Zum Hauptinhalt springen

    Privacyverklaring

    Stand: december 2024

    Privacy in een oogopslag

    Verwerkingsverantwoordelijke:DOCTO24 LTD (Cyprus)
    EU-vertegenwoordiger & FG:heyData GmbH (Art. 27 AVG)
    Rechtsgrondslag:Art. 6 lid 1 sub a, b; Art. 9 lid 2 sub a, h AVG
    Rechten van betrokkenen:Inzage, verwijdering, bezwaar e.v.m.

    1. Verwerkingsverantwoordelijke en contact

    DOCTO24 LTD
    Geregistreerd in de Republiek Cyprus
    Company Number: ΗΕ 481142
    Μακαρίου ΙΙΙ, 228
    AGIOS PAVLOS, BLOCK A, Floor 7, Flat/Office 712
    3030, Limassol, Cyprus

    E-Mail: privacy@docto24.de

    DOCTO24 LTD is een in de Republiek Cyprus geregistreerde onderneming en valt volledig onder de Algemene verordening gegevensbescherming (AVG). Als EU-onderneming gelden voor ons dezelfde hoge privacynormen als voor ondernemingen in Duitsland of andere EU-lidstaten.

    2. Functionaris voor gegevensbescherming en EU-vertegenwoordiger

    Op grond van Art. 27 AVG hebben wij een vertegenwoordiger in de EU aangewezen, die tevens als functionaris voor gegevensbescherming optreedt:

    heyData GmbH
    Schützenstraße 5, 10117 Berlin, Duitsland
    Website: www.heydata.eu
    E-Mail: datenschutz@heydata.eu

    Bevoegde toezichthoudende autoriteit in Cyprus:
    Commissioner for Personal Data Protection
    1 Iasonos Street, 1082 Nicosia, Cyprus
    www.dataprotection.gov.cy

    U kunt zich ook wenden tot de gegevensbeschermingsautoriteit van uw land van verblijf, zoals de Autoriteit Persoonsgegevens (AP) in Nederland.

    3. Toepassingsgebied

    Deze privacyverklaring is van toepassing op het verzamelen, verwerken en gebruiken van persoonsgegevens in het kader van het gebruik van het Docto24-platform (website en apps) en alle daarmee verbonden telemedische diensten.

    Docto24 verleent haar diensten momenteel in Duitsland en is voornemens uit te breiden naar andere EU-landen (bijv. Frankrijk). In elk land worden uitsluitend artsen ingezet met een geldige BIG-registratie of gelijkwaardige bevoegdheid in het betreffende land van de patiënt.

    4. Scheiding van verantwoordelijkheden: wie is waarvoor verantwoordelijk?

    Bij het gebruik van ons platform gelden verschillende privacyrechtelijke verantwoordelijkheden:

    DOCTO24 LTD als verwerkingsverantwoordelijke

    • Exploitatie van het platform en technische infrastructuur
    • Gebruikersregistratie en accountbeheer
    • Vastlegging van uw hulpvraag (anamnesevragenlijst)
    • Bemiddeling naar een geschikte arts
    • Betalingsverwerking voor platformkosten
    • Klantenservice en ondersteuning

    De behandelend arts als verwerkingsverantwoordelijke

    • Medische behandeling en diagnose
    • Bijhouden van het patiëntendossier (documentatieplicht)
    • Uitschrijven van recepten en attesten
    • Medisch beroepsgeheim conform de toepasselijke wetgeving

    De behandelingsovereenkomst komt uitsluitend tot stand tussen u en de behandelend arts.

    Partnerapotheken als verwerkingsverantwoordelijken

    • Controle en uitgifte van recepten
    • Verzending van geneesmiddelen
    • Farmaceutisch advies

    Op de gegevensverwerking door partnerapotheken zijn hun eigen privacyverklaringen van toepassing.

