Privacyverklaring

Laatst bijgewerkt: mei 2026 · Privacy contact: privacy@chirovault.ai

Samenvatting in begrijpelijke taal

Wij verzamelen accountgegevens (naam, e-mail, facturatie) om de dienst te leveren. Voor deze gegevens treden wij op als verwerkingsverantwoordelijke.
PatiÃ«ntdossiers zijn eigendom van uw praktijk. Voor patiÃ«nt- en klinische gegevens treden wij op als verwerker — wij verwerken deze uitsluitend in uw opdracht. U bent de verwerkingsverantwoordelijke.
Wij verkopen geen persoonsgegevens. Wij trainen geen AI op patiÃ«ntgegevens.
Een verwerkersovereenkomst (DPA) is beschikbaar en wordt met alle praktijkklanten afgesloten.
U kunt uw AVG-rechten uitoefenen door te mailen naar privacy@chirovault.ai. Wij reageren binnen 30 dagen.

1. Wie zijn wij

ChiroVault exploiteert het klinische platform op chirovault.ai. Onze geregistreerde bedrijfsgegevens vindt u in het Imprint. Voor gegevensbescherming treedt ChiroVault in twee verschillende rollen op, afhankelijk van de gegevens — toegelicht in sectie 2 hieronder.

Vragen over gegevensbescherming: privacy@chirovault.ai

2. Twee gegevensrollen: verwerkingsverantwoordelijke en verwerker

Dit onderscheid is van belang voor uw AVG-rechten en voor het begrip van hoe gegevens op het platform worden beheerd.

ChiroVault als verwerkingsverantwoordelijke — account- en platformgegevens

Voor gegevens die u verstrekt om uw ChiroVault-account aan te maken en te onderhouden — naam, e-mailadres, praktijkgegevens, facturatiegegevens, gebruikslogs en supportcommunicatie — is ChiroVault de verwerkingsverantwoordelijke. Wij bepalen het doel en de middelen van de verwerking. Deze Privacyverklaring is van toepassing op die verwerking.

ChiroVault als verwerker — patiÃ«nt- en klinische gegevens

Voor patiÃ«ntdossiers, SOAP-notities, intakeformulieren, afspraakgegevens, beelddiagnostiek en alle overige klinische gegevens die uw praktijk uploadt naar het platform, is uw praktijk de verwerkingsverantwoordelijke en is ChiroVault de verwerker. Wij verwerken deze gegevens uitsluitend in uw opdracht ter levering van de dienst. Een afzonderlijke verwerkersovereenkomst (DPA / verwerkersovereenkomst) regelt deze relatie en wordt met alle praktijkklanten afgesloten. Vraag uw versie aan via privacy@chirovault.ai.

3. Gegevens die wij verzamelen (rol verwerkingsverantwoordelijke)

Categorie	Voorbeelden	Doel
Accountgegevens	Naam, e-mail, praktijknaam, land	Levering en beheer van uw abonnement
Facturatiegegevens	Betaalmethode, factuurhistorie	Verwerking van betalingen via Mollie B.V.
Gebruiksgegevens	Functie-interacties, sessie-identificatoren, foutlogs	Stabiliteit van de dienst, productverbetering
Communicatie	Supportmails, in-appberichten aan ChiroVault	Klantenservice en opvolging

Wij gebruiken geen advertentietrackers. Geen gegevens worden verkocht aan derden.

4. Rechtsgrondslagen voor verwerking (AVG Art. 6 / GDPR Art. 6)

Uitvoering van een overeenkomst (Art. 6(1)(b)): verwerking die nodig is om de dienst waarop u zich heeft geabonneerd te leveren.
Wettelijke verplichting (Art. 6(1)(c)): auditlogs, gegevensbewaring volgens toepasselijke zorg- en belastingwetgeving.
Gerechtvaardigd belang (Art. 6(1)(f)): beveiligingsmonitoring, fraudepreventie, dienstverbetering. Wij wegen deze belangen af tegen uw rechten voordat wij ons hierop beroepen.
Toestemming (Art. 6(1)(a) en Art. 9(2)(a)): waar vereist voor verwerking van gezondheidsgegevens of voor optionele communicatie zoals nieuwsbrieven.

5. Hoe wij accountgegevens gebruiken

Wij gebruiken accountgegevens om: uw abonnement te leveren en te beheren; facturatie en facturen te verzorgen; service-kritische meldingen te verzenden (beveiligingswaarschuwingen, downtime, beleidswijzigingen); en het platform te verbeteren via geaggregeerde, geanonimiseerde analyses. Wij gebruiken accountgegevens niet voor reclame en verkopen ze niet aan datamakelaars.

