Privacybeleid
Kernsamenvatting van het Privacybeleid van Apotheek De Glimlach B.V.
Apotheek De Glimlach B.V. verwerkt persoonsgegevens in het kader van apotheekzorg, medicatiebeoordelingen, e-commerce en B2B-leveringen. De onderneming bestaat uit één rechtspersoon, met verschillende handelsnamen en websites (Apotheek De Glimlach, Medivi.nl, ApotheekWebshop.nl en DokterWebshop.nl). Receptplichtige processen worden uitsluitend uitgevoerd vanuit de zorglocatie in Nijmegen; niet-receptplichtige webshopactiviteiten vinden plaats vanuit Weurt.
Wij verwerken uitsluitend persoonsgegevens die noodzakelijk zijn voor onze dienstverlening en voldoen aan alle toepasselijke wet- en regelgeving, waaronder de AVG, UAVG, WGBO, Geneesmiddelenwet, Telecommunicatiewet en de NEN-7510 normering. Medische gegevens worden altijd binnen de EU verwerkt.
Wij gebruiken persoonsgegevens voor onder andere: veilige medicatieverstrekking, medicatiebewaking, medicatiebeoordelingen (Medivi), websitefunctionaliteit, het verwerken van webshopbestellingen, klantenservice, logistiek, financiën en – na toestemming – marketing en analyse. Receptplichtige geneesmiddelen worden nooit retour genomen conform de Geneesmiddelenwet.
Gegevens worden gedeeld met zorgvuldig geselecteerde verwerkers, zoals ICT-leveranciers, hostingpartijen, logistieke partners, zorgverleners in de keten, betaaldiensten en accountant-/administratiekoppelingen. Met alle verwerkers zijn verwerkersovereenkomsten gesloten. Internationale doorgifte vindt alleen plaats met passende AVG-waarborgen zoals SCC’s.
Beveiliging vindt plaats conform NEN 7510, inclusief encryptie, toegangsbeheer, logging, beveiligde e-mail en periodieke audits. Er is een formele datalekprocedure via QLink en Stichting PrivacyZorg.
Betrokkenen hebben recht op inzage, rectificatie, verwijdering, bezwaar, dataportabiliteit, beperking van verwerking en het intrekken van toestemming. Privacyverzoeken kunnen worden ingediend via:
- Apotheek De Glimlach: welkom@apotheekdeglimlach.nl
- Medivi: welkom@medivi.nl
- ApotheekWebshop.nl: bestellen@apotheekwebshop.nl
Onze Functionaris Gegevensbescherming is mevrouw E. de Waal (FG014298), via Stichting PrivacyZorg. Klachten kunnen worden ingediend bij Apotheek De Glimlach B.V. of bij de Autoriteit Persoonsgegevens.
Bewaartermijnen zijn wettelijk bepaald: medische dossiers 20 jaar, financiële administratie 7 jaar, webshopadministratie tot 7 jaar, en marketinggegevens totdat toestemming wordt ingetrokken. Het volledige privacybeleid wordt gepubliceerd op onze websites en periodiek geactualiseerd.
Hoofdstuk 1 — Inleiding & Definities
1.1 Inleiding
1.2 Reikwijdte en toepasselijkheid
1.3 Locaties en organisatie (Nijmegen & Weurt)
1.4 Definities
1.5 Wijzigingen en actualisatie
Hoofdstuk 2 — Categorieën Persoonsgegevens
2.1 Patiënten en cliënten (zorglocatie Nijmegen)
2.2 Webshopklanten (Weurt)
2.3 Receptplichtige webshopbestellingen
2.4 Medivi medicatiebeoordelingen
2.5 Zorgverleners en ketenpartners
2.6 B2B-klanten
2.7 Sollicitanten
2.8 Medewerkers
2.9 Websitebezoekers
2.10 Overige categorieën gegevens
Hoofdstuk 3 — Doeleinden en Rechtsgrondslagen
3.1 Zorgverlening
3.2 Niet-receptplichtige e-commerce
3.3 Receptplichtige webshopprocessen
3.4 Medicatiebeoordelingen (Medivi)
3.5 Marketing en analyse
3.6 Profilering
3.7 Fraudepreventie
3.8 Financiële administratie
3.9 Personeelszaken
3.10 Juridische verplichtingen
Hoofdstuk 4 — Bewaartermijnen
4.1 Medische gegevens (20 jaar)
4.2 Receptplichtige webshopbestellingen
4.3 Niet-receptplichtige e-commerce
4.4 Kwaliteits- en incidentendossiers
4.5 Sollicitatie- en personeelsgegevens
4.6 Financiële administratie
4.7 Logging en beveiligingslogs
4.8 Zorgverleners en zakelijke relaties
4.9 Uitzonderingen
Hoofdstuk 5 — Verstrekking aan Derden (Ontvangers & Verwerkers)
5.1 Zorgverleners in de keten
5.2 Zorgverzekeraars
5.3 Farmaceutische groothandels en leveranciers
5.4 ICT-leveranciers
5.5 Webshopplatforms en fulfilment
5.6 Betaaldiensten
5.7 Logistieke partners
5.8 Communicatieplatforms
5.9 Marketingdiensten
5.10 Administratie en boekhouding
5.11 Overheidsinstanties en toezichthouders
5.12 Internationale verwerkers (SCC’s)
5.13 Geen verkoop van persoonsgegevens
Hoofdstuk 6 — Beveiliging van Persoonsgegevens
6.1 Technische maatregelen
6.2 Organisatorische maatregelen
6.3 Veilige gegevensuitwisseling
6.4 Systemen en compliance
6.5 Fysieke beveiliging
6.6 Audits en evaluaties
6.7 Meldplicht datalekken
Hoofdstuk 7 — Rechten van Betrokkenen
7.1 Overzicht van rechten
7.2 Uitoefenen van rechten per website (3 e-mailadressen)
7.3 Identiteitscontrole
7.4 Termijnen
7.5 Beperkingen
7.6 Kosten
7.7 Intrekken van toestemming
Hoofdstuk 8 — Klachten, FG en Toezicht
8.1 Klacht indienen bij Apotheek De Glimlach B.V.
8.2 Functionaris Gegevensbescherming
8.3 Contact FG
8.4 Klacht bij Autoriteit Persoonsgegevens
8.5 Rechtsmiddelen
Hoofdstuk 9 — Datalekken en Meldplicht
9.1 Definitie
9.2 Registratie in QLink
9.3 Interne beoordeling
9.4 Rol van de FG
9.5 Melding bij AP
9.6 Informeren van betrokkenen
9.7 Datalekken bij verwerkers
9.8 Preventie
9.9 Bewaarplicht incidenten
9.10 Evaluatie
Hoofdstuk 10 — Cookies en Tracking
10.1 Uitgebreide cookiebanner
10.2 Noodzakelijke cookies
10.3 Analytische cookies
10.4 Personalisatiecookies
10.5 Marketingcookies
10.6 Cookies van derden
10.7 Intrekken van toestemming
10.8 Bewaartermijnen
10.9 Geen medische tracking
10.10 Blokkeren van cookies
Hoofdstuk 11 — Verwerking binnen de EU en Internationale Doorgifte
11.1 Verwerking binnen NL/EU
11.2 Internationale doorgifte (VS/Canada)
11.3 Geen doorgifte van medische gegevens buiten EU
11.4 AVG-waarborgen (SCC’s)
11.5 Toestemming bij marketing
11.6 Geen onnodige doorgifte
11.7 Juridische verplichtingen
11.8 Opslaglocaties
11.9 Documentatieplicht
11.10 Evaluatie
Hoofdstuk 12 — Duur van Opslag en Archivering
12.1 Algemene principes
12.2 Medisch archief (20 jaar)
12.3 E-commerce archivering
12.4 Kwaliteitssystemen
12.5 Personeel & sollicitaties
12.6 Verwijderen & anonimisering
12.7 Verantwoordelijkheid
Hoofdstuk 13 — Slotbepalingen en Inwerkingtreding
13.1 Verantwoordelijke entiteit
13.2 Toepasselijkheid
13.3 Publicatie
13.4 Wijzigingen
13.5 Versiebeheer
13.6 Inwerkingtreding
13.7 Slotverklaring
13.8 Contactpunt voor privacyvragen
1. Inleiding
Dit Privacybeleid beschrijft hoe Apotheek De Glimlach B.V., gevestigd aan Dennenstraat 106, 6543 JW Nijmegen, Nederland, persoonsgegevens verwerkt in het kader van zorgverlening, medicatiebeoordelingen, e-commerceactiviteiten en overige diensten.
Apotheek De Glimlach B.V. is verwerkingsverantwoordelijke in de zin van de Algemene verordening gegevensbescherming (AVG) en aanverwante wet- en regelgeving, waaronder:
- de Wet op de geneeskundige behandelingsovereenkomst (WGBO)
- de Geneesmiddelenwet
- de Telecommunicatiewet
- de Uitvoeringswet AVG (UAVG)
- de normen NEN 7510, NEN 7512, NEN 7513 en ISO 27001
Apotheek De Glimlach B.V. verzorgt haar dienstverlening vanuit twee locaties:
1.1 Zorglocatie (Hoofdlocatie) — Dennenstraat 106, 6543 JW Nijmegen
Vanuit deze locatie worden de volgende diensten uitgevoerd:
- alle apotheekzorg en medicatieverstrekking
- receptverwerking en medicatiebewaking
- farmaceutische dienstverlening aan cliënten van Apotheek De Glimlach
- alle werkzaamheden voor Medivi.nl (medicatiebeoordelingen, intakeformulieren, telefonische begeleiding)
- alle receptplichtige processen voor:
- ApotheekWebshop.nl
- DokterWebshop.nl (B2B)
- toekomstige uitbreiding van receptverwerking in digitale omgevingen
1.2 Webshop- en logistieke locatie — Mortelweg 16-D, 6551 AE Weurt
Vanuit deze locatie worden uitsluitend niet-receptplichtige activiteiten uitgevoerd, waaronder:
- beheer van ApotheekWebshop.nl (niet-receptplichtige producten)
- inkoop, opslag en fulfilment van webshopartikelen
- logistieke verzending van niet-receptplichtige bestellingen
- klantenservice voor e-commerceactiviteiten
Receptplichtige geneesmiddelen worden nooit vanuit Weurt verwerkt of verstrekt; deze processen vallen volledig onder de verantwoordelijkheid van de hoofdlocatie in Nijmegen.
