Privacybeleid

Magistra Health B.V. ("Magistra", "wij", "ons" of "onze"), geregistreerd in Nederland, exploiteert de website magistra.health (het "Platform"). Wij treden op als technologische tussenpersoon die patiënten verbindt met onafhankelijke geregistreerde zorgverleners en apotheken voor gepersonaliseerde gewichtsbeheerprogramma's. Dit Privacybeleid legt uit hoe wij uw persoonsgegevens verzamelen, gebruiken, opslaan, delen en beschermen wanneer u ons Platform gebruikt, in overeenstemming met de Algemene Verordening Gegevensbescherming (EU) 2016/679 ("AVG"), de Uitvoeringswet Algemene Verordening Gegevensbescherming ("UAVG"), en waar van toepassing de Wet op de Geneeskundige Behandelingsovereenkomst ("WGBO"). Door gebruik te maken van ons Platform erkent u dat u dit Privacybeleid hebt gelezen en begrepen. Wij vragen altijd uw uitdrukkelijke toestemming voordat wij uw persoonsgegevens verwerken, inclusief bijzondere categorieën van gegevens (gezondheidsgegevens).

De verwerkingsverantwoordelijke in de zin van de AVG is: Magistra Health B.V. Geregistreerd in Nederland Website: magistra.health E-mail: privacy@magistra.health Wij hebben een Functionaris voor Gegevensbescherming (FG) aangesteld die bereikbaar is via: dpo@magistra.health

Wij verzamelen de volgende categorieën persoonsgegevens: a) Identiteits- en contactgegevens - Volledige naam - E-mailadres - Telefoonnummer - Postadres - Geboortedatum b) Gezondheidsvragenlijstgegevens (Bijzondere categorie gegevens onder Artikel 9 AVG) - Lengte, gewicht en BMI - Medische aandoeningen en gezondheidsgeschiedenis - Huidige medicatie - Bekende allergieën - Overige gezondheidsgerelateerde antwoorden in onze vragenlijst c) Technische en gebruiksgegevens - IP-adres (waar mogelijk geanonimiseerd) - Browsertype en -versie - Apparaatinformatie - Bezochte pagina's en tijd besteed op het Platform - Cookies en vergelijkbare technologieën (zie Sectie 10) d) Communicatiegegevens - Gegevens van correspondentie met ons via e-mail of via het Platform

Wij verwerken uw persoonsgegevens op basis van de volgende rechtsgronden onder de AVG: a) Uitdrukkelijke toestemming (Artikel 6(1)(a) en Artikel 9(2)(a) AVG) Voor alle gezondheidsgegevens en bijzondere categorieën van gegevens baseren wij ons op uw uitdrukkelijke, geïnformeerde, vrij gegeven en specifieke toestemming. U geeft deze toestemming wanneer u onze gezondheidsvragenlijst invult en uitdrukkelijk instemt met de verwerking van uw gezondheidsgegevens. U kunt uw toestemming te allen tijde intrekken (zie Sectie 8). b) Verwerking van gezondheidsgegevens (Artikel 9(2)(h) AVG) Verwerking van gezondheidsgegevens die noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, medische diagnostiek, het verstrekken van gezondheidszorg of sociale zorg of behandeling, of het beheer van gezondheidszorg- of sociale zorgstelsels en -diensten, op basis van Unierecht of lidstaatrecht (waaronder de WGBO). Dit biedt een aanvullende rechtsgrondslag voor de verwerking van bijzondere categorieën gezondheidsgegevens via ons Platform. c) Uitvoering van een overeenkomst (Artikel 6(1)(b) AVG) Verwerking die noodzakelijk is voor de uitvoering van de dienst die u via ons Platform hebt aangevraagd, waaronder het koppelen aan een onafhankelijke voorschrijver en bereidingsapotheek. d) Gerechtvaardigd belang (Artikel 6(1)(f) AVG) Voor platformbeveiliging, fraudepreventie en dienstverbetering, waarbij onze belangen niet zwaarder wegen dan uw fundamentele rechten en vrijheden. e) Wettelijke verplichting (Artikel 6(1)(c) AVG) Waar wij op grond van Nederlands of EU-recht verplicht zijn bepaalde gegevens te verwerken of te bewaren.

