PRIVACY BELEID
Embody Chiropractie BV
Datum opstellen beleid: 2026
(conform SNRC Richtlijn privacy beleid 2026)
De verantwoordelijke voor de verwerking van persoonsgegevens is:
Naam onderneming | Embody Chiropractie BV |
KvK nummer | 60963689 |
Eigenaar / chiropractor | Eigenaar (als zelfstandig beoefenaar) |
Adres | Paradijslaan 30 |
Postcode en plaats | Alphen aan den Rijn, Nederland |
hello@embodychiro.nl | |
Telefoonnummer | +31 172 26 3073 |
Website | embodychiro.nl |
Embody Chiropractie verwerkt persoonsgegevens van patiënten en websitebezoekers. Hieronder volgt een overzicht per doelgroep.
De volgende bijzondere persoonsgegevens worden verwerkt. Deze categorie vereist extra bescherming onder de AVG:
Opmerking over minderjarigen: Onze diensten zijn niet bedoeld voor personen onder de 16 jaar zonder toestemming van ouders of voogd. Indien u van mening bent dat wij gegevens van een minderjarige hebben verzameld zonder toestemming, verzoeken wij u contact op te nemen via hello@embodychiro.nl. Wij zullen de gegevens dan zo spoedig mogelijk verwijderen.
Wij verwerken persoonsgegevens uitsluitend wanneer daarvoor een legitiem doel en een wettelijke grondslag bestaat. Hieronder vindt u per categorie een overzicht.
Gegevenscategorie | Doel van verwerking | Wettelijke grondslag | Verstrekking verplicht? |
Medische gegevens patiënt (incl. BSN) | Het leveren van veilige en effectieve chiropractische zorg; bijhouden van het medisch dossier conform wettelijke verplichting. | Wettelijke verplichting (WGBO en Wvbz); Art. 9(2)(h) AVG voor bijzondere gegevens. | Ja. Zonder deze gegevens kan er geen verantwoorde chiropractische zorg worden geleverd. |
Algemene patiëntgegevens (NAW, contact) | Administratie: afspraken plannen, facturatie, communicatie over wijzigingen in de dienstverlening. | Uitvoering van een overeenkomst (behandelovereenkomst). | Ja. Noodzakelijk voor het beheer van de behandeling en de praktijkadministratie. |
Nummer identiteitsbewijs | Verificatie van de identiteit van de patiënt in het kader van het gebruik van het BSN in de zorg. | Wettelijke verplichting (Wet gebruik BSN in de zorg). | Ja. Wettelijk vereist voor zorgaanbieders. |
Nieuwsbrief abonnees | Het versturen van de nieuwsbrief en relevante praktijkinformatie. | Toestemming (kan te allen tijde worden ingetrokken). | Nee. Volledig vrijwillig. |
Websitebezoekersgegevens (IP-adressen, cookies) | Technische werking, beveiliging en optimalisatie van de website. | Gerechtvaardigd belang. | Nee. Te beheren via browserinstellingen. |
Geautomatiseerde besluitvorming: Embody Chiropractie BV maakt geen gebruik van geautomatiseerde verwerking voor het nemen van besluiten met significante gevolgen voor betrokkenen. Alle beslissingen worden genomen met menselijk toezicht.
Embody Chiropractie hecht groot belang aan de beveiliging van persoonsgegevens. Er is een risicoanalyse uitgevoerd op basis waarvan de onderstaande organisatorische en technische maatregelen zijn genomen. De beveiligingsmaatregelen worden periodiek getoetst en bijgesteld conform de plan-do-check-act-cyclus.
Voor de informatiebeveiliging in de zorg is de NEN 7510-norm leidend. Daar waar van toepassing wordt tevens de ISO 27002 norm voor beheersmaatregelen informatiebeveiliging als referentie gehanteerd.
Als u de indruk heeft dat uw gegevens niet goed beveiligd zijn of er aanwijzingen zijn van misbruik, neemt u dan onmiddellijk contact op via hello@embodychiro.nl.
U heeft als betrokkene de volgende rechten. Verzoeken kunnen worden ingediend per e-mail via hello@embodychiro.nl. Wij reageren zo spoedig mogelijk en in ieder geval binnen 1 maand. In geval van bijzondere omstandigheden kan deze termijn worden verlengd tot 3 maanden. Er zijn geen kosten verbonden aan het indienen van een verzoek.
Identiteitsverificatie: ter bescherming van uw privacy vragen wij u een kopie van uw identiteitsbewijs mee te sturen. U mag de foto, het MRZ-nummer (de strook onderaan), het paspoortnummer en het BSN onleesbaar maken. Vanaf 16 jaar, of indien u gezag heeft over een kind, kunt u beroep doen op onderstaande rechten.
Recht | Toelichting |
Recht op informatie | U heeft het recht te weten welke gegevens wij over u verwerken. U kunt ons privacyprotocol (sectie 12) opvragen. |
Recht op inzage | U kunt een kopie opvragen van de persoonsgegevens die wij van u verwerken. Persoonlijke werkaantekeningen van de chiropractor vallen hier niet onder. Verstrekking geschiedt conform NEN 7510. |
Recht op rectificatie | Zijn uw gegevens onjuist of onvolledig? Dan kunt u verzoeken deze te corrigeren. Bent u het niet eens met een mening of conclusie van de chiropractor, dan kunt u verzoeken uw schriftelijke reactie aan uw dossier toe te voegen. |
Recht op verwijdering (recht op vergetelheid) | In beginsel zullen wij aan dit verzoek voldoen. Medische gegevens kunnen worden verwijderd nadat wij u schriftelijk hebben gewezen op de gevolgen (geen beroep mogelijk op dossier bij latere klachtenprocedures of gezondheidsvragen). Wij verzoeken u dit schriftelijk te bevestigen. Fiscale gegevens (7 jaar bewaarplicht) kunnen niet worden verwijderd. Een verzoek tot verwijdering van het medisch dossier brengt automatisch het einde van de behandelrelatie met zich mee. |
Recht op beperking van de verwerking | U kunt in bepaalde gevallen verzoeken de verwerking van uw gegevens te beperken, bijvoorbeeld indien u betwist dat de gegevens juist zijn of bezwaar heeft gemaakt tegen de verwerking. |
Recht op dataportabiliteit | U heeft het recht uw persoonsgegevens in een gestructureerd, gangbaar en machineleesbaar formaat te ontvangen. Let op: conclusies, diagnoses en behandelplannen die de chiropractor op basis van uw gegevens heeft opgesteld, vallen hier niet onder. |
Recht van bezwaar | U kunt bezwaar maken tegen de verwerking van uw persoonsgegevens vanwege uw specifieke situatie, voor zover de verwerking is gebaseerd op een gerechtvaardigd belang. |
Recht op menselijke blik bij geautomatiseerde besluiten | Dit recht is van toepassing indien er geautomatiseerde besluiten worden genomen met significante gevolgen. Embody Chiropractie BV neemt geen geautomatiseerde besluiten; dit recht is derhalve niet van toepassing. |
Als betrokkene heeft u het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP) via www.autoriteitpersoonsgegevens.nl.
Persoonsgegevens worden niet langer bewaard dan noodzakelijk voor het doel waarvoor zij zijn verzameld. De onderstaande wettelijke bewaartermijnen zijn van toepassing.
Gegevenscategorie | Bewaartermijn | Grondslag |
Medische dossiers | 20 jaar na laatste behandeling | Wet op de geneeskundige behandelingsovereenkomst (WGBO) |
Financiële en fiscale administratie | 7 jaar | Belastingwetgeving |
Websitedata (IP-adressen, logs) | 6 maanden | Beveiliging en analyse |
Sollicitantengegevens (indien van toepassing) | 1 jaar na afwijzing | AVG |
Verlopen gegevens worden verwijderd zodra de bewaartermijn is verstreken. De chiropractor controleert jaarlijks of gegevens conform de bewaartermijnen worden verwijderd.
Embody Chiropractie hanteert de principes van privacy by design en privacy by default bij alle gegevensverwerkingen.
Bij de inrichting van de praktijk en het gebruik van software is beveiliging en minimale gegevensverwerking als uitgangspunt genomen. Er worden uitsluitend gegevens verwerkt die strikt noodzakelijk zijn voor het betreffende doel. ‘Handigheid’ is geen grondslag voor gegevensverwerking.
De standaardinstellingen van gebruikte systemen en formulieren zijn zo ingericht dat alleen noodzakelijke gegevens worden verwerkt. Voorbeelden:
De naleving van deze principes wordt jaarlijks beoordeeld bij de evaluatie van dit privacybeleid.
Embody Chiropractie BV is een solopraktijk. Het patiëntenbestand is aanzienlijk kleiner dan de drempelwaarde van 10.000 patiënten in één informatiesysteem zoals bedoeld in de AVG. Er is derhalve geen wettelijke verplichting een functionaris gegevensbescherming (FG) aan te stellen.
Er is vrijwillig geen FG aangesteld. De verantwoordelijkheid voor de naleving van de privacywetgeving berust bij de eigenaar/chiropractor. Bij twijfel over de AVG-conformiteit wordt een externe privacydeskundige ingeschakeld.
Een DPIA is verplicht wanneer de verwerking van persoonsgegevens waarschijnlijk een hoog privacyrisico oplevert.
Embody Chiropractie BV verwerkt bijzondere persoonsgegevens (medische gegevens) als kernactiviteit. Gezien de omvang van de praktijk (ruim onder de 10.000 patiënten) is er geen sprake van grootschalige verwerking in de zin van de AVG. Bovendien is er geen sprake van geautomatiseerde besluitvorming, systematische monitoring, koppeling van datasets, gebruik van nieuwe technologieën of andere criteria die een verplichte DPIA uitlokken.
Op basis van deze beoordeling is er geen verplichting tot het uitvoeren van een DPIA. Indien de praktijk in de toekomst nieuwe verwerkingen introduceert die een hoog risico kunnen opleveren, zal vooraf een DPIA worden uitgevoerd.
Bij een (vermoedelijk) datalek worden de volgende stappen genomen:
Stel zo snel mogelijk vast: wat voor soort lek het betreft, wat de oorzaak is, wanneer het is ontstaan, welke gegevens en hoeveel personen betrokken zijn, en of onbevoegden toegang (kunnen) hebben gehad.
Stop het lek zo snel mogelijk. Voorbeelden van maatregelen: apparaten op afstand wissen of vergrendelen, gepubliceerde bestanden offline halen, accounttoegang blokkeren, verkeerde ontvanger contacteren voor bevestiging van vernietiging.
Beoordeel of het datalek binnen 72 uur gemeld moet worden bij de Autoriteit Persoonsgegevens (AP). Raadpleeg hiervoor: https://www.autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken. Beoordeel tevens of betrokkenen onverwijld geïnformeerd moeten worden.
Elk datalek — ook als het niet gemeld hoeft te worden aan de AP — wordt bijgehouden in een intern datalekregister. Het register vermeldt per incident: de feiten (oorzaak, aard, omvang), de gevolgen en de genomen corrigerende maatregelen. Het register wordt periodiek geëvalueerd conform de plan-do-check-act-cyclus.
Embody Chiropractie verkoopt uw gegevens nooit aan derden. Wij delen gegevens uitsluitend met verwerkers (externe partijen die namens ons gegevens verwerken) indien dit noodzakelijk is voor onze dienstverlening. Met alle verwerkers is een verwerkersovereenkomst gesloten.
