Healthcare Compliance

1. Inleiding

Synero is zich bewust van de strikte privacy- en beveiligingseisen die gelden voor ziekenhuizen en zorginstellingen. Deze pagina beschrijft hoe ons platform voldoet aan de specifieke eisen voor de gezondheidszorg, bovenop onze standaard Privacy Policy en Terms of Service.

2. Toepasselijke Regelgeving

Voor zorginstellingen zijn de volgende regelgevingen van toepassing:

3. Wat Voor Gegevens Verwerken Wij?

3.1 Geen Medische Gegevens

Belangrijk: Synero is een bestelsysteem voor de cafetaria/restaurant van uw zorginstelling. Wij verwerken GEEN medische gegevens zoals:

• ❌ Diagnoses of behandelplannen
• ❌ Medicatie of allergieën
• ❌ Medische dossiers
• ❌ Patiëntnummers uit uw EPD

3.2 Wel Verwerkt (Potentieel Gevoelig)

De volgende gegevens kunnen indirect gezondheid-gerelateerd zijn en worden daarom met extra zorg behandeld:

• 🟡 Dieetvoorkeuren: Glutenvrij, diabetesmenu, zoutarm
• 🟡 Kamernummers: Alleen voor bezorging (optioneel)
• 🟡 Bestelgeschiedenis: Kan patronen onthullen

4. Beveiligingsmaatregelen

4.1 Technische Beveiliging

4.2 Organisatorische Beveiliging

• Medewerkerstraining: AVG en NEN 7510 awareness
• Geheimhoudingsverklaringen: Alle medewerkers ondertekenen NDA
• Beperkte toegang: Principle of least privilege
• Incident Response Plan: Gedocumenteerde procedures
• Jaarlijkse audits: Externe beveiligingsaudits en penetratietests

4.3 Infrastructuur

Alle gegevens worden opgeslagen in datacenters binnen de Europese Economische Ruimte (EER):

• Primair datacenter: AWS/Azure EU-West (Amsterdam of Frankfurt)
• Backup locatie: EU-Central (Frankfurt of Paris)
• Certificeringen: ISO 27001, SOC 2 Type II gecertificeerd
• Geen US transfers: Gegevens verlaten nooit de EER

5. Data Minimalisatie en Anonimisering

5.1 Beperkte Gegevensverzameling

We verzamelen alleen gegevens die strikt noodzakelijk zijn:

• ✅ Noodzakelijk: Naam, e-mail, bestelling, ophaaltijd
• ⚠️ Optioneel: Kamernummer, dieetvoorkeuren
• ❌ Niet verzameld: Geboortedatum, BSN, medische gegevens

5.2 Automatische Anonimisering

Na 30 dagen worden bestellingen automatisch geanonimiseerd:

• Naam wordt vervangen door "GEANONIMISEERD"
• E-mailadres wordt vervangen door "anonymized@system.local"
• Kamernummers en notities worden verwijderd
• Alleen order-ID en bedrag blijven bewaard (voor boekhouding)

5.3 Bewaartermijnen

Gegevenstype	Bewaartermijn	Reden
Accountgegevens	Tot verwijdering + 30 dagen	Grace period
Persoonsgegevens in orders	30 dagen → anonimisering	Operationeel
Geanonimiseerde orders	7 jaar	Boekhoudwet
Audit logs	3 jaar	NEN 7510
Backups	30 dagen	Disaster recovery

6. Verwerkersovereenkomst (DPA)

Bij elk contract met een zorginstelling sluiten wij een Verwerkersovereenkomst (Data Processing Agreement) af conform AVG Artikel 28. Deze overeenkomst regelt:

• Doel en duur van de verwerking
• Soorten persoonsgegevens en categorieën betrokkenen
• Rechten en verplichtingen van de verwerkingsverantwoordelijke (het ziekenhuis)
• Instructies voor gegevensverwerking
• Geheimhoudingsverplichtingen
• Beveiligingsmaatregelen
• Sub-verwerkers (Cloudinary, MongoDB, betalingsproviders)
• Assistentie bij privacy rechten van betrokkenen
• Meldingsplicht bij datalekken
• Verwijdering of teruggave van gegevens bij beëindiging

7. Sub-verwerkers

Synero maakt gebruik van de volgende sub-verwerkers (alle AVG-compliant):

7.1 Cloud Infrastructuur

• MongoDB Atlas: Database hosting (AWS EU-West)
• Cloudinary: Image hosting en CDN (EU servers)
• AWS/Azure: Server hosting (EU-regio's)

7.2 Betalingsverwerking

• Payconiq: Mobiele betalingen (België)
• Stripe: Creditcard betalingen (AVG-compliant, EU servers)

7.3 Monitoring en Support

• Sentry: Error tracking (EU instance)
• LogRocket: Session replay (optional, EU servers)

Alle sub-verwerkers hebben een DPA met Synero en voldoen aan AVG-eisen. Een volledige lijst met details wordt verstrekt in de DPA.

8. Rechten van Betrokkenen

Patiënten en medewerkers hebben de volgende rechten onder de AVG:

8.1 Recht op Inzage

Eindgebruikers kunnen hun gegevens inzien via hun account. Zorginstellingen kunnen via het admin panel alle gegevens van hun eindgebruikers exporteren.

8.2 Recht op Rectificatie

Gebruikers kunnen hun profiel zelf bijwerken. Zorginstellingen kunnen via het admin panel wijzigingen aanbrengen.

8.3 Recht op Verwijdering (Recht op Vergetelheid)

Accounts kunnen worden verwijderd via:

• Self-service in het gebruikersprofiel
• Verzoek aan de zorginstelling
• Direct verzoek aan Synero via privacy@synero.eu

Let op: Geanonimiseerde bestelgegevens blijven 7 jaar bewaard voor boekhoudkundige doeleinden (wettelijke verplichting).

8.4 Recht op Dataportabiliteit

Gebruikers kunnen hun gegevens exporteren in JSON of CSV formaat via hun account. Zorginstellingen kunnen complete exports maken via de API of het admin panel.

8.5 Recht van Bezwaar

Gebruikers kunnen bezwaar maken tegen verwerking voor marketing doeleinden. Voor operationele verwerking (orderafhandeling) is bezwaar niet mogelijk.

9. Incident Management

9.1 Datalek Protocol

Bij een (vermoedelijk) datalek volgen wij dit protocol:

1. Detectie: Binnen 2 uur identificeren
2. Containment: Binnen 4 uur indammen
3. Beoordeling: Binnen 24 uur impact assessment
4. Melding aan klant: Binnen 24 uur informeren
5. Melding aan GBA: Binnen 72 uur (bij hoog risico)
6. Documentatie: Volledig incident rapport
7. Verbetering: Maatregelen om herhaling te voorkomen

9.2 Meldingsplicht

Synero meldt alle datalekken die betrekking hebben op persoonsgegevens binnen 24 uur aan de zorginstelling. De zorginstelling bepaalt vervolgens of melding aan de Gegevensbeschermingsautoriteit noodzakelijk is.

10. Audits en Certificeringen

10.1 Externe Audits

Zorginstellingen hebben het recht om (op eigen kosten):

• Jaarlijks een audit uit te voeren van onze systemen
• Vragenlijsten (zoals ISAE 3402) te laten invullen
• On-site inspectie uit te voeren (op afspraak)
• Toegang te krijgen tot onze beveiligingsdocumentatie

10.2 Onze Certificeringen

• 🎯 ISO 27001-geïnspireerd: Informatiebeveiliging procedures
• 🎯 NEN 7510-geïnspireerd: Healthcare security best practices
• 🎯 Penetration testing: Jaarlijks door externe partij
• 🎯 OWASP compliant: Volgen van OWASP Top 10 richtlijnen

11. Disaster Recovery en Business Continuity

11.1 Backup Strategie

• Frequentie: Dagelijkse automatische backups
• Retentie: 30 dagen (voor zorginstellingen: 90 dagen optioneel)
• Locatie: Geo-redundant binnen EU (2 locaties)
• Encryptie: AES-256 encrypted at rest
• Testing: Maandelijkse restore tests

11.2 Recovery Objectives

• RPO (Recovery Point Objective): Max 24 uur dataverlies
• RTO (Recovery Time Objective): Max 4 uur downtime (voor Enterprise)
• Failover: Automatische failover naar backup datacenter

11.3 Business Continuity Plan

Wij hebben een gedocumenteerd plan voor:

• Natuurrampen en fysieke calamiteiten
• Cyberaanvallen en ransomware
• Uitval van kritieke leveranciers
• Menselijke fouten en systeemfalen

12. Healthcare-Specifieke Features

12.1 Anonieme Bestellingen (Optioneel)

Voor patiënten die geen account willen aanmaken:

• Bestellen met alleen kamernummer
• Geen naam of e-mail vereist
• Eenmalige sessie zonder opslag

12.2 Dieet Management

Veilig beheer van dieetvoorkeuren:

• Encrypted opslag van dieetrestricties
• Zichtbaar alleen voor keukenpersoneel
• Optionele push notifications bij allergenen

12.3 Separate Tenant Databases

Elke zorginstelling krijgt:

• Volledig geïsoleerde database
• Eigen Cloudinary folder voor afbeeldingen
• Separate backup procedures
• Onafhankelijke disaster recovery

13. Training en Ondersteuning

Voor zorginstellingen bieden wij:

• Admin training: 2 uur online training voor beheerders
• AVG training: Instructies voor eindgebruikers
• Documentatie: Healthcare-specifieke handleidingen
• Dedicated support: Prioritaire ondersteuning voor zorginstellingen
• GDPR hulp: Assistentie bij privacy impact assessments

14. Kosten Healthcare Package

Zorginstellingen hebben verhoogde compliance-eisen. Daarom bieden wij een Healthcare Enterprise Package:

15. Contact voor Healthcare Clients