Privacybeleid

Laatst bijgewerkt: April 2026

1. Inleiding

Reanimatie B.V. hecht groot belang aan de bescherming van uw persoonsgegevens. In dit privacybeleid leggen wij uit welke gegevens wij verzamelen, waarom wij dit doen, met welke partijen wij samenwerken, hoe lang wij gegevens bewaren en welke rechten u kunt uitoefenen. Dit beleid is van toepassing op alle diensten die wij aanbieden via onze website www.reanimatie.nl, onze mobiele applicatie, ons klantportaal en onze overige dienstverlening (gezamenlijk: de "Diensten").

Wij verwerken persoonsgegevens in overeenstemming met de Algemene Verordening Gegevensbescherming (EU 2016/679, hierna: "AVG"), de Uitvoeringswet AVG, de Telecommunicatiewet (cookies) en overige toepasselijke privacywetgeving. Waar dit beleid spreekt over "verwerken", bedoelen wij elke handeling met persoonsgegevens, waaronder verzamelen, opslaan, raadplegen, wijzigen, verzenden en verwijderen.

Dit beleid is voor het laatst herzien op de datum vermeld onderaan deze pagina en vervangt alle eerdere versies.

2. Verwerkingsverantwoordelijke en contactgegevens

De verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 AVG is:

Reanimatie B.V. is niet verplicht een Functionaris voor Gegevensbescherming (FG) aan te stellen op grond van artikel 37 AVG. Voor privacyvragen, verzoeken tot uitoefening van rechten en meldingen van datalekken is de directie van Reanimatie B.V. het centrale aanspreekpunt, bereikbaar via privacy@reanimatie.nl.

3. Definities

• Betrokkene: de natuurlijke persoon op wie de persoonsgegevens betrekking hebben (u).
• Persoonsgegevens: alle informatie waarmee u direct of indirect geïdentificeerd kunt worden.
• Bijzondere persoonsgegevens: gegevens over ras, gezondheid, religie, biometrie, strafrechtelijk verleden, e.d. (artikel 9 en 10 AVG). Bij Reanimatie B.V. gaat het uitsluitend om gezondheidsgegevens in het kader van reanimatie-inzet en om identiteitsbewijsgegevens bij AED-lease.
• Verwerker: een externe partij die in onze opdracht persoonsgegevens verwerkt, zoals BergIX (facturatie) en Mollie (betalingen).
• Ontvanger: een partij aan wie wij persoonsgegevens delen zonder dat deze partij als onze verwerker optreedt (bijvoorbeeld de Belastingdienst).
• Pseudonimiseren / hashen: bewerken van gegevens zodat ze niet direct herleidbaar zijn tot de betrokkene (bijvoorbeeld een IP-adres opslaan als SHA-256 hash).

4. Welke persoonsgegevens verwerken wij

Wij verwerken uitsluitend gegevens die noodzakelijk zijn voor de dienst die u afneemt of waarvoor u contact met ons opneemt. De onderstaande categorieën zijn uitgesplitst per doelgroep.

4.1. Bezoekers van onze website

• IP-adres (gehashed met SHA-256, niet herleidbaar tot individu);
• browser, besturingssysteem en apparaattype (user-agent header);
• bezochte pagina's, referrer en tijdstempel;
• taalvoorkeur en schermresolutie (voor responsive design);
• gegevens die u zelf invult via contact-, offerte- of inschrijfformulieren.

4.2. Klanten en Opdrachtgevers (AED-lease, cursus, inventarisatie, winkel)

• bedrijfsnaam, KvK-nummer, BTW-nummer;
• contactgegevens van de contactpersoon: aanhef, voor- en achternaam, functie, e-mail, telefoonnummer, mobiel;
• factuur- en bezoekadres;
• IBAN en tenaamstelling bij automatische incasso, mandaatkenmerk (SEPA);
• betaal- en factuurhistorie, openstaande posten;
• overeenkomstgegevens: productcode(s), startdatum, looptijd, bijzondere afspraken;
• correspondentie (e-mail, WhatsApp, telefoonnotities), geregistreerd in ons klantendossier.

