Skip to content
Medical Scribe Jij behandelt, Hysio schrijft
Preparation Patiënt voorbereid, jij ook
SmartMail Professionele brieven in seconden
Summary Van data naar inzicht
Mentor Klinische kenniscollega
EduPack Uitleg die blijft hangen
Intervention Van diagnose naar actie
DiagnoseCode De juiste code, automatisch
Alle assistenten
Over Hysio Prijzen FAQ Contact Patientinfo
Start Gratis Inloggen

Juridische informatie

Transparant over
wat je mag verwachten.

Wat doet Hysio wel, wat doet Hysio niet, en waar ligt jouw verantwoordelijkheid als BIG-geregistreerd fysiotherapeut? Deze pagina geeft je het eerlijke antwoord, in gewone taal, zonder kleine lettertjes.

Versie 3.6 Laatst gewijzigd 4 mei 2026 Lees de samenvatting
Hysio Transparantie
Versie 3.6

De kern, in 4 regels

Wat Hysio wél
en wat Hysio niet doet.

  • Data blijft in de EU, gehost bij TransIP Nederland
  • AI-output is altijd een concept, jij controleert
  • Nooit training op jouw klantdata, contractueel vastgelegd
  • Jij blijft eindverantwoordelijk: BIG, WGBO, AVG
Transparant in gewone taal

De samenvatting

De kern in één minuut,
wat je echt moet weten.

De volledige tekst is precies en juridisch dicht. Deze samenvatting is dat niet, maar geeft je in één minuut de kern. Scroll door voor de clausules waar je op moet kunnen bouwen.

  • Hysio is administratieve documentatie-software voor BIG-geregistreerde fysiotherapeuten en paramedische zorgverleners. Het Platform ondersteunt transcriptie, structurering naar SOEP-format, conceptbrieven en declaratie-codering. Hysio levert geen klinische beslisondersteuning, geen autonome diagnose, geen autonoom behandeladvies, geen patiëntmonitoring en geen triage of risicostratificatie.

  • AI-output is en blijft een concept dat door jou gecontroleerd, gecorrigeerd en expliciet goedgekeurd wordt voordat het in een patiëntdossier, brief, declaratie, EPD-systeem of patiëntcommunicatie belandt. Dit is geen aanbeveling, dit is een harde gebruikseis.

  • Hysio is geen medisch hulpmiddel onder de Verordening (EU) 2017/745 (MDR) en kwalificeert niet als medical device software (MDSW) onder MDCG 2019-11 Rev. 1. Hysio valt onder de transparantieverplichting van AI Act art. 50 en is niet geclassificeerd als high-risk AI-systeem.

  • Onze contractuele aansprakelijkheid is gemaximeerd op 12 maanden abonnementskosten exclusief BTW. Deze beperking laat dwingendrechtelijke aansprakelijkheid onverlet, waaronder opzet of bewuste roekeloosheid, AVG art. 82, productaansprakelijkheid en overige niet-uitsluitbare aansprakelijkheid.

  • Patiëntdata, account-data en transcripten worden gehost bij Contabo binnen de Europese Economische Ruimte. Voor AI-tekstgeneratie en AI-audio gelden DPF en SCCs Module 3 plus Transfer Impact Assessment voor de Amerikaanse sub-verwerkers Google LLC en Groq Inc.

  • Audio-opnames worden maximaal 14 dagen bewaard voor technische verwerking en foutanalyse van de transcriptiefunctie. Audio is geen onderdeel van het permanente patiëntdossier; de fysiotherapeut zet relevante informatie tijdig over naar zijn eigen dossier.

  • Wij volgen de uitgangspunten van NEN 7510:2024 en ISO/IEC 27001:2022 maar zijn nog niet formeel gecertificeerd. Certificeringsroadmap: ISO 27001 audit Q3 2027, NEN 7510 audit Q4 2027 - Q1 2028. NEN 7513-conforme logging volgt het ISO-traject in Q3 2027.

Artikel 1

Algemeen

Hysio is een platform voor administratieve documentatie, transcriptie, herstructurering naar SOEP-format en concept-tekstgeneratie ten behoeve van BIG-geregistreerde fysiotherapeuten en daarmee gelijkgestelde paramedische zorgverleners. Concrete functies omvatten: transcriptie van consultgesprekken via spraak-naar-tekst, structurering van door de zorgverlener ingevoerde informatie volgens SOEP, conceptbrieven (verwijsbrieven, e-mailconcepten, patiënteducatieve teksten), en declaratie-codering volgens de DCSPH-codelijst (Diagnose Code Stelsel Paramedische Hulp).

