Spring naar inhoud
Terug naar home

Verwerkersovereenkomst

AVG Art. 28 · Versie 2.0 · Rotterdam, 15 april 2026

Voor uw DPO

Download het volledige compliance-pakket met de voor uw praktijk ingevulde verwerkersovereenkomst, DPIA samenvatting, sub-processor lijst en retentiebeleid via uw dashboard op /security.

Partijen

Deze verwerkersovereenkomst wordt gesloten tussen:
Verwerkingsverantwoordelijke: de zorgpraktijk (hierna: "Praktijk")
Verwerker: PraktijkBot B.V., statutair gevestigd te Rotterdam

Artikel 1 — Definities

Begrippen zoals "betrokkene", "persoonsgegevens", "verwerking" en "sub-verwerker" hebben de betekenis zoals gedefinieerd in de Algemene Verordening Gegevensbescherming (AVG).

Artikel 2 — Onderwerp en duur

Deze overeenkomst regelt de verwerking van persoonsgegevens door PraktijkBot ten behoeve van de Praktijk. De overeenkomst loopt gelijk met de hoofdovereenkomst (abonnement).

Artikel 3 — Aard en doel van de verwerking

PraktijkBot verwerkt persoonsgegevens voor: AI-telefonische afhandeling van patiëntoproepen, beheer van afspraken, optionele SMS-bevestiging (non-PHI, opt-in), en rapportage aan de Praktijk.

Artikel 4 — Soort persoonsgegevens

  • Contactgegevens (naam, telefoon, e-mail)
  • Identificerende gegevens (geboortedatum, adres)
  • BSN (optioneel, AES-256-GCM versleuteld)
  • Afspraakmetadata (datum, tijd, type, behandelaar)
  • Gespreksopnamen en transcripten (maximaal 365 dagen)

Artikel 5 — Categorieën betrokkenen

  • Patiënten van de Praktijk
  • Behandelaars
  • Praktijkmedewerkers met dashboard-toegang

Artikel 6 — Verplichtingen verwerker

PraktijkBot verwerkt persoonsgegevens uitsluitend in opdracht van de Praktijk, conform schriftelijke instructies, en met passende technische en organisatorische maatregelen conform AVG Art. 32.

Artikel 7 — Beveiligingsmaatregelen

TLS 1.3 in transit, AES-256-GCM at rest, Row-Level Security, MFA voor admin accounts, rate limiting, audit logging, automatische backup met 7-dagen PITR. Volledige lijst op trust-pagina.

Artikel 8 — Sub-verwerkers

PraktijkBot maakt gebruik van sub-verwerkers zoals gespecificeerd op de trust-pagina. Toevoeging van nieuwe sub-verwerkers wordt 30 dagen voorafgaand aangekondigd.

Artikel 9 — Datalekken

PraktijkBot meldt datalekken binnen 24 uur na ontdekking aan de Praktijk, zodat deze zijn 72-uurs meldplicht aan de Autoriteit Persoonsgegevens kan nakomen.

Artikel 10 — Rechten van betrokkenen

PraktijkBot verleent bijstand bij verzoeken om inzage, rectificatie, verwijdering, beperking, portabiliteit en bezwaar — responstijd maximaal 5 werkdagen.

Artikel 11 — Audit recht

De Praktijk heeft éénmaal per jaar recht op audit, op kosten van de Praktijk, onder redelijke voorwaarden van vertrouwelijkheid.

Artikel 12 — Beëindiging

Bij beëindiging worden alle persoonsgegevens binnen 30 dagen teruggegeven of verwijderd, uitgezonderd gegevens die PraktijkBot wettelijk verplicht is te bewaren.

Artikel 13 — Aansprakelijkheid

Aansprakelijkheid is geregeld conform de hoofdovereenkomst (abonnement).

Artikel 14 — Toepasselijk recht

Nederlands recht is van toepassing. Geschillen worden voorgelegd aan de rechtbank Rotterdam.

Download de ingevulde versie

Klanten kunnen een versie met praktijknaam en -adres al ingevuld downloaden via het dashboard onder Beveiliging → Download compliance pakket.

← PrivacyverklaringDPIA →
Verwerkersovereenkomst — PraktijkBot — PraktijkBot