Privacyverklaring

Versie: april 2026

Privacyverklaring BloedCheckup

Deze privacyverklaring beschrijft welke persoonsgegevens BloedCheckup verwerkt, met welk doel en op welke grondslag, met wie gegevens worden gedeeld, hoe lang wij ze bewaren en welke rechten de Cliënt heeft. De verwerking geschiedt overeenkomstig de Algemene Verordening Gegevensbescherming (AVG), de Wet op de geneeskundige behandelingsovereenkomst (WGBO) en de Wet publieke gezondheid.

1. Verwerkingsverantwoordelijke

1.1 Verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 AVG is D3V B.V., handelend onder de naam BloedCheckup, statutair gevestigd te Amsterdam, kantoorhoudende aan de Vlierweg 12, 1032 LG Amsterdam, postadres Postbus 79055, 1070 NC Amsterdam, ingeschreven in het handelsregister onder nummer 96924403.

1.2 Voor vragen over deze privacyverklaring of over de uitoefening van uw rechten kunt u zich wenden tot info@bloedcheckup.nl.

2. Categorieën persoonsgegevens

2.1 Wij verwerken de volgende categorieën persoonsgegevens:

2.1.1 Identificatie‑ en contactgegevens — waaronder naam, geboortedatum, geslacht, adres, e‑mailadres en telefoonnummer.

2.1.2 Bestel‑ en betalingsgegevens — waaronder ordernummer, gekozen onderzoek, factuurbedrag en betaalmethode.

2.1.3 Communicatiegegevens — correspondentie per e‑mail, telefoon of chat, voor zover noodzakelijk voor de afhandeling van de bestelling en de beantwoording van vragen.

2.1.4 Medische gegevens — testaanvraag, monster‑identificatie, uitslaggegevens en, bij genetisch onderzoek, gegevens over lichaamsmateriaal. Medische gegevens zijn bijzondere persoonsgegevens in de zin van artikel 9 AVG.

2.1.5 Toestemmingsgegevens — de digitale toestemmingsverklaring zoals verstrekt bij de bestelling, met inbegrip van de datum van toestemming, de versie van de algemene voorwaarden, de keuzes ten aanzien van nevenbevindingen en, bij genetisch onderzoek, de toestemming voor bewaring van lichaamsmateriaal. Deze verklaring is opgesteld conform NEN 8051:2023 §7.7 en de WGBO.

3. Doelen en grondslagen van de verwerking

3.1 BloedCheckup verwerkt persoonsgegevens voor de hieronder genoemde doeleinden, telkens op de daarbij vermelde grondslag uit artikel 6 en, voor medische gegevens, artikel 9 AVG.

3.2 Uitvoering van de overeenkomst — afhandeling van de bestelling, planning van de afname, rapportage van de uitslag en klantenservice. Grondslag: artikel 6 lid 1 sub b AVG (uitvoering overeenkomst) en, voor medische gegevens, artikel 9 lid 2 sub a AVG (uitdrukkelijke toestemming) en artikel 9 lid 2 sub h AVG (verlening van gezondheidszorg).

3.3 Naleving van wettelijke verplichtingen — waaronder de dossierplicht uit artikel 7:454 BW (WGBO), de meldingsplicht uit de Wet publieke gezondheid, de fiscale bewaarplicht en verplichtingen onder de Wkkgz en de Wet op het bevolkingsonderzoek. Grondslag: artikel 6 lid 1 sub c AVG.

3.4 Beveiliging en kwaliteitsbewaking — het treffen van technische en organisatorische beveiligingsmaatregelen, de uitvoering van interne kwaliteitscontroles en de registratie van incidenten. Grondslag: artikel 6 lid 1 sub f AVG (gerechtvaardigd belang van BloedCheckup bij veilige en kwalitatief verantwoorde dienstverlening).

3.5 Communicatie en statistiek — marketingcommunicatie en geaggregeerde statistische analyses. Grondslag: artikel 6 lid 1 sub a AVG (toestemming), voor zover daarvoor toestemming is gevraagd.

