Privacyverklaring

1. INLEIDING

KraamPortaal (hierna: "KraamPortaal", "wij" of "ons") hecht grote waarde aan de bescherming van uw persoonsgegevens en respecteert uw privacy. In deze privacyverklaring leggen wij uit welke persoonsgegevens wij verzamelen, waarom wij deze verzamelen, hoe wij deze gebruiken, hoe lang wij deze bewaren en welke rechten u heeft.

Deze privacyverklaring is van toepassing op:

• Het gebruik van het KraamPortaal platform (www.kraamportaal.nl);
• Alle bezoekers van onze website;
• Alle gebruikers (kraamverzorgenden) die een Account hebben;
• Alle cliëntgegevens die gebruikers in het platform invoeren.

2. VERWERKINGSVERANTWOORDELIJKE EN CONTACTGEGEVENS

KraamPortaal
Doctor R.J. Fruinplantsoen 8
2552 LH 's-Gravenhage
Nederland

KvK-nummer: 90011635
E-mailadres: info@kraamportaal.nl
Website: www.kraamportaal.nl

KraamPortaal voldoet aan de Algemene Verordening Gegevensbescherming (AVG / GDPR).

3. ROLVERDELING ONDER DE AVG

Het is belangrijk te begrijpen dat KraamPortaal verschillende rollen vervult afhankelijk van het type persoonsgegevens:

3.1 KraamPortaal als Verwerkingsverantwoordelijke

Voor accountgegevens van gebruikers (kraamverzorgenden die het platform gebruiken) is KraamPortaal de verwerkingsverantwoordelijke. Dit betekent dat wij bepalen waarom en hoe deze gegevens worden verwerkt.

Dit betreft:

• Registratiegegevens (naam, e-mail, telefoonnummer, bedrijfsnaam)
• Accountinformatie (inloggegevens, abonnement, betalingsgeschiedenis)
• Gebruiksstatistieken (inloggedrag, gebruik functionaliteiten)
• Technische gegevens (IP-adres, cookies, browsergegevens)

3.2 KraamPortaal als Verwerker

Voor cliëntgegevens die kraamverzorgenden in het platform invoeren, is:

• De kraamverzorgende (gebruiker) de verwerkingsverantwoordelijke
• KraamPortaal de verwerker

Dit betekent dat de kraamverzorgende bepaalt welke cliëntgegevens worden verzameld, waarom en hoe lang. KraamPortaal verwerkt deze gegevens alleen namens de kraamverzorgende en volgens diens instructies.

Dit betreft:

• Alle gegevens van cliënten die de kraamverzorgende invoert
• Intakeformulieren en medische aantekeningen
• Zwangerschapsinformatie en zorggegevens
• Documenten en communicatie met cliënten

Belangrijk: Als u een cliënt bent van een kraamverzorgende die gebruik maakt van ons platform, is uw kraamverzorgende verantwoordelijk voor de verwerking van uw gegevens, niet KraamPortaal. Voor vragen over uw gegevens dient u zich te richten tot uw kraamverzorgende.

De afspraken tussen KraamPortaal en kraamverzorgenden over de verwerking van cliëntgegevens zijn vastgelegd in de Verwerkersovereenkomst.

4. WELKE PERSOONSGEGEVENS VERZAMELEN WIJ?

4.1 Accountgegevens (Gebruikers/Kraamverzorgenden)

Wanneer u een Account aanmaakt, verzamelen wij:

Verplichte gegevens:

• Voor- en achternaam
• E-mailadres
• Telefoonnummer
• Bedrijfsnaam
• Bedrijfsadres
• KvK-nummer
• Wachtwoord (gehashed opgeslagen)

Optionele gegevens:

• BIG-nummer (voor verificatie beroepsbevoegdheid)
• Profielfoto en bedrijfslogo
• Website en social media links

Abonnements- en betalingsgegevens:

• Gekozen abonnement en tariefplan
• Betalingsmethode (via externe betalingsprovider Mollie)
• Factuurgeschiedenis en betalingsstatus
• IBAN (alleen bij Mollie, niet bij KraamPortaal opgeslagen)

