Ga naar inhoud
Juridisch

Privacy-verklaring

Laatst bijgewerkt: 29 mei 2026

Deze verklaring legt uit welke persoonsgegevens Paul Dingemans verwerkt, op welke juridische grondslag dat gebeurt, hoe lang gegevens bewaard worden, met welke partijen we samenwerken, en welke rechten jij hebt als betrokkene.

We gaan zorgvuldig met je gegevens om. De Energiescan verwerkt medische gegevens: daarvoor gelden extra waarborgen, een aparte opt-in en strengere bewaartermijnen (zie sectie 2 en 4).

1. Verantwoordelijke

Verwerkingsverantwoordelijke in de zin van de AVG is:

Naam
Paul Dingemans, handelend onder PD Osteopathie
Adres
Bijster 30, Breda
Vestigingsplaats
Breda
KvK-nummer
72228024
Btw-nummer
NL001269407B70
Telefoon
06-15318034
E-mail
privacy@pauldingemans.com

Voor alle vragen over privacy of deze verklaring, gebruik het bovenstaande e-mailadres. Je ontvangt binnen 30 dagen antwoord.

2. Welke persoonsgegevens verwerken we

Welke gegevens we verwerken hangt af van de dienst. Per categorie staat hieronder wat we vastleggen en waarom.

2.1 Contact en aanvragen

Bij contactformulieren, coaching-aanvragen, boekingen en workshops verwerken we: naam, e-mailadres, eventueel telefoonnummer, en de inhoud van je bericht of aanvraag.

2.2 Energietest en Energiekompas

Bij de Energietest en het Energiekompas verwerken we je antwoorden, je e-mailadres als je het rapport wilt ontvangen, en het berekende profiel en de scores. Dit zijn geen medische gegevens; het zijn indicatieve zelfrapportage-uitkomsten.

2.3 Energiescan, onderscheid tussen deel 1 en deel 2

De Energiescan bestaat uit twee delen met verschillende privacy-gevoeligheid:

  • Deel 1 (algemeen): contactgegevens, werkcontext, slaap- en leefstijlvragen, stress-indicatoren. Deze gegevens zijn nodig om het scan-rapport op te leveren.
  • Deel 2 (medisch, optioneel): gegevens over medicatiegebruik, diagnoses, klachten, eerdere behandelingen en hulpvraag aan de zorg. Deze gegevens zijn bijzondere persoonsgegevens over gezondheid in de zin van AVG Art. 9. Je kunt de Energiescan voltooien zonder deel 2; je krijgt dan een rapport zonder medische verdieping.

Deel 2 wordt alleen verwerkt nadat je expliciet hebt aangevinkt dat je dit wenst en dat je instemt met verwerking als bedoeld in AVG Art. 9 lid 2 sub a (uitdrukkelijke toestemming). Je kunt deze toestemming altijd intrekken via privacy@pauldingemans.com.

2.4 Coaching-trajecten en sessies

Tijdens een coaching-traject (Sprint, Marathon, Ultra) leggen we sessie-aantekeningen, voortgang, afspraken en actiepunten vast. Voor zover deze aantekeningen gezondheidsgegevens bevatten, gelden de strengere regels uit paragraaf 2.3 onverkort.

2.5 Osteopathie-dossier

Voor osteopathische behandelingen houdt Paul Dingemans in zijn hoedanigheid als zorgverlener een klantdossier bij volgens de WGBO (Wet op de geneeskundige behandelingsovereenkomst). Daarin staan anamnese, onderzoeksbevindingen, behandelverslagen en verwijzingen. Deze verwerking valt onder het aparte juridische regime voor zorgverleners.

2.6 Bestellingen en betalingen

Bij aankoop van een e-book of dienst verwerken we factuurgegevens (naam, adres, e-mailadres) en de betaling zelf. Betaalgegevens (IBAN, kaartnummer) worden niet door ons opgeslagen; die blijven bij onze betaalprovider Mollie.