2. Reikwijdte van dit Privacybeleid
Dit Privacybeleid is van toepassing op alle persoonsgegevens die Apotheek De Glimlach B.V. verwerkt in het kader van:
- Apotheekzorg via Apotheek De Glimlach (Nijmegen)
- Online zorgdiensten en medicatiebeoordelingen via Medivi.nl
- E-commerce en geneesmiddelenverkoop via ApotheekWebshop.nl
- Professionele/B2B-zorgleveringen via (toekomstig) DokterWebshop.nl
- alle bijbehorende communicatiesystemen, digitale formulieren en interne bedrijfsprocessen
Waar in dit document wordt gesproken over “Apotheek De Glimlach B.V.”, omvat dit tevens alle handelsnamen, websites, applicaties en digitale diensten die onder de verantwoordelijkheid van de vennootschap vallen.
3. Definities
In dit Privacybeleid wordt verstaan onder:
a. Persoonsgegevens
Alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon als bedoeld in artikel 4 AVG.
b. Bijzondere persoonsgegevens
Gegevens over gezondheid, medicatie, medische geschiedenis, BSN en overige gegevens zoals bedoeld in artikel 9 AVG.
c. Verwerking
Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder het verzamelen, vastleggen, opslaan, raadplegen, wijzigen, doorzenden of verwijderen daarvan.
d. Betrokkene
De natuurlijke persoon op wie de persoonsgegevens betrekking hebben.
e. Verwerkingsverantwoordelijke
Apotheek De Glimlach B.V., die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
f. Verwerker
Een partij die namens Apotheek De Glimlach B.V. persoonsgegevens verwerkt volgens artikel 28 AVG.
g. Zorgverleners in de keten
Huisartsen, specialisten, dienstapotheken, huisartsenposten en andere zorgaanbieders waarmee samenwerking noodzakelijk is voor veilige farmaceutische zorg.
h. LSP (Landelijk Schakelpunt)
Het landelijke systeem voor veilige elektronische gegevensuitwisseling, beheerd door VZVZ.
i. Datalek
Een inbreuk op de beveiliging zoals bedoeld in artikel 4 AVG die leidt tot verlies, wijziging, diefstal of onrechtmatige verstrekking van persoonsgegevens.
j. Functionaris Gegevensbescherming (FG)
Mevrouw E. de Waal, FG014298, werkzaam via Stichting PrivacyZorg.
4. Wijzigingen in het privacybeleid
Apotheek De Glimlach B.V. behoudt zich het recht voor dit Privacybeleid te wijzigen. Wijzigingen worden gepubliceerd op de relevante websites en treden in werking op het moment van publicatie, tenzij anders aangegeven.
HOOFDSTUK 2 — CATEGORIEËN PERSOONSGEGEVENS
Apotheek De Glimlach B.V. verwerkt verschillende categorieën persoonsgegevens. De aard en omvang van de gegevensverwerking is afhankelijk van de relatie tussen de betrokkene en de onderneming (zoals patiënt, cliënt, klant, websitebezoeker, zorgverlener, medewerker of zakelijke relatie).
Onderstaand overzicht beschrijft per categorie welke persoonsgegevens worden verwerkt.
2.1 Gegevens van patiënten en cliënten (Apotheekzorg & Medivi)
Deze gegevens worden uitsluitend verwerkt binnen de zorglocatie aan de Dennenstraat 106, Nijmegen, ten behoeve van farmaceutische zorg, medicatiebeoordelingen en dossierbeheer.
Categorieën persoonsgegevens:
- Identificatiegegevens: naam, adres, geboortedatum, geslacht
- Contactgegevens: telefoonnummer, e-mailadres
- Burgerservicenummer (BSN)
- Medische gegevens: medicatiehistorie, contra-indicaties, allergieën, diagnoses indien relevant, laboratorium- of meetwaarden (indien gedeeld)
- Receptinformatie: voorschrijver, dosering, medicatiebewakingssignalen
- Medicatiebeoordelings- en intakegegevens (Medivi)
- Informatie afkomstig van zorgverleners in de keten (huisarts, specialist, dienstapotheek, HAP)
- Gegevens over spoedzorg, waarneming en overdracht (o.a. via LSP en lokale samenwerkingsverbanden)
- Communicatie- en contactnotities die relevant zijn voor veilige farmaceutische zorg
- Verzekerings- en declaratiegegevens
- Eventuele fotodocumentatie of aanvullend bewijsmateriaal indien door betrokkene verstrekt
Toekomstige uitbreiding (vóór 1 december 2025):
- receptuploads en BSN worden uitsluitend verwerkt via Jotform Gold (EU-locatie)
- deze gegevens worden niet meer opgeslagen in Shopify
2.2 Gegevens van webshopklanten (ApotheekWebshop.nl)
Deze gegevens worden verwerkt vanuit de locatie Mortelweg 16-D, Weurt en uitsluitend in het kader van niet-receptplichtige bestellingen.
Categorieën persoonsgegevens:
- Naam, adres, postcode, woonplaats
- E-mailadres en telefoonnummer
- Bestelgeschiedenis en ordergegevens
- Betaalstatus en betalingsgegevens (via Mollie; Mollie ontvangt betaalgegevens namens jullie)
- Klantenservice- en contactnotities
- Retourverzoeken en claims
- Track & trace-informatie via PostNL, DHL, DPD of Monta
Alle receptplichtige persoonsgegevens worden niet via deze locatie verwerkt.
2.3 Gegevens voor receptplichtige webshopbestellingen (ApotheekWebshop.nl & DokterWebshop.nl)
Receptplichtige bestellingen worden altijd afgehandeld door de hoofdlocatie in Nijmegen.
Categorieën persoonsgegevens:
- Receptgegevens (arts, dosering, voorschrift, foto of upload)
- BSN
- Medische informatie die noodzakelijk is voor medicatiebewaking en receptverwerking
- Identiteitscontrolegegevens indien wettelijk vereist
- Overige door betrokkene aangeleverde medische informatie
Vanaf 1 december 2025:
- deze gegevens worden uitsluitend verwerkt via Jotform Gold (EU)
- Shopify verwerkt géén medische gegevens meer
2.4 Gegevens van deelnemers aan medicatiebeoordelingen (Medivi.nl)
Deze gegevens omvatten de volledige intake- en beoordelingsinformatie die wordt verwerkt door Apotheek De Glimlach B.V.
Categorieën persoonsgegevens:
- Identificatie- en contactgegevens
- Medicatiegebruik (actueel en historisch)
- Gezondheidsstatus en medische voorgeschiedenis voor zover relevant
- Gegevens verkregen uit digitale formulieren (Jotform Gold – EU)
- Gegevens opgevraagd bij artsen met toestemming betrokkene
- Telefoonnotities en evaluatierapportages
- Adviezen, terugkoppelingen en communicatie met artsen
2.5 Gegevens van zorgverleners en ketenpartners
Voor de samenwerking binnen de zorgketen worden gegevens van zorgverleners verwerkt, waaronder:
- Naam, functie, organisatie
- Contactgegevens zoals e-mailadres en telefoonnummer
- Zorginhoudelijke correspondentie
- Relevante documentatie voor overdracht of waarneming
2.6 Gegevens van zakelijke klanten (B2B – DokterWebshop.nl)
Betreft onder andere medische professionals, instellingen en praktijken.
Gegevenscategorieën:
- Bedrijfsnaam, vestigingsadres, correspondentieadres
- Naam en functie van contactpersoon
- Zakelijke e-mail en telefoonnummer
- Bestel-, factuur- en leveringsinformatie
- BTW- en KvK-registratiegegevens
2.7 Gegevens van sollicitanten
Indien sollicitanten reageren op vacatures, worden de volgende gegevens verwerkt:
- Naam, adres, woonplaats
- Contactgegevens
- CV, opleidingen en arbeidsverleden
- Gespreksnotities
- Eventuele referenties (indien vrijwillig verstrekt)
2.8 Gegevens van medewerkers
Voor personeel worden onder meer de volgende gegevens verwerkt:
- Identificatiegegevens
- Contract- en salarisgegevens
- Administratieve informatie
- Registraties in Qlink ten aanzien van kwaliteit, bevoegdheden en incidentmeldingen
- Opleidings- en certificeringsgegevens
- Gegevens in het kader van Arbo en verzuim
2.9 Gegevens van websitebezoekers
Voor alle websites van Apotheek De Glimlach B.V. worden de volgende gegevens verwerkt:
- IP-adres
- Cookies en tracking-technologieën
- Browser- en apparaatkenmerken
- Logbestanden
- Websitegedrag en klikgedrag (Google Analytics, Meta Ads, etc.)
- Cookievoorkeuren en toestemmingsregistraties
2.10 Overige categorieën gegevens
Onder meer:
- Communicatiegegevens via e-mail, WhatsApp Business en telefonie
- Documenten en bewijsstukken door klanten aangeleverd
- Administratieve gegevens voor boekhouding, fiscaliteit en naleving wetgeving
- Veiligheids- en auditlogs
HOOFDSTUK 3 — DOELEINDEN EN RECHTSGRONDSLAGEN VAN DE VERWERKING
Apotheek De Glimlach B.V. verwerkt persoonsgegevens uitsluitend indien daarvoor een wettelijke grondslag bestaat zoals bedoeld in de AVG (artikelen 6 en 9), en uitsluitend voor de doeleinden die noodzakelijk zijn voor zorgverlening, bedrijfsvoering, e-commerce, medicatiebeoordelingen, kwaliteitsborging en wettelijke verplichtingen.
Onderstaand wordt per verwerkingsdoel aangegeven welke categorieën persoonsgegevens worden verwerkt en op welke rechtsgrondslagen de verwerking berust.
3.1 Zorgverlening (Apotheek De Glimlach, Medivi en receptplichtige webshopbestellingen)
Deze verwerking vindt uitsluitend plaats via de zorglocatie Dennenstraat 106, Nijmegen.
Doeleinden:
a. Het verstrekken van geneesmiddelen en farmaceutische zorg
b. Medicatiebewaking, interactiecontrole en contra-indicatiebewaking
c. Het verwerken, controleren en archiveren van recepten
d. Het contact met behandelend zorgverleners en voorschrijvers
e. Uitvoering van medicatiebeoordelingen (Medivi)
f. Het opvragen van medische gegevens bij artsen met toestemming van betrokkene
g. Het uitvoeren van analyses ter verbetering van medicatieveiligheid
h. Voorschrift-, dossier- en receptbeheer
i. Declaraties richting zorgverzekeraars
j. Spoedzorg, overdracht en waarneming (waaronder LSP)
Rechtsgrondslagen:
- Uitvoering van de behandelrelatie / overeenkomst (art. 6 lid 1 sub b AVG)
- Wettelijke verplichting (art. 6 lid 1 sub c AVG), waaronder:
- WGBO (20 jaar bewaarplicht)
- Geneesmiddelenwet (veilig verstrekken geneesmiddelen)
- Declaratieverplichtingen richting zorgverzekeraars
- Vitaal belang van de betrokkene (art. 6 lid 1 sub d AVG)
- met name bij spoed en waarneming
- Uitdrukkelijke toestemming (art. 6 lid 1 sub a en art. 9 lid 2 sub a AVG) voor:
- gegevensuitwisseling via het Landelijk Schakelpunt (LSP)
- gegevensopvraag bij artsen in het kader van Medivi-medicatiebeoordelingen
- Verwerking van gezondheidsgegevens op grond van zorgverlening (art. 9 lid 2 sub h AVG)
3.2 Niet-receptplichtige e-commerce (ApotheekWebshop.nl)
Deze verwerking vindt plaats via Mortelweg 16-D, Weurt.