4.2 Technische Gegevens

Bij gebruik van de website en het platform verzamelen wij automatisch:

• IP-adres (voor beveiliging en bij document ondertekening)
• Browsertype en -versie (Chrome, Firefox, Safari, etc.)
• Apparaatinformatie (desktop, tablet, smartphone)
• Datum en tijd van acties (voor audit trail)
• Bezochte pagina's en gebruikte functionaliteiten
• Sessiegegevens (login-sessies, tijdsduur)

4.3 Cookies en Tracking

Wij gebruiken cookies en vergelijkbare technologieën (zie artikel 12 voor details). Deze verzamelen gegevens over uw surfgedrag en voorkeuren.

4.4 Cliëntgegevens (namens Gebruiker)

Gebruikers voeren zelf cliëntgegevens in. Deze kunnen omvatten:

Persoonsgegevens:

• NAW-gegevens (naam, adres, woonplaats)
• Geboortedatum en leeftijd
• Telefoonnummer en e-mailadres
• BSN (indien door gebruiker ingevuld)
• Partner- en gezinsgegevens

Bijzondere persoonsgegevens (gezondheidsgegevens - artikel 9 AVG):

• Zwangerschapsinformatie (à-terme datum, verloskundige, ziekenhuis)
• Medische aandachtspunten en risico's
• Gezondheidshistorie moeder en baby
• Verzekeringsinformatie en polisnummer
• Bevallingsverloop en kraamperiode
• Notities over zorgverlening

Let op: KraamPortaal verwerkt deze gegevens uitsluitend op instructie van de gebruiker (verwerkingsverantwoordelijke). De gebruiker bepaalt welke gegevens worden ingevoerd en is verantwoordelijk voor de rechtmatigheid daarvan. KraamPortaal kijkt niet actief mee in cliëntdossiers, behalve wanneer dit noodzakelijk is voor technische ondersteuning of bij wettelijke verplichting.

4.5 Leadgegevens (via Widgets)

Wanneer potentiële cliënten zich aanmelden via een widget op de website van een kraamverzorgende verzamelen wij:

Verplichte gegevens:

• Naam (voor- en achternaam)
• Geboortedatum en à-terme datum
• Nationaliteit en spreektaal
• Adresgegevens (postcode, huisnummer, straat, woonplaats)
• Contactgegevens (e-mail en telefoon)
• Verzekeraar
• Toestemming voor gegevensverwerking en algemene voorwaarden

Optionele gegevens:

• BSN (Burgerservicenummer) en verzekeringspolisnummer
• Verloskundige informatie (naam en locatie bevalling)
• Hoeveelste kind
• Aanvullende informatie en bijzonderheden
• Referral source (hoe gevonden)

Deze gegevens worden direct aan de betreffende kraamverzorgende verstrekt (de verwerkingsverantwoordelijke). KraamPortaal functioneert hierbij als tussenpersoon voor het verzenden van de leadgegevens en bewaart deze niet langer dan noodzakelijk voor het doorsturen naar de kraamverzorgende.

4.6 Communicatiegegevens

• E-mails uitgewisseld met onze support
• Supporttickets en berichten
• Feedback en enquêtes
• Klachten en meldingen

5. WAAROM VERWERKEN WIJ UW GEGEVENS?

Wij verwerken persoonsgegevens alleen voor specifieke, uitdrukkelijke en legitieme doeleinden:

5.1 Voor Accountgegevens (Gebruikers)

5.2 Voor Cliëntgegevens (namens Gebruiker)

Wij verwerken cliëntgegevens uitsluitend op instructie van de gebruiker (verwerkingsverantwoordelijke) en alleen ten behoeve van:

• Het leveren van de overeengekomen diensten (platform beschikbaar stellen)
• Technisch onderhoud en back-ups
• Beveiligen van de gegevens

Rechtsgrondslag: Uitvoering verwerkersovereenkomst (art. 28 AVG)

De gebruiker dient zelf een rechtmatige grondslag te hebben voor het verwerken van cliëntgegevens (meestal: toestemming cliënt of uitvoering zorgovereenkomst).

6. MET WIE DELEN WIJ UW GEGEVENS?

6.1 Algemeen Principe

KraamPortaal verkoopt nooit uw persoonsgegevens aan derden voor marketingdoeleinden.

6.2 Subverwerkers (Dienstverleners)

Voor het leveren van onze diensten maken wij gebruik van derden (subverwerkers) die namens ons persoonsgegevens verwerken:

Alle subverwerkers hebben een verwerkersovereenkomst ondertekend en voldoen aan de AVG. Wij selecteren alleen subverwerkers die passende beveiligingsmaatregelen treffen.

Actuele lijst: Een actuele en volledige lijst van subverwerkers is op verzoek beschikbaar via info@kraamportaal.nl.

6.3 Wijziging Subverwerkers

Bij wijziging van subverwerkers informeren wij gebruikers minimaal 30 dagen van tevoren. Gebruikers kunnen binnen deze termijn bezwaar maken.

6.4 Overige Ontvangers

Wij kunnen persoonsgegevens delen met:

Overheidsinstanties en toezichthouders
Indien wettelijk verplicht, bijvoorbeeld:

• Belastingdienst (fiscale gegevens)
• Autoriteit Persoonsgegevens (bij datalekken of onderzoeken)
• Politie/Justitie (bij gerechtelijk bevel)
• Toezichthouders in de zorgsector

Juridische adviseurs
Bij juridische geschillen of procedures (onder geheimhoudingsplicht).

Overnemende partij
Bij fusie, overname of verkoop van (delen van) ons bedrijf (met voorafgaande kennisgeving aan gebruikers).

6.5 Geen Interne Verstrekking

Binnen KraamPortaal hebben alleen geautoriseerde medewerkers toegang tot persoonsgegevens, en alleen voor zover noodzakelijk voor hun functie. Al onze medewerkers zijn gebonden aan geheimhouding.

7. INTERNATIONALE GEGEVENSOVERDRACHT

7.1 Binnen de EER

Persoonsgegevens worden in principe verwerkt en opgeslagen binnen de Europese Economische Ruimte (EER).

7.2 Buiten de EER

Indien verwerking buiten de EER noodzakelijk is (bijvoorbeeld bij gebruik van Amerikaanse cloudproviders), zorgen wij voor passende waarborgen conform artikel 44-49 AVG:

• EU Standaard Contractuele Clausules (SCC's)
• EU-VS Data Privacy Framework (voor gecertificeerde bedrijven)
• Bindende bedrijfsregels (BCR's)
• Adequaatheidsbesluit van de Europese Commissie

Gegevensoverdracht vindt alleen plaats naar landen of organisaties die een passend beschermingsniveau bieden.

7.3 Transparantie

Voor elke overdracht buiten de EER documenteren wij de getroffen waarborgen. Op verzoek verstrekken wij hiervan kopieën.

8. HOE BEVEILIGEN WIJ UW GEGEVENS?

KraamPortaal neemt de beveiliging van persoonsgegevens zeer serieus en heeft passende technische en organisatorische maatregelen getroffen:

8.1 Technische Maatregelen

✅ Encryptie

• TLS/SSL encryptie voor alle data in transit (verbinding tussen browser en server)
• AES-256 encryptie voor data at rest (opgeslagen gegevens in database)
• Extra encryptie voor gevoelige velden (BSN, verzekeringspolisnummer, medische notities)
• Gehashte wachtwoorden met moderne hashing-algoritmes en salt

✅ Toegangscontrole

• Strikte authenticatie (sterk wachtwoord vereist)
• Two-Factor Authenticatie (2FA) beschikbaar en verplicht na 14 dagen
• Automatische uitlog bij inactiviteit

✅ Netwerk- en Infrastructuurbeveiliging

• Firewall-beveiliging op serverniveau
• DDoS-bescherming (via hosting provider)
• Geïsoleerde database-omgeving
• Regelmatige beveiligingsupdates

✅ Back-ups

• Dagelijkse geautomatiseerde encrypted back-ups
• Veilige back-up opslag
• Regelmatige tests van herstel procedures