4.3. Cursisten en deelnemers aan reanimatiecursussen

• naam, geboortedatum (voor certificering);
• e-mailadres en telefoonnummer;
• cursushistorie, behaalde certificaten en geldigheidsduur;
• aanwezigheidsregistratie en GPS-locatie op het moment van check-in (uitsluitend op de cursuslocatie, voor certificaatverificatie);
• betaalstatus en factuuradres (indien betaler = cursist).

4.4. Tekenbevoegden bij AED-leaseovereenkomsten (identificatiedocumenten)

Uitsluitend bij het aangaan van een AED-leaseovereenkomst verwerken wij van de tekenbevoegde:

• een recent uittreksel van de Kamer van Koophandel (niet ouder dan drie maanden);
• een leesbare kopie of scan van een geldig identiteitsbewijs. Bij een paspoort volstaat de pasfotopagina; bij een identiteitskaart of rijbewijs zijn zowel voor- als achterzijde vereist.

Een identiteitsbewijs bevat bijzondere persoonsgegevens (o.a. pasfoto en BSN). Wij adviseren u uitdrukkelijk om het BSN-nummer en de pasfoto af te schermen op de kopie, bijvoorbeeld met behulp van de KopieID-app van de Rijksoverheid. Ontvangen wij een kopie waarop BSN nog zichtbaar is, dan wordt deze direct na ontvangst door ons afgeschermd en wordt het oorspronkelijke bestand binnen 24 uur onherroepelijk verwijderd.

4.5. Deelnemers aan Samen STERK en Verzamelacties

• contactgegevens en adres voor communicatie over buurt-AED's;
• IBAN en mandaatkenmerk voor maandelijkse bijdrage via SEPA-incasso;
• geografische buurtindicatie voor deelnemersregistratie.

4.6. Hulpverleners en slachtoffers bij een daadwerkelijke inzet

Na een reanimatie-inzet worden wij vaak geïnformeerd over of op de hoogte gesteld van het incident. In dat geval kunnen wij bijzondere persoonsgegevens (gezondheidsgegevens) verwerken:

• datum, tijd en locatie van de inzet;
• gegevens uit het logbestand van de AED (hartritme-analyses, schok-informatie, niet-direct-herleidbaar ECG);
• naam van de hulpverlener en eventueel van het slachtoffer, uitsluitend indien u ons deze gegevens vrijwillig verstrekt.

Deze gegevens worden uitsluitend gebruikt voor technisch onderzoek aan de AED en, op verzoek, voor nabestaanden of een reanimatie-evaluatie. Zij worden nooit gedeeld met derden voor andere doeleinden.

4.7. Affiliates (doorverwijzingsprogramma)

• naam, adres, e-mail en telefoonnummer;
• IBAN voor uitbetaling van vergoedingen;
• unieke affiliate-link en statistieken over doorverwijzingen.

5. Doeleinden van de verwerking

Wij verwerken uw persoonsgegevens uitsluitend voor één of meer van de volgende doeleinden:

1. Uitvoering van de overeenkomst: het opstellen van offertes, het leveren en onderhouden van de AED en buitenkast, het verzorgen van cursussen, het uitreiken van certificaten en het beheren van uw klantaccount.
2. Facturatie en financiële administratie: het verzenden van facturen, het innen van betalingen (ook via SEPA-incasso) en het voeren van een deugdelijke boekhouding.
3. Communicatie: het beantwoorden van vragen, het versturen van service-mededelingen, herinneringen voor onderhoud of certificaatverloop en het afhandelen van klachten.
4. Identificatie en fraudepreventie bij AED-lease: het verifiëren van de tekenbevoegde en het beschermen van onze eigendommen (de AED blijft onze eigendom gedurende de looptijd).
5. Onderhoud en serviceniveau: planning en uitvoering van preventief onderhoud, storingsafhandeling en het terugroepen van apparaten bij veiligheidsrecalls.
6. AED-registratie en burgerhulpverlening: eenmalige registratie van de AED-locatie bij HartslagNu zodat de AED inzetbaar is bij hartstilstanden in de buurt.
7. Incidentanalyse na reanimatie-inzet: technische controle en, op verzoek, informatie voor hulpverleners of nabestaanden.
8. Website-analyse en beveiliging: geanonimiseerde bezoekersstatistieken, beveiligingslogs en bot-detectie.
9. Marketing en nieuwsbrief: incidenteel sturen van informatie over nieuwe diensten, uitsluitend aan bestaande klanten of na uw uitdrukkelijke toestemming.
10. Naleving van wettelijke verplichtingen: onder meer de fiscale bewaarplicht (7 jaar), de identificatieplicht bij AED-overeenkomsten en informatieverstrekking aan toezichthouders.

