StrokeCoach Privacy Statement
Versie: 1
Datum: 1 augustus 2021
1. Doel Privacy Statement
Dit Privacy Statement vat samen wanneer en hoe uw persoonlijke gegevens verzameld, gebruikt, beveiligd en geopenbaard worden in verband met uw toegang tot en het gebruik van onze applicaties, websites en alle functies, software en diensten die via de applicaties en website geboden worden, verder te noemen “de Dienst”.
StrokeCoach v.o.f. is een Nederlands bedrijf. Onze bedrijfsactiviteiten vinden plaats in de Europese Economische Ruimte (EER) en tenzij anders aangegeven bewaren wij onze gegevens en die van onze gebruikers op servers in EER.
2. Algemeen
StrokeCoach v.o.f. behoudt zich het recht voor om de bepalingen van deze privacyverklaring te wijzigen. Als wij wijzigen in de privacyverklaring aanbrengen, stellen wij u hiervan op de hoogte.
De meest recente wijziging is van 1 augustus 2021.
3.Definities
De Dienst: een platform bestaande uit een app voor gebruikers en een web portal voor de gebruiker, waarop dit Privacy Statement van toepassing is (het StrokeCoach Platform).
Gebruiker: Patiënt of coach die gebruik maakt van de Dienst.
Derde partijen betekent elk natuurlijk persoon of rechtspersoon, niet zijnde StrokeCoach, de patiënt of de coach.
(Gebruikers)account: het toegangsrecht tot een gebruikersinterface, waarmee de gebruiker bepaalde aspecten van de Dienst kan beheren.
Gebruikersovereenkomst: De tussen gebruiker en StrokeCoach afgesloten overeenkomst, waarbij de gebruiker toegang krijgt tot het StrokeCoach Platform, waarop dit Privacy Statement van toepassing is.
Bruikleenovereenkomst: Een overeenkomst tussen gebruiker en StrokeCoach, waarin de gebruiker toestemming krijgt om de in de overeenkomst beschreven zaken te gebruiken, waarop dit Privacy Statement van toepassing is.
Zorgaanbieder: de partij met wie de Gebruiker een Behandelovereenkomst sluit inzake het verlenen van bepaalde zorg waarbij de de dienst wordt ingezet als communicatiemiddel.
Persoonlijke gegevens betekent alle informatie over een geïdentificeerde of identificeerbare persoon.
4. Welke persoonlijke gegevens verzamelen we, waarom en hoe lang?
Persoonlijke gegevens kunnen op een aantal manieren verzameld worden wanneer u gebruikt maakt van de Dienst. In de bijlage staat een overzicht van de informatie die StrokeCoach kan verzamelen. Er wordt daarbij aangegeven welke persoonlijke gegevens verwerkt worden of kunnen worden. Tevens wordt een onderscheid gemaakt tussen de gegevens die wij verwerken van gebruikers en gegevens van zorgaanbieders die gebruik maken van de Dienst. Het overzicht geeft weer welke persoonlijke gegevens verwerkt worden, voor welk doel, op welke wettelijke grondslag de verwerking berust en hoe lang de persoonlijke gegevens opgeslagen worden.
Indien u uw persoonlijke gegevens niet aan StrokeCoach verschaft of op enige andere wijze bezwaar maakt tegen het gebruik van uw persoonlijke gegevens door StrokeCoach, kan dat ervoor zorgen dat u belemmerd wordt in het gebruik van de Dienst. Hieronder wordt per verwerkingsgrondslag aangegeven wat de gevolgen zijn van het niet verschaffen van of bezwaar maken tegen verwerking van persoonlijke gegevens. Welke persoonlijke gegevens onder welke verwerkingsgrondslag vallen, kunt u per dienst terugvinden in de bijlage.
Verwerkingen op grond van een wettelijke verplichting van StrokeCoach
De persoonlijke gegevens die in dit onderdeel worden vermeld, zijn vereist om te voldoen aan onze wettelijke verplichtingen. Uw toegang tot de Dienst kan worden geblokkeerd of beperkt en we zouden de overeenkomst zelfs kunnen beëindigen overeenkomstig onze algemene (gebruikers)voorwaarden.
