← Back to home

Privacybeleid

Spraaktranscriptiedienst — Dya Voice

Laatst bijgewerkt: 19 juli 2025

Dya Voice (de "Dienst") wordt uitgegeven door Blue Lantern Sàrl ("Dya", "wij"). Wij verwerken persoonsgegevens op verantwoorde wijze, in overeenstemming met de Zwitserse Federale Wet op de Gegevensbescherming (nFADP/FDPA) en, waar van toepassing, de AVG.

Dit beleid beschrijft welke gegevens wij verwerken, voor welke doeleinden, op welke rechtsgrondslag, waar ze worden gehost, aan wie ze kunnen worden verstrekt en welke rechten betrokkenen hebben.

1. Contact

Blue Lantern Sàrl

E-mail: contact@dyaclinical.com

Website: https://www.dyaclinical.com

Applicatie: https://app.dyaclinical.com

2. Definities en rollen (AVG)

2.1 Openbare website (dyaclinical.com)

Voor gegevens die via de website worden verzameld (prospects, formulieren, doelgroepstatistieken), treedt Blue Lantern Sàrl op als verwerkingsverantwoordelijke.

2.2 Applicatie (app.dyaclinical.com)

Twee situaties bestaan naast elkaar:

  • Patiënt-/eindklantgegevens verwerkt door een praktijk (bijv. audio, transcripties, klinische notities): Dya treedt op als verwerker; de praktijk/kliniek is de verwerkingsverantwoordelijke.
  • B2B-klantaccountgegevens (bijv. geautoriseerde gebruikers, facturering, ondersteuning): Dya treedt op als verwerkingsverantwoordelijke.

Een Verwerkersovereenkomst (DPA/AVV) regelt de relatie met elke praktijk (op aanvraag beschikbaar).

3. Categorieën verwerkte gegevens

3.1 Bezoekers/Prospects (Website)

  • Via formulieren verstrekte gegevens (naam, e-mail, bedrijf, bericht)
  • Technische gegevens (IP-adres, user-agent, logs, diagnostiek)
  • Geaggregeerde gebruiksgegevens (doelgroepmeting)

3.2 Klanten (Praktijken) & geautoriseerde gebruikers

  • Identiteit en professionele contactgegevens
  • Authenticatiegegevens (gehashte wachtwoorden), accountinstellingen
  • Ondersteuningsgeschiedenis (tickets, e-mails)
  • Contract- en factureringsgegevens (gebruik, betalingsstatus, facturen) — exclusief ruwe creditcardgegevens, beheerd door Stripe (zie §7)

3.3 Gegevens verwerkt in de Transcriptiedienst (namens praktijken)

Afhankelijk van het gebruik:

  • Audio-opnames (stem) en/of geïmporteerde audiobestanden
  • Transcripties (tekst)
  • Geautomatiseerde outputs (bijv. samenvatting, notitiestructurering) gegenereerd uit audio/tekst
  • Mogelijk gevoelige gegevens (bijv. gezondheid) als de gebruiker klinische elementen dicteert

3.4 Technische logs

  • Toegangslogs, beveiligingsgebeurtenissen, audittrails, applicatiediagnostiek

4. Minimalisatie, scheiding en Privacy by Design

Wij passen principes van gegevensminimalisatie en -scheiding toe:

  • Patiëntidentiteitsvelden: Identificerende velden (bijv. naam, voornaam, contactgegevens, interne identificatoren) worden apart opgeslagen en zijn niet opgenomen in verzoeken aan externe verwerkingsdiensten.
  • Externe verzoeken: Wanneer wij externe aanbieders gebruiken (bijv. OpenAI via API), sturen wij alleen de elementen die nodig zijn voor verwerking (bijv. audio en/of tekst om te transcriberen/structureren).
  • Compartimentering: Gegevenstoegang is beperkt volgens het "need-to-know" principe (RBAC), met logging van significante acties.

