Privacybeleid
Datum: 1 juni 2024
Versie: v1.0
Wie zijn wij
De digi.me dienst is eigendom van World Data Exchange B.V., KVK-nummer 88297772, Zuid-Hollandlaan 72596 AL, ‘s-Gravenhage (hierna: wij, onze, ons).
U kunt op verschillende manieren contact met ons opnemen:
Per e-mail naar: privacy@worlddataexchange.com
Schriftelijk aan:
Privacy Manager
World Data Exchange B.V.
C/- Spaces Rode Olifant
Zuid-Hollandlaan 7
2596 AL Den Haag
Nederland
Of neem contact met ons op via www.digi.me
Wat is de digi.me dienst? Overzicht, achtergrond en context
De digi.me App en het bijbehorende technologieplatform (samen de digi.me dienst genoemd) is ontworpen om te functioneren binnen en ondersteuning te bieden aan het digitale gezondheidsraamwerk (Framework) MedMij.
MedMij is de standaard voor de veilige uitwisseling van gezondheidsgegevens tussen zorgverleners en zorggebruikers in Nederland. De digi.me dienst is speciaal gebouwd om een persoonlijke gezondheidsomgeving (PGO) te vormen die werkt binnen het MedMij-Framework.
Het MedMij-Framework bestaat uit technische, regelgevende en op standaarden gebaseerde vereisten en waarborgen om het doel van MedMij te bereiken, namelijk individuen in staat stellen op veilige en betrouwbare wijze gezondheidsgegevens uit te wisselen. Naleving hiervan, samen met de geavanceerde functionaliteiten van de digi.me dienst, maakt deze uitwisseling van gegevens mogelijk. Het stelt deze deelnemers ook in staat om het MedMij-label te gebruiken waarnaar verderop in deze paragraaf wordt verwezen.
Als een PGO binnen het MedMij-Framework, stelt de digi.me dienst u in staat om veilig en privé verbinding te maken met uw persoonlijke gezondheidsgegevens, om toegang te krijgen tot uw persoonlijke gezondheidsgegevens en om uw persoonlijke gezondheidsgegevens te verkrijgen van de zorgverleners die deelnemen aan het MedMij-Framework en deze te downloaden naar uw individuele versleutelde cloud-gebaseerde gegevens kluis.
Een andere functie van de digi.me dienst is dat het mogelijk is om persoonlijke gezondheidsgegevens van al uw deelnemende zorgverleners te bekijken en te beheren op één locatie, bijna of volledig actueel, op uw eigen computer of apparaat.
Alle organisaties die technologieën en diensten leveren die voldoen aan de hoge standaarden van MedMij mogen het MedMij label gebruiken, waardoor zorgverleners en gebruikers de zekerheid hebben dat de dienst betrouwbaar en veilig is. De digi.me dienst heeft alle relevante MedMij functionele accreditatie doorstaan (ISO en NEN beveiligingscertificeringseisen) en heeft daarmee het recht om het MedMij label te gebruiken:
Het MedMij-Framework werkt tegen een achtergrond van wet- en regelgeving, waaronder de Algemene verordening gegevensbescherming (AVG), die vereist dat organisaties individuen informatie verstrekken over de controle, verwerking, verzameling, gebruik, openbaarmaking en andere omgang met hun persoonlijke gegevens. Dit Privacybeleid is ontworpen om aan deze vereisten te voldoen.
Onze benadering van gegevensbescherming
Onze benadering van gegevensbescherming is in overeenstemming met de vereisten van artikel 25 van de AVG, dat vereist dat organisaties die persoonsgegevens beheren en verwerken een 'gegevensbescherming door ontwerp en door standaardinstellingen'-aanpak hanteren. Dit omvat technische en organisatorische maatregelen die deze methodologie ondersteunen.
Deze vereisten worden aangevuld door de specifieke regels en normen die MedMij heeft opgesteld voor het MedMij-Framework. Deze zijn te vinden op medmij.nl.
Welke persoonsgegevens verzamelen we?
De persoonsgegevens die door de digi.me dienst worden verzameld, vallen in grote lijnen uiteen in twee categorieën:
persoonsgegevens die we verzamelen via of als onderdeel van het aanmeldingsproces; en
de persoonsgegevens (inclusief gevoelige gezondheidsgegevens) die u kiest te downloaden naar de digi.me dienst vanuit het MedMij systeem.
Een account aanmaken en aanmelden
De eerste stap in het gebruik van de dienst digi.me is het aanmaken van een account en het aanmelden bij de dienst.