✅ Monitoring en Logging

• Monitoring van systemen
• Logging van belangrijke acties (login, document ondertekening)
• Geautomatiseerde security alerts bij verdachte activiteit

8.2 Organisatorische Maatregelen

✅ Privacy by Design & by Default

• Privacy ingebouwd in systeemontwerp
• Minimale gegevensverzameling (dataminimalisatie)
• Standaardinstellingen beschermen privacy

✅ Personeelsbeleid

• Geheimhoudingsverklaringen voor alle medewerkers
• Beveiligingstraining en awareness
• Beperkte toegang (need-to-know principle)

✅ Procedures

• Datalek-responsplan
• Incident management procedure
• Regelmatige beveiligingsreviews
• Secure development practices

✅ Evaluatie en Verbetering

• Periodieke security assessments
• Compliance reviews
• Continue verbetering van beveiligingsmaatregelen

8.3 Uw Verantwoordelijkheid

Gebruikers zijn zelf verantwoordelijk voor:

• Het geheimhouden van inloggegevens
• Het kiezen van sterke wachtwoorden
• Het melden van verdachte activiteiten
• Het up-to-date houden van software/browser

9. HOE LANG BEWAREN WIJ UW GEGEVENS?

Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor zij zijn verzameld.

9.1 Accountgegevens (Gebruikers)

9.2 Cliëntgegevens (namens Gebruiker)

Belangrijk: Het is de verantwoordelijkheid van de gebruiker om cliëntgegevens te bewaren conform de Wet op de geneeskundige behandelingsovereenkomst (WGBO) en andere toepasselijke wetgeving. KraamPortaal biedt een exportfunctie waarmee gebruikers hun data kunnen downloaden.

9.3 Technische Gegevens

• Cookies: zie artikel 12 (maximaal 2 uur voor sessies, 5 jaar voor "onthoud mij")
• Login logs: 12 maanden
• Error logs: 30 dagen

9.4 Automatische Verwijdering

Na afloop van de bewaartermijn worden gegevens automatisch en permanent verwijderd, tenzij:

• Wettelijke bewaarplicht anders vereist
• Noodzakelijk voor lopende juridische procedures
• Gegronde redenen van algemeen belang (bijv. volksgezondheid)

10. UW RECHTEN

Op grond van de AVG heeft u de volgende rechten met betrekking tot uw persoonsgegevens:

10.1 Recht op Inzage (art. 15 AVG)

U kunt ons vragen welke persoonsgegevens wij van u verwerken. Wij verstrekken u dan een kopie van:

• Welke gegevens (categorieën)
• Voor welke doeleinde
• Aan wie deze zijn verstrekt
• Hoe lang we deze bewaren
• Waar deze vandaan komen

Hoe: Via uw Account (export-functie) of per e-mail naar info@kraamportaal.nl.

10.2 Recht op Rectificatie (art. 16 AVG)

Als uw gegevens onjuist of onvolledig zijn, kunt u deze laten corrigeren.

Hoe: Direct in uw Account aanpassen of via info@kraamportaal.nl.

10.3 Recht op Verwijdering ('Recht op Vergetelheid') (art. 17 AVG)

U kunt verzoeken uw gegevens te verwijderen, bijvoorbeeld wanneer:

• Gegevens niet langer nodig zijn voor het doel
• U uw toestemming intrekt (indien dat de grondslag was)
• U bezwaar maakt en er geen zwaarwegende redenen zijn
• Gegevens onrechtmatig zijn verwerkt
• Wettelijke verplichting tot verwijdering

Let op: Sommige gegevens moeten wij bewaren vanwege wettelijke verplichtingen (bijv. 7 jaar fiscale bewaarplicht).

10.4 Recht op Beperking van Verwerking (art. 18 AVG)

U kunt vragen uw gegevens tijdelijk "bevriezen", bijvoorbeeld bij:

• Betwisting juistheid gegevens (tijdens verificatie)
• Onrechtmatige verwerking (maar geen verwijdering gewenst)
• Gegevens niet meer nodig maar u heeft ze nodig voor juridische claim

Wij mogen beperkte gegevens alleen bewaren, niet gebruiken.

