Gegevensverwerking

Hoe Maira uw zorggegevens verwerkt

Onze rol als verwerker

Maira fungeert als gegevensverwerker (processor) van uw organisatie als verantwoordelijke (controller). Dit betekent dat uw organisatie bepaalt wat er met patiëntgegevens gebeurt, en wij voeren uw instructies uit. We verwerken geen gegevens voor eigen doeleinden.

AVG-naleving

Maira voldoet volledig aan de Europese Verordening Gegevensbescherming (AVG) en de Nederlandse Wet Bescherming Persoonsgegevens. Alle zorggegevens blijven op Nederlands grondgebied opgeslagen. We hebben de volgende maatregelen geïmplementeerd:

  • Versleuteling van gegevens zowel in transit als in rust
  • Strikte toegangscontroles met rol-gebaseerde machtigingen
  • Regelmatige veilighheidsaudits en penetratietests
  • Incidentresponsplan voor beveiligingsinbreuken
  • Medewerker-training op gegevensbescherming
  • Gegevensopslag uitsluitend op Nederlandse servers

Verwerkersovereenkomst

Als u Maira gebruikt, gaat u automatisch akkoord met onze verwerkingsovereenkomst die voldoet aan artikel 28 AVG. Deze regelt:

  • Het doel en de rechtmatigheid van de verwerking
  • Welke gegevens worden verwerkt en voor hoe lang
  • Onze geheimhoudingsplicht
  • Sub-processors die wij gebruiken
  • Uw rechten en verplichtingen
  • Onze beveiligingsmaatregelen

Voor een volledige verwerkersovereenkomst kunt u contact opnemen met ons.

Bewaren van gegevens

We bewaren patiëntgegevens zolang uw organisatie dat nodig heeft, conform wettelijke vereisten voor medische dossiers (meestal 10 jaar). Wanneer u gegevens verwijdert, worden deze permanent en onherstelbaar verwijderd uit onze servers. Bij beëindiging van uw account kunt u uw gegevens exporteren voordat deze worden verwijderd.

Sub-processors

Maira maakt gebruik van geselecteerde sub-processors voor infrastructuur en ondersteuning. Al onze cloud diensten voor zorggegevens bevinden zich in Nederland of de EU. Deze zijn:

  • Scaleway (cloud-infrastructuur, gehost in Nederland)
  • SQR B.V. (cloud-infrastructuur, gehost in Nederland)
  • Scaleway (Whisper-service voor spraakomzetting, gehost in Nederland)
  • Microsoft Azure (EU-regio voor OpenAI-modellen)
  • Sentry (error tracking)

Alle sub-processors voldoen aan dezelfde gegevensbeschermingsnormen en GDPR-compliance. Door het gebruik van Nederlandse en EU-cloud-providers garanderen we dat uw zorggegevens op Europees grondgebied blijven. U wordt op de hoogte gesteld als we nieuwe sub-processors toevoegen.

Uw rechten als organisatie

Als verantwoordelijke hebt u het recht om:

  • Een kopie van al uw gegevens aan te vragen
  • Ons instructies te geven over hoe gegevens moeten worden verwerkt
  • Een audit van onze beveiligingsmaatregelen uit te voeren
  • Verwijdering van gegevens te verlangen

Incidenten en inbreuken

Mocht er een beveiligingsinbreuk plaatsvinden, zullen we u hiervan onmiddellijk in kennis stellen. We doen dit volgens de wettelijke vereisten (binnen 72 uur). U kunt zich vervolgens melden bij de Autoriteit Persoonsgegevens als u dat nodig acht.

Vragen?

Hebt u vragen over hoe we uw gegevens verwerken of wilt u meer informatie? We helpen graag. Neem contact met ons op en we stellen een gedetailleerde verwerkersovereenkomst op die specifiek past bij uw organisatie.