6. Gegevensdeling

Wij delen gegevens uitsluitend met sub-verwerkers die nodig zijn om de dienst te leveren. Huidige categorieÃ«n sub-verwerkers: cloudinfrastructuur en database hosting (EU-regio), betalingsverwerking (Mollie B.V.), e-mailbezorging (AWS SES) en AI/LLM-aanbieders (gebruikt met PHI-scrubbing, onder DPA). Alle sub-verwerkers zijn gebonden door verwerkersovereenkomsten. Een volledige lijst is op verzoek beschikbaar via privacy@chirovault.ai.

Wij delen geen gegevens met overheidsinstanties, behalve wanneer wij hiertoe wettelijk verplicht zijn. Wij zullen u op de hoogte stellen van een dergelijk verzoek tenzij dit wettelijk verboden is.

7. Internationale doorgiften

Wij verwerken gegevens standaard binnen de EU/EER. Waar een sub-verwerker niet-EER-infrastructuur betreft, passen wij Standaardcontractbepalingen (SCC's) en aanvullende technische maatregelen toe zoals vereist door EDPB-richtsnoeren. Cloudflare- en Supabase-EU-regioconfiguraties zijn specifiek geselecteerd om niet-EER-doorgiften te minimaliseren.

8. Bewaartermijnen

Type gegevens	Bewaartermijn	Grondslag
PatiÃ«nt- / klinische gegevens	20 jaar vanaf laatste behandeling	WGBO (Wet op de geneeskundige behandelingsovereenkomst) minimum
Auditlogs	7 jaar	NEN 7510-conforme bewaartermijn voor zorglogs
Account- / facturatiegegevens	7 jaar vanaf laatste transactie	Vereiste van de Belastingdienst (Nederlandse fiscale wet)
Gegevens na einde abonnement	90 dagen beschikbaar voor export, daarna veilig verwijderd	Algemene voorwaarden en contractuele verplichting

9. Uw rechten (AVG Art. 15–22 / GDPR Art. 15–22)

Voor gegevens waarvoor ChiroVault de verwerkingsverantwoordelijke is (account-/platformgegevens), heeft u de volgende rechten:

Inzage: een kopie opvragen van de persoonsgegevens die wij over u bewaren.
Rectificatie: onjuiste gegevens laten corrigeren.
Vergetelheid (“recht op vergetelheid”): verwijdering verzoeken wanneer geen wettelijke bewaargrond meer bestaat.
Beperking: verwerking onder bepaalde omstandigheden beperken.
Overdraagbaarheid: uw gegevens ontvangen in een machineleesbaar formaat.
Bezwaar: bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.
Toestemming intrekken: indien verwerking op toestemming berust, kunt u deze te allen tijde intrekken zonder gevolgen voor eerdere verwerking.

Voor patiÃ«nt-/klinische gegevens moeten de rechten van uw patiÃ«nten worden uitgeoefend via uw praktijk als verwerkingsverantwoordelijke. Wij assisteren u bij verzoeken om inzage — neem contact op via privacy@chirovault.ai.

Om uw eigen rechten uit te oefenen of een klacht in te dienen, mailt u naar privacy@chirovault.ai. U heeft tevens het recht om een klacht in te dienen bij de Nederlandse toezichthouder: Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).

10. Beveiliging

Wij implementeren TLS 1.3-versleuteling tijdens transport, AES-256-versleuteling in rust, op rollen gebaseerde toegangscontrole, manipulatiebestendige auditlogging en geautomatiseerde versleutelde back-ups. Onze beveiligingsmaatregelen zijn ontworpen om aan te sluiten op de principes van NEN 7510 en ISO 27001. Zie het Trust Center voor een volledige technische beschrijving van onze beveiligingsarchitectuur.

11. Cookies

Wij gebruiken alleen essentiÃ«le sessiecookies — geen advertentiecookies, geen tracking pixels van derden. De betaaldienstverlener (Mollie) kan tijdens de afrekenstroom cookies plaatsen, onderworpen aan zijn eigen privacybeleid. U kunt niet-essentiÃ«le cookies in uw browserinstellingen uitschakelen zonder dat dit de functionaliteit van het platform beÃ¯nvloedt.

12. Kinderen

ChiroVault is een professioneel zorgplatform voor gebruik door erkende zorgverleners en hun praktijken. Wij verzamelen niet bewust persoonsgegevens van kinderen onder de 16 jaar buiten de klinische context van een erkende praktijk.

13. Wijzigingen in deze verklaring

Wij kunnen deze verklaring bijwerken. Wezenlijke wijzigingen worden ten minste 14 dagen voor inwerkingtreding per e-mail aan de accounthouder gecommuniceerd. De huidige versie is altijd te vinden op chirovault.ai/privacy.html met de datum van laatste herziening bovenaan.

14. Contact

Voor alle gegevensbeschermingszaken: privacy@chirovault.ai
Voor algemene vragen: info@chirovault.ai
Bedrijfsgegevens: zie Imprint