Security & Privacy

Veilig analyseren zonder serveropslag

PharmGtN verwerkt data client-side waar het kan, en gebruikt versleutelde ETL waar het moet (SFTP of API). Geen PII/gezondheidsdata nodig, EU-residency mogelijk.

Security-vragen? Neem contact opBekijk Trust Center

Dataminimalisatie • TLS 1.2+ • SSH-keys • IP-allowlists • EU-hosting

Client-side
Parsing & analyse in de browser
Geen serveropslag
Geen database met brondata
SSO + MFA
SAML/OIDC, secure cookies/JWT
Dataminimalisatie
Klant-ID/GLN, geen NAW/health

Verwerken van data (kort)

  • Upload: Excel/CSV wordt in de browser ingelezen (SheetJS) en direct geparseerd.
  • Analyse: GTN waterfall, KPI’s en scenario’s draaien client-side.
  • Opslag: tijdelijke SessionStorage, geen server-database met brondata.
  • Export: on-the-fly download, zonder persistente opslag aan serverzijde.

API-routes streamen alleen bestanden terug; brondata wordt niet bewaard.

Beveiligde ETL-stromen (SFTP / API)

  • SFTP (aanbevolen farma): SSH-keys, IP-allowlist, folders per dataset /exports/{invoice,price,rebate,material,customer}, CSV/Parquet (.gz ok).
  • API: OAuth2 client credentials, mTLS en IP-allowlists. Idempotency-Key per batch, gzip, schema-validatie.
  • Delta-sync: filter op boekings-/wijzigingsdatum + cursor (change pointers/ISO-timestamp).
SFTP specificatieSAP/ERP integratie

Wat we wél / niet doen met data

Wél
  • Verwerking in je eigen browser.
  • Tijdelijke sessie-opslag (SessionStorage).
  • TLS 1.2+ en AES-256 (at rest bij ETL/exports).
  • EU data residency beschikbaar.
Niet
  • ❌ Geen server-side opslag/database met brondata.
  • ❌ Geen gebruik van data voor modeltraining of delen met derden.
  • ❌ Geen PII/gezondheidsdata nodig voor analyses.

Extra eisen (SOP’s, DPA, key management, region pinning)? We richten dit samen in.

Compliance-roadmap

  • ISO 27001 ISMS (risk register, SoA, audits).
  • SOC 2 Type II (change mgmt, logging, BCM).
  • DPA & subprocessors (EU/EER mogelijk).
Security PolicySubprocessorsPrivacybeleid

Incidenten & Responsible Disclosure

  • Incidentclassificatie (P1–P4), responstijden en post-incident reviews.
  • Responsible disclosure: meld kwetsbaarheden verantwoord, wij bevestigen binnen 3 werkdagen.
  • Abuse/misuse meldpunt beschikbaar.
Uptime & Incident PolicyMeld een kwetsbaarheidsecurity.txtsecurity@pharmgtn.com

Security-review of due diligence nodig?

We koppelen onze controls 1:1 aan jullie beleid en audit-criteria.

Plan een security-callNaar Trust Center