TRUST & SECURITY

Vertrouwen is geen bijlage.

PCD CareHub bouwt infrastructuur voor de zorg. Compliance, dataveiligheid en AI-governance zijn geen afterthought — ze zitten in de architectuur. Hier is onze publieke verantwoording, per thema.

NEN 7510-principes
ISO 27001-principes
AVG-by-design
EU-data
Wegiz-ready

COMPLIANCE & CERTIFICERING

Status per norm en kader

NEN 7510: Werkwijze ingericht op de principes. Formele certificering target Q1 2027.
ISO 27001: Informatiebeveiligingsbeleid actief. Formele certificering target Q1 2027.
AVG / GDPR: ROPA en DPIA actueel gehouden per datastroom. DPA beschikbaar op aanvraag.
Wegiz: Architectuur en datastromen Wegiz-ready; juridische borging per implementatie.
EHDS: Interoperabiliteit via FHIR R4 en open standaarden — EHDS-klaar als fundament.
AI Act: Classificatie hoog-risico AI-systemen in kaart; governance-framework actief.

Formele NEN 7510- en ISO 27001-certificering is in voorbereiding met target Q1 2027. Tot die tijd werken wij aantoonbaar op basis van de principes van beide normen. Onderliggende documentatie — waaronder DPA, subverwerkersoverzicht, DPIA-template, incidentrespons-procedure en securitybeleid — is beschikbaar op aanvraag onder NDA. Vragen? Neem contact op via info@pcdcarehub.com.

DATA & INFRASTRUCTUUR

Waar uw data staat en stroomt

Encryptie

Data at rest versleuteld met AES-256. Data in transit via TLS 1.3. Sleutelbeheer per omgeving geïsoleerd.

EU-dataverwerking

Primaire database in EU (Frankfurt). Geen gezondheidsdata buiten de EU. EU-regio is een harde vereiste in onze vendor-selectie.

Audit-logging

Elke datatoegang en -wijziging is herleidbaar. Logs worden bewaard conform AVG-bewaartermijnen en zijn beschikbaar voor audit.

ROPA & DPIA

Register van verwerkingsactiviteiten (ROPA) en gegevensbeschermingseffectbeoordelingen (DPIA) worden actief bijgehouden per datastroom.

Subverwerkers

Partij	Rol	Dataregio	Toelichting
Vercel Inc.	Hosting & CDN	VS / EU edge	EU-regio actief; geen verwerking van PHI op edge nodes.
Supabase Inc.	Database & authenticatie	EU (Frankfurt)	Data at rest in EU; row-level security ingeschakeld.
Resend Inc.	Transactionele e-mail	VS	Geen gezondheidsgerelateerde data in e-mailinhoud; SCCs van toepassing.

Standaardcontractbepalingen (SCCs) van toepassing waar data buiten de EU wordt verwerkt. DPA/verwerkersovereenkomst beschikbaar op aanvraag.

AI-GOVERNANCE

AI met een mens in de lus

Human-in-the-loop

Klinische en hoog-risico toepassingen vereisen altijd een menselijk beoordelingsmoment. AI ondersteunt, beslist niet.

AI Act-ready

Hoog-risico AI-systemen (EU AI Act bijlage III) worden geclassificeerd, gedocumenteerd en bewaakt conform de governance-eisen.

AVG art. 22

Geen geautomatiseerde beslissingen met rechtsgevolgen voor betrokkenen zonder expliciet menselijk toezicht en recht op uitleg.

INCIDENT & CONTACT

Wat er gebeurt als er iets misgaat

Incidentrespons

Bij een datalek worden betrokken verwerkingsverantwoordelijken en — waar vereist — de Autoriteit Persoonsgegevens binnen 72 uur geïnformeerd conform AVG art. 33 en 34.

Security disclosure

Kwetsbaarheden kunt u verantwoord melden via info@pcdcarehub.com. Wij reageren binnen 5 werkdagen en werken transparant samen aan een oplossing.

DPA of verwerkersovereenkomst nodig?

Voor zorgorganisaties en partners stellen wij een verwerkersovereenkomst op conform AVG art. 28. Neem contact op en wij regelen dit voor de start van elke samenwerking.

AVG art. 28
DPA op aanvraag
NDA mogelijk

Stuur een bericht →

VRAGEN OVER COMPLIANCE?

Transparantie is geen drempel.

Stuur een bericht of plan een call. Wij beantwoorden compliance-vragen openlijk en werken op aanvraag met NDA.

Stuur een bericht Lees de ESG-verklaring