Doeleinden:
a. Het verwerken en uitleveren van webshopbestellingen
b. Klantenservice en communicatie
c. Accountbeheer en facturatie
d. Retourverwerking (voor zover toegestaan)
e. Logistieke afhandeling en track & trace
f. Financiële administratie
Rechtsgrondslagen:
- Uitvoering van de overeenkomst (art. 6 lid 1 sub b AVG)
- Wettelijke verplichting voor fiscale bewaarplicht (art. 6 lid 1 sub c AVG)
- Gerechtvaardigd belang (art. 6 lid 1 sub f AVG) voor:
- fraudepreventie
- beveiliging
- verbetering van webshopfunctionaliteit
Let op:
Medische gegevens worden niet verwerkt via de locatie in Weurt.
3.3 Receptplichtige webshopbestellingen (ApotheekWebshop.nl & DokterWebshop.nl)
Receptplichtige bestellingen worden volledig verwerkt door de zorglocatie in Nijmegen.
Doeleinden:
a. Beoordeling, controle en verwerking van recepten
b. Medicatiebewaking en risicobeoordeling
c. Identiteitscontrole indien wettelijk vereist
d. Wettelijke verslaglegging en archivering
e. Communicatie met voorschrijvers
Rechtsgrondslagen:
- Uitvoering behandelrelatie / overeenkomst (art. 6 lid 1 sub b AVG)
- Wettelijke verplichting: Geneesmiddelenwet, WGBO (art. 6 lid 1 sub c AVG)
- Verwerking van gezondheidsgegevens in het kader van zorgverlening (art. 9 lid 2 sub h AVG)
- Toestemming indien gegevens via arts worden opgevraagd (Medivi-context)
3.4 Medicatiebeoordelingen (Medivi.nl)
Uitgevoerd door de apotheeklocatie Nijmegen.
Doeleinden:
a. Uitvoeren van medicatiereviews voor polyfarmacie en risicogroepen
b. Verzamelen van medische gegevens via digitale intake (Jotform Gold EU)
c. Contact met artsen voor aanvullende informatie (met toestemming)
d. Opstellen van adviesrapporten voor cliënten en artsen
e. Archivering in het cliëntdossier
Rechtsgrondslagen:
- Uitvoering van de behandelrelatie (art. 6 lid 1 sub b)
- Wettelijke verplichting (art. 6 lid 1 sub c), waaronder medicatieveiligheidsrichtlijnen
- Gezondheidsverwerking in de zorg (art. 9 lid 2 sub h AVG)
- Uitdrukkelijke toestemming bij gegevensopvraag bij artsen (art. 9 lid 2 sub a AVG)
3.5 Marketing, personalisatie en analyse
Doeleinden:
a. Verzenden van nieuwsbrieven en promotionele communicatie
b. Analyse van websitegebruik (Analytics)
c. Remarketing via Google en Meta
d. Klantsegmentatie en personalisatie via Klaviyo
e. Statistische analyse ter optimalisatie van diensten
Rechtsgrondslagen:
- Toestemming voor marketing en trackingcookies (art. 6 lid 1 sub a AVG)
- Gerechtvaardigd belang (art. 6 lid 1 sub f AVG) voor:
- niet-identificeerbare statistieken
- beveiliging
- basisanalyse binnen cookiebanner-instellingen
3.6 Profilering
Apotheek De Glimlach B.V. past lichte marketingprofilering toe voor:
- doelgroepsegmentatie
- gepersonaliseerde aanbiedingen
- advertentie-optimalisatie
Er worden geen besluiten genomen die juridische of vergelijkbare gevolgen hebben op basis van automatische verwerking.
Rechtsgrondslagen:
- Toestemming (voor profiling via cookies en marketingtools)
- Gerechtvaardigd belang (lichte segmentatie binnen Klaviyo zonder gevoelige gegevens)
3.7 Fraudepreventie en beveiliging
Doeleinden:
a. Detectie en preventie van fraude
b. Misbruikdetectie door betaalproviders (Mollie, Klarna, Riverty)
c. IT-beveiliging, monitoring en logging
Rechtsgrondslagen:
- Gerechtvaardigd belang (art. 6 lid 1 sub f AVG)
- Wettelijke verplichting (bij vermoedens van strafbare feiten)
3.8 Financiële administratie
Doeleinden:
a. Boekhouding
b. Jaarrekeningverplichtingen
c. Salarisverwerking
d. Audit en belastingcontrole
Rechtsgrondslagen:
- Wettelijke verplichting (art. 6 lid 1 sub c AVG)
3.9 Sollicitaties en personeel
Doeleinden:
a. Werving en selectie
b. Personeels- en salarisadministratie
c. Beoordelingen en bevoegdheidsregistraties
d. Kwaliteits- en incidentregistratie (via Qlink)
Rechtsgrondslagen:
- Uitvoering van de overeenkomst
- Wettelijke verplichting
- Gerechtvaardigd belang (interne bedrijfsvoering)
3.10 Juridische verplichtingen
Apotheek De Glimlach B.V. verwerkt persoonsgegevens indien dit noodzakelijk is voor:
- nakoming van wettelijke plichten
- toezicht en inspectie (IGJ, NZa, AP)
- interne audits
- klachten- en geschillenprocedures
HOOFDSTUK 4 — BEWAARTERMIJNEN VAN PERSOONSGEGEVENS
Apotheek De Glimlach B.V. bewaart persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor deze zijn verzameld, tenzij een wettelijke bewaartermijn verplicht stelt dat gegevens langer moeten worden bewaard. De hieronder opgenomen bewaartermijnen volgen uit de AVG, de WGBO, de Geneesmiddelenwet, fiscale wetgeving en toepasselijke kwaliteitsnormen (NEN 7510 e.v.).
Bewaartermijnen worden toegepast ongeacht via welke website of dienstverlening de persoonsgegevens zijn verkregen (Apotheek De Glimlach, ApotheekWebshop.nl, Medivi.nl, DokterWebshop.nl).
4.1 Medische dossiers (Apotheekzorg en Medivi)
Voor alle medische gegevens geldt de wettelijke bewaarplicht.
Categorie gegevens
- Medicatiedossier
- Receptinformatie
- Medicatiebewakingsgegevens
- Medische intake- en dossierinformatie (Medivi)
- Correspondentie met zorgverleners
- Overdrachtsinformatie (o.a. LSP)
- BSN en identificatiegegevens
- Gezondheidsgegevens verstrekt via intakeformulieren (Jotform Gold)
Bewaartermijn
20 jaar
Conform artikel 7:454 BW (WGBO), Geneesmiddelenwet en geldende farmaceutische richtlijnen.
Indien medische gegevens relevant blijven voor goede zorg, mag de bewaartermijn worden verlengd.
4.2 Receptplichtige webshopbestellingen
Persoonsgegevens die betrekking hebben op receptplichtige bestellingen via:
- ApotheekWebshop.nl
- DokterWebshop.nl
worden behandeld als reguliere apotheekzorg.
Bewaartermijn
20 jaar (WGBO).
Vanaf 1 december 2025 worden deze gegevens uitsluitend via Jotform Gold (EU) verwerkt.
4.3 Niet-receptplichtige e-commerce gegevens (ApotheekWebshop.nl)
Deze gegevens worden verwerkt vanuit de locatie Weurt en vallen onder de e-commerce bewaartermijnen.
Categorie gegevens en bewaartermijnen:
-
Klantgegevens in de webshopomgeving:
→ Bewaard zolang het account actief is.
→ Bij 6 maanden inactiviteit: account kan worden verwijderd op verzoek klant. -
Order- en factuurgegevens:
→ 7 jaar (verplichting fiscale administratie). -
Klantenservice- en communicatiegegevens:
→ 2 jaar na afhandeling van de vraag/klacht. -
Retourgegevens (indien toegestaan):
→ 2 jaar. -
Logistieke gegevens (track & trace):
→ 6 maanden, tenzij langer noodzakelijk voor geschilafhandeling. -
Betaalstatus en betaalgegevens (via Mollie):
→ Bewaard conform wettelijke verplichtingen bij de betaalprovider (meestal 7 jaar).
4.4 Marketing-, analytics- en cookiegegevens
Deze gegevens worden bewaard overeenkomstig marktstandaarden en cookietoestemming.
Categorie gegevens en bewaartermijnen:
-
Website-analysegegevens (bijv. Google Analytics):
→ 12 maanden. -
Remarketingdoelgroepen (Meta Ads, Google Ads):
→ 12 maanden, tenzij gebruiker eerder toestemming intrekt. -
Nieuwsbrief- en e-mailmarketinggegevens (Klaviyo):
→ Bewaard tot uitschrijving door betrokkene.
→ Bewijs van toestemming wordt bewaard zolang de nieuwsbriefrelatie bestaat. -
Cookievoorkeuren en toestemmingsregistraties:
→ 6–12 maanden, afhankelijk van cookie-instellingen.
4.5 Sollicitatiegegevens
Sollicitatiegegevens worden bewaard voor de duur van de selectieprocedure.
Bewaartermijn:
- 4 weken na afronding sollicitatieprocedure
- 12 maanden wanneer betrokkene toestemming geeft voor bewaring voor toekomstige functies
4.6 Personeelsgegevens
Categorie gegevens en bewaartermijnen:
- Salarisadministratie: 7 jaar
- Arbeidscontracten: maximaal 2 jaar na einde dienstverband
- Beoordelingen en functioneringsgegevens: maximaal 2 jaar na einde dienstverband
- Verzuim- en Arbo-gegevens: zolang noodzakelijk i.v.m. wettelijke verplichtingen
- Kwalificatiedossiers (Qlink-registraties): conform farmaceutische richtlijnen (meestal 5–7 jaar)
4.7 Administratieve en financiële gegevens
Deze gegevens worden gebruikt voor boekhouding, audits en wettelijke verplichtingen.
Bewaartermijn:
- 7 jaar, conform fiscale wetgeving
4.8 Logbestanden en beveiligingslogs
Voor het detecteren van beveiligingsincidenten en datalekken.
Bewaartermijn:
- 6 maanden, tenzij noodzakelijk voor onderzoek of naleving wettelijke verplichtingen.
4.9 Gegevens van zorgverleners en zakelijke relaties
Bewaartermijn:
- Gedurende de looptijd van de samenwerking
- Vervolgens maximaal 2 jaar na beëindiging van de samenwerking
4.10 Uitzonderlijke omstandigheden
In de volgende gevallen kan Apotheek De Glimlach B.V. gegevens langer bewaren:
- indien noodzakelijk voor het voeren van een juridische procedure
- indien wettelijk verplicht
- indien de betrokkene expliciet toestemming verleent
- indien het noodzakelijk is ter bescherming van vitale belangen van betrokkene
HOOFDSTUK 5 — VERSTREKKING VAN PERSOONSGEGEVENS AAN DERDEN (ONTVANGERS & VERWERKERS)
Apotheek De Glimlach B.V. verstrekt persoonsgegevens uitsluitend aan derden indien dit noodzakelijk is voor de uitvoering van haar diensten, voor de naleving van wettelijke verplichtingen of indien daarvoor toestemming is verleend. Met alle verwerkers zijn verwerkersovereenkomsten gesloten conform artikel 28 AVG. De beveiligingsnormen NEN 7510, NEN 7512, NEN 7513 en ISO 27001 worden in de keten geborgd waar vereist.
Onderstaand zijn alle categorieën ontvangers en hun rol bij de verwerking opgenomen.
5.1 Zorgverleners in de keten
Persoonsgegevens worden gedeeld met zorgverleners uitsluitend wanneer dit noodzakelijk is voor veilige farmaceutische zorg of wanneer de betrokkene hiervoor toestemming heeft gegeven.
Categorieën ontvangers:
- Huisartsen en huisartsenposten
- Ziekenhuizen en medisch specialisten
- Dienstapotheken
- LSP (Landelijk Schakelpunt), beheerd door VZVZ
- Zorgverleners binnen lokale samenwerkingsverbanden
- Voorschrijvers en behandelaars (bijv. bij medicatieopvragen Medivi)
Grondslagen:
- Uitvoering behandelrelatie
- Wettelijke verplichting (Geneesmiddelenwet, WGBO)
- Toestemming bij medicatieopvraag via Medivi
5.2 Zorgverzekeraars
Voor declaratie en vergoeding van farmaceutische zorg worden persoonsgegevens gedeeld met:
- Alle Nederlandse zorgverzekeraars
Grondslagen:
- Wettelijke verplichting
- Uitvoering behandelrelatie
5.3 Leveranciers van farmaceutische producten en groothandels
Voor de bevoorrading en ondersteuning van medicatieverstrekking worden beperkt persoonsgegevens gebruikt door:
- Brocacef Groep
- Brokis Pro
- Pluriplus / Pluripact
Verwerking betreft uitsluitend logistieke gegevens en geen medische dossiers.
5.4 ICT-leveranciers en hostingpartijen
Apotheek De Glimlach B.V. maakt gebruik van meerdere ICT-dienstverleners die persoonsgegevens verwerken namens de apotheek.
Categorieën verwerkers:
- Sanday – AIS / apotheekinformatiesysteem
- Medimo – toedienregistratie & medicatieprocessen
- NCare – medicatiebegeleiding
- UwZorgOnline – patiëntencommunicatie
- QLink – kwaliteitsmanagementsysteem
- Stichting PrivacyZorg – FG, privacytoezicht & datalekafhandeling
- Hosting4Power – hostingdiensten
- Hostnet.nl – domein & hosting
- Newfive BV (Nijmegen) – IT-ondersteuning
- Byron BV (Nijmegen) – IT-ondersteuning
- Jotform Gold (EU — Duitsland) – medisch veilige formulieren (HIPAA-equivalent, Europese datacenters)
Grondslagen:
- Uitvoering overeenkomst
- Wettelijke verplichtingen binnen zorgsector
- Gerechtvaardigd belang (IT-beveiliging en continuïteit)
5.5 Webshop- en e-commerceplatforms
Voor de uitvoering van niet-receptplichtige bestellingen via ApotheekWebshop.nl:
- Shopify – webshopplatform (product-, klant- en ordergegevens)
- Channeldock – voorraadbeheer & orderkoppeling
- Monta – fulfilment & logistiek
- Circuit – bezorgsoftware voor lokale logistiek
(Vanaf december 2025 worden geen medische gegevens meer in Shopify verwerkt.)
5.6 Betaaldiensten
Betalingen worden afgehandeld via:
- Mollie (met onderliggende betaalopties: iDEAL, Klarna, Riverty, PayPal, creditcard)
Mollie fungeert als zelfstandig verwerkingsverantwoordelijke voor financiële gegevens.
5.7 Logistieke dienstverleners
Voor verzending en retournering van bestellingen worden persoonsgegevens gedeeld met:
- PostNL
- DHL
- DPD
- Monta Logistics
Deze partijen verwerken adresgegevens en track-&-trace-informatie.
5.8 Communicatie- en ondersteuningsplatforms
Voor klantenservice, correspondentie en interne communicatie:
- Outlook 365 / Microsoft
- Zorgmail Saferelay (beveiligde medische e-mail)
- WhatsApp Business
- Advitronics (telefonie & internet)
Medische informatie wordt nooit gedeeld via onbeveiligde kanalen.
5.9 Marketing- en analysesoftware
Alle tracking is afhankelijk van toestemming via de cookiebanner:
- Google Analytics
- Google Ads
- Meta (Facebook/Instagram) Ads
- Klaviyo (e-mailmarketing & segmentatie)
- Avada (marketingautomatisering)
Profilering is beperkt tot marketingdoeleinden; geen automatische besluitvorming.
5.10 Financiële administratie & juridische dienstverlening
Voor interne bedrijfsvoering worden persoonsgegevens gedeeld met:
- Twinfield (boekhouding)
- Basecone (documentverwerking)
- Q Accountants (accountancy en jaarrekeningen)
- DAAD salarisadministratie
- Juridische adviseurs indien noodzakelijk voor geschilprocedures
5.11 Overheidsinstanties en toezichthouders
Indien wettelijk verplicht worden persoonsgegevens verstrekt aan:
- Autoriteit Persoonsgegevens (AP)
- Inspectie Gezondheidszorg & Jeugd (IGJ)
- NZa
- Belastingdienst
- Politie/justitie in uitzonderlijke gevallen volgens wetgeving
5.12 Internationale doorgifte van persoonsgegevens
De meeste systemen verwerken gegevens binnen de EU.
Uitzonderingen (met passende waarborgen):
- Meta (VS) – SCC’s + aanvullende maatregelen
- Google (VS/EU) – EU Data Boundary, maar verwerking buiten EU kan technisch plaatsvinden
- Klaviyo (VS) – SCC’s + aanvullende maatregelen
- Shopify (Canada/VS) – SCC’s + adequaatheidsbesluit voor Canada
Alle doorgiftes voldoen aan:
- Artikel 44-49 AVG
- Standard Contractual Clauses (SCC’s)
- Aanvullende technische en organisatorische maatregelen
5.13 Geen verkoop van persoonsgegevens
Apotheek De Glimlach B.V. verkoopt géén persoonsgegevens en verstrekt deze nooit aan derden voor commerciële doeleinden buiten de hierboven beschreven functionele verwerkingen.
HOOFDSTUK 6 — BEVEILIGING VAN PERSOONSGEGEVENS
Apotheek De Glimlach B.V. neemt de bescherming van persoonsgegevens uiterst serieus en treft passende technische, organisatorische en fysieke maatregelen om verlies, misbruik, onbevoegde toegang, openbaarmaking of enige andere vorm van onrechtmatige verwerking te voorkomen. De beveiligingsmaatregelen worden afgestemd op de specifieke risico’s die behoren bij de verwerking van medische en bijzondere persoonsgegevens.
Het beveiligingsbeleid van Apotheek De Glimlach B.V. is gebaseerd op de geldende normen en wettelijke vereisten binnen de zorg- en e-healthsector, waaronder:
- NEN 7510 (informatiebeveiliging in de zorg)
- NEN 7512 (vertrouwensrelaties bij elektronische uitwisseling)
- NEN 7513 (logging van elektronische patiëntdossiers)
- ISO 27001 (internationale standaard informatiebeveiliging)
- AVG en UAVG
- WGBO
- Geneesmiddelenwet
- Richtlijnen van de Autoriteit Persoonsgegevens
Onderstaand volgt een overzicht van de belangrijkste beveiligingsmaatregelen.
6.1 Technische beveiligingsmaatregelen
a. Versleuteling
- Gegevens worden versleuteld opgeslagen en verzonden (TLS/SSL).
- Medische formulieren via Jotform Gold worden verwerkt op Europese, beveiligde datacenters.
b. Toegangsbeveiliging
- Medewerkers hebben uitsluitend toegang op basis van het need-to-know-principe.
- Sterke wachtwoorden, multifactor-authenticatie (MFA) en rolgebaseerde toegangsrechten worden gebruikt.
c. Logging en monitoring
- Logboeken van toegang tot medische dossiers worden bijgehouden conform NEN 7513.
- Onregelmatigheden worden automatisch gedetecteerd en onderzocht.
d. Netwerk- en systeembeveiliging
- Firewalls, intrusion detection/prevention, anti-malware en beveiligde netwerkomgevingen.
- Regelmatige penetratietesten en kwetsbaarhedenscans.
e. Back-ups
- Versleutelde back-ups binnen de EU.
- Back-ups worden periodiek getest op herstelbaarheid.
f. Pseudonimisering en minimalisering
- Medische gegevens worden alleen verwerkt wanneer noodzakelijk.
- Niet-medische medewerkers hebben geen toegang tot medische dossiers.
g. Beveiliging van mobiele apparatuur
- Apparaten worden beveiligd middels encryptie, wachtwoordbeveiliging en remote wipe.
6.2 Organisatorische beveiligingsmaatregelen
a. Privacy- en securitybeleid
- Er is een uitgebreid privacy- en informatiebeveiligingsbeleid aanwezig.
- Procedures worden jaarlijks geëvalueerd.
b. Training en bewustwording
- Medewerkers worden periodiek getraind in AVG, informatiebeveiliging, LSP-gebruik en omgang met medische gegevens.
