Vertrouwelijkheids​beleid

Een vertrouwelijkheidsbeleid is vaak een intimiderende turf die bedoeld is om u gerust te stellen maar die u toch niet leest.

Wij hebben het onze zo duidelijk en toegankelijk mogelijk geschreven, zodat u precies begrijpt hoe uw persoonsgegevens bij Alan worden gebruikt.

Veel leesplezier.

Inhoudstafel

Waarom een vertrouwelijkheidsbeleid?

Wij hechten het allergrootste belang aan de beveiliging en de vertrouwelijkheid van de gegevens van de mensen die van onze diensten gebruik maken, of het nu gaat om de site alan.com of de mobiele app die hen ter beschikking gesteld wordt.

Dit document biedt een transparant beeld van de manier waarop wij de persoonsgegevens die u ons bezorgt, verwerken conform de Algemene Verordening Gegevensbescherming (AVG).

Dit document kan op ieder ogenblik worden bijgewerkt naargelang de behoeften van Alan, de omstandigheden of wanneer de wet het vereist. Raadpleeg het dus regelmatig. Wij zullen de belangrijke updates meedelen aan de personen die van onze diensten gebruikmaken.

Versie van 20 maart 2020

Ik heb een vraag of een klacht of ik wil mijn rechten uitoefenen

Voor alle vragen over de beveiliging en persoonsgegevens of om uw recht op toegang, rectificatie, verwijdering, intrekking van de toestemming, beperking van de verwerking, verzet tegen de verwerking of overdraagbaarheid uit te oefenen, kunt u contact opnemen met onze functionaris voor gegevensbescherming (of DPO, Data Protection Officer, zoals we in het vakjargon zeggen) op het adres privacy@alan.com. Wij zorgen ervoor dat u zo snel mogelijk antwoord krijgt.

Voor klachten over uw persoonsgegevens kunt u ofwel contact opnemen met onze DPO ofwel zich rechtstreeks wenden tot de Gegevensbeschermingsautoriteit.

Welke persoonsgegevens verwerken wij?

Voor het beheer van de ondernemingscontracten

Bestuurders

Bij de inschrijving op een ondernemingscontract verzamelen wij voor elke bestuurder de volgende persoonsgegevens:

  • naam en voornaam;

  • e-mailadres op het werk;

  • berichten en bijlagen uitgewisseld met onze klantendienst.

Op welke rechtsgronden?

  • instemming van de bestuurder die de onderneming inschrijft;

  • uitvoering van het contract voor de andere bestuurders.

Wat doet u ermee?

  • elektronische ondertekening van het contract;

  • communicatie met de lasthebbers van de onderneming;

  • toegang tot het account om het contract te beheren.

Hoe lang bewaart u die gegevens?

  • vijf jaar na het einde van het contract,

  • twee jaar na de laatste verbinding indien het contract niet is ondertekend.

Hoe kan ik die gegevens raadplegen of wijzigen?

In het controlepaneel van Alan.

Kan ik vragen om de gegevens over mij te verwijderen?

  • indien het contract niet is ondertekend wel;

  • zo niet, dan zijn wij verplicht om de gegevens te bewaren.

Je gezondheidsvragen

Wanneer je berichten uitwisselt met één van onze artsen voor een vraag die verband houdt met je gezondheid (met uitzondering van teleconsultatie), gebruiken wij de volgende gegevens:

  • Voornaam, geboortedatum en geslacht (die wij afleiden uit je verzekeringsprofiel);

  • Berichten en bijlagen uitgewisseld met de dokter.

De arts zal niet over je volledige naam beschikken of toegang hebben tot je geschiedenis als verzekerde.

Op welke rechtsgronden?

Je toestemming wordt gevraagd voordat u toegang krijgt tot de dienst via de mobiele applicatie Alan.

Wat doet u ermee?

  • Beveiligde berichtenuitwisseling tussen jou en de dokter.

