Privacybeleid — Healthcall

Hoe Healthcall uw persoonsgegevens verzamelt, gebruikt en beschermt. GDPR-conform.

Ontwerp — na te lezen door een Belgische jurist gespecialiseerd in GDPR/zorgrecht vóór publicatie.

Dit document is een redactioneel ontwerp (v1) dat als basis dient voor het privacybeleid dat op healthcall.be wordt gepubliceerd. Het dient verplicht nagelezen, gecorrigeerd en gevalideerd te worden door een Belgische advocaat gespecialiseerd in GDPR en zorgrecht vóór elke publicatie in productie. De bewaartermijnen, de gekozen rechtsgronden, de vermeldingen met betrekking tot verwerkers en gezondheidsgegevens binden de aansprakelijkheid van Groovit SRL en dienen tegensprekelijk nagekeken te worden.

Alle elementen tussen [vierkante haakjes] zijn placeholders die vóór publicatie dienen ingevuld te worden (zie overzicht aan het einde van het document).

JSON-LD (in <head> in te voegen)

{
  "@context": "https://schema.org",
  "@graph": [
    {
      "@type": "WebPage",
      "@id": "https://healthcall.be/nl/privacybeleid#webpage",
      "url": "https://healthcall.be/nl/privacybeleid",
      "name": "Privacybeleid — Healthcall",
      "description": "Hoe Healthcall uw persoonsgegevens verzamelt, gebruikt en beschermt. GDPR-conform.",
      "inLanguage": "nl-BE",
      "isPartOf": { "@id": "https://healthcall.be/#website" },
      "about": { "@type": "Thing", "name": "Privacy Policy" },
      "datePublished": "2026-04-20",
      "dateModified": "2026-04-20"
    },
    {
      "@type": "Organization",
      "@id": "https://healthcall.be/#organization",
      "name": "Groovit SRL",
      "legalName": "Groovit SRL",
      "url": "https://healthcall.be",
      "brand": { "@type": "Brand", "name": "Healthcall" },
      "address": {
        "@type": "PostalAddress",
        "addressLocality": "Frasnes-lez-Anvaing",
        "addressCountry": "BE",
        "streetAddress": "[exact postadres in te vullen]"
      },
      "vatID": "[btw-nummer Groovit SRL in te vullen]",
      "email": "contact@healthcall.be",
      "contactPoint": [
        {
          "@type": "ContactPoint",
          "contactType": "Data Protection",
          "email": "dpo@healthcall.be",
          "availableLanguage": ["Dutch", "French", "English"]
        }
      ]
    },
    {
      "@type": "BreadcrumbList",
      "itemListElement": [
        { "@type": "ListItem", "position": 1, "name": "Home", "item": "https://healthcall.be/nl/" },
        { "@type": "ListItem", "position": 2, "name": "Privacybeleid", "item": "https://healthcall.be/nl/privacybeleid" }
      ]
    }
  ]
}

Privacybeleid

Laatste update : 20 april 2026 Ingangsdatum : [effectieve publicatiedatum in te vullen] Versie : 1.0

1. Inleiding en engagementen

De website healthcall.be wordt uitgegeven door Groovit SRL, vennootschap naar Belgisch recht met maatschappelijke zetel te Frasnes-lez-Anvaing, België (hierna « Healthcall », « wij »). Groovit SRL treedt op als verwerkingsverantwoordelijke in de zin van de Verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens (GDPR of AVG), in Belgisch recht aangevuld door de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.

Dit beleid beschrijft, in toepassing van de artikelen 13 en 14 GDPR, welke gegevens wij verzamelen wanneer u onze vitrinesite bezoekt of contact opneemt met onze teams, de doeleinden die wij nastreven, de ingeroepen rechtsgronden, de ontvangers, de bewaartermijnen alsook de rechten waarover u beschikt.

Wij verbinden ons ertoe enkel strikt noodzakelijke gegevens te verzamelen, deze op een eerlijke en transparante wijze te verwerken, ze te beveiligen via passende technische en organisatorische maatregelen, en ze nooit aan derden te verkopen voor commerciële doeleinden.

De wettelijke identificatiegegevens van de uitgever (benaming, ondernemingsnummer, btw, maatschappelijke zetel, hostingprovider) zijn opgenomen in onze juridische vermeldingen. Het beheer van cookies en tracers wordt uiteengezet in ons cookiebeleid.