De dienst digi.me is toegankelijk via twee verschillende wegen - ofwel via een webbrowser op een computer, ofwel (sinds begin 2024) via de digi.me App die gedownload wordt op een persoonlijk apparaat zoals een smartphone of tablet. Het aanmeldingsproces wordt uitsluitend gestart via een webbrowser op digi.me.
Wanneer u app.digi.me rechtstreeks bezoekt of 'Start app' selecteert op de digi.me webdienst, krijgt u de optie om uw eerste zorgverlener te vinden en te selecteren of, als u al een digi.me account heeft, om in te loggen.
Als u een nieuwe gebruiker bent, zal de digi.me service u, nadat u één van de zorgverleners heeft geselecteerd, automatisch doorverwijzen naar MedMij. MedMij zal u dan vragen om u te authentificeren door uw DigiD op te geven en om toestemming te geven dat de digi.me dienst toegang heeft tot uw persoonlijke- en gezondheidsgegevens. Dit verificatieproces wordt uitgevoerd en beheerd door MedMij.
Na verificatie en verbinding maakt u uw digi.me account aan. U moet het volgende opgeven
uw naam;
uw e-mailadres; en
een mobiel of ander telefoonnummer waarmee een SMS-bericht kan worden ontvangen dat wordt gebruikt om u te voorzien van de eenmalige, in de tijd beperkte, verificatiecode die nodig is om het aanmaken van de account en het inloggen te voltooien.
Het volgende schema is een indicatie van de soorten gezondheidsgegevens die beschikbaar zijn via de digi.me dienst:
Allergieën en intoleranties
Afspraken
Diagnose
Documenten
Consulten
Huisartsendossiers
Metingen
Medische hulpmiddelen
Medicatie
Procedures
Resultaten
Vaccinaties
Hoe de digi.me dienst persoonlijke en gevoelige gegevens verzamelt
De persoonlijke- en gezondheidsgegevens die in de digi.me service worden verzameld worden beheerst door:
de regels en functionaliteiten die voor het MedMij systeem zijn vastgesteld door de stichting MedMij; en
de functionaliteiten die zijn vastgesteld door de dienst digi.me.
Deze regels en functionaliteiten stellen u in staat om de bronnen van uw gezondheidsgegevens te selecteren waartoe u toegang wenst en om deze via de digi.me dienst te downloaden naar een unieke en versleutelde gegevenskluis waarvoor u de mastertoegangssleutel van 256 bit encryptie bezit die is gekoppeld aan de aanmeldings-ID van uw account.
U bepaalt welke persoonlijke- en gezondheidsgegevens door de digi.me service worden verzameld. Persoons- en gezondheidsgegevens die worden opgevraagd, gedownload en opgeslagen in je eigen versleutelde gegevenskluis, worden op uw aanwijzing en met uw geïnformeerde toestemming verwerkt na verificatie van uw account door de Nederlandse DigID-dienst.
Wij porten en vertalen uw Persoons- en gezondheidsgegevens voor u als onderdeel van het geautomatiseerde proces om uw account aan te maken.
Hoewel de digi.me service uw persoonlijke- en gezondheidsgegevens verzamelt, zoals door u bepaald, hebben wij hier geen toegang toe. Uw gegevens worden versleuteld tijdens het transport en in rusttoestand. Wij bezitten, onderhouden of hebben geen toegang tot de ontcijferingssleutels die nodig zijn om uw gegevens te ontcijferen: alleen u bezit de ontcijferingssleutels.
Verwerking: gebruik en openbaarmaking van persoonlijke gegevens
De digi.me service gebruikt uw inloggegevens om uw digi.me account aan te maken, te onderhouden en te onderhouden.
De dienst digi.me geeft geen persoonlijke- en gezondheidsgegevens vrij die u met behulp van de dienst digi.me naar uw versleutelde gegevenskluis downloadt.
Indien een bevoegde, wettelijk gemachtigde instantie, zoals een wetshandhavings- of regelgevingsinstantie, van ons eist dat wij toegang verlenen tot uw digi.me dienst account, zullen wij aan deze eis voldoen zoals vereist door de wet. Voor zover dit is toegestaan zullen wij redelijke stappen ondernemen om u op de hoogte te stellen van een dergelijke eis zodat u deze eis kunt betwisten of zich daar anderszins tegen kunt verzetten.
De kluis van uw persoonlijke gegevens wordt geleverd door een externe cloudserviceprovider, Microsoft Azure cloudservices, in het kader van een serviceovereenkomst met ons. Uw persoonlijke gegevens en gezondheidsgegevens worden versleuteld tijdens het transport ernaartoe, erin en bij toegang door u met behulp van uw individuele versleutelings-/ontsleutelingssleutel.
Hoe slaat de digi.me dienst uw persoonlijke en gevoelige gegevens op?
Als onderdeel van onze privacy door ontwerp aanpak, hebben wij veiligheid bij ontwerp geïmplementeerd om de veiligheid en integriteit van jouw persoonlijke- en gezondheidsgegevens te waarborgen. Wij en onze serviceproviders nemen alle redelijke maatregelen om uw persoonlijke- en gezondheidsgegevens te beschermen tegen misbruik, ongeautoriseerde toegang of openbaarmaking. Zoals vereist in het MedMij-Framework is de dienst digi.me gecertificeerd om te voldoen aan de beveiligingsnorm NEN 7510-1:2017.
Wanneer u ervoor kiest om uw gezondheidsgegevens te downloaden, worden deze automatisch versleuteld tijdens het transport. De gegevens die u downloadt of uploadt naar de dienst digi.me worden versleuteld met SSL-technologie (Secure Socket Layer) en opgeslagen in uw persoonlijke digitale gegevenskluis.
Andere beveiligingsmaatregelen die wij toepassen zijn toegangscontroles, regelmatige beveiligingsaudits en voortdurende training van het personeel op het gebied van beveiliging.
Lokalisatie van gegevens
De digi.me dienst lokaliseert al uw persoonlijke- en gezondheidsgegevens op computerfaciliteiten en -infrastructuur in Nederland.
Leeftijdsbeperkingen
Volgens de regels van de stichting MedMij moet u zestien jaar of ouder zijn om deel te nemen aan het PGO-Framework. Dit betekent dat u geen gebruik mag maken van de dienst digi.me tenzij u zestien jaar of ouder bent.
Cookies
Wij gebruiken alleen cookies die ons in staat stellen de functionaliteit van de digi.me dienst te waarborgen, waaronder het correct kunnen aanmelden.
Wij gebruiken of implementeren geen prestatie-, functionaliteits-, targeting- of advertentiecookies.
Wat zijn uw rechten op het gebied van gegevensbescherming?
Uw rechten op toegang tot gegevens
U kunt ons verzoeken u toegang te verlenen tot de persoonlijke gegevens die wij over u bewaren. Neem hiervoor per e-mail contact met ons op via privacy@worlddataexchange.com.
Uw recht op rectificatie
U hebt het recht om ons te verzoeken de persoonlijke gegevens die wij over u hebben, te rectificeren.
Neem hiervoor contact met ons op via e-mail op privacy@worlddataexchange.com.
Als u persoonlijke- of gezondheidsgegevens wilt rectificeren die u hebt gedownload van de zorgverleners die deelnemen aan en beschikken over uw persoonlijke- of gezondheidsgegevens in het MedMij-Framework, moet u contact opnemen met de zorgverlener om de gegevens in kwestie te wijzigen, corrigeren, annoteren of rectificeren in overeenstemming met de relevante wetten en regelgevende processen van Nederland en alle toepasselijke klinische regels en normen.
Uw recht op wissen
De digi.me dienst bevat een functionaliteit waarmee u uw persoonlijke gegevens kunt wissen door uw account te verwijderen. U kunt uw account verwijderen door “Verwijder mijn account” te selecteren in het icoontje van het hoofdmenu van digi.me en de instructies te volgen.
Uw recht op beperking van verwerking
Wij gebruiken, onthullen of verstrekken uw persoonlijke gegevens niet aan derden voor beloning of anderszins. Wij hebben geen toegang tot uw persoonlijke- en gezondheidsgegevens voor welk doel of reden dan ook, tenzij wij daartoe gedwongen worden door een wetshandhavingsinstantie, regelgevende autoriteit of anderszins door een persoon of organisatie die daartoe wettelijk bevoegd is.
Uw recht op gegevensoverdraagbaarheid
U kunt ons verzoeken u een toegankelijke kopie te verstrekken van de persoonlijke gegevens die wij over u bewaren in een direct beschikbaar formaat.
Een dergelijk verzoek kan worden ingediend door een e-mail te sturen naar privacy@worlddataexchange.com.
Wijzigingen
We herzien dit Privacybeleid van tijd tot tijd om ervoor te zorgen dat het nauwkeurig en actueel blijft. Als we dit beleid wijzigen, zullen we u daarvan vooraf op de hoogte stellen en een uitleg geven over de wijzigingen.