6. Rechtsgronden

Wij verwerken uw persoonsgegevens uitsluitend op basis van één van de zes rechtsgronden van artikel 6 AVG:

• Uitvoering van de overeenkomst (art. 6 lid 1 sub b AVG): voor de doeleinden 1, 2, 3 en 5 hierboven.
• Wettelijke verplichting (sub c): voor doel 10 (fiscale bewaarplicht, verificatieplicht bij leaseovereenkomsten).
• Gerechtvaardigd belang (sub f): voor de doeleinden 4 (fraudepreventie bij lange-termijnlease), 7 (technische incidentanalyse), 8 (beveiliging en analytics) en 9 (marketing naar bestaande klanten). Wij hebben voor elk van deze verwerkingen een belangenafweging gemaakt en zijn van oordeel dat uw belangen niet zwaarder wegen.
• Toestemming (sub a): voor doeleinden 6 (AED-registratie HartslagNu, uitsluitend op uw verzoek) en 9 (marketing aan niet-klanten). Toestemming kan op elk moment worden ingetrokken zonder terugwerkende kracht.
• Vitaal belang (sub d): bij een reanimatie-inzet (doel 7) kunnen wij gegevens verwerken die een vitaal belang van de betrokkene beschermen.

Voor bijzondere persoonsgegevens (gezondheidsgegevens, identiteitsbewijzen) beroepen wij ons op de uitzonderingen van artikel 9 lid 2 AVG: uitdrukkelijke toestemming (sub a), bescherming van vitale belangen (sub c) en het instellen, uitoefenen of onderbouwen van een rechtsvordering (sub f).

7. Ontvangers en verwerkers

Wij delen uw persoonsgegevens uitsluitend met zorgvuldig geselecteerde partijen. Met elke verwerker hebben wij een schriftelijke verwerkersovereenkomst conform artikel 28 AVG gesloten, waarin afspraken zijn vastgelegd over onder meer beveiliging, geheimhouding, sub-verwerkers, datalek-meldplicht en teruggave of vernietiging bij beëindiging.

7.1. Onze verwerkers

• BergIX B.V. (gelieerde entiteit): facturatie, offerte-beheer, klantenadministratie en betalingsregistratie.
• TransIP B.V. (Nederland): hosting van website, klantportaal en databases (gescheiden VLAN); mailrelay.
• Mollie B.V. (Nederland): betalingsverwerking (iDEAL, SEPA-incasso, creditcard). Mollie is zelf verwerkingsverantwoordelijke voor de betaaltransactie en deelt met ons betaalstatus en mandaatkenmerk.
• HartslagNu (Stichting HartslagNu / Heartsafe Living): landelijk burgerhulpverleningsnetwerk waarin geregistreerde AED's zichtbaar zijn.
• DefibBox.eu: leverancier van de AED-buitenkast met monitoringssoftware (temperatuur, deur-events, pincode-events).
• Google LLC / Alphabet (VS): Google Maps voor locatietoonweergave op de AED-kaart en voor routeplanning naar cursuslocaties.
• Meta Platforms Ireland Ltd.: WhatsApp Business API voor klantcommunicatie; alleen indien u ons via WhatsApp benadert.
• PostNL: bezorging van AED's, buitenkasten en onderdelen.
• Google Firebase (Google Ireland Ltd.): backend voor onze Flutter-apps (cursus-app, AED-inventarisatie-app).
• Groq Inc. / Anthropic PBC (VS): AI-modellen voor het genereren van marketingteksten en blog-artikelen. Klantgegevens worden niet naar deze partijen gestuurd.

7.2. Ontvangers (geen verwerkers)

• Accountant en Belastingdienst: facturen en administratieve gegevens in het kader van de fiscale verantwoording en controle.
• Gerechtsdeurwaarder of incassobureau: uitsluitend bij wanbetaling na ingebrekestelling.
• Verzekeraar: voor de uitvoering van onze aansprakelijkheidsverzekering bij een claim.
• Toezichthouders en opsporingsdiensten: indien wij hiertoe wettelijk verplicht zijn (bijvoorbeeld op grond van een bevel van de Autoriteit Persoonsgegevens, de FIOD of het Openbaar Ministerie).

