(Versie 17 oktober 2025)
Stichting Expertiseconsultatie Zeldzame Aandoeningen (hierna: “Stichting EZA”) respecteert de privacy van alle gebruikers van het Expertiseconsultatieportaal en draagt zorg voor een vertrouwelijke en zorgvuldige verwerking van persoonsgegevens. Deze privacyverklaring legt uit welke gegevens wij verwerken, voor welke doeleinden en welke rechten u heeft.
Wij treden op als verwerker namens de zorginstellingen die gebruikmaken van het portaal. De zorginstellingen zijn in de zin van de Algemene Verordening Gegevensbescherming (AVG) de verwerkingsverantwoordelijken en bepalen het doel en de middelen van de verwerking. Stichting EZA verwerkt persoonsgegevens uitsluitend in lijn met de verwerkersovereenkomst die wij met de zorginstellingen hebben gesloten.
Disclaimer
Als gebruiker van het portaal (patiënt of zorgverlener) is het belangrijk te weten dat Stichting EZA geen zelfstandige zeggenschap heeft over de verwerking van uw persoonsgegevens. Voor alle vragen over hoe uw gegevens worden verwerkt, of voor het uitoefenen van uw rechten (zoals inzage, correctie of verwijdering), kunt u terecht bij uw eigen zorginstelling.
Deze privacyverklaring is informatief van aard en verandert niets aan de bepalingen uit de verwerkersovereenkomsten of andere overeenkomsten met de verwerkingsverantwoordelijken. In geval van verschillen tussen deze verklaring en de verwerkersovereenkomst, prevaleert de verwerkersovereenkomst.
1. Wie zijn wij?
Stichting Expertiseconsultatie Zeldzame Aandoeningen (Stichting EZA)
Stichting EZA faciliteert het Expertiseconsultatieportaal (ECP) waarmee zorgprofessionals en patiënten kunnen deelnemen aan expertiseconsultaties. Wij verwerken persoonsgegevens bij consultaties uitsluitend namens en in opdracht van de aangesloten zorginstellingen.
2. Welke persoonsgegevens verwerken wij?
In het portaal kunnen de volgende persoonsgegevens verwerkt worden:
Voor patiënten
• Naam, geslacht, geboortedatum
• E-mailadres en telefoonnummer (voor multi-factor authenticatie)
• Burgerservicenummer (BSN) voor unieke identificatie en declaratie
• Gezondheidsgegevens die nodig zijn voor het voeren van een expertiseconsult*
Voor zorgverleners en ondersteunend personeel
• Naam en contactgegevens
• Beroepsgerelateerde gegevens (zoals BIG-registratie, specialisme)
• Organisatiegegevens (bijvoorbeeld e-mailadres gekoppeld aan zorginstelling, persoonlijke AGB-code)
3. Waarom verwerken wij uw gegevens?
De persoonsgegevens worden verwerkt voor:
• Het faciliteren van expertiseconsulten tussen meerdere specialisten en patiënten die daarvoor toestemming hebben gegeven.
• Het veilig uitwisselen van consultverslagen tussen zorgverleners en patiënten.
Stichting EZA verwerkt uw gegevens uitsluitend op instructie van de zorginstellingen. Wij gebruiken uw gegevens niet voor eigen doeleinden.
4. Hoe beveiligen wij uw gegevens?
Stichting EZA en haar subverwerkers werken aantoonbaar conform NEN 7510/7512 en ISO 27001. Waar software als medisch hulpmiddel functioneert onder Verordening (EU) 2017/745 (MDR), wordt het voorzien van een CE‑markering. Wij nemen passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies en onrechtmatige verwerking. Dit omvat onder meer: twee-factor authenticatie voor gebruikers, versleutelde communicatie en opslag, periodieke rechtencontroles, beveiligingstests en audits, en opslag van gegevens uitsluitend binnen de Europese Economische Ruimte (EER).
Voor het correct functioneren van het portaal gebruiken wij functionele cookies (bijvoorbeeld voor sessiebeheer en authenticatie). Wij plaatsen geen cookies voor advertenties of externe tracking in het Expertiseconsultatieportaal.
5. Met wie delen wij uw gegevens?
Stichting EZA deelt uw gegevens met zorgverleners en ondersteunend personeel dat betrokken is bij het geven van expertiseadvies. Zorginstellingen en behandelaren blijven zelf verantwoordelijk voor hun eigen medische dossiervoering.
Stichting EZA werkt samen met subverwerkers om het portaal te beheren:
• everywhereIM (technisch beheer portaal)
• TransIP (dataopslag binnen de EER)
Deze partijen zijn gebonden aan dezelfde privacy- en beveiligingsstandaarden als Stichting EZA. Daarnaast werkt Stichting EZA samen met verschillende expertise-beherende (zorg)instellingen die periodiek toegangsrechten controleren binnen hun expertise. Een actuele lijst van subverwerkers is beschikbaar op aanvraag via info@expertiseconsultatie.nl. Bij wijzigingen in subverwerkers informeren wij de verwerkingsverantwoordelijken (de zorginstellingen) hierover, zoals vastgelegd in de verwerkersovereenkomst.
6. Hoe lang bewaren wij uw gegevens?
Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor het expertiseconsult en eventuele herbesprekingen. Er geldt een standaard maximale termijn van vijf jaar, zoals overeengekomen met de verwerkingsverantwoordelijken. Na beëindiging van de dienstverlening worden persoonsgegevens verwijderd of teruggegeven conform de afspraken met de verwerkingsverantwoordelijke.
7. Uw rechten
Omdat de zorginstellingen de verwerkingsverantwoordelijken zijn, kunt u uw rechten (zoals inzage, correctie of verwijdering van uw gegevens) uitoefenen via uw behandelende zorginstelling. In geval van een datalek werken wij conform de AVG samen met de verwerkingsverantwoordelijken om betrokkenen te informeren indien nodig.
Heeft u vragen over de werking van het portaal? Dan kunt u contact opnemen met Stichting EZA via info@expertiseconsultatie.nl
8. Verwerkingen waarvoor Stichting EZA zelf verwerkingsverantwoordelijke is (B2B)
Naast de in de rest van deze privacyverklaring benoemde verwerkingen in haar rol als verwerker namens zorginstellingen, verwerkt Stichting EZA zelf ook bepaalde persoonsgegevens als verwerkingsverantwoordelijke. Dit betreft uitsluitend beperkte gegevens die verwerkt worden op grond van het gerechtvaardigd belang van Stichting EZA om haar werkzaamheden uit te voeren en contractuele relaties te onderhouden. Dit gerechtvaardigd belang bestaat uit het onderhouden van contacten met samenwerkingspartners en het voeren van een adequate administratie. Het gaat hierbij om persoonsgegevens van contactpersonen bij andere organisaties, zoals:
- namen, functies, telefoonnummers en e-mailadressen van contactpersonen bij ziekenhuizen, expertisecentra, leveranciers en andere samenwerkingspartners;
- gegevens van bestuursleden, adviseurs of leveranciers voor administratieve en communicatiedoeleinden.
De gegevens worden niet langer bewaard dan noodzakelijk is voor het doel waarvoor zij zijn verzameld en worden niet aan derden verstrekt, behalve wanneer dit wettelijk verplicht is (bijvoorbeeld voor financiële administratie of toezicht).
Voor deze administratieve, zakelijke verwerkingen is Stichting EZA zelf verwerkingsverantwoordelijke. Betrokken zakelijke contactpersonen kunnen hun rechten rechtstreeks uitoefenen door contact op te nemen via info@expertiseconsultatie.nl.
9. Wijzigingen
Stichting EZA kan deze privacyverklaring aanpassen als er wijzigingen zijn in de verwerking van persoonsgegevens of de relevante wetgeving. Wij adviseren u om deze verklaring regelmatig te raadplegen.
10. Vragen of klachten?
Voor vragen over de verwerking van uw gegevens neemt u contact op met uw zorginstelling. Voor technische vragen over het portaal kunt u mailen naar: info@expertiseconsultatie.nl