Verwerkingsregister (AVG Art. 30)
Laatst bijgewerkt: 2 juni 2026
Dit register beschrijft alle structurele verwerkingen van persoonsgegevens door Remedice, in de hoedanigheid van verwerker ten behoeve van de verwerkingsverantwoordelijke (de apotheek).
Verwerker
Naam: Remedice B.V.
Contactgegevens: privacy@remedice.nl
Overzicht van verwerkingen
1. Gebruikersbeheer en authenticatie
| Veld |
Waarde |
| Doel |
Toegang verlenen, sessies beheren, authenticatie uitvoeren, trusted devices registreren en gevoelige acties beschermen met step-up herauthenticatie |
| Categorieen betrokkenen |
Medewerkers van de apotheek |
| Categorieen gegevens |
Naam, e-mailadres, telefoonnummer, geboortedatum, rollen, gehashte wachtwoorden, TOTP-secrets, device-registraties, IP-adressen. Optioneel: een gekoppelde externe identiteit (ZORG-ID, Google of Apple) als OIDC-inlogmethode; per provider worden alleen de subject-identifier en het e-mailadres bewaard. Er wordt geen BIG verwerkt en geen RIBIZ/BIG-register lookup gedaan. |
| Rechtsgrond |
Art. 6 lid 1 sub b (uitvoering overeenkomst) |
| Ontvangers |
Geen (intern verwerkt). Bij een optionele OIDC-koppeling: de gekozen identity provider (ZORG-ID, Google of Apple). |
| Doorgifte buiten EU |
Nee voor de kernverwerking. Bij een optionele Google- of Apple-koppeling vindt authenticatie plaats bij die provider (VS) met SCCs en EU-U.S. DPF. |
| Bewaartermijn |
Duur van het account + 30 dagen na deactivatie (soft delete). JWT-tokens: access 30 min, refresh 12 uur glijdend met een absolute maximumduur van 7 dagen. Verlopen tokens dagelijks opgeschoond. |
| Beveiligingsmaatregelen |
Wachtwoord-hashing (PBKDF2), verplichte 2FA (TOTP), step-up herauthenticatie (verse TOTP of biometrie op een trusted device) voor toegang tot patientgegevens en gevoelige acties, rate limiting, brute-force-lockout, tenant-isolatie en audit logging |
2. Profiel en voorkeuren
| Veld |
Waarde |
| Doel |
Privacyinstellingen, profielfoto, notificatievoorkeuren en teamzichtbaarheid beheren |
| Categorieen betrokkenen |
Medewerkers van de apotheek |
| Categorieen gegevens |
Profielfoto (avatar URL), push/e-mail/webpush-voorkeuren, zichtbaarheidsinstellingen (telefoon, e-mail, verjaardag, werkdagen) |
| Rechtsgrond |
Art. 6 lid 1 sub b (uitvoering overeenkomst) |
| Ontvangers |
Collega's binnen dezelfde tenant (voor teamzichtbaarheid, conform gebruikersinstelling) |
| Doorgifte buiten EU |
Nee |
| Bewaartermijn |
Duur van het account. Verwijderd bij accountdeactivatie. |
| Beveiligingsmaatregelen |
Tenant-isolatie, RBAC, privacy-instellingen per gebruiker |
3. Medicatiebeoordeling
| Veld |
Waarde |
| Doel |
Ondersteuning van de apotheker bij het uitvoeren van medicatiebeoordelingen |
| Categorieen betrokkenen |
Patienten van de apotheek |
| Categorieen gegevens |
Patientnaam en geboortedatum (versleuteld), medicatiehistorie (geneesmiddelnamen, ATC-codes, doseringen, start-/stopdatums), contra-indicaties (ICPC-codes), allergieen (ATC-codes), labwaarden (code, waarde, eenheid, datum), analyseresultaten (JSON), notities apotheker, auditgegevens |
| Bijzondere categorie |
Ja - gezondheidsgegevens (Art. 9 lid 2 sub h) |
| Rechtsgrond |
Art. 6 lid 1 sub b (uitvoering overeenkomst) + Art. 9 lid 2 sub h (gezondheidszorg) |
| Ontvangers |
Geautoriseerde medewerkers van de apotheek (via RBAC) |
| Doorgifte buiten EU |
Nee (verwerking in AWS eu-central-1) |
| Bewaartermijn |
Maximaal 3 meest recente reviews per patient in database. Oudere reviews gearchiveerd naar S3 (EU). Definitieve bewaartermijn conform bewaarbeleid van de apotheek (WGBO: 20 jaar). |