2.7 Website-gebruik

Via PostHog (EU-instance) meten we geanonimiseerd bezoekersgedrag zonder cookies. We verwerken geen IP-adressen op een herleidbare manier en we koppelen website-gedrag niet aan individuele personen.

3. Verwerkingsgronden (AVG Art. 6)

Wij verwerken persoonsgegevens alleen op basis van een grondslag uit AVG Art. 6:

  • Art. 6 lid 1 sub a, toestemming: voor nieuwsbrief-inschrijving, voor het delen van testimonials en voor het verwerken van medische gegevens in Energiescan deel 2.
  • Art. 6 lid 1 sub b, uitvoering van een overeenkomst: voor het leveren van coaching, Energiescan, workshops, e-books en andere diensten die je bij ons afneemt.
  • Art. 6 lid 1 sub c, wettelijke verplichting: voor het bewaren van facturen, het bijhouden van een klantdossier op grond van de WGBO, en het voldoen aan fiscale bewaarplicht.
  • Art. 6 lid 1 sub f, gerechtvaardigd belang: voor beveiliging, fraudepreventie, bot-protectie, geanonimiseerde site-analyse en het verweer bij geschillen. We toetsen dit belang af tegen jouw privacy en beperken de verwerking tot wat noodzakelijk is.

Voor bijzondere persoonsgegevens (gezondheid) geldt AVG Art. 9. We verwerken deze uitsluitend op basis van uitdrukkelijke toestemming (Art. 9 lid 2 sub a) of op basis van de zorgrelatie (Art. 9 lid 2 sub h) voor zover het om osteopathische behandeling gaat.

4. Bewaartermijnen

We bewaren gegevens niet langer dan nodig is voor het doel waarvoor ze zijn verzameld. Concreet:

  • Klantdossier osteopathie: 20 jaar na de laatste behandeling (wettelijke bewaarplicht uit de WGBO, artikel 7:454 BW).
  • Energiescan deel 2 (medische data): 20 jaar als de scan is onderdeel van een zorgrelatie; anders maximaal 2 jaar na afronding, of eerder op jouw verzoek.
  • Coaching-dossier en sessie-aantekeningen: 2 jaar na einde van het traject, tenzij een lopend geschil of een verzekeringskwestie een langere bewaring rechtvaardigt.
  • Facturen en boekhouding: 7 jaar (fiscale bewaarplicht, artikel 52 lid 4 AWR).
  • Nieuwsbrief-inschrijving: tot uitschrijving. Na uitschrijving verwijderen we je gegevens binnen 30 dagen, behalve de uitschrijfgeschiedenis zelf (om herplaatsing te voorkomen).
  • Energietest-resultaten: 12 maanden tenzij je actief kiest voor langere opslag om voortgang te volgen.
  • Analytics (PostHog): Analytics-events worden maximaal 12 maanden bewaard. Session recordings worden maximaal 30 dagen bewaard. Daarna worden ruwe events en opnames automatisch verwijderd; alleen geaggregeerde, niet-herleidbare cijfers blijven beschikbaar.
  • Audit-logs en veiligheidslogs: 12 maanden voor beveiligings- en fraudedoeleinden.

5. Verwerkers en subverwerkers

We maken gebruik van de volgende verwerkers. Met de meeste verwerkers is een verwerkersovereenkomst gesloten. Bij verwerkers waar dit nog in behandeling is, staat dit hieronder vermeld. Wij werken actief aan het voltooien van alle overeenkomsten.

VerwerkerDoelLocatie dataDPA-status
SupabaseDatabase, authenticatieEU (Frankfurt)Ondertekend
ResendE-mail (transactioneel en nieuwsbrief)EUVia servicevoorwaarden
MollieBetalingsverwerkingNLZelfstandig verantwoordelijke
PostHogGeanonimiseerde website-analyticsEU (Frankfurt)Ondertekend
e-BoekhoudenBoekhouding en facturatieNLOndertekend
VercelHosting en edge-netwerkEU (servercode), CDN wereldwijdVia servicevoorwaarden (Pro)
Amazon Web Services EMEA SARL (AWS)Amazon Bedrock (AI-analyse)Frankfurt, Duitsland (eu-central-1)AWS GDPR Data Processing Addendum
Google WorkspaceE-mail, agenda, videobellenVS (EU-opslag te activeren)Via servicevoorwaarden
Cloudflare (Turnstile)Botbescherming op formulierenVS/wereldwijdVia servicevoorwaarden