    5. Begripsbepalingen

    6. Rechtsgrondslag voor de verwerking

    Art. 6 lid 1 sub a AVG – Toestemming (Voor optionele cookies, marketingcommunicatie)

    Art. 6 lid 1 sub b AVG – Uitvoering van de overeenkomst (Voor het verlenen van de platformdiensten)

    Art. 6 lid 1 sub c AVG – Wettelijke verplichting (Voor bewaarplichten, documentatie van gereguleerde stoffen)

    Art. 6 lid 1 sub f AVG – Gerechtvaardigd belang (Voor fraudepreventie, platformbeveiliging)

    Art. 9 lid 2 sub a AVG – Uitdrukkelijke toestemming (Voor gezondheidsgegevens bij de anamnese)

    Art. 9 lid 2 sub h AVG – Gezondheidszorg (Voor de medische behandeling en zorgverlening)

    7. Categorieën van gegevens en doeleinden

    CategorieGegevensDoelRechtsgrondslag
    Stam- en accountgegevensNaam, e-mail, geboortedatum, adres, telefoonnummerRegistratie, inloggen, accountbeheerArt. 6 lid 1 sub b AVG
    GezondheidsgegevensAntwoorden op de anamnese, diagnoses, voorschriften, bevindingenMedische anamnese, diagnose, behandelingArt. 9 lid 2 sub a, h AVG
    IdentificatiegegevensIdentiteitsbewijs (foto), evt. selfie ter verificatieLeeftijds- en identiteitsverificatie (wettelijke verplichting)Art. 6 lid 1 sub c AVG
    BetalingsgegevensBetaalmethode, transactiegegevens, factuuradresAfhandeling van betalingen, factureringArt. 6 lid 1 sub b AVG
    GebruiksgegevensIP-adres (geanonimiseerd), paginaweergaven, apparaatinformatiePlatformoptimalisatie, foutoplossingArt. 6 lid 1 sub f AVG
    CommunicatiegegevensE-mails, chatberichten, supportverzoekenOndersteuning, meldingen, arts-patiënt-chatArt. 6 lid 1 sub b AVG

    8. Bijzondere bescherming van gezondheidsgegevens

    Gezondheidsgegevens vallen onder bijzondere bescherming op grond van Art. 9 AVG. Wij treffen de volgende maatregelen ter bescherming van uw gevoelige gegevens:

    • End-to-end-versleuteling van alle gezondheidsgegevens bij overdracht
    • Versleutelde opslag in de EU (AES-256)
    • Toegangsregistratie (audit-log) voor alle gegevenstoegang
    • Strikte toegangsbeperking volgens het minimalisatiebeginsel
    • Regelmatige beveiligingsaudits door externe controleurs
    • Gescheiden databases voor medische en administratieve gegevens

    9. Gegevensverwerking bij cannabisvoorschriften

    Vanwege de bijzondere regelgevende eisen gelden voor het voorschrijven van medicinale cannabis aanvullende regels:

    • Documentatie conform de Opiumwet en Bureau voor Medicinale Cannabis (BMC)
    • Hoeveelheidsdocumentatie en naleving van wettelijke limieten (100g/30 dagen)
    • Geen verstrekking van patiëntgegevens aan autoriteiten zonder rechterlijk bevel
    • Gescheiden opslag van cannabisgerelateerde behandelgegevens
    • Documentatie van recepten conform de regelgeving voor gereguleerde stoffen

    10. Videoconsult

    Voor videoconsulten gebruiken wij een zelfgehoste Jitsi-instantie. De communicatie is versleuteld (SRTP/DTLS).

    • Zelfgehoste videoserver in de EU (geen Amerikaanse dienst)
    • Versleutelde audio- en video-overdracht
    • Geen permanente opname van het videoconsult
    • Verwijdering van tijdelijke gegevens na afloop van de sessie
    • Technische metagegevens worden niet gekoppeld aan gezondheidsgegevens

    11. Dienstverleners en verwerkers

    Voor afzonderlijke diensten zetten wij de volgende dienstverleners in, met wie verwerkersovereenkomsten conform Art. 28 AVG zijn gesloten:

    DienstDienstverlenerDoel
    Hosting & infrastructuurHostinger (EU-servers)Beschikbaarstelling van het platform
    E-mailverzendingScaleway (Frankrijk)Transactionele e-mails
    BetalingsverwerkingKomfortkasse, TransVoucherVeilige betalingsverwerking
    Apotheek-koppelingCannaflow, CannaleoReceptoverdracht naar partnerapotheken
    Qualifizierte elektronische Signatur (QES)Yousign SAS (Frankreich)Rechtssichere Signatur von Rezepten & AU nach eIDAS (Video-Ident + Signaturzertifikat)
    GegevensbeschermingheyData GmbH (Berlijn)Functionaris voor gegevensbescherming, EU-vertegenwoordiger

    Alle dienstverleners zijn gevestigd in de EU of verwerken gegevens uitsluitend op EU-servers.

