Ga naar inhoud

Subverwerkersregister

Laatst bijgewerkt: 2 juni 2026

Dit register bevat alle subverwerkers die Remedice inschakelt bij de verwerking van persoonsgegevens in opdracht van de verwerkingsverantwoordelijke (de apotheek). Dit register is een bijlage bij de verwerkersovereenkomst.

Overzicht subverwerkers

Subverwerker Vestiging Verwerkingslocatie Doel Categorieen gegevens Waarborgen
Amazon Web Services EMEA SARL Luxemburg EU (eu-central-1, Frankfurt) Hosting (compute, database via Aurora Serverless v2), objectopslag (S3), versleuteling (KMS), audit logging (CloudWatch). AI-verwerking via Amazon Bedrock (Claude Sonnet 4.6 en Haiku 4.5 voor Atlas-chat, medicatiebeoordeling-samenvatting en werkafspraken-podcast script), Bedrock Knowledge Bases met Aurora pgvector backing voor retrieval op publieke kennisbank, Titan Text Embeddings v2 voor ingestie (geen reranker). AWS Transcribe voor nl-NL streaming transcriptie van anamnese-gesprekken. De spraaksynthese van de werkafspraken-podcast loopt niet via AWS maar via Google Cloud (zie aparte regel hieronder). Alle categorieen verwerkte gegevens, inclusief chatberichten, audio-opnames van anamnese-gesprekken (transient), transcripten (gepseudonimiseerd), medicatielijsten en klinische context. Voor Atlas optioneel: gepseudonimiseerde patientcontext (leeftijdsbucket, geslacht, medicatie, contra-indicaties, labwaarden) ten behoeve van RAG-retrieval; geen direct identificerende velden. AWS Data Processing Addendum, AWS Customer Agreement, AWS Service Terms incl. AI/ML-specifieke clausules (geen training op klantdata bij Bedrock by default), Standard Contractual Clauses (SCCs), ISO 27001, ISO 27017, ISO 27018, SOC 2, C5. EU-residency afgedwongen door region-pinning op eu-central-1. Bedrock model invocation logging staat UIT. Geen prompt logging, geen training. AWS Transcribe heeft geen audio-retention na sessie-einde.
Google Cloud EMEA Limited Ierland EU (europe-west4, Nederland) Uitsluitend tekst-naar-spraak (Cloud Text-to-Speech, Chirp 3 HD) voor het omzetten van werkafspraken-podcastscripts naar audio. Geen patientdata-verwerking: werkafspraken zijn interne workflow-procedures. De applicatie weigert input met BSN, telefoonnummer, e-mailadres, postcode of geboortedatum vóór verzending en waarschuwt de gebruiker bij het genereren geen persoonsgegevens in de tekst op te nemen. Werkafspraak-scripttekst (workflow-procedures). Geen patientgegevens, geen bijzondere persoonsgegevens. Google Cloud Data Processing Addendum, SCCs, ISO 27001, ISO 27017, ISO 27018, SOC 2/3. EU-residency op europe-west4. Geen training op klantdata.
Stripe Inc. VS (San Francisco, CA) VS/EU Betalingsverwerking en facturatie Facturatiegegevens: naam, adres, e-mail, betaalmethode Stripe DPA, PCI-DSS Level 1, SCCs, SOC 2
Functional Software, Inc. (Sentry) VS (San Francisco, CA) EU (Frankfurt, sentry.io EU-instance) Foutmonitoring en exception-tracking voor de backend en mobiele app Stacktraces, exception-class, niet-PII tags. PII-scrubbing actief; gebruikers worden uitsluitend via een interne UUID gerefereerd, geen patientdata. Sentry DPA, SCCs, SOC 2, ISO 27001
650 Industries, Inc. (Expo) VS (Palo Alto, CA) VS Doorgifte van pushnotificaties naar mobiele apparaten via de Expo Push Notification Service (proxy naar APNs en FCM) Push-tokens en notificatietekst (titel/body). Notificatieteksten zijn generiek geformuleerd; patientidentifiers worden vooraf uit de body en title verwijderd (zie DPIA). De vervolgketen van Expo (48+ subverwerkers, gepubliceerd op expo.dev/privacy/subprocessors) bevat onder andere AWS, Apple, Google, Cloudflare en Sentry. Expo Terms of Service sectie 3.2 (GDPR) met SCCs (Commission Decision C/2021/3972) ingebed; geen separate ondertekenflow vereist. EU-U.S. Data Privacy Framework.
Postbode B.V. Nederland EU (NL) Print en fysieke verzending van patientuitnodigingen voor medicatiebeoordeling Naam en postadres van de patient (geen klinische gegevens op de brief) Verwerkersovereenkomst, ISO 27001, ACM-registratie als postvervoerder
Bird B.V. (voorheen MessageBird B.V.) Nederland (Amsterdam) EU Verzending van transactionele SMS: eenmalige verificatiecodes (OTP) aan apotheekmedewerkers tijdens onboarding en uitnodigingen aan patienten voor een medicatiebeoordeling (bevestigen of afmelden). Eenrichtingsverkeer onder de alfanumerieke afzender "Remedice". Telefoonnummer (E.164) van de medewerker of patient en de berichttekst. De OTP-tekst bevat uitsluitend een verificatiecode; de uitnodigingstekst bevat de apotheeknaam, de voornaam van de patient en een eenmalige bevestig- of afmeldlink. Geen klinische gegevens. Bird Data Processing Agreement (versie 21 november 2024), ISO 27001, SCCs voor eventuele doorgifte buiten de EU (DPA artikel 9), geautomatiseerde dataverwijdering. Afleverstatus wordt niet naar applicatielogs geschreven, zodat telefoonnummers niet in de logs belanden.
Cloudflare, Inc. VS (San Francisco, CA) Wereldwijd edge-netwerk Bot- en misbruikbescherming (Turnstile) op het registratieformulier en het contactformulier. De server valideert het challenge-token bij Cloudflare voordat een aanvraag wordt verwerkt. IP-adres en een tijdelijk challenge-token van de bezoeker. Het token is eenmalig en wordt niet opgeslagen; geen patient- of accountgegevens. Cloudflare DPA, SCCs, EU-U.S. Data Privacy Framework, ISO 27001, SOC 2
Kamer van Koophandel (KvK) Nederland EU (NL) Verificatie van het opgegeven KvK-nummer tijdens onboarding via de publieke Handelsregister-API. KvK-nummer en de bijbehorende bedrijfsnaam (bedrijfsregistratie). Geen patient- of medewerkergegevens. Publieke overheidsbron; verwerking binnen NL. Bij storing valt onboarding fail-open terug op een lokale uniciteitscontrole.
National Center for Biotechnology Information (NCBI/PubMed) VS (NIH) VS Ophalen van wetenschappelijke literatuurreferenties voor Atlas. Uitsluitend gesanitiseerde zoektermen. Geen persoonsgegevens, geen patientgegevens en geen vrije chatinhoud worden naar PubMed verzonden. Publieke API van de Amerikaanse overheid (NIH). Verwerking bevat geen persoonsgegevens, dus geen doorgiftewaarborg vereist.

