Privacy & databeveiliging

  1. home
  2. Voor Adminbeheerders / Praktijkeigenaren
  3. Oriëntatie & introductie
  4. Privacy & databeveiliging

Privacy en databeveiliging bij HealthTrain: gegevensbescherming staat voorop

HealthTrain maakt digitale zorg eenvoudig. Hierbij wordt persoonlijke informatie van zorgverleners en cliënten verwerkt. Veiligheid en zorgvuldigheid in de gegevensverwerking zijn hierbij topprioriteit. De bedrijfsprocessen zijn ingericht om dit te waarborgen.

Zo wordt informatiebeveiliging geborgd

HealthTrain hanteert internationaal erkende normen om de veiligheid van informatie te garanderen.

Strenge normen en jaarlijkse audits

  • ISO 27001 certificering (sinds 2024): Deze certificering bevestigt dat HealthTrain voldoet aan de hoogste standaarden voor informatiebeveiliging in de dienstverlening en infrastructuur. Er gelden strenge eisen voor productontwikkeling, IT infrastructuurbeheer en de screening van medewerkers en leveranciers.

  • NEN 7510: Specifiek voor informatiebeveiliging in de zorg is de Nederlandse NEN 7510 norm geïmplementeerd. Deze norm stelt aanvullende eisen aan de ontwikkeling, hosting en het testen van de diensten. Toegang tot persoonlijke data wordt op individueel niveau gecontroleerd en gelogd. Alleen medewerkers met een legitieme aanleiding mogen gegevens inzien, om ongeoorloofde toegang te signaleren en te voorkomen.

  • Jaarlijkse onafhankelijke audits: Om te controleren of de dagelijkse praktijk aansluit bij het beleid en de eisen van ISO 27001 en NEN 7510, ondergaat HealthTrain jaarlijks onafhankelijke audits. De gehele bedrijfsvoering valt onder deze controle.

Privacybeleid: hoe gegevens worden verwerkt

HealthTrain verwerkt gegevens conform de AVG/GDPR richtlijnen en op basis van een verwerkersovereenkomst met de zorgverlener. Transparantie en de rechten van betrokkenen zijn hierbij essentieel. Een verzoek tot inzage of wissen kan eenvoudig via het platform worden ingediend, waarna de zorgverlener het verzoek tot gegevensverwijdering ontvangt.

Wanneer en welke gegevens worden verzameld?

HealthTrain kan op verschillende momenten gegevens verkrijgen. Hieronder staat per situatie uitgelegd hoe dat gebeurt en welke gegevens het betreft:

  • Als websitebezoeker: Bij een bezoek aan de website worden persoonsgegevens zoals IP adressen en browserinstellingen verwerkt voor toegang en functionele werking van de website. Bij contact via chat of formulieren worden contactgegevens (naam, bedrijf, e-mail, telefoonnummer, land en de inhoud van het bericht) vastgelegd. Deze informatie wordt tot 1 jaar na afronding van het contact bewaard in het klantbeheersysteem voor opvolging.

  • Als aanvrager van een proefversie of licentie: Vraagt u een gratis proefversie of licentie aan, dan wordt gevraagd om naam, bedrijf, aard van de aanvrager (professional of cliënt), e-mailadres, telefoonnummer en land. Deze gegevens worden gebruikt voor de beoordeling van de aanvraag en het toekennen van een persoonlijk account. Bij het aangaan van een klantrelatie blijven de gegevens bewaard zolang de licentie loopt. Indien er geen klantrelatie tot stand komt, worden de gegevens bewaard om te informeren over relevante ontwikkelingen, tenzij een uitschrijfverzoek wordt ontvangen.