10.5 Recht op Dataportabiliteit (art. 20 AVG)

U kunt uw gegevens in een gestructureerd, gangbaar en machineleesbaar formaat opvragen om deze over te dragen naar een andere dienstverlener.

Hoe: Via de export-functie in uw Account (JSON, CSV, PDF).

10.6 Recht op Bezwaar (art. 21 AVG)

U kunt bezwaar maken tegen verwerking op basis van "gerechtvaardigd belang", bijvoorbeeld:

• Direct marketing: U kunt altijd bezwaar maken tegen marketingmails (opt-out link in elke e-mail).
• Profilering: Indien wij profilering toepassen (momenteel niet het geval).

10.7 Recht om Toestemming in te Trekken

Indien verwerking gebaseerd is op uw toestemming, kunt u deze te allen tijde intrekken. Dit heeft geen gevolgen voor de rechtmatigheid van eerdere verwerking.

10.8 Recht op Menselijke Tussenkomst

Indien wij geautomatiseerde besluitvorming toepassen (momenteel niet het geval), heeft u recht op menselijke tussenkomst.

10.9 Hoe oefent u deze rechten uit?

E-mail: info@kraamportaal.nl
Account: Via instellingen in uw Account

Responstermijn: Wij reageren binnen 30 dagen op uw verzoek. Bij complexe verzoeken kunnen wij deze termijn met 60 dagen verlengen (met kennisgeving).

Verificatie: Wij kunnen u vragen uw identiteit te bewijzen (kopie ID) om ervoor te zorgen dat gegevens niet aan onbevoegden worden verstrekt.

Kosten: In principe kosteloos. Bij kennelijk ongegronde of buitensporige verzoeken kunnen wij redelijke kosten in rekening brengen.

11. DATALEKKEN

11.1 Wat is een Datalek?

Een datalek (ook wel: inbreuk op de beveiliging) is een incident waarbij persoonsgegevens per ongeluk of onrechtmatig:

• Verloren gaan
• Worden vernietigd
• Worden gewijzigd
• Ongeautoriseerd worden verspreid
• Toegankelijk worden voor onbevoegden

11.2 Onze Verplichtingen

Melding aan Autoriteit Persoonsgegevens
Bij een datalek met mogelijk risico voor rechten en vrijheden van betrokkenen melden wij dit binnen 72 uur bij de Autoriteit Persoonsgegevens.

Melding aan Betrokkenen
Bij een datalek met hoog risico voor rechten en vrijheden (bijv. medische gegevens, BSN) informeren wij betrokkenen zonder onredelijke vertraging.

Melding aan Gebruikers (bij cliëntgegevens)
Indien een datalek cliëntgegevens betreft, informeren wij de betreffende gebruiker (verwerkingsverantwoordelijke) binnen 48 uur, zodat deze kan beoordelen of melding nodig is.

11.3 Maatregelen

Wij hebben een Datalek Response Plan met procedures voor:

• Detectie en melding incidenten
• Bevelen en analyseren datalek
• Beperken van schade
• Communicatie naar betrokkenen en AP
• Evaluatie en verbetering

11.4 Uw Verantwoordelijkheid

Indien u als gebruiker vermoedt dat uw Account is gecompromitteerd (bijv. inloggegevens gestolen), meldt dit dan onmiddellijk zodat wij maatregelen kunnen treffen.

12. COOKIES EN TRACKING

12.1 Wat zijn Cookies?

Cookies zijn kleine tekstbestanden die bij uw bezoek aan onze website op uw apparaat worden geplaatst. Cookies kunnen gegevens over uw surfgedrag verzamelen.

12.2 Welke Cookies Gebruiken Wij?

Functionele Cookies (noodzakelijk)
Deze cookies zijn essentieel voor de werking van het platform. Zonder deze cookies kan het platform niet goed functioneren.

Rechtsgrondslag: Gerechtvaardigd belang (essentieel voor dienst)
Toestemming: Niet vereist (art. 11.7a Telecommunicatiewet)

Analytische Cookies: Gebruiken wij niet

Marketingcookies: Gebruiken wij niet

12.3 Third-Party Cookies

Wij gebruiken geen third-party tracking cookies van externe advertentienetwerken.