- Nieuwe medewerkers doorlopen een verplichte privacy-introductietraining.
c. Geheimhouding
- Alle medewerkers hebben een geheimhoudingsplicht die contractueel is vastgelegd.
d. Beperking van toegang tot fysieke ruimtes
- Medische dossiers en systemen zijn fysiek beveiligd op de zorglocatie in Nijmegen.
- Toegang tot ruimtes is beperkt tot geautoriseerd personeel.
- De locatie in Weurt heeft gescheiden toegang, conform de scheiding tussen receptplichtige en niet-receptplichtige werkzaamheden.
6.3 Beveiliging van gegevensuitwisseling
a. Zorgmail Saferelay
Communicatie met zorgverleners vindt uitsluitend plaats via beveiligde zorgcommunicatie (Zorgmail).
b. LSP
Gebruik van het LSP vindt plaats conform de strenge technische en organisatorische eisen van VZVZ.
c. Webshop en klantcontact
- Bestellingen via ApotheekWebshop.nl verlopen via beveiligde Shopify-infrastructuur.
- NAW-gegevens en bestelinformatie worden versleuteld verzonden.
d. Geen verzending van medische gegevens via WhatsApp
WhatsApp Business wordt uitsluitend gebruikt voor organisatorische vragen, niet voor gezondheidsinformatie.
6.4 Deregulatie en veilige software
Apotheek De Glimlach B.V. werkt uitsluitend met systemen die voldoen aan de relevante zorg- en privacywetgeving, waaronder:
- Sanday (AIS)
- Medimo
- NCare
- Jotform Gold (EU)
- QLink
- UwZorgOnline
- Microsoft 365 (met zorgcompliancy en Europese datacenters)
- Shopify (met aanvullende beveiligingsmaatregelen en SCC’s)
- Mollie (PCI-DSS compliant)
Alle verwerkers zijn beoordeeld op beveiliging en privacy conform artikel 28 AVG.
6.5 Beveiliging van fysieke locaties
Apotheeklocatie Nijmegen (Dennenstraat 106)
- Toegang uitsluitend voor geautoriseerde medewerkers.
- Beveiligde balies, afgesloten medicatievoorraad en cameratoezicht conform wetgeving.
- Medische dossiers worden niet fysiek uitgeprint tenzij noodzakelijk.
Webshoplocatie Weurt (Mortelweg 16-D)
- Strikte scheiding tussen receptplichtige en niet-receptplichtige processen.
- Geen verwerking van medische gegevens op deze locatie.
- Beveiligde opslag en toezicht voor logistieke processen.
6.6 Testen, audits en evaluaties
- Interne audits worden uitgevoerd via QLink.
- Stichting PrivacyZorg voert toezicht uit op naleving van AVG en privacywetgeving.
- Beveiligingsmaatregelen worden periodiek getest en aangepast aan nieuwe dreigingen.
- Incident- en datalekregistratie worden conform wettelijke normen uitgevoerd.
6.7 Meldplicht datalekken
Apotheek De Glimlach B.V. hanteert een formele datalekprocedure (zie Hoofdstuk 10) waarbij:
- incidenten worden geregistreerd in QLink
- Stichting PrivacyZorg het datalek beoordeelt
- de FG (Functionaris Gegevensbescherming) het besluit neemt over melding aan de AP
- betrokkenen worden geïnformeerd indien wettelijk vereist
HOOFDSTUK 7 — RECHTEN VAN BETROKKENEN
Op grond van de Algemene verordening gegevensbescherming (AVG) hebben betrokkenen diverse rechten met betrekking tot hun persoonsgegevens. Apotheek De Glimlach B.V. respecteert deze rechten en faciliteert de uitoefening ervan binnen de wettelijke kaders.
Onder “betrokkene” worden onder meer verstaan:
patiënten, cliënten, klanten, websitebezoekers, zorgverleners, sollicitanten, medewerkers en zakelijke relaties waarvan Apotheek De Glimlach B.V. persoonsgegevens verwerkt.
7.1 Overzicht van de rechten
Betrokkenen hebben in ieder geval de volgende rechten:
-
Recht op inzage
Het recht om bevestiging te krijgen of persoonsgegevens worden verwerkt en, zo ja, inzage te verkrijgen in deze gegevens. -
Recht op rectificatie
Het recht om onjuiste of onvolledige persoonsgegevens te laten corrigeren of aanvullen. -
Recht op gegevenswissing (“recht op vergetelheid”)
Het recht om, onder bepaalde voorwaarden, persoonsgegevens te laten verwijderen. -
Recht op beperking van de verwerking
Het recht om, onder bepaalde voorwaarden, de verwerking van persoonsgegevens tijdelijk te laten beperken. -
Recht op overdraagbaarheid van gegevens (dataportabiliteit)
Het recht om persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm te ontvangen en deze aan een andere verwerkingsverantwoordelijke over te (laten) dragen, voor zover technisch haalbaar. -
Recht van bezwaar
Het recht om bezwaar te maken tegen verwerking op basis van gerechtvaardigd belang of verwerking ten behoeve van direct marketing. -
Recht om toestemming in te trekken
Indien de verwerking is gebaseerd op toestemming, heeft de betrokkene het recht deze toestemming op ieder moment in te trekken. Dit laat de rechtmatigheid van de verwerking vóór intrekking onverlet. -
Recht niet te worden onderworpen aan uitsluitend geautomatiseerde besluitvorming
Apotheek De Glimlach B.V. past geen geautomatiseerde besluitvorming toe met juridische of vergelijkbare gevolgen voor betrokkenen, anders dan beperkte, door betaalproviders uitgevoerde fraudepreventiesystemen.
7.2 Uitoefening van rechten — per website en dienst
Betrokkenen kunnen hun rechten uitoefenen door een verzoek in te dienen bij Apotheek De Glimlach B.V. Het verzoek moet voldoende informatie bevatten om de identiteit van de betrokkene vast te stellen.
Afhankelijk van de dienst of website kan het verzoek worden ingediend via:
a. Apotheek De Glimlach (fysieke apotheek, zorglocatie Nijmegen)
Voor alle vragen en verzoeken m.b.t. apotheekzorg, medicatiedossiers, medicatiebeoordelingen (Medivi) en receptplichtige webshopbestellingen:
- E-mailadres: welkom@apotheekdeglimlach.nl
b. Medivi (medicatiebeoordelingen en zorg via Medivi.nl)
Voor vragen en verzoeken m.b.t. medicatiebeoordelingen, intakeformulieren en telefonische begeleiding via Medivi:
- E-mailadres: welkom@medivi.nl
c. ApotheekWebshop.nl (niet-receptplichtige e-commerce)
Voor vragen en verzoeken m.b.t. de webshop, bestellingen, accounts, marketing en logistieke gegevens via ApotheekWebshop.nl:
- E-mailadres: bestellen@apotheekwebshop.nl
Indien een verzoek meerdere diensten betreft (bijvoorbeeld webshop én apotheekdossier), kan het verzoek bij één van deze adressen worden ingediend; Apotheek De Glimlach B.V. zal het intern verder coördineren.
7.3 Identiteitscontrole
Apotheek De Glimlach B.V. kan de betrokkene verzoeken om aanvullende informatie te verstrekken ter verificatie van de identiteit, alvorens een verzoek in behandeling wordt genomen. Dit is nodig om te voorkomen dat persoonsgegevens aan de verkeerde persoon worden verstrekt.
Bij verzoeken over medische dossiers kan worden gevraagd om aanvullende verificatie (bijvoorbeeld legitimatie in de apotheek of via een veilige digitale route).
7.4 Termijnen van afhandeling
Apotheek De Glimlach B.V. streeft ernaar om verzoeken zo snel mogelijk, doch uiterlijk binnen één maand na ontvangst, af te handelen. In geval van complexe of veelvuldige verzoeken kan deze termijn worden verlengd met twee maanden. In dat geval wordt de betrokkene binnen één maand na ontvangst van het verzoek geïnformeerd over de verlenging.
7.5 Beperkingen op grond van wet- en regelgeving
Niet alle verzoeken kunnen altijd worden gehonoreerd. Het kan zijn dat wettelijke verplichtingen Apotheek De Glimlach B.V. verplichten bepaalde gegevens te bewaren, zoals:
- de 20-jarige bewaarplicht voor medische dossiers (WGBO)
- fiscale bewaarplichten (bijv. 7 jaar voor financiële administratie)
- verplichtingen voortvloeiend uit de Geneesmiddelenwet en farmaceutische richtlijnen
Indien een verzoek (bijvoorbeeld tot wissing) niet of slechts gedeeltelijk kan worden gehonoreerd, wordt dit gemotiveerd aan de betrokkene uitgelegd.
7.6 Kosten
Verzoeken worden in beginsel kosteloos behandeld. Indien een verzoek kennelijk ongegrond of buitensporig is (bijvoorbeeld bij herhaaldelijke herhalingsverzoeken), kan Apotheek De Glimlach B.V. op grond van de AVG:
- een redelijke vergoeding in rekening brengen, of
- het verzoek weigeren.
Dit wordt in dat geval gemotiveerd toegelicht.
7.7 Intrekken van toestemming
Indien persoonsgegevens worden verwerkt op basis van toestemming (bijvoorbeeld voor:
- LSP-toestemming
- marketingcommunicatie
- gebruik van bepaalde cookies
kan de betrokkene deze toestemming te allen tijde intrekken via dezelfde kanalen waarmee toestemming is gegeven, of door contact op te nemen via:
- welkom@apotheekdeglimlach.nl
- welkom@medivi.nl
- bestellen@apotheekwebshop.nl
Intrekking van toestemming heeft geen terugwerkende kracht.
HOOFDSTUK 8 - KLACHTEN, FUNCTIONARIS GEGEVENSBESCHERMING (FG) EN TOEZICHT
Apotheek De Glimlach B.V. hecht grote waarde aan zorgvuldige omgang met persoonsgegevens. Betrokkenen die vragen, zorgen of klachten hebben over de verwerking van hun persoonsgegevens kunnen gebruikmaken van onderstaande formele procedures.
8.1 Indienen van een klacht bij Apotheek De Glimlach B.V.
Indien een betrokkene van mening is dat persoonsgegevens onjuist of onrechtmatig worden verwerkt, of dat er sprake is van een schending van de AVG, kan hierover een klacht worden ingediend bij Apotheek De Glimlach B.V.