4. Verwerking van medische gegevens en WGBO

4.1 Medische gegevens worden uitsluitend verwerkt voor de uitvoering van het preventief gezondheidsonderzoek en de daarmee samenhangende zorg, op grond van uitdrukkelijke toestemming van de Cliënt (artikel 9 lid 2 sub a AVG) en, waar relevant, de verlening van gezondheidszorg door een daartoe bevoegde zorgverlener (artikel 9 lid 2 sub h AVG).

4.2 Het dossier dat in het kader van het onderzoek wordt aangelegd, valt onder het medisch beroepsgeheim zoals bedoeld in artikel 7:457 BW en onder de bewaarplicht van artikel 7:454 lid 3 BW.

4.3 BloedCheckup biedt geen anonieme onderzoeken aan. Naam, geboortedatum en contactgegevens van de Cliënt zijn altijd gekoppeld aan de bestelling en de uitslag. Deze verwerking is noodzakelijk voor de identificatie van de Cliënt en de koppeling aan het monster, de traceerbaarheid binnen de zorgketen, de dossiervorming op grond van de WGBO en, bij meldingsplichtige bevindingen, de wettelijke meldplicht.

5. Ontvangers van persoonsgegevens

5.1 Voor de uitvoering van het onderzoek verstrekt BloedCheckup persoonsgegevens aan de daarbij betrokken zorgaanbieders en dienstverleners. Het gaat daarbij ten minste om de volgende categorieën ontvangers:

5.1.1 geaccrediteerde laboratoria in Nederland of binnen de Europese Economische Ruimte die de analyse van het monster verrichten;

5.1.2 prikposten, huisartsenlaboratoria en ziekenhuizen die de bloedafname en, waar van toepassing, de analyse uitvoeren;

5.1.3 vervoerders die monsters transporteren tussen afnamelocatie en laboratorium;

5.1.4 betaal‑ en IT‑dienstverleners die het bestelplatform en de administratie ondersteunen.

5.2 De onder 5.1 genoemde partijen verwerken persoonsgegevens hetzij als verwerker op grond van een verwerkersovereenkomst in de zin van artikel 28 AVG, hetzij als zelfstandig verwerkingsverantwoordelijke in het kader van hun eigen zorgverlening.

5.3 Buiten de in 5.1 genoemde categorieën worden persoonsgegevens uitsluitend gedeeld met derden op grond van een wettelijke verplichting, waaronder de melding van meldingsplichtige infectieziekten aan de Gemeentelijke Gezondheidsdienst (zie sectie 9).

6. Uitvoerende zorgaanbieders als zelfstandig verantwoordelijke

6.1 Iedere uitvoerende zorgaanbieder — een laboratorium, prikpost, huisartsenlaboratorium of ziekenhuis dat het onderzoek geheel of gedeeltelijk uitvoert — is op grond van artikel 7:454 BW (WGBO) gehouden een dossier bij te houden van de door hem verrichte zorg.

6.2 Ten aanzien van dat dossier treedt de betreffende instelling op als zelfstandig verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 AVG. De instelling hanteert een eigen privacyverklaring, eigen beveiligingsmaatregelen en eigen bewaartermijnen, die voor medische gegevens in beginsel ten minste twintig jaar bedragen.

6.3 Voor inzage, correctie, gegevensoverdracht of andere rechten op grond van de artikelen 15 tot en met 22 AVG ten aanzien van dat dossier dient de Cliënt zich rechtstreeks tot de desbetreffende zorgaanbieder te wenden.

6.4 BloedCheckup kan geen invloed uitoefenen op de inhoud of de toegankelijkheid van dossiers die door uitvoerende zorgaanbieders zelfstandig worden gevoerd, anders dan binnen de contractuele kaders die met die aanbieders zijn overeengekomen.

7. Geografische locatie van de verwerking

7.1 Persoonsgegevens worden uitsluitend verwerkt binnen de Europese Economische Ruimte.

7.2 Van doorgifte van persoonsgegevens naar een derde land buiten de Europese Economische Ruimte is geen sprake. Mocht zich in de toekomst een situatie voordoen waarin doorgifte noodzakelijk is, dan zal BloedCheckup dit uitsluitend doen onder de waarborgen van artikel 46 AVG en de Cliënt daarover vooraf informeren.