Wij gebruiken uw persoonsgegevens voor de volgende doeleinden: - Om u te koppelen aan een geschikte onafhankelijke voorschrijver en bereidingsapotheek op basis van uw antwoorden op de gezondheidsvragenlijst - Om communicatie tussen u en uw gekoppelde zorgverleners te faciliteren - Om uw account te beheren en klantenondersteuning te bieden - Om u informatie te sturen over uw gepersonaliseerde programma (met uw toestemming) - Om ons Platform te verbeteren en te ontwikkelen - Om te voldoen aan wettelijke en regelgevende verplichtingen - Om fraude of beveiligingsincidenten te detecteren en te voorkomen Belangrijk: Magistra is een technologieplatform en geen zorgverlener. Wij geven geen medisch advies, diagnoses of behandelingen. Alle klinische beslissingen worden genomen door onafhankelijke voorschrijvers en alle bereiding wordt uitgevoerd door onafhankelijke geregistreerde apotheken.

Wij delen uw persoonsgegevens uitsluitend met de volgende categorieën ontvangers, en alleen voor zover noodzakelijk voor het leveren van uw gepersonaliseerde programma: a) Onafhankelijke voorschrijvers Uw antwoorden op de gezondheidsvragenlijst en persoonlijke gegevens worden gedeeld met de aan u gekoppelde onafhankelijke voorschrijver, uitsluitend ten behoeve van klinische beoordeling en voorschrijven. b) Onafhankelijke bereidingsapotheken Uw receptgegevens en bezorginformatie worden gedeeld met de aan u gekoppelde bereidingsapotheek, uitsluitend ten behoeve van het bereiden en bezorgen van uw gepersonaliseerde medicatie. c) Dienstverleners Wij maken gebruik van zorgvuldig geselecteerde externe dienstverleners die gegevens namens ons verwerken (als verwerkers), waaronder: - Supabase (EU-regio) voor databasehosting - Vercel (EU-regio) voor websitehosting - Betalingsverwerkers voor transactieverwerking Alle verwerkers zijn gebonden aan verwerkersovereenkomsten in overeenstemming met Artikel 28 AVG. d) Juridische en toezichthoudende instanties Wij kunnen gegevens openbaar maken indien dit wettelijk, bij regelgeving of bij rechterlijk bevel vereist is, waaronder aan de Autoriteit Persoonsgegevens. Wij verkopen uw persoonsgegevens NIET aan derden. Wij delen uw gegevens NIET voor marketingdoeleinden met derden.

Uw persoonsgegevens worden uitsluitend opgeslagen en verwerkt binnen de Europese Unie. Onze infrastructuurproviders (Supabase en Vercel) zijn geconfigureerd om EU-gebaseerde datacentra te gebruiken. In het onwaarschijnlijke geval dat een gegevensoverdracht buiten de EU/EER noodzakelijk is, zorgen wij ervoor dat passende waarborgen aanwezig zijn in overeenstemming met Hoofdstuk V van de AVG, zoals door de Europese Commissie goedgekeurde Standaard Contractbepalingen (SCC's).

Op grond van de AVG en de UAVG hebt u de volgende rechten: a) Recht op inzage (Artikel 15 AVG) U hebt het recht om een kopie te ontvangen van de persoonsgegevens die wij over u bewaren. b) Recht op rectificatie (Artikel 16 AVG) U hebt het recht om correctie van onjuiste persoonsgegevens te verzoeken. c) Recht op wissing (Artikel 17 AVG) U hebt het recht om verwijdering van uw persoonsgegevens te verzoeken, onder voorbehoud van wettelijke bewaarverplichtingen. d) Recht op gegevensoverdraagbaarheid (Artikel 20 AVG) U hebt het recht om uw persoonsgegevens te ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat en om deze over te dragen aan een andere verwerkingsverantwoordelijke. e) Recht van bezwaar (Artikel 21 AVG) U hebt het recht om bezwaar te maken tegen verwerking op basis van gerechtvaardigde belangen. f) Recht om toestemming in te trekken (Artikel 7(3) AVG) U hebt het recht om uw toestemming te allen tijde in te trekken. Intrekking doet geen afbreuk aan de rechtmatigheid van de verwerking vóór de intrekking. g) Recht op beperking van de verwerking (Artikel 18 AVG) U hebt het recht om in bepaalde omstandigheden beperking van de verwerking te verzoeken. Om een van deze rechten uit te oefenen, kunt u contact met ons opnemen via privacy@magistra.health. Wij reageren binnen 30 dagen op uw verzoek, in overeenstemming met de AVG-vereisten.

