top of page
Veiligheid en privacy bij Bapsy

Bij Bapsy staat de bescherming van privacy en informatiebeveiliging centraal in alles wat wij doen. Onze applicaties zijn speciaal ontwikkeld voor gebruik in de geestelijke gezondheidszorg (GGZ), en zijn volledig afgestemd op de hoogste standaarden van veiligheid, zorgvuldigheid en transparantie.

 

Samenvatting – zo waarborgen wij uw privacy

  • Wij verwerken géén herleidbare persoonsgegevens van patiënten.

  • Alles in onze apps gebeurt anoniem en veilig.

  • Persoonsgegevens van zorgprofessionals worden zorgvuldig verwerkt conform de AVG.

  • Kunstmatige intelligentie (AI) wordt uitsluitend ingezet als hulpmiddel, nooit als beslissend systeem.

  • Uw privacy vormt het fundament van onze dienstverlening.

 

Geen verwerking van patiëntgegevens

De applicaties van Bapsy zijn zo ontworpen dat er op geen enkel moment herleidbare persoonsgegevens van patiënten worden verwerkt. Dit betekent:

  • Er wordt niet gevraagd naar naam, geboortedatum, BSN, telefoonnummer of andere identificeerbare gegevens.

  • IP-adressen worden automatisch verwijderd zodra antwoorden worden ingezonden.

  • Patiënten verstrekken gegevens onder een anonieme code die alleen binnen de zorginstelling betekenis heeft.

  • Deze code wordt bij binnenkomst vervangen door een tijdelijke, willekeurige sessiecode die alleen intern wordt gebruikt.

 

Wat wij wél verwerken

De app verwerkt medische antwoorden in de vorm van meerkeuzevragen en vrije tekst. Deze gegevens:

  • Zijn volledig anoniem buiten de zorginstelling.

  • Worden automatisch gecontroleerd op herleidbare informatie (zoals namen of geboortedata) en zo nodig opgeschoond.

  • Worden versleuteld verzonden en tijdelijk opgeslagen voor verwerking.

  • Worden doorgestuurd naar een taalmodel (LLM), gehost in de EU, voor het opstellen van een leesbaar verslag.

 

Toepassing van AI

  • De AI ontvangt géén herleidbare gegevens.

  • De taalmodellen worden veilig gehost via Microsoft Azure OpenAI in een Europese regio.

  • Microsoft of OpenAI hebben géén toegang tot de inhoud van de verwerking.

  • Prompt logging en modeltraining zijn uitgeschakeld.

  • De output van de AI wordt altijd gecontroleerd door de behandelaar.

  • De AI dient uitsluitend als hulpmiddel voor verslagvorming, niet als medisch beslissend systeem.

  • Voor deze verwerking is een DPIA (Data Protection Impact Assessment) uitgevoerd.

  • Bapsy loopt actief vooruit op de vereisten van de AI Act.

 

Persoonsgegevens die wij buiten de apps mogelijk wél verwerken

Wanneer u onze website bezoekt, als behandelaar gebruikmaakt van onze diensten en/of omdat u deze gegevens zelf aan ons verstrekt, kunnen wij de volgende persoonsgegevens verwerken:

  • Voor- en achternaam.

  • Adresgegevens.

  • E-mailadres.

  • Betalingsgegevens.

  • Overige persoonsgegevens die u actief verstrekt (bijvoorbeeld via correspondentie, telefonisch contact of een account op onze website).

  • Gegevens over uw activiteiten op onze website.

  • Type internetbrowser en apparaat.

Wij verwerken deze gegevens op basis van de volgende grondslagen uit de AVG (artikel 6):

  • Toestemming (indien u deze actief geeft).

  • Uitvoering van een overeenkomst.

  • Wettelijke verplichting (bijvoorbeeld belastingwetgeving).

  • Gerechtvaardigd belang (zoals verbetering van onze dienstverlening).

 

Cookies en websitegedrag

Wij analyseren het gedrag op onze website om onze dienstverlening te verbeteren. Hierbij worden functionele en analytische cookies gebruikt. Voor analytische cookies vragen wij, indien wettelijk vereist, expliciet toestemming via een cookiebanner.

 

Doelen van de gegevensverwerking

  • Het afhandelen van betalingen.

  • Contact met u opnemen indien noodzakelijk voor onze dienstverlening.

  • U informeren over wijzigingen in onze diensten en producten.

  • Het leveren van onze diensten.

  • Analyse van uw websitegedrag om onze website en dienstverlening te verbeteren.

  • Voldoen aan wettelijke verplichtingen (zoals belastingaangifte).

 

Rechten van betrokkenen

U heeft op grond van de AVG het recht om:

  • Uw gegevens in te zien, te corrigeren of te verwijderen.

  • Uw toestemming voor gegevensverwerking in te trekken.

  • Bezwaar te maken tegen verwerking.

  • Gegevens over te laten dragen (dataportabiliteit).

Aangezien wij geen patiëntgegevens hebben dienen patiënten contact op te nemen via hun behandelaar. Als behandelaar kunt een verzoek indienen via contact@bapsy.nl. Wij reageren zo snel mogelijk, maar uiterlijk binnen twee weken.

 

Bewaartermijn van persoonsgegevens

  • Door patiënten verstrekte gegevens worden een half jaar na aanleveren verwijderd, tenzij actief toestemming is gegeven om de volledig geanonimiseerde gegevens te gebruiken voor onderzoek.

  • Bapsy bewaart persoonsgegevens van behandelaars tot maximaal een jaar na het laatste gebruik van onze diensten.

  • Back-ups worden versleuteld en maximaal 6 maanden bewaard, tenzij anders wettelijk vereist.

 

Delen van persoonsgegevens met derden

Bapsy verstrekt uw gegevens uitsluitend aan derden indien dit noodzakelijk is voor de uitvoering van onze overeenkomst met u of om te voldoen aan een wettelijke verplichting. Met derden wordt altijd een verwerkersovereenkomst gesloten, waarin wordt vastgelegd dat zij voldoen aan de AVG en passende beveiligingsmaatregelen treffen.

 

Technische en organisatorische beveiligingsmaatregelen

  • Alle dataverkeer verloopt via versleutelde HTTPS-verbindingen met TLS 1.2 of hoger.

  • Ingevoerde gegevens worden versleuteld opgeslagen met gebruik van AES-256 encryptie.

  • De hostinginfrastructuur bevindt zich volledig binnen de Europese Economische Ruimte (EER).

  • Er is een strikt toegangsbeleid: alleen geautoriseerde processen hebben toegang tot tijdelijke gegevens.

  • Er worden geen gegevens gedeeld met derde partijen zonder expliciete waarborging en verwerkersovereenkomst.

  • Alle logging is technisch, tijdelijk en bevat geen inhoudelijke of herleidbare informatie.

  • Regelmatige risicoanalyses en evaluaties worden uitgevoerd op onze systemen en processen.

  • We hanteren gescheiden omgevingen voor ontwikkeling, test en productie.

  • Back-ups zijn versleuteld en worden beperkt (maximaal 6 maanden) bewaard conform bewaartermijnen.

 

Werken volgens erkende normen

  • ISO 27001 – internationale norm voor informatiebeveiliging.

  • NEN 7510 – Nederlandse norm voor informatiebeveiliging in de zorg.

  • AVG (GDPR) – Europese privacywetgeving (niet van toepassing op anonieme gegevens, maar desondanks uitgangspunt bij ontwerp).

  • AI Act – Europese wetgeving voor veilige, transparante inzet van AI, waar wij actief op vooruitlopen.

 

Verantwoordelijkheid van de zorginstelling

  • Is verantwoordelijk voor het kiezen van een veilige, niet-herleidbare patiëntcode.

  • Beheert de enige sleutel tot herleiding, die niet gedeeld wordt met Bapsy.

  • Is eindverantwoordelijk voor de interpretatie van het verslag en het medisch handelen daarop.

  • Is verwerkingsverantwoordelijke volgens de AVG; Bapsy treedt op als verwerker.

 

Vragen of zorgen?

Wij geloven in maximale transparantie. Heeft u een vraag over hoe wij omgaan met gegevens, AI of beveiliging? Neem dan contact met ons op via contact@bapsy.nl.

Dit beleid wordt periodiek geëvalueerd. Bij significante wijzigingen informeren wij u actief.

bottom of page