1. Inleiding & Onze Rol
Dit Privacybeleid beschrijft hoe uw persoonsgegevens worden verzameld, gebruikt en beschermd wanneer u de website https://diaeta.be bezoekt of gebruikmaakt van de professionele gezondheidszorgdiensten van Diaeta.
Verwerkingsverantwoordelijke
Onder de Europese Algemene Verordening Gegevensbescherming (AVG) en de Belgische wetgeving inzake gegevensbescherming, is de "Verwerkingsverantwoordelijke" die verantwoordelijk is voor uw persoonsgegevens:
| Handelsnaam | Diaeta |
| Rechtsvorm | Eenmanszaak |
| Ondernemingsnummer (KBO) | 0540.714.226 |
| NIHDI-nummer | 5-63187-92-601 |
| Verantwoordelijke Persoon | Pierre Abou-Zeid |
| Adres | Laudinnestraat 94A, 1602 Vlezenbeek, België |
| info@diaeta.be | |
| Telefoon | +32 479 35 55 51 |
| Website | https://diaeta.be |
Als Erkend Diëtist ben ik een erkende gezondheidsprofessional gebonden aan verplichtingen inzake beroepsgeheim volgens de Belgische wetgeving en de AVG. Alle persoonsgegevens die u deelt, worden behandeld met strikte vertrouwelijkheid en in overeenstemming met de hoogste normen van gegevensbescherming.
2. Welke Gegevens Wij Verzamelen
Wij verzamelen persoonsgegevens die noodzakelijk zijn om u veilige, effectieve en gepersonaliseerde diëtistische zorg te bieden. De soorten gegevens die wij verwerken omvatten:
A. Identiteits- & Contactgegevens
- Volledige naam
- E-mailadres
- Telefoonnummer
- Voorkeurstaal voor communicatie
B. Gezondheids- & Klinische Gegevens (Bijzondere Categorieën van Gegevens)
Dit zijn gevoelige gezondheidsinformatie die specifiek wordt verwerkt voor uw medische behandeling:
Informatie bij Eerste Consultatie:
- Medische voorgeschiedenis en eerdere gezondheidsdiagnoses (bijv. Type 2 Diabetes, Prikkelbare Darm Syndroom, hoog cholesterol)
- Huidige medicatie en supplementen
- Voedselallergieën en intoleranties
- Familiale gezondheidsgeschiedenis
- Levensstijlinformatie (slaap, stress, fysieke activiteit)
- Gegevens van uw huisarts of verwijzende zorgverlener
Doorlopende Klinische Monitoring:
- Voedingsdagboeken en maaltijdevaluaties (geregistreerd via onze professionele voedingssoftware)
- Vochtinname monitoring
- Symptoomdagboeken (vooral voor IBS-patiënten die low-FODMAP protocollen volgen)
- Gewichtsmetingen en lichaamssamenstelling analyses (vetmassa, spiermassa, hydratiepercentage) verkregen via onze professionele klinische apparatuur
- Relevante bloedtestresultaten die u verstrekt (bijv. bloedglucose, cholesterolwaarden, triglyceriden)
- Vorderingsnotities en klinische observaties van uw diëtist
C. Financiële Gegevens
- Betalingsinformatie met betrekking tot consultatiekosten
- Factuurgegevens (wij verwerken betalingen uitsluitend via contant geld en Payconiq QR-code; wij bewaren geen creditcardnummers)
- Verzekeringsterugbetalingsdocumentatie wanneer u dit aanvraagt
D. Technische Websitegegevens
- IP-adres (geanonimiseerd)
- Browsertype en besturingssysteem
- Bezochte pagina's
- Tijd doorgebracht op website
- Geografische locatie (stadsniveau, niet nauwkeurig)
Deze gegevens worden anoniem verzameld via Vercel Analytics (cookieloze prestatiebewaking). Er worden geen analytische cookies op uw apparaat geplaatst.
3. Hoe Wij Uw Gegevens Verzamelen
Persoonsgegevens worden verzameld via meerdere kanalen:
- Directe Communicatie: Wanneer u informatie verstrekt tijdens persoonlijke of virtuele consulten via Google Meet
- Website Contactformulier: Wanneer u vragen indient met behulp van het contactformulier op diaeta.be
- Boekingsplatformen: Wanneer u afspraken plant via Doctoranytime.be of ons Google Business profiel
- Patiëntbeheerapplicatie: Wanneer u actief voedsel, symptomen, vochtinname registreert of communiceert met uw diëtist via ons beveiligd voedingsplatform
- Klinische Metingen: Wanneer lichaamssamenstelling wordt gemeten tijdens consultatie met onze professionele klinische apparatuur
- Automatische Verzameling: Wanneer u onze website bezoekt (IP-adres, browsergegevens, analytische gegevens)
Beleid inzake Videoconsulten
Virtuele consulten via Google Meet worden in real-time uitgevoerd en worden NIET opgenomen. Er worden geen video- of audio-opnames gemaakt of opgeslagen, tenzij u expliciet om opname vraagt voor klinische documentatiedoeleinden en vooraf duidelijke schriftelijke toestemming geeft. In dergelijke gevallen worden opnames behandeld als onderdeel van uw medisch dossier en onderworpen aan dezelfde 30-jarige bewaarperiode en beveiligingsmaatregelen.