  • Toegang tot gearchiveerde berichten

Alan respecteert het medisch beroepsgeheim: behalve door artsen (die werknemers van Alan kunnen zijn, in overeenstemming met de aanbevelingen van de Franse Medische Raad), kan de inhoud van de uitwisselingen niet worden geraadpleegd of gebruikt door Alan. Onze artsen hebben een speciale toegang, los van de gebruikelijke toegang van de werknemers van Alan tot onze programma’s. Hierdoor kunnen wij garanderen dat Alan deze informatie nooit zal hergebruiken, met name voor haar ziektekostenverzekeringsdiensten.

Hoe lang bewaart u die gegevens?

2 jaar na ontvangst van de vraag.

Kan ik vragen om de gegevens over mij te verwijderen?

Je kan vragen om berichten uit je interface te verwijderen door een verzoek naar privacy@alan.com te mailen. Wij zullen er echter een beveiligd archief van bijhouden, in overeenstemming met de aanbevelingen van de Franse Medische Raad.

Voor publieksmetingen (analytics) en de goede werking van ons platform

Bepaalde gegevens worden automatisch verzameld wanneer iemand surft naar alan.com (of naar andere sites van Alan zoals blog.alan.com en map.alan.com) en bij het gebruik van onze mobiele applicatie. De verzamelde gegevens zijn onder andere:

  • IP-adres en internetprovider;

  • technische ID;

  • informatie over uw apparatuur (bijvoorbeeld: het type internetverbinding, het type toestel, de gebruikte browser en de versie ervan enz.);

  • informatie inzake tijdsregistratie en duur van het bezoek;

  • bezochte pagina’s;

  • klikken en andere interacties op de verschillende pagina’s;

  • eventuele fouten (op de browser, de mobiele applicatie of onze servers).

Op welke rechtsgronden?

Indien van toepassing is de verzameling onderworpen aan de uitdrukkelijke toestemming van de gebruiker (cookiebanner). Deze toestemming is 13 maanden geldig vanaf de registratie.

Wat doet u ermee?

Die gegevens worden gebruikt voor:

  • de uitvoering van de wettelijke, reglementaire en administratieve bepalingen (logboeken van connecties, enz.);

  • kennis over de klant en beheer van de klantenrelatie;

  • activiteiten met betrekking tot de prospectie en opstelling van commerciële statistieken;

  • identificatie van klanten of prospects om de dienstverlening te verbeteren door producten of diensten aan te bieden die het mogelijk maken om de schadefrequentie te beperken of een aanvullend contract of aanvullende uitkering aan te bieden;

  • de analyse van het gebruik dat van het product wordt gemaakt en verbetering van het product;

  • het beheer van de mening die mensen hebben over producten, diensten of inhoud.

Hoe lang bewaart u die gegevens?

Twee jaar vanaf het bezoek.

Kan ik vragen om de gegevens over mij te verwijderen?

Met uitzondering van de gegevens die in het kader van een wettelijke verplichting zijn verzameld, ja. Stuur daarvoor een verzoek naar privacy@alan.com.

Hoe worden mijn gegevens beschermd?

De beveiliging van gegevens is volgens ons een uiterst belangrijk onderwerp. We doen er dan ook alles aan om uw vertrouwen niet te beschamen. Hieronder enkele voorbeelden van de maatregelen die wij nemen. Als u geen computerkenner bent, is het mogelijk dat u hier en daar het spoor bijster raakt. Om het kort en bondig te houden, hebben we links met uitleg geplaatst naargelang de rubrieken. Hebt u vragen over een specifiek punt, dan zullen wij die met plezier beantwoorden: schrijf ons op security@alan.com.

Applicatiebeveiliging

We gebruiken Sqreen.com om in real time aanvallen van het type XSS, SQL-injectie, diefstal van account enz. op te sporen en te blokkeren.We gebruiken ook Cloudflare.com om ons te beschermen tegen distributed-denial-of-service-aanvallen (DDoS).

