GDPR / AVG Compliance
Versie maart 2025 · AI Pilots B.V. · Algemene Verordening Gegevensbescherming (EU) 2016/679
AIpilots B.V. hecht groot belang aan de bescherming van persoonsgegevens en naleving van de Algemene Verordening Gegevensbescherming (AVG / GDPR). Deze pagina beschrijft hoe wij als aanbieder van AI-gestuurde ITSM-diensten voor de zorgsector omgaan met gegevensbescherming, welke maatregelen wij treffen en welke rechten betrokkenen hebben.
AVG-compliant
Volledig conform EU 2016/679
Data in EU
Verwerking binnen de EER
Transparantie
Duidelijk over datagebruik
Verwerkersovereenkomst
Beschikbaar voor klanten
Betrokkenenrechten
Inzage, correctie, verwijdering
Meldplicht datalekken
Conform AP-richtlijnen
1. Onze rol als verwerker
Bij de uitvoering van onze ITSM Suite-diensten treedt AIpilots B.V. op als verwerker in de zin van de AVG. Uw organisatie (de zorginstelling) is de verwerkingsverantwoordelijke. Dit betekent dat:
- Wij persoonsgegevens uitsluitend verwerken op uw instructie en ten behoeve van de overeengekomen dienstverlening
- U bepaalt welke persoonsgegevens worden ingevoerd in onze systemen
- Wij een verwerkersovereenkomst (DPA) met u sluiten conform artikel 28 AVG
- Wij u onmiddellijk informeren bij een (vermoeden van een) datalek
2. Welke persoonsgegevens verwerken wij namens u?
In het kader van onze ITSM-dienstverlening kunnen de volgende categorieën persoonsgegevens worden verwerkt:
| Categorie | Voorbeelden | Doel |
|---|---|---|
| Medewerkergegevens | Naam, e-mail, telefoonnummer, functie | Ticketverwerking, toegangsbeheer |
| Contactgegevens | Naam en contactinformatie van melders | Incidentregistratie en opvolging |
| Gebruiksgegevens | Logingegevens, sessietijden, actielog | Beveiliging en auditing |
| Gespreksdata | Transcripties van Voice Agent-gesprekken | Ticketaanmaak, kwaliteitsverbetering |
Wij verwerken geen bijzondere categorieën persoonsgegevens (zoals medische gegevens van patiënten) tenzij dit uitdrukkelijk is overeengekomen en de juiste waarborgen zijn getroffen.
3. Technische en organisatorische maatregelen
AIpilots treft de volgende maatregelen ter beveiliging van persoonsgegevens:
Versleuteling
Alle datatransport verloopt via TLS 1.2+. Data at rest is versleuteld.
Toegangsbeveiliging
Role-based access control (RBAC) en multi-factor authenticatie voor beheerders.
Datalocatie
Alle gegevens worden verwerkt en opgeslagen binnen de Europese Economische Ruimte (EER).
Audit logging
Alle toegang tot persoonsgegevens wordt gelogd en is auditeerbaar.
Dataminimalisatie
Wij verwerken uitsluitend de gegevens die noodzakelijk zijn voor de dienstverlening.
Subverwerkers
Alle subverwerkers zijn gecontracteerd met een verwerkersovereenkomst en voldoen aan de AVG.
4. Bewaartermijnen
Persoonsgegevens worden niet langer bewaard dan noodzakelijk. Na beëindiging van de overeenkomst worden gegevens op uw verzoek geretourneerd of aantoonbaar vernietigd binnen 30 dagen, tenzij een wettelijke bewaarplicht van toepassing is.
5. Rechten van betrokkenen
Als verwerkingsverantwoordelijke bent u verantwoordelijk voor het afhandelen van verzoeken van betrokkenen (uw medewerkers of andere personen wiens gegevens worden verwerkt). AIpilots ondersteunt u hierbij door:
- Technische mogelijkheden te bieden voor inzage, export en verwijdering van gegevens
- Verzoeken van betrokkenen die rechtstreeks bij ons binnenkomen door te sturen naar uw organisatie
- Binnen de overeengekomen termijnen te reageren op uw instructies
6. Datalekken
AIpilots beschikt over een intern procedure voor het detecteren, beoordelen en melden van datalekken. Bij een datalek dat mogelijk gevolgen heeft voor uw organisatie, informeren wij u binnen 24 uur na ontdekking, zodat u tijdig aan uw eigen meldplicht bij de Autoriteit Persoonsgegevens kunt voldoen (wettelijke termijn: 72 uur).
7. Verwerkersovereenkomst
Voor alle klanten die onze ITSM Suite afnemen, sluiten wij een verwerkersovereenkomst (Data Processing Agreement / DPA) conform artikel 28 AVG. De DPA is onderdeel van onze standaard contractdocumentatie en beschrijft onder meer:
- De aard, het doel en de duur van de verwerking
- De categorieën van betrokkenen en persoonsgegevens
- De rechten en plichten van beide partijen
- De lijst van goedgekeurde subverwerkers
- De procedure bij datalekken
Wilt u een kopie van onze standaard DPA ontvangen? Neem contact op via [email protected].
8. AI en gegevensbescherming
Onze AI-modellen worden getraind en ingezet met inachtneming van de AVG en de EU AI Act. Wij hanteren de volgende principes:
- Privacy by design: gegevensbescherming is ingebouwd in onze productontwikkeling
- Privacy by default: standaard worden zo min mogelijk persoonsgegevens verwerkt
- Geen gebruik van klantdata voor het trainen van generieke AI-modellen zonder expliciete toestemming
- Transparantie over geautomatiseerde besluitvorming conform artikel 22 AVG
Vragen over GDPR / AVG?
Voor vragen over gegevensbescherming, het aanvragen van een verwerkersovereenkomst of het melden van een datalek kunt u contact opnemen met onze privacy-contactpersoon.