MediGuard verwerkersovereenkomst

1. Rollen

• De apotheek is verwerkingsverantwoordelijke voor patiëntgegevens die in MediGuard worden verwerkt.
• MediGuard is verwerker en verwerkt persoonsgegevens uitsluitend in opdracht van de apotheek.
• De workspace-owner verklaart bevoegd te zijn namens de apotheek akkoord te gaan met deze verwerkersovereenkomst.
• De workspace-owner beheert medewerkers en is verantwoordelijk voor uitnodigingen, rollen en periodieke controle van toegang.

2. Doeleinden

MediGuard verwerkt persoonsgegevens uitsluitend voor het leveren van de medicatiebeoordelingstool.

• medicatiebeoordelingen en MBO-workflows;
• AIS-import en bestandsverwerking;
• pre-consultvragenlijsten;
• AI-ondersteunde STRIP-analyse en gespreksvragen;
• PDF-rapportage en voorbereiding van huisartscommunicatie;
• auditlogging, beveiliging, support en foutdiagnose zonder medische inhoud in logs;
• facturatie op workspace-niveau.

3. Gegevenscategorieen

• Identificerende gegevens: patiëntnummer/label, geboortejaar, geslacht en contactgegevens.
• Gezondheidsgegevens: medicatie, labwaarden, indicaties, transcript, interventies en pre-consultantwoorden.
• Gebruikersgegevens: account, workspace, rol en auditmetadata.
• Technische metadata: timestamps, batchstatus, tokenhashes, importmetadata en beveiligingsmetadata.

4. Subverwerkers

MediGuard mag subverwerkers inzetten voor de hieronder beschreven diensten. Wijzigingen in de subverwerkerslijst worden vooraf of uiterlijk bij wijziging kenbaar gemaakt. De apotheek kan bezwaar maken volgens de afgesproken procedure.

5. AI-verwerking

• AI-verwerking gebeurt via AWS Bedrock in EU-regio (Frankfurt, geo-inference binnen EU). Anthropic levert het Claude-model en is modelprovider via Bedrock.
• Volgens AWS slaat of logt Bedrock prompts/completions niet, gebruikt Bedrock ze niet voor training, en hebben modelproviders (Anthropic) geen toegang tot prompts/completions onder de Bedrock-deployment-architectuur.
• Bedrock abuse detection is geautomatiseerd zonder menselijke review. Model invocation logging is uitgeschakeld voor MediGuard.
• AWS Bedrock-aanroepen vinden plaats onder AWS GDPR DPA met SCCs Module 3 (processor-to-processor) en DPF-certificering. Voor de juridische kwalificatie van Anthropic als (sub-)verwerker via Bedrock geldt aparte juridische review.
• AIS-import verloopt via een deterministische lokale parser en wordt niet aan Bedrock verstuurd. Alleen AI-extractie uit PDF/afbeelding en de STRIP-analyse lopen via de Bedrock-route.
• MediGuard logt geen prompts, ruwe AIS-bestanden of model-responses in applicatielogs.

6. E-mail

• Resend wordt uitsluitend gebruikt voor neutrale transactionele pre-consultmails.
• Pre-consultmails bevatten geen diagnose, medicatie, labwaarden of interventies.
• Huisartsrapporten worden niet via Resend verzonden; MediGuard bereidt alleen mailto-tekst of PDF voor.
• De apotheker blijft verantwoordelijk voor het feitelijke verzendkanaal richting huisarts.

7. Beveiligingsmaatregelen

• Wachtwoord plus e-mail OTP voor iedere MediGuard-sessie.
• Workspace-isolatie via server-side checks en Supabase RLS.
• HTTPS, CSP/security headers en server-side secret storage.
• Auditlogs bevatten metadata en geen medische inhoud.
• Tijdelijke AIS-bestanden worden direct na verwerking verwijderd.

8. Rechten van betrokkenen

MediGuard ondersteunt de apotheek bij de AVG-rechten van betrokkenen voor zover deze technisch binnen de applicatie uitvoerbaar zijn.

• inzage/export;
• rectificatie;
• verwijdering of anonimisering;
• dataportabiliteit;
• beperking van verwerking waar technisch uitvoerbaar.

9. Bewaartermijnen

• Pre-consultlinks: 30 dagen, maximaal 3 succesvolle openingen, direct gesloten na definitief insturen.
• AIS-tempbestanden: verwijderen na verwerking.
• Batchmetadata: beperkte operationele termijn.
• Auditlogs: langer bewaren zonder medische inhoud.
• Patiëntdossiers: volgens het bewaarbeleid van de apotheek.
• Akkoordmetadata van deze overeenkomst: zolang de workspace actief is en daarna 7 jaar na beëindiging of verwijdering van de workspace.

10. Incidenten

MediGuard meldt beveiligingsincidenten zonder onredelijke vertraging aan de apotheek. De melding bevat voor zover bekend:

• aard van het incident;
• betrokken gegevenscategorieen;
• vermoedelijke impact;
• genomen maatregelen;
• advies over eventuele AP- of patiëntmelding.

11. Medewerkers en uitnodigingen

• Medewerkers krijgen alleen toegang tot een bestaande workspace via uitnodiging door de owner.
• Door medewerkers uit te nodigen bevestigt de owner dat deze medewerkers namens de apotheek werken onder deze geaccepteerde verwerkersovereenkomst.
• Medewerkers hoeven niet apart te tekenen; hun toegang valt onder de workspace-afspraak en owner-verantwoordelijkheid.