✦ Juridisch document

Privacyverklaring

Alyden | Versie 1.5 | mei 2025

1. Wie zijn wij?

Alyden is een webapplicatie voor AI-ondersteunde klinische redenering, ontwikkeld voor zorgverleners en zorgstudenten. De dienst wordt aangeboden door:

Kelsey de Haan
Nieuwegein, Nederland
E-mail: privacy@alyden.nl
Website: https://alyden.nl

Kelsey de Haan is de verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG).

2. Welke persoonsgegevens verwerken wij?

2.1 Accountgegevens

Bij registratie verzamelen wij de volgende gegevens:

  • Voornaam en achternaam
  • E-mailadres
  • Functie of rol (bijv. verpleegkundige, student)
  • Wachtwoord (versleuteld opgeslagen, nooit leesbaar voor ons)

2.2 Factuurgegevens

Voor het verwerken van betalingen en het opstellen van facturen verwerken wij:

  • Naam en adresgegevens (straat, postcode, woonplaats)
  • Betaalhistorie en abonnementsstatus (via Stripe)

Wij slaan geen bankrekening- of creditcardgegevens op. Betalingen worden verwerkt door Stripe - zie artikel 6.

2.3 Ingevoerde klinische informatie en bijzondere persoonsgegevens

Alyden genereert op basis van door de gebruiker ingevoerde klinische bevindingen documenten zoals SBAR-rapporten, verpleegkundige rapportages, dienstoverdrachten en overige uitvoertypen. Alyden is ontworpen voor verwerking van geanonimiseerde klinische beschrijvingen en neemt passende technische en organisatorische maatregelen om verwerking van direct herleidbare patiëntgegevens te voorkomen. Gebruikers kunnen in de praktijk medische informatie invoeren en blijven daarvoor zelf verantwoordelijk.

Alyden is niet bedoeld voor de opslag van direct herleidbare patiëntgegevens. Gebruikers zijn zelf verantwoordelijk voor het correct anonimiseren van alle ingevoerde informatie voordat zij deze in de applicatie invoeren.

Indien gebruikers onvoldoende anonimiseren, kan ingevoerde medische informatie kwalificeren als bijzondere persoonsgegevens in de zin van artikel 9 AVG (gegevens over gezondheid). In dat geval rust op de gebruiker als zorgprofessional een zelfstandige verantwoordelijkheid conform de toepasselijke wet- en regelgeving, waaronder de AVG en de WGBO.

Ingevoerde klinische informatie wordt uitsluitend verwerkt voor het genereren van de gevraagde klinische output en voor de doeleinden beschreven in artikel 2.4 (logging). Gegenereerde outputs zijn zichtbaar voor de gebruiker die ze heeft aangemaakt. Binnen organisatieaccounts kan toegang tot outputs beperkt beschikbaar zijn voor geautoriseerde organisatiebeheerders, uitsluitend voor beheer- en ondersteuningsdoeleinden. Er vindt geen profiling of geautomatiseerde besluitvorming plaats in de zin van artikel 22 AVG. De gegenereerde outputs zijn uitsluitend adviserend van aard, dienen als ondersteuning van professioneel klinisch handelen en vervangen geen professioneel medisch oordeel.

2.4 Technische gegevens

Bij gebruik van de applicatie worden automatisch technische gegevens verwerkt die noodzakelijk zijn voor de werking van de dienst, zoals sessie-informatie en toegangslogs. Ingevoerde prompts en gegenereerde outputs kunnen tijdelijk worden opgeslagen voor functionaliteit, beveiliging, ondersteuning en kwaliteitsbewaking van de dienst. Wij maken geen gebruik van tracking- of analytische cookies.

3. Waarvoor gebruiken wij uw gegevens?

Wij verwerken uw persoonsgegevens uitsluitend voor de volgende doeleinden:

  • Het aanmaken en beheren van uw gebruikersaccount
  • Het verlenen van toegang tot de Alyden-applicatie en haar functies
  • Het genereren van klinische outputs op basis van ingevoerde informatie
  • Het verwerken van betalingen en het versturen van facturen
  • Het versturen van transactionele e-mails (welkomstmail, wachtwoordreset, serviceberichten)
  • Het informeren over belangrijke updates of wijzigingen in de dienst
  • Het nakomen van wettelijke verplichtingen

Er vindt geen profiling, geautomatiseerde besluitvorming of gebruik van gegevens voor marketingdoeleinden van derden plaats. Alyden neemt geen geautomatiseerde besluiten met rechtsgevolgen; alle gegenereerde output dient uitsluitend als ondersteuning van professioneel klinisch handelen. Wij verkopen uw gegevens nooit aan derden.