Bijzondere persoonsgegevens en AI-verwerking

Voor de AI-analyse van coachingvragenlijsten (Energiescan) wordt gebruik gemaakt van het Claude-model van Anthropic, dat draait via Amazon Bedrock op servers van AWS in Frankfurt (eu-central-1). Deze verwerking vindt volledig binnen de Europese Unie plaats; er is geen doorgifte naar landen buiten de EU. Het betreft gepseudonimiseerde antwoorden op gezondheidsgerelateerde vragen. Jouw naam en e-mailadres worden niet meegegeven. De verwerking vindt alleen plaats na jouw expliciete toestemming (artikel 9 AVG) en valt onder de AWS GDPR Data Processing Addendum. De scores worden via een vaste formule berekend; AI levert alleen een geschreven analyse-voorzet dat Paul beoordeelt voordat je het ontvangt. Je gegevens worden niet gebruikt om AI-modellen te trainen.

We bieden op deze website een digitale assistent (chatbot) aan. De chatbot-functionaliteit draait via Amazon Bedrock (Claude) op servers van Amazon Web Services EMEA SARL in de regio Frankfurt (eu-central-1), volledig binnen de EU. Er is geen doorgifte buiten de EU. Gesprekken met de assistent worden anoniem opgeslagen om de kwaliteit van de service te verbeteren. We slaan geen naam, e-mailadres of telefoonnummer op. IP-adressen worden gehasht met een geheime sleutel en zijn niet herleidbaar tot een persoon. Opgeslagen gesprekken worden na 12 maanden automatisch verwijderd. De assistent geeft geen medisch advies en stelt geen diagnoses.

De AI-analyse van de Energiescan vindt volledig binnen de Europese Unie plaats via Amazon Bedrock in Frankfurt (eu-central-1). Een aantal andere verwerkers verwerkt gegevens buiten de Europese Economische Ruimte (EER), met name in de Verenigde Staten. Dit betreft Google en Cloudflare. Voor die doorgifte gelden de EU-standaardcontractbepalingen (SCC's) die onderdeel zijn van hun servicevoorwaarden, aangevuld met aanvullende technische maatregelen (pseudonimisering, versleuteling). Waar een verwerkersovereenkomst nog in behandeling is, staat dit in de verwerkerstabel hierboven vermeld.

6. Cookies

We gebruiken cookies op deze website. Je beheert je voorkeuren via de cookiebanner die bij je eerste bezoek verschijnt en kunt deze op elk moment opnieuw openen via "Cookies aanpassen" in de footer. Bij weigeren worden alleen functionele cookies geplaatst.

6.1 Functionele cookies (noodzakelijk)

Deze cookies zijn nodig om de website te laten werken: het onthouden van je sessie, het verwerken van formulieren en het opslaan van je cookiekeuze zelf. We plaatsen ze altijd. Bewaartermijn: duur van je sessie of maximaal 30 dagen. Grondslag: AVG art. 6 lid 1 sub f (gerechtvaardigd belang); voor strikt noodzakelijke cookies is geen toestemming vereist.

6.2 Analytische cookies (PostHog)

Alleen met je toestemming gebruiken we PostHog om geanonimiseerd bezoekersgedrag te meten. PostHog draait op EU-servers (Frankfurt). We meten welke pagina's worden bezocht, hoe lang bezoekers blijven en waar ze de site verlaten. We koppelen dit niet aan je naam, e-mailadres of profiel. Analytics-events worden maximaal 12 maanden bewaard. Session recordings worden maximaal 30 dagen bewaard. Grondslag: AVG art. 6 lid 1 sub a (toestemming via de cookiebanner).