    Qualifizierte Elektronische Signatur (QES)

    Für die rechtssichere elektronische Unterzeichnung von Rezepten und Arbeitsunfähigkeitsbescheinigungen durch unsere Ärzte setzen wir Yousign SAS (Paris, Frankreich) als Qualifizierten Vertrauensdiensteanbieter (QTSP) nach der eIDAS-Verordnung (EU) 910/2014 ein.

    Verarbeitete Daten (nur bei Ärzten): Name, E-Mail, Telefon, amtlicher Ausweis (Video-Ident), biometrische Verifikation, Signaturzertifikat

    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie § 2 Abs. 3 VDG

    Serverstandort: Frankreich (EU)

    Auftragsverarbeitungsvertrag (AVV): Mit Yousign besteht ein AVV gemäß Art. 28 DSGVO.

    Speicherdauer: Signierte Dokumente werden 10 Jahre aufbewahrt (gesetzliche Aufbewahrungsfrist für Rezepte nach § 18 ApBetrO).

    Patientendaten: Im signierten Rezept-PDF werden Patientendaten (Name, Adresse, Medikation) an Yousign übermittelt — dies ist erforderlich für die rechtsgültige Unterzeichnung. Es werden keine Ausweis- oder biometrischen Daten von Patienten an Yousign übertragen.

    Weitere Informationen: Yousign Datenschutzerklärung

    12. Doorgifte van gegevens naar derde landen

    Docto24 geeft in beginsel geen persoonsgegevens door naar derde landen buiten de EU/EER.

    Mocht in de toekomst een doorgifte naar een derde land noodzakelijk worden, dan vindt deze uitsluitend plaats op basis van een adequaatheidsbesluit van de Europese Commissie (Art. 45 AVG) of passende waarborgen (Art. 46 AVG, bijv. EU-modelcontractbepalingen).

    Huidige situatie: Wij verplichten ons ertoe geen gezondheidsgegevens naar derde landen door te geven.

    13. Bewaartermijnen

    Wij bewaren uw gegevens slechts zo lang als noodzakelijk is voor het betreffende doel of zolang wettelijke bewaarplichten bestaan:

    • Accountgegevens: tot verwijdering van het account
    • Gezondheidsgegevens: 20 jaar (medische documentatieplicht conform WGBO, Art. 7:454 BW)
    • Betalingsgegevens: 10 jaar (fiscale bewaarplicht)
    • Identiteitsbewijzen: max. 30 dagen na verificatie
    • Gebruiksgegevens: 13 maanden (geanonimiseerd)
    • Supportverzoeken: 2 jaar na afhandeling

    14. Uw rechten als betrokkene

    Op grond van de AVG heeft u de volgende rechten:

    Recht van inzage (Art. 15 AVG)U kunt inzage verzoeken in de door ons verwerkte persoonsgegevens.
    Recht op rectificatie (Art. 16 AVG)U kunt rectificatie van onjuiste gegevens verzoeken.
    Recht op gegevenswissing (Art. 17 AVG)U kunt wissing van uw gegevens verzoeken, voor zover geen wettelijke bewaarplichten gelden.
    Recht op beperking van de verwerking (Art. 18 AVG)U kunt beperking van de verwerking verzoeken.
    Recht op overdraagbaarheid van gegevens (Art. 20 AVG)U kunt uw gegevens in een gangbaar formaat ontvangen.
    Recht van bezwaar (Art. 21 AVG)U kunt bezwaar maken tegen verwerking op basis van gerechtvaardigde belangen.
    Intrekking van toestemmingU kunt verleende toestemmingen te allen tijde met werking voor de toekomst intrekken.
    Recht om een klacht in te dienen (Art. 77 AVG)U kunt een klacht indienen bij een toezichthoudende autoriteit voor gegevensbescherming (bijv. de Autoriteit Persoonsgegevens in Nederland).

    Om uw rechten uit te oefenen, stuurt u een e-mail naar:

    E-Mail: datenschutz@heydata.eu
    Wij zullen uw verzoek onverwijld, uiterlijk binnen een maand, beantwoorden.