8. Bewaartermijnen

8.1 Medische gegevens, waaronder uitslagen en het cliëntendossier, worden door BloedCheckup bewaard gedurende twintig (20) jaar op grond van artikel 7:454 lid 3 BW (WGBO), tenzij wettelijk een andere termijn is voorgeschreven.

8.2 Financiële gegevens worden bewaard gedurende zeven (7) jaar op grond van artikel 52 van de Algemene wet inzake rijksbelastingen.

8.3 Klachtendossiers worden bewaard gedurende ten minste twee (2) jaar na afronding; klachten over medische zorgverlening worden twintig (20) jaar bewaard overeenkomstig de WGBO‑bewaartermijn.

8.4 Overige persoonsgegevens worden niet langer bewaard dan noodzakelijk voor het doel waarvoor zij zijn verkregen. Na afloop van de bewaartermijn worden gegevens vernietigd of geanonimiseerd.

9. Meldingsplichtige infectieziekten

9.1 Indien een onderzoek resulteert in een positieve bevinding ten aanzien van een meldingsplichtige infectieziekte in de zin van de Wet publieke gezondheid — waaronder HIV, syfilis, specifieke vormen van gonorroe, hepatitis B en C — zijn BloedCheckup en het uitvoerend laboratorium gehouden daarvan melding te maken aan de lokale Gemeentelijke Gezondheidsdienst (GGD).

9.2 In dat kader worden naam, adres, geboortedatum en telefoonnummer van de Cliënt aan de GGD verstrekt ten behoeve van bron‑ en contactopsporing. Anonimiteit is bij deze onderzoeken niet mogelijk.

9.3 De volledige lijst van betrokken ziekten en de daarbij horende meldingstermijnen is opgenomen op de pagina Meldingsplichtige infectieziekten.

10. Beveiliging van persoonsgegevens

10.1 BloedCheckup neemt passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies, onrechtmatige verwerking of toegang door onbevoegden, zulks overeenkomstig artikel 32 AVG.

10.2 BloedCheckup past de principes van NEN 7510:2024 (informatiebeveiliging in de zorg) toe, proportioneel aan de omvang en de aard van de dienstverlening.

10.3 Medische uitslagen worden uitsluitend via een versleuteld communicatiekanaal (Zivver) gedeeld met het door de Cliënt opgegeven e‑mailadres.

10.4 Onverminderd de verplichtingen uit artikel 33 en 34 AVG zal BloedCheckup een inbreuk op persoonsgegevens onverwijld melden aan de Autoriteit Persoonsgegevens en, waar vereist, aan de betrokken Cliënt.

11. Rechten van de Cliënt

11.1 De Cliënt heeft op grond van de artikelen 15 tot en met 22 AVG recht op inzage in, rectificatie of wissing van zijn of haar persoonsgegevens, alsmede op beperking van de verwerking, overdraagbaarheid van gegevens en het maken van bezwaar tegen de verwerking.

11.2 Voor zover de verwerking is gebaseerd op toestemming (artikel 6 lid 1 sub a of artikel 9 lid 2 sub a AVG), heeft de Cliënt het recht de toestemming te allen tijde in te trekken, zonder dat daardoor afbreuk wordt gedaan aan de rechtmatigheid van de verwerking op basis van toestemming vóór de intrekking.

11.3 Verzoeken kunnen worden gericht aan info@bloedcheckup.nl. BloedCheckup kan aanvullende verificatie verlangen ter vaststelling van de identiteit van de verzoeker. Verzoeken worden in beginsel binnen één (1) maand behandeld, overeenkomstig artikel 12 lid 3 AVG.

11.4 De Cliënt heeft te allen tijde het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens, Postbus 93374, 2509 AJ Den Haag, dan wel bij de nationale toezichthouder van zijn of haar lidstaat van gewone verblijfplaats.

12. Wijzigingen van deze privacyverklaring

12.1 BloedCheckup kan deze privacyverklaring van tijd tot tijd wijzigen. De meest recente versie is raadpleegbaar op deze pagina en draagt steeds een duidelijke datum‑aanduiding.

12.2 Bij inhoudelijk ingrijpende wijzigingen informeert BloedCheckup de Cliënt vooraf, hetzij per e‑mail, hetzij via een kennisgeving bij de bestelflow.