Vertrouwen begint bij veiligheid
Hoe PraktijkBot uw patiëntgegevens beschermt — volgens de strengste standaarden in de Nederlandse zorg.
Vier pijlers
De beginselen waarop elke technische en organisatorische keuze rust.
Versleuteling op elk niveau
TLS 1.3 in transit, AES-256-GCM at rest. Field-level versleuteling op BSN, polisnummer en andere gevoelige cijfers. Per-call PII-redactie-map wordt apart AES-256-GCM versleuteld in onze EU-database; alleen geautoriseerde auditors kunnen via een geaudit endpoint deze ontsleutelen voor incident-onderzoek. Backups versleuteld; sleutels via secrets manager.
PII-redactielayer v1.0 (NEN 7510)
Twee-lagen patient-data-redactie vóór elke AI-verwerking: NL-specifieke regex (BSN met 11-test, telefoonnummer, geboortedatum, adres, postcode, e-mail, IBAN, medicatie, ICD-codes) plus entity-NER voor namen en locaties. Voor gevoelige numerieke gegevens (BSN, polis, pincode) vraagt de bot om in te toetsen via DTMF — audio bevat dus geen identificerende cijfers, alleen toon-events. Compliance-rapport endpoint klaar voor auditor-walkthrough.
Uw data verlaat Europa niet — 100% EU-residency
Alle opslag in Frankfurt op managed PostgreSQL 16 (Neon). De volledige AI-stack — Azure AI Speech (STT + TTS) en Azure OpenAI gpt-4o — draait in Sweden Central onder de Azure EU Data Boundary, geleverd door Microsoft Ireland Operations Limited met formele Microsoft Standard DPA. Microsoft biedt dedicated zorg-aanbod (Azure for Healthcare) met NEN 7510-compatible controles. Geen AI-inference, geen opslag in de VS.
Audit trail op elke actie
Immutable hash-chained audit logs. Iedere lees- en schrijf-actie op patiëntdata wordt gelogd, 7 jaar bewaard. Ook elke wijziging aan bot-prompts en gespreksflows krijgt een audit-entry met AI Act-tags — praktijk ziet transparant wat platform-beheerders doen.
23 specialismen — beroepsrichtlijn-gepind
Per vakgebied een eigen prompt-pack met triage-protocol uit de officiële beroepsrichtlijn: NHG TriageWijzer (huisarts/HAP — 56 ingangsklachten), KNMT (tandarts), KNGF (fysio), NCA (chiropractie), KNOV (verloskunde), KNMP (apotheek), NVAB (bedrijfsarts), NVDV (dermatologie), NVOG (gynaecologie/IVF), GGZ-Standaarden (POH-GGZ), en meer. Triage-logica en rode-vlaggen-detectie zijn versie-gepind; iedere update is herleidbaar naar wie wat wanneer goedkeurde.
3-lagen prompt model met veiligheidsgaranties
Universele core (veiligheidsregels, AVG, doorverwijzing) + vakgebied-pack (klinische logica) + praktijk-overlay (uw eigen instructies). Veiligheidsregels staan in de architectuur op de laatste plek en kunnen niet door tenant-instructies worden afgezwakt — een prompt-injection filter blokkeert pogingen om regels te omzeilen voordat ze de bot bereiken.
Compliance by design
AVG, NEN 7510-1:2024, EU AI Act en Wet BIG zijn ingebouwd — niet bolted-on. DPIA afgerond, verwerkersovereenkomst-template en documentatie voor uw privacy officer beschikbaar.
Meetbare botkwaliteit (Sonnet-judge)
Elke nacht draait een synthetische eval: tientallen patient-personas voeren gesprekken met de productie-bot. Een onafhankelijke Sonnet-judge (Anthropic via Bedrock) scoort elk gesprek op 5 outcome-labels (goal_achieved, escalated_correctly, partial, unresolved, abandoned). De pass-rate per vakgebied is publiek inzichtelijk per release. Een regressie van ≥3pp tegenover de baseline blokkeert de deploy automatisch — kwaliteit kan dus niet stil terugzakken.
Onze aanpak — reis van een gesprek
Van telefoontje tot dossier, met security-maatregelen op elke stap.
Inkomend gesprek
Patiënt belt. EU-gehoste telefonie ontvangt via TLS 1.3. AI-disclosure wordt direct afgespeeld (EU AI Act Art. 52 transparantie). Opname gebeurt versleuteld en verlaat de EU nooit.
