Privacyverklaring — Pal&Ko Thuiszorg apps

Versie 1.0 · Laatst bijgewerkt 30 april 2026

Inhoudsopgave

Verwerkingsverantwoordelijke
Apps die onder deze verklaring vallen
Persoonsgegevens die wij verwerken
Doeleinden en grondslagen
Bewaartermijnen
Sub-verwerkers
Beveiliging
Rechten van betrokkenen
BSN
Gezondheidsgegevens
Datalekken
Geen medisch hulpmiddel
Wijzigingen

1. Verwerkingsverantwoordelijke

Pal&Ko Thuiszorg B.V.
Stationstraat 51, 6411 NK Heerlen, Nederland
KVK-nummer: 97935050
E-mail: info@palenkothuiszorg.nl

Voor privacy-verzoeken en datalekmeldingen kunt u terecht op info@palenkothuiszorg.nl ter attentie van de directie. Het technische aanspreekpunt voor de apps is aryan@palenkothuiszorg.nl.

Pal&Ko Thuiszorg verwerkt op dit moment geen persoonsgegevens "op grote schaal" in de zin van artikel 37 lid 1 onder c AVG (richtsnoer EDPB-WP243). Er is daarom op dit moment geen formele Functionaris Gegevensbescherming aangewezen. Deze positie wordt jaarlijks heroverwogen; bij overschrijding van de drempel wordt een FG benoemd en op deze pagina vermeld.

2. Apps die onder deze verklaring vallen

Pal&Ko Planning

3. Persoonsgegevens die wij verwerken

3.1 Medewerkers

Identificatie: voor- en achternaam, geboortedatum, geslacht.
Contact: e-mailadres, telefoonnummer, woonadres.
Loon en administratie: BSN, IBAN, contracttype, uurloon, kilometervergoeding.
Beroepskwalificaties: BIG-registratie, AGB-codes, opleidingsniveau, kwalificaties.
Werkgegevens: shifts, gewerkte uren, verlof, ziekmeldingen, taken.
Adres-coördinaten van het thuisadres voor reisrouteberekening (afgeleid van het opgegeven adres via geocoding; geen real-time GPS).
Push-notificatietoken (Apple APNs of Google FCM).
Audit-log van mutaties die de medewerker in de app uitvoert.

3.2 Cliënten

Identificatie: naam, geboortedatum, BSN, contactgegevens.
Adres en bijbehorende coördinaten voor routeplanning (afgeleid via geocoding).
Gezondheidsgegevens: zorgindicatie, diagnoses, medicatie, allergieën, zorgaantekeningen.
Verzekeraar, polisnummer, UZOVI-code.
Noodcontact, huisarts, mantelzorgers.
IBAN en factureringsadres bij PGB-financiering.

3.3 Wat de apps niet verzamelen

Geen IDFA, geen Advertising-ID en geen tracking voor reclamedoeleinden.
Geen integraties met dataverkopers, advertentienetwerken of social-media-trackers.
Geen toegang tot camera, microfoon, real-time GPS, contacten of agenda van het apparaat.
Geen geautomatiseerde besluitvorming met rechtsgevolgen of vergelijkbare aanmerkelijke effecten in de zin van artikel 22 AVG. De apps maken gebruik van geautomatiseerde route-optimalisatie voor planningsvoorstellen, maar deze voorstellen worden altijd door een planner beoordeeld en gepubliceerd voordat ze effect krijgen.

4. Doeleinden en grondslagen

Verwerking	Doel	Grondslag (AVG)
Cliëntgegevens en medische data	Uitvoering zorgovereenkomst	Art. 6 lid 1 b en art. 9 lid 2 sub h
BSN-verwerking	Wettelijke zorg-uitwisseling	Wabb (Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg)
Werknemers-personalia en planning	Uitvoering arbeidsovereenkomst	Art. 6 lid 1 b
Loonadministratie	Wettelijke verplichting (fiscaal)	Art. 6 lid 1 c
Push-meldingen	Operationele communicatie	Art. 6 lid 1 b en gerechtvaardigd belang
Audit-log	Compliance en IGJ-audit	Art. 6 lid 1 c en gerechtvaardigd belang
Reisrouteberekening	Efficiënte zorgplanning	Gerechtvaardigd belang (art. 6 lid 1 f)

5. Bewaartermijnen

Categorie	Termijn	Wettelijke basis
Cliënt- en zorgdossier (medische gegevens)	20 jaar na laatste contact	Wgbo art. 7:454 BW
Loon- en factuuradministratie	7 jaar	Fiscale bewaarplicht (AWR art. 52)
Salarisadministratie	7 jaar	Fiscaal
Sollicitatiegegevens (afgewezen)	4 weken, of 1 jaar met toestemming	AP-richtlijn
Notificaties	Maximaal 1 jaar (automatisch geschoond)	Storage-limitation AVG
Verlofverzoeken	Maximaal 3 jaar na einddatum	Storage-limitation AVG
Push-tokens	Tot 90 dagen na laatste activiteit, of bij logout	Storage-limitation AVG
Account-data na zelfverwijdering	Direct: PII gewist · Audit: 7 jaar	AVG art. 17 en IGJ-controleerbaarheid

6. Sub-verwerkers

Verwerker	Doel	Locatie
Supabase	Database, authenticatie, opslag, realtime	EU (Ierland)
Vercel	App-hosting	EU (Frankfurt)
Apple APNs	Push-notificaties iOS	VS (onder Apple Developer Agreement)
Google FCM	Push-notificaties Android	EU/VS
PDOK Locatieserver (Kadaster / Ministerie van BZK)	Geocoding van adressen naar coördinaten (volledig adres: straat, huisnummer, postcode, plaats)	EU (Nederland)
OpenRouteService (HeiGIT)	Reistijd- en afstandsberekening op basis van coördinaten (alleen lat/lng, geen adres of naam)	EU (Heidelberg, Duitsland)

Met deze partijen is een verwerkersovereenkomst gesloten dan wel zijn de algemene verwerkersvoorwaarden van toepassing. Pal&Ko Thuiszorg deelt geen gegevens met dataverkopers, advertentienetwerken, marketingplatforms of social-media-aanbieders.

7. Beveiliging

Versleuteling tijdens transport via TLS 1.2 of hoger.
Versleuteling at rest in de database (AES-256, standaard van Supabase).
Row Level Security per gebruikersrol; medewerkers zien alleen eigen gegevens en gegevens van toegewezen cliënten.
Audit-logging van mutaties op gevoelige tabellen.
Native scherm- en opnamebescherming op iOS (secure-canvas) en Android (FLAG_SECURE).
Jaarlijkse herbeoordeling van toegangsrechten, beveiligingsmaatregelen en sub-verwerkers.

8. Rechten van betrokkenen (artikel 15 tot en met 22 AVG)

Inzage — opvragen welke gegevens van u zijn opgeslagen. In de app via Profiel → Mijn data downloaden.
Rectificatie — onjuiste gegevens laten corrigeren.
Verwijdering — voor zover toegestaan; medische dossiers vallen onder de bewaarplicht van de Wgbo. Voor het inlogaccount: in de app via Profiel → Account verwijderen.
Beperking van de verwerking.
Dataportabiliteit — eigen gegevens in machine-leesbaar formaat (JSON) downloaden via de app.
Bezwaar tegen verwerking op grond van gerechtvaardigd belang.

Verzoeken kunt u indienen via info@palenkothuiszorg.nl met als onderwerp "AVG-verzoek". Wij reageren binnen één maand. U heeft daarnaast het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens.

9. Burgerservicenummer

Pal&Ko Thuiszorg verwerkt het burgerservicenummer uitsluitend voor wettelijke doeleinden in de zorg, op grond van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en de Wet algemene bepalingen burgerservicenummer. Het BSN wordt niet gebruikt voor andere doeleinden en niet gedeeld met derden buiten de wettelijk toegestane uitwisseling met zorgverzekeraars, het CAK, het CIZ en de Belastingdienst.

10. Gezondheidsgegevens

Gezondheidsgegevens worden verwerkt als bijzondere categorie persoonsgegevens op grond van artikel 9 lid 2 sub h AVG: noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, medische diagnose, het verstrekken van gezondheidszorg of het beheren van gezondheidszorgstelsels en -diensten. De verwerking gebeurt onder verantwoordelijkheid van een beroepsbeoefenaar die op grond van Unierecht of nationaal recht aan beroepsgeheim is gebonden (artikel 9 lid 3 AVG juncto artikel 7:457 BW).

11. Datalekken

Bij een vermoedelijk datalek meldt Pal&Ko Thuiszorg dit binnen 72 uur aan de Autoriteit Persoonsgegevens indien er een risico bestaat voor de rechten en vrijheden van betrokkenen. Bij hoog risico worden ook de betrokkenen zelf geïnformeerd. Een datalek kan worden gemeld via info@palenkothuiszorg.nl met als onderwerp "Datalek". Klachten over de zorg zelf vallen onder de Wkkgz-klachtenregeling en gaan naar klachten@palenkothuiszorg.nl.

12. Geen medisch hulpmiddel

De apps van Pal&Ko Thuiszorg zijn geen medisch hulpmiddel in de zin van Verordening (EU) 2017/745 (MDR). De informatie in de apps is bedoeld voor planning en organisatie van thuiszorg en niet voor diagnose, behandeling of medisch advies. Voor medische beslissingen dient altijd een bevoegd zorgprofessional te worden geraadpleegd.

13. Wijzigingen

Deze verklaring kan worden aangepast bij wijzigingen in wet- of regelgeving, sub-verwerkers of functionaliteiten van de apps. De actuele versie staat op deze pagina. Wezenlijke wijzigingen worden gecommuniceerd via een melding in de app.