Privacybeleid NENote
Versie: 1.0
Datum van inwerkingtreding: 4 maart 2026
Laatst bijgewerkt: 4 maart 2026
Artikel 1 — Identiteit en contactgegevens verwerkingsverantwoordelijke
De verantwoordelijke voor de verwerking van persoonsgegevens via het platform NENote is:
Gegeven | Informatie |
|---|---|
Handelsnaam | The North Solution |
Eigenaar / verwerkingsverantwoordelijke | Kaj van der Meer |
Rechtsvorm | Eenmanszaak |
KvK-nummer | 95407898 |
Website | |
E-mailadres privacyvragen | nenote@thenorthsolution.com |
Vestigingsland | Nederland |
The North Solution is een eenmanszaak. Dit betekent dat Kaj van der Meer als natuurlijk persoon optreedt als verwerkingsverantwoordelijke en persoonlijk aansprakelijk is voor de naleving van de toepasselijke privacywetgeving. Er is geen afzonderlijke rechtspersoon.
Artikel 2 — Wat is NENote?
NENote is een B2B SaaS-platform voor medische verslaglegging, gericht op Nederlandse zorgprofessionals. Het platform luistert mee tijdens medische consulten, transcribeert gesproken taal naar tekst en structureert deze automatisch naar gangbare medische verslagformaten, waaronder het SOEP-format (Subjectief, Objectief, Evaluatie, Plan).
NENote richt zich op:
Huisartsen en huisartsenpraktijken
GGZ-instellingen en -professionals
Ambulante zorgverleners
Medisch specialisten
Zorgorganisaties
Gemeenten (in het kader van zorgverlening)
Artikel 3 — Rolverdeling: verwerker en verwerkingsverantwoordelijke
3.1 NENote als verwerker
In de verhouding tot haar zakelijke klanten (zorgprofessionals en zorgorganisaties) treedt The North Solution op als verwerker in de zin van artikel 4 lid 8 AVG. De zorgprofessional of zorgorganisatie die NENote inzet, is de verwerkingsverantwoordelijke voor de persoonsgegevens van hun patiënten.
The North Solution verwerkt persoonsgegevens uitsluitend op instructie van de verwerkingsverantwoordelijke (de klant), conform de gesloten verwerkersovereenkomst.
3.2 The North Solution als verwerkingsverantwoordelijke
Voor de verwerking van persoonsgegevens van de gebruikers van het platform zelf (de zorgprofessionals als accounthouders) treedt The North Solution op als verwerkingsverantwoordelijke.
3.3 Patiënten
Patiënten zijn geen directe gebruikers van NENote. Zij zijn echter wel betrokkenen wier gezondheidsgegevens tijdens een consult worden verwerkt. Hun rechten als betrokkene worden gerespecteerd conform de bepalingen in dit beleid en de WGBO.
Artikel 4 — Categorieën verwerkte persoonsgegevens
NENote verwerkt de volgende categorieën persoonsgegevens:
4.1 Gegevens van zorgprofessionals (gebruikers)
Naam en e-mailadres
Organisatienaam en -gegevens
Gebruikersrol en toegangsrechten (entitlements)
Logingegevens en authenticatiegegevens
Gebruiksdata en platforminteracties
Facturatie- en betalingsgegevens
4.2 Bijzondere persoonsgegevens (patiënten)
NENote verwerkt bijzondere persoonsgegevens in de zin van artikel 9 AVG, te weten:
Audio-opnames van medische consulten
Transcripten van deze opnames (gezondheidsdata)
Gestructureerde medische verslagen (bijv. in SOEP-format)
Audio en transcripten bevatten gezondheidsgegevens van patiënten. Deze gegevens genieten de hoogste beschermingsgraad onder de AVG en de WGBO.
4.3 Audit- en logdata
Toegangslogs conform NEN 7513
Systeemgebeurtenissen en beveiligingsincidenten
Artikel 5 — Grondslagen voor verwerking
5.1 Verwerking op basis van overeenkomst (Art. 6 lid 1 sub b AVG)
De verwerking van persoonsgegevens van zorgprofessionals (gebruikers) is noodzakelijk voor de uitvoering van de overeenkomst die tussen de zorgprofessional en The North Solution is gesloten bij het aanmaken van een account en gebruik van NENote.
5.2 Verwerking ten behoeve van gezondheidszorg (Art. 9 lid 2 sub h AVG)
De verwerking van bijzondere persoonsgegevens (gezondheidsdata van patiënten via audio en transcripten) is gebaseerd op artikel 9 lid 2 sub h AVG: verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, medische diagnose, het verlenen van gezondheidszorg of sociale diensten, of het beheren van gezondheidszorgstelsels en -diensten. De verwerking vindt plaats namens de zorgprofessional in het kader van medische verslaglegging.