Als je geen toestemming geeft, plaatst PostHog geen cookies en wordt er geen gedrag gemeten. Je keuze kun je op elk moment wijzigen via de cookiebanner.

6.3 Geen marketing- of trackingcookies

We plaatsen geen marketing-, advertentie- of trackingcookies van derden. Geen retargeting, geen advertentienetwerken, geen doorverkoop van gegevens.

7. Rechten van betrokkenen

Onder de AVG heb je de volgende rechten:

  • Inzage: je kunt opvragen welke gegevens we van je verwerken.
  • Rectificatie: je kunt onjuiste gegevens laten corrigeren.
  • Verwijdering: je kunt verzoeken om gegevens te laten verwijderen, voor zover er geen wettelijke bewaarplicht in de weg staat.
  • Beperking van verwerking: je kunt vragen de verwerking tijdelijk stil te zetten.
  • Dataportabiliteit: je kunt een kopie van je gegevens in een gestructureerd, machine-leesbaar formaat krijgen.
  • Bezwaar: je kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.
  • Intrekking van toestemming: als een verwerking berust op toestemming, kun je die altijd intrekken zonder opgaaf van reden.

Je kunt deze rechten uitoefenen via de zelfbedieningspagina mijn gegevens of per e-mail aan privacy@pauldingemans.com. We reageren binnen 30 dagen. Om je identiteit te controleren kunnen we aanvullende verificatie vragen, zonder onnodig persoonsgegevens op te vragen.

8. Klachtrecht Autoriteit Persoonsgegevens

Ben je het oneens met hoe wij met je gegevens omgaan en komen we er samen niet uit, dan heb je het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens. Je vindt de klachtenprocedure op autoriteitpersoonsgegevens.nl. We vragen je om ons eerst rechtstreeks te benaderen; dan kunnen we snel kijken of we het in goed overleg kunnen oplossen.

9. Beveiligingsmaatregelen

We nemen passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, ongeautoriseerde toegang en misbruik:

  • TLS 1.3 in transit: alle verbindingen met de website en onze verwerkers verlopen via versleuteld verkeer.
  • Encryptie at rest: gegevens in de database worden versleuteld opgeslagen.
  • 2FA op admin-toegang: het dashboard en het cliëntenportaal zijn alleen toegankelijk met tweefactorauthenticatie.
  • Least-privilege: rolgebaseerde toegang, elke rol heeft alleen de rechten die strikt nodig zijn.
  • Audit-logging: gevoelige acties op klantdossiers en medische data worden gelogd en periodiek gereviewd.
  • Bot- en rate-limit-bescherming: formulieren zijn beschermd met honeypot, Turnstile en een rate-limiter per IP-hash.

10. Datalek-protocol

Mocht er onverhoopt een datalek optreden, dan hanteren we het volgende protocol:

  • Het lek wordt binnen 24 uur na ontdekking intern geregistreerd en beoordeeld op risico voor betrokkenen.
  • Als het lek een risico oplevert voor rechten en vrijheden van betrokkenen melden wij het binnen 72 uur bij de Autoriteit Persoonsgegevens, conform AVG Art. 33.
  • Als het lek een hoog risico oplevert, informeren wij de betrokken personen rechtstreeks, in duidelijke taal en met concrete handelingsadviezen, conform AVG Art. 34.
  • We documenteren elk incident: oorzaak, impact, genomen maatregelen en structurele preventie.

11. Wijzigingen

Deze verklaring kan wijzigen, bijvoorbeeld bij nieuwe diensten, nieuwe verwerkers of aangescherpte wetgeving. De meest recente versie staat altijd op deze pagina. De datum bovenaan geeft aan wanneer de laatste wijziging is gedaan. Bij ingrijpende wijzigingen brengen we actieve gebruikers per e-mail op de hoogte.

12. Contact

Heb je vragen over deze privacy-verklaring, wil je een recht uitoefenen, of wil je een klacht indienen?

Stuur een e-mail naar privacy@pauldingemans.com. We reageren binnen 30 dagen, meestal sneller.

Einde privacy-verklaring · Laatst bijgewerkt 29 mei 2026