Beleid rondom opslag gegevens

In aanvulling op artikel 'Uw privacy':

Als u een persoonlijk oefenprogramma aanvraagt in de app, dan registreert u zich met uw naam, e-mailadres en geboortedatum. Deze gegevens worden alleen gebruikt om uw persoonlijke oefenprogramma aan te maken. De beveiliging van deze gegevens in de app is van hoog niveau. Physitrack is een app voor zorgaanbieders. Daarom heeft Hifysio, de praktijk waarmee we werken voor Fysiochecknu, inzage in uw gegevens als u zich registreert en een oefenprogramma wilt. Zij zullen nooit medewerkers van ONVZ inzage geven in uw gegevens. Wanneer u uw gegevens wilt laten verwijderen, kunt u dit aanvragen via support@physitrack.nl.

In aanvulling op artikel 'Onze verantwoordelijkheid voor door u geleden verlies of schade':

Voor zover toegestaan door de wet, wordt Physitrack's aansprakelijkheid onder enige garantie, voorwaarde of waarborg (met inbegrip van, zonder beperking, enige garantie, voorwaarde of waarborg van verkoopbaarheid, aanvaardbare kwaliteit, geschiktheid voor een bepaald doel, of geschiktheid voor openbaar gemaakt resultaat), of enig ander recht of rechtsmiddel, onder enige wet of geïmpliceerd in deze Servicevoorwaarden door enige wet (wettelijke garanties) is hierbij uitgesloten. Indien Physitrack aansprakelijk is onder enige Wettelijke Garanties, en wettelijke bepalingen in een contract die de toepassing van, of de uitoefening van, of aansprakelijkheid onder dergelijke Wettelijke Garanties uitsluit of wijzigt, wordt Physitrack's aansprakelijkheid voor enige inbreuk op dergelijke Wettelijke Garanties beperkt, naar keuze van Physitrack, tot een of meer van het volgende: - indien de inbreuk betrekking heeft op goederen: de vervanging van de goederen of de levering van gelijkwaardige goederen; de reparatie van dergelijke goederen; de kosten van de vervanging van de goederen of de aankoop van gelijkwaardige goederen; of de kosten van het laten repareren van de goederen; en - indien de inbreuk betrekking heeft op diensten: de herlevering van de diensten of de kosten om de diensten opnieuw te laten leveren.

1. Inleiding

1.1 In dit beleid worden het beleid en de procedures van Physitrack PLC (de "vennootschap") uiteengezet met betrekking tot het bewaren, archiveren en wissen van gegevens, zowel in gedrukte als in digitale vorm, en met inbegrip van persoonsgegevens.

1.2 De onderneming is onderworpen aan een reeks wettelijke verplichtingen in verband met het bewaren van gegevens. Enerzijds is de onderneming verplicht bepaalde categorieën gegevens gedurende een minimumperiode te bewaren. Anderzijds is het een fundamenteel beginsel van de wetgeving inzake gegevensbescherming dat persoonsgegevens slechts zo lang mogen worden bewaard als nodig is. Bovendien kan het bewaren van sommige categorieën gegevens een onnodig veiligheidsrisico inhouden. Om deze redenen erkent de onderneming dat het belangrijk is een duidelijk en specifiek beleid te formuleren met betrekking tot het bewaren van gegevens.

2. Definities

2.1 In dit beleid:

(a) "aangewezen persoon": de persoon die in eerste instantie verantwoordelijk is voor de behandeling van gegevensbewaring, -archivering en -verwijdering door het bedrijf, zijnde de functionaris voor gegevensbescherming van het bedrijf;

(b) "voor de verwerking verantwoordelijke": de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;

(c) "verwerker": een natuurlijke persoon of rechtspersoon, overheidsinstantie, dienst of enig ander lichaam die, respectievelijk dat ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt;

(d) "betrokkene": een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator, zoals een naam, een identificatienummer, locatiegegevens, een online-identificatiecode of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

(e) "wissen": het permanent en onomkeerbaar wissen van gegevens uit alle relevante databanken en opslagmedia in het bezit of onder de controle van de onderneming, met inbegrip van, waar nodig om het wissen van de gegevens te verzekeren, de vernietiging van de relevante opslagmedia; en

(f) "persoonsgegevens": iedere informatie betreffende een betrokkene, met inbegrip van PII.

