✦ Juridisch document

Verwerkingsregister

Alyden | Versie 1.0 | 25 mei 2025 | Conform artikel 30 AVG

Organisatiegegevens

  • Naam organisatie: Alyden (Kelsey de Haan)
  • Adres: Nieuwegein, Nederland
  • Contactpersoon AVG: Kelsey de Haan
  • E-mail: privacy@alyden.nl
  • Datum laatste wijziging: 25 mei 2025

Deel A - Alyden als Verwerkingsverantwoordelijke

Dit deel bevat alle verwerkingsactiviteiten waarbij Alyden zelf het doel en de middelen van de verwerking bepaalt.

A1 - Gebruikersaccounts

Verwerkingsactiviteit: Aanmaken en beheren van gebruikersaccounts.

Doel: Toegang verlenen tot de Alyden-applicatie en de dienstverlening uitvoeren.
Rechtsgrond: Uitvoering van de overeenkomst (art. 6 lid 1 sub b AVG).

Categorieën betrokkenen: Zorgprofessionals, zorgstudenten, medewerkers van organisaties.
Categorieën persoonsgegevens: Voornaam, achternaam, e-mailadres, functie/rol, wachtwoord (versleuteld).
Bijzondere persoonsgegevens: Nee.

Bewaartermijn: Zolang het account actief is; 30 dagen na opzegging; daarna verwijderd.
Ontvangers / verwerkers: Hetzner Online GmbH (hosting/database, EU).
Doorgifte buiten EER: Nee.

Beveiligingsmaatregelen: HTTPS/TLS, wachtwoordhashing, toegangscontrole, hosting EU.

A2 - Facturatie en betalingsverwerking

Verwerkingsactiviteit: Verwerken van betalingen en opstellen van facturen.

Doel: Financiële afhandeling van abonnementen.
Rechtsgrond: Uitvoering van de overeenkomst (art. 6 lid 1 sub b AVG); wettelijke verplichting (art. 6 lid 1 sub c AVG).

Categorieën betrokkenen: Abonnees (particulier en organisatie).
Categorieën persoonsgegevens: Naam, factuuradres (straat, postcode, woonplaats), betaalhistorie, abonnementsstatus.
Bijzondere persoonsgegevens: Nee.

Bewaartermijn: 7 jaar conform fiscale bewaarplicht (Stripe); actieve accountgegevens conform A1.
Ontvangers / verwerkers: Stripe (betalingsverwerker, VS - EU-US DPF).
Doorgifte buiten EER: Ja - Stripe (VS), op basis van EU-US Data Privacy Framework.

Beveiligingsmaatregelen: HTTPS/TLS, verwerking via gecertificeerde betalingsprovider (Stripe PCI-DSS).

A3 - E-mailcommunicatie met gebruikers

Verwerkingsactiviteit: Versturen van transactionele e-mails en serviceberichten.

Doel: Welkomstmail, wachtwoordreset, serviceberichten en updates over de dienst.
Rechtsgrond: Uitvoering van de overeenkomst (art. 6 lid 1 sub b AVG); gerechtvaardigd belang (art. 6 lid 1 sub f AVG) voor serviceberichten.

Categorieën betrokkenen: Geregistreerde gebruikers.
Categorieën persoonsgegevens: E-mailadres, naam.
Bijzondere persoonsgegevens: Nee.

Bewaartermijn: Zolang noodzakelijk voor de afhandeling; maximaal conform bewaartermijn account.
Ontvangers / verwerkers: Mijndomein.nl (e-mailhosting, NL).
Doorgifte buiten EER: Nee.

Beveiligingsmaatregelen: HTTPS/TLS, e-mail via Nederlandse provider.

A4 - Klinische invoer en gegenereerde outputs

Verwerkingsactiviteit: Verwerken van door gebruikers ingevoerde klinische informatie en opslaan van gegenereerde outputs.

Doel: Genereren van klinische documenten (SBAR, overdrachten, rapportages e.d.) ten behoeve van de gebruiker.
Rechtsgrond: Uitvoering van de overeenkomst (art. 6 lid 1 sub b AVG).

Categorieën betrokkenen: Gebruikers; mogelijk patiënten wiens klinische informatie wordt ingevoerd.
Categorieën persoonsgegevens: Klinische beschrijvingen ingevoerd door de gebruiker. Mogelijk bijzondere persoonsgegevens (gezondheidsgegevens) indien onvoldoende geanonimiseerd.
Bijzondere persoonsgegevens: Mogelijk - afhankelijk van wat gebruiker invoert. Gebruikers zijn geïnstrueerd uitsluitend geanonimiseerde informatie in te voeren.