Wij verkopen of verhuren uw persoonsgegevens nooit aan derden en gebruiken ze niet voor commerciële doeleinden van andere partijen.

8. Doorgifte buiten de Europese Economische Ruimte

Waar mogelijk verwerken wij gegevens binnen de EER. Een aantal van onze verwerkers (Google, Meta, Groq, Anthropic) is gevestigd in de Verenigde Staten. Voor deze doorgifte baseren wij ons op:

• de EU-US Data Privacy Framework adequaatheidsbesluit van de Europese Commissie (juli 2023), voor zover de ontvanger zich heeft gecertificeerd;
• de Standard Contractual Clauses (EU-modelcontracten, uitvoering 2021/914), voor zover geen adequaatheidsbesluit van toepassing is, aangevuld met aanvullende waarborgen zoals versleuteling en pseudonimisering.

Gegevens over identiteitsbewijzen, gezondheid of IBAN worden nooit doorgegeven buiten de EER.

9. Bewaartermijnen

Wij bewaren uw persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor zij zijn verzameld en voldoen daarbij aan onze wettelijke bewaarplicht. Wij hanteren de volgende termijnen:

• Klant- en contractgegevens: gedurende de looptijd van de overeenkomst en tot 7 jaar na beëindiging (fiscale bewaarplicht, art. 52 Algemene wet inzake rijksbelastingen).
• Facturen en financiële administratie: 7 jaar na einde boekjaar.
• Identificatiedocumenten bij AED-lease (KvK-uittreksel en kopie identiteitsbewijs): gedurende de looptijd van de leaseovereenkomst en maximaal 2 jaar na beëindiging. Daarna worden de bestanden onherroepelijk verwijderd. Op verzoek verwijderen wij de kopie van het identiteitsbewijs eerder wanneer deze niet langer noodzakelijk is voor bewijsvoering.
• Cursisten en certificaten: gedurende de geldigheidsduur van het certificaat plus 2 jaar, in verband met mogelijke aansprakelijkheidsclaims rond de cursuskwaliteit.
• Reanimatie-incidentdata (AED-logs): 10 jaar na de inzet, ten behoeve van mogelijke juridische procedures en kwaliteitsonderzoek.
• Affiliate-gegevens: gedurende deelname plus 7 jaar (fiscaal).
• Website-analytics: maximaal 26 maanden, aansluitend geanonimiseerd en geaggregeerd bewaard.
• Server- en beveiligingslogs: 90 dagen, of langer bij een beveiligingsincident.
• E-mail- en WhatsApp-correspondentie: 2 jaar, tenzij relevant voor een lopend dossier.
• Cookies: zie artikel 13 voor de specifieke bewaartermijnen per cookie.

Na afloop van de bewaartermijn worden uw gegevens veilig verwijderd of geanonimiseerd. Geaggregeerde, volledig anonieme statistieken kunnen onbeperkt bewaard blijven.

10. Beveiliging

Wij nemen passende technische en organisatorische maatregelen om uw persoonsgegevens te beschermen tegen onbevoegde toegang, verlies, wijziging of misbruik (art. 32 AVG):

• Versleuteling: TLS 1.2+ voor alle datatransport; opslag van wachtwoorden als bcrypt-hash; HTTPS-only policy.
• Multi-factor authenticatie (MFA): verplicht voor beheerders van het klantportaal, administratie en BergIX; e-mail verificatiecodes van 6 cijfers met 5 minuten geldigheid.
• Toegangscontrole: rol-gebaseerde autorisatie (RBAC); 'need-to-know' principe; uitsluitend bevoegde medewerkers krijgen toegang tot persoonsgegevens.
• Logging en audit: alle gevoelige handelingen (inzage, wijziging, verwijdering van klant- of identiteitsdata) worden gelogd in een audit-log met tijdstempel, gebruiker en handeling.
• Scheiding van databases: verschillende modules (cursus, lease, verzamelactie, inventarisatie) gebruiken gescheiden databases op een apart beveiligd VLAN.
• Back-ups: dagelijkse versleutelde back-ups, bewaartermijn 30 dagen, getest op herstelbaarheid.
• Aanvullende waarborgen voor identificatiedocumenten bij AED-lease: bestanden worden opgeslagen buiten de publieke webomgeving (niet via URL bereikbaar), toegang uitsluitend via het beveiligde beheerpaneel met MFA, alleen de directie heeft toegang, elke inzage wordt gelogd.
• Software-onderhoud: beveiligingsupdates worden binnen 14 dagen na uitgifte toegepast; periodieke kwetsbaarheidsscans.
• Medewerkers: alle medewerkers en ingehuurde krachten hebben een geheimhoudingsplicht en worden geïnformeerd over het privacybeleid.