| Beveiligingsmaatregelen |
Veldversleuteling (Fernet/AES-128-CBC + HMAC-SHA256), tenant-isolatie, RBAC, audit logging, S3-versleuteling (KMS/AES-256-GCM) |
4. Atlas Chat
| Veld |
Waarde |
| Doel |
Beantwoording van farmaceutische informatievragen op basis van richtlijnen en literatuur (RAG-zoektool, geen klinische analyse). Vanuit de PatientDetail-sidebar optioneel verrijkt met gepseudonimiseerde patientcontext om relevantere bronnen te selecteren. |
| Categorieen betrokkenen |
Medewerkers van de apotheek; bij gebruik van patientcontext indirect ook patienten (gepseudonimiseerd, geen direct identificerende velden). |
| Categorieen gegevens |
Chatberichten (vraag en antwoord), threadmetadata, bronverwijzingen. Optioneel meegestuurde patientcontext (allowlist): leeftijdsbucket (5-jaars + 90+ cap), geslacht, medicatie (naam + ATC + dosering), contra-indicaties (ICPC + omschrijving), labwaarden (code + waarde + eenheid + datum). Audit-velden op ReviewChatMessage: pseudo-id (review-id of patient-uuid), keys van meegestuurde velden, bron-module. |
| Bijzondere categorie (Art. 9) |
Bij gebruik van patientcontext: ja - gezondheidsgegevens (gepseudonimiseerd). Rechtsgrond Art. 9 lid 2 sub h. |
| Rechtsgrond |
Art. 6 lid 1 sub b (uitvoering overeenkomst). Bij patientcontext aanvullend Art. 9 lid 2 sub h (gezondheidszorg). |
| Ontvangers |
Amazon Web Services EMEA SARL (Amazon Bedrock, Claude Sonnet 4.6 en Haiku 4.5, voor RAG-zoekantwoorden). Voor literatuurreferenties wordt NCBI/PubMed (NIH) bevraagd met uitsluitend gesanitiseerde zoektermen; geen chatinhoud, persoons- of patientgegevens. |
| Doorgifte buiten EU |
Nee. Bedrock-verwerking via EU cross-region inference (eu-central-1 plus EU-fallback-regio's). Waarborgen: AWS DPA, contractuele zero data retention, geen modeltraining. |
| Bewaartermijn |
30 dagen in database, dag 31-90 in versleutelde S3 (warm archief), dag 91 tot 10 jaar in onwijzigbare S3 (compliance archief, KMS-versleuteld, Object Lock COMPLIANCE mode). Audit-velden van patientcontext volgen dezelfde retentie als de bijbehorende ReviewChatMessage. |
| Beveiligingsmaatregelen |
Tenant-isolatie, token-limiet per 24 uur, KMS-versleuteling, immutable compliance-opslag. Patientcontext: vaste allowlist op server (features/atlas/patient_context.py), per-user toggle + tenant-brede kill-switch (Apotheek.atlas_patient_context_enabled), server is autoriteit. |
5. Facturatie en onboarding
| Veld |
Waarde |
| Doel |
Registratie van apotheken, abonnementsbeheer, facturatie |
| Categorieen betrokkenen |
Beheerders/tekenbevoegden van de apotheek |
| Categorieen gegevens |
KvK-nummer, apotheeknaam, adresgegevens, factuure-mailadres, beheerdernaam, betaalgegevens (via Stripe, niet opgeslagen door Remedice). Tijdens onboarding tijdelijk: IP-adres en een eenmalig Turnstile-token. |
| Rechtsgrond |
Art. 6 lid 1 sub b (uitvoering overeenkomst) |
| Ontvangers |
Stripe (betalingsverwerking), Kamer van Koophandel (verificatie KvK-nummer), Cloudflare (Turnstile bot-bescherming op het registratieformulier) |
| Doorgifte buiten EU |
Ja - Stripe (VS/EU) en Cloudflare (VS/wereldwijd edge). Waarborgen: PCI-DSS, SCCs, DPA, EU-U.S. DPF. KvK-verificatie blijft in NL. |
| Bewaartermijn |
7 jaar (fiscale bewaarplicht). Onboarding-sessies: 24 uur (automatisch opgeschoond). Het Turnstile-token wordt niet bewaard. |
| Beveiligingsmaatregelen |
Stripe verwerkt betaalkaartgegevens (PCI-DSS Level 1). Remedice slaat geen kaartnummers op. Turnstile en IP-rate-limiting beschermen het registratieformulier; KvK-verificatie valt bij storing fail-open terug op een lokale uniciteitscontrole. |