    15. Cookies en tracking

    Informatie over de door ons gebruikte cookies vindt u in ons Cookiebeleid.

    Wij gebruiken geen tracking-tools van derden zoals Google Analytics of Facebook Pixel.

    Alle analytische gegevens worden uitsluitend intern en geanonimiseerd op EU-servers verwerkt.

    Belangrijkste punten:

    • Alleen essentiële cookies zonder toestemming
    • Analytische cookies alleen met uitdrukkelijke toestemming
    • Geen Google Analytics, geen Facebook Pixel
    • Alle gegevens op EU-servers
    • Cookie-instellingen te allen tijde aanpasbaar

    16. E-mailcommunicatie

    Wij versturen uitsluitend transactionele e-mails (bijv. orderbevestigingen, afspraakmeldingen) via onze in de EU gevestigde e-maildienst.

    • Geen ongevraagde reclame zonder toestemming
    • Afmeldmogelijkheid (Unsubscribe) in elke e-mail
    • Versleutelde e-mailverzending (TLS)
    • Geen e-mailtracking (geen openingspercentages, geen linktracking)

    17. Beveiligingsmaatregelen (TOM)

    Wij treffen uitgebreide technische en organisatorische maatregelen (TOM's) conform Art. 32 AVG ter bescherming van uw gegevens:

    Versleuteling

    TLS 1.3 voor alle verbindingen, AES-256 voor opgeslagen gegevens

    Toegangscontrole

    Role-based Access Control (RBAC), Multi-Factor-Authenticatie

    Registratie

    Volledige audit-logs voor alle gegevenstoegang

    Gegevensback-up

    Dagelijkse versleutelde back-ups met 7-daagse rotatie

    Netwerkbeveiliging

    Firewall, Intrusion Detection, DDoS-bescherming

    18. Sociale netwerken

    Op onze website zijn momenteel geen social-media-plugins (Facebook Like, Twitter Share etc.) geïntegreerd. Er worden geen gegevens aan sociale netwerken doorgegeven.

    Links naar onze social-mediaprofielen worden weergegeven als eenvoudige verwijzingen zonder tracking.

    19. Geautomatiseerde besluitvorming

    Er vindt geen geautomatiseerde besluitvorming (inclusief profilering) plaats in de zin van Art. 22 AVG die rechtsgevolgen voor u heeft of u op vergelijkbare wijze aanmerkelijk treft.

    De AI-gestuurde symptoomchecker dient slechts als ondersteuning en vervangt geen medische beslissing.

    20. Patiëntenvoorlichting

    In het kader van de telemedische behandeling vindt een privacyrechtelijke voorlichting plaats over de bijzonderheden van digitale gezondheidszorg. Dit omvat in het bijzonder informatie over het feit dat gezondheidsgegevens digitaal worden verwerkt en welke bijzondere beschermingsmaatregelen wij daarvoor treffen.

    Meer informatie vindt u in onze Patiëntenvoorlichting over behandeling op afstand.

    21. Authenticatie en identiteitsverificatie

    Om de identiteit en leeftijd te waarborgen, gebruiken wij een tweestapsproces:

    • Leeftijdsverificatie: zelfverklaring en bevestiging door de gebruiker
    • Identiteitsverificatie: upload van een geldig identiteitsbewijs (identiteitskaart of paspoort)

    Identiteitsbewijzen worden uitsluitend voor verificatie gebruikt en na succesvolle controle binnen 30 dagen verwijderd. Zij worden niet aan derden verstrekt.

    22. Wijzigingen van deze verklaring

    Wij behouden ons het recht voor deze privacyverklaring aan te passen aan gewijzigde wetgeving of bij wijzigingen van de dienst. De actuele versie vindt u steeds op deze pagina.

    Wezenlijke wijzigingen worden ten minste 30 dagen voor inwerkingtreding per e-mail aangekondigd.

    Datum van de laatste wijziging: december 2024

    23. Contact voor privacyverzoeken

    Bij vragen over gegevensbescherming kunt u contact met ons opnemen via:

    Algemene privacyverzoeken:
    privacy@docto24.de
    Functionaris voor gegevensbescherming (heyData GmbH):
    datenschutz@heydata.eu

    Wij beantwoorden uw verzoek binnen 30 dagen (Art. 12 lid 3 AVG).