4. Op welke rechtsgrond verwerken wij uw gegevens?

Wij verwerken uw persoonsgegevens op de volgende grondslagen:

  • Uitvoering van de overeenkomst: het leveren van de dienst waarvoor u zich heeft ingeschreven.
  • Wettelijke verplichting: het bewaren van financiële gegevens conform de fiscale bewaarplicht.
  • Gerechtvaardigd belang: het sturen van serviceberichten over de werking of wijzigingen van Alyden.

5. Verwerkers en doorgifte buiten de EER

Alyden sluit met alle verwerkers die namens haar persoonsgegevens verwerken verwerkersovereenkomsten conform artikel 28 AVG. Waar deze nog niet formeel zijn vastgelegd, is dit in voorbereiding.

Indien persoonsgegevens buiten de Europese Economische Ruimte (EER) worden verwerkt, gebeurt dit uitsluitend op basis van passende waarborgen, zoals Standard Contractual Clauses (SCC's) conform artikel 46 AVG, of op basis van deelname aan het EU-US Data Privacy Framework.

Hetzner Online GmbH

Onze server en database worden gehost bij Hetzner in Duitsland. Hetzner verwerkt gegevens binnen de Europese Unie en valt daarmee volledig onder de AVG.

OpenAI

Voor het genereren van klinische documenten maken wij gebruik van de API van OpenAI. De door u ingevoerde klinische bevindingen worden naar OpenAI verzonden voor tekstgeneratie. OpenAI is gevestigd in de Verenigde Staten; gegevens kunnen buiten de Europese Economische Ruimte worden verwerkt. De doorgifte vindt plaats op basis van Standard Contractual Clauses (SCC'’'s) conform artikel 46 AVG en/of het EU-US Data Privacy Framework. OpenAI gebruikt gegevens die via de API worden aangeboden niet voor het trainen van modellen; dit geldt voor alle API-gebruik per 1 maart 2023. OpenAI bewaart standaard abuse monitoring logs, technische logs ten behoeve van misbruikdetectie, gedurende maximaal 30 dagen. Met OpenAI wordt een verwerkersovereenkomst gesloten conform artikel 28 AVG; dit is momenteel in voorbereiding.

Stripe

Betalingen worden verwerkt via Stripe. Stripe verwerkt uw betaalgegevens als zelfstandige verwerkingsverantwoordelijke conform hun eigen privacybeleid. Stripe is gecertificeerd onder het EU-US Data Privacy Framework. Stripe bewaart betaalhistorie conform wettelijke vereisten.

Mijndomein.nl

Ons e-mailadres is gehost bij Mijndomein. Transactionele e-mails worden via deze dienst verzonden. Mijndomein is een Nederlandse aanbieder en verwerkt gegevens binnen de EER.

6. Hoe lang bewaren wij uw gegevens?

Wij hanteren de volgende bewaartermijnen:

  • Accountgegevens en gegenereerde outputs: worden bewaard zolang u een actief account heeft. Na opzegging worden uw gegevens 30 dagen bewaard zodat u toegang kunt aanvragen of uw account kunt heractiveren. Na 30 dagen worden uw gegevens verwijderd uit onze actieve systemen. Gegevens kunnen gedurende maximaal 30 dagen aanwezig blijven in beveiligde back-ups voordat deze automatisch worden overschreven.
  • Betaalgegevens: Stripe bewaart betaalhistorie conform de geldende fiscale bewaarplicht (doorgaans 7 jaar). Wij hebben hierop geen invloed.
  • E-mailcommunicatie: e-mails worden bewaard zolang noodzakelijk voor de afhandeling van uw verzoek.
  • OpenAI abuse monitoring logs: technische logs die OpenAI aanmaakt ten behoeve van misbruikdetectie worden door OpenAI standaard maximaal 30 dagen bewaard. Alyden heeft geen directe invloed op deze bewaartermijn.

7. Uw rechten

Op grond van de AVG heeft u de volgende rechten met betrekking tot uw persoonsgegevens:

  • Recht op inzage: u kunt opvragen welke gegevens wij van u verwerken.
  • Recht op correctie: u kunt onjuiste gegevens laten corrigeren.
  • Recht op verwijdering: u kunt verzoeken uw gegevens te laten verwijderen ('recht om vergeten te worden').
  • Recht op beperking van verwerking: u kunt in bepaalde gevallen verzoeken de verwerking te beperken.
  • Recht op overdraagbaarheid: u kunt uw gegevens in een gangbaar formaat opvragen.
  • Recht van bezwaar: u kunt bezwaar maken tegen bepaalde vormen van verwerking.