4. Rechtsgrond voor Verwerking van Uw Gegevens
De verwerking van uw persoonsgegevens is alleen rechtmatig wanneer wij een geldige rechtsgrond hebben onder de AVG. Hier volgt hoe wij onze gegevensverwerking rechtvaardigen:
A. Om U Gezondheidszorgdiensten te Verlenen
Algemene Gegevens (Identiteit, Contact, Financieel)
- Rechtsgrond: AVG Artikel 6(1)(b) — Uitvoering van een Overeenkomst
- Doel: Wij verwerken uw contact- en financiële gegevens om afspraken te plannen, uw patiëntendossier te beheren, afspraakherinneringen te versturen en betalingen te verwerken. Dit is noodzakelijk om onze dienstverleningsovereenkomst met u na te komen.
Gezondheidsgegevens (Klinische Informatie)
- Rechtsgrond: AVG Artikel 9(2)(h) — Verlening van Gezondheidszorg
- Doel: Als Erkend Diëtist ben ik een gezondheidsprofessional wettelijk gebonden aan beroepsgeheim. De verwerking van uw gevoelige gezondheidsgegevens is noodzakelijk voor de doeleinden van "medische diagnose, het verlenen van gezondheids- of sociale zorg of behandeling" zoals toegestaan onder dit artikel. Dit is onze primaire rechtsgrond voor het bijhouden van uw klinisch dossier.
B. Om te Voldoen aan Wettelijke Verplichtingen
- Rechtsgrond: AVG Artikel 6(1)(c) — Wettelijke Verplichting
- Doel: De Belgische wetgeving vereist dat zorgverleners en paramedische professionals patiëntendossiers minimaal 30 jaar bewaren
- Doel: De Belgische belastingwetgeving vereist bewaring van financiële facturen en factureringsadministratie gedurende 7 jaar
C. Voor Coördinatie van het Zorgteam
- Rechtsgrond: AVG Artikel 6(1)(a) — Uitdrukkelijke Toestemming & Artikel 9(2)(h) — Verlening van Gezondheidszorg
- Doel: Met uw uitdrukkelijke toestemming kunnen wij klinische vorderingsrapporten, behandelingssamenvattingen of relevante gezondheidsinformatie delen met:
- Uw verwijzende arts of huisarts om gecoördineerde zorg te waarborgen
- Uw verzekeraar wanneer u documentatie aanvraagt voor terugbetalingsdoeleinden (beperkte klinische informatie zoals diagnose, behandeldata en factuurgegevens)
Deze gegevensdeling gebeurt alleen op uw verzoek of met uw duidelijke schriftelijke toestemming, en vormt legitieme communicatie binnen het zorgteam.
D. Voor Website Analyses
- Rechtsgrond: AVG Artikel 6(1)(f) — Gerechtvaardigd Belang
- Doel: Wij gebruiken privacyvriendelijke analysetools (Vercel Analytics) in cookieloze modus. Deze tools helpen ons onze website te verbeteren zonder cookies op uw apparaat te plaatsen en zonder u persoonlijk te identificeren. Er is geen toestemming vereist omdat deze tools zonder cookies werken en alleen geaggregeerde, anonieme gegevens verzamelen.
Gebruikte Analysetools:
- Vercel Analytics — Prestatiebewaking, geen cookies, anonieme gegevens
- Vercel Speed Insights — Real-world prestatiemetrieken (Core Web Vitals)
- Sentry — Technische foutopsporing, gehost in de EU (Duitsland), voor verbetering van websitebetrouwbaarheid
5. Hoe Wij Uw Gegevens Gebruiken
Wij gebruiken uw persoonsgegevens voor deze specifieke, legitieme doeleinden:
- Gezondheidsbeoordeling & Diagnose: Om een uitgebreide evaluatie uit te voeren van uw voedingsstatus, gezondheidstoestand en behandelingsbehoeften
- Behandelingsplanning & -uitvoering: Om uw gepersonaliseerde diëtistisch plan en voedingstherapie te creëren, beheren en leveren
- Vorderingsbewaking: Om uw klinische vooruitgang te volgen via voedingsdagboekanalyse via onze voedingssoftware, lichaamssamenstelling metingen via onze professionele klinische apparatuur, en symptoomopvolging
- Patiëntencommunicatie: Om tussen afspraken met u te communiceren, feedback te geven op uw maaltijden, uw vragen te beantwoorden en klinische inzichten te delen (voornamelijk via ons beveiligd voedingsplatform)
- Afsprakenbeheer: Om uw afsprakenplanning te beheren, afspraakherinneringen via sms te versturen en boekingslogistiek te regelen
- Facturering & Administratie: Om u te factureren voor diensten, betalingen te verwerken, financiële administratie te beheren en te voldoen aan boekhoudkundige verplichtingen
- Zorgcoördinatie: Om relevante klinische informatie te delen met uw verwijzende arts of verzekeraar (alleen met uw uitdrukkelijke toestemming of op uw verzoek)
- Wettelijke Naleving: Om uw medisch dossier bij te houden in overeenstemming met de verplichte 30-jarige bewaarperiode vereist door de Belgische wetgeving
- Website Analyses: Om anoniem websiteverkeer en prestaties te analyseren via Vercel Analytics (cookieloze modus). Deze tools beschermen uw privacy door geen cookies op uw apparaat te plaatsen
Beginsel van Gegevensminimalisatie: Wij houden ons aan het beginsel van gegevensminimalisatie onder AVG Artikel 5(1)(c). Wij verzamelen alleen de persoonsgegevens die toereikend, relevant en strikt noodzakelijk zijn voor het verlenen van uw gezondheidszorgdiensten. Wij verzamelen geen buitensporige of onnodige informatie.
