Privacyverklaring
BELEID
Privacyverklaring
Versie 1.1 – Datum: 5 December 2024
Bij BMI Clinic hechten wij groot belang aan de bescherming van jouw persoonsgegevens en medische gegevens. Je deelt gevoelige informatie met ons, en wij zorgen ervoor dat deze informatie altijd zorgvuldig, veilig en transparant wordt verwerkt.
In deze privacyverklaring lees je:
welke persoonsgegevens wij verwerken;
voor welke doeleinden en op welke wettelijke grondslagen dit gebeurt;
hoe wij jouw gegevens beveiligen;
welke rechten je hebt en hoe je deze kunt uitoefenen.
Rol van BMI Clinic
BMI Clinic is een digitaal eHealth-platform en géén zorgaanbieder. Wij faciliteren uitsluitend het contact tussen cliënten en zelfstandig bevoegde BIG-geregistreerde artsen en erkende apotheken. BMI Clinic verricht zelf geen medische handelingen en is geen partij bij de behandelrelatie.
De verwerking van jouw gegevens vindt plaats in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG), de Uitvoeringswet AVG (UAVG), en – voor zover van toepassing – de Wet op de geneeskundige behandelingsovereenkomst (WGBO) en relevante richtlijnen van de IGJ en de KNMG.
Transparantie en jouw rechten
Wij vinden het belangrijk dat je volledig geïnformeerd bent over de verwerking van je gegevens binnen onze faciliterende rol. Je hebt te allen tijde rechten zoals inzage, correctie, verwijdering en overdraagbaarheid van je gegevens, voor zover de wet dit toestaat.
Heb je vragen over deze privacyverklaring of over jouw rechten met betrekking tot gegevensverwerking? Neem dan contact op via privacy@bmi-clinic.com. Wij helpen je graag op een zorgvuldige en transparante manier verder.
Onze visie op privacy
BMI Clinic Nederland B.V., gevestigd aan Wilhelminasingel 4, 6524 AK Nijmegen (hierna: ‘BMI Clinic’), biedt digitale diensten aan websitebezoekers, (ex-)cliënten en andere natuurlijke personen die gebruikmaken van of in contact staan met het Platform.
De diensten van BMI Clinic bestaan uit het faciliteren van digitale trajecten voor volwassenen met overgewicht of obesitas. Dit gebeurt via een eHealth-platform dat cliënten in contact brengt met zelfstandig bevoegde, BIG-geregistreerde artsen en erkende apotheken. BMI Clinic levert zelf geen medische zorg en is géén partij bij de behandelrelatie.
In het kader van deze faciliterende dienstverlening verwerkt BMI Clinic persoonsgegevens en, waar relevant, medische gegevens.
BMI Clinic hecht grote waarde aan de bescherming van persoonsgegevens en hanteert hoge standaarden voor privacy en informatiebeveiliging. De verwerking van gegevens vindt plaats in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG), de Uitvoeringswet AVG (UAVG), en – voor zover van toepassing – de Wet op de geneeskundige behandelingsovereenkomst (WGBO), de richtlijnen van de IGJ en gedragsregels van de KNMG.
In deze Privacyverklaring wordt uitgelegd:
welke persoonsgegevens BMI Clinic verwerkt;
met welk doel en op welke grondslag deze verwerking plaatsvindt;
hoe BMI Clinic jouw gegevens beveiligt en beschermt;
welke rechten je hebt onder de AVG en de WGBO;
en hoe je deze rechten kunt uitoefenen.
Heb je vragen over deze Privacyverklaring of over de verwerking van jouw gegevens? Onderaan dit document vind je de contactgegevens van BMI Clinic.
Artikel 1 – Wie verwerkt jouw persoonsgegevens?
Dit privacyreglement heeft betrekking op de verwerking van persoonsgegevens door BMI Clinic Nederland B.V., handelend als verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG).
Rol van BMI Clinic
BMI Clinic is een digitaal eHealth-platform dat cliënten faciliteert bij toegang tot medische trajecten met erkende GLP-1-medicatie (Zorgbundels), in samenwerking met zelfstandig bevoegde BIG-geregistreerde artsen en erkende apotheken. BMI Clinic verricht zelf geen medische handelingen en is géén partij bij de behandelrelatie.
Bedrijfsgegevens
BMI Clinic Nederland B.V.
Wilhelminasingel 4
6524 AK Nijmegen
KvK-nummer: 95253564
Contact voor privacyzaken
Voor vragen over dit privacyreglement of over de verwerking van persoonsgegevens kun je contact opnemen via:
📧 privacy@bmi-clinic.com
Artikel 2 – Gebruik van persoonsgegevens
Verwerking bij gebruik van het Platform
Wanneer je gebruikmaakt van het Platform van BMI Clinic (zoals de website of de persoonlijke My BMI-omgeving), worden er persoonsgegevens verwerkt die je actief met BMI Clinic deelt. Dit kan bijvoorbeeld gebeuren:
tijdens het registratieproces;
bij het aanvragen van een Zorgbundel;
bij het invullen van digitale formulieren of vragenlijsten;
via communicatie met de helpdesk of klantenservice.
Faciliterende rol van BMI Clinic
BMI Clinic verwerkt deze persoonsgegevens uitsluitend binnen haar rol als digitaal eHealth-platform. BMI Clinic faciliteert het contact tussen cliënten en zelfstandig bevoegde BIG-geregistreerde artsen en erkende apotheken. BMI Clinic verleent zelf geen medische zorg en is géén partij bij de behandelrelatie.
Doeleinden van verwerking
De verwerking van persoonsgegevens door BMI Clinic vindt uitsluitend plaats voor de volgende doeleinden:
het aanbieden en technisch mogelijk maken van het Platform en My BMI;
het verwerken van aanvragen voor Zorgbundels en het coördineren van de bijbehorende logistieke en administratieve processen;
het faciliteren van communicatie met de helpdesk en klantenservice;
het naleven van wettelijke verplichtingen (waaronder fiscale bewaarplicht, toezicht door de IGJ en verplichtingen uit hoofde van de AVG en de WGBO).
Geen verwerking voor andere doeleinden
Je persoonsgegevens worden niet voor andere doeleinden gebruikt dan hierboven beschreven, tenzij:
je voorafgaand, ondubbelzinnig en geïnformeerd toestemming hebt gegeven; of
BMI Clinic hiertoe wettelijk verplicht is.
Artikel 3 – Welke informatie verzamelen we?
Algemeen
Persoonsgegevens zijn gegevens die direct of indirect iets over jou zeggen. Onder “verwerken” wordt verstaan: het verzamelen, opslaan, gebruiken, doorgeven of verwijderen van persoonsgegevens.
Faciliterende rol van BMI Clinic
BMI Clinic verwerkt persoonsgegevens uitsluitend binnen haar rol als digitaal eHealth-platform. BMI Clinic faciliteert het contact tussen cliënten en zelfstandig bevoegde BIG-geregistreerde artsen en erkende apotheken. BMI Clinic verleent zelf geen medische zorg en is géén partij bij de behandelrelatie.
Categorieën gegevens die wij verwerken
A. Gegevens die je zelf verstrekt
Identificatiegegevens: voor- en achternaam, geboortedatum, leeftijd, geslacht, eventueel burgerlijke staat.
Contactgegevens: e-mailadres, telefoonnummer, postadres.
Medische informatie (beperkt tot faciliterende rol): gegevens die noodzakelijk zijn voor de beoordeling van geschiktheid voor een Zorgbundel, zoals medische voorgeschiedenis, actuele gezondheidstoestand, informatie uit consulten met een arts en voorgeschreven medicatie. Deze gegevens worden uitsluitend verwerkt in samenwerking met de betrokken arts en apotheek.
Betalingsgegevens: IBAN, betaalmethode (bijv. creditcard, Klarna, Mollie).
Overige gegevens: ingevulde formulieren, feedback, enquêtes, e-mail- of telefooncontact, voorkeuren.
B. Gegevens die automatisch worden verzameld
Technische gegevens: IP-adres, apparaat-ID, browsertype en -versie, besturingssysteem, tijdzone-instelling.
Gebruiksgegevens: pagina’s die je bezoekt op het Platform, interactie met onderdelen (scrollen, klikken), duur van sessies, foutmeldingen of loggegevens.
C. Gegevens uit externe bronnen
Met jouw toestemming kan BMI Clinic persoonsgegevens ontvangen van derden, zoals:
Zorgverleners: bijvoorbeeld je huisarts of behandelend arts, uitsluitend wanneer dit nodig is voor een veilig behandeltraject binnen een Zorgbundel;
Apotheken en farmaceutische partijen: uitsluitend voor de verwerking en levering van medicatie binnen een Zorgbundel;
Betaalverwerkers: zoals Mollie of Klarna, uitsluitend voor de afhandeling van betalingen;
Technische partners en analyseproviders: ter verbetering van het Platform;
Leveranciers van zoekinformatie of advertentiediensten: uitsluitend indien je hier vooraf toestemming voor hebt gegeven.