U kunt uw verzoeken indienen via privacy@alyden.nl. Wij streven ernaar uw verzoek binnen 30 dagen te behandelen.

Indien u van mening bent dat wij uw gegevens niet conform de AVG verwerken, heeft u het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).

8. Richtlijn: geen identificerende patiëntgegevens

Alyden is ontworpen voor klinische redenering op basis van geanonimiseerde beschrijvingen en is niet bedoeld voor de opslag van direct herleidbare patiëntgegevens. Gebruikers zijn zelf verantwoordelijk voor het correct anonimiseren van alle informatie voordat zij deze invoeren.

Voer nooit de volgende patiëntgegevens in:

  • Namen of initialen van patiënten
  • Burgerservicenummers (BSN)
  • Geboortedatums of exacte leeftijden gekoppeld aan andere identificerende informatie
  • Adressen of contactgegevens van patiënten

Door gebruik te maken van Alyden bevestigt u dat u deze richtlijn naleeft en dat u als zorgprofessional verantwoordelijk bent voor correcte anonimisering van alle ingevoerde informatie.

9. Beveiliging

Wij nemen de bescherming van uw gegevens serieus en treffen passende technische en organisatorische maatregelen, waaronder:

  • Versleutelde verbindingen via HTTPS/TLS voor alle communicatie
  • Versleutelde opslag van wachtwoorden (hashing)
  • Beveiligde API-communicatie met verwerkers zoals OpenAI en Stripe
  • Toegangscontrole en minimale toegangsrechten: alleen geautoriseerde systemen en personen hebben toegang tot de database
  • Logging van toegang en systeemactiviteiten
  • Hosting bij Hetzner in beveiligde datacenters in de EU
  • Regelmatige updates en patchmanagement van serversoftware
  • Back-upbeleid voor het voorkomen van gegevensverlies

Ondanks onze maatregelen kan geen enkele beveiliging absolute garanties bieden. Bij een vermoeden van misbruik verzoeken wij u dit direct te melden via privacy@alyden.nl.

10. Datalekken en beveiligingsincidenten

Bij een beveiligingsincident of datalek handelen wij conform de wettelijke meldplicht datalekken (artikel 33 en 34 AVG). Dit betekent:

  • Ernstige datalekken worden binnen 72 uur gemeld bij de Autoriteit Persoonsgegevens.
  • Betrokkenen worden zo spoedig mogelijk geïnformeerd indien het datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert.

Wij houden een intern register bij van beveiligingsincidenten conform artikel 33 lid 5 AVG.

11. Cookies

Alyden maakt uitsluitend gebruik van functioneel noodzakelijke cookies. Wij plaatsen geen tracking- of analytische cookies.

De volgende cookies worden gebruikt:

  • Sessiecookie: noodzakelijk om u ingelogd te houden tijdens uw sessie. Vervalt bij het sluiten van de browser.
  • Stripe cookies: technisch noodzakelijk voor de verwerking van betalingen via Stripe.

Omdat wij uitsluitend functioneel noodzakelijke cookies gebruiken, is hiervoor geen toestemming vereist.

12. Minimumleeftijd

Alyden is bestemd voor zorgprofessionals en zorgstudenten van 16 jaar en ouder. Bij registratie dient u te bevestigen dat u 16 jaar of ouder bent. Indien wij constateren dat gegevens zijn verwerkt van personen jonger dan 16 jaar zonder geldige toestemming, zullen wij deze gegevens zo spoedig mogelijk verwijderen.

13. Data Protection Impact Assessment (DPIA)

Alyden verwerkt mogelijk gegevens in een zorgcontext waarbij gebruik wordt gemaakt van AI-technologie. Omdat de verwerking mogelijk bijzondere persoonsgegevens betreft in de zin van artikel 9 AVG, beoordeelt Alyden periodiek of een Data Protection Impact Assessment (DPIA) verplicht is conform artikel 35 AVG en voert deze uit wanneer de aard, omvang of context van de verwerking daartoe aanleiding geeft. Een DPIA is onderdeel van de complianceplanning van Alyden voorafgaand aan bredere uitrol in een zorgsetting.

14. Wijzigingen in deze privacyverklaring

Wij behouden ons het recht voor deze privacyverklaring te wijzigen. Bij wezenlijke wijzigingen informeren wij u per e-mail. De meest actuele versie is altijd beschikbaar op onze website.

Versie 1.5 - mei 2025

15. Contact

Voor vragen, verzoeken of opmerkingen over deze privacyverklaring kunt u contact opnemen via: privacy@alyden.nl