Privacyverklaring | HeyDoc
Ga naar hoofdinhoud
01Privacy · NEN 7510

Privacyverklaring

Bij HeyDoc staat jouw privacy voorop. Lees welke gegevens we verwerken, waarom en welke rechten je hebt. Over ons · Contact

Laatst bijgewerkt: 2026‑02‑21

Privacyverklaring

Bij HeyDoc staat jouw privacy voorop. In deze verklaring leggen we uit welke gegevens we verwerken, waarom en welke rechten je hebt.

Reikwijdte

Deze verklaring geldt voor de website en het patiëntenportaal op heydoc.nl, het zorgverlenersportaal op care.heydoc.nl, de mobiele app, inloggen via Firebase Authentication (e-mail + wachtwoord met verplichte tweestapsverificatie) en beveiligde communicatie via CometChat. Alle verkeer loopt via Cloudflare (CDN en webapplicatiefirewall). De backend draait op Google Cloud Platform (regio europe-west4, Nederland).

Rechtsgronden

We verwerken gegevens alleen wanneer daar een rechtsgrond voor is: • Uitvoering van de behandelrelatie (AVG art. 6 lid 1 sub b) • Wettelijke verplichtingen zoals de dossierplicht (AVG art. 6 lid 1 sub c) • Verwerking van gezondheidsgegevens ten behoeve van zorgverlening (AVG art. 9 lid 2 sub h) • Beveiliging en fraudepreventie (AVG art. 6 lid 1 sub f) • Identificatie via het BSN op grond van de Wet gebruik burgerservicenummer in de zorg (Wbsn-z)

Welke gegevens verwerken we

  • Identificatie: naam, geboortedatum, geslacht, adres, telefoon, e-mail
  • BSN: het Burgerservicenummer wordt versleuteld opgeslagen (hash PBKDF2-SHA256 voor lookup, AES voor opslag). Voor declaratie aan verzekeraars, wettelijk verplicht (HA304/EDIFACT), wordt het alleen tijdelijk ontsleuteld voor geautoriseerde zorgverleners. Het BSN wordt niet permanent in leesbare vorm bewaard. Deze aanpak voldoet aan de Wbsn-z en NEN 7510.
  • Medische gegevens: klachten, diagnoses, behandelingen, medicatie, laboratoriumuitslagen, verwijzingen
  • Communicatie: berichten tussen jou en je huisarts
  • Account: e-mailadres en gehasht wachtwoord (Firebase Authentication)
  • Technisch: IP-adres en tijdstip bij inloggen, beveiligingslogs

Tweestapsverificatie (MFA)

Tweestapsverificatie is verplicht voor alle gebruikers. We gebruiken uitsluitend TOTP (Time-based One-Time Password) via een authenticator-app zoals Google Authenticator of Authy.

Logging

Alle toegang tot patiëntgegevens wordt vastgelegd conform NEN 7513. Per gebeurtenis wordt geregistreerd wie, wat, wanneer en waar. Deze logs worden 7 jaar bewaard en zijn niet te wijzigen.

Bewaartermijnen

Je medisch dossier wordt bewaard gedurende 20 jaar na het laatste contact met je huisarts. Dit is een wettelijke verplichting op grond van de WGBO (art. 454). Audit logs worden 7 jaar bewaard. Sessiegegevens worden automatisch verwijderd na 24 uur.

Inzage in je dossier

Je kunt je medisch dossier inzien via het patiëntenportaal. Je hebt recht op correctie van onjuiste gegevens via je huisarts. Verwijdering is mogelijk maar beperkt door de wettelijke bewaartermijn.

Kunstmatige intelligentie (AI)

Bij HeyDoc gebruiken we AI als hulpmiddel voor onze zorgverleners. Het helpt bij het opstellen van verslagen, het structureren van aantekeningen en het formuleren van berichten aan patiënten. De AI werkt uitsluitend onder toezicht van je arts of assistent, zij beoordelen en bepalen altijd wat er uiteindelijk in je dossier komt. De AI stelt geen diagnoses en neemt geen beslissingen over je behandeling. Er worden geen namen, BSN of andere persoonsgegevens aan de AI doorgegeven voor analyse. Je gegevens worden veilig verwerkt binnen de EU.

Verwerkers

We maken gebruik van de volgende verwerkers. Alle verwerkers zijn gevestigd binnen de Europese Economische Ruimte. Je gegevens verlaten de EU niet.

  • Google Cloud Platform (Ierland), database, opslag, authenticatie, FHIR Healthcare API
  • Cloudflare (EU), CDN, webapplicatiefirewall, DDoS-bescherming
  • CometChat (Ierland), berichtenfunctionaliteit
  • Microsoft Azure (West Europe), spraakherkenning, AI‑assistentie voor verslaglegging
  • Zorgmail / ENOVATION (Nederland), beveiligde verwijzingen

Met alle verwerkers zijn verwerkersovereenkomsten gesloten.

Beveiliging

We hebben onder andere de volgende maatregelen getroffen: • Versleuteling van alle gegevens tijdens transport (TLS 1.2+) en opslag (AES-256) • Verplichte tweestapsverificatie voor alle gebruikers • Automatische uitlog na 15 minuten inactiviteit • Volledige audit logging conform NEN 7513 • Dagelijkse versleutelde back-ups met geografische redundantie binnen de EU • Jaarlijkse externe penetratietest

Cookies

We gebruiken alleen functionele en beveiligingscookies (Cloudflare en Firebase). Geen advertentie- of trackingcookies.

Delen van gegevens

We verkopen je gegevens niet. Gegevens worden alleen gedeeld met de hierboven genoemde verwerkers onder contract, of wanneer we daartoe wettelijk verplicht zijn.

Datalekken

Bij een (vermoedelijk) datalek handelen we conform de AVG, inclusief melding aan de Autoriteit Persoonsgegevens binnen 72 uur en aan betrokkenen indien er sprake is van een hoog risico.

Wijzigingen

We kunnen deze verklaring aanpassen. Bij ingrijpende wijzigingen informeren we je via het portaal of per e-mail.

Je rechten

Je hebt recht op inzage, rectificatie, verwijdering (beperkt door bewaartermijn), beperking van verwerking, dataportabiliteit en bezwaar. Dien je verzoek in via [email protected]. We reageren binnen één maand.

Contact

Vragen of verzoeken over privacy: [email protected] Klachten kun je indienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl). HeyDoc, KvK 99267330, Lammenschansweg 15b, 2313DH Leiden

Meer weten over onze werkwijze?Over onsofContact.

We verwerken alleen wat nodig is voor veilige, vertrouwelijke en rechtmatige zorg.

Wij gebruiken functionele cookies voor een veilige werking van het patiëntenportaal. Privacybeleid