Klachten kunnen worden ingediend via de contactadressen die gelden voor de specifieke websites en diensten:
a. Apotheek De Glimlach (zorglocatie Nijmegen)
Voor klachten m.b.t. apotheekzorg, medicatiedossiers en receptverwerking:
- welkom@apotheekdeglimlach.nl
b. Medivi (medicatiebeoordelingen)
Voor klachten m.b.t. intake, medicatiebeoordelingen en rapportages:
- welkom@medivi.nl
c. ApotheekWebshop.nl (webshop)
Voor klachten m.b.t. niet-receptplichtige bestellingen, accounts en webshopcommunicatie:
- bestellen@apotheekwebshop.nl
Apotheek De Glimlach B.V. streeft ernaar om klachten zo snel mogelijk, uiterlijk binnen vier weken, te behandelen en te beantwoorden.
8.2 Functionaris Gegevensbescherming (FG)
Apotheek De Glimlach B.V. heeft een externe Functionaris Gegevensbescherming (FG) aangesteld, die toezicht houdt op de naleving van privacywetgeving en privacybeleid binnen de organisatie.
Functionaris Gegevensbescherming (FG):
Mevrouw E. de Waal
Registratienummer: FG014298
Via Stichting PrivacyZorg
De FG voert onafhankelijk toezicht uit op basis van de AVG (artikelen 37-39) en is verantwoordelijk voor:
- toezicht op naleving van privacywetgeving
- advisering over gegevensbescherming en risicobeoordelingen
- controle op de beveiliging van medische gegevens
- beoordeling en afhandeling van meldingen van datalekken
- contact met de Autoriteit Persoonsgegevens (AP) waar nodig
- periodieke controle van verwerkers en systemen
8.3 Contact opnemen met de Functionaris Gegevensbescherming
Betrokkenen kunnen contact opnemen met de FG voor:
- klachten die niet naar tevredenheid zijn opgelost
- vragen over gegevensbescherming
- vermoedens van een datalek
- bezwaren tegen verwerking
- advies over uitoefening van rechten
Contact met de FG verloopt via:
Stichting PrivacyZorg
t.a.v. Functionaris Gegevensbescherming Apotheek De Glimlach B.V.
Website: www.privacyzorg.nl
(algemeen contactkanaal zoals gebruikelijk bij FG-dienstverlening)
Indien gewenst zal Apotheek De Glimlach B.V. op verzoek ook rechtstreeks het contactpunt van de FG verstrekken (bijv. e-mailadres via PrivacyZorg).
8.4 Klacht indienen bij de Autoriteit Persoonsgegevens (AP)
Indien een betrokkene van mening is dat Apotheek De Glimlach B.V. niet voldoet aan verplichtingen voortvloeiend uit de AVG of UAVG, heeft hij of zij het recht een klacht in te dienen bij de bevoegde toezichthouder:
Autoriteit Persoonsgegevens (AP)
Website: https://autoriteitpersoonsgegevens.nl/
De AP is de nationale toezichthouder belast met het toezicht op naleving van privacywetgeving in Nederland.
Betrokkenen kunnen te allen tijde rechtstreeks een klacht indienen, maar Apotheek De Glimlach B.V. verzoekt betrokkenen vriendelijk om eventuele klachten eerst intern te melden, zodat de organisatie de gelegenheid krijgt om de kwestie op te lossen.
8.5 Recht op een effectief rechtsmiddel
Indien een betrokkene van mening is dat zijn of haar rechten zijn geschonden, bestaat de mogelijkheid om een gerechtelijke procedure te starten tegen Apotheek De Glimlach B.V. of tegen de toezichthouder, conform de artikelen 78, 79 en 82 AVG.
HOOFDSTUK 9 — DATALLEKKEN EN MELDPLICHT
Apotheek De Glimlach B.V. neemt alle redelijke maatregelen om datalekken te voorkomen. Desondanks kan, ondanks de getroffen beveiligingsmaatregelen, een incident niet volledig worden uitgesloten. Voor de afhandeling van datalekken hanteert Apotheek De Glimlach B.V. een formele procedure conform de AVG (artikelen 33 en 34), de UAVG, NEN 7510 en richtlijnen van de Autoriteit Persoonsgegevens.
9.1 Definitie van een datalek
Een datalek is een beveiligingsincident waarbij persoonsgegevens:
- verloren zijn gegaan
- onrechtmatig zijn ingezien
- zijn gewijzigd zonder toestemming
- zijn vernietigd
- of zijn verstrekt aan onbevoegde personen
Dit omvat onder meer:
verlies of diefstal van apparaten, versturen van gegevens naar verkeerde ontvangers, technische fouten, malware, ransomware of menselijke vergissingen.
9.2 Registratie van datalekken (QLink)
Alle mogelijke datalekken worden onverwijld geregistreerd in het interne kwaliteits- en incidentensysteem QLink.
De registratie bevat minimaal:
- aard van het incident
- datum en tijdstip
- categorie betrokken persoonsgegevens
- betrokken systemen of processen
- mogelijke risico’s voor betrokkenen
- getroffen en geplande maatregelen
Deze registratie is verplicht conform NEN 7510 en interne protocollen.
9.3 Interne melding en beoordeling
Een (vermoedelijk) datalek wordt door medewerkers direct intern gemeld via de daarvoor aangewezen kanalen.
Daarna:
- Het incident wordt geregistreerd in QLink.
- Het incident wordt doorgemeld aan Stichting PrivacyZorg, die als externe privacypartner en toezichthouder optreedt.
- De aangewezen specialist binnen PrivacyZorg beoordeelt het incident.
- Indien nodig worden aanvullende vragen gesteld aan de betrokken medewerkers.
9.4 Rol van de Functionaris Gegevensbescherming (FG)
De FG, mevrouw E. de Waal (FG014298), optredend via Stichting PrivacyZorg, beoordeelt:
- of er sprake is van een datalek
- de ernst en risico’s voor betrokkenen
- of melding bij de Autoriteit Persoonsgegevens vereist is
- of betrokkenen geïnformeerd moeten worden
- welke herstelmaatregelen noodzakelijk zijn
De FG adviseert en beslist conform de wettelijke bepalingen.
9.5 Melding aan de Autoriteit Persoonsgegevens
Indien het datalek waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkenen, meldt Stichting PrivacyZorg het datalek namens Apotheek De Glimlach B.V. aan de:
Autoriteit Persoonsgegevens (AP)
Binnen de wettelijke 70 uur na ontdekking.
De melding bevat minimaal:
- de aard van het datalek
- de categorieën en aantallen betrokken personen en gegevens
- de waarschijnlijke gevolgen van het lek
- genomen of voorgestelde maatregelen
9.6 Informeren van betrokkenen
Indien het datalek waarschijnlijk een hoog risico oplevert voor betrokkenen, worden zij onverwijld geïnformeerd, tenzij:
- de gegevens voldoende zijn versleuteld of gepseudonimiseerd, of
- maatregelen zijn genomen waardoor het risico niet langer bestaat.
De melding aan betrokkenen bevat:
- de aard van het datalek
- de mogelijke gevolgen
- advies over te nemen maatregelen
- contactpunt voor meer informatie
9.7 Datalekken bij verwerkers
Indien een datalek plaatsvindt bij een externe verwerker, bijvoorbeeld:
- Jotform Gold
- Microsoft
- Shopify
- Mollie
- Monta
- Newfive, Byron, Hosting4Power, Hostnet
- Sanday, Medimo, NCare
- Klaviyo, Meta, Google
- Advitronics
moet deze verwerker dit onverwijld melden aan Apotheek De Glimlach B.V., conform artikel 33 lid 2 AVG en de bestaande verwerkersovereenkomst.
Apotheek De Glimlach B.V. neemt vervolgens de formele beoordeling en meldplicht in behandeling via Stichting PrivacyZorg.
9.8 Preventieve maatregelen
Om datalekken te voorkomen zijn de volgende maatregelen getroffen:
- periodieke training van medewerkers in informatiebeveiliging
- versleuteling van gegevens in transit en at rest
- MFA en rolgebaseerde toegangsbeperkingen
- beveiligingsupdates en patchbeheer
- logging en monitoring van verdachte activiteiten
- fysieke beveiliging van de zorg- en webshoplocaties
- veilige communicatie via Zorgmail voor medische gegevens
- geen verstrekking van medische informatie via onbeveiligde kanalen
9.9 Documentatie- en bewaarplicht
Alle datalekken (zowel meldplichtige als niet-meldplichtige) worden:
- gedocumenteerd in QLink
- beoordeeld door Stichting PrivacyZorg
- ten minste 2 jaar bewaard, conform wettelijke verplichtingen
9.10 Evaluatie en verbetering
Elke datalekmelding wordt geëvalueerd om herhaling te voorkomen.
Indien nodig worden:
- werkprocessen aangepast
- technische maatregelen aangescherpt
- medewerkers bijgeschoold
- verwerkers aangesproken of beoordeeld
HOOFDSTUK 10 — COOKIES EN TRACKINGTECHNOLOGIEËN
Apotheek De Glimlach B.V. maakt op haar websites gebruik van cookies en vergelijkbare technologieën (zoals tags, scripts en pixels) om de functionaliteit van de websites te waarborgen, het gebruik ervan te analyseren en – voor zover toegestaan – marketingactiviteiten te optimaliseren.
Het gebruik van cookies is gereguleerd door de Telecommunicatiewet, de AVG en de ePrivacy-richtlijn.
Apotheek De Glimlach B.V. past uitsluitend cookies toe die noodzakelijk zijn of waarvoor de gebruiker uitdrukkelijk toestemming heeft gegeven.
Dit hoofdstuk geldt voor alle websites van Apotheek De Glimlach B.V., waaronder:
10.1 Toestemming via cookiebanner (uitgebreide toestemming)
Op alle websites wordt gebruikgemaakt van een uitgebreide cookiebanner, waarin bezoekers een keuze kunnen maken uit vier categorieën:
- Vereist
- Analyse
- Personalisatie
- Marketing
Cookies worden uitsluitend geplaatst nadat:
- de gebruiker toestemming heeft gegeven, óf
- het gaat om cookies die strikt noodzakelijk zijn voor de werking van de website.
De cookiebanner biedt de mogelijkheid om:
- alle cookies te accepteren
- alle cookies te weigeren
- voorkeuren per categorie op te slaan
- op elk moment cookievoorkeuren aan te passen
Toestemming wordt gedocumenteerd en bewaard gedurende de geldige periode (6–12 maanden).
10.2 Categorie 1: Strikt noodzakelijke cookies (“vereist”)
Deze cookies worden altijd geplaatst.
Doeleinden:
- basisfunctionaliteit van de website
- beveiliging
- winkelwagenfunctionaliteit
- voorkeuren zoals taal of cookieopties
- betaling en checkout
Rechtsgrondslag:
- Gerechtvaardigd belang (art. 6 lid 1 sub f AVG)
- Telecommunicatiewet uitzondering voor noodzakelijke cookies
Voorbeelden:
- Shopify essentiële cookies
- beveiligingscookies
- load balancing cookies
- sessiecookies
- anti-fraude cookies (basischeck)
10.3 Categorie 2: Analytische cookies
Analytische cookies worden alleen geplaatst wanneer bezoekers hiervoor toestemming geven.
Doeleinden:
- statistieken en metingen (bijv. bezoekersaantallen, paginaweergaven)
- functioneren en verbeteren van de website
- foutdetectie
- prestatiemonitoring
Tools die hieronder vallen:
-
Google Analytics
(met geanonimiseerde IP-adressen en EU-datagebieden waar mogelijk)
Rechtsgrondslag:
- Toestemming (art. 6 lid 1 sub a AVG)
10.4 Categorie 3: Personalisatiecookies
Deze cookies worden alleen geplaatst na toestemming van de gebruiker.
Doeleinden:
- gepersonaliseerde content
- productaanbevelingen
- afstemmen van website-ervaring op gebruiksgedrag
Tools:
- Klaviyo (basis personalisatie)
- Shopify storefront personalisatie
- Avada (voor zover personalisatie wordt toegepast)
Rechtsgrondslag:
- Toestemming
Er vindt geen automatisering plaats met juridische gevolgen.
10.5 Categorie 4: Marketing- en trackingcookies
Marketingcookies worden uitsluitend geplaatst na toestemming.
Doeleinden:
- remarketing en retargeting
- advertentiemetingen
- optimalisatie van advertentiecampagnes
- opbouwen van doelgroepsegmenten
Tools:
- Meta Pixel (Facebook/Instagram)
- Google Ads remarketing
- Klaviyo marketingtracking
- Avada marketingautomatisering
Rechtsgrondslag:
- Toestemming via de cookiebanner
Apotheek De Glimlach B.V. maakt gebruik van lichte profilering, zoals toegestaan door de AVG.
Er worden geen geautomatiseerde besluiten genomen die leiden tot rechtsgevolgen.
10.6 Cookies van derden (third-party cookies)
Sommige cookies worden geplaatst door derden die via de website toegang hebben tot bepaalde functionaliteit.
Voorbeelden:
- Meta (VS)
- Google (VS/EU-datagebieden)
- Klaviyo (VS)
- Shopify (Canada/VS/EU)
Voor deze cookies gelden de privacyverklaringen van de betreffende derde partijen.
Gegevens kunnen worden verwerkt buiten de EU, maar uitsluitend met passende garanties zoals SCC’s.
10.7 Aanpassen of intrekken van toestemming
Gebruikers kunnen hun cookievoorkeuren op elk moment aanpassen of intrekken via:
- de cookiebanner instellingen op de website
- het verwijderen van cookies via de browserinstellingen
- een verzoek aan Apotheek De Glimlach B.V. (zie Hoofdstuk 7)
Het intrekken van toestemming heeft geen invloed op eerdere, rechtmatige verwerkingen.
10.8 Bewaartermijnen
Afhankelijk van het type cookie:
- Sessiecookies: verlopen bij het sluiten van de browser
- Analytische cookies: doorgaans 12 maanden
- Marketingcookies: doorgaans 6–12 maanden
- Toestemmingsregistraties: 6–12 maanden
10.9 Cookies en medische gegevens
Op geen enkele website worden medische dossiers of gezondheidsgegevens gekoppeld aan cookies of trackingtools.
Bij receptplichtige processen (Nijmegen-locatie):
- geen tracking
- geen marketingcookies
- geen analytics
- geen profiling
Alle medische gegevens worden verwerkt in strikt beveiligde systemen buiten het bereik van trackingtechnologieën.
10.10 Blokkeren van cookies
Indien gebruikers alle niet-noodzakelijke cookies weigeren:
- blijven alle essentiële functionaliteiten beschikbaar
- zijn statistieken beperkt
- vervalt personalisatie en marketingfunctionaliteit
Dit heeft geen invloed op de toegang tot receptplichtige zorg of medische diensten.
HOOFDSTUK 11 — VERWERKING BINNEN NEDERLAND/EU EN INTERNATIONALE DOORGIFTE VAN PERSOONSGEGEVENS
Apotheek De Glimlach B.V. verwerkt persoonsgegevens primair binnen Nederland en de Europese Economische Ruimte (EER). In sommige gevallen is het noodzakelijk of technisch onvermijdelijk om gegevens door te geven aan ontvangers in derde landen buiten de EER. Internationale doorgifte vindt uitsluitend plaats onder de waarborgen zoals vereist door de AVG en aanvullende maatregelen volgens de EDPB-richtlijnen.
Dit hoofdstuk beschrijft:
- Waar gegevens worden verwerkt binnen Nederland en de EU
- Wanneer sprake is van doorgifte buiten de EU
- Welke waarborgen worden toegepast
- Hoe risico’s worden beperkt
- Welke systemen volledig EU-gebaseerd zijn
11.1 Verwerking binnen Nederland en de EU
Het overgrote deel van de gegevensverwerking vindt plaats binnen Nederland en, voor bepaalde systemen, elders binnen de EU.
Hieronder vallen onder andere:
Zorg- en medische systemen (volledig binnen de EU/NL):
- Sanday (AIS)
- Medimo
- NCare
- UwZorgOnline
- QLink
- LSP (gehost in Nederland, via VZVZ)
- Zorgmail Saferelay
- Jotform Gold (EU – Duitsland)
- Alle interne systemen van Apotheek De Glimlach B.V.
Webshop- en logistieke systemen (primair EU):
- Monta
- Channeldock
- PostNL, DHL, DPD
- Circuit
- Twinfield (Nederland)
- Basecone (EU)
- Q Accountants (Nederland)
- DAAD salarisadministratie (Nederland)
- Newfive, Byron (Nederland)
Alle medische gegevens worden uitsluitend binnen de EU verwerkt.
Er worden geen medische gegevens doorgegeven aan landen buiten de EU.
11.2 Internationale doorgifte (buiten de EU/EER)
Voor bepaalde e-commerce- en marketingdiensten worden persoonsgegevens verwerkt door partijen die (gedeeltelijk) buiten de EU zijn gevestigd of gebruikmaken van infrastructuur buiten de EU.
Dit geldt voor:
1. Shopify (Canada / VS / wereldwijd)
- Canada heeft een adequaatheidsbesluit onder de AVG
- Voor verwerking in de VS worden SCC’s (Standard Contractual Clauses) toegepast
- Shopify heeft aanvullende technische en organisatorische maatregelen
2. Meta (VS)
- Toepassing van SCC’s + aanvullende beveiligingsmaatregelen
- Facebook/Instagram Ads maakt gebruik van servers buiten de EU
- Alleen marketinggegevens, geen medische gegevens
3. Google (VS/EU)
- EU Data Boundary wordt zoveel mogelijk geactiveerd
- Voor bepaalde functies kan verwerking in de VS plaatsvinden
- Doorgifte via SCC’s + aanvullende maatregelen
4. Klaviyo (VS)
- Toepassing van SCC’s
- Geen medische gegevens
- Alleen used for marketing en e-mailcommunicatie
5. PayPal (VS)
- Verwerking van betaalgegevens gebeurt via PayPal’s wereldwijde infrastructuur
- PayPal treedt op als zelfstandig verwerkingsverantwoordelijke
- Doorgifte via SCC’s en aanvullende maatregelen
6. Microsoft 365 (VS/EU)
- Data residency in EU waar mogelijk
- Extra juridische en technische waarborgen
- Zorgcommunicatie uitsluitend via Saferelay/Zorgmail
11.3 Geen doorgifte van medische gegevens buiten de EU
Voor medische en bijzondere persoonsgegevens geldt:
- zij worden uitsluitend binnen de EU verwerkt
- verstrekking buiten de EU vindt nooit plaats
- medische gegevens worden niet gebruikt voor marketing, tracking of profilering
- formulieren met medische inhoud verlopen uitsluitend via Jotform Gold (EU)
- medische communicatie verloopt uitsluitend via Zorgmail Saferelay
- receptplichtige processen worden enkel verwerkt via de zorglocatie Nijmegen, niet via Shopify
Hiermee voldoet Apotheek De Glimlach B.V. aan de eisen van:
- WGBO
- Geneesmiddelenwet
- AVG artikel 9
- NEN 7510 / NEN 7512 / NEN 7513
- Richtlijnen VZVZ (LSP)
11.4 Waarborgen bij internationale doorgifte (AVG art. 44–49)
Apotheek De Glimlach B.V. past uitsluitend doorgifte toe wanneer:
- Er sprake is van een adequaatheidsbesluit, of
- Er gebruik wordt gemaakt van Standard Contractual Clauses (SCC’s), of
- Er aanvullende technische, organisatorische of juridische maatregelen zijn getroffen.
Voor alle derde-landverwerkers worden periodiek de volgende maatregelen beoordeeld:
- versleuteling tijdens transport en opslag
- pseudonimisering
- minimalisering van gegevens
- risicoanalyse (DPIA-elementen)
- naleving van Schrems II-richtlijnen
- transparantie van de dienstverlener
Verwerkers krijgen geen toegang tot medische gegevens, tenzij zij binnen de EU opereren.
11.5 Doorgifte op basis van toestemming
Voor marketingcookies en marketingtools (zoals Meta en Google Ads) geldt dat:
- verwerking pas plaatsvindt na expliciete toestemming via de cookiebanner
- de gebruiker volledig geïnformeerd wordt over doorgifte buiten de EU
- toestemming te allen tijde kan worden ingetrokken
Zonder toestemming worden deze diensten niet geactiveerd.
11.6 Geen doorgifte aan derden zonder noodzaak
Apotheek De Glimlach B.V. geeft nooit persoonsgegevens door aan:
- adverteerders
- handelaren
- commerciële partijen buiten de noodzakelijke verwerkers
- partijen zonder verwerkersovereenkomst
- onbekende of niet-geverifieerde systemen
Door medisch beroepsgeheim en de Geneesmiddelenwet is dat wettelijk verboden.
11.7 Gegevensoverdracht bij juridische verplichtingen
In uitzonderlijke gevallen kunnen gegevens worden verstrekt buiten de EU op basis van:
- gerechtelijke bevelen
- internationale rechtshulpverzoeken
- onderzoeken door toezichthouders
Dit gebeurt alleen wanneer Apotheek De Glimlach B.V. hiertoe wettelijk verplicht is en uitsluitend na toetsing door de Functionaris Gegevensbescherming.
11.8 Opslaglocaties per type gegevens
Binnen Nederland:
- medische dossiers
- receptinformatie
- medicatiebeoordelingen (Medivi)
- zorgcommunicatie
- incident- en datalekregistratie (QLink)
- financiële administratie (Twinfield, Basecone)
- personeelsadministratie (DAAD)
Binnen de EU:
- Jotform Gold
- hostingproviders Hostnet, Hosting4Power
- logistieke systemen Monta, Channeldock
- sommige onderdelen van Microsoft 365
- Shopify EU-servers (afhankelijk van locatie)
Buiten de EU (met waarborgen):
- Meta
- Klaviyo
- Shopify (naast Canada ook VS-infrastructuur)
- PayPal
11.9 Transparantie en documentatie
Apotheek De Glimlach B.V. houdt intern documentatie bij van:
- alle verwerkers die buiten de EU opereren
- alle afgesloten SCC’s
- aanvullende maatregelen (technisch/juridisch)
- periodieke privacy- en beveiligingsbeoordelingen
- wijzigingen in verwerkers en subverwerkers
Deze documentatie maakt onderdeel uit van het interne privacyregister.
11.10 Evaluatie en herbeoordeling
Internationale doorgifte wordt minstens jaarlijks geëvalueerd door:
- Stichting PrivacyZorg (FG)
- Apotheek De Glimlach B.V.
- IT-diensten en privacybeveiliging
Indien wetgeving of jurisprudentie verandert (bijv. een nieuw Schrems-arrest), worden de waarborgen onmiddellijk opnieuw beoordeeld en geüpdatet.
HOOFDSTUK 12 — DUUR VAN OPSLAG EN ARCHIVERING
Apotheek De Glimlach B.V. bewaart persoonsgegevens uitsluitend zolang dit noodzakelijk is voor de doeleinden waarvoor deze zijn verzameld en verwerkt, tenzij een langere bewaartermijn verplicht wordt gesteld door wet- en regelgeving. Dit hoofdstuk beschrijft de algemene beginselen, methoden en verantwoordelijkheden voor opslag, archivering en verwijdering van persoonsgegevens.
12.1 Algemene bewaarbeginselen
De volgende uitgangspunten worden gehanteerd:
-
Minimale bewaartermijn
Gegevens worden niet langer bewaard dan strikt noodzakelijk voor het doel van de verwerking. -
Wettelijke bewaartermijnen
Wetgeving zoals de WGBO, Geneesmiddelenwet, Telecommunicatiewet, fiscale wetgeving en arbeidsrecht gaat altijd voor. -
Functionele bewaartermijnen
Indien gegevens nog nodig zijn voor: - juridische procedures,
- verantwoording,
- kwaliteitsbewaking,
- audittrail,
kan bewaring worden verlengd. -
Verwijdering of anonimisering
Gegevens die niet langer noodzakelijk zijn, worden verwijderd of — waar mogelijk — geanonimiseerd.
12.2 Archivering van medische gegevens
Medische persoonsgegevens vallen onder een strikte wettelijke bewaarplicht.
Bewaarplicht: minimaal 20 jaar
Conform artikel 7:454 BW (WGBO) en Geneesmiddelenwet worden medische dossiers en alle zorggerelateerde documenten minimaal 20 jaar bewaard.
Onder deze archiefcategorie vallen:
- medicatiedossiers
- receptinformatie
- medicatiebewakingsgegevens
- communicatie met voorschrijvers
- intakeformulieren Medivi
- medicatiebeoordelingsrapportages
- toestemming- en opt-inregistraties (LSP, gegevensopvraag)
- overdrachtsinformatie
Het archiveren gebeurt uitsluitend binnen de beveiligde zorglocatie (Nijmegen) en via systemen die voldoen aan NEN 7510 / NEN 7513.
Verlenging van de bewaartermijn
Archivering kan worden verlengd wanneer:
- gegevens relevant blijven voor goede farmaceutische zorg, of
- er sprake is van juridische of tuchtrechtelijke procedures.
12.3 Archivering van e-commerce gegevens
Voor niet-receptplichtige webshopactiviteiten gelden de volgende principes:
- ordergegevens: 7 jaar (fiscale bewaarplicht)
- financiële administratie: 7 jaar
- klantenservicegeschiedenis: 2 jaar
- track & trace: 6 maanden
- marketingvoorkeuren: totdat toestemming wordt ingetrokken
Gegevens worden opgeslagen binnen de EU of met passende AVG-bescherming (zie Hoofdstuk 11).
12.4 Archivering van documenten in kwaliteits- en incidentensystemen
- Kwaliteitsdossiers in QLink worden bewaard volgens farmaceutische en kwaliteitsnormen (meestal 5–7 jaar).
- Incidentmeldingen en datalekregistraties worden minimaal 2 jaar bewaard conform AVG.
12.5 Archivering van personeels- en sollicitatiegegevens
Gegevens worden bewaard volgens wettelijke normen:
- salaris- en loonadministratie: 7 jaar
- personeelsdossiers: max. 2 jaar na uitdiensttreding
- sollicitaties: 4 weken, of 12 maanden met toestemming
12.6 Gegevensverwijdering en anonimisering
Apotheek De Glimlach B.V. verwijdert of anonimiseert persoonsgegevens:
- zodra de bewaartermijn is verstreken
- indien gegevens niet langer noodzakelijk zijn
- op verzoek van betrokkene (voor zover wettelijk mogelijk)
- wanneer voortdurende opslag niet langer gerechtvaardigd is
Verwijdering gebeurt:
- veilig,
- controleerbaar,
- en volgens interne protocollen conform NEN 7510.
12.7 Verantwoordelijkheid voor archivering
De verantwoordelijkheid voor correcte bewaartermijnen en archivering ligt bij:
- de verwerkingsverantwoordelijke (Apotheek De Glimlach B.V.)
- de FG (Functionaris Gegevensbescherming), die toeziet op naleving
- interne datamanagers en functioneel beheerders
- externe verwerkers, die verplicht zijn tot naleving via verwerkersovereenkomsten
Alle systemen worden periodiek gecontroleerd op naleving van bewaartermijnen.
HOOFDSTUK 13 — SLOTBEPALINGEN, PUBLICATIE, VERSIEBEHEER EN INWERKINGTREDING
13.1 Verantwoordelijke entiteit
De verwerkingsverantwoordelijke voor alle verwerkingen zoals beschreven in dit Privacybeleid is:
Apotheek De Glimlach B.V.
Dennenstraat 106
6543 JW Nijmegen
Nederland
KvK-nummer: 80657222
Apotheek De Glimlach B.V. is verantwoordelijk voor:
- alle zorggerelateerde gegevensverwerkingen
- alle receptplichtige activiteiten (via Nijmegen)
- alle activiteiten van Medivi.nl
- alle e-commerce en niet-receptplichtige activiteiten van ApotheekWebshop.nl (via Weurt)
- alle toekomstige B2B-activiteiten van DokterWebshop.nl
- het aanstellen en begeleiden van verwerkers
- naleving van de AVG, UAVG, Geneesmiddelenwet en overige relevante wet- en regelgeving
- waarborgen van privacy en informatiebeveiliging in de gehele organisatie
Alle handelsnamen, websites, digitale formulieren en systemen vallen onder deze rechtspersoon.
13.2 Toepasselijkheid van dit privacybeleid
Dit beleid is van toepassing op:
- Apotheek De Glimlach (publieke apotheekzorg)
- Medivi (medicatiebeoordelingen)
- ApotheekWebshop.nl (niet-receptplichtige webshopactiviteiten)
- Receptplichtige processen binnen ApotheekWebshop.nl
- DokterWebshop.nl (B2B, inclusief receptplichtige processen)
- Contactformulieren, intakeformulieren en digitale communicatie
- Alle overige activiteiten onder verantwoordelijkheid van Apotheek De Glimlach B.V.
Dit beleid vervangt alle eerdere versies.
13.3 Publicatie
Het actuele Privacybeleid wordt gepubliceerd en beschikbaar gesteld via:
- www.apotheekdeglimlach.nl
- www.medivi.nl
- www.apotheekwebshop.nl
- www.dokterwebshop.nl (zodra operationeel)
Daarnaast kan het beleid op verzoek in papieren vorm worden verstrekt aan cliënten, patiënten, klanten en zorgverleners.
13.4 Wijzigingen aan het privacybeleid
Apotheek De Glimlach B.V. behoudt zich het recht voor om dit Privacybeleid te wijzigen indien:
- wet- of regelgeving wijzigt
- richtlijnen van toezichthouders (AP, IGJ, EDPB) wijzigen
- interne processen of systemen veranderen
- nieuwe diensten of technologieën worden ingevoerd
- verwerkers of subverwerkers worden toegevoegd of vervangen
Procedure bij wijzigingen:
- wijzigingen worden intern beoordeeld door PrivacyZorg en de Functionaris Gegevensbescherming
- wijzigingen worden gepubliceerd op de relevante websites
- de nieuwe versie vervangt automatisch alle eerdere versies
- indien wettelijk verplicht, wordt de betrokkene actief geïnformeerd
13.5 Versiebeheer
Het beleid wordt voorzien van:
- een versienummer
- datum van inwerkingtreding
- een korte wijzigingssamenvatting
Voor intern gebruik wordt tevens een versie met detailwijzigingen opgeslagen in het privacyregister.
-
Versie 1.0 – Inwerkingtreding: 18-11-2025
Eerste volledige integrale versie voor alle handelsnamen en websites onder Apotheek De Glimlach B.V.
13.6 Inwerkingtreding
Dit Privacybeleid treedt in werking op:
18-11-2025
Vanaf deze datum geldt het beleid voor alle bestaande en nieuwe gegevensverwerkingen binnen:
- Apotheek De Glimlach
- Medivi
- ApotheekWebshop.nl
- DokterWebshop.nl
- alle digitale communicatieplatforms en systemen die onder Apotheek De Glimlach B.V. vallen
13.7 Slotverklaring
Apotheek De Glimlach B.V. zet zich in voor een maximale bescherming van persoonsgegevens en voldoet aan de geldende wettelijke verplichtingen, beroepsnormen en kwaliteitsrichtlijnen. De organisatie streeft naar transparantie, zorgvuldige verwerking en voortdurende verbetering van privacy- en beveiligingsmaatregelen.
13.8 Contactpunt voor vragen over dit beleid
Voor vragen over dit Privacybeleid of de verwerking van persoonsgegevens kan contact worden opgenomen via:
- welkom@apotheekdeglimlach.nl (zorglocatie)
- welkom@medivi.nl (medicatiebeoordelingen)
- bestellen@apotheekwebshop.nl (webshop)
Voor vragen over gegevensbescherming specifiek:
Functionaris Gegevensbescherming
Mevrouw E. de Waal, FG014298
Via Stichting PrivacyZorg