Compliance Dossier
Zorgcheck Aura • Spaarne Gasthuis
Gegenereerd op 16 maart 2026
Informatiebeveiliging & Privacy Waarborgen
Zorgcheck Aura Pilot • Specialistische Verslaglegging • zorgcheck.net
Zorgcheck Aura dwingt bij alle verwerkers (Deepgram & OpenAI) de hoogste privacy-instellingen af (mip_opt_out en no-store), waardoor data enkel in-memory wordt verwerkt en direct daarna wordt vernietigd.
Technische Privacy Architectuur
Security Flow
Arts
Audio
TLS 1.3 Encrypted Transit
Deepgram API
Zero Logging (mip_opt_out)
OpenAI API
No-Store Policy (DPA)
Arts
Verslag • Directe vernietiging audio & tekst
| Component | Privacy Waarborg |
|---|---|
| Hosting — Vercel (EU-regio) | TLS 1.3 Versleuteling & HSTS actief |
| Spraak-naar-tekst — Deepgram | mip_opt_out=true & redact=true (Zero Logging) |
| Medische Structurering — OpenAI (GPT-4o) | store: false (Conform Enterprise DPA) |
| Data Retentie — Eigen systeem | Strikte Zero Retention (Geen database opslag) |
Data Flow
Gebruiker
Audio
SSL/TLS
Encryptie
Deepgram API
Transcriptie
OpenAI API
via DPA
Browser
Verslag
Privacy Waarborgen
Zero Retention
Onze transcriptie-engine (Deepgram) is geconfigureerd met mip_opt_out=true, wat betekent dat audiofragmenten direct na verwerking worden vernietigd en nooit worden gebruikt voor modeltraining.
Geen Training
Data wordt conform de OpenAI DPA NOOIT gebruikt voor modeltraining.
Anonimisering
Namen en geboortedata worden direct vervangen door placeholders [Naam] en [Geboortedatum].
Deze configuratie is specifiek ontworpen om te voldoen aan de NEN 7510 normen voor informatiebeveiliging in de Nederlandse zorg.
Beleidsdocumenten
Zorgcheck Aura hanteert een informatiebeveiligingsbeleid dat voldoet aan de eisen van NEN 7510 voor informatiebeveiliging in de zorg. Het beleid is gericht op de bescherming van vertrouwelijke patiëntgegevens en medische informatie.
Kernpunten: Het beleid voorziet in (a) continue risicobeoordeling, (b) technische en organisatorische maatregelen (zoals TLS-versleuteling, zero retention bij verwerkers, en sessie-timeout), (c) toegangsbeheer en authenticatie, (d) bewustwording van gebruikers, en (e) periodieke beoordeling en bijstelling. Geen audio, transcriptie of medische verslagen worden opgeslagen. Verwerking vindt in-memory plaats en data wordt direct na gebruik vernietigd.
Het beleid wordt minimaal jaarlijks beoordeeld en aangepast bij wijzigingen in wet- en regelgeving of bij ernstige beveiligingsincidenten.
Bij vermoedens van een beveiligingsincident (zoals ongeautoriseerde toegang, datalek of technische storing) is het volgende protocol van toepassing.
1. Melding: Incidenten worden gemeld bij de verantwoordelijke (IT-manager of security contact). Noteer tijdstip, aard van het incident en betrokken systemen. Geen patiëntgegevens in de melding.
2. Beoordeling: Bepaal de ernst (laag/middel/hoog). Bij mogelijke inbreuk op persoonsgegevens: direct beoordelen of melding aan de Autoriteit Persoonsgegevens en betrokkenen noodzakelijk is (AVG art. 33–34).
3. Maatregelen: Isolatie van betrokken systemen indien nodig, analyse van oorzaak, en herstel van beschikbaarheid en integriteit. Documenteer genomen stappen.
4. Afronding: Evalueer het incident en pas procedures aan om herhaling te voorkomen. Bewaar alleen administratieve documentatie (geen patiëntdata).
Responsible Disclosure
Beveiliging is een continu proces. Ontdekt u een kwetsbaarheid? Meld dit dan direct via security@zorgcheck.net. Wij nemen binnen 24 uur contact met u op.
Verantwoordelijkheid
De arts is te allen tijde eindverantwoordelijk voor de controle en accuraatheid van het verslag voordat dit in het EPD wordt opgenomen.