Bewaartermijn: Zolang het account actief is; verwijderd conform bewaartermijn account (A1).
Ontvangers / verwerkers: OpenAI (VS - SCC/EU-US DPF); Hetzner (opslag, EU).
Doorgifte buiten EER: Ja - OpenAI (VS), op basis van SCC's en/of EU-US Data Privacy Framework.

Beveiligingsmaatregelen: HTTPS/TLS, beveiligde API-communicatie, hosting EU, abuse-monitoring logs OpenAI max. 30 dagen.

A5 - Technische logs en sessiedata

Verwerkingsactiviteit: Bijhouden van toegangslogs en sessie-informatie.

Doel: Beveiliging, stabiliteit, foutdetectie en misbruikpreventie.
Rechtsgrond: Gerechtvaardigd belang (art. 6 lid 1 sub f AVG).

Categorieën betrokkenen: Alle gebruikers van de applicatie.
Categorieën persoonsgegevens: IP-adressen, sessie-ID's, tijdstempels, actielogs.
Bijzondere persoonsgegevens: Nee.

Bewaartermijn: Maximaal 90 dagen.
Ontvangers / verwerkers: Hetzner Online GmbH (hosting, EU).
Doorgifte buiten EER: Nee.

Beveiligingsmaatregelen: HTTPS/TLS, toegangscontrole, hosting EU.

A6 - Prospectgegevens en zakelijke contacten

Verwerkingsactiviteit: Beheren van contactgegevens van potentiële gebruikers en organisaties.

Doel: Opvolgen van interesse in Alyden via e-mail, website of beurzen.
Rechtsgrond: Gerechtvaardigd belang (art. 6 lid 1 sub f AVG).

Categorieën betrokkenen: Potentiële gebruikers, zakelijke contacten, beursbezoekers.
Categorieën persoonsgegevens: Naam, e-mailadres, eventueel functie en organisatienaam.
Bijzondere persoonsgegevens: Nee.

Bewaartermijn: 12 maanden na het laatste contactmoment.
Ontvangers / verwerkers: Mijndomein.nl (e-mailhosting, NL).
Doorgifte buiten EER: Nee.

Beveiligingsmaatregelen: E-mail via Nederlandse provider; geen externe CRM.

Deel B - Alyden als Verwerker

Dit deel bevat verwerkingsactiviteiten die Alyden uitvoert namens organisaties op basis van een verwerkersovereenkomst. De organisatie is in deze gevallen verwerkingsverantwoordelijke.

B1 - Verwerking namens organisaties (organisatieaccounts)

Verwerkingsactiviteit: Verlenen van toegang tot Alyden aan medewerkers van een organisatie en verwerken van hun klinische invoer.
Verwerkingsverantwoordelijke: De betreffende zorgorganisatie (opdrachtgever).
Verwerker: Alyden (Kelsey de Haan).

Doel: Ondersteuning van zorgmedewerkers bij klinische redenering conform de verwerkersovereenkomst.
Rechtsgrond (bij organisatie): Te bepalen door de verwerkingsverantwoordelijke (organisatie).

Categorieën betrokkenen: Medewerkers van de organisatie; mogelijk patiënten wiens klinische informatie wordt ingevoerd.
Categorieën persoonsgegevens: Accountgegevens medewerkers; klinische invoer; gegenereerde outputs; technische logs.
Bijzondere persoonsgegevens: Mogelijk, afhankelijk van wat medewerkers invoeren.

Bewaartermijn: 30 dagen na beëindiging overeenkomst; daarna verwijderd.
Subverwerkers: OpenAI (VS - SCC/EU-US DPF); Hetzner (EU); Mijndomein (NL).
Doorgifte buiten EER: Ja, OpenAI (VS), op basis van SCC's en/of EU-US Data Privacy Framework.

Grondslag VWO: Verwerkersovereenkomst conform artikel 28 AVG.
Beveiligingsmaatregelen: Zie artikel 7 verwerkersovereenkomst.

Beheer en onderhoud van dit register

  • Verantwoordelijke: Kelsey de Haan
  • Frequentie review: Minimaal jaarlijks, of bij wezenlijke wijzigingen in verwerkingen
  • Versie: 1.0 - 25 mei 2025
  • Volgende review: 60 dagen na livegang