Wij bewaren uw persoonsgegevens als volgt: - Gezondheidsvragenlijstgegevens en programmagegevens: gedurende de looptijd van uw actieve programma plus 2 jaar na voltooiing of sluiting van uw account, waarna deze permanent worden verwijderd. - Accountgegevens (naam, e-mail, contactgegevens): gedurende de looptijd van uw account plus 2 jaar na sluiting. - Technische en gebruiksgegevens: maximaal 12 maanden na verzameling, in geanonimiseerde of gepseudonimiseerde vorm waar mogelijk. - Communicatiegegevens: gedurende de looptijd van uw account plus 2 jaar na sluiting. Waar de Nederlandse wet of de WGBO een langere bewaartermijn vereist (bijvoorbeeld voor bepaalde medische dossiers), zullen wij aan die vereisten voldoen en u dienovereenkomstig informeren. Na de toepasselijke bewaartermijn worden gegevens permanent en onomkeerbaar verwijderd uit onze systemen en die van onze verwerkers.

Ons Platform maakt gebruik van cookies en vergelijkbare technologieën. Wij categoriseren deze als volgt: a) Strikt noodzakelijke cookies Vereist voor het functioneren van het Platform (bijv. sessiecookies, beveiligingstokens). Hiervoor is geen toestemming vereist. b) Analytische cookies Gebruikt om te begrijpen hoe bezoekers ons Platform gebruiken en om de prestaties te verbeteren. Deze worden alleen geplaatst met uw uitdrukkelijke toestemming. c) Voorkeurscookies Gebruikt om uw instellingen te onthouden, zoals taalvoorkeur. Deze worden alleen geplaatst met uw uitdrukkelijke toestemming. U kunt uw cookievoorkeuren te allen tijde beheren via onze cookietoestemmingsbanner. U kunt cookies ook beheren via uw browserinstellingen. Voor meer informatie verwijzen wij naar ons afzonderlijke Cookiebeleid.

Wij implementeren passende technische en organisatorische maatregelen om uw persoonsgegevens te beschermen tegen ongeautoriseerde toegang, wijziging, openbaarmaking of vernietiging, waaronder: - Versleuteling van gegevens tijdens verzending (TLS/SSL) en in rust - Toegangscontroles en authenticatiemechanismen - Regelmatige beveiligingsbeoordelingen en monitoring - Verwerkersovereenkomsten met alle sub-verwerkers - Uitsluitend gegevensopslag binnen de EU - Opleiding van personeel op het gebied van gegevensbescherming Ondanks onze inspanningen is geen enkele methode van overdracht via het internet of elektronische opslag 100% veilig. Als u op de hoogte raakt van een beveiligingsincident, stel ons dan onmiddellijk op de hoogte via privacy@magistra.health.

Ons Platform is niet bedoeld voor gebruik door personen jonger dan 18 jaar. Wij verzamelen niet bewust persoonsgegevens van minderjarigen. Als wij erachter komen dat wij gegevens hebben verzameld van een persoon jonger dan 18 jaar, zullen wij onmiddellijk stappen ondernemen om die gegevens te verwijderen.

Wij kunnen dit Privacybeleid van tijd tot tijd bijwerken om wijzigingen in onze praktijken, technologie, wettelijke vereisten of andere factoren weer te geven. Wij stellen u op de hoogte van wezenlijke wijzigingen door: - Het bijgewerkte beleid op ons Platform te plaatsen met een herziene "Laatst bijgewerkt"-datum - U een e-mailmelding te sturen bij significante wijzigingen - Hernieuwde toestemming te vragen waar dit wettelijk vereist is Wij moedigen u aan dit Privacybeleid periodiek te raadplegen.

Als u van mening bent dat onze verwerking van uw persoonsgegevens inbreuk maakt op de AVG of de UAVG, hebt u het recht een klacht in te dienen bij de Nederlandse toezichthoudende autoriteit: Autoriteit Persoonsgegevens Postbus 93374 2509 AJ Den Haag Nederland Website: https://autoriteitpersoonsgegevens.nl Telefoon: +31 (0)70 888 85 00

Als u vragen hebt over dit Privacybeleid of onze gegevensverwerkingspraktijken, neem dan contact met ons op: Magistra Health B.V. E-mail: privacy@magistra.health FG: dpo@magistra.health Website: magistra.health Instagram: @magistra.health