Versleuteling van gegevens in transit

Al het HTTP-verkeer van en naar alan.com en api.alan.com is versleuteld (HTTPS / TLS). U kunt onze configuratie hier bekijken.Wanneer een gebruiker voor het eerst inlogt, melden we aan zijn browser (via het HSTS-mechanisme) dat alle latere verbindingen verplicht versleuteld moeten zijn (HTTPS), ook wanneer een link naar alan.com begint met http:// in plaats van https://

Hosting en gegevensbanken

Alan wordt gehost door Heroku in beveiligde datacenters met Amazon Web Services-certificatie (ISO27001, SOC1 / SOC2, HDS). Meer informatie over de AWS-beveiliging vindt u hier.

Versleuteling van gegevens in rust

We gebruiken PostgreSQL-gegevensbanken. De gegevens worden er versleuteld op basis van de AES-256-standaard en de encryptiesleutels worden beheerd door Heroku en AWS.Hulparchieven worden eveneens versleuteld.

Beleid inzake wachtwoorden en opslag

We gebruiken de open-sourcebibliotheek zxcvbn om de gebruikers te laten weten hoe sterk hun gekozen wachtwoord is. Het wachtwoord moet minstens uit 9 karakters bestaan.Wij slaan die wachtwoorden niet op: we slaan enkel een hash op die niet omkeerbaar is en die berekend wordt door de bcrypt-functie, met de volgende parameters:

  • een cost van 12 (of 4096 iteraties) om aanvallen van het type brute force te beperken;

  • een willekeurige ‘salt’ per gebruiker om te beschermen tegen rainbow tables.

Mesures organisationnelles

Alle werknemers van Alan krijgen een verplichte opleiding over beveiliging (inclusief social engineering) en vertrouwelijkheid van de gegevens. Ze gebruiken complexe en unieke wachtwoorden, en een sterke authenticatie (2FA) zodra dat mogelijk is. Het gebruik van een wachtwoordbeheerder is ook verplicht.

Onze computers worden automatisch geüpdatet en hebben een versleutelde harde schijf (bij diefstal). Onze schermen worden automatisch vergrendeld.

Om toegang te hebben tot onze interne administratietools, is een individuele toegang via een erkend IP-adres nodig en alle wijzigingen van gegevens (door een werknemer van Alan of door een gebruiker zelf) worden gecontroleerd.

We organiseren penetratietests met onafhankelijke firma’s.

Alle diensten en applicaties van Alan worden intern ontwikkeld. Onze code wordt gevalideerd door geautomatiseerde tools (statische analyse, beveiliging enz.) en manueel door een tweede paar ogen.

En de cookies?

Wat is een cookie?

Een cookie is niet alleen een lekker koekje, het is ook een bestand op uw toestel dat gegevens bevat. U kunt de opslag van die bestanden op ieder ogenblik opheffen of beperken in de instellingen van uw internetbrowser (zie verder).

Waartoe dienen ze?

  • Eerst en vooral om u te identificeren zodra u ingelogd bent op de applicatie.

  • Aan de hand van cookies voor publieksmeting kunnen we het gebruik en de prestaties van onze site kennen, statistieken opstellen, het aantal bezoekers en het gebruik van de verschillende elementen van onze site kennen (bezochte inhoud, parcours) waardoor we de relevantie en de ergonomie van onze diensten kunnen verbeteren. De verzamelde gegevens worden enkel door Alan en zijn onderaannemers geanalyseerd en enkel door Alan gebruikt.

  • Aan de hand van cookies die betrekking hebben op doelgerichte reclameactiviteiten kunnen we de efficiëntie van onze reclamecampagnes meten en het aantal keren dat u reclame voor Alan te zien krijgt, beperken.

Kan ik weigeren?