Spraak → tekst (Azure AI Speech, Sweden Central)
Azure AI Speech (Sweden Central, EU Data Boundary) zet audio om naar tekst. Audio wordt direct na verwerking verwijderd (binnen 24u). BSN-patronen worden automatisch gedetecteerd en geredigeerd.
Triage & beslissing (Azure OpenAI gpt-4o, Sweden Central)
Azure OpenAI gpt-4o (Sweden Central, EU Data Boundary) beoordeelt de klacht volgens NHG-Triagewijzer. Menselijke override altijd beschikbaar. Geen diagnose, geen medicatie-advies. Art. 22 AVG gerespecteerd.
Tekst → spraak (Azure AI Speech, neural voice Ava)
Antwoord-tekst wordt door Azure AI Speech (Sweden Central) omgezet naar een natuurlijke Nederlandse stem (premium HD-neural “Ava”) via taal-switching. Geen audio-opslag bij Microsoft; stream gaat direct terug naar de patiënt.
Opslag
Gegevens naar managed PostgreSQL (Neon) in Frankfurt. Row-Level Security isoleert uw praktijk van andere tenants. AES-256-GCM encryptie at rest.
Bevestiging
Afspraakbevestiging via SMS over een EU-telefonieprovider (huidige sub-processor: Twilio Ireland, met EU-edge gepind). Alleen datum, tijd en naam praktijk — géén klacht, diagnose, BSN of polisnummer in het bericht. Opt-in tijdens call, audit-log per verstuurd bericht.
Retentie & verwijdering
Transcripts 90 dagen. Patiëntdossier 15 jaar (Wet BIG). Audit logs 7 jaar. Automatische verwijdering na afloop — of op verzoek (Art. 17).
Sub-processors
Volledige transparantie — uw privacy officer kan dit onderdeel één-op-één overnemen in de eigen DPIA.
| Partij | Doel | Locatie | Transfer | DPA |
|---|---|---|---|---|
| Neon | Database hosting (PostgreSQL 16, RLS, encryptie at rest) | EU (Frankfurt) | EER — geen doorgifte | Ondertekend |
| Render | Application + worker hosting | EU (Frankfurt) | EER — geen doorgifte | Ondertekend |
| Twilio | Telefonie (PSTN/SIP) + SMS-bevestiging (EU edge) | EU (Dublin ie1) | DPF + SCC 2021/914 | Ondertekend |
| Voys | Nederlandse DID-leverancier + fallback voor handmatige doorverbinding | EU (Nederland) | EER — geen doorgifte | Ondertekend |
| Microsoft Ireland Operations Limited (Azure) | Azure AI Speech (STT + TTS, neural voice Ava) + Azure OpenAI (gpt-4o) voor de complete spraak-AI-stack | EU (Sweden Central) — Azure EU Data Boundary | EER — Microsoft Standard DPA (Online Services DPA) | Ondertekend |
| Deepgram | Spraak-naar-tekst (fallback) | EU (Frankfurt) optie | SCC 2021/914 | Ondertekend |
| Mollie | Betalingen | EU (Nederland) | EER — geen doorgifte | Ondertekend |
| Postmark | Transactionele e-mail (DKIM via 3 selectors actief) | EU-route (Amazon EU) | Standaard Postmark DPA | Ondertekend |
| Sentry | Error monitoring (PII-stripped) | EU region (Frankfurt) | EER — geen doorgifte | Ondertekend |
| Meta (WhatsApp Business API) | Berichtenbezorging (optioneel per praktijk) | EU + VS | SCC 2021/914 | Ondertekend |
Certificeringen & frameworks
Wat we claimen, wat in audit is, en wat op de roadmap staat — zonder holle beloftes.
AVG / GDPR
CompliantDPIA afgerond (Art. 35). Verwerkersovereenkomst-template beschikbaar. Rechten van betrokkenen (Art. 15–22) via self-service portal.
NEN 7510-1:2024
Pre-audit gereedGebaseerd op NEN 7510-1:2024. Pre-audit afgerond. Formele certificering gepland Q2–Q3 2026.
EU AI Act
GedocumenteerdHoog-risico AI-systeem (Annex III, categorie 5). Conformity-documentatie en bias-monitoringplan aanwezig.
Wet BIG / Wgbo
CompliantDossierbewaring conform Art. 7:454 (15 jaar). BIG-nummer verwerking behandelaars gedocumenteerd.
