Keiro B.V. hecht grote waarde aan de bescherming van uw persoonsgegevens. In dit privacybeleid leggen wij uit welke gegevens wij verwerken, hoe wij deze gebruiken en welke rechten u heeft.
Keiro B.V. (in oprichting) is een Nederlandse onderneming. Wij bieden een AI-ondersteund EPD-platform voor zorgorganisaties. Keiro treedt op als verwerker van persoonsgegevens namens de zorgorganisatie (de verwerkingsverantwoordelijke) die gebruikmaakt van ons platform.
Via ons platform verwerken wij de volgende categorieën persoonsgegevens: naam en contactgegevens van patiënten, gezondheidsgegevens inclusief klachten en behandelinformatie, financieringsroute en verzekeringsinformatie, sessienotities en behandelplannen, afspraakgegevens, en gebruikersgegevens van medewerkers van de zorgorganisatie.
Wij verwerken persoonsgegevens op basis van: uitvoering van een overeenkomst met de zorgorganisatie, toestemming van de patiënt voor de bepaling van de zorgroute, wettelijke verplichting (o.a. Wgbo, AVG), en gerechtvaardigd belang voor de verbetering van onze dienstverlening.
Uw gegevens worden uitsluitend verwerkt voor: het uitvoeren van de zorgintake en triage, het bijhouden van het elektronisch patiëntendossier, het plannen van afspraken, het verwerken van declaraties en facturatie, en het genereren van zorgrapportages. Wij gebruiken patiëntgegevens niet om generieke AI-modellen te trainen.
Patiëntdossiers worden bewaard gedurende de wettelijk verplichte termijn van 20 jaar na de laatste behandeling conform de Wgbo. Financiële gegevens worden 7 jaar bewaard conform de fiscale bewaarplicht. Logbestanden en audit trails worden bewaard conform beleid. Na afloop van de bewaartermijn worden gegevens veilig vernietigd.
Keiro neemt passende technische en organisatorische maatregelen ter beveiliging van persoonsgegevens, ontworpen volgens de principes van NEN 7510. Dit omvat: versleuteling van data onderweg en in rust, toegangscontrole op basis van rollen, logging van toegang tot patiëntgegevens, back-ups op EU-locaties, en periodieke evaluatie van onze beveiligingsmaatregelen. Een deel van deze maatregelen is operationeel en een deel is in uitvoering; op /compliance houden wij de actuele status transparant bij.
Voor de uitvoering van onze dienstverlening maken wij gebruik van zorgvuldig geselecteerde subverwerkers, waaronder: Supabase (database-hosting, EU/Frankfurt), Anthropic PBC (AI-verwerking van intake en transcriptie), Vercel Inc. (levering en hosting van de applicatie), Resend (transactionele e-mail) en Cloudflare (DNS en netwerkbeveiliging). Bij gebruik van WhatsApp-intake treedt 360dialog op als WhatsApp Business Solution Provider. Met alle subverwerkers zijn of worden verwerkersovereenkomsten gesloten. De actuele lijst is op verzoek beschikbaar via privacy@keiro.care.
Een deel van onze subverwerkers (waaronder Anthropic PBC) is gevestigd in de Verenigde Staten. Bij gebruik van onze AI-functionaliteit kan verwerking buiten de EU plaatsvinden. Wij minimaliseren deze doorgifte en sturen geen direct identificeerbare patiëntgegevens naar het AI-model. Doorgifte vindt plaats op basis van de standaardcontractbepalingen (SCC) van de Europese Commissie.
U heeft de volgende rechten met betrekking tot uw persoonsgegevens: recht op inzage, recht op rectificatie, recht op verwijdering, recht op beperking van de verwerking, recht op dataportabiliteit, en recht van bezwaar. Omdat de zorgorganisatie verwerkingsverantwoordelijke is, kunt u uw rechten via hen of via privacy@keiro.care uitoefenen. Wij reageren binnen de wettelijke termijn.
Heeft u een klacht over de verwerking van uw persoonsgegevens? Neem dan eerst contact met ons op via privacy@keiro.care. U heeft ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.
Voor vragen over dit privacybeleid of de verwerking van uw persoonsgegevens kunt u contact opnemen met: Keiro B.V., Functionaris voor Gegevensbescherming, e-mail: privacy@keiro.care.