--- title: "Privacyverklaring | HeyDoc" description: "Privacyverklaring HeyDoc. Hoe wij omgaan met uw persoonsgegevens, rechten en beveiliging volgens de AVG." url: https://heydoc.nl/privacy lang: nl source: heydoc.nl generated: 2026-04-24T20:56:15.613Z --- ## Privacyverklaring Bij HeyDoc staat jouw privacy voorop. In deze verklaring leggen we uit welke gegevens we verwerken, waarom en welke rechten je hebt. ## Reikwijdte Deze verklaring geldt voor de website en het patiëntenportaal op heydoc.nl, het zorgverlenersportaal op care.heydoc.nl, de mobiele app, inloggen via Firebase Authentication (e-mail + wachtwoord met verplichte tweestapsverificatie) en beveiligde communicatie via CometChat. Alle verkeer loopt via Cloudflare (CDN en webapplicatiefirewall). De backend draait op Google Cloud Platform (regio europe-west4, Nederland). ## Rechtsgronden We verwerken gegevens alleen wanneer daar een rechtsgrond voor is: • Uitvoering van de behandelrelatie (AVG art. 6 lid 1 sub b) • Wettelijke verplichtingen zoals de dossierplicht (AVG art. 6 lid 1 sub c) • Verwerking van gezondheidsgegevens ten behoeve van zorgverlening (AVG art. 9 lid 2 sub h) • Beveiliging en fraudepreventie (AVG art. 6 lid 1 sub f) • Identificatie via het BSN op grond van de Wet gebruik burgerservicenummer in de zorg (Wbsn-z) ## Welke gegevens verwerken we - Identificatie: naam, geboortedatum, geslacht, adres, telefoon, e-mail - BSN: het Burgerservicenummer wordt versleuteld opgeslagen (hash PBKDF2-SHA256 voor lookup, AES voor opslag). Voor declaratie aan verzekeraars, wettelijk verplicht (HA304/EDIFACT), wordt het alleen tijdelijk ontsleuteld voor geautoriseerde zorgverleners. Het BSN wordt niet permanent in leesbare vorm bewaard. Deze aanpak voldoet aan de Wbsn-z en NEN 7510. - Medische gegevens: klachten, diagnoses, behandelingen, medicatie, laboratoriumuitslagen, verwijzingen - Communicatie: berichten tussen jou en je huisarts - Account: e-mailadres en gehasht wachtwoord (Firebase Authentication) - Technisch: IP-adres en tijdstip bij inloggen, beveiligingslogs ## Tweestapsverificatie (MFA) Tweestapsverificatie is verplicht voor alle gebruikers. We gebruiken uitsluitend TOTP (Time-based One-Time Password) via een authenticator-app zoals Google Authenticator of Authy. ## Logging Alle toegang tot patiëntgegevens wordt vastgelegd conform NEN 7513. Per gebeurtenis wordt geregistreerd wie, wat, wanneer en waar. Deze logs worden 7 jaar bewaard en zijn niet te wijzigen. ## Bewaartermijnen Je medisch dossier wordt bewaard gedurende 20 jaar na het laatste contact met je huisarts. Dit is een wettelijke verplichting op grond van de WGBO (art. 454). Audit logs worden 7 jaar bewaard. Sessiegegevens worden automatisch verwijderd na 24 uur. ## Inzage in je dossier Je kunt je medisch dossier inzien via het patiëntenportaal. Je hebt recht op correctie van onjuiste gegevens via je huisarts. Verwijdering is mogelijk maar beperkt door de wettelijke bewaartermijn. ## Kunstmatige intelligentie (AI) Bij HeyDoc gebruiken we AI als hulpmiddel voor onze zorgverleners. Het helpt bij het opstellen van verslagen, het structureren van aantekeningen en het formuleren van berichten aan patiënten. De AI werkt uitsluitend onder toezicht van je arts of assistent, zij beoordelen en bepalen altijd wat er uiteindelijk in je dossier komt. De AI stelt geen diagnoses en neemt geen beslissingen over je behandeling. Er worden geen namen, BSN of andere persoonsgegevens aan de AI doorgegeven voor analyse. Je gegevens worden veilig verwerkt binnen de EU. ## Verwerkers We maken gebruik van de volgende verwerkers. Alle verwerkers zijn gevestigd binnen de Europese Economische Ruimte. Je gegevens verlaten de EU niet. - Google Cloud Platform (Ierland), database, opslag, authenticatie, FHIR Healthcare API - Cloudflare (EU), CDN, webapplicatiefirewall, DDoS-bescherming - CometChat (Ierland), berichtenfunctionaliteit - Microsoft Azure (West Europe), spraakherkenning, AI‑assistentie voor verslaglegging - Zorgmail / ENOVATION (Nederland), beveiligde verwijzingen Met alle verwerkers zijn verwerkersovereenkomsten gesloten. ## Beveiliging We hebben onder andere de volgende maatregelen getroffen: • Versleuteling van alle gegevens tijdens transport (TLS 1.2+) en opslag (AES-256) • Verplichte tweestapsverificatie voor alle gebruikers • Automatische uitlog na 15 minuten inactiviteit • Volledige audit logging conform NEN 7513 • Dagelijkse versleutelde back-ups met geografische redundantie binnen de EU • Jaarlijkse externe penetratietest ## Cookies We gebruiken alleen functionele en beveiligingscookies (Cloudflare en Firebase). Geen advertentie- of trackingcookies. ## Delen van gegevens We verkopen je gegevens niet. Gegevens worden alleen gedeeld met de hierboven genoemde verwerkers onder contract, of wanneer we daartoe wettelijk verplicht zijn. ## Datalekken Bij een (vermoedelijk) datalek handelen we conform de AVG, inclusief melding aan de Autoriteit Persoonsgegevens binnen 72 uur en aan betrokkenen indien er sprake is van een hoog risico. ## Wijzigingen We kunnen deze verklaring aanpassen. Bij ingrijpende wijzigingen informeren we je via het portaal of per e-mail. ## Je rechten Je hebt recht op inzage, rectificatie, verwijdering (beperkt door bewaartermijn), beperking van verwerking, dataportabiliteit en bezwaar. Dien je verzoek in via[privacy@heydoc.nl](mailto:privacy@heydoc.nl). We reageren binnen één maand. ## Contact Vragen of verzoeken over privacy: privacy@heydoc.nl Klachten kun je indienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl). HeyDoc, KvK 99267330, Lammenschansweg 15b, 2313DH Leiden Meer weten over onze werkwijze?[Over ons](https://heydoc.nl/over-ons)of[Contact](https://heydoc.nl/contact). We verwerken alleen wat nodig is voor veilige, vertrouwelijke en rechtmatige zorg. [home](https://heydoc.nl/) Ontdek Meer [Patiënt wordenSchrijf je eenvoudig in en krijg toegang tot digitale zorg](https://heydoc.nl/patient-worden) [ContactNeem contact op met onze praktijk](https://heydoc.nl/contact) [Veelgestelde VragenVind antwoorden op veelgestelde vragen over onze dienstverlening](https://heydoc.nl/faq)