11. Uw rechten als betrokkene

Op grond van de AVG heeft u de volgende rechten met betrekking tot uw persoonsgegevens:

• Inzage (art. 15 AVG): u kunt opvragen welke gegevens wij van u verwerken en een kopie daarvan ontvangen.
• Rectificatie (art. 16): u kunt onjuiste of onvolledige gegevens laten corrigeren of aanvullen.
• Verwijdering / "recht om vergeten te worden" (art. 17): in bepaalde gevallen kunt u ons vragen uw gegevens te verwijderen, bijvoorbeeld als ze niet meer nodig zijn of als u uw toestemming intrekt.
• Beperking (art. 18): u kunt de verwerking tijdelijk laten stilzetten, bijvoorbeeld tijdens een onderzoek naar de juistheid.
• Overdraagbaarheid (art. 20): u kunt uw gegevens in een gestructureerd, gangbaar en machineleesbaar formaat ontvangen en naar een andere partij laten overdragen.
• Bezwaar (art. 21): u kunt bezwaar maken tegen verwerkingen op basis van gerechtvaardigd belang of tegen direct marketing.
• Intrekken toestemming (art. 7 lid 3): toestemming kan op elk moment worden ingetrokken, zonder terugwerkende kracht.
• Niet onderworpen worden aan geautomatiseerde besluitvorming (art. 22): zie artikel 15 hieronder.

11.1. Hoe oefent u uw rechten uit?

1. Stuur een e-mail naar privacy@reanimatie.nl met vermelding van uw verzoek en, indien van toepassing, welke gegevens het betreft.
2. Wij vragen u om uzelf te identificeren (bijvoorbeeld via een recente factuur of uw klantnummer) zodat wij zeker weten dat het verzoek van u afkomstig is. Dit voorkomt dat anderen uw gegevens opvragen.
3. Wij bevestigen ontvangst binnen 5 werkdagen en reageren inhoudelijk binnen 30 dagen. Bij een complex verzoek kan deze termijn met maximaal 2 maanden worden verlengd; wij informeren u daarover.
4. De uitoefening van uw rechten is in beginsel kosteloos. Bij kennelijk ongegronde of buitensporige verzoeken kunnen wij een redelijke vergoeding in rekening brengen of het verzoek weigeren (art. 12 lid 5 AVG).

11.2. Klacht indienen

Bent u niet tevreden over de afhandeling van uw verzoek of over onze omgang met persoonsgegevens, dan kunt u een klacht indienen bij de Autoriteit Persoonsgegevens, Postbus 93374, 2509 AJ Den Haag, autoriteitpersoonsgegevens.nl.

12. Website-analyse en beveiliging

Wij verzamelen geanonimiseerde bezoekersstatistieken om het gebruik van onze website te analyseren en te verbeteren. IP-adressen worden gehashed met SHA-256 opgeslagen, waardoor deze niet herleidbaar zijn tot individuele bezoekers. Deze gegevens worden niet gedeeld met externe partijen en worden uitsluitend gebruikt voor interne analyse (self-hosted analytics-tracker). Wij gebruiken geen Google Analytics, Facebook Pixel of vergelijkbare tracking-producten van derden.

13. Cookies

Onze website maakt uitsluitend gebruik van functionele en strikt noodzakelijke cookies. Wij plaatsen geen tracking-, marketing- of advertentiecookies. Voor deze cookies is geen toestemming vereist op grond van artikel 11.7a Telecommunicatiewet.