Artikel 4 – Hoe gebruiken we je persoonlijke gegevens?
BMI Clinic verwerkt jouw persoonsgegevens uitsluitend voor vooraf bepaalde, gerechtvaardigde doeleinden die rechtstreeks voortvloeien uit onze faciliterende dienstverlening als digitaal eHealth-platform. Wij onderscheiden daarbij vier hoofddoelen:
1. Platformdienstverlening
Aanmaken en beheren van je account op het Platform (My BMI).
Verlenen van toegang tot functionaliteiten zoals de bestelfunctie en statusoverzichten.
Technische verwerking van je bestelling van een Zorgbundel, inclusief receptverwerking door een BIG-geregistreerde arts en levering via een erkende apotheek.
Coördinatie van consultmomenten tussen jou en een zelfstandig werkende BIG-geregistreerde arts.
Identiteitsverificatie indien noodzakelijk voor medicatieveiligheid of beveiliging.
Logistieke coördinatie van de Zorgbundel, inclusief communicatie met betrokken partners (arts, apotheek, vervoerder).
2. Communicatie en klantenservice
Informeren over de status van je Zorgbundel of consult.
Verzenden van serviceberichten, bevestigingen en herinneringen.
Beantwoorden van vragen via e-mail, telefoon of chat.
Informeren over wijzigingen in de dienstverlening van BMI Clinic.
Telefonisch contact opnemen bij onduidelijkheden of risico’s, uitsluitend indien daarvoor vooraf toestemming is gegeven.
Verzenden van nieuwsbrieven en commerciële informatie, uitsluitend indien je daar expliciet toestemming voor hebt gegeven (opt-in).
3. Wettelijke verplichtingen en veiligheid
Voldoen aan administratieve en fiscale wetgeving.
Voldoen aan verplichtingen onder de AVG, WGBO, Geneesmiddelenwet en toezichtsvereisten van onder meer de IGJ.
Opsporen, onderzoeken en voorkomen van fraude, misbruik of onrechtmatig gebruik van het Platform.
Beveiligen van persoonsgegevens en medische gegevens tegen ongeautoriseerde toegang of verlies.
Melden van datalekken of beveiligingsincidenten bij de Autoriteit Persoonsgegevens, en indien nodig, aan betrokkenen.
Beschermen van vitale belangen van cliënten of derden, bijvoorbeeld bij vermoedens van fraude, misbruik of dreigende situaties.
4. Verbetering van de dienstverlening
Analyseren van bezoek- en gebruiksgegevens om het Platform technisch en functioneel te verbeteren.
Ontwikkelen, testen en optimaliseren van nieuwe functionaliteiten en processen.
Evalueren van de effectiviteit van interne systemen en samenwerking met artsen en apotheken.
Personaliseren van de gebruikerservaring op de website en in My BMI, uitsluitend binnen de kaders van de AVG en met respect voor jouw privacyinstellingen.
Artikel 5 – Grondslagen van de gegevensverwerking
BMI Clinic verwerkt persoonsgegevens uitsluitend indien daarvoor een geldige rechtsgrond bestaat op basis van de Algemene Verordening Gegevensbescherming (AVG). Afhankelijk van het type gegevens en het doel van de verwerking baseren wij ons op de volgende grondslagen:
1. Uitvoering van een overeenkomst (art. 6 lid 1 sub b AVG)
De verwerking van persoonsgegevens is noodzakelijk voor het aangaan en uitvoeren van de overeenkomst met de Klant. Dit omvat onder meer:
het aanmaken en beheren van een persoonlijk account (My BMI);
het verwerken van bestellingen van Zorgbundels;
de technische coördinatie van receptverwerking door een arts en aflevering via een apotheek;
het faciliteren van toegang tot het Platform en het coördineren van consultmomenten.
2. Voldoen aan een wettelijke verplichting (art. 6 lid 1 sub c AVG)
Sommige verwerkingen zijn wettelijk verplicht. Dit kan onder meer betrekking hebben op:
het bewaren van factuur- en betaalgegevens voor de Belastingdienst;
het uitvoeren van identificatie- en veiligheidscontroles in het kader van medicatieveiligheid;
het melden van datalekken of beveiligingsincidenten bij de Autoriteit Persoonsgegevens;
het naleven van verplichtingen uit de WGBO, Geneesmiddelenwet en toezichtseisen van de IGJ.
3. Gerechtvaardigd belang (art. 6 lid 1 sub f AVG)
BMI Clinic kan bepaalde persoonsgegevens verwerken voor doeleinden die samenhangen met haar gerechtvaardigde belangen, mits daarbij de belangen of fundamentele rechten van de Klant niet worden geschonden. Dit kan onder meer betrekking hebben op:
het analyseren van gebruiksstatistieken om het Platform te verbeteren;
het evalueren van klanttevredenheid;
het beschermen van de digitale infrastructuur tegen fraude of misbruik.
Belangrijk: deze gegevensverwerkingen zijn altijd beperkt in omvang, worden niet gebruikt voor medische besluitvorming en blijven binnen de grenzen van de AVG.
4. Toestemming (art. 6 lid 1 sub a AVG en art. 9 lid 2 sub a AVG)
Voor de verwerking van bijzondere persoonsgegevens, waaronder gezondheidsgegevens, is jouw uitdrukkelijke, geïnformeerde toestemming vereist. Dit geldt ook voor:
het uitwisselen van medische informatie tussen cliënt, arts en apotheek in het kader van een Zorgbundel;
het ontvangen van nieuwsbrieven, marketingcommunicatie of andere niet-functionele berichten.
De Klant kan deze toestemming te allen tijde intrekken. Intrekking heeft geen terugwerkende kracht en laat de rechtmatigheid van reeds uitgevoerde verwerkingen onverlet.
Artikel 6 – Hoe lang worden jouw persoonsgegevens bewaard?
Algemeen bewaarbeleid
BMI Clinic bewaart jouw persoonsgegevens niet langer dan strikt noodzakelijk is voor de doeleinden waarvoor ze zijn verzameld, tenzij een wettelijke verplichting of een gerechtvaardigd belang een langere bewaartermijn vereist. Daarbij geldt dat BMI Clinic uitsluitend persoonsgegevens verwerkt binnen haar faciliterende rol als eHealth-platform en nooit als zorgverlener.
Doeleinden van bewaring
Persoonsgegevens worden door BMI Clinic uitsluitend bewaard zolang dit nodig is om:
toegang te bieden tot het Platform en het verwerken van bestellingen van Zorgbundels te faciliteren;
te voldoen aan wettelijke verplichtingen (zoals de fiscale bewaarplicht);
technische of beveiligingsincidenten te detecteren en op te lossen;
geschillen te behandelen of juridische claims af te handelen.
Bewaartermijnen per gegevenscategorie
Account- en contactgegevens: maximaal 2 jaar na de laatste interactie, tenzij een langere termijn wettelijk vereist is.
Factuur- en betalingsgegevens: 7 jaar (op grond van de wettelijke fiscale bewaarplicht).
Gezondheidsgegevens (bijzondere persoonsgegevens): uitsluitend zolang dit noodzakelijk is voor de medische beoordeling en begeleiding door de arts in het kader van een Zorgbundel. De bewaartermijn en dossiervorming worden bepaald door de zelfstandig BIG-geregistreerde arts en niet door BMI Clinic.
Technische en gebruiksgegevens: maximaal 12 maanden, uitsluitend voor analytische doeleinden en platformoptimalisatie.
Verwijdering of anonimisering
Na afloop van de toepasselijke bewaartermijn worden persoonsgegevens door BMI Clinic zorgvuldig verwijderd of onomkeerbaar geanonimiseerd, tenzij:
een wettelijke verplichting een langere bewaartermijn voorschrijft; of
een gerechtvaardigd belang van BMI Clinic zich hiertegen verzet (bijvoorbeeld bij lopende geschillen of fraudeonderzoeken).
Artikel 7 – Verstrekking aan derden
Algemeen uitgangspunt
BMI Clinic deelt persoonsgegevens uitsluitend met derden indien dit strikt noodzakelijk is voor de uitvoering van de faciliterende dienstverlening als eHealth-platform, of indien dit verplicht is op grond van wet- of regelgeving. BMI Clinic verkoopt of verstrekt persoonsgegevens nooit aan derden voor commerciële doeleinden.
Categorieën ontvangers
1. Interne verwerkers binnen BMI Clinic
Alleen die medewerkers of functionarissen die direct betrokken zijn bij de technische afhandeling van bestellingen van Zorgbundels, communicatie of klantenservice hebben toegang tot persoonsgegevens, en uitsluitend voor zover dit noodzakelijk is voor hun werkzaamheden.
