Gegevensverwerkingsovereenkomst

2.1 VitaFlow Care als Verwerkingsverantwoordelijke

VitaFlow Care treedt op als Verwerkingsverantwoordelijke voor: Platformgebruikersaccounts, platformgebruiksgegevens en analyses, communicatie via onze systemen, facturering en abonnementsbeheer, marketingcommunicatie (met toestemming).

Onze verantwoordelijkheden: Doeleinden en middelen van verwerking bepalen, rechtmatige grondslag verzekeren, passende maatregelen implementeren, reageren op verzoeken van Betrokkenen, Belgische GBA van inbreuken op de hoogte stellen binnen 72 uur, verwerkingsadministratie bijhouden.

2.2 Zorgverleners als Verwerkingsverantwoordelijken

Zorgverleners treden op als Verwerkingsverantwoordelijken voor: Gezondheidsgegevens van cliënten verzameld tijdens afspraken, vragenlijstantwoorden, klinische notities en behandeldossiers, gegevens verzameld buiten het platform.

Verantwoordelijkheden van Zorgverleners: Voldoen aan AVG en Belgische gezondheidszorgwetten, uitdrukkelijke toestemming verkrijgen voor gezondheidsgegevens, professionele vertrouwelijkheid handhaven, rechtmatige grondslag hebben voor verwerking, rechten van Betrokkenen respecteren, verzekering en naleving handhaven.

2.3 VitaFlow Care als Verwerker

VitaFlow Care treedt op als Verwerker namens Zorgverleners voor: Opslag van afspraakgegevens van cliënten, berichtbezorging, opslag van vragenlijstantwoorden, beheer van cliëntdossiers.

Onze verantwoordelijkheden: Alleen verwerken volgens gedocumenteerde instructies van de Zorgverlener, vertrouwelijkheid van personeel verzekeren, beveiligingsmaatregelen implementeren, assisteren bij verzoeken van Betrokkenen, assisteren bij meldingen van inbreuken, gegevens verwijderen of retourneren op verzoek.

2.4 Gezamenlijke verwerkingsverantwoordelijken

VitaFlow Care en Zorgverleners kunnen Gezamenlijke Verwerkingsverantwoordelijken zijn voor: Afspraakboekingen en -beheer, automatische afspraakherinneringen, wachtlijstbeheer.

Gezamenlijke verantwoordelijkheden: We bepalen gezamenlijk doeleinden en middelen, informeren Betrokkenen transparant over onze respectievelijke rollen, hebben een regeling die onze respectievelijke verantwoordelijkheden bepaalt.

3.1 Toegestane verwerking

Door het platform te gebruiken, instrueren Zorgverleners VitaFlow Care om: Cliëntprofielen en afspraakgeschiedenis op te slaan, afspraakboekingen te faciliteren, berichten te bezorgen, vragenlijstantwoorden op te slaan, herinneringen en meldingen te verzenden, wachtlijsten te beheren, praktijkanalyses te verstrekken.

Verboden verwerking

VitaFlow Care zal NIET: Cliëntgegevens verwerken voor ongeautoriseerde doeleinden, Cliëntgegevens delen behalve met Sub-verwerkers, Cliëntgegevens gebruiken voor marketing zonder toestemming, gegevens verwerken buiten EU/EER zonder passende waarborgen.

3.2 Wijzigingen in instructies

Zorgverleners kunnen instructies wijzigen via dashboardinstellingen of door te e-mailen naar [email protected]. We bevestigen haalbaarheid binnen 10 werkdagen.

4.1 Geautoriseerde Sub-verwerkers

VitaFlow Care schakelt de volgende Sub-verwerkers in:

• Supabase: Database, Auth, Opslag - EU (Frankfurt, Duitsland)
• Hetzner: Backend Hosting - EU Infrastructuur
• Vercel: Frontend Hosting - EU Edge
• Cloudflare: CDN, Opslag & DNS - Wereldwijd (EU-verblijf)
• Resend: E-mailbezorging - EU Conform
• Polar: Betalingsverwerking - EU
• Google/Microsoft: Agenda API's - Wereldwijd (AVG-conform)

4.2 Vereisten voor Sub-verwerkers

We verzekeren dat alle Sub-verwerkers: Gegevens alleen verwerken volgens onze instructies, vertrouwelijkheid handhaven, passende beveiliging implementeren, assisteren bij verzoeken van Betrokkenen, ons onmiddellijk informeren over inbreuken, audits toestaan.