2. Gegevens die wij verzamelen

2.1. Gegevens verzameld via onze formulieren

Wanneer u een van onze formulieren invult (contact of demo-aanvraag), verzamelen wij de volgende gegevens, afhankelijk van het gebruikte formulier :

  • Naam en voornaam
  • Professioneel e-mailadres
  • Telefoonnummer (optioneel voor contact, gevraagd voor demo)
  • Organisatie of structuur waartoe u behoort (woonzorgcentrum, WZC-groep, studiebureau, installateur, enz.)
  • Functie of rol (optioneel)
  • Vrije inhoud van uw bericht
  • Datum en uur van verzending

Deze gegevens worden vrijwillig door u ingevoerd ; de verstrekking ervan is bepalend voor ons vermogen om op uw vraag te antwoorden.

2.2. Automatisch verzamelde gegevens

Wanneer u op healthcall.be navigeert, verzamelen onze tools voor publieksmeting anonieme of geanonimiseerde technische informatie :

  • Via Matomo self-hosted (gehost op onze servers in België) :
    • Geanonimiseerd IP-adres (de 2 laatste octetten worden gemaskeerd vóór opslag)
    • Bezochte pagina’s, tijdstempel, navigatievolgorde, sessieduur
    • Type toestel, browser, besturingssysteem, schermresolutie
    • Verwijzende site of zoekmachine (referrer)
    • Geen enkele cookie wordt door Matomo in deze configuratie geplaatst
  • Via Microsoft Clarity (geanonimiseerde heatmaps en sessieopnames) :
    • Geanonimiseerde interacties (muisbewegingen, geaggregeerde kliks, scrollgedrag)
    • Agressieve PII-maskering serverzijdig geactiveerd (alle formuliervelden, e-mails en namen worden automatisch gemaskeerd in de opnames)
    • Uitgestelde lading (na minimum 10 seconden scrollen) om de verzameling te beperken tot effectief betrokken bezoekers

2.3. Anti-spam Turnstile (Cloudflare)

Om geautomatiseerde inzendingen (bots) op onze formulieren te voorkomen, gebruiken wij Cloudflare Turnstile in onzichtbare modus. Turnstile analyseert technische signalen van de browser (HTTP-header, TLS-vingerafdruk, JavaScript-gedrag) om te bepalen of de bezoeker een mens is. Volgens de Cloudflare-documentatie plaatst Turnstile geen enkele trackingcookie voor reclamedoeleinden en vormt het geen profileringsinstrument.

2.4. Technische cookies

De site kan een beperkt aantal strikt noodzakelijke cookies plaatsen voor zijn werking (taalvoorkeur, beveiligde sessie, CSRF-bescherming). Het volledige overzicht staat in het cookiebeleid.

3. Doeleinden van de verwerking

Wij verwerken uw gegevens uitsluitend voor de volgende doeleinden :

DoeleindeBeschrijving
Beantwoorden van uw aanvragenBehandelen van contact- en demo-aanvragen, kwalificeren van uw project, u opnieuw contacteren, een afspraak plannen.
Legitieme commerciële opvolgingU informatie bezorgen die rechtstreeks verband houdt met uw aanvraag, een demonstratie organiseren, een voorstel bezorgen.
Bevestigings- en opvolgingse-mailsEen ontvangstbevestiging versturen en, in voorkomend geval, de gevraagde technische of commerciële documenten, via onze dienstverlener voor transactionele e-mail Brevo.
Anonieme publieksmetingBegrijpen hoe de site geraadpleegd wordt (meest bekeken pagina’s, navigatietrajecten, ondervonden moeilijkheden) om de ergonomie en de inhoud ervan te verbeteren.
Veiligheid en fraudepreventieAutomatische inzendingen detecteren en blokkeren (Turnstile), de integriteit van onze systemen beschermen, toegangen registreren voor onderzoek bij een incident.

Wij gebruiken uw gegevens voor geen enkel ander doeleinde — in het bijzonder geen reclameprofilering, geen doorverkoop, geen verrijking van bestanden van derden.

4. Rechtsgronden (artikel 6 GDPR)

Elke hierboven beschreven verwerking steunt op een uitdrukkelijke rechtsgrond :

  • Precontractuele maatregelen op uw verzoek (art. 6.1.b GDPR) — verwerking van contact- en demo-aanvraagformulieren, daaropvolgende uitwisselingen. Wanneer u ons contacteert, is deze verwerking noodzakelijk voor de uitvoering van precontractuele maatregelen op uw initiatief.
  • Gerechtvaardigd belang (art. 6.1.f GDPR) — strikt anonieme publieksmeting, fraudepreventie, sitebeveiliging, bevestigingse-mails gekoppeld aan een lopende uitwisseling. Ons gerechtvaardigd belang bestaat erin de ervaring van professionele bezoekers te verbeteren, onze diensten te beveiligen en de continuïteit te verzekeren van een uitwisseling die u hebt opgestart. Dit belang werd afgewogen tegen uw grondrechten en blijkt evenredig gelet op het anonieme of geanonimiseerde karakter van de betrokken gegevens.
  • Wettelijke verplichting (art. 6.1.c GDPR) — bewaring van bepaalde technische sporen wanneer de wet of de rechtspraak dit vereist (toegangslogs, boekhoudkundige verplichtingen).

Geen toestemming vereist voor publieksmeting

Onze publieksmeting (Matomo zonder cookie, geanonimiseerd IP-adres) is ontworpen om onder de toestemmingsuitzondering te vallen zoals vermeld in de richtsnoeren van de Belgische GBA en de aanbevelingen van de EDPB inzake strikt anonieme publieksmeting. Zij laat ons niet toe een bezoeker te heridentificeren, voedt geen enkel reclameprofiel en blijft uitsluitend intern.

Deze analyse kan evolueren naargelang de regelgevende oriëntaties ; zij zal door onze juridische raadsman worden herzien en bevestigd vóór publicatie.

5. Ontvangers van de gegevens

Uw gegevens worden enkel meegedeeld aan ontvangers die strikt noodzakelijk zijn voor de uitvoering van de voormelde doeleinden :

  • Team Healthcall / Groovit SRL — bevoegde medewerkers, onderworpen aan een contractuele vertrouwelijkheidsverplichting, die de gegevens raadplegen op basis van het « need-to-know »-principe.
  • Brevo (Sendinblue SAS, Franse vennootschap) — verwerker voor het versturen van transactionele en bevestigingse-mails. Servers in de Europese Unie. Verwerkingscontract (Data Processing Agreement, DPA) ondertekend overeenkomstig artikel 28 GDPR. [Effectieve DPA te verifiëren vóór publicatie]
  • Diogenius — Belgische hostingprovider van ons privécluster (vitrinesite, Matomo self-hosted, databank). Servers gevestigd in België. Hostingcontract met GDPR-waarborgen. [Effectieve DPA te verifiëren vóór publicatie]
  • Cloudflare (Cloudflare Inc. / Cloudflare Ireland) — Turnstile anti-spam dienst. Overeenkomstig haar documentatie verwerkt Cloudflare strikt technische gegevens, in het kader van haar standaard contractuele clausules en haar openbare DPA.
  • Microsoft Clarity (Microsoft Ireland Operations Ltd, infrastructuur Azure EU Data Boundary) — geanonimiseerde heatmaps en sessieopnames. Microsoft Online Services DPA van toepassing. Gegevensresidentie Azure EU.
  • Cal.com (Cal.com Inc.) — online afsprakenplatform gebruikt wanneer u op « Kalender bekijken » klikt op onze demopagina. Servers EU/internationaal volgens het plan. DPA van toepassing. [Effectieve DPA te verifiëren vóór publicatie]

Doorgiften buiten de Europese Unie

Wij geven systematisch de voorkeur aan dienstverleners met servers in de Europese Unie. Wanneer een verwerker steunt op een internationale infrastructuur (Cloudflare, Microsoft, Cal.com), is de doorgifte omkaderd door de standaard contractuele clausules (Standard Contractual Clauses) aangenomen door de Europese Commissie, in voorkomend geval aangevuld met bijkomende technische maatregelen (versleuteling, pseudonimisering). Geen enkele onbeveiligde doorgifte buiten de EU wordt uitgevoerd.

6. Bewaartermijnen

Wij bewaren uw gegevens enkel voor de duur die noodzakelijk is voor de nagestreefde doeleinden en gaan vervolgens over tot hun wissing of onomkeerbare anonimisering.

GegevenBewaartermijnVerantwoording
Contactformulieren3 jaar vanaf de laatste uitwisselingCommerciële verjaring B2B (te bevestigen door juridisch advies)
Demo-aanvragen3 jaar vanaf de laatste uitwisselingOpvolging van commerciële opportuniteit
Transactionele e-mails (Brevo-logs)1 jaarIntegriteit van verzendlogs, misbruikbestrijding
Geanonimiseerde Matomo-gegevensMaximum 25 maandenJaarlijkse vergelijking van het publiek, daarna definitieve anonimisering
Microsoft Clarity-gegevens1 jaar (standaard Clarity-retentie)Retrospectieve UX-analyse
Servertoegangslogs (Caddy, fail2ban)30 dagenVeiligheid, incidentdetectie, misbruikfiltering
Boekhoudkundige gegevens gekoppeld aan een gesloten contract7 jaarBelgische wettelijke verplichting (art. III.86 WER)

Na afloop van deze termijnen worden de gegevens onomkeerbaar gewist of geanonimiseerd.

De vermelde termijnen vormen een streefkader en moeten door juridisch advies worden bevestigd vóór publicatie, in het bijzonder de commerciële termijnen (3 jaar) en de applicatielogs.

7. Gegevensbeveiliging

Wij implementeren passende technische en organisatorische maatregelen om de vertrouwelijkheid, integriteit en beschikbaarheid van uw gegevens te vrijwaren, overeenkomstig artikel 32 GDPR :

  • Versleuteling in transit : TLS 1.3 via Caddy 2 en Let’s Encrypt-certificaten, HSTS preload geactiveerd, versterkt beveiligingsbeleid (CSP, X-Frame-Options, Referrer-Policy, Permissions-Policy).
  • Versleuteling at rest : databank en back-ups versleuteld.
  • Privécluster met hoge beschikbaarheid gehost in België door Diogenius, met contractuele SLA.
  • Drievoudige MongoDB-databank in mirroring ter verzekering van de redundantie van toepassingsgegevens.
  • Dagelijkse back-ups (Proxmox Backup Server) gededupliceerd, geëxternaliseerd (offsite) en immutable.
  • Sterke authenticatie voor beheerderstoegang, beperkte SSH, root uitgeschakeld, firewall UFW + fail2ban.
  • Toegang tot gegevens strikt beperkt tot bevoegde medewerkers, op basis van het « need-to-know »-principe, met registratie van gevoelige toegangen.
  • Veiligheidstests en regelmatige code reviews, gestructureerd kwetsbaarhedenbeheer.

In geval van een inbreuk op de gegevens die een risico kan inhouden voor uw rechten en vrijheden, zullen wij de Gegevensbeschermingsautoriteit (GBA) melden binnen een termijn van 72 uur en u zo spoedig mogelijk informeren indien het risico hoog is, overeenkomstig de artikelen 33 en 34 GDPR.

8. Uw rechten

Overeenkomstig de artikelen 15 tot 22 GDPR en de Belgische wet van 30 juli 2018 beschikt u, ten aanzien van de gegevens die wij over u bewaren, over de volgende rechten :

  • Recht van toegang (art. 15) — bevestiging verkrijgen dat uw gegevens worden verwerkt en er een kopie van ontvangen.
  • Recht op rectificatie (art. 16) — een onjuist of onvolledig gegeven laten corrigeren.
  • Recht op wissing (art. 17) — de wissing van uw gegevens verkrijgen, binnen de door de wet voorziene grenzen (« recht om vergeten te worden »).
  • Recht op beperking van de verwerking (art. 18) — het gebruik van uw gegevens tijdelijk opschorten.
  • Recht op overdraagbaarheid (art. 20) — uw gegevens ontvangen in een gestructureerd en gangbaar formaat.
  • Recht van bezwaar (art. 21) — zich verzetten tegen een verwerking gesteund op gerechtvaardigd belang.
  • Recht om uw toestemming in te trekken op elk moment, wanneer de verwerking op uw toestemming steunt, zonder afbreuk te doen aan de rechtmatigheid van de eerder uitgevoerde verwerking.
  • Recht om niet onderworpen te zijn aan een geautomatiseerde individuele beslissing (art. 22) — niet van toepassing bij Healthcall, aangezien geen enkele geautomatiseerde verwerking met juridische of significante gevolgen wordt uitgevoerd.

Hoe uw rechten uitoefenen

U kunt deze rechten kosteloos uitoefenen door ons te contacteren :

  • Per e-mail : dpo@healthcall.be
  • Per post : Groovit SRL — Ter attentie van de Functionaris voor gegevensbescherming — [exact postadres te Frasnes-lez-Anvaing in te vullen]

Om u te kunnen identificeren, kunnen wij u bij redelijke twijfel om een identiteitsbewijs vragen. Wij zullen op uw aanvraag antwoorden binnen een maximale termijn van één maand vanaf ontvangst (art. 12.3 GDPR), termijn die met twee maanden kan worden verlengd bij complexe aanvragen, in welk geval u daarvan op de hoogte wordt gebracht.

9. Recht om een klacht in te dienen

Indien u meent dat de verwerking van uw gegevens niet conform de regelgeving verloopt, beschikt u over het recht om een klacht in te dienen bij de bevoegde toezichthoudende autoriteit :

Gegevensbeschermingsautoriteit (GBA) Drukpersstraat 35 1000 Brussel — België Tel. : +32 (0)2 274 48 00 Website : gegevensbeschermingsautoriteit.be

Wij nodigen u uit om, voor zover mogelijk, eerst contact met ons op te nemen vóór elke klacht, zodat wij kunnen trachten uw bezorgdheid rechtstreeks op te lossen.

10. Gezondheidsgegevens en bijzondere contexten

De vitrinesite healthcall.be verzamelt geen enkel gezondheidsgegeven rechtstreeks bij zijn bezoekers. De contact- en demoformulieren vragen geen enkele informatie met betrekking tot de gezondheid van een geïdentificeerde of identificeerbare natuurlijke persoon.

De verwerkingen uitgevoerd door de Healthcall-oplossing ingezet bij onze klanten (woonzorgcentra, assistentiewoningen) vallen onder een onderscheiden juridisch kader :

  • De klant — woonzorgcentrum of WZC-groep — is de verwerkingsverantwoordelijke voor de gezondheidsgegevens van zijn bewoners, in toepassing van zijn eigen zorgdoeleinde.
  • Groovit SRL treedt op als verwerker in de zin van artikel 28 GDPR, op basis van een verwerkersovereenkomst (DPA) afgesloten met elke klant.
  • De rechtsgronden van toepassing op gezondheidsgegevens verwerkt in het product zijn met name het vitaal belang van de betrokkene (art. 9.2.c GDPR), de wettelijke verplichtingen inzake gezondheidszorg (art. 9.2.h GDPR, in verband met het Woonzorgdecreet in Vlaanderen en de AViQ-normen in Wallonië) en, in voorkomend geval, de uitdrukkelijke toestemming.
  • Deze verwerkingen vallen niet onder dit beleid, dat enkel betrekking heeft op de vitrinesite. De verwerkingsmodaliteiten via de ingezette oplossing worden beschreven in de contractuele documenten en de GDPR-registers gehouden door elke verantwoordelijke klant.

Indien u bewoner bent van een woonzorgcentrum uitgerust met Healthcall en uw rechten op uw gezondheidsgegevens wenst uit te oefenen, dient u zich te richten tot de directie van uw woonzorgcentrum, die daarvan de verwerkingsverantwoordelijke is.

11. Wijzigingen van dit beleid

Healthcall kan dit beleid aanpassen om de evolutie van zijn diensten, van de regelgeving of van zijn verwerkers te weerspiegelen. Elke substantiële wijziging zal het voorwerp uitmaken van :

  • een bijwerking van de datum bovenaan het document ;
  • een zichtbare kennisgeving op de site (informatiebanner of kader) gedurende een redelijke periode ;
  • in voorkomend geval, een rechtstreekse informatie per e-mail aan de actieve contacten, wanneer de wijziging een verwerking rechtstreeks beïnvloedt.

De versiegeschiedenis van dit beleid wordt bewaard en kan op eenvoudig verzoek bekomen worden via dpo@healthcall.be.

12. Contact Functionaris voor gegevensbescherming

Voor elke vraag met betrekking tot dit beleid, tot de verwerking van uw gegevens of tot de uitoefening van uw rechten :

Functionaris voor gegevensbescherming (DPO)

  • Naam : [in te vullen zodra de formele aanstelling is gebeurd]
  • E-mail : dpo@healthcall.be
  • Postadres : Groovit SRL — Ter attentie van de DPO — [exact postadres te Frasnes-lez-Anvaing in te vullen]

Overzicht placeholders in te vullen vóór publicatie

  1. Exact postadres van Groovit SRL te Frasnes-lez-Anvaing (sectie JSON-LD, secties 8 en 12)
  2. Btw-nummer / ondernemingsnummer van Groovit SRL (JSON-LD)
  3. Naam van de Functionaris voor gegevensbescherming (sectie 12)
  4. Effectieve ingangsdatum (hoofding)
  5. Bewaartermijnen te bevestigen door jurist (sectie 6, in het bijzonder de commerciële 3 jaar en de 1 jaar Brevo-logs)
  6. Effectieve DPA’s te verifiëren ondertekend met : Brevo, Diogenius, Cloudflare, Microsoft (Clarity), Cal.com (sectie 5)
  7. Analyse ePrivacy-uitzondering / anonieme publieksmeting contradictorisch te laten valideren door Belgisch juridisch advies (sectie 4)
  8. Finale coherentie met het cookiebeleid (/nl/cookiebeleid) en met de juridische vermeldingen (/nl/juridische-vermeldingen) te verifiëren vóór kruispublicatie