2. Externe partijen binnen de keten
Zelfstandig bevoegde BIG-geregistreerde artsen: voor medische beoordeling, consult en receptverstrekking.
Apotheken en zorginstellingen: voor de verwerking en levering van medicatie binnen een Zorgbundel.
Betalingsverwerkers (zoals Mollie of Klarna): voor de veilige en correcte afhandeling van betalingen.
Logistieke partners en bezorgdiensten (zoals AMP Groep): voor de aflevering van medicatie en/of begeleidend materiaal.
IT-dienstverleners: voor hosting, beveiliging, onderhoud en data-analyse, steeds onder een geldige verwerkersovereenkomst conform de AVG.
Alle externe dienstverleners die in opdracht van BMI Clinic persoonsgegevens verwerken, zijn contractueel verplicht om passende technische en organisatorische beveiligingsmaatregelen te treffen en gegevens uitsluitend te verwerken in lijn met onze instructies.
3. Wettelijke en toezichthoudende instanties
BMI Clinic kan persoonsgegevens verstrekken indien dit noodzakelijk is op grond van:
een wettelijke verplichting;
een rechterlijk bevel; of
een verzoek van een bevoegde toezichthouder, zoals de Autoriteit Persoonsgegevens (AP) of de Inspectie Gezondheidszorg en Jeugd (IGJ).
Artikel 8 – Websites en diensten van derden
Beperking van gegevensdeling
De werkwijze van BMI Clinic is erop gericht om het delen van persoonsgegevens met externe partijen tot een absoluut minimum te beperken. Persoonsgegevens worden uitsluitend gedeeld met externe dienstverleners indien dit strikt noodzakelijk is voor de uitvoering van de faciliterende dienstverlening én uitsluitend indien deze partijen aantoonbaar voldoen aan een passend niveau van gegevensbescherming en beveiliging conform de AVG.
Externe websites en platforms
Het Platform van BMI Clinic kan links bevatten naar externe websites, platforms of diensten van derden (bijvoorbeeld informatiebronnen of partnerorganisaties). Dit privacyreglement is uitsluitend van toepassing op de persoonsgegevens die door BMI Clinic zelf worden verzameld en verwerkt binnen het kader van haar digitale dienstverlening en faciliterende rol.
Aansprakelijkheidsuitsluiting voor derden
BMI Clinic heeft geen zeggenschap over en aanvaardt geen enkele verantwoordelijkheid of aansprakelijkheid voor de inhoud, werkwijze of gegevensverwerking door externe websites, applicaties of platforms waarnaar wordt doorgelinkt. Het raadplegen of gebruiken van deze externe diensten gebeurt volledig op eigen risico van de Klant.
Advies aan de Klant
Wij adviseren iedere gebruiker om vóór het verstrekken van persoonsgegevens of het gebruik van diensten van derden altijd het privacybeleid en de gebruiksvoorwaarden van de betreffende aanbieder zorgvuldig door te nemen.
Artikel 9 – Doorgifte van gegevens buiten de Europese Unie
Primair uitgangspunt
BMI Clinic verwerkt en slaat persoonsgegevens zoveel mogelijk uitsluitend op binnen de Europese Economische Ruimte (EER). Dit sluit aan bij ons beleid om gegevensverwerking te beperken tot jurisdicties met een door de Europese wetgever erkend hoog beschermingsniveau.
Uitzonderlijke doorgifte buiten de EER
Alleen in uitzonderlijke gevallen kan het noodzakelijk zijn om persoonsgegevens door te geven aan ontvangers buiten de EER, bijvoorbeeld wanneer een technische dienstverlener of subverwerker zich buiten de EU bevindt. Dergelijke doorgifte vindt nooit plaats zonder passende waarborgen en blijft beperkt tot wat strikt noodzakelijk is voor de dienstverlening.
Waarborgen bij doorgifte
Indien doorgifte buiten de EER noodzakelijk is, past BMI Clinic altijd de in hoofdstuk V AVG vereiste waarborgen toe, waaronder:
het gebruik van door de Europese Commissie goedgekeurde Standard Contractual Clauses (SCC’s);
aanvullende technische of organisatorische maatregelen (zoals encryptie, pseudonimisering of toegangsbeperkingen) om een gelijkwaardig beschermingsniveau te waarborgen;
overdracht uitsluitend naar landen waarvoor de Europese Commissie een adequaatheidsbesluit heeft vastgesteld.
Beschermingsniveau
Door deze maatregelen waarborgen wij dat persoonsgegevens van cliënten ook buiten de EER uitsluitend op een veilige, rechtmatige en transparante wijze worden verwerkt, in overeenstemming met de AVG.
Artikel 10 – Geautomatiseerde besluitvorming
Geen geautomatiseerde besluitvorming
In overeenstemming met artikel 22 van de Algemene Verordening Gegevensbescherming (AVG) maakt BMI Clinic géén gebruik van uitsluitend geautomatiseerde besluitvorming die rechtsgevolgen of andere aanzienlijke gevolgen heeft voor cliënten.
Menselijke tussenkomst bij medische en juridische beslissingen
Bij alle essentiële beslissingen – zoals de medische beoordeling, het voorschrijven van een recept of de goedkeuring van een Zorgbundel – is altijd sprake van menselijke tussenkomst. BMI Clinic fungeert uitsluitend als digitaal eHealth-platform en neemt zelf géén medische of juridische besluiten op basis van geautomatiseerde verwerkingen.
Nabestellingen via My BMI
Binnen de persoonlijke My BMI-omgeving kan de Klant Zorgbundels nabestellen, maar dit is uitsluitend mogelijk op basis van een geldig recept:
Een recept is maximaal één (1) jaar geldig, conform de Geneesmiddelenwet.
De voorschrijvend arts is volledig verantwoordelijk voor de inhoud, geldigheid en duur van het recept.
De apotheek blijft verantwoordelijk voor de farmaceutische controle en veilige aflevering.
BMI Clinic faciliteert enkel het digitale nabestelproces en oefent geen enkele invloed uit op de medische of farmaceutische besluitvorming.
Toekomstige wijzigingen
Indien BMI Clinic in de toekomst gebruik zou maken van (gedeeltelijk) geautomatiseerde besluitvorming, zal de Klant daarover vooraf transparant worden geïnformeerd. In dat geval wordt expliciet toestemming gevraagd, tenzij een wettelijke uitzondering van toepassing is.
Artikel 11 – Cookies, of vergelijkbare technieken, die BMI Clinic gebruikt
Gebruik van cookies
BMI Clinic maakt op haar website gebruik van cookies en vergelijkbare technieken om de werking van de website te optimaliseren en de gebruikerservaring te verbeteren. Een cookie is een klein tekstbestand dat bij je eerste bezoek aan de website in de browser van je apparaat wordt geplaatst.
Soorten cookies die wij gebruiken
Functionele cookies
Deze zijn strikt noodzakelijk voor het goed functioneren van de website. Ze onthouden bijvoorbeeld taalinstellingen of inlogstatus.Analytische cookies
Met deze cookies verkrijgen wij inzicht in het gebruik van de website. Deze gegevens worden zoveel mogelijk geanonimiseerd en uitsluitend gebruikt om de inhoud, navigatie en prestaties van de site te verbeteren.Trackingcookies (alleen met toestemming)
Trackingcookies volgen surfgedrag en maken het mogelijk om gepersonaliseerde content of advertenties te tonen. Deze cookies worden alleen geplaatst nadat je daarvoor bij je eerste bezoek aan de site expliciet toestemming hebt gegeven.
Toestemming en beheer
Bij je eerste bezoek informeren wij je over ons cookiegebruik en vragen wij je toestemming voor het plaatsen van trackingcookies. Je kunt deze toestemming op elk moment intrekken via de cookie-instellingen van de website of door je browserinstellingen aan te passen. Houd er rekening mee dat sommige functies van de website dan mogelijk niet optimaal werken.
Cookies van derden
Ook derden kunnen via onze website cookies plaatsen, bijvoorbeeld advertentiepartners of sociale mediaplatforms zoals Google of Meta (Facebook/Instagram). Voor het gebruik en de verwerking van gegevens door deze partijen gelden uitsluitend de privacy- en cookieverklaringen van die derde partijen. BMI Clinic heeft geen controle over, en aanvaardt geen aansprakelijkheid voor, de manier waarop deze derden jouw gegevens verwerken.
Artikel 12 – Beveiliging van je gegevens
Algemeen
BMI Clinic neemt passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, onbevoegde toegang, misbruik of onrechtmatige wijziging. Deze maatregelen worden periodiek geëvalueerd en, waar nodig, aangepast aan nieuwe risico’s of technologische ontwikkelingen.
Concreet omvatten onze beveiligingsmaatregelen onder meer:
Beperkte toegang: persoonsgegevens zijn uitsluitend toegankelijk voor geautoriseerde medewerkers en contractuele verwerkers die deze gegevens nodig hebben voor de uitvoering van hun taken.
Encryptie: gebruik van versleutelingstechnologieën (zoals SSL/TLS) voor veilige overdracht van gegevens.
Fysieke beveiliging: servers en opslaglocaties waarin persoonsgegevens worden verwerkt zijn voorzien van fysieke toegangsbeveiliging.
Regelmatige updates: structurele controle en bijstelling van beveiligingsprotocollen, waaronder software-updates, logmonitoring en penetratietests.
Normen en standaarden: naleving van de norm NEN 7510 (informatiebeveiliging in de zorg) en, waar relevant, aanvullende normen zoals ISO 9001.
Externe verwerkers
BMI Clinic ziet erop toe dat externe dienstverleners of verwerkers waarmee persoonsgegevens worden gedeeld contractueel verplicht zijn om minimaal gelijkwaardige beveiligingsmaatregelen te treffen conform de AVG.
Beperking van aansprakelijkheid
Ondanks alle genomen voorzorgsmaatregelen kan BMI Clinic niet garanderen dat onbevoegde toegang, verlies of misbruik van gegevens in alle gevallen volledig kan worden uitgesloten. BMI Clinic is niet aansprakelijk voor schade die voortvloeit uit beveiligingsincidenten die het gevolg zijn van nalatigheid, foutief gebruik of het niet naleven van veiligheidsinstructies door de Klant of derden.
Artikel 13 – Je rechten volgens de AVG
Algemeen
Op grond van de Algemene Verordening Gegevensbescherming (AVG) heb je als betrokkene verschillende rechten met betrekking tot de verwerking van jouw persoonsgegevens. Je kunt deze rechten uitoefenen door een verzoek te sturen naar privacy@bmi-clinic.com. Binnen uiterlijk 30 dagen ontvang je een reactie, tenzij de AVG of nationale wetgeving een langere termijn toestaat.
De volgende rechten zijn van toepassing:
1. Recht op inzage
Je hebt het recht om te weten welke persoonsgegevens BMI Clinic van jou verwerkt en voor welke doeleinden.
2. Recht op rectificatie
Je hebt het recht om onjuiste of onvolledige persoonsgegevens te laten corrigeren of aanvullen.
3. Recht op gegevenswissing (“recht op vergetelheid”)
Je kunt verzoeken om verwijdering van persoonsgegevens. Dit recht geldt niet indien BMI Clinic of derden wettelijk verplicht zijn gegevens te bewaren, zoals:
fiscale bewaarplicht (Belastingdienst);
medische bewaarplicht door de arts of apotheek conform de WGBO;
wettelijke verplichtingen voortvloeiend uit de Geneesmiddelenwet of toezicht door de IGJ.
4. Recht op beperking van verwerking
Je kunt verzoeken om verwerking tijdelijk stop te zetten, bijvoorbeeld wanneer je de juistheid van gegevens betwist of bezwaar hebt gemaakt.
5. Recht op dataportabiliteit
Je hebt het recht om persoonsgegevens die door jou zelf zijn verstrekt in een gestructureerd, gangbaar en machineleesbaar formaat te ontvangen en – voor zover technisch mogelijk – door te laten geven aan een andere partij. Dit recht geldt uitsluitend voor gegevens die BMI Clinic zelf verwerkt in haar rol als platformfacilitator en niet voor medische dossiers die onder verantwoordelijkheid van arts of apotheek vallen.
6. Recht van bezwaar
Je kunt bezwaar maken tegen de verwerking van je persoonsgegevens op grond van een gerechtvaardigd belang van BMI Clinic (bijvoorbeeld voor gebruiksanalyses of direct marketing). Bij bezwaar wordt de verwerking gestaakt, tenzij BMI Clinic dwingende gerechtvaardigde gronden heeft die zwaarder wegen dan jouw belangen, rechten of vrijheden.
7. Recht om toestemming in te trekken
Indien de verwerking is gebaseerd op jouw toestemming (bijvoorbeeld gezondheidsgegevens of marketingcommunicatie), kun je die toestemming op elk moment intrekken. De intrekking heeft geen terugwerkende kracht en laat de rechtmatigheid van eerder uitgevoerde verwerkingen onverlet.
Artikel 14 – Uitoefening van je rechten
Uitoefenen van rechten
Je kunt jouw rechten met betrekking tot de verwerking van persoonsgegevens uitoefenen door contact op te nemen via privacy@bmi-clinic.com.
Reactietermijn
BMI Clinic reageert zo spoedig mogelijk, maar uiterlijk binnen één (1) maand na ontvangst van het verzoek. In uitzonderlijke gevallen – bijvoorbeeld bij complexe of meerdere gelijktijdige verzoeken – mag deze termijn worden verlengd met maximaal twee (2) maanden. In dat geval word je binnen de eerste maand geïnformeerd over de verlenging en de reden daarvan.
Identiteitsverificatie
Om misbruik te voorkomen is BMI Clinic gerechtigd om aanvullende informatie of bewijsstukken te vragen ter verificatie van je identiteit, voordat een verzoek in behandeling wordt genomen. Zonder correcte verificatie wordt een verzoek niet uitgevoerd.
Beperkingen en uitzonderingen
Het uitoefenen van rechten kan worden beperkt indien:
dit noodzakelijk is in het kader van wettelijke verplichtingen (bijvoorbeeld fiscale bewaarplicht of bewaartermijnen uit de WGBO);
het verzoek onevenredig belastend of kennelijk ongegrond is;
rechten en vrijheden van derden hierdoor worden geschonden.
Klachtenprocedure
Indien je het niet eens bent met de afhandeling van je verzoek, vragen wij je eerst om dit bij BMI Clinic kenbaar te maken zodat wij een passende oplossing kunnen zoeken. Ben je daarna nog steeds ontevreden, dan heb je het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP) via www.autoriteitpersoonsgegevens.nl.
Artikel 15 – Wijzigingen in deze privacyverklaring
BMI Clinic behoudt zich het recht voor om deze privacyverklaring van tijd tot tijd aan te passen, bijvoorbeeld in verband met wijzigingen in wet- en regelgeving, interne processen of dienstverlening.
Wij adviseren je om deze verklaring regelmatig te raadplegen, zodat je op de hoogte blijft van de manier waarop wij omgaan met jouw persoonsgegevens.
In geval van inhoudelijke wijzigingen die van invloed zijn op jouw rechten of de manier waarop wij je gegevens verwerken, zullen wij je daarover tijdig informeren via de website of per e-mail (indien van toepassing).
De meest recente versie van deze privacyverklaring is altijd beschikbaar op www.bmi-clinic.com/privacy.
Artikel 16 – Contact
Voor vragen, verzoeken of klachten met betrekking tot de verwerking van persoonsgegevens kun je contact opnemen met de functionaris voor gegevensbescherming van BMI Clinic via:
Alle verzoeken worden behandeld binnen de kaders van de AVG, de UAVG, en – waar van toepassing – de WGBO.
Om misbruik te voorkomen kan BMI Clinic je vragen om aanvullende informatie of een identiteitsverificatie voordat een verzoek in behandeling wordt genomen.
Let op: BMI Clinic is een digitaal eHealth-platform en geen zorgaanbieder. Vragen over medische inhoud, begeleiding of recepten dienen altijd rechtstreeks aan de betrokken arts of apotheek te worden gesteld.
Artikel 17 – Over dit privacyreglement
Actueel houden
BMI Clinic streeft ernaar dit privacybeleid voortdurend actueel te houden en in overeenstemming te brengen met geldende wet- en regelgeving. Omdat privacywetgeving en digitale dienstverlening zich blijven ontwikkelen, kan deze verklaring door BMI Clinic periodiek en eenzijdig worden aangepast.
Melding van wezenlijke wijzigingen
Wanneer wijzigingen wezenlijk zijn voor jouw rechten of de manier waarop jouw persoonsgegevens worden verwerkt, stelt BMI Clinic je hiervan op duidelijke wijze op de hoogte. Dit kan bijvoorbeeld door middel van een melding in My BMI, via de website of per e-mail (indien van toepassing en wettelijk vereist).
Leidend document
De meest recente versie van dit privacybeleid is altijd leidend en beschikbaar via 👉 www.bmi-clinic.com/privacy.
Vaststellingsdatum
Deze versie van het privacybeleid is vastgesteld op 5 december 2024.
Artikel 18 – Melden van (beveiligings-)incidenten, datalekken
Algemeen
Ondanks alle getroffen beveiligingsmaatregelen kan het voorkomen dat er een incident plaatsvindt waarbij persoonsgegevens worden geraakt. Onder een (mogelijk) datalek wordt verstaan: ongeoorloofde toegang, verlies, wijziging of onbedoelde openbaarmaking van persoonsgegevens.
Beoordeling volgens AVG
Indien sprake is van een (vermoedelijk) datalek, beoordeelt BMI Clinic dit conform de vereisten van de Algemene Verordening Gegevensbescherming (AVG) en de interne beveiligingsprocedures.
Meldplicht aan toezichthouder
Wanneer een incident een risico vormt voor de rechten en vrijheden van betrokkenen, meldt BMI Clinic het datalek uiterlijk binnen 72 uur bij de Autoriteit Persoonsgegevens, conform artikel 33 AVG.
Melding aan betrokkene
Indien het datalek waarschijnlijk ook nadelige gevolgen heeft voor jou als betrokkene, zal BMI Clinic je zo spoedig mogelijk informeren, in overeenstemming met artikel 34 AVG.
Interne procedure en opvolging
Binnen de interne procedures van BMI Clinic is vastgelegd hoe incidenten worden geregistreerd, onderzocht en opgevolgd. Het doel hiervan is steeds:
de impact zoveel mogelijk beperken;
passende corrigerende maatregelen treffen;
herhaling in de toekomst voorkomen.
Beperking van aansprakelijkheid
Hoewel BMI Clinic passende maatregelen treft, kan zij geen absolute garantie geven dat datalekken in alle gevallen kunnen worden voorkomen. BMI Clinic is niet aansprakelijk voor schade die voortvloeit uit datalekken die mede het gevolg zijn van nalatigheid, foutief gebruik of het niet naleven van veiligheidsinstructies door de Klant of derden.
BMI Clinic Nederland B.V., gevestigd aan Wilhelminasingel 4, 6524 AK Nijmegen (hierna: ‘BMI Clinic’), biedt digitale diensten aan websitebezoekers, (ex-)cliënten en andere natuurlijke personen die gebruikmaken van of in contact staan met het Platform.
De diensten van BMI Clinic bestaan uit het faciliteren van digitale trajecten voor volwassenen met overgewicht of obesitas. Dit gebeurt via een eHealth-platform dat cliënten in contact brengt met zelfstandig bevoegde, BIG-geregistreerde artsen en erkende apotheken. BMI Clinic levert zelf geen medische zorg en is géén partij bij de behandelrelatie.
In het kader van deze faciliterende dienstverlening verwerkt BMI Clinic persoonsgegevens en, waar relevant, medische gegevens.
BMI Clinic hecht grote waarde aan de bescherming van persoonsgegevens en hanteert hoge standaarden voor privacy en informatiebeveiliging. De verwerking van gegevens vindt plaats in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG), de Uitvoeringswet AVG (UAVG), en – voor zover van toepassing – de Wet op de geneeskundige behandelingsovereenkomst (WGBO), de richtlijnen van de IGJ en gedragsregels van de KNMG.
In deze Privacyverklaring wordt uitgelegd:
welke persoonsgegevens BMI Clinic verwerkt;
met welk doel en op welke grondslag deze verwerking plaatsvindt;
hoe BMI Clinic jouw gegevens beveiligt en beschermt;
welke rechten je hebt onder de AVG en de WGBO;
en hoe je deze rechten kunt uitoefenen.
Heb je vragen over deze Privacyverklaring of over de verwerking van jouw gegevens? Onderaan dit document vind je de contactgegevens van BMI Clinic.
Dit privacyreglement heeft betrekking op de verwerking van persoonsgegevens door BMI Clinic Nederland B.V., handelend als verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG).
Rol van BMI Clinic
BMI Clinic is een digitaal eHealth-platform dat cliënten faciliteert bij toegang tot medische trajecten met erkende GLP-1-medicatie (Zorgbundels), in samenwerking met zelfstandig bevoegde BIG-geregistreerde artsen en erkende apotheken. BMI Clinic verricht zelf geen medische handelingen en is géén partij bij de behandelrelatie.
Bedrijfsgegevens
BMI Clinic Nederland B.V.
Wilhelminasingel 4
6524 AK Nijmegen
KvK-nummer: 95253564
Contact voor privacyzaken
Voor vragen over dit privacyreglement of over de verwerking van persoonsgegevens kun je contact opnemen via:
📧 privacy@bmi-clinic.com
Verwerking bij gebruik van het Platform
Wanneer je gebruikmaakt van het Platform van BMI Clinic (zoals de website of de persoonlijke My BMI-omgeving), worden er persoonsgegevens verwerkt die je actief met BMI Clinic deelt. Dit kan bijvoorbeeld gebeuren:
tijdens het registratieproces;
bij het aanvragen van een Zorgbundel;
bij het invullen van digitale formulieren of vragenlijsten;
via communicatie met de helpdesk of klantenservice.
Faciliterende rol van BMI Clinic
BMI Clinic verwerkt deze persoonsgegevens uitsluitend binnen haar rol als digitaal eHealth-platform. BMI Clinic faciliteert het contact tussen cliënten en zelfstandig bevoegde BIG-geregistreerde artsen en erkende apotheken. BMI Clinic verleent zelf geen medische zorg en is géén partij bij de behandelrelatie.
Doeleinden van verwerking
De verwerking van persoonsgegevens door BMI Clinic vindt uitsluitend plaats voor de volgende doeleinden:
het aanbieden en technisch mogelijk maken van het Platform en My BMI;
het verwerken van aanvragen voor Zorgbundels en het coördineren van de bijbehorende logistieke en administratieve processen;
het faciliteren van communicatie met de helpdesk en klantenservice;
het naleven van wettelijke verplichtingen (waaronder fiscale bewaarplicht, toezicht door de IGJ en verplichtingen uit hoofde van de AVG en de WGBO).
Geen verwerking voor andere doeleinden
Je persoonsgegevens worden niet voor andere doeleinden gebruikt dan hierboven beschreven, tenzij:
je voorafgaand, ondubbelzinnig en geïnformeerd toestemming hebt gegeven; of
BMI Clinic hiertoe wettelijk verplicht is.
Algemeen
Persoonsgegevens zijn gegevens die direct of indirect iets over jou zeggen. Onder “verwerken” wordt verstaan: het verzamelen, opslaan, gebruiken, doorgeven of verwijderen van persoonsgegevens.
Faciliterende rol van BMI Clinic
BMI Clinic verwerkt persoonsgegevens uitsluitend binnen haar rol als digitaal eHealth-platform. BMI Clinic faciliteert het contact tussen cliënten en zelfstandig bevoegde BIG-geregistreerde artsen en erkende apotheken. BMI Clinic verleent zelf geen medische zorg en is géén partij bij de behandelrelatie.
Categorieën gegevens die wij verwerken
A. Gegevens die je zelf verstrekt
Identificatiegegevens: voor- en achternaam, geboortedatum, leeftijd, geslacht, eventueel burgerlijke staat.
Contactgegevens: e-mailadres, telefoonnummer, postadres.
Medische informatie (beperkt tot faciliterende rol): gegevens die noodzakelijk zijn voor de beoordeling van geschiktheid voor een Zorgbundel, zoals medische voorgeschiedenis, actuele gezondheidstoestand, informatie uit consulten met een arts en voorgeschreven medicatie. Deze gegevens worden uitsluitend verwerkt in samenwerking met de betrokken arts en apotheek.
Betalingsgegevens: IBAN, betaalmethode (bijv. creditcard, Klarna, Mollie).
Overige gegevens: ingevulde formulieren, feedback, enquêtes, e-mail- of telefooncontact, voorkeuren.
B. Gegevens die automatisch worden verzameld
Technische gegevens: IP-adres, apparaat-ID, browsertype en -versie, besturingssysteem, tijdzone-instelling.
Gebruiksgegevens: pagina’s die je bezoekt op het Platform, interactie met onderdelen (scrollen, klikken), duur van sessies, foutmeldingen of loggegevens.
C. Gegevens uit externe bronnen
Met jouw toestemming kan BMI Clinic persoonsgegevens ontvangen van derden, zoals:
Zorgverleners: bijvoorbeeld je huisarts of behandelend arts, uitsluitend wanneer dit nodig is voor een veilig behandeltraject binnen een Zorgbundel;
Apotheken en farmaceutische partijen: uitsluitend voor de verwerking en levering van medicatie binnen een Zorgbundel;
Betaalverwerkers: zoals Mollie of Klarna, uitsluitend voor de afhandeling van betalingen;
Technische partners en analyseproviders: ter verbetering van het Platform;
Leveranciers van zoekinformatie of advertentiediensten: uitsluitend indien je hier vooraf toestemming voor hebt gegeven.
BMI Clinic verwerkt jouw persoonsgegevens uitsluitend voor vooraf bepaalde, gerechtvaardigde doeleinden die rechtstreeks voortvloeien uit onze faciliterende dienstverlening als digitaal eHealth-platform. Wij onderscheiden daarbij vier hoofddoelen:
1. Platformdienstverlening
Aanmaken en beheren van je account op het Platform (My BMI).
