Privacyverklaring Rad2Share
Laatst bijgewerkt: mei 2026
1. Verwerkingsverantwoordelijke
Rad2Share B.V. is de verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG) voor de persoonsgegevens die worden verwerkt via de Rad2Share-applicatie.
| Organisatie | Rad2Share B.V. |
| KvK-nummer | 75081164 |
| Vestigingsadres | Zilvermeeuw 1, 7609 PP Almelo |
| Postadres | Postbus 7600, 7600 SZ Almelo |
| Privacycontactpersoon | Onno Vijlbrief |
| onno@rad2share.com |
U kunt bij de privacycontactpersoon terecht met vragen over deze verklaring, over de verwerking van uw gegevens, of om uw rechten uit te oefenen (zie sectie 7).
2. Wat is Rad2Share?
Rad2Share is een Progressive Web App (PWA) waarmee radiologen en andere medische professionals beeldvormingssequenties (MRI, CT, röntgen) kunnen vastleggen via screencapture en presenteren als diavoorstellingen. De applicatie wordt gebruikt voor onderwijs, bijscholing en interdisciplinaire bespreking.
Kernprincipe: medische beelden blijven standaard lokaal opgeslagen in uw browser. Er worden geen medische beelden automatisch naar een server verstuurd. Alleen wanneer u expliciet Save to cloud of Upload & share kiest, worden de betreffende casus en JPEG frames op de server opgeslagen zodat u de casus later kunt openen of delen.
3. Welke gegevens verwerken wij?
3.1 Gegevens op onze server
Om u toegang te geven tot Rad2Share verwerken wij een beperkte set accountgegevens:
| Gegeven | Doel | Opslag |
|---|---|---|
| Naam | Identificatie en weergave in de app | PostgreSQL database (ziekenhuisinfrastructuur) |
| E-mailadres | Inloggen, verificatie, wachtwoordherstel | PostgreSQL database (ziekenhuisinfrastructuur) |
| Organisatie | Weergave en eventuele toegangscontrole | PostgreSQL database (ziekenhuisinfrastructuur) |
| Gehashd wachtwoord | Authenticatie (Argon2id-hash, niet leesbaar) | PostgreSQL database (ziekenhuisinfrastructuur) |
| Share access logs | Beveiliging en intrekking van gedeelde casus-links (tijdstip, HMAC-SHA256 IP-hash, user-agent) | PostgreSQL database (ziekenhuisinfrastructuur) |
| Cookieless analytics | Geaggregeerde gebruiksstatistiek en productverbetering via self-hosted Umami op analytics.rad2share.com | Rad2Share self-hosted analytics |
Indien uw ziekenhuis Single Sign-On (SSO) heeft ingeschakeld, ontvangen wij aanvullend uw naam en e-mailadres van de identity provider van uw ziekenhuis (bijv. Microsoft Entra ID). In dat geval wordt er geen wachtwoord bij ons opgeslagen.
3.2 Gegevens op uw eigen apparaat
De volgende gegevens worden standaard lokaal opgeslagen en bereiken onze server niet, tenzij u expliciet Save to cloud of Upload & share kiest:
- Schermopnames van medische beelden (opgeslagen in uw browser, IndexedDB)
- Gegenereerde presentaties (PowerPoint-bestanden)
- Sessie-cookie (voor het bijhouden van uw inlogsessie, maximaal 8 uur geldig)
Wij hebben geen toegang tot deze gegevens. U beheert deze zelf en kunt ze op elk moment verwijderen via uw browser.
Als u een cloud-casus of gedeelde casus opent, kan Rad2Share de reeds opgeslagen JPEG frames tijdelijk in de browser-cache bewaren om opnieuw openen sneller te maken. Deze cache bevat alleen beelden die al expliciet in cloudopslag staan of via een geldige share-link toegankelijk zijn. Bij uitloggen of automatische idle-timeout wordt deze case-image-cache gewist.
4. Waarvoor gebruiken wij uw gegevens?
- Authenticatie en toegangsbeheer: om te verifiëren dat u een bevoegde gebruiker bent
- Sessiebeheer: om u ingelogd te houden tijdens gebruik
- Accountbeheer: voor wachtwoordherstel en e-mailverificatie
- Communicatie: om u te informeren over wijzigingen in de dienst of deze privacyverklaring
- Gebruikstatistiek: om de werking en bruikbaarheid van Rad2Share te verbeteren met self-hosted, cookieless analytics
Wij gebruiken uw gegevens niet voor marketing of profilering.
5. Op welke grondslag verwerken wij uw gegevens?
Wij verwerken uw persoonsgegevens op basis van ons gerechtvaardigd belang (artikel 6 lid 1 sub f AVG): het aanbieden van een veilige en toegankelijke applicatie voor medisch onderwijs. De verwerking is beperkt tot het strikt noodzakelijke (alleen accountgegevens) en de impact op uw privacy is minimaal.
Wanneer uw ziekenhuis SSO voor Rad2Share heeft ingeschakeld, kan de rechtsgrond voor de doorgifte van uw identiteitsgegevens vanuit uw ziekenhuis verschillen (bijvoorbeeld uitvoering van de arbeidsovereenkomst). Uw ziekenhuis informeert u hierover.
6. Delen wij uw gegevens met derden?
Wij delen uw persoonsgegevens niet met externe advertentie- of analysepartijen. De applicatie, database en e-mailvoorziening worden volledig gehost binnen de infrastructuur van het aangesloten ziekenhuis. Er worden geen medische beelden verwerkt door externe cloudpartijen.