6. Gegevensbeveiliging: Hoe Wij Uw Informatie Beschermen
De beveiliging van uw persoonsgegevens, met name uw gevoelige gezondheidsinformatie, is een absolute prioriteit. Wij implementeren robuuste technische en organisatorische maatregelen om uw gegevens te beschermen tegen ongeoorloofde toegang, verlies, wijziging of misbruik.
Beveiligingsmaatregelen
Beveiligde Softwaresystemen:
- Alle klinische gegevens worden verwerkt met behulp van speciale, beveiligde en AVG-conforme gezondheidszorgsoftware
- Patiëntenbeheer wordt uitsluitend afgehandeld via gecertificeerde verwerkers van gezondheidsgegevens met toegewijde gezondheidszorgsystemen
- Er worden geen patiëntgegevens opgeslagen op algemene kantoorcomputers of onversleutelde lokale apparaten
EU Gegevenshosting:
- Uw belangrijkste klinische gegevens worden opgeslagen op beveiligde, versleutelde servers binnen de Europese Unie
- Professionele voedingssoftware (patiëntenbeheer, voedingsdagboeken, klinische notities): Gehost op beveiligde Amazon Web Services (AWS) infrastructuur in Frankfurt, Duitsland
- Lichaamssamenstelling Analysesysteem: Gehost op gecertificeerde Gezondheidsgegevensservers (HDS) in Frankrijk, die voldoen aan de hoogste EU-normen voor gezondheidsgegevens
Toegangscontrole:
- Toegang tot uw identificeerbaar patiëntendossier is strikt beperkt tot Pierre Abou-Zeid (de behandelende diëtist)
- Alle toegang wordt geauthenticeerd en geregistreerd
- Toekomstige personeelsleden (indien van toepassing) zullen alleen toegang hebben tot patiëntendossiers die noodzakelijk zijn voor patiëntenzorg en zullen gebonden zijn aan verplichtingen inzake beroepsgeheim
Versleuteling:
- Alle patiëntgegevens die worden verzonden tussen apparaten en servers zijn tijdens transport versleuteld met behulp van industriestandaard TLS/SSL-versleuteling
- Gegevens in rust op servers zijn versleuteld
- Communicatie via ons voedingsplatform is end-to-end versleuteld
Fysieke Beveiliging:
- Papieren dossiers (indien aanwezig) worden bewaard in afgesloten archiefkasten in beveiligde kantoorruimtes
- Toegang tot consultatieruimtes is gecontroleerd en beperkt tot geautoriseerd personeel
- Alle kantoorlocaties implementeren passende fysieke beveiligingsmaatregelen
- Documenten worden veilig vernietigd door dwarsversnippering wanneer toegestaan door bewaarvereisten
Personeelstraining:
- Alle huidige en toekomstige personeelsleden ontvangen verplichte training inzake gegevensbescherming en patiëntenvertrouwelijkheid voordat zij toegang krijgen tot patiëntgegevens
- Voortdurende training waarborgt blijvende naleving van evoluerende AVG-normen
Incidentrespons & Melding van Datalekken:
- Ondanks preventieve maatregelen zullen wij, indien een gegevensbeveiligingsincident wordt vermoed, onmiddellijk onderzoek doen om de omvang en impact te bepalen
- Uw Recht op Melding (AVG Artikel 34): In het onwaarschijnlijke geval van een bevestigd datalek van persoonsgegevens dat waarschijnlijk een hoog risico inhoudt voor uw rechten en vrijheden, zullen wij u zonder onnodige vertraging op de hoogte stellen. De melding zal de aard van het lek beschrijven, de waarschijnlijke gevolgen en de genomen of voorgestelde maatregelen om dit aan te pakken.
- Melding aan Toezichthoudende Autoriteit (AVG Artikel 33): Wij zullen de Belgische Gegevensbeschermingsautoriteit binnen 72 uur nadat wij kennis hebben genomen van een inbreuk in verband met persoonsgegevens op de hoogte stellen, tenzij de inbreuk waarschijnlijk geen risico inhoudt voor uw rechten en vrijheden.
- Identiteitsverificatie: Voor uw bescherming kunnen wij, wanneer u uw rechten als betrokkene uitoefent (zoals het aanvragen van toegang tot uw gegevens), uw identiteit moeten verifiëren via veilige middelen (bijv. het matchen van uw verzoekgegevens met informatie die wij hebben, of het aanvragen van een kopie van een identiteitsbewijs). Dit voorkomt ongeautoriseerde toegang tot uw persoonsgegevens.
Regelmatige Beveiligingsbeoordeling:
- Alle softwareleveranciers ondergaan regelmatige beveiligingsaudits en nalevingscertificeringen
- Wij onderhouden actuele beoordelingen van de beveiliging van leveranciers
- Wij voeren jaarlijkse interne beoordelingen uit van onze gegevensbeschermingsmaatregelen
7. Gegevensbewaring: Hoe Lang Wij Uw Dossiers Bewaren
Wij bewaren uw persoonsgegevens alleen zolang als noodzakelijk is om de doeleinden te vervullen waarvoor deze zijn verzameld, of om te voldoen aan wettelijke en reglementaire vereisten.
Bewaarperiodes
| Gegevenstype | Bewaarperiode | Rechtsgrond |
|---|---|---|
| Medische & Klinische Dossiers | 30 jaar vanaf de laatste consultatie | Belgische wetgeving inzake medische dossiers (KB van 3 mei 1999) |
| GCP Back-ups (Medische Archieven) | 30 jaar (identiek aan medische dossiers) | Belgische wetgeving - bewaarplicht |
| Financiële Documenten & Facturen | 7 jaar | Belgische belastingwetgeving |
| Contactaanvragen (Niet-Patiënten) | Onmiddellijke verwijdering na behandeling | Gegevensminimalisatie |
| Website Analysegegevens | Maximum 26 maanden | ePrivacy-richtlijn |
| Cookie Toestemmingen | 13 maanden (verlenging vereist) | ePrivacy-richtlijn |
| AVG Toestemmingsdossiers | Duur van verwerking + 3 jaar | AVG verantwoordingsplicht |
Veilige Verwijdering
Wanneer gegevens niet langer nodig zijn en de wettelijke bewaarperiodes zijn verstreken, verwijderen of anonimiseren wij uw persoonsgegevens op een veilige manier, zodat deze niet meer kunnen worden hersteld of gereconstrueerd.
Speciale Opmerking over Patiëntendossiers: De Belgische wetgeving verplicht de bewaring van medische patiëntendossiers gedurende 30 jaar. Dit betekent dat wij uw klinische gegevens niet kunnen verwijderen voordat deze periode is verstreken, zelfs niet als u om verwijdering verzoekt. U behoudt echter andere rechten zoals gegevensoverdraagbaarheid en rectificatie.
8. Uw Gegevensbeschermingsrechten Onder de AVG
Onder de AVG beschikt u over uitgebreide rechten met betrekking tot uw persoonsgegevens. U kunt deze rechten op elk moment uitoefenen door contact met ons op te nemen.
Uw Rechten
1. Recht op Toegang (Artikel 15)
U hebt het recht om een kopie aan te vragen van alle persoonsgegevens die wij over u bewaren. Dit omvat:
- Bevestiging dat wij uw gegevens verwerken
- Toegang tot uw persoonsgegevens
- Informatie over hoe wij uw gegevens gebruiken
Reactietermijn: 1 maand (kan worden verlengd met 2 extra maanden voor complexe verzoeken)
2. Recht op Rectificatie (Artikel 16)
U hebt het recht om onjuiste of onvolledige persoonsgegevens te corrigeren.
Voorbeeld: Als uw e-mailadres, telefoonnummer of medische informatie is gewijzigd, kunt u een update aanvragen.
3. Recht op Verwijdering / "Recht om Vergeten te Worden" (Artikel 17)
U kunt de verwijdering van uw persoonsgegevens aanvragen onder bepaalde omstandigheden:
- De gegevens zijn niet langer nodig
- U trekt uw toestemming in (wanneer toestemming de rechtsgrond was)
- U maakt bezwaar tegen de verwerking en er zijn geen dwingende legitieme redenen
- De gegevens zijn onrechtmatig verwerkt
BELANGRIJKE BEPERKING: Dit recht is NIET van toepassing op medische dossiers die wij wettelijk verplicht zijn gedurende 30 jaar te bewaren onder de Belgische wetgeving. Wij kunnen echter de toegang tot uw gegevens beperken als u geen diensten meer wenst te ontvangen.
4. Recht op Beperking van de Verwerking (Artikel 18)
U kunt verzoeken dat wij de verwerking van uw gegevens tijdelijk "bevriezen" in bepaalde situaties:
- U betwist de juistheid van de gegevens (terwijl wij verifiëren)
- De verwerking is onrechtmatig maar u wenst geen verwijdering
- Wij hebben de gegevens niet meer nodig maar u heeft ze nodig voor juridische claims
- U hebt bezwaar gemaakt tegen de verwerking (in afwachting van verificatie)
5. Recht op Gegevensoverdraagbaarheid (Artikel 20)
U hebt het recht om uw persoonsgegevens te ontvangen in een gestructureerd, algemeen gebruikt en machineleesbaar formaat, en deze over te dragen aan een andere verwerkingsverantwoordelijke.
Van toepassing op: Gegevens die u hebt verstrekt op basis van toestemming of een overeenkomst, en die met geautomatiseerde middelen worden verwerkt.
Formaat: Wij zullen de gegevens verstrekken in PDF- of CSV-formaat, afhankelijk van wat passend is.
6. Recht van Bezwaar (Artikel 21)
U hebt het recht om bezwaar te maken tegen de verwerking van uw persoonsgegevens onder bepaalde omstandigheden:
- Verwerking op basis van gerechtvaardigd belang
- Direct marketing (u kunt zich op elk moment afmelden)
- Profilering voor marketingdoeleinden
BEPERKING: U kunt geen bezwaar maken tegen verwerking die noodzakelijk is voor het verlenen van gezondheidszorg of voor het voldoen aan wettelijke verplichtingen.
7. Rechten met Betrekking tot Geautomatiseerde Besluitvorming en Profilering (Artikel 22)
U hebt het recht om niet te worden onderworpen aan een besluit dat uitsluitend is gebaseerd op geautomatiseerde verwerking, inclusief profilering, dat rechtsgevolgen voor u heeft.
Huidige Status: Wij gebruiken momenteel geen geautomatiseerde besluitvorming of profilering in onze praktijk. Alle klinische beslissingen worden genomen door uw diëtist.
8. Recht om Toestemming in te Trekken (Artikel 7(3))
Wanneer de verwerking is gebaseerd op toestemming, hebt u het recht om uw toestemming op elk moment in te trekken. Het intrekken van toestemming heeft geen invloed op de rechtmatigheid van de verwerking vóór de intrekking.
Van toepassing op:
- Analytische cookies
- Marketingcommunicatie (momenteel niet gebruikt)
- Het delen van gegevens met derden (bijv. uw arts)
Hoe Uw Rechten Uit te Oefenen
Om een van deze rechten uit te oefenen, kunt u contact met ons opnemen:
- E-mail: info@diaeta.be
- Telefoon: +32 479 35 55 51
- Post: Laudinnestraat 94A, 1602 Vlezenbeek, België
Wij zullen binnen 1 maand op uw verzoek reageren. Voor complexe verzoeken kunnen wij deze termijn met 2 extra maanden verlengen en zullen wij u hiervan op de hoogte stellen.
Geen kosten worden in rekening gebracht voor redelijke verzoeken. Wij kunnen echter een redelijke vergoeding in rekening brengen of verzoeken weigeren die kennelijk ongegrond, buitensporig of repetitief zijn.
9. Diensten van Derden & Gegevensverwerkers
Wij werken samen met vertrouwde externe dienstverleners die persoonsgegevens in onze opdracht verwerken. Alle verwerkers worden zorgvuldig geselecteerd en zijn gehouden aan strikte normen voor gegevensbescherming.
Gegevensverwerkers
| Dienst | Aanbieder | Doel | Gegevenslocatie | AVG Naleving |
|---|---|---|---|---|
| Patiëntbeheer & Voedingsdagboeken | Professionele voedingssoftware | Patiëntendossiers, voedingsdagboeken, communicatie tussen patiënt en diëtist | AWS Frankfurt, Duitsland (EU) | ✅ AVG-conform, Ondertekende Gegevensverwerkingsovereenkomst |
| Lichaamssamenstelling Analyse | Professionele Klinische Apparatuur | Lichaamssamenstelling metingen, gewichtsmonitoring | HDS servers, Frankrijk (EU) | ✅ HDS-certificering (Hébergeur de Données de Santé), AVG-conform |
| Back-ups & Medische Archieven | Google Cloud Platform (GCP) | Back-up van medische dossiers, langdurige archivering (30 jaar), gegevensredundantie | 2 externe servers, België (EU) | ✅ AVG-conform, Google Cloud DPA aanwezig |
| Afsprakenboekingen | Doctoranytime.be | Afsprakenplanning, overdracht van contactgegevens | België/EU | ✅ AVG-conform, Ondertekende Gegevensverwerkingsovereenkomst |
| Bedrijfsprofiel | Google Business Profile | Bedrijfsinformatie, beoordelingen, reserveringen | Google datacenters (EU) | ✅ AVG-conform |
| Videoconsulten | Google Meet | Virtuele realtime consulten (niet opgenomen) | Google datacenters (EU) | ✅ AVG-conform |
| Prestatiebewaking | Vercel Analytics & Speed Insights | Websiteprestatiemetrieken (Core Web Vitals), anonieme gegevens | EU/VS | ✅ AVG-conform, Cookieloos, Anonieme gegevens |
| Foutopsporing | Sentry | Detectie en correctie van technische websitefouten | Duitsland (EU) | ✅ AVG-conform, Cookieloos, EU-hosting |
| Website Hosting | Combell | Hosting van website diaeta.be | België/EU | ✅ AVG-conform, Belgische host |
| Betalingsverwerking | Wero (voorheen Payconiq) | Verwerking van QR-code betalingen, alleen overdracht zonder opslag van gegevens | België/EU | ✅ AVG-conform, geen opslag van transactiegegevens |
| Facturering & Belastingbeheer | Accountable.eu | Facturen aanmaken (basisgegevens: naam, adres, bedragen), veilige verzending via PEPPOL-netwerk, belastingnaleving | EU | ✅ AVG-conform |
Waarborgen voor Gegevensbescherming
Voor alle verwerkers waarborgen wij:
- Gegevensverwerkingsovereenkomsten (DPA): Alle verwerkers ondertekenen formele gegevensverwerkingsovereenkomsten conform AVG Artikel 28
- Beveiligingsmaatregelen: Verwerkers moeten passende technische en organisatorische maatregelen implementeren
- Vertrouwelijkheid: Het personeel van verwerkers is gebonden aan vertrouwelijkheidsverplichtingen
- Audits: Wij beoordelen regelmatig de beveiligings- en nalevingspraktijken van verwerkers
- Inbreukmelding: Verwerkers moeten ons onmiddellijk op de hoogte stellen van eventuele datalekken
Geen Delen met Ongeautoriseerde Derden
Wij verkopen, verhuren of delen nooit uw persoonsgegevens met derden voor marketing- of commerciële doeleinden. Uw gezondheidsgegevens worden alleen gedeeld:
- Met vertrouwde verwerkers voor dienstverlening
- Met uw verwijzende arts (met uw uitdrukkelijke toestemming)
- Met uw verzekeringsmaatschappij (op uw verzoek voor terugbetaling)
- Wanneer wettelijk verplicht
Gegevensdeling bij Noodgevallen
Noodsituaties: In zeldzame medische noodgevallen waarbij uw gezondheid of leven een direct gevaar kan lopen, kunnen wij relevante gezondheidsinformatie openbaar maken aan noodhulpdiensten zonder voorafgaande toestemming. Dit is toegestaan onder:
- AVG Artikel 9(2)(c) — Bescherming van Vitale Belangen
- Belgische medische noodprotocollen en professionele zorgplichtverplichtingen
10. Internationale Gegevensoverdrachten
Wij streven ernaar om alle persoonsgegevens binnen de Europese Economische Ruimte (EER) te bewaren om het hoogste niveau van gegevensbescherming te waarborgen.