Verlenen van toegang tot functionaliteiten zoals de bestelfunctie en statusoverzichten.
Technische verwerking van je bestelling van een Zorgbundel, inclusief receptverwerking door een BIG-geregistreerde arts en levering via een erkende apotheek.
Coördinatie van consultmomenten tussen jou en een zelfstandig werkende BIG-geregistreerde arts.
Identiteitsverificatie indien noodzakelijk voor medicatieveiligheid of beveiliging.
Logistieke coördinatie van de Zorgbundel, inclusief communicatie met betrokken partners (arts, apotheek, vervoerder).
2. Communicatie en klantenservice
Informeren over de status van je Zorgbundel of consult.
Verzenden van serviceberichten, bevestigingen en herinneringen.
Beantwoorden van vragen via e-mail, telefoon of chat.
Informeren over wijzigingen in de dienstverlening van BMI Clinic.
Telefonisch contact opnemen bij onduidelijkheden of risico’s, uitsluitend indien daarvoor vooraf toestemming is gegeven.
Verzenden van nieuwsbrieven en commerciële informatie, uitsluitend indien je daar expliciet toestemming voor hebt gegeven (opt-in).
3. Wettelijke verplichtingen en veiligheid
Voldoen aan administratieve en fiscale wetgeving.
Voldoen aan verplichtingen onder de AVG, WGBO, Geneesmiddelenwet en toezichtsvereisten van onder meer de IGJ.
Opsporen, onderzoeken en voorkomen van fraude, misbruik of onrechtmatig gebruik van het Platform.
Beveiligen van persoonsgegevens en medische gegevens tegen ongeautoriseerde toegang of verlies.
Melden van datalekken of beveiligingsincidenten bij de Autoriteit Persoonsgegevens, en indien nodig, aan betrokkenen.
Beschermen van vitale belangen van cliënten of derden, bijvoorbeeld bij vermoedens van fraude, misbruik of dreigende situaties.
4. Verbetering van de dienstverlening
Analyseren van bezoek- en gebruiksgegevens om het Platform technisch en functioneel te verbeteren.
Ontwikkelen, testen en optimaliseren van nieuwe functionaliteiten en processen.
Evalueren van de effectiviteit van interne systemen en samenwerking met artsen en apotheken.
Personaliseren van de gebruikerservaring op de website en in My BMI, uitsluitend binnen de kaders van de AVG en met respect voor jouw privacyinstellingen.
BMI Clinic verwerkt persoonsgegevens uitsluitend indien daarvoor een geldige rechtsgrond bestaat op basis van de Algemene Verordening Gegevensbescherming (AVG). Afhankelijk van het type gegevens en het doel van de verwerking baseren wij ons op de volgende grondslagen:
1. Uitvoering van een overeenkomst (art. 6 lid 1 sub b AVG)
De verwerking van persoonsgegevens is noodzakelijk voor het aangaan en uitvoeren van de overeenkomst met de Klant. Dit omvat onder meer:
het aanmaken en beheren van een persoonlijk account (My BMI);
het verwerken van bestellingen van Zorgbundels;
de technische coördinatie van receptverwerking door een arts en aflevering via een apotheek;
het faciliteren van toegang tot het Platform en het coördineren van consultmomenten.
2. Voldoen aan een wettelijke verplichting (art. 6 lid 1 sub c AVG)
Sommige verwerkingen zijn wettelijk verplicht. Dit kan onder meer betrekking hebben op:
het bewaren van factuur- en betaalgegevens voor de Belastingdienst;
het uitvoeren van identificatie- en veiligheidscontroles in het kader van medicatieveiligheid;
het melden van datalekken of beveiligingsincidenten bij de Autoriteit Persoonsgegevens;
het naleven van verplichtingen uit de WGBO, Geneesmiddelenwet en toezichtseisen van de IGJ.
3. Gerechtvaardigd belang (art. 6 lid 1 sub f AVG)
BMI Clinic kan bepaalde persoonsgegevens verwerken voor doeleinden die samenhangen met haar gerechtvaardigde belangen, mits daarbij de belangen of fundamentele rechten van de Klant niet worden geschonden. Dit kan onder meer betrekking hebben op:
het analyseren van gebruiksstatistieken om het Platform te verbeteren;
het evalueren van klanttevredenheid;
het beschermen van de digitale infrastructuur tegen fraude of misbruik.
Belangrijk: deze gegevensverwerkingen zijn altijd beperkt in omvang, worden niet gebruikt voor medische besluitvorming en blijven binnen de grenzen van de AVG.
4. Toestemming (art. 6 lid 1 sub a AVG en art. 9 lid 2 sub a AVG)
Voor de verwerking van bijzondere persoonsgegevens, waaronder gezondheidsgegevens, is jouw uitdrukkelijke, geïnformeerde toestemming vereist. Dit geldt ook voor:
het uitwisselen van medische informatie tussen cliënt, arts en apotheek in het kader van een Zorgbundel;
het ontvangen van nieuwsbrieven, marketingcommunicatie of andere niet-functionele berichten.
De Klant kan deze toestemming te allen tijde intrekken. Intrekking heeft geen terugwerkende kracht en laat de rechtmatigheid van reeds uitgevoerde verwerkingen onverlet.
Algemeen bewaarbeleid
BMI Clinic bewaart jouw persoonsgegevens niet langer dan strikt noodzakelijk is voor de doeleinden waarvoor ze zijn verzameld, tenzij een wettelijke verplichting of een gerechtvaardigd belang een langere bewaartermijn vereist. Daarbij geldt dat BMI Clinic uitsluitend persoonsgegevens verwerkt binnen haar faciliterende rol als eHealth-platform en nooit als zorgverlener.
Doeleinden van bewaring
Persoonsgegevens worden door BMI Clinic uitsluitend bewaard zolang dit nodig is om:
toegang te bieden tot het Platform en het verwerken van bestellingen van Zorgbundels te faciliteren;
te voldoen aan wettelijke verplichtingen (zoals de fiscale bewaarplicht);
technische of beveiligingsincidenten te detecteren en op te lossen;
geschillen te behandelen of juridische claims af te handelen.
Bewaartermijnen per gegevenscategorie
Account- en contactgegevens: maximaal 2 jaar na de laatste interactie, tenzij een langere termijn wettelijk vereist is.
Factuur- en betalingsgegevens: 7 jaar (op grond van de wettelijke fiscale bewaarplicht).
Gezondheidsgegevens (bijzondere persoonsgegevens): uitsluitend zolang dit noodzakelijk is voor de medische beoordeling en begeleiding door de arts in het kader van een Zorgbundel. De bewaartermijn en dossiervorming worden bepaald door de zelfstandig BIG-geregistreerde arts en niet door BMI Clinic.
Technische en gebruiksgegevens: maximaal 12 maanden, uitsluitend voor analytische doeleinden en platformoptimalisatie.
Verwijdering of anonimisering
Na afloop van de toepasselijke bewaartermijn worden persoonsgegevens door BMI Clinic zorgvuldig verwijderd of onomkeerbaar geanonimiseerd, tenzij:
een wettelijke verplichting een langere bewaartermijn voorschrijft; of
een gerechtvaardigd belang van BMI Clinic zich hiertegen verzet (bijvoorbeeld bij lopende geschillen of fraudeonderzoeken).
Algemeen uitgangspunt
BMI Clinic deelt persoonsgegevens uitsluitend met derden indien dit strikt noodzakelijk is voor de uitvoering van de faciliterende dienstverlening als eHealth-platform, of indien dit verplicht is op grond van wet- of regelgeving. BMI Clinic verkoopt of verstrekt persoonsgegevens nooit aan derden voor commerciële doeleinden.
Categorieën ontvangers
1. Interne verwerkers binnen BMI Clinic
Alleen die medewerkers of functionarissen die direct betrokken zijn bij de technische afhandeling van bestellingen van Zorgbundels, communicatie of klantenservice hebben toegang tot persoonsgegevens, en uitsluitend voor zover dit noodzakelijk is voor hun werkzaamheden.
2. Externe partijen binnen de keten
Zelfstandig bevoegde BIG-geregistreerde artsen: voor medische beoordeling, consult en receptverstrekking.
Apotheken en zorginstellingen: voor de verwerking en levering van medicatie binnen een Zorgbundel.
Betalingsverwerkers (zoals Mollie of Klarna): voor de veilige en correcte afhandeling van betalingen.
Logistieke partners en bezorgdiensten (zoals AMP Groep): voor de aflevering van medicatie en/of begeleidend materiaal.
IT-dienstverleners: voor hosting, beveiliging, onderhoud en data-analyse, steeds onder een geldige verwerkersovereenkomst conform de AVG.
Alle externe dienstverleners die in opdracht van BMI Clinic persoonsgegevens verwerken, zijn contractueel verplicht om passende technische en organisatorische beveiligingsmaatregelen te treffen en gegevens uitsluitend te verwerken in lijn met onze instructies.
