftelijke toestemming van Share-board is het niet toegestaan gebruik te maken van deze merken. Als u meer informatie wilt, kunt u een e-mail sturen naar info@share-board.nl

      ©

      No part of this website may be copied or published by means of electronic distribution, printing, photocopying, microfilm or any other means whatsoever, without the prior written permission of Share-board BV, nor may it be used for any other purpose than that for which it was produced without such permission.

      © and ®

      Copyrights are applicable on Share-board as a Format. The principles of the Share-board Format is described on the support website and by the functioning of the Application of Share-board. Share-board has a number of Characteristics which are unique for the Share-board Format. These Characteristics are described and filed in the i-Depot registers of the Benelux Office for Intellectual Property, BBIE/OBPI/BOIP, Bordewijklaan 15, NL-2591 XR Den Haag/La Haye/TheHague with number 053629 (Dutch) and number 053630 (English). Postbox as a characteristic function of Share-board is described and posted at BBIE i-depot registers with number (104463) and its attachment, registered under 'Soui BV', the former name of Share-board BV.



      Cookies


      Wel op de openbare website, niet in de applicatie

      Share-board heeft een website (share-board.nl) en een applicatie (app.share-board.nl). Binnen de applicatie (app.share-board.nl) wordt - op dit moment - geen enkele analyse-tool gebruikt. Via onze website (share-board.nl) wordt een cookie geplaatst van Google. Wij gebruiken deze dienst om bij te houden en rapportages te krijgen over hoe bezoekers de website gebruiken. Met deze informatie kunnen wij de openbare website verbeteren. Google kan deze informatie aan overheidsinstanties verschaffen indien Google hiertoe wettelijk wordt verplicht, of voor zover derden de informatie namens Google verwerken. Wij hebben hier geen invloed op. Wij hebben Google niet toegestaan de verkregen analytics informatie te gebruiken voor andere Google diensten. De informatie die Google verzamelt wordt zo veel mogelijk geanonimiseerd. Uw IP-adres wordt nadrukkelijk niet meegegeven. De website-analyse-informatie wordt overgebracht naar en door Google opgeslagen op servers in de Verenigde Staten. Google stelt zich te houden aan de Safe Harbor principles en is aangesloten bij het Safe Harbor-programma van het Amerikaanse Ministerie van Handel. Dit houdt in dat er sprake is van een passend beschermingsniveau voor de verwerking van eventuele persoonsgegevens.


      Share-board BV

      Share-board.nl

      1 april 2018





      Meer weten? Mail ons.


      Wil je iets weten en kun je het niet vinden? Neem dan contact met ons op. 


      Mail Share-board


      Probeer Share-board 

      1 maand gratis


      Probeer 1 maand gratis