Privacy statement

Voor instellingen en clienten die gebruik maken van zorgrobot SARA, SARA Connect & SARA Home  

SARA Robotics hecht veel waarde aan de bescherming van de persoonsgegevens van onze gebruikers. In deze privacyverklaring geven we heldere en transparante informatie over hoe wij zorgvuldig omgaan met uw persoonsgegevens en hoe wij uw privacy waarborgen. Hierbij houden we ons aan de toepasselijke wet- en regelgeving, waaronder de Algemene Verordening Gegevensbescherming (AVG). Daarbij geldt in elk geval het volgende:  

  • Uw persoonsgegevens verwerken wij in overeenstemming met het doel waarvoor deze zijn verstrekt.
  • Verwerking van uw persoonsgegevens is beperkt tot enkel die gegevens welke minimaal nodig zijn voor de doeleinden waarvoor deze worden verwerkt.
  • Er zijn passende technische en organisatorische maatregelen genomen zodat de beveiliging van uw persoonsgegevens is gewaarborgd.
  • Wij geven geen persoonsgegevens door aan andere partijen, tenzij dit nodig is voor uitvoering van de doeleinden waarvoor deze zijn verstrekt, dan wel een (andere) wettelijke rechtvaardigingsgrond daarvoor aanwezig is.
  • Wij zijn op de hoogte van uw rechten omtrent uw persoonsgegevens, informeren u hierover en respecteren deze.  

De soorten persoonsgegevens die worden verwerkt  

Persoonsgegevens van cliënten:  

  • Naam, geboortedatum, afdeling in de instelling, foto’s waar de client op te zien kan zijn, video’s waar de client op te zien kan zijn, geslacht, antwoorden op vragen die de robot stelt met betrekking tot het welzijn van de client, uitspraken van de bewoner (voor besturing van de robot), voorkeuren en interesses met betrekking tot de content van de robot (zoals voorkeuren voor specifieke verhalen of muziek artiesten).  

Persoonsgegevens van medewerkers:  

(In principe is dit enkel een account voor het beheer van het systeem) 

  • Voornaam, achternaam, geboortedatum, geslacht, functietitel, afdeling binnen de zorginstelling.  

De doeleinden van de verwerking van de persoonsgegevens, dus waarom en hoe ze worden verwerkt 

Persoonsgegevens van cliënten:  

  • Voor het instellen van persoonsgebonden profielen waarmee het aanbod van de robot kan worden afgestemd op de persoonlijke voorkeuren, gezondheid en situatie van de client.  
  • Voor het automatisch kunnen herkennen van de bewoner zodat de robot het juiste profiel kan openen.  
  • Voor het kunnen registreren van gesproken verzoeken en antwoorden aan de robot (zodat de client tegen de robot kan praten in plaats van een scherm moet bedienen).
  • Voor het terugkoppelen van resultaten van interacties naar het zorgpersoneel. Bijvoorbeeld wanneer iemand aan de robot heeft aangegeven zich niet goed te voelen.  

Persoonsgegevens van medewerkers:  

  • Voor het aanmaken van gebruikersaccounts waarmee de persoonlijke profielen van de bewoners kunnen worden beheerd.  
  • Voor het koppelen van gebruikersrechten aan deze profielen (bijvoorbeeld onderscheid kunnen maken tussen verschillende medewerkers voor het inzien van de gegevens van bewoners van andere afdelingen).  

Of er derde partijen worden ingeschakeld om de persoonsgegevens te verwerken; 

Persoonsgegevens worden verwerkt door medewerkers van Bright Cape BV en / of SARA BV. We hebben geen actieve betrokken derde partijen voor de verwerking, maar we maken wel gebruik van toepassingen van derde partijen voor bijvoorbeeld spraak analyse (microsoft) en server hosting (Amazon), geldt dit dan toch als een derde partij voor verwerking?  

Of er persoonsgegevens aan derden worden gedeeld 

Nee.   

of er persoonsgegevens buiten de EU worden opgeslagen 

Nee. De persoonsgegevens worden verwerkt op een Europese server van AWS en verlaten het Europees economisch grondgebied dus niet.  

hoe lang de persoonsgegevens worden verwerkt 

Deze worden in principe definitief verwijderd zodra het persoonlijke profiel uit ons systeem wordt verwijderd door de zorginstelling, of zodra wij het profiel verwijderen bij beëindiging van samenwerking.  

welke beveiligingsmaatregelen zijn getroffen om de persoonsgegevens te beveiligen 

De beveiligingsmaatregelen van de verwerker zullen continu worden geëvalueerd, verbeterd en aangevuld. Op dit moment zijn onder meer de volgende bedrijfsmaatregelen van toepassing:  

  • Toegang tot systemen en data is beperkt op basis van functieautorisatie volgens het ‘need to know’ principe.  
  • Indien Verwerker hosting verzorgt, staan de servers professionele datacenters, welke meerdere lagen van fysieke toegangsbeveiliging kennen. Toegang tot de servers voor klanten verloopt via VPN-tunnels, openstelling via internet is op aanvraag mogelijk.
  • Toegang op afstand tot computers en servers (datacenters, kantoorlocatie) is uitsluitend mogelijk via Multi Factor Authenticatie.
  • Alle dataoverdracht, zowel richting datacenters als met het kantoornetwerk, verloopt via beveiligde verbindingen (TLS). 
  • De kantoorlocatie kent fysieke maatregelen voor toegangsbeveiliging.
  • Personeel heeft als onderdeel van het arbeidscontract een geheimhoudingsverklaring getekend, nieuw personeel dient daarnaast een Verklaring Omtrent Gedrag te overleggen.
  • Verwerker heeft een Security Officer, welke verantwoordelijk is voor (informatie)beveiliging.
  • Ontwikkeling van de software verloopt conform de richtlijnen van OWASP (OWASP Testing Guide v4), waarbij Security By Design een belangrijk uitgangspunt is.
  • Er wordt gebruik gemaakt van backups, die versleuteld op een externe locatie worden opgeslagen.