Alle Hysio-output is concept-administratieve tekst die door de fysiotherapeut moet worden gecontroleerd, gecorrigeerd en expliciet goedgekeurd voordat deze in een patiëntdossier, brief, declaratie, EPD-systeem of patiëntcommunicatie wordt gebruikt. Hysio levert geen klinische beslisondersteuning, geen autonome diagnose, geen autonoom behandeladvies, geen behandelplan-generatie, geen patiëntmonitoring, geen triage of risicostratificatie en geen detectie van rode vlaggen of klinische uitkomsten. Deze functies zijn uitdrukkelijk geen onderdeel van het Beoogd Doeleinde van het Platform onder MDR art. 2 punt 12.

Door het Platform te gebruiken erken je dat je een bevoegd zorgprofessional bent (BIG-geregistreerd fysiotherapeut of een daarmee gelijkgestelde paramedische zorgverlener) en dat je in staat bent AI-gegenereerde output kritisch te beoordelen, te valideren en waar nodig te corrigeren. Deze disclaimer is geldig per 4 mei 2026 en is van toepassing op alle gebruikers van app.hysio.nl en op alle bezoekers van hysio.nl.

Indien op enige andere uiting van Hysio (website hysio.nl, productpagina's, marketingmateriaal, helpcenter, sociale media) een formulering staat die afwijkt van het Beoogd Doeleinde zoals afgebakend in deze paragraaf, prevaleert deze disclaimer voor de juridische kwalificatie van het Platform onder MDR art. 2 punt 12. Hysio committeert zich aan continue alignment van publieke uitingen met de hier afgebakende administratieve scope.

Artikel 2

AI-beperkingen en transparantie

Het Platform maakt gebruik van kunstmatige intelligentie. Voor tekstgeneratie wordt een AI-tekstgeneratiemodel van Google LLC ingezet via een betaalde Tier 1 van de Google AI Studio API zonder modeltraining op klantdata, conform het Google Cloud Data Processing Addendum. Voor spraak-naar-tekst wordt een spraak-naar-tekst-model van Groq Inc. ingezet met Global Zero Data Retention geactiveerd op het Groq-organisatie-account. Specifieke modelversies en endpoints staan in Verwerkersovereenkomst Bijlage 3. AI-systemen zijn probabilistisch en kunnen fouten bevatten, waaronder maar niet beperkt tot:

  • transcriptiefouten in spraak-naar-tekst conversie, in het bijzonder bij ambigue articulatie, dialect, accent, achtergrondgeluid of meerdere sprekers tegelijk;
  • onjuiste of onvolledige samenvattingen van consultgesprekken, waaronder weglating van klinisch relevante context;
  • contextueel onjuiste suggesties bij conceptbrieven, conceptverslagen of patiënteducatieve teksten;
  • onjuiste interpretatie of weergave van medische terminologie, in het bijzonder bij niche-terminologie of recente richtlijn-ontwikkelingen;
  • onjuiste declaratie-coderingsuggesties (DCSPH); de fysiotherapeut blijft zelf verantwoordelijk voor juiste declaratie aan de zorgverzekeraar.

Alle door het Platform gegenereerde output is een concept. Je bent verplicht elke output te verifiëren, te redigeren en goed te keuren voordat je deze opneemt in een patiëntendossier, communiceert met een patiënt, of als basis gebruikt voor enige administratieve handeling. Dit is geen aanbeveling, dit is een harde gebruikseis. Hysio neemt geen uitsluitend geautomatiseerde beslissingen in de zin van AVG art. 22 lid 1 over patiënten of over jou; de fysiotherapeut staat altijd tussen AI-suggestie en gebruik.

Onder Verordening (EU) 2024/1689 (AI Act) is het Platform geclassificeerd als een AI-systeem dat valt onder de transparantieverplichtingen van art. 50 lid 1 (informatieplicht: je weet dat je met AI interacteert) en art. 50 lid 2 (markering van AI-gegenereerde inhoud), geldend per 2 augustus 2026. Het Platform is niet geclassificeerd als verboden praktijk (art. 5) en niet als high-risk-systeem (art. 6 lid 1 met Annex I sectie A item 11 dat naar MDR verwijst, of art. 6 lid 2 met Annex III); het MDR-pad naar high-risk is niet geactiveerd omdat Hysio geen medisch hulpmiddel is. Volledige onderbouwing in de AI Act Transparantieverklaring v3.6.

UI-label-eis voor AI-output (AI Act art. 50 lid 1 en lid 2). Hysio implementeert deze transparantie via zichtbare UI-cues op alle AI-gegenereerde output: elke transcriptie, samenvatting, conceptbrief en declaratie-coderingsuggestie wordt in het Platform gemarkeerd met een AI-label en een notice "concept, controle door fysiotherapeut vereist". Bij export van AI-output naar EPD-systemen of communicatiekanalen wordt waar technisch mogelijk een metadata-tag meegegeven die aangeeft dat de tekst AI-gegenereerd is. Volledige UI-implementatie wordt afgerond uiterlijk 2 augustus 2026, gelijktijdig met de inwerkingtreding van AI Act art. 50.