De volgende cookies kunnen worden geplaatst:

• PHPSESSID (sessiecookie): noodzakelijk voor de werking van het adminpaneel en klantportaal; bewaartermijn: tot einde sessie (automatisch verwijderd bij sluiten browser).
• csrf_token: bescherming tegen cross-site request forgery; sessie-gebonden.
• lang: opslag van uw taalvoorkeur; bewaartermijn: 1 jaar.
• cookie_consent: onthouden dat u kennis heeft genomen van de cookie-melding; bewaartermijn: 1 jaar.

U kunt cookies op elk moment verwijderen of blokkeren via de instellingen van uw browser. Het blokkeren van strikt noodzakelijke cookies kan de werking van de website beperken.

14. Minderjarigen

Onze diensten zijn niet gericht op personen jonger dan 16 jaar. Wij verzamelen niet bewust persoonsgegevens van minderjarigen zonder toestemming van ouder(s) of wettelijk vertegenwoordiger. Indien u vermoedt dat wij zonder deze toestemming gegevens van een minderjarige verwerken, neem dan contact met ons op via privacy@reanimatie.nl; wij verwijderen deze gegevens dan onverwijld.

15. Geautomatiseerde besluitvorming en profilering

Wij gebruiken geen volledig geautomatiseerde besluitvorming die rechtsgevolgen voor u heeft of u in aanzienlijke mate treft (art. 22 AVG). Beslissingen over het aangaan van een AED-leaseovereenkomst, het goedkeuren van een cursusregistratie of het uitbetalen van een affiliate-vergoeding worden altijd door een medewerker genomen.

Wij maken beperkt gebruik van AI-modellen (Groq, Anthropic) voor het genereren van marketingteksten en blog-artikelen. Hiervoor worden geen klantgegevens gebruikt; de AI ziet uitsluitend openbare informatie over AED's, reanimatie en marketingthema's.

16. Datalekken

Wij nemen beveiligingsincidenten zeer serieus. Bij een datalek dat een risico vormt voor de rechten en vrijheden van betrokkenen:

• melden wij het incident binnen 72 uur bij de Autoriteit Persoonsgegevens (art. 33 AVG);
• informeren wij direct getroffen betrokkenen wanneer het lek een hoog risico met zich meebrengt (art. 34 AVG), met daarin een beschrijving van de aard, de mogelijke gevolgen en de door ons genomen maatregelen;
• nemen wij onverwijld technische en organisatorische maatregelen om het incident te beperken en herhaling te voorkomen;
• leggen wij het incident vast in ons interne datalek-register.

Vermoedt u een datalek? Meld dit direct via security@reanimatie.nl of bel 085-8002580.

17. Camera, locatie en andere gevoelige data

Onze mobiele apps (Cursus-Systeem en AED-Inventarisatie) vragen u incidenteel toegang tot:

• Camera: voor het scannen van AED-serienummers (QR/barcode) en het maken van onderhoudsfoto's. Foto's worden niet automatisch gedeeld, alleen bij expliciete upload.
• Locatie (GPS): bij cursus-check-in (verificatie dat u fysiek aanwezig was) en bij AED-inventarisatie (locatie van een geplaatste AED). Locatie wordt niet op de achtergrond bijgehouden.
• Pushnotificaties: voor onderhoudsherinneringen en statusmeldingen.

U kunt deze rechten op elk moment intrekken via de systeeminstellingen van uw mobiel. Dit kan de werking van de app beperken.

18. Wijzigingen in dit privacybeleid

Wij behouden ons het recht voor om dit privacybeleid te wijzigen wanneer onze dienstverlening, technologie of wetgeving daarom vraagt. De meest recente versie is altijd beschikbaar op www.reanimatie.nl/privacybeleid. Bij substantiële wijzigingen die voor u van belang zijn (bijvoorbeeld nieuwe verwerkers of nieuwe doeleinden) informeren wij u actief per e-mail of via het klantportaal, ten minste 30 dagen voor inwerkingtreding. De bovenaan deze pagina vermelde datum geeft aan wanneer het beleid voor het laatst is herzien.

19. Contact

Heeft u vragen over dit privacybeleid, wilt u uw rechten uitoefenen of vermoedt u een datalek? Neem contact met ons op: