Hoe PraktijkBot uw patiëntgegevens beschermt — volgens de strengste standaarden in de Nederlandse zorg.
De beginselen waarop elke technische en organisatorische keuze rust.
TLS 1.3 in transit, AES-256-GCM at rest. BSN en andere gevoelige velden worden apart versleuteld (field-level). Backups versleuteld en sleutels beheerd via secrets manager.
Alle opslag in Frankfurt op managed PostgreSQL 16. Geen data naar US-cloud voor opslag. Sub-processors binnen EU, of onder SCC 2021/914 met aanvullende waarborgen.
Immutable hash-chained audit logs. Iedere lees- en schrijf-actie op patiëntdata wordt gelogd, 7 jaar bewaard. Ook elke wijziging aan bot-prompts en gespreksflows krijgt een audit-entry met AI Act-tags — praktijk ziet transparant wat platform-beheerders doen.
Per specialisme (chiropractie, huisarts, fysio, tandarts, apotheek, HAP) een eigen prompt-pack — gereviewd en goedgekeurd door een gekwalificeerde reviewer (chiropractor, arts, specialist). Triage-logica en rode-vlaggen-detectie zijn versie-gepind; iedere update is herleidbaar naar wie wat wanneer goedkeurde.
Universele core (veiligheidsregels, AVG, doorverwijzing) + vakgebied-pack (klinische logica) + praktijk-overlay (uw eigen instructies). Veiligheidsregels staan in de architectuur op de laatste plek en kunnen niet door tenant-instructies worden afgezwakt — een prompt-injection filter blokkeert pogingen om regels te omzeilen voordat ze de bot bereiken.
AVG, NEN 7510-1:2024, EU AI Act en Wet BIG zijn ingebouwd — niet bolted-on. DPIA afgerond, verwerkersovereenkomst-template en documentatie voor uw privacy officer beschikbaar.
Van telefoontje tot dossier, met security-maatregelen op elke stap.
Patiënt belt. EU-gehoste telefonie ontvangt via TLS 1.3. AI-disclosure wordt direct afgespeeld (EU AI Act Art. 52 transparantie). Opname gebeurt versleuteld en verlaat de EU nooit.
Onze STT-engine zet audio om naar tekst. Audio wordt direct na verwerking verwijderd (binnen 24u). BSN-patronen worden automatisch gedetecteerd en geredigeerd.
LLM beoordeelt klacht volgens NHG-Triagewijzer. Menselijke override altijd beschikbaar. Geen diagnose, geen medicatie-advies. Art. 22 AVG gerespecteerd.
Gegevens naar PostgreSQL in Frankfurt. Row-Level Security isoleert uw praktijk van andere tenants. AES-256-GCM encryptie at rest.
Afspraakbevestiging via WhatsApp (end-to-end versleuteld). Alleen afspraakdetails — geen diagnose of klacht-info in het bericht.
Transcripts 90 dagen. Patiëntdossier 15 jaar (Wet BIG). Audit logs 7 jaar. Automatische verwijdering na afloop — of op verzoek (Art. 17).
Volledige transparantie — uw privacy officer kan dit onderdeel één-op-één overnemen in de eigen DPIA.
| Partij | Doel | Locatie | Transfer | DPA |
|---|---|---|---|---|
| Twilio EU | Telefonie (PSTN/SIP trunk) | EU (Dublin, Ierland) | DPF + SCC 2021/914 | Ondertekend |
| LiveKit | Real-time voice orchestratie | EU (Leaseweb NL) · self-hosted | EER — geen doorgifte | Ondertekend |
| Deepgram EU | Spraak-naar-tekst (STT) | EU (Frankfurt) | DPF + SCC 2021/914 | Ondertekend |
| ElevenLabs | Tekst-naar-spraak (TTS) | EU routing | DPF + pseudonimisering | Ondertekend |
| Anthropic / AWS Bedrock | Claude 3.5 Sonnet LLM | EU (Frankfurt, eu-central-1) | DPF + SCC + AWS EU Data Residency + HIPAA-BAA | Ondertekend |
| Azure Speech (Tier 1) | Neural TTS — ziekenhuis-tier | EU (Sweden / West Europe) | DPF + EU Data Boundary | Ondertekend |
| CM.com (Tier 1) | NL-parent telefonie — ziekenhuis-tier | EU (Breda/Frankfurt) | EER — geen doorgifte | Ondertekend |
| Managed PostgreSQL | Database hosting (PostgreSQL 16) | EU (Frankfurt) | EER — geen doorgifte | Ondertekend |
| Meta (WhatsApp) | Berichtenbezorging | EU + VS | SCC 2021/914, E2EE | Ondertekend |
| Mollie | Betalingen | EU (Nederland) | EER — geen doorgifte | Ondertekend |
| Resend | Transactionele e-mail | EU | EER — geen doorgifte | Ondertekend |
| Sentry | Error monitoring | EU region | EER — geen doorgifte | Ondertekend |
Wat we claimen, wat in audit is, en wat op de roadmap staat — zonder holle beloftes.
DPIA afgerond (Art. 35). Verwerkersovereenkomst-template beschikbaar. Rechten van betrokkenen (Art. 15–22) via self-service portal.
Gebaseerd op NEN 7510-1:2024. Pre-audit afgerond. Formele certificering gepland Q2–Q3 2026.
Hoog-risico AI-systeem (Annex III, categorie 5). Conformity-documentatie en bias-monitoringplan aanwezig.
Dossierbewaring conform Art. 7:454 (15 jaar). BIG-nummer verwerking behandelaars gedocumenteerd.
Geen claim. SOC 2 Type II staat op de roadmap voor 2027. Huidige controls zijn gebaseerd op NEN 7510.
De twaalf meest gestelde vragen van privacy officers en IT-managers.
In Frankfurt, Duitsland — op managed PostgreSQL 16 (eu-central-1). Backups blijven binnen de EER. Geen opslag in de VS.
Alleen geautoriseerde gebruikers van uw praktijk, op basis van rol. Supabase Row-Level Security zorgt dat andere praktijken uw data nooit zien. Platform-beheerders kunnen alleen handelingen uitvoeren met een 'on-behalf-of' audit-entry — u ziet deze transparant in uw audit trail.
U krijgt een volledige export in JSON/CSV (Art. 20 AVG). Na 30 dagen worden alle operationele data verwijderd. Medische records die onder Wet BIG vallen kunnen naar uw nieuwe systeem worden overgedragen.
Via /privacy in het dashboard start u een Art. 17-verzoek. Soft-delete (anonimisatie) is standaard; na verificatie volgt hard-delete binnen 30 dagen. Let op: Wet BIG verplicht 15 jaar bewaring van medische dossiers — dit gaat voor op Art. 17 in die termijn.
Ja — de AP schrijft een DPIA voor bij AI-verwerking van gezondheidsgegevens. Wij leveren een kant-en-klare DPIA-sjabloon aan, gebaseerd op onze eigen DPIA (docs/compliance/dpia.md). U past 'm aan naar uw praktijk-context.
We volgen ons Incident Response Plan: binnen 1u detectie → containment → notificatie. Bij een datalek informeren we de AP binnen 72u conform Art. 33 AVG en u als verwerkingsverantwoordelijke direct. Zie docs/compliance/incident_response_plan.md.
Ja, gesprekken worden kortstondig opgenomen voor STT-verwerking. Audio wordt binnen 24 uur verwijderd. Er is geen menselijk 'meeluisteren' zonder expliciete aanleiding (incident/dispuut) — toegang wordt gelogd.
Nee. Expliciet nee. PraktijkBot stelt geen diagnose, schrijft geen medicatie voor en vervangt niet het oordeel van uw huisarts. Bij twijfel of rode vlaggen wordt altijd doorverbonden naar een medewerker.
Alleen als verwerkingsverantwoordelijke voor de eigen DPIA. Wij als verwerker hebben onze eigen AP-verplichtingen (Art. 36 prior consultation gedocumenteerd). U hoeft geen aparte melding voor het gebruik van PraktijkBot te doen, tenzij er een datalek optreedt.
PraktijkBot vráágt niet om BSN. Als een patiënt 'm toch noemt, detecteren we het patroon (elfproef) en redigeren we het uit het transcript vóór opslag. Indien BSN wél wordt geïmporteerd vanuit uw HIS, wordt het met AES-256-GCM field-level versleuteld.
Nee. Expliciet nee. Er is geen cross-tenant training. Uw data wordt niet gebruikt om LLMs te trainen of om andere praktijken te bedienen. Tenant-isolatie is afgedwongen op database-niveau (RLS) én in elke API-call.
Geen datalekken sinds oprichting. Publieke incident-pagina volgt in Q3 2026 (parallel aan NEN 7510-certificering). Tot die tijd beschikbaar op aanvraag via security@praktijkbot.nl.
Onze DPO staat klaar. We delen DPIA-samenvatting, DPA-template en security-audit-rapporten op aanvraag.
security@praktijkbot.nl14 dagen gratis proefperiode. Geen creditcard nodig. DPA direct beschikbaar.
Start Gratis