2.1 OpenAI als configureerbare fallback-provider

OpenAI is technisch aanwezig in de codebase als configureerbare fallback-provider. Per 4 mei 2026 wordt OpenAI niet gebruikt voor productie-verwerking; alleen het tekstgeneratie-model van Google LLC wordt productioneel ingezet voor tekstgeneratie en alleen het spraak-naar-tekst-model van Groq Inc. voor spraak-naar-tekst. Activatie van OpenAI voor enige live klant-workflow vereist:

  • voorafgaande sub-verwerker-disclosure aan de betrokken Klant minimaal 30 dagen vóór activatie, conform Verwerkersovereenkomst (DPA) v3.6 artikel 11.7 en AVG art. 28 lid 2 plus lid 4;
  • opname van OpenAI Inc. in het Subprocessor Register v1.0 met DPF-doorgifte-grond en de OpenAI Data Processing Addendum;
  • update van de Transfer Impact Assessment v1.0 onder EU-US Data Privacy Framework;
  • interne goedkeuring door Hysio's privacycoördinator;
  • contractueel bezwaarrecht van de Klant met de mogelijkheid van kosteloze beëindiging tegen de activatiedatum.

Tot één van deze stappen is doorlopen blijft OpenAI buiten de actieve sub-verwerker-tabel. Bewijsstatus van de feitelijke afwezigheid van productie-activatie is opvraagbaar bij compliance@hysio.nl.

Artikel 3

Geen medisch hulpmiddel, geen MDSW

Het Platform is geen medisch hulpmiddel in de zin van Verordening (EU) 2017/745 (MDR) art. 2 punt 1. Het Platform kwalificeert evenmin als medical device software (MDSW) onder MDCG 2019-11 Rev. 1 (juni 2025) en is geen in-vitro diagnostisch hulpmiddel onder Verordening (EU) 2017/746 (IVDR). Het Beoogd Doeleinde (MDR art. 2 punt 12) is uitsluitend administratief-ondersteunend.

Het Platform is niet bedoeld voor en mag niet worden gebruikt voor:

  • het stellen van een diagnose of differentiaaldiagnose;
  • het indiceren, plannen, monitoren of evalueren van behandelingen als autonome beslisser;
  • triage of risicostratificatie van patiënten;
  • detectie van rode vlaggen, voorspelling van klinische uitkomsten of prognose;
  • klinische beslisondersteuning (clinical decision support) in de zin van MDCG 2019-11;
  • spoedzorg, acute klachten of urgente gezondheidssituaties;
  • enige toepassing waarbij het falen van het systeem direct kan leiden tot schade aan de patiënt of vertraging in noodzakelijke zorg.

Bij een spoedeisende situatie bel je 112; bij niet-spoedeisende huisartsenzorg buiten kantooruren bel je je huisartsenpost. Het Platform is geen kanaal voor medische noodhulp.

Elke klinische beslissing, inclusief diagnose, indicatiestelling, behandelkeuze, evaluatie en eventuele verwijzing, wordt genomen door jou als behandelend therapeut. Volledige onderbouwing van de MDR-positie, met decision-tree onder MDCG 2019-11, herclassificatie-triggers en de overlap met AI Act art. 6 lid 1, in het MDR Positiedocument v3.6.

Hierarchische rangorde bij conflict. Bij tegenstrijdigheden tussen deze publieke disclaimer en de Algemene Voorwaarden v3.6, de Privacyverklaring v3.6 of de Verwerkersovereenkomst (DPA) v3.6 geldt de volgende rangorde voor de contractuele relatie tussen Hysio en de afnemer: (1) DPA v3.6 voor alles dat de verwerking van persoonsgegevens betreft, (2) Algemene Voorwaarden v3.6 voor de overige contractuele onderwerpen (prijs, looptijd, support, aansprakelijkheid, IE), (3) Privacyverklaring v3.6 voor de informatieplicht onder AVG art. 13 en 14, (4) deze Disclaimer voor de publieke toelichting in leesbare vorm. De Disclaimer is bedoeld als publiek-toegankelijke samenvatting voor fysiotherapeuten, paramedische zorgverleners, prospects en patiënten en kan geen contractuele rechten of plichten scheppen die afwijken van de DPA, AV of Privacyverklaring.

