LAATSTE UPDATE: 15.09.2024

BUDIYU PRIVACYBELEID

‍PatientSolutions BV ("PatientSolutions" of “wij”) gevestigd aan de Torenallee 3, 5617 BA te Eindhoven, wenst u op de hoogte te stellen van de wijze waarop uw privacy wordt beschermd. Dit privacybeleid beschrijft hoe wij omgaan met persoonsgegevens die worden verzameld via de Budiyu applicatie (“App”). In dit privacybeleid worden onder "persoonsgegevens" verstaan alle persoonlijke medische en gezondheidsgerelateerde gegevens die door u in de App worden ingevoerd, alsmede de gegevens die door gebruik van de App door u worden verstrekt. De termen "u" en "gebruiker" verwijzen naar de persoon die de App op zijn/ haar apparaat heeft geïnstalleerd en een account heeft aangemaakt binnen de App. 
PatientSolutions fungeert als verwerkingsverantwoordelijke in de zin van de AVG. Voor ziekten gerelateerd aan het MC4R-pad met een genetische, verworven of aangeboren oorsprong, kan Rhythm Pharmaceuticals BV, met geregistreerd kantoor op Radarweg 29, 1043NX Amsterdam, Nederland ("Rhythm") ook worden beschouwd als verwerkingsverantwoordelijke in de zin van de AVG. Rhythm zal echter geen toegang hebben tot uw persoonsgegevens. Rhythm zal alleen toegang hebben tot geaggregeerde gegevens om inzicht te krijgen in het gebruik van de Budiyu-app (analytisch doel). Rhythm zal op basis van dergelijke geaggregeerde gegevens op geen enkele wijze in staat zijn u te identificeren.

OVER DE APP
‍De App is ontwikkeld om de kwaliteit van leven van patiënten met een chronische ziekte te verbeteren. De App is ontwikkeld door ervaren artsen van PatientSolutions met hulp van patiënten(organisaties). De huidige versie van de App biedt ondersteuning voor de volgende aandoeningen: aan ouders van kinderen met een MC4R-gendefect, personen met een schildklieraandoening en vrouwen met endometriose. In de toekomst, kan de App uitgebreid worden om ook andere patiëntengroepen te ondersteunen.

Dit privacybeleid is ook van toepassing op nieuwe versies van de App zodra deze worden geïntroduceerd.

Wij verzoeken u de onderstaande privacy informatie te lezen om meer te weten te komen over hoe uw persoonsgegevens worden verwerkt en voor welke doeleinden.

VERWERKING VAN UW PERSOONSGEGEVENS
‍Wij verwerken persoonsgegevens met uw toestemming op basis van het toestemmingsformulier dat u heeft ondertekend. Ter bescherming van uw recht op privacy hebben wij passende waarborgen ingebouwd en strikte beperkingen gesteld aan de verwerking van deze gegevens.

2.1 Persoonsgegevens die worden verwerkt om App te laten functioneren
‍Om optimaal gebruik te kunnen maken van de functionaliteiten van de App, verwerkt de App uw persoonsgegevens en/ of die van uw kind met een MC4R gen-defect die wettelijk onder uw verantwoordelijkheid valt. U kunt deze informatie handmatig in de App invoeren.

De volgende persoonsgegevens van uzelf worden opgeslagen op de Budiyu-server:
● unieke identificatiecode
● voor- en achternaam
● geboortedatum en land van verblijf
● e-mailadres en wachtwoord
● scan/foto als avatar
● type aandoening en jaar van diagnose
● dagboeknotities van de vragen over kwaliteit van leven
● medicatiegebruik
● algemene dagboeknotities
● gewicht
● mensen in uw netwerk

Wanneer u de App gebruikt als ouder van kind met een MC4R-gendefect dan worden de volgende persoonsgegevens van uw kind opgeslagen:
● voor- en achternaam
● geboortedatum
● scan/foto als avatar
● dagboek notities van de vragen over kwaliteit van leven
● gewicht
● hongerscore
● medicatiegebruik

U kunt ook de persoonsgegevens van anderen in de App beheren op basis van uw rol. In de rol van ouder van kind met een MC4R-gendefect, kunt u de persoonsgegevens van uw kind beheren. U kunt het kind zelf toevoegen of u kunt door een andere volwassene worden uitgenodigd om samen de persoonlijke gegevens van het kind te beheren.  

Als persoon met schildklierziekte of vrouw met endometriose kunt u andere volwassenen uitnodigen deel te nemen aan uw zorgnetwerk. 

In de toekomst kunnen de rollen worden uitgebreid waarop dit privacybeleid zal worden aangepast. Het gaat hierbij altijd om het beheer van (een deel van) de persoonsgegevens zoals hierboven vermeld.

PatientSolutions besteedt veel zorg aan de bescherming van uw privacy. De persoonsgegevens worden versleuteld opgeslagen op de Budiyu-server. Versleuteling is een beveiligingsmaatregel die tot doel heeft de gegevens onleesbaar te maken voor iedereen die zich onrechtmatig toegang verschaft tot de gegevens, tenzij deze persoon in het bezit is van de sleutel van de gegevensversleuteling. Wij gaan verderop in dit document dieper in op de beveiligingsmaatregelen met betrekking tot uw persoonlijke gegevens.

2.2 Persoonsgegevens die verwerkt wordt voor andere doeleinden
‍Wij verzamelen uw persoonsgegevens voor twee andere doeleinden die hieronder worden beschreven: i) analysedoeleinden (in geanonimiseerde vorm) om de App te verbeteren; ii) toekomstig onderzoek (in gepseudonimiseerde vorm) naar de kwaliteit van de zorg.

2.2.1 Gebruik van geanonimiseerde persoonsgegevens voor analytische doeleinden
‍Wij gebruiken uitsluitend geanonimiseerde gegevens zoals (niet-uitputtende) gebruikte functies, apparaattype, hoeveelheid tijd op een scherm en tijdstip van gebruik van de App. Voor dit doel gebruiken wij Google Firebase Analytics-software in de configuratie van anonieme verzameling, zodat wij voor dit doel geen persoonlijk identificeerbare informatie verzamelen.

Deze geanonimiseerde gegevens worden opgeslagen op onze beveiligde DataLab-server.De geanonimiseerde gegevens worden in samengevoegde vorm slechts voor twee doeleinden gebruikt:
- Door PatientSolutions om inzicht te krijgen in het gebruik van de App en deze daarop aan te passen;
- Door derden waarmee PatientSolutions een overeenkomst heeft:
     - Rhythm Pharmaceuticals om inzicht te krijgen in het gebruik van de App.
     - Schildklier Organisatie Nederland (SON) om de kwaliteit van zorg te verbeteren.

2.2.2 Mogelijkheid om gepseudonimiseerde informatie te verwerken voor toekomstig onderzoek
‍Op dag 3 na de installatie van de App en vervolgens op dag 7, maand 1 en op verschillende momenten in de maanden erna, vraagt de App of u toestemming wilt geven om uw gegevens op een veilige manier te delen met PatientSolutions voor toekomstig onderzoek naar de kwaliteit van de zorg.

U krijgt uitgebreide informatie in de App over dit optionele verzoek op basis waarvan u een weloverwogen keuze kunt maken. 

Als u toestemming geeft:
- bevestigt u dat deze toestemming vrijelijk, specifiek, geïnformeerd en ondubbelzinnig is gegeven door op de "ja"-knop in de chat te drukken. Deze toestemming wordt weergegeven in het instellingen gedeelte onder "Rechten"
- vanaf dat moment worden uw gegevens verzameld en opgeslagen in onze aparte beveiligde DataLab-server.
- u krijgt na 2 jaar een nieuwe melding met de vraag of u nog steeds achter deze keuze staat. Dit om te voorkomen dat uw toestemming voor onbepaalde tijd geldig is.

Als u uw toestemming intrekt:
- U kunt uw toestemming ook op elk moment intrekken via de Instellingen in de App. Vanaf dat moment worden er geen persoonsgegevens meer verzameld en opgeslagen op onze beveiligde DataLab-server.
- De eerder verzamelde en opgeslagen persoonsgegevens op onze beveiligde DataLab-server blijven bewaard. Hoe u deze persoonsgegevens kunt laten verwijderen, leest u verderop onder “UW RECHTEN”.

Wij pseudonimiseren persoonsgegevens door automatisch alle identificeerbare en herleidbare gegevens te verwijderen (behalve uw geboortejaar) en door uw unieke Budiyu-identificatiecode te vervangen door een unieke Datalab-identificatiecode.

De gepseudonimiseerde DataLab-server is niet toegankelijk voor derden, behalve voor geautoriseerde medewerkers van PatientSolutions voor een kwaliteitscontrole van de gegevens (bijvoorbeeld het voorkomen van duplicaten of onjuiste gegevens) en in het kader van het genereren van geanonimiseerde geaggregeerde rapporten voor analytische doeleinden. Toegang tot de DataLab-server wordt bijgehouden.

Wij verstrekken de analyses alleen in samengevoegde vorm aan derden. In geen geval zullen deze resultaten persoonsgegevens bevatten en PatientSolutions zal in geen geval de onderliggende data aan derden verstrekken. De geanalyseerde inzichten kunnen bijvoorbeeld gedeeld worden met zorgverzekeraars, farmaceutische bedrijven en (academische) ziekenhuizen om verder bij te dragen aan de verbetering van patiëntenzorg.

RECHTSGRONDEN
‍De App verwerkt uw persoonsgegevens en/of die van uw kind, omdat dit noodzakelijk is voor de functionaliteiten van de App. De verwerking is daarom gebaseerd op contractuele noodzaak (Artikel 6.1(b) van de AVG).

Omdat uw persoonsgegevens kwalificeren als medische en gezondheidsgerelateerde informatie, zal de App om uw uitdrukkelijke toestemming vragen om uw gezondheidsinformatie en/of die van uw kind te verwerken Artikel 6.1(a) en 9.2(a) van de AVG).

De App zal uw persoonsgegevens en/of die van uw kind (in geanonimiseerde of gepseudonimiseerde vorm) alleen voor analyses overbrengen naar de beveiligde datalab-server met uw uitdrukkelijke toestemming (Artikel 6.1(a) en 9.2(a) van de AVG). U kunt deze toestemming te allen tijde intrekken via de instellingen van de App.

VEILIGHEID VAN UW INFORMATIE
‍Wij willen u erop wijzen dat uw persoonsgegevens en/of die van uw kind op onze servers wordt opgeslagen in een gecodeerd (i.e. versleuteld) formaat, wat betekent dat zelfs als iemand op onrechtmatige wijze toegang tot de informatie verkrijgt, de informatie niet leesbaar is voor hen. De informatie in de App is niet toegankelijk voor anderen. Tijdens het instellen van de App, maakt u eerst een Budiyu-account aan door u te registreren met een werkend e-mailadres en door het creëren van een wachtwoord. U ontvangt vervolgens een e-mail met daarin een link waarmee u uw Budiyu-account bevestigt. Daarna moet u eenmalig inloggen met uw e-mailadres en wachtwoord waarna u als extra beveiliging een 6-cijferige code per e-mail ontvangt. Deze code moet u in de App invullen om verder te gaan met de installatie van de App. De App vraagt u vervolgens om een ​​5-cijferige toegangscode in te stellen om ervoor te zorgen dat onbevoegden geen toegang hebben tot de App en de daarin opgeslagen informatie, zelfs als u uw apparaat verliest. Met de app kunt u geen eenvoudig wachtwoord instellen dat gemakkelijk door anderen kan worden geraden, zoals 00000 of 12345.

Wanneer u een nieuwe telefoon krijgt waarop u opnieuw de App wilt gebruiken, dan kunt u bij de installatie direct met uw e-mailadres en wachtwoord inloggen op uw Budiyu account waarmee alle door u eerder opgeslagen gegevens en/of die van uw kind direct weer zichtbaar zullen zijn in de App.

Uw gegevens en/of die van uw kind worden ook altijd versleuteld wanneer deze worden overgedragen en de gegevens worden versleuteld opgeslagen op onze servers. De server waarop deze gegevens worden beheerd, voldoet aan de laatste beveiligingseisen waardoor deze voor niemand inzichtelijk is.

Wij nemen passende beveiligingsmaatregelen om uw persoonsgegevens en/of die van uw kind te beschermen en eisen dat ook van partijen die in onze opdracht persoonsgegevens verwerken. De (sub)verwerkers die wij inschakelen voldoen aan strenge beveiligingsnormen en zijn in het bezit van verplichte ISO en NEN certificeringen indien van toepassing (bijvoorbeeld ISO27001, ISO9001 en NEN7510). Daarnaast zorgen wij er bijvoorbeeld voor dat alleen personen toegang hebben tot uw gegevens die daar noodzakelijkerwijs toegang toe moeten hebben en tevens dat de toegang tot uw persoonsgegevens en/of die van uw kind is afgeschermd. Al onze medewerkers zijn gebonden aan geheimhoudingsovereenkomsten.Om uw veiligheid verder te beschermen, hebben wij ervoor gezorgd dat gegevens alleen  verwerkt worden in de Europese Economische Ruimte (EER).

DELEN VAN PERSOONSGEGEVENS EN VERWERKERS
‍Wij delen uw persoonsgegevens en/of die van uw kind niet met anderen, tenzij wij hiertoe wettelijk verplicht zijn of in het geval wij bedrijven vragen om ons te helpen bij het leveren van onze diensten, zoals het ontwikkelen van de App of het hosten van de App op servers. Dergelijke bedrijven noemen wij ‘verwerkers’. Met deze verwerkers sluiten wij zogenaamde verwerkersovereenkomsten. Hierin is afgesproken dat zij uw persoonsgegevens alleen mogen gebruiken in onze opdracht en voor het leveren van de bovengenoemde diensten. Zij mogen uw persoonsgegevens en/of die van uw kind niet voor eigen doeleinden gebruiken.

Wij gebruiken de volgende soorten verwerkers of besteden de volgende gegevensverwerkingsactiviteiten uit:
- Opslag van persoonsgegevens op servers, backend database waarop de App is aangesloten voor beheer en onderhoud;
- Analytische software om onze applicatie te verbeteren (waaronder het  privacyvriendelijke Google Analytics GA4) en;
- hosting provider(s) voor de App.

BEWAARTERMIJN
‍De gepseudonimiseerde persoonlijke informatie zal worden verwerkt voor kwaliteitszorganalyse op de beveiligde DataLab-server zolang PatientSolutions de Budiyu-app beheert en haar wettelijke doelstelling om de patiëntenzorg te verbeteren, uitvoert. Uw gepseudonimiseerde persoonlijke informatie, waarvoor u toestemming heeft gegeven, zal worden bewaard zolang u uw toestemming niet intrekt, totdat u om verwijdering verzoekt of als u niet elke 2 jaar uw expliciete toestemming bevestigt, afhankelijk van wat het eerst komt. Wanneer u uw toestemming voor gepseudonimiseerde persoonlijke informatie intrekt, zal deze informatie anoniem worden gemaakt. Een verzoek tot verwijdering van uw gepseudonimiseerde of persoonlijke informatie kan worden gedaan via helpdesk@budiyu.com.

Wanneer er geen nieuwe persoonsgegevens worden verzameld via de App vanwege de volgende twee omstandigheden:
- de App wordt van de telefoon verwijderd zonder eerdere intrekking van de toestemming;
- of de App staat nog op de telefoon maar de gebruiker gebruikt hem niet meer;
dan zullen wij de persoonsgegevens na een periode van twee (2) jaar (i.e. bewaartermijn) automatisch van onze servers verwijderen.

GEBRUIK VAN DE APP DOOR MINDERJARIGEN
‍De App is niet bestemd voor personen jonger dan zestien (16) jaar.

UW RECHTEN MET BETREKKING TOT VERWERKING VAN PERSOONSGEGEVENS IN DE APP
‍Privacywetgeving geeft u bepaalde rechten met betrekking tot de verwerking van  persoonsgegevens. De rechten die wij hieronder beschrijven zijn geen absolute rechten. Wij zullen altijd een afweging maken of wij redelijkerwijs aan uw verzoek kunnen voldoen. Lukt dit niet, of zou het bijvoorbeeld ten koste gaan van de privacy van anderen, dan kunnen wij uw verzoek weigeren. Indien wij een verzoek weigeren, laten wij dit gemotiveerd weten.

8.1 Recht om toestemming in te trekken
‍De persoonsgegevens die verwerkt worden via en voor het gebruik van de App, worden verwerkt tenzij u de toestemming in zijn geheel intrekt.

U kunt uw toestemming op elk moment intrekken via de Instellingen in de App. Als u uw toestemming voor het verwerken van gepseudonimiseerde gegevens intrekt:
- worden vanaf dat moment geen persoonsgegevens meer verzameld en opgeslagen op onze beveiligde DataLab-server.
- de eerder verzamelde en opgeslagen persoonsgegevens op onze beveiligde DataLab-server blijven bewaard. Als u deze persoonsgegevens verwijderd wilt hebben, kunt u contact met ons opnemen zoals hieronder aangegeven. 

8.2 Recht op inzage
‍U heeft het recht om op te vragen welke persoonsgegevens wij van u en/ of het kind verwerken. Daarnaast kunt u ons verzoeken om inzicht te geven in de verwerkingsdoeleinden, de categorieën van persoonsgegevens die het betreft, de (categorieën van) ontvangers van persoonsgegevens, de bewaartermijn, de bron van de persoonsgegevens en of wij al dan niet gebruik maken van geautomatiseerde besluitvorming. 
U mag ook vragen om een kopie van de door ons verwerkte persoonsgegevens van u en/ of het kind. Wilt u bijkomende kopieën? Dan kunnen wij daarvoor een redelijke vergoeding in rekening brengen.

8.3 Recht op rectificatie
‍Indien de door ons over u of uw kind verwerkte persoonsgegevens onjuist of onvolledig zijn, kunt u ons verzoeken de persoonsgegevens aan te passen of aan te vullen. Indien wij uw verzoek inwilligen, zullen wij, indien dit geen onevenredige inspanning vergt, de partijen aan wie wij gegevens verstrekken, informeren.

8.4 Recht op overdraagbaarheid
‍Op uw verzoek kunnen wij de persoonsgegevens die wij verwerken aan u of een andere door u aan te wijzen partij overdragen. U kunt een dergelijk verzoek met redelijke tussenpozen doen.

8.5 Recht op het wissen van gegevens
‍Wilt u niet langer dat wij bepaalde persoonsgegevens van u verwerken? Dan kunt u verzoeken dat wij bepaalde (of alle) persoonsgegevens van u en/ of het kind wissen. U kunt dit recht uitoefenen wanneer:
- De persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor ze zijn verzameld of verwerkt;
- U uw toestemming intrekt voor de verwerking van persoonsgegevens in en er is geen andere rechtsgrond is voor de verwerking;
- U bezwaar maakt tegen de verwerking van uw persoonsgegevens en er zijn geen prevalerende gerechtvaardigde gronden voor de verwerking;Uw persoonsgegevens onrechtmatig zijn verwerkt;
- Uw persoonsgegevens moeten worden gewist om te voldoen aan een wettelijke verplichting.

Indien het bewaren van de persoonsgegevens noodzakelijk is voor de afhandeling van een gerechtelijke procedure of een (juridisch) geschil, zullen wij deze gegevens pas wissen nadat de procedure of het geschil is beëindigd.

Indien wij uw verzoek inwilligen, zullen wij de partijen aan wie wij gegevens verstrekken hierover informeren.

U kunt een verzoek tot inzage, correctie, verwijdering, gegevensoverdraging van uw persoonsgegevens of bezwaar op de verwerking van uw persoonsgegevens sturen naar helpdesk@budiyu.com. Wij zullen dan contact met u opnemen om te proberen dit verzoek in te willigen nadat wij uw identiteit hebben vastgesteld (eerst aan de hand van controlevragen zoals uw geboortedatum en anders via een afgeschermd legitimatiebewijs ). 

Wij streven ernaar om uw verzoek, klacht of bezwaar binnen een maand te verwerken. Als het niet mogelijk is om binnen een maand een beslissing te nemen, zullen wij u op de hoogte brengen van de redenen voor de vertraging en van het tijdstip waarop de beslissing naar verwachting zal worden verstrekt (niet langer dan 3 maanden na ontvangst).

BEPERKING VAN VERWERKING
‍Als u de juistheid van door ons verwerkte persoonsgegevens betwist, als u meent dat wij uw persoonsgegevens onrechtmatig hebben verwerkt, of indien wij de gegevens niet meer nodig hebben of indien u bezwaar heeft gemaakt tegen de verwerking, kunt u ons tevens verzoeken om de verwerking van die persoonsgegevens te beperken. Bijvoorbeeld gedurende de tijd die wij nodig hebben om uw betwisting of bezwaar te beoordelen, of indien reeds duidelijk is dat voor verdere verwerking van die persoonsgegevens geen rechtmatige grondslag (meer) bestaat, maar u er toch belang bij heeft dat wij de persoonsgegevens nog niet wissen. Als wij de verwerking van uw persoonsgegevens op uw verzoek beperken, mogen wij die gegevens nog wel gebruiken voor de afhandeling van een gerechtelijke procedure of een (juridisch) geschil.

GEAUTOMATISEERDE INDIVIDUELE BESLUITVORMING 
‍Wij nemen geen besluiten die uitsluitend zijn gebaseerd op geautomatiseerde verwerkingen.

UPDATES VAN DIT PRIVACYBELEID
‍Dit privacybeleid kan worden gewijzigd. De legenda "LAATSTE UPDATE" bovenaan dit privacybeleid geeft aan wanneer dit privacybeleid voor het laatst is herzien. Alle wijzigingen worden van kracht op de datum van herziening.

CONTACT MET ONS OPNEMEN
‍PatientSolutions BV is het bedrijf dat verantwoordelijk is voor het verzamelen en gebruiken van persoonsgegevens onder dit privacybeleid en kwalificeert daarom als gegevensbeheerder.

Als u vragen heeft over dit privacybeleid, kunt u contact opnemen met onze functionaris voor gegevensbescherming Mark van Kuijk via mark@budiyu.com of het hierboven vermelde adres.

Rhythm heeft een Functionaris voor Gegevensbescherming (FG) aangesteld die gecontacteerd kan worden op het volgende adres: privacy@rhythmtx.com. Echter, aangezien Rhythm geen toegang heeft tot enige persoonsgegevens, wordt aanbevolen dat u contact opneemt met PatientSolutions zoals hierboven beschreven, mocht u vragen hebben over dit privacybeleid of mocht u een van uw rechten willen uitoefenen.

Omdat e-mailcommunicatie niet altijd veilig is, verzoeken wij u geen gevoelige informatie op te nemen in uw e-mails aan ons.

Wanneer u ons een e-mail stuurt, verwerken wij uw e-mailadres en de gegevens die u ons toestuurt zolang dat nodig is voor het afhandelen van de vraag en tot maximaal 6 maanden na het laatste contactmoment. De grondslag voor deze verwerking is ons gerechtvaardigd belang om op contactverzoeken te kunnen reageren.

U kunt ook een klacht indienen bij de Autoriteit Persoonsgegevens (AP). Ga hiervoor naar www.autoriteitpersoonsgegevens.nl voor meer informatie. U kunt zich ook wenden tot een EU/ EER-autoriteit voor gegevensbescherming voor uw land of regio waar u woonachtig bent.