Verwerkingen noodzakelijk voor de uitvoering van de overeenkomst:
De persoonlijke gegevens die in dit onderdeel worden vermeld, zijn vereist om de Dienst goed te laten functioneren of te kunnen verrichten. U kan worden belemmerd in het gebruik van de Dienst en het is mogelijk dat de Dienst niet goed functioneert. Uw toegang tot de Dienst kan worden geblokkeerd of beperkt en we zouden de overeenkomst zelfs kunnen beëindigen overeenkomstig onze algemene (gebruikers)voorwaarden.
Verwerkingen noodzakelijk voor de gerechtvaardigde belangen van StrokeCoach:
De persoonlijke gegevens die in dit onderdeel worden vermeld, zijn vereist om te voldoen aan de gerechtvaardigde belangen van StrokeCoach en om misbruik van de Dienst en beveiligingsincidenten te voorkomen. Uw toegang tot de Dienst kan worden geblokkeerd of beperkt en we zouden de overeenkomst zelfs kunnen beëindigen overeenkomstig onze algemene (gebruikers)voorwaarden.
Verwerkingen waarvoor uw uitdrukkelijke toestemming vereist is:
De persoonlijke gegevens die in dit onderdeel worden vermeld, zijn vereist om de Dienst goed te laten functioneren of te kunnen verrichten. Aangezien het om gevoelige persoonlijke gegevens gaat is echter uw uitdrukkelijke toestemming vereist voor het mogen verwerken van deze persoonlijke gegevens. Daarvoor heeft u het formulier “Toestemming aan StrokeCoach voor het delen/en gebruiken van mijn medische gegevens met derden” ondertekend.
U kunt worden belemmerd in het gebruik van de Dienst, het is mogelijk dat de Dienst niet goed functioneert.
5. Delen van uw persoonlijke gegevens
Tenzij anders vermeld in deze privacyverklaring beschrijven, verkopen of verhandelen wij geen persoonlijke informatie over en van onze bezoekers en gebruikers aan derden.
- Delen met verwerkers
StrokeCoach kan derden, zoals hostingproviders, inschakelen om ons bij te staan bij het verlenen van de Dienst. Die derden kunnen, in het kader van hun rol bij het leveren van de Dienst, uw persoonlijke gegevens verwerken. In dit opzicht wordt een dergelijke derde hierna aangeduid als 'Verwerker'. Met deze Verwerkers sluiten wij verwerkersovereenkomsten.
StrokeCoach maakt gebruik van de volgende soorten Verwerkers:
- Providers van analytische software om onze dienstverlening te verbeteren (o.a. ‘cookie’- en serverlogboekanalyse);
- Providers van analytische software voor marketingdoeleinden (o.a. cookie-analyse) om de beleving van de Dienst te optimaliseren en gepersonaliseerde informatie te kunnen aanbieden;
- Providers van clouddiensten en hosting provider(s);
- Providers van e-maildiensten;
- Providers van diensten om gezondheidsgegevens te verzamelen;
- Providers van diensten voor het beheren van klant- en gebruikersinformatie.
- Providers voor instant-berichtenverkeer (chatdiensten en tekstberichten);
- Providers voor mobiele tekstberichten (‘SMS’);
- Providers voor helpdeskticket-afhandeling;
- Providers van pushnotificaties.
In sommige gevallen kan de Verwerker uw persoonlijke gegevens namens ons verzamelen. Wij informeren Verwerkers dat zij persoonlijke gegevens die zij van ons verkrijgen niet mogen gebruiken, behalve ten behoeve van het verlenen van de Dienst. Wij zijn uiteraard niet verantwoordelijk voor eventuele aanvullende informatie die u zelf rechtstreeks aan Verwerkers verstrekt. U dient zich in die gevallen zelf te informeren over de Verwerker en diens organisatie alvorens persoonlijke gegevens aan dergelijke Verwerkers bekend te maken.
