Laatste versie: 30 oktober 2025
Verwerking van gegevens
Hoe gaan we om met jouw gegevens?
Luscii verzekert naleving van de GDPR met betrekking tot gegevensverwerking, zowel als Data Controller, als Data Processor namens haar klanten. Binnen Luscii houden we ons aan de principes van de verwerking van persoonsgegevens volgens artikel 5 van de GDPR:
- Rechtmatigheid, billijkheid en transparantie: De activiteiten van Luscii op het gebied van de verwerking van persoonsgegevens zijn in overeenstemming met de GDPR en zijn transparant voor externe partijen.
- Doelbeperking: Luscii kan alleen gegevens verzamelen voor gespecificeerde, expliciete en legitieme doeleinden en deze niet verder verwerken op een manier die onverenigbaar is met deze doeleinden. Het doel van de gegevensverwerking moet te allen tijde duidelijk zijn en is opgenomen in ons Privacybeleid en de gegevensverwerkingsovereenkomsten met onze klanten.
- Gegevensminimalisatie: Gegevens die door Luscii worden verzameld, moeten adequaat, relevant en beperkt zijn tot wat noodzakelijk is in verband met de doeleinden waarvoor ze worden verwerkt. Luscii verwerkt alleen de gegevens die nodig zijn voor het functioneren van haar Producten en interne organisatie.
- Nauwkeurigheid: Gegevens zijn accuraat en worden, waar nodig, actueel gehouden; Luscii onderneemt stappen om ervoor te zorgen dat persoonsgegevens die onjuist zijn, met betrekking tot de doeleinden waarvoor ze worden verwerkt, onverwijld worden gewist of gecorrigeerd.
- Opslagbeperking: Gegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren dan noodzakelijk is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt; persoonsgegevens kunnen voor langere perioden worden opgeslagen voor zover de persoonsgegevens uitsluitend worden verwerkt voor wetenschappelijk onderzoek of statistische doeleinden, op voorwaarde dat de door de GDPR vereiste passende technische en organisatorische maatregelen worden geïmplementeerd om de rechten en vrijheden van personen te waarborgen.
- Integriteit en vertrouwelijkheid (beveiliging): Luscii moet gegevens verwerken op een wijze die passende beveiliging van de persoonsgegevens waarborgt, met inbegrip van bescherming tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging, met behulp van passende technische of organisatorische maatregelen.
- Verantwoording: Luscii zorgt ervoor dat zij, zowel als Verwerkingsverantwoordelijke als als Verwerker, kan aantonen dat zij de bovengenoemde beginselen naleeft.
Welke gegevens verzamelt Luscii namens haar klanten?
Om onze service te kunnen verlenen, verzamelt Luscii persoonlijk identificeerbare gegevens van uw patiënten en zorgverleners. Wat de patiënt betreft, omvat dit (gevoelige) gezondheidsgegevens met betrekking tot het specifieke programma waarvoor de patiënt is ingeschreven. De volledige lijst van gegevens die voor uw organisatie worden verwerkt, staat vermeld in de overeenkomst voor gegevensverwerking.
Wie beheert de gegevens?
De persoonsgegevens die door Luscii namens haar klanten worden verwerkt, blijven altijd onder controle van de zorgverlener, die de aangewezen Gegevensverwerker is. Luscii is de Gegevensverwerker.
Waar slaat Luscii je gegevens op?
De gegevens die binnen de Luscii-app worden verwerkt, worden voornamelijk opgeslagen op virtual private servers die worden beheerd door Amazon Web Services (AWS). AWS is ISO9001, ISO27001, ISO27017, ISO27018 gecertificeerd wat ruime veiligheidsgaranties biedt. Gegevens, waaronder gevoelige persoonlijk identificeerbare informatie (of 'PII'), worden fysiek opgeslagen in AWS-datacenters in Frankfurt (Duitsland). Het delen van gegevensuitvoer, inclusief gevoelige PII, op verzoek van de klant gebeurt via Google-servers die zich uitsluitend in de Europese Economische Ruimte bevinden.
Naast AWS gebruikt Luscii andere subverwerkers om onze diensten te leveren en bepaalde persoonsgegevens te verwerken. Wij zorgen ervoor dat de persoonsgegevens die door subverwerkers worden verwerkt, correct en in overeenstemming met de toepasselijke wetgeving worden behandeld. Daartoe hebben we gegevensverwerkingsovereenkomsten (DPA's) gesloten met al onze subverwerkers.
Luscii geeft in sommige gevallen gegevens door buiten de Europese Economische Ruimte (EER). Naast het afsluiten van contracten met subverwerkers door middel van Standaard Contractuele Clausules (SCC's), eist Luscii dat deze subverwerkers bijkomende waarborgen hebben geïmplementeerd. Bij de overdracht van persoonsgegevens buiten de EER controleert Luscii geval per geval en in samenwerking met de subverwerkers of zij voor de persoonsgegevens een beschermingsniveau garanderen dat gelijkwaardig is aan de bescherming binnen de EER.