12.4 Beheren van Cookies

U kunt cookies beheren via uw browserinstellingen:

• Chrome
• Firefox
• Safari
• Edge

Let op: Het uitschakelen van functionele cookies kan de werking van het platform beperken.

13. MINDERJARIGEN

Het KraamPortaal platform is bedoeld voor professioneel gebruik door kraamverzorgenden (18+). Wij verzamelen niet bewust persoonsgegevens van minderjarigen voor accountregistratie.

Cliëntgegevens van minderjarigen (pasgeboren baby's, jonge kinderen) worden door gebruikers ingevoerd onder hun verantwoordelijkheid als verwerkingsverantwoordelijke. De gebruiker dient toestemming te verkrijgen van ouders/voogd conform AVG.

14. GEAUTOMATISEERDE BESLUITVORMING EN PROFILERING

KraamPortaal past momenteel geen geautomatiseerde besluitvorming of profilering toe die juridische of anderszins significante gevolgen heeft voor betrokkenen.

Indien wij dit in de toekomst wel gaan doen, zullen wij:

• U hierover vooraf informeren
• Toestemming vragen indien vereist
• Recht op menselijke tussenkomst waarborgen

15. DATA PROTECTION IMPACT ASSESSMENT (DPIA)

Voor verwerkingen met een hoog risico voor rechten en vrijheden van betrokkenen voeren wij een Data Protection Impact Assessment (DPIA) uit, zoals vereist onder artikel 35 AVG.

Wij hebben een DPIA uitgevoerd voor:

• ✅ Verwerking van medische gegevens (gezondheidsgegevens cliënten)
• ✅ Grootschalige opslag van bijzondere persoonsgegevens

De DPIA is beschikbaar voor inzage bij de Autoriteit Persoonsgegevens en op verzoek voor gebruikers (geanonimiseerde versie).

16. WIJZIGINGEN PRIVACYVERKLARING

1. KraamPortaal behoudt zich het recht voor deze privacyverklaring te wijzigen om wijzigingen in wet- of regelgeving, jurisprudentie of bedrijfsvoering te weerspiegelen.

2. Wijzigingen worden minimaal 30 dagen van tevoren aangekondigd via:

• E-mail naar uw geregistreerde e-mailadres
• Kennisgeving in het platform
• Update op onze website met duidelijke aanduiding "laatst bijgewerkt"

3. Bij substantiële wijzigingen die uw rechten of privacy negatief beïnvloeden, vragen wij expliciet uw toestemming.

4. Wij adviseren u deze privacyverklaring regelmatig te raadplegen.

17. KLACHTEN

17.1 Contact met Ons

Indien u een klacht heeft over de verwerking van uw persoonsgegevens, kunt u contact met ons opnemen via info@kraamportaal.nl. Wij nemen klachten serieus en proberen deze binnen redelijke termijn op te lossen.

17.2 Autoriteit Persoonsgegevens

U heeft altijd het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (www.autoriteitpersoonsgegevens.nl), de toezichthouder op het gebied van privacybescherming.

18. MEER INFORMATIE OVER DE AVG

Voor meer informatie over de AVG en uw rechten kunt u terecht bij:

• Autoriteit Persoonsgegevens: www.autoriteitpersoonsgegevens.nl
• Europese Commissie: https://ec.europa.eu/info/law/law-topic/data-protection_nl
• Privacy Barometer: www.privacybarometer.nl

19. CONTACT

Voor vragen over deze privacyverklaring of over de verwerking van uw persoonsgegevens kunt u contact met ons opnemen:

KraamPortaal
Doctor R.J. Fruinplantsoen 8
2552 LH 's-Gravenhage
Nederland

KvK-nummer: 90011635
E-mail: info@kraamportaal.nl (voor privacyvragen)
Website: www.kraamportaal.nl

Responstermijn: Wij streven ernaar binnen 5 werkdagen te reageren op privacyvragen.