  • Als licentiehouder van het HealthTrain Platform: Als bestaande licentiehouder worden contact- en bedrijfsgegevens (naam, bedrijf, e-mail, woonadres, telefoonnummer, land en betaalgegevens) verwerkt om de overeenkomst na te komen en gebruikersaccounts te beheren. Bij het toevoegen van extra gebruikers kunnen naam, e-mail, telefoonnummer en geboortedatum worden ingevoerd. Deze gegevens worden bewaard voor de duur van de licentie en in principe 2 jaar na deactivering van het account.

  • Als eindgebruiker van de HealthTrain app (cliënt): Gegevens van cliënten worden verwerkt in opdracht van de zorginstelling of professional die toegang heeft verleend tot de app. Deze licentiehouders zijn de primaire verzamelaars van de gegevens. HealthTrain levert, onderhoudt en host het platform en de daarin opgeslagen gegevens. Het is raadzaam ook de privacyverklaring van de zorginstelling te raadplegen.

    • Welke gegevens worden opgeslagen? Persoonlijke identificatiegegevens (naam, e-mail, telefoonnummer), naam en e-mail van de zorgverlener, geplande afspraken, de geregistreerde zorginstelling, het trainings/therapieprogramma en voortgangsgegevens. Tevens eventuele documenten, foto’s of video’s die door de cliënt of zorgverlener worden geüpload.

    • Hoe worden gegevens verkregen? Gegevens worden verkregen wanneer de zorgverlener een gebruikersaccount aanmaakt in de app of een gekoppeld EPD. Deze kunnen ook het account bijwerken of voortgangsinformatie invoeren. Daarnaast kunnen de cliënt of zorgverlener documenten, foto’s of video’s uploaden.

    • Hoe worden gegevens gebruikt? Gegevens worden gebruikt om de cliënt toegang tot het platform te bieden, voortgang te registreren en een op maat gemaakte behandelingsaanpak te faciliteren. Tevens draagt dit bij aan de verbetering van de app en de waarborging van gegevensveiligheid.

    • Worden gegevens gedeeld met derden? Gegevens worden uitsluitend gedeeld met (sub)verwerkers waarmee HealthTrain strikte verwerkersovereenkomsten heeft gesloten, zoals Google LLC (Firebase, Google Workspace), Slack, Stripe, Hubspot en andere. Integratie met een EPD systeem van de zorginstelling kan betekenen dat bepaalde gegevens ook daar worden opgeslagen als onderdeel van het medisch dossier.

  • Bij contact met de supportafdeling: Afhankelijk van de aard van de vraag, worden relevante gegevens zoals naam, bedrijf, e-mail, telefoonnummer, land, organisatie of cliëntgegevens en de details van het verzoek verzameld. Deze informatie wordt opgeslagen in het klantbeheersysteem en bewaard tot 1 jaar na afronding van het verzoek, of zolang er een bestaande klantrelatie is.

Veilige gegevensverwerking

HealthTrain verwerkt alle gegevens op een veilige manier. Er zijn passende technische en organisatorische maatregelen genomen om de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens te waarborgen. Medewerkers zijn getraind in privacy principes en hebben geheimhoudingsovereenkomsten ondertekend. Gegevens worden opgeslagen op servers van betrouwbare partners binnen de Europese Economische Ruimte (EER), in Nederland. HealthTrain voldoet aan de AVG/GDPR en lokale wetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG).


Rechten van betrokkenen: controle over eigen gegevens

HealthTrain waarborgt alle rechten met betrekking tot gegevensbescherming voor betrokkenen.

Aanspreekpunt voor rechten

  • Als eindgebruiker via een zorgverlener: Indien de zorgverlener of praktijk een licentiehouder van HealthTrain is, treedt HealthTrain op als de verwerker van persoonsgegevens. In dit geval dient contact opgenomen te worden met de zorginstelling of professional om rechten uit te oefenen. Deze partijen zijn het primaire aanspreekpunt en verantwoordelijk voor de afhandeling van het verzoek. HealthTrain ondersteunt hierbij indien de instelling daartoe opdracht geeft.