Natuurlijk! Bij uw eerste bezoek (of indien u gebruikmaakt van de privé- of incognitonavigatie van uw browser) verschijnt een banner (cookiebanner genoemd) waarin u de toestemming wordt gevraagd om cookies te gebruiken. Als u dat weigert, wordt geen enkel persoonsgegeven verzameld in het kader van de publieksmeting en doelgerichte reclame. Als u aanvaardt, is uw instemming dertien maanden geldig vanaf de registratie.

Voor de toegang tot uw persoonlijke account is het gebruik van een cookie daarentegen wel nodig (enkel voor dit gebruik) en het is niet mogelijk om daarvan af te wijken.

Gaat u mij lastigvallen met mails en andere meldingen?

Het antwoord is eenvoudig: neen.

U zult wel mails krijgen van ons, maar de meeste daarvan kaderen in de uitvoering van ons contract. Bijvoorbeeld: om u uit te nodigen om u in te schrijven, bijkomende informatie te vragen voor een terugbetaling, u een raming te sturen van een terugbetaling van ziektekosten naar aanleiding van een verzoek van u of om u op de hoogte te brengen van wijzigingen aan het contract. Daar ontsnapt u niet aan, dit is immers nodig voor uw dekking.

Een kleine minderheid van de mails heeft niet onmiddellijk betrekking op ons contract met u of uw werkgever, maar is toch van legitiem belang. Bijvoorbeeld: om u een offerte te sturen voor een contract of om u nieuwe diensten aan te bieden. In dat geval hebt u de mogelijkheid om u uit te schrijven van dit soort berichten (opt-out).

Voor pushmeldingen vragen we de toestemming rechtstreeks in de mobiele app en u kunt ze vanaf uw telefoon deactiveren of reactiveren.

Wie kan naast Alan toegang hebben tot mijn gegevens?

De verzamelde gegevens kunnen indien nodig worden meegedeeld aan de partners, herverzekeraars, onderaannemers en dienstverleners van Alan. De gegevens worden enkel doorgegeven in het kader van de vermelde activiteiten en binnen de nodige grenzen van de uitvoering van de taken die wij aan derden toevertrouwen. Alan brengt die derden op de hoogte van de vertrouwelijkheid van de gegevens die hen in dat verband worden meegedeeld. Die partners zijn op hun beurt verplicht om de bescherming van die gegevens te garanderen. Wanneer het door de aard van de activiteit mogelijk is, worden de gegevens anoniem gemaakt alvorens ze aan derden worden bezorgd.

Bovendien is het in het kader van onze wettelijke en reglementaire verplichtingen mogelijk dat we persoonsgegevens moeten overmaken aan administratieve of gerechtelijke autoriteiten op hun verzoek. In die veronderstelling zien we erop toe dat we enkel de gegevens doorgeven die strikt noodzakelijk zijn voor de autoriteiten.

Indien er persoonsgegevens buiten de Europese Unie worden overgedragen, vergewissen we ons ervan dat het betrokken derde land beschikt over een beschermingsniveau dat door de Europese reglementering (AVG) als gepast wordt beschouwd. Indien dat niet mogelijk is, zorgen we ervoor dat de overdracht verloopt volgens de reglementering om de bescherming van die informatie te garanderen. Wij blijven verantwoordelijk voor die gegevens.

Die onderaannemers omvatten:

Gegevens voor publieksmeting en gebruik

  • Segment (bezoekersanalyse)

  • Amplitude (bezoekersanalyse)

  • Google Analytics (bezoekersanalyse)

  • Google Ads (doelgerichte reclame)

  • Fullstory (bezoekersanalyse en debugging)

  • Facebook Pixel (bezoekersanalyse en doelgerichte reclame)

  • Twitter Ads (doelgerichte reclame)

  • LinkedIn Insights (doelgerichte reclame)

  • Customer.io (e-mails)

  • PixelMe (bezoekersanalyse)

  • Sqreen (beveiliging)

  • Cloudflare (netwerk, beveiliging en bezoekersanalyse)

  • Hotjar (bezoekersanalyse)