5.3 Wettelijke verplichting (Art. 6 lid 1 sub c AVG)
De bewaring van auditlogs gedurende 7 jaar is gebaseerd op de wettelijke verplichting voortvloeiend uit NEN 7510 en NEN 7513, alsmede uit de verplichtingen van de WGBO inzake medische dossiervoering.
Artikel 6 — Doeleinden van de verwerking
The North Solution verwerkt persoonsgegevens uitsluitend voor de volgende doeleinden:
Het leveren van de NENote-dienst: transcriptie en structurering van medische consulten
Accountbeheer en authenticatie van gebruikers
Facturatie en betalingsverwerking
Beveiliging en fraudepreventie
Naleving van wettelijke verplichtingen (waaronder NEN 7510, NEN 7513, WGBO)
Auditlogging conform NEN 7513
Technische ondersteuning en probleemoplossing
Zero training policy: Gebruikersdata, audio-opnames en transcripten worden nooit gebruikt voor het trainen, fine-tunen of verbeteren van AI-modellen door The North Solution of haar sub-verwerkers.
Artikel 7 — Bewaartermijnen
Categorie | Bewaartermijn | Grondslag |
|---|---|---|
Ruwe audio-transcripten | 14 dagen | Noodzakelijkheid dienstverlening |
Medische rapporten / gestructureerde verslagen | 30 dagen | Noodzakelijkheid dienstverlening |
Auditlogs | 7 jaar | NEN 7513 / WGBO bewaarplicht |
Facturatiegegevens | 7 jaar | Fiscale bewaarplicht |
Accountgegevens zorgprofessional | Duur overeenkomst + 30 dagen | Uitvoering overeenkomst |
Na het verstrijken van de bewaartermijn worden gegevens automatisch en onherstelbaar verwijderd.
Artikel 8 — Sub-verwerkers
The North Solution maakt gebruik van de volgende sub-verwerkers. Met alle sub-verwerkers zijn verwerkersovereenkomsten of Standard Contractual Clauses (SCC's) gesloten.
Sub-verwerker | Rol | Vestigingslocatie | Verwerkte data |
|---|---|---|---|
Clerk | Authenticatie en identiteitsbeheer | EU | Accountgegevens, logindata |
PostgreSQL database hosting | EU | Alle platformdata | |
Vercel | Applicatiehosting | EU | Applicatieverkeer |
Gladia | Spraak-naar-tekst transcriptie | EU | Audio-opnames |
Google (via Google Vortex — Gemini API) | AI-structurering van transcripten | EU | Transcripttekst |
Stripe | Betalingsverwerking | EU | Facturatiegegevens |
8.1 Doorgifte buiten de EU
Indien sub-verwerkers (zoals Clerk of Stripe) gegevens buiten de Europese Economische Ruimte (EER) verwerken, geschiedt dit uitsluitend op basis van:
Standard Contractual Clauses (SCC's) conform Uitvoeringsbesluit (EU) 2021/914, en/of
Een adequaatheidsbesluit van de Europese Commissie
Er vindt geen doorgifte buiten de EU/EER plaats zonder afdoende waarborgen conform de vereisten van Schrems II (HvJ EU, 16 juli 2020, C-311/18).
Artikel 9 — Beveiliging
The North Solution heeft passende technische en organisatorische maatregelen getroffen ter beveiliging van persoonsgegevens, conform NEN 7510:
Field-level encryptie op transcripten, gestructureerde data en notities
Encryptie in transit via TLS 1.2 of hoger
Multi-tenant architectuur met strikte scheiding van organisatiedata
Toegangscontrole op basis van gebruikersrollen en entitlements
Immutable auditlogging conform NEN 7513
Periodieke beveiligingsreviews en kwetsbaarheidsscans
Artikel 10 — Gegevensbeschermingseffectbeoordeling (DPIA)
Gezien de aard van de verwerkte gegevens — te weten bijzondere persoonsgegevens (gezondheidsdata) op grote schaal — is The North Solution gehouden tot het uitvoeren van een Gegevensbeschermingseffectbeoordeling (DPIA) conform artikel 35 AVG, voorafgaand aan de ingebruikname van NENote voor grootschalige verwerking.
The North Solution heeft een DPIA uitgevoerd respectievelijk zal deze uitvoeren bij materiële wijzigingen in de verwerkingen. De uitkomsten van de DPIA zijn beschikbaar op verzoek van de toezichthoudende autoriteit.
Artikel 11 — Functionaris voor Gegevensbescherming (FG)
The North Solution heeft op dit moment geen formele Functionaris voor Gegevensbescherming (FG) aangesteld. Gelet op de rechtsvorm (eenmanszaak) en de omvang van de organisatie is aanstelling van een FG onder artikel 37 AVG mogelijk niet wettelijk verplicht.
Gezien de aard van de verwerkte gegevens (bijzondere persoonsgegevens, gezondheidsdata) adviseert The North Solution zichzelf nadrukkelijk om de aanstelling van een externe FG of privacyadviseur te overwegen.
Voor alle privacygerelateerde vragen is Kaj van der Meer direct bereikbaar via nenote@thenorthsolution.com.
Artikel 12 — Rechten van betrokkenen
Betrokkenen (zorgprofessionals als gebruikers, en indirect patiënten via hun zorgverlener) hebben de volgende rechten onder de AVG:
Recht | Grondslag | Toelichting |
|---|---|---|
Inzagerecht | Art. 15 AVG | U kunt opvragen welke gegevens wij van u verwerken |
Rectificatierecht | Art. 16 AVG | U kunt onjuiste gegevens laten corrigeren |
Recht op vergetelheid | Art. 17 AVG | U kunt verzoeken om verwijdering van uw gegevens |
Beperking van verwerking | Art. 18 AVG | U kunt verwerking laten beperken in bepaalde gevallen |
Dataportabiliteit | Art. 20 AVG | U kunt uw gegevens in machineleesbaar formaat ontvangen |
Recht van bezwaar | Art. 21 AVG | U kunt bezwaar maken tegen verwerking |
Geautomatiseerde besluitvorming | Art. 22 AVG | U heeft het recht niet onderworpen te worden aan uitsluitend geautomatiseerde besluiten met rechtsgevolgen |
12.1 Hoe een verzoek indienen?
Verzoeken kunnen worden ingediend via nenote@thenorthsolution.com. The North Solution reageert binnen één maand na ontvangst van het verzoek. Bij complexe of meervoudige verzoeken kan deze termijn met twee maanden worden verlengd, waarover u tijdig wordt geïnformeerd.
12.2 Identiteitsverificatie
Om uw privacy te beschermen, kan The North Solution u vragen uw identiteit te verifiëren voordat een verzoek wordt verwerkt.
12.3 Beperkingen
Sommige rechten, waaronder het recht op vergetelheid, kunnen worden beperkt voor zover dit noodzakelijk is voor het nakomen van wettelijke verplichtingen (bijv. de 7-jarige bewaarplicht voor auditlogs).
Artikel 13 — Klachten
Indien u van mening bent dat The North Solution uw persoonsgegevens niet conform de wet verwerkt, kunt u:
Contact opnemen met Kaj van der Meer via nenote@thenorthsolution.com
Een klacht indienen bij de toezichthoudende autoriteit:
Autoriteit Persoonsgegevens (AP) Postbus 93374, 2509 AJ Den Haaghttps://www.autoriteitpersoonsgegevens.nl Telefoon: 088 – 1805 250
Artikel 14 — Cookies en tracking
NENote maakt gebruik van functioneel noodzakelijke cookies voor authenticatie en sessiebeheer. Er worden geen tracking- of advertentiecookies gebruikt. Voor zover analytische cookies worden ingezet, geschiedt dit conform de ePrivacy Richtlijn (2002/58/EG) en de UAVG.
Artikel 15 — Toepasselijk recht en juridisch kader
Dit privacybeleid is opgesteld in overeenstemming met de volgende wet- en regelgeving:
AVG / GDPR (Verordening (EU) 2016/679)
UAVG (Uitvoeringswet Algemene verordening gegevensbescherming)
WGBO (Wet op de Geneeskundige Behandelingsovereenkomst)
NEN 7510 (Informatiebeveiliging in de zorg)
NEN 7512 (Vertrouwensbasis voor gegevensuitwisseling in de zorg)
NEN 7513 (Logging van toegang tot medische dossiers)
Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg
ePrivacy Richtlijn (2002/58/EG)
Schrems II (HvJ EU C-311/18) en de daarop gebaseerde Standard Contractual Clauses
Artikel 16 — Wijzigingen in dit privacybeleid
The North Solution behoudt zich het recht voor dit privacybeleid te wijzigen. Bij materiële wijzigingen worden gebruikers ten minste 30 dagen van tevoren geïnformeerd via het bij ons bekende e-mailadres en/of een melding op nenote.nl.
De meest actuele versie van dit privacybeleid is te allen tijde beschikbaar op https://nenote.nl/privacy-policy.
Artikel 17 — Verwerkersovereenkomst
Zakelijke klanten (zorgprofessionals en zorgorganisaties) die NENote inzetten voor de verwerking van patiëntgegevens zijn verplicht een verwerkersovereenkomst te sluiten met The North Solution. Deze overeenkomst is beschikbaar via nenote@thenorthsolution.com of wordt aangeboden bij het afsluiten van een zakelijk abonnement.
Privacybeleid NENote | The North Solution | Kaj van der Meer | KvK 95407898 | Versie 1.0 | 4 maart 2026