Verwerker | Dienst | Gegevenslocatie / opmerking |
Jane App (Jane Software Inc.) | Patiëntendossiers, afspraken, facturatie (praktijkbeheersoftware) | Gegevens opgeslagen op servers in het Verenigd Koninkrijk. Het VK heeft een adequaatheidsbesluit van de EU. Zie ook 11.2. |
QUIC.cloud | Websitecaching voor snelle gebruikerservaring | Tijdelijke kopie van webpagina’s; geen patiëntgegevens; geen toegang door derden. Zie QUIC.cloud privacybeleid. |
Jane App is een Canadees bedrijf. Voor EU-klanten slaat Jane gegevens op in het Verenigd Koninkrijk, waarvoor de Europese Commissie een adequaatheidsbesluit heeft afgegeven. Doorgifte naar het VK is daarmee rechtmatig onder de AVG.
Aandachtspunt: bepaalde functies van Jane App maken gebruik van externe dienstverleners in de Verenigde Staten:
Voor deze verwerkingen buiten het VK/EU geldt dat Jane App standaard contractuele clausules (SCC’s) of gelijkwaardige waarborgen hanteert conform Art. 46 AVG. Indien u geen gebruik wenst te maken van SMS-herinneringen of telehealth om doorgifterisico’s te minimaliseren, kunt u dit aangeven bij de praktijk.
Met Jane App is een Data Processing Addendum (DPA) gesloten conform de AVG-vereisten.
Embody Chiropractie ontvangt geen persoonsgegevens van andere organisaties, tenzij de patiënt ons daar expliciet om verzoekt (bijv. overdracht van een ander zorgverlener).
Dit protocol is bedoeld voor patiënten en websitebezoekers en geeft een beknopt overzicht van hoe Embody Chiropractie met uw persoonsgegevens omgaat.
Embody Chiropractie BV, KvK 60963689, Paradijslaan 30, Alphen aan den Rijn. E-mail: hello@embodychiro.nl | Tel: +31 172 26 3073 | Web: embodychiro.nl
Van patiënten: naam, adresgegevens, geboortedatum, contactgegevens, identiteitsnummer, zorgverzekeringsnummer, BSN en medische gegevens.
Van websitebezoekers: IP-adressen en cookiegegevens.
Medische gegevens: voor het leveren van chiropractische zorg (wettelijke verplichting, WGBO).
Algemene patiëntgegevens: voor administratie en facturatie (uitvoering overeenkomst).
Websitegegevens: voor technische werking en beveiliging van de website (gerechtvaardigd belang).
Nieuwsbrief: uitsluitend op basis van uw toestemming.
Embody Chiropractie vindt het belangrijk uw gegevens goed te beveiligen en heeft daarvoor organisatorische en technische maatregelen genomen conform NEN 7510. Als u de indruk heeft dat uw gegevens niet goed beveiligd zijn of er aanwijzingen zijn van misbruik, neemt u dan contact op via hello@embodychiro.nl.
U heeft recht op informatie, inzage, rectificatie, verwijdering, beperking van de verwerking, dataportabiliteit en bezwaar. Wij reageren zo snel mogelijk en in ieder geval binnen 1 maand op uw verzoek (bij bijzondere omstandigheden maximaal 3 maanden). Er zijn geen kosten aan verbonden. Stuur uw verzoek naar hello@embodychiro.nl.
Persoonsgegevens worden niet langer bewaard dan noodzakelijk: medische dossiers 20 jaar (WGBO), financiële administratie 7 jaar, websitedata 6 maanden.
Wij maken gebruik van Jane App (praktijkbeheer, servers VK) en QUIC.cloud (websitecaching). Met alle verwerkers zijn verwerkersovereenkomsten gesloten. Wij verkopen uw gegevens nooit.
Wij gebruiken technische, functionele en analytische cookies die uw privacy niet schenden. U kunt cookies uitschakelen via uw browserinstellingen.
Als betrokkene heeft u het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP) via www.autoriteitpersoonsgegevens.nl.