6. Nieuws en werkafspraken
| Veld |
Waarde |
| Doel |
Interne informatievoorziening en protocolbeheer binnen de apotheek |
| Categorieen betrokkenen |
Medewerkers van de apotheek |
| Categorieen gegevens |
Berichtinhoud, documenten, media-uploads, auteursmetadata. Voor de werkafspraken-podcast: scripttekst en gegenereerde audio (interne workflow-procedures, geen patientdata) |
| Rechtsgrond |
Art. 6 lid 1 sub b (uitvoering overeenkomst) |
| Ontvangers |
Collega's binnen dezelfde tenant. Voor de werkafspraken-podcast: Google Cloud EMEA Limited (Cloud Text-to-Speech, Chirp 3 HD) voor de spraaksynthese van het podcast-script |
| Doorgifte buiten EU |
Nee. De werkafspraken-podcast-TTS loopt via Google Cloud in europe-west4 en verwerkt geen patientdata. Waarborgen: DPA, SCCs |
| Bewaartermijn |
Zolang inhoud operationeel relevant is. Verlopen nieuwsberichten dagelijks opgeschoond. |
| Beveiligingsmaatregelen |
Tenant-isolatie, RBAC, S3-opslag met toegangscontrole |
7. Audit logging
| Veld |
Waarde |
| Doel |
Beveiliging, herleidbaarheid, toezicht en compliance (NEN 7513) |
| Categorieen betrokkenen |
Medewerkers van de apotheek, patienten (indirect, via acties op hun gegevens) |
| Categorieen gegevens |
Gebruikers-ID, e-mailadres, actie, tijdstip, IP-adres, resource-type en -ID, ernst, metadata |
| Rechtsgrond |
Art. 6 lid 1 sub c (wettelijke verplichting, NEN 7513) en sub f (gerechtvaardigd belang: beveiliging) |
| Ontvangers |
Geen (intern verwerkt, opgeslagen in AWS CloudWatch) |
| Doorgifte buiten EU |
Nee (AWS eu-central-1) |
| Bewaartermijn |
365 dagen live in CloudWatch, daarna tot 20 jaar in een onwijzigbaar S3 Object Lock-archief (governance). Dekt NEN 7513 (minimaal 5 jaar patienttoegang) en WGBO (20 jaar, art. 7:454 BW) |
| Beveiligingsmaatregelen |
Append-only logging (CloudWatch), per-tenant logstreams, toegangsbeperking |
8. Pushnotificaties
| Veld |
Waarde |
| Doel |
Verzenden van meldingen naar medewerkers (mobiel en web) |
| Categorieen betrokkenen |
Medewerkers van de apotheek |
| Categorieen gegevens |
Push-tokens (Expo/VAPID), device-informatie, notificatie-inhoud |
| Rechtsgrond |
Art. 6 lid 1 sub b (uitvoering overeenkomst) |
| Ontvangers |
Expo (push gateway, mobiel), browser vendor (web push via VAPID) |
| Doorgifte buiten EU |
Ja - Expo (VS), browser vendors. Beperkt tot push-tokens en notificatietekst. |
| Bewaartermijn |
Push-tokens: duur van de device-registratie |
| Beveiligingsmaatregelen |
VAPID-sleutelpaar, device-specifieke tokens |
9. Foutmonitoring (Sentry)
| Veld |
Waarde |
| Doel |
Detectie en diagnose van technische fouten in de productie- en stagingomgeving |
| Categorieen betrokkenen |
Medewerkers van de apotheek (indirect, via geactiveerde codepaden) |
| Categorieen gegevens |
Stack trace, exception-klasse, requestpad zonder body, omgevings- en releasetag, optionele gebruikers-ID en tenant-tag (handmatig gezet, geen e-mail of IP) |
| Rechtsgrond |
Art. 6 lid 1 sub f (gerechtvaardigd belang: stabiliteit en beveiliging van de dienst) |
| Ontvangers |
Functional Software, Inc. (Sentry), uitsluitend toegankelijk voor het Remedice-engineering-team |
| Doorgifte buiten EU |
Nee, mits de productie-DSN naar de EU-instance (*.ingest.de.sentry.io) verwijst. PII-doorgifte is uitgeschakeld via send_default_pii=False; performance tracing staat op 0%. |
| Bewaartermijn |
30 dagen voor exception-events (Sentry-default voor het gekozen plan) |
| Beveiligingsmaatregelen |
DSN als secret, send_default_pii=False, traces_sample_rate=0.0, scrubbing van requestbody en headers, toegang via SSO met 2FA |