AWS documentatie

Voor AWS gelden de contractuele waarborgen uit het officiële AWS Data Processing Addendum en de AWS Customer Agreement.

De AWS Data Processing Addendum PDF kan niet inline worden weergegeven. Open het document via aws-dpa.pdf.

Bird documentatie

Voor Bird (voorheen MessageBird) gelden de contractuele waarborgen uit het Bird Data Processing Agreement (versie 21 november 2024), dat onderdeel is van de bij aanmelding aanvaarde voorwaarden.

De Bird Data Processing Agreement PDF kan niet inline worden weergegeven. Open het document via bird-dpa-02062026.pdf.

Toelichting doorgifte buiten de EU

Voor subverwerkers gevestigd in de Verenigde Staten (Stripe, Sentry, Expo, Cloudflare) zijn de volgende aanvullende waarborgen getroffen:

  1. Standard Contractual Clauses (SCCs): Overeenkomsten conform het besluit van de Europese Commissie van 4 juni 2021 (Uitvoeringsbesluit 2021/914).
  2. Data Processing Agreements (DPAs): Specifieke verwerkersovereenkomsten met elke subverwerker.
  3. Dataminimalisatie: Stripe ontvangt uitsluitend facturatiegegevens (geen klinische data). Sentry ontvangt stacktraces en niet-PII tags; PII-scrubbing is geactiveerd en gebruikers worden uitsluitend via een interne UUID gerefereerd.
  4. Zero retention bij AWS Bedrock en Transcribe: Bedrock verwerkt prompts en responses uitsluitend transient (model invocation logging UIT, AI-training opt-out by default). AWS Transcribe heeft geen audio-retention na sessie-einde. Geen Cross-region inferentie buiten EU.
  5. EU-residency AWS: alle AI- en dataverwerking gepind op eu-central-1 (Frankfurt). Bedrock cross-region inference blijft binnen de EU-regio's. Bewijs in AWS Regions.
  6. Gepseudonimiseerde patientdata: directe identifiers (BSN, telefoonnummer, e-mailadres, postcode, geboortedatum) worden via een deterministische regex-pass verwijderd uit transcripten voordat downstream LLM-calls plaatsvinden. Er wordt bewust geen LLM-redactiepas toegepast, omdat die de PII-bevattende tekst eerst naar een model zou sturen; de subverwerker-grens zelf (Bedrock in de EU, AWS DPA, geen training, geen retentie) is hier de waarborg. Voor de Atlas patientcontext geldt een vaste allowlist (features/atlas/patient_context.py): uitsluitend leeftijdsbucket (5-jaars + 90+ cap), geslacht, medicatie (naam/ATC/dosering), contra-indicaties (ICPC + omschrijving) en labwaarden (code/waarde/eenheid/datum) komen in de payload. Naam, geboortedatum, BSN en analyses (STOPP/START output) gaan nooit mee.

Subverwerker-set voor AI: alle patientdata-verwerking loopt via AWS (LLM via Bedrock, RAG via Bedrock Knowledge Bases, spraak-naar-tekst via Transcribe) en AWS verzorgt hosting, opslag, versleuteling en logging. Google Cloud blijft één AI-subverwerker, uitsluitend voor tekst-naar-spraak van de werkafspraken-podcast, waarbij geen patientgegevens worden verwerkt. Geen Microsoft/Azure, geen OpenAI als AI-subverwerker.

Wijzigingen in subverwerkers

Remedice informeert de verwerkingsverantwoordelijke ten minste 14 dagen voorafgaand aan het inschakelen van een nieuwe subverwerker of het wijzigen van het doel van een bestaande subverwerker. De verwerkingsverantwoordelijke kan binnen deze termijn bezwaar maken conform de procedure in de verwerkersovereenkomst.

Verzoek tot inzage

De verwerkingsverantwoordelijke kan op elk moment een actuele kopie van dit register opvragen via privacy@remedice.nl.