Privacyverklaring
Versie 1.0 — Laatst bijgewerkt: 25 maart 2026
1. Wie zijn wij?
DossierTijd is een product van AY Automatisering, gevestigd te Nederland. Wij bieden een AI-ondersteunde SaaS-applicatie waarmee zorgprofessionals in de langdurige zorg sneller en kwalitatief betere dossierdocumenten genereren.
- Bedrijfsnaam: AY Automatisering
- KvK-nummer: 42000925
- Vestigingsadres: Heerenveen, Friesland
- E-mail: privacy@ayautomatisering.nl
- Website: dossiertijd.nl
- Rol: Verwerker (conform Art. 28 AVG). De zorgorganisatie is verwerkingsverantwoordelijke.
Functionaris Gegevensbescherming (FG/DPO): AY Automatisering heeft op dit moment geen Functionaris Gegevensbescherming (FG) aangesteld. Bij vragen over gegevensbescherming kunt u contact opnemen via privacy@ayautomatisering.nl.
2. Welke persoonsgegevens verwerken wij?
2.1 Gebruikers van de applicatie (zorgmedewerkers)
| Gegeven | Doel | Grondslag | Bewaartermijn |
|---|---|---|---|
| Naam, e-mailadres | Account en toegangsbeheer | Uitvoering overeenkomst (Art. 6 lid 1b) | Tot einde overeenkomst + 30 dagen |
| Functietitel | Personalisatie schrijfstijl | Gerechtvaardigd belang (Art. 6 lid 1f) | Tot einde overeenkomst |
| Inlogactiviteit, IP-adres | Beveiliging en audit trail (NEN 7510) | Wettelijke verplichting (Art. 6 lid 1c) | 12 maanden |
| Sessiecookies | Authenticatie en sessiebeheer | Noodzakelijk (geen toestemming vereist) | Sessieduur (max 8 uur) |
2.2 Cliëntgegevens (zorgdata)
DossierTijd verwerkt cliëntgegevens uitsluitend in opdracht van de zorgorganisatie (verwerkingsverantwoordelijke). Deze gegevens worden:
- Niet structureel opgeslagen — documenten worden gegenereerd en direct aan het ECD (bijv. Nedap ONS) geleverd
- Niet gebruikt voor AI-training — contractueel vastgelegd met onze AI-subverwerker
- In-memory verwerkt — na generatie worden cliëntgegevens uit het werkgeheugen verwijderd
- Beveiligd met PII-detectie — ons systeem detecteert en maskeert gevoelige gegevens (BSN, IBAN, etc.)
2.3 Websitebezoekers
| Gegeven | Doel | Grondslag |
|---|---|---|
| Contactformuliergegevens | Beantwoorden van vragen | Toestemming (Art. 6 lid 1a) |
| Functionele cookies | Werking website | Noodzakelijk (geen toestemming vereist) |
2.4 Bijzondere persoonsgegevens (gezondheidsdata)
Bij het gebruik van DossierTijd worden indirect gezondheidsgegevens verwerkt. Dit zijn bijzondere persoonsgegevens in de zin van Art. 9 lid 1 AVG. De verwerking van deze gegevens is toegestaan op grond van Art. 9 lid 2 sub h AVG: de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale zorg of behandeling, dan wel het beheren van gezondheidszorgstelsels en -diensten, op grond van Unierecht of lidstatelijk recht, of krachtens een overeenkomst met een gezondheidswerker.
De verwerking vindt plaats onder de verantwoordelijkheid van een beroepsbeoefenaar die onderworpen is aan het beroepsgeheim (Art. 9 lid 3 AVG). De zorgorganisatie (verwerkingsverantwoordelijke) draagt zorg voor het waarborgen van dit beroepsgeheim. DossierTijd verwerkt gezondheidsgegevens uitsluitend in opdracht van de zorgorganisatie en treft aanvullende technische maatregelen (pseudonimisering, PII-detectie) om de risico's te beperken.
3. Met wie delen wij gegevens?
Wij delen persoonsgegevens uitsluitend met de volgende partijen:
| Partij | Doel | Locatie | DPA |
|---|---|---|---|
| Supabase (database) | Opslag gebruikersaccounts | EU (Frankfurt) | Ja |
| OpenAI (AI-verwerking) | Documentgeneratie | VS (met EU SCCs + TIA) | Ja |
| Nedap Healthcare (ECD) | Ophalen cliëntgegevens en rapportages uit het ECD; terugschrijven van AI-gegenereerde concept-rapportages naar het ECD op verzoek van de medewerker. Beveiligd via mTLS (mutual TLS). | EU (Nederland) | Via aansluitovereenkomst |
| Resend (e-mail) | Transactionele e-mails | EU | Ja |
Wij verkopen nooit persoonsgegevens aan derden. Er vindt geen profiling of geautomatiseerde besluitvorming plaats in de zin van Art. 22 AVG.
4. Beveiliging
Wij treffen passende technische en organisatorische maatregelen, waaronder:
- Encryptie: TLS 1.2+ voor data in transit, AES-256 voor data at rest
- mTLS: Wederzijdse certificaatauthenticatie voor ECD-koppelingen
- Toegangsbeheer: Role-based access, MFA, 30 min idle timeout (NEN 7510)
- Audit logging: Alle toegang tot cliëntgegevens wordt gelogd
- PII-detectie: Automatische detectie van gevoelige gegevens (BSN, IBAN, postcodes)
- DPIA: Een Data Protection Impact Assessment is uitgevoerd en geauditeerd
5. Uw rechten
Op grond van de AVG heeft u de volgende rechten:
- Recht op inzage (Art. 15) — Welke gegevens wij van u verwerken
- Recht op rectificatie (Art. 16) — Onjuiste gegevens laten corrigeren
- Recht op verwijdering (Art. 17) — Uw gegevens laten wissen
- Recht op beperking (Art. 18) — Verwerking laten beperken
- Recht op dataportabiliteit (Art. 20) — Uw gegevens in een gangbaar formaat ontvangen
- Recht van bezwaar (Art. 21) — Bezwaar maken tegen verwerking
Neem contact op via privacy@ayautomatisering.nl om een van deze rechten uit te oefenen. Wij reageren binnen 30 dagen.
U heeft ook het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens.
6. Cookies
DossierTijd gebruikt uitsluitend strikt noodzakelijke cookies voor het functioneren van de applicatie. Wij plaatsen geen tracking-, analytics- of marketingcookies. Zie onze cookie policy voor een volledig overzicht.
7. Wijzigingen
Wij kunnen deze privacyverklaring wijzigen. De actuele versie is altijd beschikbaar op deze pagina. Bij wezenlijke wijzigingen informeren wij u via e-mail of een melding in de applicatie.
8. Contact
Heeft u vragen over deze privacyverklaring of over hoe wij omgaan met uw persoonsgegevens? Neem contact op:
- E-mail: privacy@ayautomatisering.nl
- Algemeen: info@ayautomatisering.nl