Rad2Share gebruikt self-hosted, cookieless analytics via analytics.rad2share.com. Daarbij worden geen medische beelden, patiëntgegevens, casusnamen, bestandsnamen, case IDs, share tokens, reset-/verify tokens of image URLs verzonden. Routes worden vóór verzending gegeneraliseerd en query strings en hashes worden uitgesloten.
Uw gegevens worden niet verkocht, verhuurd of op andere wijze commercieel gedeeld.
7. Uw rechten
Op grond van de AVG heeft u de volgende rechten:
| Recht | Toelichting |
|---|---|
| Inzage | U kunt opvragen welke gegevens wij van u verwerken. Uw accountgegevens zijn ook zichtbaar in uw profiel in de applicatie. |
| Rectificatie | U kunt uw naam en organisatie wijzigen via uw profiel. Voor wijziging van uw e-mailadres doorloopt u een verificatiestap. |
| Verwijdering | U kunt uw account laten verwijderen. Hiermee worden al uw accountgegevens permanent uit onze database verwijderd. Lokaal opgeslagen beelden op uw apparaat worden hierdoor niet geraakt. |
| Beperking | U kunt verzoeken om uw account te deactiveren zonder volledige verwijdering. |
| Overdraagbaarheid | Op verzoek verstrekken wij uw accountgegevens in een gangbaar formaat. Lokale beelddata is reeds in uw bezit. |
| Bezwaar | U kunt bezwaar maken tegen de verwerking van uw gegevens. Neem hiervoor contact op met de privacycontactpersoon (zie sectie 1). |
| Klacht bij de AP | U heeft het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl). |
U kunt uw rechten uitoefenen door contact op te nemen met onno@rad2share.com. Wij reageren binnen 30 dagen op uw verzoek.
8. Hoe lang bewaren wij uw gegevens?
| Gegevens | Bewaartermijn | Toelichting |
|---|---|---|
| Accountgegevens | Zolang u een account heeft | Na verwijdering van uw account worden gegevens binnen 30 dagen gewist |
| Sessie-cookie | Maximaal 8 uur | Verloopt automatisch |
| Lokale beelddata | Onder uw eigen beheer | U verwijdert deze zelf; wij hebben er geen toegang toe |
| Browser-cache van geopende cloud/share beelden | Onder uw eigen beheer | Wordt gewist bij uitloggen/idle-timeout of door browserdata te wissen |
| Audit logs | 12 maanden | Beveiligingslogboek van inlog- en share-gebeurtenissen |
9. Hoe beveiligen wij uw gegevens?
Wij nemen de bescherming van uw gegevens serieus en hebben onder meer de volgende maatregelen getroffen:
- Versleuteld transport: alle communicatie verloopt via HTTPS (HSTS ingeschakeld)
- Wachtwoord-hashing: wachtwoorden worden opgeslagen met Argon2id, een moderne standaard voor veilige wachtwoord-hashing
- Sessiebeveiliging: cookies zijn HttpOnly, Secure en SameSite, met een maximale geldigheidsduur van 8 uur
- Security headers: bescherming tegen clickjacking, MIME-sniffing en ongewenste referrer-informatie
- Geen automatische medische data op servers: gevoelige beelddata verlaat uw apparaat alleen na een expliciete Save to cloud of Upload & share actie
- Beperkte browser-cache voor cloudweergave: geopende cloud/share frames kunnen lokaal worden hergebruikt voor performance; serverroutes blijven no-store en de cache wordt gewist bij logout of idle-timeout
- Lokale opslag: alle servergegevens worden opgeslagen binnen de ziekenhuisinfrastructuur
10. Single Sign-On (SSO) via uw ziekenhuis
Indien uw ziekenhuis SSO heeft ingeschakeld voor Rad2Share, logt u in met uw bestaande ziekenhuisaccount. In dat geval:
- Wordt u doorgestuurd naar de inlogpagina van uw ziekenhuis (bijv. Microsoft Entra ID)
- Ontvangen wij na succesvolle authenticatie uw naam en e-mailadres
- Worden er geen medische gegevens gedeeld met de identity provider van uw ziekenhuis
- Wordt er geen wachtwoord bij Rad2Share opgeslagen
Het ziekenhuis dat SSO inschakelt heeft hiervoor een overeenkomst met Rad2Share B.V. De verwerking van uw identiteitsgegevens door uw ziekenhuis valt onder het privacybeleid van uw ziekenhuis.
11. Cookies
Rad2Share gebruikt uitsluitend functionele cookies die noodzakelijk zijn voor het functioneren van de applicatie:
- Sessie-cookie: houdt uw inlogsessie bij (maximaal 8 uur, HttpOnly, Secure)
Wij gebruiken geen tracking-cookies, analytische cookies of cookies van derden. Rad2Share gebruikt wel self-hosted, cookieless analytics; daarvoor wordt geen extra browsercookie geplaatst.
12. Wijzigingen in deze verklaring
Wij kunnen deze privacyverklaring van tijd tot tijd aanpassen, bijvoorbeeld bij nieuwe functionaliteit of gewijzigde wetgeving. De meest recente versie is altijd beschikbaar in de applicatie. Bij substantiële wijzigingen informeren wij u via een melding in de applicatie.
13. Contact en klachten
Heeft u vragen over deze privacyverklaring of wilt u uw rechten uitoefenen? Neem dan contact op met:
Onno Vijlbrief, privacycontactpersoon Rad2Share B.V.
Komt u er met ons niet uit? Dan heeft u het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens: