Privacyverklaring – Inora

Versie: 1.0

Inwerkingtreding: 1 september 2025

Inora is een product van 1st Principle B.V. (“wij/ons”). Wij respecteren de privacy van gebruikers en verwerken zo min mogelijk persoonsgegevens.

1. Wie is de verwerkingsverantwoordelijke?

1st Principle B.V. (Inora) – Heerlen, Nederland.

Contact voor privacyzaken: info@inora.ai

Wij hebben geen Functionaris Gegevensbescherming (DPO) aangesteld.

2. Op wie is deze verklaring van toepassing?

Op medewerkers van aangesloten zorgorganisaties die Inora gebruiken met een zakelijk account.

3. Welke gegevens verwerken wij?

  • Identificatie & account: naam, zakelijk e-mailadres.

  • Essentiële technische gegevens (minimaal): beperkte gebeurtenis-/foutmeldingen en tijdstempels die strikt nodig zijn om de dienst te beveiligen en te laten functioneren (geen inhoudelijke zorgdata).

Wij vragen of verwachten geen patiënt- of cliëntgegevens.

4. Doeleinden en rechtsgronden

  • Dienstverlening (account, toegang, ondersteuning): uitvoering van de overeenkomst met jouw organisatie (art. 6(1)(b) GDPR).

  • Beveiliging, misbruikpreventie, service-betrouwbaarheid: ons gerechtvaardigd belang om de dienst veilig en stabiel te houden (art. 6(1)(f) GDPR).

  • Wettelijke verplichtingen (indien van toepassing): art. 6(1)(c) GDPR.

  • Communicatie/updates op verzoek: toestemming (art. 6(1)(a)) – alleen als je daar expliciet voor kiest.

5. Geen patiëntgegevens & preventie van ongewenste invoer

  • Gebruikers worden expliciet geïnstrueerd géén patiënt-/cliëntgegevens in Inora in te voeren.

  • Als dit toch per abuis gebeurt, passen wij client-side redactie/encryptie en server-side filters toe, zodat dergelijke inhoud niet wordt doorgestuurd naar AI-model-API’s en direct wordt uitgesloten/verwijderd.

  • Inora is geen medisch hulpmiddel en geeft geen medische adviezen.

6. Ontvangers en (sub)verwerkers

Wij delen persoonsgegevens niet met derden, anders dan met gescreende subverwerkers die wij inzetten voor hosting, e-mail en essentiële beveiligingsfuncties. Met deze partijen sluiten we verwerkersovereenkomsten.

De actuele lijst publiceren we op: /subprocessors (op de Inora-website).

Gegevensoverdracht buiten de EER

Wij streven ernaar uitsluitend binnen de EER te verwerken. Als overdracht naar een land buiten de EER toch noodzakelijk is, zorgen we voor een passend beschermingsniveau (bijv. EU-modelcontractbepalingen).

7. Bewaartermijnen

  • Accountgegevens (naam, e-mail): zolang het account actief is of zolang er een contractuele relatie bestaat met de organisatie. Na beëindiging verwijderen wij de gegevens in de regel binnen 90 dagen.

  • Essentiële beveiligings-/foutlogs (zonder zorginhoud): maximaal 90 dagen, tenzij langer nodig is voor het onderzoeken van een incident of om aan een wettelijke plicht te voldoen.

    Back-ups worden volgens een vast schema overschreven binnen een redelijke termijn.

8. Beveiliging

We passen passende technische en organisatorische maatregelen toe, zoals versleuteling in transit en at rest, strikte toegangscontrole (least-privilege), segmentatie en monitoring. Onze maatregelen zijn ontworpen in lijn met ISO 27001/NEN 7510-principes (zonder te impliceren dat we gecertificeerd zijn).

9. Jouw rechten

Je hebt (voor zover van toepassing) recht op inzage, rectificatie, gegevenswissing, beperking, overdraagbaarheid en bezwaar tegen verwerking op basis van gerechtvaardigd belang.

Verzoeken kun je richten aan privacy@inora.ai. We kunnen je identiteit vragen te verifiëren via je organisatie-e-mail.

10. Klachten

Ben je niet tevreden over onze afhandeling? Je kunt een klacht indienen bij de Autoriteit Persoonsgegevens (Nederland).

11. Cookies

Voor cookies gebruiken we een aparte Cookieverklaring en toestemmingsmechanisme. Functionele cookies zijn noodzakelijk; alle overige cookies zijn opt-in.

12. Wijzigingen

We kunnen deze verklaring aanpassen. Bij materiële wijzigingen informeren we organisaties en/of publiceren we een duidelijke melding op onze website. Bovenaan staat altijd de meest recente versiedatum.