3. Bewaring, archivering en verwijdering van gegevens

3.1 De onderneming moet de gegevens die zij in haar bezit en/of onder haar controle heeft, archiveren en verwijderen in overeenstemming met schema 1 (Bewaartermijnen voor gegevens), behalve zoals uiteengezet in dit punt 3.

3.2 Niettegenstaande de in dit beleid uiteengezette archiveringsregels kan de vennootschap niet-gearchiveerde kopieën van gegevens bewaren voor zover de gegevens redelijkerwijs in niet-gearchiveerde vorm vereist zijn voor:

(a) de nakoming van wettelijke of contractuele verplichtingen van de vennootschap; en/of

(b) de vaststelling, uitoefening of verdediging van een recht in rechte.

3.3 De onderneming mag geen gegevens wissen voor zover:

(a) de onderneming een wettelijke verplichting heeft om de gegevens te bewaren;

(b) de onderneming een contractuele verplichting heeft om de gegevens te bewaren (op voorwaarde dat een dergelijke contractuele verplichting niet teniet wordt gedaan door een wettelijke verplichting om de gegevens te wissen); en/of

(c) het bewaren van de gegevens redelijkerwijs vereist is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte (mits een dergelijke eis niet zwaarder weegt dan een wettelijke verplichting om de gegevens te wissen).

4. Standaard archiverings- en verwijderingsmethoden

4.1 De gegevens moeten worden gearchiveerd volgens de door het bedrijf gespecificeerde methoden, behalve voor zover in schema 1 (Bewaartermijnen voor gegevens) in specifieke archiveringsmethoden is voorzien.

4.2 Gegevens moeten worden gewist volgens de door het bedrijf gespecificeerde methoden, behalve voor zover in schema 1 (Bewaartermijnen voor gegevens) in specifieke verwijderingsmethoden is voorzien.

5. Herziening en bijwerking van dit beleid

5.1. De Manager Informatiebeveiliging of zijn afgevaardigde is verantwoordelijk voor de jaarlijkse toetsing en bijwerking van dit beleid.

5.2 Dit beleid moet ook op ad hoc-basis worden geëvalueerd en bijgewerkt indien dat redelijkerwijs nodig is om ervoor te zorgen dat

(a) de naleving door de vennootschap van de toepasselijke wetgeving, gedragscodes of beste praktijken in de sector;

(b) de veiligheid van de door het bedrijf opgeslagen en verwerkte gegevens, of

5.3 Bij elke herziening van dit beleid moeten de volgende zaken in aanmerking worden genomen:

(a) wijzigingen in de wet- en regelgeving;

(b) wijzigingen in de gedragscodes die de vennootschap onderschrijft;

(d) alle nieuwe gegevens die door het bedrijf zijn verzameld;

(e) alle nieuwe gegevensverwerkingsactiviteiten die door het bedrijf worden ondernomen; en

(f) alle veiligheidsincidenten die de onderneming treffen.

SCHEMA 1 (BEWAARTERMIJNEN VOOR GEGEVENS)

1. Inleiding

1.1 Dit schema 1 beschrijft de methoden die door de onderneming moeten worden gebruikt bij het archiveren en wissen van persoonlijke klantengegevens (inclusief PII) en de perioden gedurende welke gegevens door de onderneming moeten worden gearchiveerd en gewist.

2. Klantgegevens: bewaring, archivering en verwijdering

2.1 In dit beleid betekent "klantgegevens" alle klanten en patiëntengegevens van klanten, met inbegrip van maar niet beperkt tot identiteitsgegevens van klanten (PII), bewijs van identiteit van klanten en contactgegevens van klanten.

2.2 Klantgegevens worden door het bedrijf opgeslagen in de volgende databases: voor elk geografisch datacenter waar Physitrack applicatiegegevens zijn opgeslagen, worden klantgegevens opgeslagen in SQL-gebaseerde databasemanagementsystemen, geconfigureerd in een hoge-beschikbaarheidspatroon.

2.3 Klantgegevens moeten dagelijks worden gearchiveerd.

2.4 Klantgegevens moeten 30 dagen na beëindiging van het contract worden gewist. Binnen deze periode is de verantwoordelijke voor de verwerking verplicht de gegevens indien nodig te verwijderen.

2.5 Klantgegevens moeten worden gewist door de back-ups van het opslagmedium te verwijderen na één jaar na beëindiging van het Contract.

Laatst bijgewerkt op 8 augustus 2022

Bewaring van gegevens

Hoe lang gebruikt u mijn persoonlijke gegevens?

Wij bewaren uw persoonsgegevens zo lang als redelijkerwijs nodig is om te voldoen aan de doeleinden waarvoor wij ze hebben verzameld, met inbegrip van de doeleinden om te voldoen aan contractuele, wettelijke, regelgevende, fiscale, boekhoudkundige of rapportagevereisten. Wij kunnen uw persoonsgegevens langer bewaren in geval van een klacht of indien wij redelijkerwijs van mening zijn dat er een rechtszaak over onze relatie met u in het verschiet ligt.

Om de geschikte bewaartermijn voor persoonsgegevens te bepalen, houden wij rekening met de hoeveelheid, de aard en de gevoeligheid van de persoonsgegevens, het potentiële risico van schade door ongeoorloofd gebruik of ongeoorloofde bekendmaking van uw persoonsgegevens, de doeleinden waarvoor wij uw persoonsgegevens verwerken en de vraag of wij die doeleinden met andere middelen kunnen bereiken, en de toepasselijke wettelijke, regelgevende, fiscale, boekhoudkundige of andere vereisten.

Details over de bewaartermijnen voor verschillende aspecten van uw persoonsgegevens zijn te vinden in ons beleid inzake gegevensbewaring: https://www.physitrack.com/data-retention-policy Zodra de toepasselijke bewaartermijn is verstreken, zullen wij uw gegevens op veilige wijze wissen.

In bepaalde omstandigheden kunt u ons vragen om uw gegevens te wissen: zie het gedeelte "Uw wettelijke rechten" van dit beleid voor meer informatie.

In sommige omstandigheden anonimiseren wij uw persoonsgegevens (zodat zij niet langer met u in verband kunnen worden gebracht) voor onderzoeks- of statistische doeleinden, in welk geval wij deze informatie voor onbepaalde tijd mogen gebruiken zonder u daarvan verder in kennis te stellen.

EU-vertegenwoordiger

Onze vertegenwoordiger in de EU met betrekking tot onze verplichtingen op grond van de Europese wetgeving inzake gegevensbescherming is Physiotools Oy, opgericht en geregistreerd in Finland onder bedrijfsnummer 0491074-9, met als adres Kehräsaari B, 5th Floor, 33200 Tampere, Finland. E-mail: data.protection@physiotools.com

Meestal geen vergoeding nodig

U hoeft geen vergoeding te betalen voor de toegang tot uw persoonsgegevens (of voor de uitoefening van een van de andere rechten). Wij kunnen echter een redelijke vergoeding vragen als uw verzoek duidelijk ongegrond, repetitief of buitensporig is. In deze omstandigheden kunnen wij ook weigeren aan uw verzoek te voldoen.

Wat we van u nodig hebben

Het is mogelijk dat wij u om specifieke informatie moeten vragen en dat wij bepaalde procedures moeten volgen om ons te helpen het verzoek te verifiëren, uw identiteit te bevestigen en uw recht op toegang tot uw persoonsgegevens te waarborgen (of om een van uw andere rechten uit te oefenen). De verificatiestappen die wij nemen, kunnen verschillen afhankelijk van het land waar u woont en van het verzoek. Wij zullen de informatie die u in uw verzoek verstrekt, vergelijken met informatie die wij al in ons bestand hebben om uw identiteit te verifiëren. Als wij uw verzoek kunnen verifiëren, zullen wij het verwerken in overeenstemming met de toepasselijke wetgeving. Als wij uw verzoek niet kunnen verifiëren, kunnen wij u om aanvullende informatie vragen om ons te helpen uw verzoek te verifiëren. Dit is een veiligheidsmaatregel om ervoor te zorgen dat persoonsgegevens niet worden verstrekt aan personen die geen recht hebben om deze te ontvangen. Wij kunnen ook contact met u opnemen om u om aanvullende informatie te vragen in verband met uw verzoek, zodat wij sneller kunnen reageren.

Termijn om te reageren

Wij zullen op uw verzoek reageren binnen de door de toepasselijke wetgeving voorgeschreven termijn. Wij proberen op alle legitieme verzoeken binnen een maand te reageren. Soms kan het langer dan een maand duren als uw verzoek bijzonder complex is of als u een aantal verzoeken hebt ingediend. In dat geval zullen wij u op de hoogte brengen en houden wij u op de hoogte.

Overwegingen in de Verenigde Staten

Identificeerbare patiënteninformatie wordt in de Verenigde Staten behandeld als Beschermde Gezondheidsinformatie (zoals gedefinieerd in 45 C.F.R. § 160.103) ("PHI") die valt onder de gewijzigde U.S. Health Insurance Portability and Accountability Act van 1996, en de uitvoeringsbepalingen daarvan ("HIPAA"). PHI wordt door ons behandeld in overeenstemming met onze HIPAA business associate overeenkomsten ("BAA's") met de relevante Zorgverleners.

In de Verenigde Staten gebruiken en bewaren we alle PHI die we als verwerker ontvangen om de Services en onze producten en diensten te leveren en te verbeteren, voor zover toegestaan door de HIPAA en toepasselijke overeenkomsten met onze klanten. Wij gebruiken en maken PHI bekend in overeenstemming met de HIPAA en toepasselijke BAA's.

In de Verenigde Staten kunnen wij ook PHI bekendmaken in overeenstemming met de HIPAA en de toepasselijke BAA's of zoals door u aangegeven. U bent als enige verantwoordelijk voor elke openbaarmaking van uw persoonsgegevens die u initieert met gebruikmaking van de Diensten.

Overwegingen in Australië

Indien de Australische Privacy Act 1988 (Cth) (Privacy Act) van toepassing is op de behandeling van uw persoonsgegevens, is deze clausule van toepassing.

In dit privacybeleid worden verwijzingen naar "bijzondere categorieën persoonsgegevens" opgevat als verwijzingen naar "gevoelige informatie", zoals bepaald in de Privacy Act. Wij zullen gevoelige informatie over u alleen verzamelen, gebruiken of openbaar maken zoals toegestaan door de wet, bijvoorbeeld wanneer wij uw toestemming hebben gekregen om dit te doen of wanneer de verzameling vereist of toegestaan is door de wet.

Voor de toepassing van artikel 7 (Internationale doorgifte) van dit privacybeleid kunnen wij uw persoonsgegevens doorgeven aan overzeese ontvangers (d.w.z. buiten Australië) zoals uiteengezet in de lijst van Physitrack's Third Party Vendors (sub-verwerkers) die u hier kunt vinden https://support.physitrack.com/article/721-what-types-of-dataa-are-stored-by-physitrack.

Overwegingen in Nieuw-Zeeland

Indien de New Zealand Privacy Act 2020 (NZ Privacy Act) van toepassing is op de behandeling van uw persoonsgegevens, is deze sectie van toepassing.

Bij het verzamelen van uw gezondheidsinformatie zullen wij ons ook houden aan de New Zealand Health Information Privacy Code 2020 (HIP Code).

Wij verzamelen persoonsgegevens rechtstreeks bij u, tenzij (i) u toestemming hebt gegeven voor het verzamelen van persoonsgegevens bij een derde partij, (ii) het verzamelen via een derde partij u geen schade zou berokkenen, (iii) het verzamelen bij u afbreuk zou doen aan het doel van het verzamelen, of (iv) het redelijkerwijs niet haalbaar is om de gegevens bij u te verzamelen en de informatie niet zal worden gebruikt in een vorm waarbij u identificeerbaar bent.

Voor de doeleinden van sectie 7 (Internationale overdrachten) van dit Privacybeleid kunnen wij uw persoonsgegevens overdragen aan overzeese ontvangers (d.w.z. buiten Nieuw-Zeeland) die gevestigd zijn in de landen zoals vermeld in de lijst van Physitrack's Third Party Vendors (sub-verwerkers) die u hier kunt vinden https://support.physitrack.com/article/721-what-types-of-dataa-are-stored-by-physitrack.

Woordenlijst

WETTELIJKE GRONDSLAG

Rechtmatig belang betekent het belang van ons bedrijf bij het uitvoeren en beheren van ons bedrijf om ons in staat te stellen u de beste dienst/product en de beste en meest veilige ervaring te bieden. Wij zorgen ervoor dat wij alle mogelijke gevolgen voor u (zowel positief als negatief) en uw rechten overwegen en tegen elkaar afwegen voordat wij uw persoonsgegevens verwerken voor onze legitieme belangen. Wij gebruiken uw persoonsgegevens niet voor activiteiten waarbij onze belangen zwaarder wegen dan de gevolgen voor u (tenzij wij uw toestemming hebben of anderszins bij wet verplicht of toegestaan zijn). U kunt meer informatie krijgen over hoe wij onze legitieme belangen afwegen tegen de mogelijke gevolgen voor u met betrekking tot specifieke activiteiten door contact met ons op te nemen.

Uitvoering van een contract: het verwerken van uw gegevens wanneer dat noodzakelijk is voor de uitvoering van een contract waarbij u partij bent of om op uw verzoek stappen te ondernemen voordat een dergelijk contract wordt gesloten.

Voldoen aan een wettelijke verplichting betekent uw persoonsgegevens verwerken wanneer dat nodig is om te voldoen aan een wettelijke verplichting waaraan wij onderworpen zijn.

DERDE PARTIJEN

UW WETTELIJKE RECHTEN

Afhankelijk van waar u woont, kunt u het recht hebben om:

Toegang vragen tot uw persoonsgegevens (algemeen bekend als een "verzoek om toegang voor de betrokkene"). Zo kunt u een kopie krijgen van de persoonsgegevens die wij over u bewaren en nagaan of wij die gegevens rechtmatig verwerken.

Verzoek om correctie van de persoonsgegevens die wij over u bewaren. Zo kunt u onvolledige of onnauwkeurige gegevens die wij over u hebben, laten corrigeren, al kan het zijn dat wij de juistheid moeten controleren van de nieuwe gegevens die u ons verstrekt.

Verzoek om verwijdering van uw persoonsgegevens. Hiermee kunt u ons vragen om persoonsgegevens te wissen of te verwijderen wanneer er geen goede reden is om deze te blijven verwerken. U hebt ook het recht om ons te vragen uw persoonsgegevens te wissen of te verwijderen wanneer u met succes gebruik hebt gemaakt van uw recht om bezwaar te maken tegen verwerking (zie hieronder), wanneer wij uw gegevens mogelijk onrechtmatig hebben verwerkt of wanneer wij uw persoonsgegevens moeten wissen om te voldoen aan de lokale wetgeving. Wij wijzen u er echter op dat wij niet altijd kunnen voldoen aan uw verzoek om gegevens te wissen om specifieke juridische redenen, die u, indien van toepassing, op het moment van uw verzoek zullen worden meegedeeld.

Bezwaar maken tegen de verwerking van uw persoonsgegevens wanneer wij ons baseren op een rechtmatig belang (of dat van een derde partij) en er iets in uw specifieke situatie is waardoor u bezwaar wilt maken tegen verwerking op deze grond omdat u van mening bent dat dit van invloed is op uw fundamentele rechten en vrijheden. U hebt ook het recht om bezwaar te maken wanneer wij uw persoonsgegevens verwerken voor direct-marketingdoeleinden. In sommige gevallen kunnen wij aantonen dat wij dwingende legitieme gronden hebben om uw gegevens te verwerken die zwaarder wegen dan uw rechten en vrijheden.

Verzoek tot beperking van de verwerking van uw persoonsgegevens. Hiermee kunt u ons vragen om de verwerking van uw persoonsgegevens op te schorten in de volgende scenario's:

Als u wilt dat wij de juistheid van de gegevens vaststellen.
Wanneer ons gebruik van de gegevens onwettig is, maar u niet wilt dat wij ze wissen.
Wanneer u wilt dat wij de gegevens bewaren, ook al hebben wij ze niet langer nodig, omdat u ze nodig hebt voor de vaststelling, de uitoefening of de verdediging van juridische claims.
U hebt bezwaar gemaakt tegen ons gebruik van uw gegevens, maar wij moeten nagaan of wij dwingende legitieme gronden hebben om ze te gebruiken.

Indien u één van de hierboven uiteengezette rechten wenst uit te oefenen, kunt u contact opnemen via e-mail: dpo@physitrack.com.

Verzoek om overdracht van uw persoonsgegevens aan u of aan een derde. Wij zullen u, of een door u gekozen derde partij, uw persoonsgegevens verstrekken in een gestructureerd, algemeen gebruikt, machineleesbaar formaat. Dit recht is alleen van toepassing op geautomatiseerde informatie waarvoor u ons in eerste instantie toestemming hebt gegeven deze te gebruiken of wanneer wij de informatie hebben gebruikt om een contract met u uit te voeren.

U kunt uw toestemming te allen tijde intrekken wanneer wij ons baseren op toestemming om uw persoonsgegevens te verwerken. Dit zal echter geen invloed hebben op de rechtmatigheid van de verwerking die is uitgevoerd voordat u uw toestemming introk. Als u uw toestemming intrekt, kan het zijn dat wij u bepaalde producten of diensten niet meer kunnen leveren. Wij zullen u laten weten of dit het geval is op het moment dat u uw toestemming intrekt.

‍

Als u of uw praktijk gevestigd zijn in de Verenigde Staten, dan is de Amerikaanse versie van onze Servicevoorwaarden en de VS-versie van onze Eindgebruikersvoorwaarden op u van toepassing.
‍
Als u of uw praktijk niet in de Verenigde Staten gevestigd zijn, dan is de buiten de Verenigde Staten de versie van onze Servicevoorwaarden en buiten de VS versie van onze Eindgebruikersvoorwaarden op u van toepassing.

Naam van de fabrikant:

Physitrack PLC

Geregistreerd handelsmerk:

Physitrack

Adres van de fabrikant:

Bastion House, 6th Floor
140 London Wall
Londen EC2Y 5DN
Verenigd Koninkrijk

Naam van het apparaat:

Physitrack Softwareplatform

Classificatie:

Klasse: I (volgens de Richtlijn Medische Hulpmiddelen (93/42/EEG)

Conformiteitsbeoordelingsroute:

Physitrack PLC heeft de procedures voor de CE-etikettering van het product toegepast in overeenstemming met Richtlijn 93/42 (EEG) van de Raad en Verordening (EU) 2017/745 betreffende medische hulpmiddelen

GMDN Code:

Zelfzorg monitoring/rapportage software - 58884

Hierbij verklaren wij dat het hierboven gespecificeerde medische hulpmiddel (Software) voldoet aan de bepalingen van Richtlijn 93/42/EEG van de Raad voor medische hulpmiddelen en is uitgegeven onder de uitsluitende verantwoordelijkheid van Physitrack PLC.

De Software als medisch hulpmiddel waarop deze EU-verklaring betrekking heeft, is in overeenstemming met de (EU) MDR 2017/745.

Alle ondersteunende documentatie voor deze EG-verklaring van overeenstemming wordt bewaard in het documentbeheersysteem van de fabrikant.

Breht McConville
Chief Compliance Officer
Physitrack PLC

Indien u een vertaalde versie van deze voorwaarden leest, is de tekst van de Engelse versie van dit beleid doorslaggevend.