Privacyverklaring

0. Testfase

Eetadvies bevindt zich in een beperkte testfase. Gebruik is alleen mogelijk op uitnodiging en is tijdens deze periode gratis. Functionaliteiten kunnen sneller wijzigen of nog onvolledig zijn, maar alle gegevens worden reeds verwerkt volgens deze privacyverklaring.

1. Verwerkingsverantwoordelijke

Hermes vzw (KBO-nummer: 0843.018.684)
Blancefloerlaan 69, 2050 Antwerpen, België

E-mail: privacy@eetadvies.be
Eetadvies is de naam van het digitale platform dat door Hermes vzw wordt ontwikkeld en beheerd.

Zorgverleners (artsen, diëtisten of hun assistenten) die via het platform advies geven, verwerken persoonsgegevens in hun eigen hoedanigheid als zorgverlener en zijn in die rol zelf verwerkingsverantwoordelijke voor medische beslissingen en dossiervorming.

2. Verwerkers (dienstverleners)

• OVH Cloud – hosting, database, versleutelde opslag en e-mailrelay.
• OVH Cloud KMS – sleutelbeheer voor encryptie (mTLS, key wrapping).
• Identity providers (SSO): Google en Microsoft leveren beperkte profielclaims voor veilige aanmelding. Eetadvies slaat nooit wachtwoorden of tokens op.

3. Welke gegevens verwerken we?

Afhankelijk van je gebruik verwerken we de volgende categorieën gegevens:

• Accountgegevens: naam, e-mailadres, verificatiestatus, rollen, tijdstip van laatste aanmelding.
• SSO-identiteit: provider, issuer, subject (technische identifiers). Geen opslag van ruwe tokens.
• Profiel & voorkeuren: geboortedatum, geslacht, type keuken, diabetesstatus.
• Gezondheids- & leefstijlgegevens: voedingsdagboek, gewicht, lengte, beweging, chronische aandoeningen en medicatie (vrije tekstvelden).
• Adviesgegevens: intake, AI-voorstellen, definitieve adviezen, feedback en updates.
• Beveiligings- & auditlogs: gehashte IP-adressen, user-agent hash, aanmeldpogingen, foutcodes, timestamps, providerinformatie. Ruwe tokens worden nooit opgeslagen.

4. Doelen en rechtsgronden

• Aanmelding en toegang (SSO): uitvoering van de overeenkomst.
• Begeleiding, intake, opvolging en advies: uitvoering van de overeenkomst.
• Medische gegevens: verwerking voor gezondheidszorgdoeleinden (art. 9(2)(h) GDPR) binnen de zorgrelatie. Zelf ingevulde medische info buiten consult valt onder toestemming.
• Beveiliging, misbruikpreventie, auditing: gerechtvaardigd belang.
• Wettelijke verplichtingen: waar nodig (bv. minimale bewaarplichten).

5. Bewaartermijnen

• Account & dossier: zolang je account actief is. Verwijdering op verzoek, behoudens wettelijke verplichtingen.
• Medische en leefstijlgegevens: bewaard zolang nodig voor begeleiding door de zorgverlener.
• Beveiligingslogs: standaard 90 dagen.
• Encryptiesleutels (DEK): worden bewaard zolang het dossier bestaat. Bij verwijdering van je account wordt de bijbehorende sleutel definitief verwijderd, waardoor de versleutelde gegevens onherstelbaar onleesbaar worden. Dit geldt als effectieve verwijdering.

6. Doorgifte buiten de EU/EER

Hosting en KMS bevinden zich binnen de EER. Identity providers (Google/Microsoft) verwerken beperkte gegevens wereldwijd. Waar nodig worden passende waarborgen toegepast, zoals Standard Contractual Clauses.

7. Beveiliging van gegevens

We nemen sterke technische en organisatorische maatregelen:

• Transport: HTTPS, HSTS, TLS.
• Sessies: SameSite=None, Secure, HttpOnly.
• Content Security Policy: geen inline scripts, strikte bronregels.
• Encryptie van medische velden: AES-256-GCM, unieke Data Encryption Keys per patiënt.
• Key management: DEK wordt lokaal gegenereerd en via OVH Cloud KMS “wrapped”. De server bewaart nooit ruwe sleutels.
• AAD-binding: encryptie is contextgebonden (patiënt-ID, tabel, kolom, versienummer).
• Throttling & monitoring: mislukte logins worden beperkt en gelogd.
• Geen opslag van tokens: ID-tokens, access-tokens en refresh-tokens worden nooit opgeslagen.

8. Cookies

• Noodzakelijke sessiecookie: voor login en beveiligde sessies. Geen marketing- of trackingcookies.

9. Jouw rechten

Je hebt recht op inzage, correctie, verwijdering, beperking, overdraagbaarheid en bezwaar. Je kan deze rechten uitoefenen door een e-mail te sturen naar privacy@eetadvies.be. We reageren binnen 30 dagen en kunnen om redelijke identificatie vragen.

Niet tevreden? Je kan klacht indienen bij de Gegevensbeschermingsautoriteit: gegevensbeschermingsautoriteit.be.