Huidige Status van Gegevensoverdrachten
Alle belangrijkste klinische gegevens en archieven blijven in de EU:
- ✅ Professionele voedingssoftware: Gehost op AWS Frankfurt, Duitsland (EU)
- ✅ Lichaamssamenstelling Analysesysteem: Gehost op HDS-servers, Frankrijk (EU)
- ✅ Google Cloud Platform (GCP): 2 externe servers, België (EU)
- ✅ Website Hosting: Combell, België (EU)
- ✅ Doctoranytime: België (EU)
- ✅ Accountable: Europese Unie
- ✅ Wero: België/EU
Diensten met Mogelijke Overdrachten Buiten de EU
Sommige administratieve (niet-klinische) diensten kunnen beperkte gegevensoverdrachten buiten de EU omvatten:
Google Diensten (Google Meet, Google Business Profile)
- Primaire Locatie: EU datacenters
- Mogelijke Overdrachten: Google kan administratieve (niet-klinische) gegevens overdragen naar de Verenigde Staten voor verwerking
- Betrokken Gegevens: Alleen meeting metadata (geen gezondheidsgegevens)
- Waarborgen:
- Google voldoet aan het EU-VS Data Privacy Framework (EU-U.S. Data Privacy Framework)
- EU Standaard Contractuele Clausules (SCC's) aanwezig
- Robuuste technische beveiligingsmaatregelen
Analysediensten (Alle in de EU)
- Sentry: Gehost in Duitsland (EU) — Geen overdrachten buiten de EU
- Vercel Analytics: Kan overdrachten naar de VS omvatten voor anonieme prestatiegegevens. Vercel voldoet aan AVG en het EU-VS Data Privacy Framework
Belangrijk: Geen patiënt gezondheidsgegevens worden overgedragen buiten de EU. Google-diensten verwerken alleen administratieve gegevens en geanonimiseerde analysegegevens.
Waarborgen voor Overdrachten Buiten de EU
Wanneer gegevensoverdrachten buiten de EU noodzakelijk zijn (alleen voor administratieve niet-klinische gegevens), waarborgen wij dat:
- Gegevens waar mogelijk worden geanonimiseerd of gepseudonimiseerd
- Verwerkers voldoen aan het EU-VS Data Privacy Framework
- Standaard Contractuele Clausules (SCC's) aanwezig zijn
- Aanvullende beveiligingsmaatregelen worden geïmplementeerd om gegevens in transit en in rust te beschermen
11. Beleid inzake Kunstmatige Intelligentie (AI)
Wij handhaven een duidelijk en strikt beleid over het gebruik van kunstmatige intelligentie:
Bescherming van Patiëntgegevens
GEEN persoonlijk identificeerbare patiëntgegevens, gezondheidsgeschiedenis, voedingsdagboeken, klinische notities, lichaamssamenstelling metingen of gevoelige gezondheidsinformatie wordt ooit ingevoerd in, geüpload naar of verwerkt door algemene AI-tools (zoals ChatGPT, Claude, Gemini, Perplexity of vergelijkbare systemen).
Klinische Vertrouwelijkheid
Alle patiëntgerelateerde informatie wordt strikt bewaard binnen onze beveiligde, toegewijde en in de EU gehoste patiëntbeheersystemen. Deze systemen zijn niet verbonden met algemene AI-modellen.
Toegestaan AI-gebruik
Wij kunnen AI-tools alleen gebruiken voor niet-klinische, geanonimiseerde zakelijke taken zoals het creëren van algemene voedingsvoorlichtingsinhoud of het onderzoeken van voedingswetenschappelijke onderwerpen. Elk dergelijk gebruik sluit identificeerbare patiëntinformatie volledig uit.
Geen Geautomatiseerde Besluitvorming
Wij gebruiken geen geautomatiseerde besluitvorming of profilering zoals gedefinieerd in AVG Artikel 22. Alle klinische beoordelingen, behandelingsbeslissingen en dieetaanbevelingen worden gemaakt door een gekwalificeerde menselijke diëtist (Pierre Abou-Zeid) op basis van professioneel oordeel, klinische expertise en geïndividualiseerde patiëntenzorg.
12. Privacy van Kinderen
Onze gezondheidszorgdiensten worden verleend aan volwassenen (18 jaar en ouder). Wij verzamelen niet bewust persoonsgegevens van personen onder de 18 jaar, tenzij:
- Expliciete, verifieerbare ouderlijke of wettelijke voogdij toestemming vooraf is verkregen
- Een ouder of wettelijke voogd aanwezig is tijdens alle consulten
- Wij duidelijke documentatie van toestemming bewaren
Als u gelooft dat wij gegevens hebben verzameld van een minderjarige zonder de juiste toestemming, neem dan onmiddellijk contact met ons op via info@diaeta.be.
13. Functionaris voor Gegevensbescherming en Governance
Wij hebben de vereiste beoordeeld voor het aanstellen van een Functionaris voor Gegevensbescherming (FG) in overeenstemming met AVG Artikel 37. Als kleine gezondheidszorgpraktijk die gezondheidsgegevens verwerkt op beperkte schaal (geen grootschalige systematische monitoring of kernactiviteit van gegevensverwerking), hebben wij vastgesteld dat een FG-aanstelling niet wettelijk verplicht is. Wij blijven echter toegewijd aan het handhaven van hoge normen voor gegevensbescherming en zullen deze bepaling opnieuw beoordelen als de omvang van onze verwerking verandert.
14. Cookies en Websitetechnologieën
Cookie Toestemming
Wanneer u diaeta.be bezoekt, gebruiken wij cookies om uw ervaring te verbeteren. Wij respecteren uw privacy en gebruiken alleen cookies met uw voorafgaande toestemming.
1. Strikt Noodzakelijke Cookies
Essentieel voor websitefunctionaliteit (bijv. sessiecookies, beveiligingscookies). Deze vereisen geen toestemming en zullen altijd worden gebruikt omdat ze noodzakelijk zijn voor de technische werking van de website.
2. Functionele Cookies
Onthouden uw voorkeuren (bijv. taalkeuze, toegankelijkheidsinstellingen). Deze vereisen uw toestemming volgens de ePrivacy-richtlijn. U kunt deze voorkeuren beheren via onze cookiebanner.
3. Cookieloze Analyse
Wij gebruiken privacyvriendelijke analysetools (Vercel Analytics, Sentry) die zonder cookies werken op uw apparaat. Deze tools verzamelen alleen geaggregeerde en anonieme gegevens. Er is geen toestemming vereist omdat er geen cookies worden gebruikt.
4. Marketing/Tracking Cookies
Wij gebruiken momenteel geen marketing- of trackingcookies.
Beheer van Uw Cookievoorkeuren
Wanneer u onze website voor het eerst bezoekt, verschijnt er een cookie-toestemmingsbanner. U kunt uw cookievoorkeuren op elk moment wijzigen via de banner of door contact met ons op te nemen.
15. Wijzigingen aan Dit Privacybeleid
Wij kunnen dit privacybeleid van tijd tot tijd bijwerken om veranderingen in onze gegevenspraktijken, nieuwe technologieën, wettelijke vereisten of regelgevende richtlijnen weer te geven. Belangrijke wijzigingen zullen op deze pagina worden geplaatst met een bijgewerkte datum voor "Laatst Bijgewerkt".
Als wijzigingen uw rechten of onze gegevensverwerkingspraktijken aanzienlijk beïnvloeden, zullen wij u per e-mail op de hoogte stellen als u een patiënt bent.
Jaarlijkse Beoordelingstoezegging: Wij voeren een jaarlijkse beoordeling uit van dit privacybeleid om voortdurende naleving van evoluerende normen voor gegevensbescherming en wettelijke vereisten te waarborgen.
16. Beroepsgeheim en Wettelijke Naleving
Als erkende gezondheidsprofessional in België ben ik gebonden aan:
- Beroepsgeheim: De Belgische wetgeving vereist dat zorgverleners strikte vertrouwelijkheid van patiëntinformatie bewaren, behalve wanneer wettelijk verplicht om te openbaren (bijv. gerechtelijke bevelen, volksgezondheidsnoodsituaties)
- AVG-naleving: Alle gegevensverwerking voldoet aan of overtreft AVG-vereisten
- Belgische Patiëntenrechtenwet (2002): Uw rechten op kwaliteitszorg, informatie, toestemming en toegang tot uw medisch dossier zijn beschermd onder de Belgische wetgeving
- Patiëntenrechten: De Belgische wetgeving inzake patiëntenrechten waarborgt uw recht op toegang, waardigheid en vertrouwelijkheid van gezondheidsinformatie
17. Hoe Contact Met Ons Op Te Nemen en Een Klacht In Te Dienen
Verzoeken om Gegevensbeschermingsrechten
Voor vragen, zorgen of om uw gegevensbeschermingsrechten uit te oefenen, kunt u contact opnemen met:
Pierre Abou-Zeid
E-mail: info@diaeta.be
Telefoon: +32 479 35 55 51
Adres: Laudinnestraat 94A, 1602 Vlezenbeek, België
Voorkeur Contact: E-mail (vermeld alstublieft "Gegevensbeschermingsverzoek" in de onderwerpegel)
Reactietermijn: Wij zullen uw verzoek binnen 5 werkdagen bevestigen en binnen 30 dagen een volledig antwoord geven. Voor complexe verzoeken of wanneer verduidelijking nodig is, kunnen wij deze termijn met maximaal 60 extra dagen verlengen.
Een Klacht Indienen bij de Gegevensbeschermingsautoriteit
Als u gelooft dat wij uw persoonsgegevens niet hebben behandeld in overeenstemming met de AVG of Belgische gegevensbeschermingswetgeving, hebt u het recht om een klacht in te dienen bij de Belgische Gegevensbeschermingsautoriteit:
Autorité de protection des données / Gegevensbeschermingsautoriteit
Website: autoriteprotectiondonnees.be
Adres: Rue de la Presse 35, 1000 Brussel, België
Telefoon: +32 (0)2 274 48 00
E-mail: contact@apda.be
18. Verantwoordingsplicht en Documentatie
Wij onderhouden uitgebreide documentatie van onze gegevensbeschermingspraktijken, inclusief:
- Register van Verwerkingsactiviteiten (RVA) waarin alle gegevensverwerkingsactiviteiten worden gedocumenteerd
- Gegevensverwerkingsovereenkomsten met alle externe verwerkers
- Dossiers van gegevensbeveiligingsbeoordelingen en incidentrespons procedures
- Toestemmingsdossiers voor websitebezoekers
- Regelmatige nalevingsbeoordelingen en updates
Deze documentatie wordt bewaard voor beoordeling door de toezichthoudende autoriteit indien aangevraagd.
Gegevensbeschermingseffectbeoordeling (DPIA)
Hoewel AVG Artikel 35 een Gegevensbeschermingseffectbeoordeling (DPIA) voornamelijk vereist voor grootschalige verwerking van bijzondere categorieën gegevens, hebben wij onze verwerkingsactiviteiten beoordeeld. Als kleine gezondheidszorgpraktijk die geïndividualiseerde diëtetische zorg verleent (geen grootschalige systematische monitoring), is een formele DPIA niet wettelijk verplicht. Wij evalueren echter voortdurend de risico's van onze verwerkingsactiviteiten en hebben passende waarborgen geïmplementeerd, waaronder HDS-gecertificeerde gegevenshosting, encryptie, toegangscontroles en regelmatige beveiligingsbeoordelingen om het hoogste niveau van gegevensbescherming voor onze patiënten te waarborgen.
19. Meertalige Beschikbaarheid en Juridische Voorrang
Dit privacybeleid wordt verstrekt in het Engels en is juridisch bindend. Aanvullende taalversies zijn beschikbaar in het Frans, Nederlands, Duits en Arabisch op verzoek om onze meertalige patiëntengemeenschap beter te dienen.
Juridische Voorrang: In geval van enige tegenstrijdigheid of conflict tussen taalversies, heeft de Engelse versie juridische voorrang en wordt deze beschouwd als de gezaghebbende versie voor interpretatie- en handhavingsdoeleinden.
Alle taalversies worden onderhouden met dezelfde datum voor "Laatst Bijgewerkt" om consistentie tussen vertalingen te waarborgen. Om een kopie in uw voorkeurstaal aan te vragen, kunt u contact opnemen met info@diaeta.be.
Samenvatting van Recente Verbeteringen (2025-01-17)
Dit privacybeleid is verbeterd om een beveiligingsniveau van 10/10 te bereiken met de volgende verbeteringen:
Verbetering 1: Verduidelijking van Functionele Cookies (Sectie 14)
- Functionele cookies vereisen nu toestemming onder de ePrivacy-richtlijn
- Voorbeelden toegevoegd: taalkeuze, toegankelijkheidsinstellingen
- Verwijzing naar ePrivacy-richtlijn toegevoegd voor juridische nauwkeurigheid
Verbetering 2: Formaten voor Gegevensoverdraagbaarheid (Sectie 8.3)
- Machineleesbare formaten benadrukt: CSV, JSON of gestructureerd PDF/A met extraheerbare tekst
- Waarborgt volledige naleving van AVG Artikel 20
Verbetering 3: Rechten voor Melding van Datalekken (Sectie 6)
- AVG Artikel 34 - Meldingsrechten van Patiënten: Recht op melding bij hoog-risico inbreuken
- AVG Artikel 33 - Melding aan Autoriteit: Meldingsverplichting binnen 72 uur aan Belgische GBA
- Procedures voor Identiteitsverificatie: Legt uit hoe identiteit wordt geverifieerd voor verzoeken van betrokkenen
Verbetering 4: DPIA Overweging (Sectie 18)
- Uitleg van Gegevensbeschermingseffectbeoordeling
- Rechtvaardiging waarom DPIA niet wettelijk verplicht is voor kleine gezondheidszorgpraktijk
- Lijst van geïmplementeerde waarborgen: HDS-gecertificeerde hosting, encryptie, toegangscontroles, regelmatige beveiligingsbeoordelingen
Verbetering 5: Correctie van Browser Console Fouten
- Aangemaakt
/public/favicon.svg - Pictogramconfiguratie toegevoegd aan metadata
- Favicon 500 fout opgelost
Uw privacy en de vertrouwelijkheid van uw gezondheidsinformatie zijn fundamenteel voor onze praktijk.
EINDE VAN PRIVACYBELEID