SOC 2
Roadmap 2027Geen claim. SOC 2 Type II staat op de roadmap voor 2027. Huidige controls zijn gebaseerd op NEN 7510.
Veelgestelde security-vragen
De twaalf meest gestelde vragen van privacy officers en IT-managers.
Waar staat onze data?
Database in Frankfurt, Duitsland (Neon managed PostgreSQL 16, eu-central-1). De volledige AI-stack — spraakherkenning, taalmodel én tekst-naar-spraak — draait op Azure in Sweden Central onder Microsoft Ireland Operations Limited (Azure EU Data Boundary). Backups blijven binnen de EER. Geen opslag of AI-inference in de VS.
Wie kan bij de data?
Alleen geautoriseerde gebruikers van uw praktijk, op basis van rol. PostgreSQL Row-Level Security zorgt dat andere praktijken uw data nooit zien. Platform-beheerders kunnen alleen handelingen uitvoeren met een 'on-behalf-of' audit-entry — u ziet deze transparant in uw audit trail.
Wat gebeurt er als we stoppen met PraktijkBot?
U krijgt een volledige export in JSON/CSV (Art. 20 AVG). Na 30 dagen worden alle operationele data verwijderd. Medische records die onder Wet BIG vallen kunnen naar uw nieuwe systeem worden overgedragen.
Hoe werkt verwijdering op verzoek van een patiënt?
Via /privacy in het dashboard start u een Art. 17-verzoek. Soft-delete (anonimisatie) is standaard; na verificatie volgt hard-delete binnen 30 dagen. Let op: Wet BIG verplicht 15 jaar bewaring van medische dossiers — dit gaat voor op Art. 17 in die termijn.
Is een DPIA nodig voor ons?
Ja — de AP schrijft een DPIA voor bij AI-verwerking van gezondheidsgegevens. Wij leveren een kant-en-klare DPIA-sjabloon aan, gebaseerd op onze eigen DPIA (docs/compliance/dpia.md). U past 'm aan naar uw praktijk-context.
Wat doen jullie bij een security incident?
We volgen ons Incident Response Plan: binnen 1u detectie → containment → notificatie. Bij een datalek informeren we de AP binnen 72u conform Art. 33 AVG en u als verwerkingsverantwoordelijke direct. Zie docs/compliance/incident_response_plan.md.
Is het gesprek opgenomen? Wordt het afgeluisterd?
Ja, gesprekken worden kortstondig opgenomen voor STT-verwerking. Audio wordt binnen 24 uur verwijderd. Er is geen menselijk 'meeluisteren' zonder expliciete aanleiding (incident/dispuut) — toegang wordt gelogd.
Kan een AI-telefonist medische adviezen geven?
Nee. Expliciet nee. PraktijkBot stelt geen diagnose, schrijft geen medicatie voor en vervangt niet het oordeel van uw huisarts. Bij twijfel of rode vlaggen wordt altijd doorverbonden naar een medewerker.
Moeten wij zelf iets regelen met de AP?
Alleen als verwerkingsverantwoordelijke voor de eigen DPIA. Wij als verwerker hebben onze eigen AP-verplichtingen (Art. 36 prior consultation gedocumenteerd). U hoeft geen aparte melding voor het gebruik van PraktijkBot te doen, tenzij er een datalek optreedt.
Hoe zit het met BSN?
PraktijkBot vráágt niet om BSN. Als een patiënt 'm toch noemt, detecteren we het patroon (elfproef) en redigeren we het uit het transcript vóór opslag. Indien BSN wél wordt geïmporteerd vanuit uw HIS, wordt het met AES-256-GCM field-level versleuteld.
Mag de bot patiëntdata gebruiken om andere praktijken te helpen?
Nee. Expliciet nee. Er is geen cross-tenant training. Uw data wordt niet gebruikt om LLMs te trainen of om andere praktijken te bedienen. Tenant-isolatie is afgedwongen op database-niveau (RLS) én in elke API-call.
Waar kan ik jullie security incident geschiedenis inzien?
Geen datalekken sinds oprichting. Publieke incident-pagina volgt in Q3 2026 (parallel aan NEN 7510-certificering). Tot die tijd beschikbaar op aanvraag via security@praktijkbot.nl.
Vragen over security?
Onze DPO staat klaar. We delen DPIA-samenvatting, DPA-template en security-audit-rapporten op aanvraag.
security@praktijkbot.nlKlaar om te starten?
14 dagen gratis proefperiode. Geen creditcard nodig. DPA direct beschikbaar.
Start Gratis