AVG / GDPR
Privacyverklaring
Laatst bijgewerkt op 11 juni 2026. Deze tekst beschrijft hoe OsteoCure persoonsgegevens verwerkt in het boekingsportaal en de praktijksoftware. De praktijkverantwoordelijke of DPO moet de finale juridische formulering valideren voor gebruik met echte patiëntdata.
Verwerkingsverantwoordelijke: OsteoCure praktijk. Contact voor privacyvragen: [email protected].
Welke gegevens verwerken we?
- Identificatie- en contactgegevens zoals naam, e-mailadres, telefoonnummer en accountgegevens.
- Afspraakgegevens zoals behandelingstype, tijdstip, behandelaar, kamer, status en communicatie rond de afspraak.
- Gezondheidsgegevens en consultinformatie zoals intake-antwoorden, medische voorgeschiedenis, behandelnotities, lichaamskaart-annotaties, bijlagen, verslagen en opvolging.
- Administratieve gegevens zoals facturen, betalingsstatussen, auditloggegevens en technische beveiligingsinformatie.
Waarom verwerken we deze gegevens?
- Om afspraken te plannen, te bevestigen, te wijzigen en op te volgen.
- Om een zorgvuldig patiëntendossier bij te houden voor menselijke patiënten en dierprofielen.
- Om consultaties, rapporten, oefeningen, facturen, herinneringen en klantcommunicatie te beheren.
- Om de applicatie veilig te houden, toegang per rol te beperken en misbruik of fouten te kunnen onderzoeken via auditlogs.
Rechtsgrond en gezondheidsgegevens
- Voor gewone persoonsgegevens steunt de verwerking op de uitvoering van de zorg- of dienstverlening, wettelijke verplichtingen, gerechtvaardigd belang voor beveiliging en administratie, of toestemming waar die passend is.
- Gezondheidsgegevens zijn bijzondere categorieën persoonsgegevens. De praktijk moet voor deze verwerking naast een Art. 6-grondslag ook een passende Art. 9-uitzondering documenteren, bijvoorbeeld expliciete toestemming of noodzakelijkheid binnen gezondheidszorg. De definitieve formulering moet door de praktijkverantwoordelijke of DPO worden gevalideerd.
- Toestemming voor niet-noodzakelijke communicatie, zoals herboekingsherinneringen, kan worden ingetrokken via de uitschrijflink of via de praktijk.
Bewaartermijnen
- Medische dossiers worden bewaard zolang dit nodig of wettelijk verplicht is voor continuïteit van zorg, aansprakelijkheid en wettelijke bewaarplichten. In deze productieversie is het uitgangspunt voor medische records 30 jaar, tenzij de praktijk of DPO een andere termijn formeel vastlegt.
- Facturen en boekhoudkundige gegevens worden bewaard volgens de toepasselijke fiscale bewaarplichten.
- Auditlogs worden bewaard zolang nodig voor beveiliging, controleerbaarheid en wettelijke verantwoording. Ze bevatten geen vrije medische inhoud.
Ontvangers en verwerkers
- Gegevens zijn toegankelijk voor gemachtigde rollen binnen de praktijk, zoals therapeut, receptionist of beheerder, volgens het least-privilege principe.
- De applicatie gebruikt verwerkers voor hosting, opslag, beveiliging, e-mail, video, kalenderkoppelingen en technische ondersteuning. Voor productie moeten verwerkersovereenkomsten, regio-instellingen en doorgiftemechanismen gedocumenteerd blijven.
- Medische gegevens worden niet verkocht en niet gebruikt voor advertentietracking.
Rechten van betrokkenen
- U kunt inzage, correctie, overdraagbaarheid, beperking of bezwaar vragen waar de AVG dat voorziet.
- In het klantportaal kunt u een data-export aanvragen en een verwijderings- of pseudonimiseringsverzoek indienen. Sommige gegevens kunnen niet volledig worden gewist wanneer wettelijke bewaarplichten of medische dossierplichten gelden; in dat geval worden identificerende gegevens waar mogelijk gepseudonimiseerd.
- Een verzoek kan worden gericht aan [email protected]. De praktijk behandelt verzoeken volgens de wettelijke termijnen.
Beveiliging
- OsteoCure gebruikt rolgebaseerde toegang, beveiligde sessiecookies, auditlogs, directe objectopslag voor bijlagen, versleuteling van gevoelige tokens en beveiligingsheaders.
- Toegang tot productieomgevingen, backups en verwerkersaccounts moet operationeel beperkt en periodiek gecontroleerd worden.