- Delen met uw toestemming
StrokeCoach kan persoonlijke gegevens delen met derden wanneer u ons daartoe expliciet toestemming geeft om dit te doen. We kunnen bijvoorbeeld werken met andere partijen om specifieke diensten rechtstreeks aan u aan te bieden. Als u zich inschrijft voor deze diensten van derde partijen, kunnen we de persoonlijke gegevens die u daarvoor verstrekt, zoals naam of andere contactgegevens die we redelijkerwijs nodig achten, met deze derden partijen delen zodat onze partner de diensten kan leveren of contact met u op kan nemen.
- Onze wettelijke verantwoordelijkheid
Wij mogen persoonlijke gegevens delen indien wij erop mogen vertrouwen dat dit wettelijk is toegelaten of indien wij daartoe wettelijk verplicht zijn. Wij mogen ook persoonlijke gegevens met derden delen indien dit redelijkerwijs noodzakelijk of passend is om te voldoen aan de wet, indien dit nodig is om te voldoen aan wettelijke verzoeken van autoriteiten, om op eventuele aanspraken te reageren of om de rechten, eigendom of veiligheid van ons, onze gebruikers, onze medewerkers of het publiek te beschermen en om, zonder beperking, onszelf of onze gebruikers te beschermen tegen frauduleus, beledigend, ongepast of onwettig gebruik van de Dienst. Wij zullen u onmiddellijk op de hoogte stellen van verzoeken van een uitvoerende, administratieve of andere overheidsinstantie die wij ontvangen en die verband houden met uw persoonlijke gegevens, tenzij dit door de toepasselijke wet verboden wordt.
- Geanonimiseerde informatie
Houd er rekening mee dat niets in dit artikel het delen van geanonimiseerde gegevens beperkt. Die mag ook zonder uw toestemming met derden worden gedeeld.
6. Bescherming van persoonlijke gegevens
StrokeCoach zorgt voor passende technische en organisatorische beveiligingsmaatregelen voor de verwerking van persoonlijke gegevens. Wij volgen algemeen geaccepteerde standaarden ter bescherming van persoonlijke gegevens (ISO 27001 en 27002, NEN 7510), zowel tijdens de overdracht daarvan en zodra we de persoonlijke gegevens hebben ontvangen.
We hebben in ieder geval de volgende maatregelen genomen:
- Toegang tot onze servers en infrastructuur is alleen mogelijk vanaf bepaalde beveiligde servers vanaf specifieke IP-adressen en is alleen mogelijk door middel van een specifieke combinatie van sleutels.
- Toegang tot onze database is enkel mogelijk door middel van meertrapsauthenticatie en persoonlijke accounts die beschermd zijn met een gebruikersnaam en wachtwoord. Enkel personen die toegang tot de database nodig hebben voor hun taak, krijgen een dergelijk account.
- We hanteren een wachtwoordbeleid om sterke wachtwoorden te garanderen. Wachtwoorden moeten periodiek opnieuw ingesteld worden.
- Er is een firewall aanwezig die automatisch geconfigureerd en geüpdatet wordt door middel van beveiligingsscripts.
- We gebruiken virtual private clouds per aparte werkomgeving (testomgeving, acceptatieomgeving en productieomgeving) om risico’s te beperken.
- Opgeslagen gegevens zijn altijd beveiligd middels encryptie. Wachtwoorden worden tevens gehasht. Lokaal opgeslagen gegevens (bijvoorbeeld op iOS en Android) wordt tevens versleuteld opgeslagen voor zover het gevoelige informatie betreft (medische informatie of authenticatie informatie). Lokaal opgeslagen gegevens worden verwijderd als wordt uitgelogd.
- We gebruiken TLS (Transport Layer Security)-technologie om dataverkeer te versleutelen en de betrokken servers te identificeren.
- Het maximaal aantal foutieve login-pogingen is beperkt.
- Alle informatie die gebruikers invoeren wordt gecontroleerd om er zeker van te zijn dat geen schadelijke data wordt geüpload.
- Er is software geïnstalleerd om schadelijke software tijdig op te sporen.
- Beveiligingsupdates vinden plaats op maandelijkse basis.
- We monitoren toegang tot de backend-sectie om mogelijk inbreuken op de beveiliging of andere afwijkingen te kunnen detecteren.
- We maken dagelijks een back-up van de database. Gebruikers die toegang hebben tot de database hebben geen toegang tot de back-ups om het ongewenst verwijderen van (delen van) databases te voorkomen.