  • Als HealthTrain de verwerkingsverantwoordelijke is: Wanneer HealthTrain de verwerkingsverantwoordelijke is (bijvoorbeeld bij websitegebruik of een directe overeenkomst voor het platform), is HealthTrain verantwoordelijk voor de adequate afhandeling van het verzoek. De supportdesk is bereikbaar via chat of de contactpagina op de website.

Rechten van betrokkenen omvatten:

  • Recht op toegang: Een kopie van de gegevens kan worden opgevraagd.

  • Recht op rectificatie: Onjuiste of onvolledige informatie kan worden gecorrigeerd of aangevuld.

  • Recht op wissen (recht om vergeten te worden): Onder bepaalde voorwaarden kan worden verzocht om gegevens te wissen.

  • Recht op beperking van de verwerking: Onder bepaalde voorwaarden kan worden verzocht om de verwerking van gegevens te beperken.

  • Recht om bezwaar te maken tegen verwerking: Onder bepaalde voorwaarden kan bezwaar worden gemaakt tegen de verwerking van gegevens.

  • Recht op gegevensoverdraagbaarheid/dataportabiliteit: Onder bepaalde voorwaarden kan worden verzocht om gegevens over te dragen aan een andere organisatie of direct aan betrokkene.

  • Intrekken van eerder gegeven toestemming: Eerder gegeven toestemming voor het verwerken van persoonsgegevens kan worden ingetrokken.

Belangrijke overwegingen: Voor identiteitsverificatie kan om specifieke informatie worden gevraagd. Dit is een veiligheidsmaatregel. Weigering om informatie te delen, of het uitoefenen van rechten kan de functionaliteit van de app of diensten (zoals support) geheel of gedeeltelijk beperken. Tevens kunnen er wettelijke beperkingen gelden.

Cookies en koppelingen

  • Cookies: HealthTrain maakt gebruik van functionele, marketing en analytische cookies om het websitebezoek te optimaliseren en functies mogelijk te maken. Voor marketing en analytische cookies is voorafgaande toestemming vereist. Voorkeuren kunnen worden beheerd via de cookiebanner of het cookiebeheer.

  • Koppelingen met Google Fit en Apple Health: Het HealthTrain Platform kan worden geïntegreerd met Google Fit en Apple Health accounts. Het gebruik van informatie van Google Fit API’s voldoet aan de richtlijnen van Google.

  • Links naar sociale media en andere websites: De website bevat knoppen naar sociale media kanalen (zoals LinkedIn, Facebook, X en Instagram), die cookies van derden kunnen plaatsen. Raadpleeg het privacybeleid van het betreffende social media kanaal voor meer informatie. De website kan ook links naar externe websites bevatten; HealthTrain heeft geen invloed op de gegevensverwerking door deze externe partijen.


Wijzigingen en contact

Het HealthTrain Platform en de diensten zijn continu in ontwikkeling. Om deze reden behoudt HealthTrain het recht voor om de privacyverklaring aan te vullen of te wijzigen, zonder voorafgaande kennisgeving. Raadpleeg de website regelmatig voor de meest recente versie.

Fusie of overname?

Bij een eventuele verkoop, fusie of reorganisatie van HealthTrain kan dit leiden tot het bekendmaken van gegevens buiten de organisatie. In dergelijke gevallen wordt altijd gezorgd voor passende bescherming van de persoonsgegevens.

Contact opnemen?

Voor vragen, suggesties of klachten over gegevensbescherming kan contact opgenomen worden met HealthTrain via:

HealthTrain

Grebbeberglaan 15 3.07B

3527 VX Utrecht

Tel: 030 858081285

Mail: privacy@healthtrain.app

Ontevreden?

Indien er ontevredenheid is over de behandeling van een klacht of een besluit, kan een klacht worden ingediend bij de lokale toezichthouder voor gegevensbescherming. In Nederland is dit de Autoriteit Persoonsgegevens.