Hieronder vindt u een lijst van diensten die Luscii gebruikt:
| Bedrijf | Gevoelige Persoonsgegevens | Doorgifte buiten EER? | SCC's? | Beveiligingsmaatregelen |
|---|---|---|---|---|
| Amazon Web Services (AWS) | Ja | Nee | N.V.T. | https://aws.amazon.com/products/security/ |
| Branch Metrics | Nee | Ja | Ja | https://branch.io/security/ |
| Google Firebase / Analytics | Nee | Ja | Ja | https://firebase.google.com/support/privacy?authuser=0 |
| Google Workspace | Ja | Nee | N.V.T. | https://services.google.com/fh/files/misc/google-cloud-security-foundations-guide.pdf |
| Hubspot | Ja | Nee | N.A. | https://legal.hubspot.com/security |
| Instatus | Nee | Ja | Ja | https://instatus.com/policies/security |
| Notion | Nee | Ja | Ja | https://www.notion.so/security |
| Omron Academy | Nee | Ja | Ja | https://www.omron-healthcare.com/privacy-policy |
| Productboard | Nee | Ja | Ja | https://www.productboard.com/product/security/ |
| Rocket Science Group | Nee | Ja | Ja | https://mailchimp.com/about/security/ |
| Slack | Nee | Ja | Ja | https://slack.com/trust/security |
| Vidyo | Nee | Nee | N.A. | vidyo.com/videoconferencing-oplossingen/product/desktop-video-calling/secure-videoconferencing |
| Voys | Nee | Nee | N.V.T. | https://www.voys.nl/security-responsible-disclosure/ |
| Zapier | Nee | Ja | Ja | https://zapier.com/help/account/data-management/data-privacy-at-zapier |
| Zivver | Ja | Nee | N.A. | https://www.zivver.com/security |
Aan welke bewaartermijnen houdt Luscii zich als het gaat om persoonsgegevens?
Als standaardinstelling bewaart Luscii de persoonsgegevens die in het Luscii Platform zijn verwerkt tot twee jaar na het einde van het contract met de zorgverlener. De zorgorganisatie kan Luscii opdragen om alternatieve bewaartermijnen te hanteren als onderdeel van de gegevensverwerkingsovereenkomst. Na afloop van de bewaartermijn zal Luscii de persoonsgegevens overdragen aan de zorgorganisatie en de persoonsgegevens definitief verwijderen. De zorgorganisatie is verantwoordelijk voor het bewaren van persoonsgegevens in de medische dossiers in overeenstemming met de geldende (zorg)wetgeving.
Wie heeft toegang tot de gegevens?
Toegang tot informatie wordt altijd verleend op een 'need-to-know' basis en wordt regelmatig herzien volgens het principe van ISO 27001 over toegangsrechten. Alle werknemers krijgen training over dataprivacy en -beveiliging.
De ingenieurs van Luscii hebben volledige toegang tot onze databases. Dit is nodig voor de ontwikkeling en het onderhoud van onze systemen. Alle ingenieurs hebben een bachelor- en/of masterdiploma in computerwetenschappen of een verwante discipline en hebben een geheimhoudingsverklaring ondertekend.
Medewerkers met specifieke ondersteunende rollen hebben toegang tot de informatie van uw gebruikers (patiënten en zorgverleners) om hen te helpen bij het gebruik van het platform.
Alle andere medewerkers hebben in de regel geen toegang tot de informatie van uw gebruikers.
Hoe worden gegevens gedeeld met betrekking tot EMR integratie?
Wanneer de Luscii App is ingesteld om te integreren met je EMR software, zijn er twee gegevensstromen:
- Patiëntinformatie (naam, geboortedatum, etc.) van het EMR naar de Luscii App voor het onboarden van de patiënt. Dit is beveiligd met TLS (https) en geauthenticeerd met SAML.
- Waarschuwingen en metingen van de Luscii App naar het EMR, beveiligd met TLS (https) en geverifieerd met SAML.
We werken nauw samen met EMR-leveranciers om onze producten op een verantwoorde en veilige manier te integreren.
Kan Luscii een DPIA verzorgen?
Onder de Algemene Verordening Gegevensbescherming (GDPR) is een gegevensbeheerder verplicht om een gegevensverwerkingseffectbeoordeling (DPIA) uit te voeren wanneer een voorgenomen gegevensverwerkingsactiviteit waarschijnlijk zal leiden tot een hoog risico voor de rechten en vrijheden van personen. Luscii verwerkt de persoonsgegevens van patiënten als gegevensverwerker. De zorgverleners afzonderlijk treden op als gegevensbeheerder. We hebben een DPIA factsheet ontwikkeld om onze klanten te helpen aan deze verplichting te voldoen. Dit document is op verzoek verkrijgbaar.
Hoe worden datalekken opgespoord en aangepakt?
We gebruiken de volgende opzet voor logging, monitoring en auditsystemen: Kibana logging, AWS CloudTrail en AWS CloudWatch. Hierdoor kunnen we snel detecteren wanneer zich een datalek heeft voorgedaan.
In het geval van een datalek voldoen we aan de GDPR-vereisten: Luscii zal de getroffen zorgorganisaties zonder onnodige vertraging op de hoogte stellen van een inbreuk in verband met persoonsgegevens nadat ze zich ervan bewust zijn geworden en waar haalbaar niet later dan 24 uur na het lek.
Bezoekers van de website en sollicitanten
Alle informatie over gegevensverwerking door Luscii als een Data Controller kan hier gevonden worden in de Privacyverklaring.