- Cookies bevatten geen volledige authenticatie informatie zoals wachtwoorden.
- Informatie in cookies wordt verwijderd als u uitlogt.
- Belangrijke informatie in cookies wordt versleuteld.
- De duur van inlogsessies is beperkt in de tijd.
- Er is beleid omtrent het gebruik van datadragers (zoals laptops en USB-sticks).
- Toegang tot onze kantoor- en bedrijfsruimten is beperkt en beveiligd.
U dient er rekening mee te houden dat onze Verwerkers verantwoordelijk zijn voor het verwerken, beheren of opslaan van (een deel van) de persoonlijke gegevens die we ontvangen. Verwerkers zijn niet bevoegd om deze gegevens te gebruiken voor een ander doel dan het bijdragen aan de Dienst. Deze Verwerkers zijn contractueel, door middel van een verwerkersovereenkomst die ze met ons hebben, verplicht om de persoonlijke gegevens die zij van ons ontvangen te beveiligen.
Ondanks alle maatregelen bestaat er geen manier van overbrengen via het internet of een methode van elektronische opslag die altijd 100% veilig is. 100% Veiligheid kan dan ook nooit worden gegarandeerd.
- Links naar sites van derden
Onze Dienst en/of de website kunnen links bevatten naar andere websites, evenals advertenties van derden. Websites van derden kunnen informatie over u bijhouden. We hebben geen controle over dergelijke sites of hun activiteiten. Eventuele persoonlijke gegevens die u op de pagina’s van derden verstrekt, worden rechtstreeks aan die derde verstrekt en zijn onderworpen aan het privacybeleid van die derde partij. Wij zijn niet verantwoordelijk voor de inhoud, privacy- en beveiligingspraktijken en het beleid van websites waar wij naar linken. Links van onze website naar derden of naar andere sites worden alleen ten behoeve van u ter beschikking gesteld. Wij raden u aan om hun privacy- en beveiligingspraktijken en hun beleid te bestuderen voordat u persoonlijke gegevens aan ze verstrekt.
7. Welke keuzes heeft u met betrekking tot het gebruik van uw persoonlijke gegevens?
Voordat wij uw persoonlijke gegevens delen met derden op manieren die niet onder deze privacyverklaring vallen, inclusief gebruik voor direct marketing doeleinden, wordt u daarvan in kennis gesteld en gevraagd toestemming te geven op het moment dat dergelijke informatie wordt verzameld.
StrokeCoach kan u marketing- en promotiemateriaal over onze producten en diensten sturen. Als u niet (meer) wil dat de informatie wordt gebruikt voor direct marketing, kan u contact met ons opnemen op het e-mailadres dat onder 'Contact' wordt vermeld. U kunt zichzelf ook afmelden door de afmeldinginstructies te volgen die bij elke promotie-email zijn opgenomen. Dit heeft geen invloed op ons recht en onze mogelijkheid om u Diensten account verwante e-mails te sturen of persoonlijke gegevens te gebruiken zoals beschreven in deze privacyverklaring. Wij zullen zo spoedig mogelijk na ontvangst van het verzoek voldoen aan uw verzoeken.
8. Uw rechten
- U kunt uw betreffende persoonlijke gegevens die door de website en de Dienst worden verzameld, controleren, bijwerken, corrigeren of verwijderen, door ons te e-mailen op het onder ‘Contact’ genoemde e-mailadres of door, indien deze functie beschikbaar is, gebruik te maken van een hiervoor ontworpen functie in de Dienst.
- Houd er rekening mee dat het verwijderen van persoonlijke gegevens kan leiden tot de beëindiging van het recht om gebruik te maken van de Dienst.
- Wij behouden ons het recht voor om uw persoonlijke gegevens in onze bestanden te behouden indien wij van mening zijn dat dit noodzakelijk of aan te bevelen is om de Dienst aan anderen te verstrekken, geschillen op te lossen, de toepasselijke gebruiksvoorwaarden te handhaven, voor technische en/of juridische vereisten en/of indien de Dienst dat vergt.
