1. Naleving van relevante wet- en regelgeving met betrekking tot de opslag en verwerking van persoonsgegevens binnen Portavita B.V.

    2. Portavita beschouwt de bescherming van persoonsgegevens en de verantwoorde omgang daarmee als een leidend beginsel binnen haar organisatie.

    Portavita verbindt zich tot strikte naleving van alle relevante wet- en regelgevingen met betrekking tot de opslag en verwerking van persoonsgegevens.

    CompuGroup Medical SE, het moederbedrijf van Portavita, heeft een centraal gegevensbeschermingsbeheersysteem opgezet dat zorgt voor een consistent hoog niveau van bescherming van persoonsgegevens en naleving van de privacywetgeving in alle CGM-bedrijven.

    Deze privacyverklaring biedt informatie over de verwerking van gegevens binnen Portavita. Deze verklaring betreffende gegevensbescherming heeft specifiek betrekking op het Portavita Health Management Platform (hierna Portavita HMP).

    Het Portavita HMP is een platform voor samenwerking en behandeling van planbare en preventieve zorg.

    Portavita HMP biedt doelgericht gebruikersrechtenbeheer, waardoor de toegang tot de software wordt beperkt tot bevoegde personen. Naast de controle op de toegang tot de software, regelt het gebruikersrechtenbeheer ook de lees- en schrijftoegang tot gegevens die in het systeem zijn opgeslagen en verwerkt.

  2. Verwerking van Persoonsgegevens door Portavita

    3. Onder persoonsgegevens wordt verstaan alle informatie met betrekking tot een natuurlijke persoon (d.i. een mens). Het betreft alle personen die met de bij Portavita beschikbare informatie direct of indirect kunnen worden geïdentificeerd, zoals een naam, een identificatienummer, locatiegegevens of online-identificator.

    • Bij gebruik van de aangeboden producten en/of diensten worden door Portavita de volgende soorten gegevens op haar servers opgeslagen:

      • Contractgegevens
      • Gegevens van geautoriseerde medewerkers
      • Gegevens van patiënten

    In overeenstemming met de wetgeving inzake gegevensbescherming, zijn wij verplicht om alle contractgegevens, loggegevens en gegevens van technische activiteiten na beëindiging van uw contract te verwijderen.

    We zijn echter ook op grond van vennootschaps- en fiscaal recht verplicht om wettelijke bewaartermijnen in acht te nemen, die na de beëindiging van uw contract kunnen voortduren. Gegevens van technische bewerkingen worden bewaard zolang dit technisch noodzakelijk is en worden uiterlijk na beëindiging van uw contract verwijderd.

    1. Contract- en registratiegegevens

      Contract- en registratiegegevens identificeren en beheren de contractuele relatie tussen uw organisatie en Portavita. Deze gegevens omvatten:

      • Gegevens met betrekking tot de medische organisatie:
        • Naam
        • Soort medische organisatie
        • Adres
      • Gegevens met betrekking tot de bevoegde vertegenwoordiger namens de medische organisatie:
        • Aanspreekvorm / titel
        • Voornaam
        • Achternaam
        • Achtervoegsel
      • Eventueel toe te voegen niet-verplichte informatie:
        • E-mailadres
        • Contactpersonen

      Het opslaan en verwerken van persoonsgegevens die in het kader van de zakelijke en contractuele relatie aan Portavita worden verstrekt, gebeurt uitsluitend om contractafspraken uit te voeren.

      Alleen met uw expliciete goedkeuring via een toestemmingsverklaring, kunnen wij deze gegevens ook gebruiken voor productgerelateerde klantonderzoeken en marketingdoeleinden.

      Wij verkopen of dragen geen gegevens over aan derden, tenzij dat noodzakelijk is voor het nakomen van onze contractverplichtingen of als u dit expliciet hebt toegestaan via een toestemmingsverklaring.

      Contractgegevens worden ten kantore van Portavita geadministreerd, in een kluis opgeborgen en opgeslagen op de aldaar aanwezige server en per 1 november 2024 bij ‘Digital Realty’ (voorheen ‘InterXion’).

  3. Verwerking van persoonsgegevens via het Portavita HMP

    • Stamgegevens van de organisatie en haar medewerkers
    • Patiëntgegevens

    Deze gegevens worden opgeslagen en verwerkt in de database van Portavita op 2 verschillende locaties van haar serviceprovider 'Digital Realty’.

    1. Stamgegevens van de medische organisatie en haar medewerkers

      Stamgegevens van uw organisatie worden opgeslagen om te voldoen aan wettelijke eisen en om een correct gebruik van bepaalde modules/contracten mogelijk te maken. Verplichte stamgegevens in Portavita HMP zijn dienovereenkomstig gemarkeerd. De stamgegevens van de medische organisatie en haar medewerkers omvatten:

      Medische organisatie:

      • Naam organisatie
      • AGB code organisatie
      • Adres organisatie
      • Telefoonnummer organisatie
      • E-mailadres organisatie

      Medewerkers:

      • Titel
      • Voornaam
      • Achternaam (minimaal verplicht)
      • Geslacht (minimaal verplicht)
      • Geboortedatum
      • Gebruikersnaam wachtwoord (minimaal verlicht)

      Rectificatie, verwerkingsbeperking of verwijdering van deze gegevens is mogelijk, maar kan zijn gelimiteerd door wettelijke voorschriften. Beschrijvingen met betrekking tot rectificatie, verwerkingsbeperking of verwijdering van gegevens zijn opgenomen in de gebruikershandleiding.

    2. Patiëntgegevens

      Opslag, gebruik en verwerking van patiëntgegevens zijn slechts toegestaan met toestemming van de patiënt (betrokkene) of op grond van een wettelijke verplichting. Patiëntgegevens worden niet automatisch gegenereerd in het Portavita HMP. Patiëntgegevens worden verzameld en ingevoerd in het HMP door de medische organisatie respectievelijk door de arts/ de medewerker werkzaam in de betreffende organisatie.

      In de professionele app kan de gebruiker er daarnaast voor kiezen om gebruik te maken van de camerafunctionaliteit van het apparaat om gegevens, zoals patiëntnummers en INR-waarden, te scannen en automatisch in te voeren. Het gebruik van de camera is uitsluitend bedoeld ter ondersteuning van de invoer van deze gegevens en is optioneel. De camerafunctionaliteit wordt niet gebruikt voor andere doeleinden en er worden geen beeldopnames opgeslagen.

      Er wordt onderscheid gemaakt tussen gegevens die nodig (verplicht) zijn voor de nakoming van contractuele of wettelijke verplichtingen enerzijds en aanvullende, niet-verplichte gegevens die door de patiënt worden verstrekt anderzijds .

      Verplichte informatie omvat:

      • Persoonlijke informatie (voornaam, achternaam, voor- of achtervoegsel, geboortedatum, geslacht)
      • Adresgegevens (straat, huisnummer, postcode, plaats, land)
      • Burgerservicenummer
      • Verzekering en polisnummer
      • Verwijzend arts
      • Huisarts

      Niet-verplichte aanvullende gegevens zijn onder meer:

      • Privé telefoonnummer
      • Mobiele telefoonnummer
      • E-mailadres
      • Apotheek

      Gevoelige gegevens:

      Medische gegevens vormen een speciale categorie persoonsgegevens en genieten een hogere bescherming door de regelgeving inzake gegevensbescherming.

      Het opnemen van gegevens in het medisch dossier van de patiënt vloeit voort uit de wettelijke verplichting van de behandelend zorgverlener om alle maatregelen en respectievelijke resultaten die relevant zijn voor de huidige en toekomstige behandeling van de patiënt, te documenteren.

      Deze gegevens (kunnen) omvatten:

      Categorie persoonsgegevens Doeleinden
      Patiëntidentificatie gegevens Unieke herkenning
      Medicatiegegevens (inclusief contra-indicaties en allergiën) Behandeling
      Risicofactoren Behandeling
      Laboratoriumuitslagen Behandeling
      Lichamelijk onderzoek Behandeling
      Familie-anamnese Behandeling
      Mededelingen Behandeling
      Verwijsgegevens Behandeling
      Prikafspraken Planning
      Financiële gegevens (zorgverzekeraar, polisnummer) Verrekening

      Rectificaties en wijzigingen in het medisch dossier van de patiënt zijn mogelijk. De originele inhoud is toegankelijk en kan indien nodig worden geraadpleegd. Wissen is mogelijk binnen de grenzen van de wettelijke bewaartermijnen. Het exporteren van gegevens is mogelijk (dataportabiliteit) in een gestructureerd, gangbaar en machinaal leesbaar formaat, via welke de gegevens op verzoek van de patiënt kunnen worden overgedragen. De bijbehorende procedures en functionaliteiten staan beschreven in de handleiding behorende bij het Portavita HMP.

  4. Verplichting tot vertrouwelijkheid, trainingen op het gebied van gegevensbescherming

    5. Alle vaste en ingehuurde medewerkers van Portavita ondertekenen een geheimhoudingsverklaring en zijn gebonden aan de binnen het bedrijf geldende ethische code.

  5. Beveilingsmaatregelen/risico’s vermijden

    6. Portavita neemt alle noodzakelijke technische en organisatorische beveiligingsmaatregelen om uw eigen persoonsgegevens en persoonsgegevens van uw patiënten te beschermen tegen ongeoorloofde toegang, wijziging, openbaarmaking, verlies, vernietiging en andere vormen van misbruik. Deze maatregelen omvatten interne screenings en controles van onze processen voor het verzamelen, opslaan en verwerken van gegevens, evenals beveiligingsmaatregelen om IT-systemen te beschermen tegen ongeoorloofde toegang.

  6. Technische en organisatorische maatregelen

    7. Om de gegevensbeveiliging te waarborgen, evalueert Portavita regelmatig de stand van techniek van beveiligingstechnologieën. Dit omvat het bepalen van typische schadescenario's, het afleiden van corresponderende beveiligingsbehoeften/ beveiligingsniveaus voor verschillende soorten persoonlijke gegevens, geclusterd naar categorieën van mogelijke schade, en het uitvoeren van risicobeoordelingen.

    Verder worden er speciale penetratietesten uitgevoerd om de effectiviteit van deze technische en organisatorische maatregelen die de veiligheid van de verwerking garanderen, te testen, te beoordelen en te evalueren.

    De volgende richtsnoeren zijn van toepassing op de uitvoering van passende technische en organisatorische maatregelen:

    • Back-up van de gegevens

      Om gegevensverlies te voorkomen, worden permanente én regelmatige back-ups van alle gegevens gemaakt.

    • Gegevensbescherming door ontwerp (Privacy by design)

      Portavita zorgt ervoor dat de beginselen van gegevensbescherming/privacy en gegevensbeveiliging in acht worden genomen tijdens de ontwerptaken en ontwikkelingsprocessen van IT-systemen. Het doel is om kostbare en tijdrovende aanvullende programmering te voorkomen die nodig zou zijn, als privacy- en beveiligingsvereisten moesten worden geïmplementeerd na de implementatie van IT-systemen. Reeds vanaf het begin van het ontwikkelingsproces, wordt rekening gehouden met maatregelen zoals de-activering van bepaalde softwarefuncties, authenticatie of versleuteling.

    • Gegevensbescherming door standaardinstellingen (Privacy by default)

      Portavita producten worden geleverd met standaard instellingen geoptimaliseerd voor de minimale gegevensverwerking, zodat alleen persoonlijke gegevens worden verwerkt die nodig zijn voor het betreffende doel.

    • Communicatie per e-mail

      Als u per e-mail contact met Portavita wilt opnemen, houd er dan rekening mee dat de privacy van de verzonden informatie niet kan worden gegarandeerd, aangezien de inhoud van e-mails door derden kan worden ingezien. Wij raden u aan om geen e-mail te gebruiken via publieke netwerken wanneer u vertrouwelijke informatie wil verzenden.

    • Beheer op afstand

      Medewerkers of onderaannemers van Portavita moeten, bijvoorbeeld in het kader van incidentenbeheer, mogelijk toegang krijgen tot patiënt- of klantgegevens. Deze toegang wordt beheerst door de volgende regels:

      • Toegang op afstand is standaard gesloten en wordt alleen door klanten verleend.

      • Kritische interventies worden beveiligd door een 4-ogenprocedure met extra gekwalificeerd personeel.

      • Externe beheertoegang wordt vastgelegd in de ‘eigen’ omgeving van de klant binnen het HMP en bij het Portavita Service Center. De volgende gegevens worden geregistreerd: verantwoordelijke persoon, datum en tijd, korte beschrijving van de uitgevoerde taak.

      • Het opnemen van externe beheersessies is verboden.

  7. Uw rechten

    8. Persoonsgegevens van de behandelaar en overige medewerkers van de zorgorganisatie

    U heeft het recht om geïnformeerd te worden over de gegevens die over u zijn opgeslagen, evenals het recht op toegang tot deze gegevens, op rectificatie, verwijdering, beperking van de verwerking, dataportabiliteit en het recht om bezwaar te maken tegen de verwerking van uw persoonlijke gegevens.

    U heeft het recht om uw toestemming op elk moment in te trekken. De intrekking wordt van kracht voor de toekomst.

    U heeft het recht om een klacht in te dienen bij de verantwoordelijke toezichthoudende autoriteit als u denkt dat wij uw gegevens op onnauwkeurig wijze verwerken.

    Wij verplichten ons alle contractuele gegevens, loggegevens en alle gegevens van technische verwerkingen na beëindiging van uw contract, zonder uw voorafgaand verzoek, te verwijderen.

    Niettemin zijn wij op grond van wettelijke bewaartermijnen verplicht sommige gegevens ook na beëindiging van uw contract nog een aantal jaren te bewaren. Gegevens van technische bewerkingen worden slechts zo lang als technisch noodzakelijk is bewaard en worden uiterlijk na beëindiging van uw contract verwijderd.

    Patiëntgegevens

    Uw patiënten hebben het recht geïnformeerd te worden over de gegevens die over hen zijn opgeslagen, evenals het recht om hun persoonsgegevens te ontvangen en te verzenden (dataportabiliteit) en het recht op rectificatie, verwijdering, beperking van verwerking en het recht om bezwaar te maken tegen de verwerking van hun persoonsgegevens.

    Wanneer u verwijderingsverzoeken van patiënten ontvangt, bent u niettemin verplicht om de geldende bewaartermijnen in acht te nemen.

    Uw patiënten hebben het recht om hun toestemming op elk moment in te trekken, waarbij de intrekking van kracht wordt voor de toekomst.

    Uw patiënten hebben het recht om een klacht in te dienen bij de verantwoordelijke toezichthoudende autoriteit als zij vinden dat u hun gegevens op ongepaste wijze verwerkt.

    Handhaving

    Portavita controleert regelmatig de naleving van de in deze Privacy Verklaring beschreven regels inzake gegevensbescherming.

    Mocht Portavita een formele klacht ontvangen, dan zal zij contact opnemen met de klager om eventuele problemen met betrekking tot de verwerking van diens persoonsgegevens op te lossen.

    Portavita verbindt zich ertoe samen te werken met de bevoegde overheidsinstantie, inclusief de toezichthoudende autoriteit.

  8. Wijzigingen in de Privacyverklaring

    9. Deze Privacyverklaring kan in de toekomst nog verder worden aangevuld en mogelijk worden gewijzigd. Elke nieuwe versie van deze Privacyverklaring moet worden geïdentificeerd aan de hand van een datum aan het einde van dit document. We archiveren ook alle eerdere versies van de Privacyverklaring voor het geval u een eerdere versie op afroep wil raadplegen.

  9. Verantwoordelijk voor Portavita B.V.

    10. De heer J. de Backer

    Algemeen Directeur

    e.mail: jurgen.debacker@cgm.com

    Functionaris voor de gegevensbescherming

    Voor vragen over de verwerking van uw persoonsgegevens en voor de ontvangst van uw informatieverzoeken of klachten kunt u contact opnemen met de Functionaris voor gegevensbescherming.

    De heer H. Dupuits

    e.mail: hans.dupuits@CGM.com

  10. Bevoegde toezichthoudende autoriteit

    11. De bevoegde toezichthoudende autoriteit voor Portavita is:

    Autoriteit persoonsgegevens

    Postbus 93374

    2509 AJ Den Haag

    Bezoekadres: (alleen op afspraak)

    Bezuidenhoutseweg 30

    2594 AV Den Haag


Versie april 2026