Privacybeleid

De verwerkingsverantwoordelijke voor persoonsgegevens in verband met de dienst DossiMed is REC SUARL, Société Unipersonnelle à Responsabilité Limitée, met de status Société totalement exportatrice, onder de jurisdictie van Tunisie.

• Statutaire zetel: Complexe Emna C 4 4, 2083 Raoued, Ariana, Tunisie
• Handels- / fiscaal register: 1808396F

Vertegenwoordiger artikel 27 AVG: À RENSEIGNER (représentant UE Art. 27) — aanstelling lopende; contactgegevens worden hier gepubliceerd en aan toezichthouders gemeld zodra benoemd.

Voor vragen over gegevensbescherming of het uitoefenen van uw rechten kunt u de FG bereiken via dpo@dossimed.ai.

We onderscheiden gewone persoonsgegevens (artikel 6 AVG) en bijzondere persoonsgegevens over gezondheid (artikel 9 AVG).

Categorie	Voorbeelden	Regime
Identiteit & account	Naam, e-mail, technische account-ID’s, voorkeuren UI	Art. 6 / Art. 9 afhankelijk van context
Inhoud medisch dossier	Voorschriften, verslagen, labresultaten, behandelplannen, bijlagen	Art. 9 — gezondheidsgegevens
Technische gegevens	Beveiligingslogs, apparaattype, app-versie	Art. 6
Telefonie	E.164-nummer (OTP, WhatsApp, Premium-stem)	Art. 6 (en Art. 9 bij gezondheidsinhoud in berichten)
Abonnement	Premium-status, id’s bij betalingsprovider	Art. 6

Deze tabel koppelt elk doel aan de belangrijkste rechtsgrond. Waar gezondheidsgegevens worden verwerkt, kan uitdrukkelijke toestemming (art. 9.2.a) of het duidelijke initiatief van de betrokkene naast artikel 6 gelden.

Doel	Rechtsgrond (artikelen 6 en 9 AVG)
Aanmaken en beheren van account	Art. 6.1.b — overeenkomst
Opslag en verwerking van medische documenten	Art. 6.1.a en Art. 9.2.a — uitdrukkelijke toestemming
Genereren behandelplan	Art. 6.1.a en Art. 9.2.a — uitdrukkelijke toestemming
Push-herinneringen	Art. 6.1.a — toestemming
WhatsApp-escalatie en spraakoproep (Premium)	Art. 6.1.a — toestemming
QR-deling met zorgverlener	Art. 6.1.a en Art. 9.2.a — initiatief betrokkene / toestemming
AI-klinische samenvatting (arts-viewer)	Art. 6.1.a en Art. 9.2.a — toestemming
Abonnementsbeheer	Art. 6.1.b — overeenkomst
Gebruikersondersteuning	Art. 6.1.f — gerechtvaardigd belang
Beveiliging en fraudepreventie	Art. 6.1.f — gerechtvaardigd belang
Boekhoudkundige en fiscale verplichtingen	Art. 6.1.c — wettelijke verplichting

Verwerking maakt gebruik van technische en functionele verwerkers (hosting, berichten, document-AI, meldingen, abonnementen, enz.).

De volledige, actuele lijst met rol, locatie en status van doorgifemechanismen / DPA’s staat op de pagina: Lijst van subverwerkers.

Bestemming / leverancier	Mechanisme	Toelichting
Zwitserland (bijv. Supabase)	Adequatheidsbesluit (art. 45 AVG)	Geen aanvullend contractueel mechanisme vereist voor gedekte doorgifes.
Verenigde Staten (bijv. RevenueCat, delen van Vercel-infra afhankelijk van config)	Standaardcontractbepalingen (SCC) en aanvullende maatregelen na Schrems II	Een transfer impact assessment (TIA) wordt bijgehouden.
Microsoft Azure, Google FCM	EU-locatie geprefereerd waar het product dit toelaat	Configuratie die Europees grondgebied prioriteert.

Gegeven / log	Termijn
Actief gebruikersaccount	Zolang het account open is
Medische documenten	Cascade-verwijdering bij verwijderen account
Tabel notification_log	90 dagen (automatische purge)
Tabel call_log	12 maanden (automatische purge)
Tabel phone_otp_send_events	24 uur (automatische purge)
Verlopen deeltokens (share_tokens)	30 dagen na verval
Boekhoudgegevens	10 jaar — wettelijke verplichting

U heeft met name de volgende rechten:

• Inzagerecht (art. 15);
• Rectificatie (art. 16);
• Wissing (art. 17);
• Beperking (art. 18);
• Gegevensoverdraagbaarheid (art. 20) — gestructureerde export via Instellingen → Privacy / export in de mobiele app (pad vergelijkbaar met /app/account/privacy, functie export-account);
• Bezwaar (art. 21), met name bij gerechtvaardigd belang;
• Intrekking toestemming (art. 7.3) te allen tijde;
• Regelingen na overlijden voor gezondheidsgegevens voor zover nationaal recht dit voorschrijft.

Termijn: uiterlijk één maand, verlengbaar met twee maanden bij complexiteit of volume — u wordt geïnformeerd.

Voorkeurskanaal: dpo@dossimed.ai.

DossiMed neemt geen geautomatiseerde medische beslissingen. De document-AI-pijplijn stelt gestructureerde gegevens voor die u handmatig valideert vóór operationeel gebruik. De voorschrijvende arts blijft volledig verantwoordelijk voor klinische beslissingen.

Passende maatregelen omvatten onder meer:

• RLS (row-level security) in PostgreSQL;
• ondertekende URL’s en korte geldigheid voor bestanden;
• SHA-256-hashing van gevoelige tokens;
• versleuteling tijdens transport (TLS);
• dagelijkse back-ups;
• PKCE voor publieke clients;
• administrator-toegangslogboeken en periodieke review.

U kunt een klacht indienen bij een toezichthouder in uw gewone verblijfplaats, werkplaats of plaats van de vermeende inbreuk.

Voorbeelden:

• Tunesië — INPDP: www.inpdp.tn
• Frankrijk — CNIL: www.cnil.fr
• België — GBA / APD: www.autoriteprotectiondonnees.be
• Nederland — AP: autoriteitpersoonsgegevens.nl
• Zwitserland — EDÖB: www.edoeb.admin.ch
• Elke andere EU/EER-toezichthouder volgens uw situatie.

Dit beleid is versioned. De datum bovenaan komt overeen met versie 2026-05-15 (referentie SITE_CONFIG.policyVersion).

Bij materiële wijzigingen van rechtsgronden, doeleinden of rechten wordt u in de mobiele app gevraagd om toestemming opnieuw te bevestigen waar de verwerking op toestemming steunt (met name gezondheidsgegevens — art. 9).