3. Wettelijke en toezichthoudende instanties
BMI Clinic kan persoonsgegevens verstrekken indien dit noodzakelijk is op grond van:
een wettelijke verplichting;
een rechterlijk bevel; of
een verzoek van een bevoegde toezichthouder, zoals de Autoriteit Persoonsgegevens (AP) of de Inspectie Gezondheidszorg en Jeugd (IGJ).
Beperking van gegevensdeling
De werkwijze van BMI Clinic is erop gericht om het delen van persoonsgegevens met externe partijen tot een absoluut minimum te beperken. Persoonsgegevens worden uitsluitend gedeeld met externe dienstverleners indien dit strikt noodzakelijk is voor de uitvoering van de faciliterende dienstverlening én uitsluitend indien deze partijen aantoonbaar voldoen aan een passend niveau van gegevensbescherming en beveiliging conform de AVG.
Externe websites en platforms
Het Platform van BMI Clinic kan links bevatten naar externe websites, platforms of diensten van derden (bijvoorbeeld informatiebronnen of partnerorganisaties). Dit privacyreglement is uitsluitend van toepassing op de persoonsgegevens die door BMI Clinic zelf worden verzameld en verwerkt binnen het kader van haar digitale dienstverlening en faciliterende rol.
Aansprakelijkheidsuitsluiting voor derden
BMI Clinic heeft geen zeggenschap over en aanvaardt geen enkele verantwoordelijkheid of aansprakelijkheid voor de inhoud, werkwijze of gegevensverwerking door externe websites, applicaties of platforms waarnaar wordt doorgelinkt. Het raadplegen of gebruiken van deze externe diensten gebeurt volledig op eigen risico van de Klant.
Advies aan de Klant
Wij adviseren iedere gebruiker om vóór het verstrekken van persoonsgegevens of het gebruik van diensten van derden altijd het privacybeleid en de gebruiksvoorwaarden van de betreffende aanbieder zorgvuldig door te nemen.
Primair uitgangspunt
BMI Clinic verwerkt en slaat persoonsgegevens zoveel mogelijk uitsluitend op binnen de Europese Economische Ruimte (EER). Dit sluit aan bij ons beleid om gegevensverwerking te beperken tot jurisdicties met een door de Europese wetgever erkend hoog beschermingsniveau.
Uitzonderlijke doorgifte buiten de EER
Alleen in uitzonderlijke gevallen kan het noodzakelijk zijn om persoonsgegevens door te geven aan ontvangers buiten de EER, bijvoorbeeld wanneer een technische dienstverlener of subverwerker zich buiten de EU bevindt. Dergelijke doorgifte vindt nooit plaats zonder passende waarborgen en blijft beperkt tot wat strikt noodzakelijk is voor de dienstverlening.
Waarborgen bij doorgifte
Indien doorgifte buiten de EER noodzakelijk is, past BMI Clinic altijd de in hoofdstuk V AVG vereiste waarborgen toe, waaronder:
het gebruik van door de Europese Commissie goedgekeurde Standard Contractual Clauses (SCC’s);
aanvullende technische of organisatorische maatregelen (zoals encryptie, pseudonimisering of toegangsbeperkingen) om een gelijkwaardig beschermingsniveau te waarborgen;
overdracht uitsluitend naar landen waarvoor de Europese Commissie een adequaatheidsbesluit heeft vastgesteld.
Beschermingsniveau
Door deze maatregelen waarborgen wij dat persoonsgegevens van cliënten ook buiten de EER uitsluitend op een veilige, rechtmatige en transparante wijze worden verwerkt, in overeenstemming met de AVG.
Geen geautomatiseerde besluitvorming
In overeenstemming met artikel 22 van de Algemene Verordening Gegevensbescherming (AVG) maakt BMI Clinic géén gebruik van uitsluitend geautomatiseerde besluitvorming die rechtsgevolgen of andere aanzienlijke gevolgen heeft voor cliënten.
Menselijke tussenkomst bij medische en juridische beslissingen
Bij alle essentiële beslissingen – zoals de medische beoordeling, het voorschrijven van een recept of de goedkeuring van een Zorgbundel – is altijd sprake van menselijke tussenkomst. BMI Clinic fungeert uitsluitend als digitaal eHealth-platform en neemt zelf géén medische of juridische besluiten op basis van geautomatiseerde verwerkingen.
Nabestellingen via My BMI
Binnen de persoonlijke My BMI-omgeving kan de Klant Zorgbundels nabestellen, maar dit is uitsluitend mogelijk op basis van een geldig recept:
Een recept is maximaal één (1) jaar geldig, conform de Geneesmiddelenwet.
De voorschrijvend arts is volledig verantwoordelijk voor de inhoud, geldigheid en duur van het recept.
De apotheek blijft verantwoordelijk voor de farmaceutische controle en veilige aflevering.
BMI Clinic faciliteert enkel het digitale nabestelproces en oefent geen enkele invloed uit op de medische of farmaceutische besluitvorming.
Toekomstige wijzigingen
Indien BMI Clinic in de toekomst gebruik zou maken van (gedeeltelijk) geautomatiseerde besluitvorming, zal de Klant daarover vooraf transparant worden geïnformeerd. In dat geval wordt expliciet toestemming gevraagd, tenzij een wettelijke uitzondering van toepassing is.
Gebruik van cookies
BMI Clinic maakt op haar website gebruik van cookies en vergelijkbare technieken om de werking van de website te optimaliseren en de gebruikerservaring te verbeteren. Een cookie is een klein tekstbestand dat bij je eerste bezoek aan de website in de browser van je apparaat wordt geplaatst.
Soorten cookies die wij gebruiken
Functionele cookies
Deze zijn strikt noodzakelijk voor het goed functioneren van de website. Ze onthouden bijvoorbeeld taalinstellingen of inlogstatus.Analytische cookies
Met deze cookies verkrijgen wij inzicht in het gebruik van de website. Deze gegevens worden zoveel mogelijk geanonimiseerd en uitsluitend gebruikt om de inhoud, navigatie en prestaties van de site te verbeteren.Trackingcookies (alleen met toestemming)
Trackingcookies volgen surfgedrag en maken het mogelijk om gepersonaliseerde content of advertenties te tonen. Deze cookies worden alleen geplaatst nadat je daarvoor bij je eerste bezoek aan de site expliciet toestemming hebt gegeven.
Toestemming en beheer
Bij je eerste bezoek informeren wij je over ons cookiegebruik en vragen wij je toestemming voor het plaatsen van trackingcookies. Je kunt deze toestemming op elk moment intrekken via de cookie-instellingen van de website of door je browserinstellingen aan te passen. Houd er rekening mee dat sommige functies van de website dan mogelijk niet optimaal werken.
Cookies van derden
Ook derden kunnen via onze website cookies plaatsen, bijvoorbeeld advertentiepartners of sociale mediaplatforms zoals Google of Meta (Facebook/Instagram). Voor het gebruik en de verwerking van gegevens door deze partijen gelden uitsluitend de privacy- en cookieverklaringen van die derde partijen. BMI Clinic heeft geen controle over, en aanvaardt geen aansprakelijkheid voor, de manier waarop deze derden jouw gegevens verwerken.
Algemeen
BMI Clinic neemt passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, onbevoegde toegang, misbruik of onrechtmatige wijziging. Deze maatregelen worden periodiek geëvalueerd en, waar nodig, aangepast aan nieuwe risico’s of technologische ontwikkelingen.
Concreet omvatten onze beveiligingsmaatregelen onder meer:
Beperkte toegang: persoonsgegevens zijn uitsluitend toegankelijk voor geautoriseerde medewerkers en contractuele verwerkers die deze gegevens nodig hebben voor de uitvoering van hun taken.
Encryptie: gebruik van versleutelingstechnologieën (zoals SSL/TLS) voor veilige overdracht van gegevens.
Fysieke beveiliging: servers en opslaglocaties waarin persoonsgegevens worden verwerkt zijn voorzien van fysieke toegangsbeveiliging.
Regelmatige updates: structurele controle en bijstelling van beveiligingsprotocollen, waaronder software-updates, logmonitoring en penetratietests.
Normen en standaarden: naleving van de norm NEN 7510 (informatiebeveiliging in de zorg) en, waar relevant, aanvullende normen zoals ISO 9001.
Externe verwerkers
BMI Clinic ziet erop toe dat externe dienstverleners of verwerkers waarmee persoonsgegevens worden gedeeld contractueel verplicht zijn om minimaal gelijkwaardige beveiligingsmaatregelen te treffen conform de AVG.
Beperking van aansprakelijkheid
Ondanks alle genomen voorzorgsmaatregelen kan BMI Clinic niet garanderen dat onbevoegde toegang, verlies of misbruik van gegevens in alle gevallen volledig kan worden uitgesloten. BMI Clinic is niet aansprakelijk voor schade die voortvloeit uit beveiligingsincidenten die het gevolg zijn van nalatigheid, foutief gebruik of het niet naleven van veiligheidsinstructies door de Klant of derden.
Algemeen
Op grond van de Algemene Verordening Gegevensbescherming (AVG) heb je als betrokkene verschillende rechten met betrekking tot de verwerking van jouw persoonsgegevens. Je kunt deze rechten uitoefenen door een verzoek te sturen naar privacy@bmi-clinic.com. Binnen uiterlijk 30 dagen ontvang je een reactie, tenzij de AVG of nationale wetgeving een langere termijn toestaat.
De volgende rechten zijn van toepassing:
1. Recht op inzage
Je hebt het recht om te weten welke persoonsgegevens BMI Clinic van jou verwerkt en voor welke doeleinden.
2. Recht op rectificatie
Je hebt het recht om onjuiste of onvolledige persoonsgegevens te laten corrigeren of aanvullen.
3. Recht op gegevenswissing (“recht op vergetelheid”)
Je kunt verzoeken om verwijdering van persoonsgegevens. Dit recht geldt niet indien BMI Clinic of derden wettelijk verplicht zijn gegevens te bewaren, zoals:
fiscale bewaarplicht (Belastingdienst);
medische bewaarplicht door de arts of apotheek conform de WGBO;
wettelijke verplichtingen voortvloeiend uit de Geneesmiddelenwet of toezicht door de IGJ.
4. Recht op beperking van verwerking
Je kunt verzoeken om verwerking tijdelijk stop te zetten, bijvoorbeeld wanneer je de juistheid van gegevens betwist of bezwaar hebt gemaakt.
5. Recht op dataportabiliteit
Je hebt het recht om persoonsgegevens die door jou zelf zijn verstrekt in een gestructureerd, gangbaar en machineleesbaar formaat te ontvangen en – voor zover technisch mogelijk – door te laten geven aan een andere partij. Dit recht geldt uitsluitend voor gegevens die BMI Clinic zelf verwerkt in haar rol als platformfacilitator en niet voor medische dossiers die onder verantwoordelijkheid van arts of apotheek vallen.
6. Recht van bezwaar
Je kunt bezwaar maken tegen de verwerking van je persoonsgegevens op grond van een gerechtvaardigd belang van BMI Clinic (bijvoorbeeld voor gebruiksanalyses of direct marketing). Bij bezwaar wordt de verwerking gestaakt, tenzij BMI Clinic dwingende gerechtvaardigde gronden heeft die zwaarder wegen dan jouw belangen, rechten of vrijheden.
7. Recht om toestemming in te trekken
Indien de verwerking is gebaseerd op jouw toestemming (bijvoorbeeld gezondheidsgegevens of marketingcommunicatie), kun je die toestemming op elk moment intrekken. De intrekking heeft geen terugwerkende kracht en laat de rechtmatigheid van eerder uitgevoerde verwerkingen onverlet.
Uitoefenen van rechten
Je kunt jouw rechten met betrekking tot de verwerking van persoonsgegevens uitoefenen door contact op te nemen via privacy@bmi-clinic.com.
Reactietermijn
BMI Clinic reageert zo spoedig mogelijk, maar uiterlijk binnen één (1) maand na ontvangst van het verzoek. In uitzonderlijke gevallen – bijvoorbeeld bij complexe of meerdere gelijktijdige verzoeken – mag deze termijn worden verlengd met maximaal twee (2) maanden. In dat geval word je binnen de eerste maand geïnformeerd over de verlenging en de reden daarvan.
Identiteitsverificatie
Om misbruik te voorkomen is BMI Clinic gerechtigd om aanvullende informatie of bewijsstukken te vragen ter verificatie van je identiteit, voordat een verzoek in behandeling wordt genomen. Zonder correcte verificatie wordt een verzoek niet uitgevoerd.
Beperkingen en uitzonderingen
Het uitoefenen van rechten kan worden beperkt indien:
dit noodzakelijk is in het kader van wettelijke verplichtingen (bijvoorbeeld fiscale bewaarplicht of bewaartermijnen uit de WGBO);
het verzoek onevenredig belastend of kennelijk ongegrond is;
rechten en vrijheden van derden hierdoor worden geschonden.
Klachtenprocedure
Indien je het niet eens bent met de afhandeling van je verzoek, vragen wij je eerst om dit bij BMI Clinic kenbaar te maken zodat wij een passende oplossing kunnen zoeken. Ben je daarna nog steeds ontevreden, dan heb je het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP) via www.autoriteitpersoonsgegevens.nl.
BMI Clinic behoudt zich het recht voor om deze privacyverklaring van tijd tot tijd aan te passen, bijvoorbeeld in verband met wijzigingen in wet- en regelgeving, interne processen of dienstverlening.
Wij adviseren je om deze verklaring regelmatig te raadplegen, zodat je op de hoogte blijft van de manier waarop wij omgaan met jouw persoonsgegevens.
In geval van inhoudelijke wijzigingen die van invloed zijn op jouw rechten of de manier waarop wij je gegevens verwerken, zullen wij je daarover tijdig informeren via de website of per e-mail (indien van toepassing).
De meest recente versie van deze privacyverklaring is altijd beschikbaar op www.bmi-clinic.com/privacy.
Voor vragen, verzoeken of klachten met betrekking tot de verwerking van persoonsgegevens kun je contact opnemen met de functionaris voor gegevensbescherming van BMI Clinic via:
Alle verzoeken worden behandeld binnen de kaders van de AVG, de UAVG, en – waar van toepassing – de WGBO.
Om misbruik te voorkomen kan BMI Clinic je vragen om aanvullende informatie of een identiteitsverificatie voordat een verzoek in behandeling wordt genomen.
Let op: BMI Clinic is een digitaal eHealth-platform en geen zorgaanbieder. Vragen over medische inhoud, begeleiding of recepten dienen altijd rechtstreeks aan de betrokken arts of apotheek te worden gesteld.
Actueel houden
BMI Clinic streeft ernaar dit privacybeleid voortdurend actueel te houden en in overeenstemming te brengen met geldende wet- en regelgeving. Omdat privacywetgeving en digitale dienstverlening zich blijven ontwikkelen, kan deze verklaring door BMI Clinic periodiek en eenzijdig worden aangepast.
Melding van wezenlijke wijzigingen
Wanneer wijzigingen wezenlijk zijn voor jouw rechten of de manier waarop jouw persoonsgegevens worden verwerkt, stelt BMI Clinic je hiervan op duidelijke wijze op de hoogte. Dit kan bijvoorbeeld door middel van een melding in My BMI, via de website of per e-mail (indien van toepassing en wettelijk vereist).
Leidend document
De meest recente versie van dit privacybeleid is altijd leidend en beschikbaar via 👉 www.bmi-clinic.com/privacy.
Vaststellingsdatum
Deze versie van het privacybeleid is vastgesteld op 5 december 2024.
Algemeen
Ondanks alle getroffen beveiligingsmaatregelen kan het voorkomen dat er een incident plaatsvindt waarbij persoonsgegevens worden geraakt. Onder een (mogelijk) datalek wordt verstaan: ongeoorloofde toegang, verlies, wijziging of onbedoelde openbaarmaking van persoonsgegevens.
Beoordeling volgens AVG
Indien sprake is van een (vermoedelijk) datalek, beoordeelt BMI Clinic dit conform de vereisten van de Algemene Verordening Gegevensbescherming (AVG) en de interne beveiligingsprocedures.
Meldplicht aan toezichthouder
Wanneer een incident een risico vormt voor de rechten en vrijheden van betrokkenen, meldt BMI Clinic het datalek uiterlijk binnen 72 uur bij de Autoriteit Persoonsgegevens, conform artikel 33 AVG.
Melding aan betrokkene
Indien het datalek waarschijnlijk ook nadelige gevolgen heeft voor jou als betrokkene, zal BMI Clinic je zo spoedig mogelijk informeren, in overeenstemming met artikel 34 AVG.
Interne procedure en opvolging
Binnen de interne procedures van BMI Clinic is vastgelegd hoe incidenten worden geregistreerd, onderzocht en opgevolgd. Het doel hiervan is steeds:
de impact zoveel mogelijk beperken;
passende corrigerende maatregelen treffen;
herhaling in de toekomst voorkomen.
Beperking van aansprakelijkheid
Hoewel BMI Clinic passende maatregelen treft, kan zij geen absolute garantie geven dat datalekken in alle gevallen kunnen worden voorkomen. BMI Clinic is niet aansprakelijk voor schade die voortvloeit uit datalekken die mede het gevolg zijn van nalatigheid, foutief gebruik of het niet naleven van veiligheidsinstructies door de Klant of derden.