5. Doeleinden en rechtsgrondslag (AVG)

Wij verwerken gegevens voor:

  1. Het leveren van de Dienst (audio-opname/-import, transcriptie, samenvatting/structureringsgeneratie, backup)
    Rechtsgrondslag (B2B): uitvoering van het contract. Voor patiëntgegevens: de praktijk bepaalt de toepasselijke rechtsgrondslag (Dya treedt op als verwerker).
  2. Beveiliging (incidentpreventie/-detectie, toegangscontrole, auditlogs)
    Rechtsgrondslag: gerechtvaardigd belang en/of wettelijke verplichting
  3. Klantenondersteuning (assistentie, incidentoplossing)
    Rechtsgrondslag: uitvoering van het contract en gerechtvaardigd belang
  4. Facturering (gebruiksmeting, facturen, betaling, operationele communicatie)
    Rechtsgrondslag: uitvoering van het contract en wettelijke verplichtingen (boekhouding)
  5. Productverbetering (geaggregeerde/geanonimiseerde statistieken, bugfixes)
    Rechtsgrondslag: gerechtvaardigd belang. Wij geven prioriteit aan geaggregeerde statistieken en vermijden analyse van patiëntinhoud.

6. Hosting, locatie, overdrachten en subverwerkers

6.1 Hoofdhosting in Zwitserland

  • Database & opslag: gehost in Zwitserland (regio Zürich) via Supabase (Zürich).
  • Applicatieservers: gehost in Zwitserland bij Nine (nine.ch).

6.2 Subverwerkers en doeleinden

Wij gebruiken subverwerkers om de Dienst te leveren. De onderstaande lijst kan wijzigen; een bijgewerkte versie kan op aanvraag worden verstrekt.

  • Supabase (Zwitserland – Zürich): databasehosting, opslag, authenticatie (indien van toepassing). Verwerkersovereenkomst: op aanvraag beschikbaar.
  • Nine (Zwitserland – Zürich): applicatieserverhosting in Zwitserland.
  • OpenAI: transcriptie- en geautomatiseerde verwerkingsdiensten via de OpenAI API (bijv. transcriptie, samenvatting, structurering). Via de OpenAI API verzonden gegevens: volgens OpenAI-documentatie worden via de API verzonden gegevens niet gebruikt om OpenAI-modellen te trainen/verbeteren. OpenAI DPA: https://openai.com/policies/data-processing-addendum/
  • Stripe (mogelijk buiten Zwitserland): betalingen, facturering en betaalmiddelenbeheer. Dya slaat geen ruwe creditcardgegevens op. Stripe DPA: https://stripe.com/legal/dpa

6.3 Grensoverschrijdende overdrachten en garanties

Wanneer persoonsgegevens worden verstrekt aan subverwerkers in het buitenland (direct of indirect), implementeren wij passende waarborgen waar vereist (bijv. verwerkersovereenkomsten (DPA), standaardcontractbepalingen en technische/organisatorische maatregelen).

6.4 Register

Wij houden een intern register bij van verwerkingsactiviteiten en subverwerkers, beschikbaar op aanvraag.

7. Betalingen (Stripe)

Betalingen worden verwerkt via Stripe. Dya slaat geen ruwe creditcardgegevens op. Stripe verwerkt betalingsgegevens in overeenstemming met eigen contractuele documenten en beleid.

8. Bewaartermijn

8.1 Audio

  • Audiobestanden worden uiterlijk 24 uur na aanmaak/import verwijderd (vaak eerder, zodra de verwerking is voltooid).
  • Deze regel geldt ook voor tijdelijke bestanden gerelateerd aan verwerking.

8.2 Accountgegevens, transcripties, notities

  • Bewaard zolang het account actief is.
  • Bij accountsluiting/-verwijdering worden gegevens binnen één maand (≤ 1 maand) gewist, behoudens wettelijke verplichtingen (bijv. boekhouding) en technische back-upbeperkingen.

8.3 Factureringsgegevens en wettelijke verplichtingen

Bepaalde gegevens (facturen, administratie, bewijsstukken) kunnen langer worden bewaard indien Zwitsers recht dit vereist (boekhoudverplichtingen), ook na sluiting.

8.4 Technische logs

Bewaard voor een beperkte duur evenredig aan beveiligings- en auditbehoeften. Back-ups: back-upkopieën kunnen voor een beperkte periode bestaan; volledige verwijdering vindt plaats volgens back-upcycli, uiterlijk binnen bovengenoemde termijnen, tenzij wettelijk vereist.

9. Gebruikersrechten (B2B-klanten)

Behoudens wettelijke beperkingen en rol (verwerkingsverantwoordelijke/verwerker) heeft u de volgende rechten:

9.1 Inzage

Bevestiging verkrijgen dat gegevens over u worden verwerkt en daar toegang toe krijgen.

9.2 Rectificatie

U kunt ingevoerde gegevens (patiënten, titels, notities, etc.) corrigeren/bijwerken via de applicatie indien beschikbaar, of door contact met ons op te nemen.

9.3 Wissing & selectieve verwijdering

  • Accountverwijdering: Een "Account verwijderen"-optie (of e-mailverzoek) activeert onmiddellijke logische verwijdering en vervolgens wissing ≤ 1 maand.
  • Audio: wissing ≤ 24u.
  • Selectieve verwijdering: u kunt verwijdering van een specifiek item aanvragen (bijv. transcriptie, patiënt, notitie) via de interface indien beschikbaar, of via e-mail.

9.4 Overdraagbaarheid (Export)

Op verzoek (of via de interface indien beschikbaar) kunt u een JSON/CSV-export downloaden (idealiter een ZIP) met typisch: Profiel & instellingen, Patiënten (in de app ingevoerde gegevens), Consulten/transcripties/notities, Gebruiks- en factureringselementen exclusief ruwe Stripe-betalingsgegevens.

9.5 Bezwaar/Beperking

In bepaalde gevallen kunt u bezwaar maken tegen bepaalde verwerkingen of beperking ervan verzoeken.

9.6 Klacht

Als de AVG van toepassing is, kunt u een klacht indienen bij een EER-toezichthoudende autoriteit. In Zwitserland kunt u contact opnemen met de EDÖB (Federale Functionaris voor Gegevensbescherming en Informatievrijheid).

10. Rechten van opgenomen derden (bijv. patiënten, begeleiders)

De Dienst kan worden gebruikt om de stem en informatie van derden (bijv. patiënten) op te nemen. In deze context:

  • De praktijk is over het algemeen de verwerkingsverantwoordelijke voor patiëntgegevens; Dya treedt op als verwerker.
  • Derden kunnen hun rechten voornamelijk uitoefenen bij de praktijk (inzage, rectificatie, wissing, etc.).
  • Dya assisteert de praktijk, op instructie, bij het beantwoorden van verzoeken betreffende via de Dienst verwerkte gegevens.

Belangrijk: De praktijk/gebruiker is verantwoordelijk voor: het informeren van betrokkenen (bijv. mededeling in de ruimte, mondelinge informatie), het verkrijgen van vereiste toestemming, het waarborgen van een geldige rechtsgrondslag voor opname en verwerking, inclusief bij gevoelige gegevens.

11. DSAR-procedure (AVG/nFADP-verzoeken)

Voor elk verzoek (inzage, export, verwijdering, etc.):

  • Kanaal: contact@dyaclinical.com
  • Termijn: Wij reageren in principe binnen 30 dagen (verlengbaar bij complexe verzoeken, conform AVG).
  • Identiteitsverificatie: Wij kunnen aanvullende redelijke informatie vragen om identiteit en/of bevoegdheid te verifiëren (bijv. praktijkgebruiker).
  • Traceerbaarheid: Wij houden een log bij van verzoeken (datum, aard, uitkomst) voor nalevingsdoeleinden.

12. Beveiliging

Wij implementeren technische en organisatorische maatregelen die passend zijn bij het risico, waaronder:

  • Versleuteling tijdens overdracht (TLS) en, waar van toepassing, in rust
  • Beveiligingslogging en -monitoring
  • Back-ups en hersteltests
  • Kwetsbaarheden- en secretsbeheer

Geen maatregel garandeert nul risico, maar wij streven ernaar een beveiligingsniveau te handhaven dat past bij de gegevensgevoeligheid.

13. Cookies en vergelijkbare technologieën

Openbare website

Noodzakelijke cookies (taal, beveiliging) en, waar van toepassing, beperkte doelgroepmeting. Niet-essentiële cookies vereisen toestemming.

Applicatie

Google Analytics en Vercel Analytics voor doelgroepmeting; noodzakelijke authenticatiecookies en lokale opslag voor interface-voorkeuren.

14. Wijzigingen

Wij kunnen dit beleid bijwerken bij juridische, technische of operationele wijzigingen. Bij substantiële wijzigingen wordt passend bericht gegeven (e-mail en/of in-app-bericht). De gepubliceerde versie is leidend.