- Om per e-mail toegang te krijgen tot de eigen persoonlijke gegevens, moet u voldoende bewijs van uw identiteit verstrekken zoals wij dat verzoeken. We behouden ons het recht voor om elke gebruiker toegang te weigeren als we van mening zijn dat er vragen zijn over uw identiteit. Wij reageren binnen 4 weken op alle toegangsverzoeken. Bij complexe verzoeken kan de termijn met nog eens 4 weken worden verlengd. Indien wij de termijn verlengen, zullen wij u binnen 4 weken na het indienen van het verzoek daarvan op de hoogte stellen.
- U kunt ons verzoeken om de verwerking van uw persoonlijke gegevens in de toekomst te beperken of te stoppen. Wij voldoen aan uw verzoek, maar u kunt worden belemmerd in uw gebruik van de Dienst en het kan mogelijk zijn dat u de Dienst niet meer kan of mag gebruiken, zoals vermeld in artikel 4 van deze privacyverklaring.
- U kunt ons met redelijke tussenpozen verzoeken om de persoonlijke informatie die wij over u verwerken, zoals door u gespecificeerd, over te dragen, zolang de gevraagde informatie geen persoonlijke gegevens bevat van andere natuurlijke personen en zolang als de gevraagde informatie is verwerkt met als grondslag uw toestemming of dat verwerking noodzakelijk is voor het uitvoeren van de Dienst. Wij zullen uw verzoek binnen 4 weken na ontvangst van het verzoek voldoen.
- U heeft het recht om bij de bevoegde privacy autoriteit een klacht in te dienen die verband houdt met onze verwerking van persoonlijke gegevens. Voor Nederland is deze autoriteit de de Autoriteit Persoonlijke gegevens, die u kunt bereiken via autoriteitpersoonlijke gegevens.nl
9. Contact
Als u vragen, problemen of opmerkingen heeft over deze privacyverklaring, kunt u contact met ons opnemen via e-mail op bjorn@strokecoach.nl
Bijlage 1: verwerkingen voor de Dienst
Verwerkingen van u als gebruiker van de Dienst:
Noodzakelijk voor de behartiging van de gerechtvaardigde belangen van StrokeCoach, verwerkingstijd tot 2 jaar na het eindigen van de overeenkomst:
- Beveiligingsdienst
- IP-adres
- Gebruikersacties (login, logout, etc)
- Het verbeteren van de dienst en het opsporen van fouten
- Geschiedenis van instellingen
- Browserversie
Overige persoonlijke gegevens die wij voor de Dienst verwerken, verwerken wij ten behoeve van een zorgverlener (of andere verantwoordelijke) op grond van een verwerkersovereenkomst.
Wij kunnen u op uw verzoek informeren over welke zorgverlener of -organisatie dit is, zodat u daarmee contact op kan nemen om te achterhalen welke persoonlijke gegevens zij van u verwerken of zodat u de privacyverklaring van dat bedrijf kan raadplegen. StrokeCoach mag deze informatie niet rechtstreeks aan u verstrekken.
Overige verwerkingen (o.a. bij het niet afnemen van de Dienst)
Bij gebruik van de website:
Noodzakelijk voor de behartiging van de gerechtvaardigde belangen van StrokeCoach, verwerkingstijd tot 3 jaar en 2 maanden na het laatste gebruik van de website tenzij dit technisch redelijkerwijs niet mogelijk is
- Verwerkingen voor het beveiligingen van de Dienst
- IP-adres
- Functionele cookies om uw gebruiksgemak te verbeteren
- Ingevulde formuliervelden
- Analyserende cookies om de Diensten van StrokeCoach te verbeteren
- IP-adres
- Via welke website u ons gevonden heeft
- Welke pagina’s u bezocht
- Hoe lang uw bezoek duurde
- Hoe u de door de website navigeert
Bij het achterlaten van uw gegevens:
Noodzakelijk voor de behartiging van de gerechtvaardigde belangen van StrokeCoach, verwerkingstijd tot 6 maanden nadat voor het laatst contact met StrokeCoach is opgenomen
- Voor het kunnen antwoorden op uw vragen en om u te kunnen voorzien van informatie
- Naam
- E-mailadres
- Telefoonnummer
- Overige persoonlijke gegevens ingevuld in het contactveld.