4.3 Wijzigingen in Sub-verwerkers

We informeren Zorgverleners minimaal 30 dagen voor het inschakelen van nieuwe Sub-verwerkers. Zorgverleners kunnen binnen 15 dagen bezwaar maken; als we niet kunnen accommoderen, kunnen ze zonder boete beëindigen.

5.1 Technische maatregelen

Versleuteling: TLS 1.3 voor gegevens in transit, AES-256 voor gegevens in rust, database-niveau versleuteling, end-to-end versleutelde back-ups.

Toegangscontrole: Op rollen gebaseerde toegangscontrole (RBAC), MFA voor beheerdersaccounts, unieke gebruikersreferenties, automatische sessietime-out, regelmatige toegangsbeoordelingen.

Netwerkbeveiliging: Firewallbescherming, inbraakdetectie en -preventie, DDoS-mitigatie (Cloudflare), VPC-isolatie, regelmatige kwetsbaarheidsscanning.

Applicatiebeveiliging: Invoervalidatie, SQL-injectiepreventie, XSS-bescherming, CSRF-bescherming, beveiligingsheaders, regelmatige codebeoordelingen.

5.2 Organisatorische maatregelen

Personeelsbeveiliging: Achtergrondcontroles, vertrouwelijkheidsovereenkomsten, regelmatige beveiligingstraining, gedocumenteerd beleid, principe van minimale rechten.

Fysieke beveiliging: ISO 27001 gecertificeerde datacenters, 24/7 beveiliging en bewaking, biometrische toegang, omgevingscontroles.

Operationele beveiliging: Wijzigingsbeheer, incidentresponsplan, bedrijfscontinuïteit en disaster recovery, regelmatige audits en penetratietesten.

5.3 Testen en audits

Regelmatige tests: Jaarlijkse penetratietesten, driemaandelijkse kwetsbaarheidsbeoordelingen, continue monitoring, halfjaarlijkse disaster recovery-testen. Compliance-audits: Jaarlijkse SOC 2 Type 2, AVG-beoordelingen, driemaandelijkse interne audits.

6.1 Assisteren bij verzoeken van Betrokkenen

Recht op inzage (Artikel 15): Data-exportfunctionaliteit, machineleesbaar formaat (JSON, CSV) binnen 30 dagen.

Recht op rectificatie (Artikel 16): Updates mogelijk maken, onnauwkeurigheden corrigeren binnen 5 werkdagen.

Recht op gegevenswissing (Artikel 17): Verwijderen op instructie binnen 30 dagen, verwijderen uit back-ups binnen 90 dagen (behalve wettelijk vereiste administratie).

Recht op gegevensoverdraagbaarheid (Artikel 20): Gestructureerd, machineleesbaar formaat, overdracht naar andere verwerkingsverantwoordelijke mogelijk maken.

Recht van bezwaar (Artikel 21): Verwerking stoppen bij bezwaar waar wettelijk toegestaan.

Recht op beperking van verwerking (Artikel 18): Verwerking tijdelijk opschorten, gegevens markeren als beperkt.

6.2 Reactietermijnen

Initiële reactie: Binnen 5 werkdagen het verzoek bevestigen.

Volledige reactie: Binnen 30 dagen (kan worden verlengd tot 60 dagen voor complexe verzoeken).

Urgente verzoeken: Geprioriteerd voor situaties met potentiële schade.

7.1 Meldingsverplichtingen

Aan Belgische GBA: Melden binnen 72 uur met inbreukbeschrijving, categorieën en omvang getroffen, waarschijnlijke gevolgen, mitigatiemaatregelen, contactpunt.

Aan getroffen Zorgverleners: Melden zonder onnodige vertraging (typisch binnen 24 uur), inbreukdetails en mitigatiestappen verstrekken.

Aan getroffen Betrokkenen (indien vereist): Direct melden bij hoog risico, duidelijke beschrijving, stappen om zichzelf te beschermen.

7.2 Inbreukresponsproces

Detectie & Indamming (0-2 uur): Getroffen systemen identificeren en isoleren, verdere toegang voorkomen, bewijs bewaren.

Beoordeling (2-24 uur): Omvang en ernst bepalen, getroffen gegevens en personen identificeren, risico beoordelen.

Melding (24-72 uur): Belgische GBA informeren (indien vereist), Zorgverleners en Betrokkenen (bij hoog risico).

Onderzoek & Herstel (72 uur - 30 dagen): Oorzaakanalyse, corrigerende maatregelen implementeren, beveiliging bijwerken.

7.3 Verplichtingen van Zorgverleners

Als Zorgverleners op de hoogte raken van een inbreuk, moeten zij: Ons onmiddellijk informeren via [email protected], incidentdetails verstrekken, meewerken aan onderzoek, vereisten voor inbreukmelding aan hun Cliënten volgen indien van toepassing.

8.1 Gegevenslocatie

Alle persoonsgegevens opgeslagen op EU-servers (Duitsland: Supabase). Back-ups opgeslagen in EU. Geen regelmatige overdrachten buiten EU/EER.

8.2 Overdrachten naar derde landen

Als overdracht buiten EU/EER noodzakelijk is, dragen we alleen over naar landen met adequate bescherming via: Adequaatheidsbesluit van de Europese Commissie (Artikel 45), Standaard Contractbepalingen (Artikel 46), Bindende Bedrijfsvoorschriften, EU-VS Data Privacy Framework.

9.1 Bewaartermijnen

Accountgegevens: Bewaard terwijl actief; verwijderd binnen 90 dagen na sluiting.

Afspraakgegevens: Eerdere afspraken bewaard gedurende 7 jaar (Belgische vereiste voor medische dossiers).

Gezondheidsgegevens (vragenlijsten): Bewaard gedurende 7 jaar na laatste afspraak of zoals vereist door professionele verplichtingen.

Berichten: Bewaard gedurende 5 jaar voor wettelijke naleving.

Financiële administratie: Bewaard gedurende 7 jaar (Belgische belastingwet).

Analysegegevens: Individuele gegevens geanonimiseerd na 2 jaar; geaggregeerde gegevens voor onbepaalde tijd bewaard.

Back-ups: Bewaard gedurende 90 dagen.

9.2 Verwijderingsprocedures

Bij accountverwijdering: Toegang onmiddellijk deactiveren, persoonsgegevens verwijderen binnen 30 dagen, verwijderen uit back-ups binnen 90 dagen, alleen wettelijk vereiste administratie behouden. Veilige verwijderingsmethoden inclusief cryptografische wissing.

9.3 Retourneren of verwijderen bij beëindiging

Bij beëindiging kunnen Zorgverleners verzoeken: Retourneren van alle Cliëntgegevens (verstrekt binnen 30 dagen), of verwijdering van alle Cliëntgegevens (voltooid binnen 90 dagen). Schriftelijke bevestiging van verwijdering verstrekt.

10.1 Aansprakelijkheid van VitaFlow Care

Wij zijn aansprakelijk voor inbreuken veroorzaakt door onze nalatigheid of opzettelijk wangedrag. Totale aansprakelijkheid zal het hoogste van €100.000 per incident of het bedrag betaald in de 12 maanden voorafgaand niet overschrijden. Dit geldt niet voor grove nalatigheid, opzettelijk wangedrag, of niet-beperkbare Belgische wetsaansprakelijkheid.

10.2 Aansprakelijkheid van Zorgverleners

Zorgverleners zijn aansprakelijk voor het verstrekken van onwettige verwerkingsinstructies, het niet verkrijgen van noodzakelijke toestemmingen, en niet-naleving van AVG-verwerkingsverantwoordelijke verplichtingen.

10.3 Wederzijdse vrijwaring

Elke partij zal de andere vrijwaren voor regelgevingsboetes, claims van derden, en kosten voor inbreukherstel voortvloeiend uit gegevensbeschermingsschendingen van de andere partij.

12.1 Auditrechten van Zorgverleners

Zorgverleners kunnen informatie, auditrapporten (SOC 2) opvragen en audits uitvoeren om AVG-naleving te verifiëren. Vereisten: 30 dagen schriftelijke kennisgeving, beperkt tot één per jaar tenzij inbreuk vermoed, Zorgverlener draagt kosten. We verstrekken jaarlijkse SOC 2 Type 2 rapporten zonder kosten.

12.2 Regelgevende audits

We werken volledig mee aan audits van de Belgische GBA en andere bevoegde toezichthoudende autoriteiten.

13.1 Escalatieproces

Voor geschillen: Eerst informele oplossing proberen, dan managementescalatie en bemiddeling. Als niet opgelost binnen 60 dagen, juridische actie bij Belgische rechtbanken.

13.2 Toezichthoudende autoriteit

Beide partijen kunnen een klacht indienen bij de Belgische Gegevensbeschermingsautoriteit.