Disclaimer en afwijkende productuitingen. Een disclaimer kan eventueel afwijkende marketing- of productuitingen niet repareren onder MDR art. 2 punt 12. Afwijkende productcopy die het Beoogd Doeleinde verbreed tot klinische of diagnostische functies, moet worden gecorrigeerd in de bron; deze disclaimer staat los van die verplichting en kan een dergelijke correctie niet vervangen.

Artikel 4

Eindverantwoordelijkheid van de zorgprofessional

Als gebruiker van het Platform en als BIG-geregistreerd zorgprofessional ben jij eindverantwoordelijk voor:

  • het handelen overeenkomstig de op de zorgverlener rustende professionele standaard van goed hulpverlenerschap (Wgbo, BW art. 7:453); deze norm rust uitsluitend op jou en wordt door het gebruik van Hysio niet verschoven, gedeeld of beperkt;
  • de juistheid en volledigheid van het patiëntendossier zoals vereist onder de Wet op de geneeskundige behandelingsovereenkomst (Wgbo, BW art. 7:454) en het beroepsgeheim onder Wgbo art. 7:457 en Wet BIG art. 88;
  • de kwaliteit van zorg, het waarborgen van goede zorg en het veilig melden van incidenten conform de Wet kwaliteit, klachten en geschillen zorg (Wkkgz, art. 2, 10 en 11);
  • het handhaven van je BIG-registratie en het werken binnen je deskundigheidsgebied conform Wet BIG art. 3;
  • de communicatie met en de informatievoorziening aan patiënten conform de informatieplicht onder Wgbo art. 7:448, inclusief het waar van toepassing informeren dat AI is ingezet bij bepaalde administratieve verwerkingen. Voor de praktische invulling van deze informatieplicht over Hysio-gebruik verwijst Hysio naar het Patiënt-informatieblad v1.0, dat je in de wachtkamer of in een patiënt-informatiekanaal kunt plaatsen;
  • het recht van de patiënt op een menselijke beslissing conform AVG art. 22 lid 1, in samenhang met EDPB Guidelines 1/2018 over geautomatiseerde besluitvorming en profilering;
  • de rechtmatigheid van eventuele BSN-, AGB- of BIG-gegevens die jij invoert in vrije-tekst of audio (Wet algemene bepalingen burgerservicenummer en, voor zover relevant, Wabvpz; Hysio verwerkt deze gegevens niet als zelfstandig veld);
  • de naleving van licenties op gebruikte richtlijntekst, KNGF-standaarden, DCSPH-codelijst (Vektis) en eventuele meetinstrumenten.

Hysio's output ontslaat de zorgverlener nooit van de verplichting tot goed hulpverlenerschap onder Wgbo art. 7:453. AI-suggesties zijn een hulpmiddel; de klinische verantwoordelijkheid blijft volledig bij de zorgverlener. Hysio draagt geen klinische verantwoordelijkheid. De rolverdeling onder de AVG is uitgewerkt in de Verwerkersovereenkomst v3.6: voor patiëntdata ben jij verwerkingsverantwoordelijke (AVG art. 4 lid 7) en is Hysio verwerker (AVG art. 4 lid 8 en art. 28). Voor je accountdata, factuurdata, supportgegevens en gebruikersmetadata is Hysio zelfstandig verwerkingsverantwoordelijke; volledig overzicht in de Privacyverklaring v3.6.

Artikel 5

Aansprakelijkheid

Voor zover wettelijk toegestaan is Hysio's aansprakelijkheid contractueel beperkt zoals bepaald in artikel 15 van de Algemene Voorwaarden v3.6. Hysio is niet aansprakelijk voor:

  • indirecte schade, waaronder gederfde winst, gemiste omzet, gemiste besparingen, reputatieschade, verlies van data of bedrijfsstagnatie;
  • schade als gevolg van AI-gegenereerde output die door jou niet of onvoldoende is geverifieerd, gecorrigeerd en goedgekeurd voordat deze werd gebruikt;
  • medische schade aan patiënten, voor zover deze schade niet redelijkerwijs als gevolg van een toerekenbare tekortkoming van Hysio aan Hysio kan worden toegerekend conform BW art. 6:74 en de causaliteits-doctrine van BW art. 6:98; deze schade valt in beginsel onder de beroepsaansprakelijkheidsverzekering van de fysiotherapeut die het klinische oordeel heeft gegeven;
  • schade door overmacht, waaronder storingen bij sub-verwerkers (Google LLC, Groq Inc., Resend Inc., Contabo) en bij Mollie B.V. als zelfstandig verwerkingsverantwoordelijke voor betaaldata.

De rolverdeling onder Wgbo art. 7:453 (de zorgverlener handelt overeenkomstig de op hem rustende verantwoordelijkheid voortvloeiend uit de voor zorgverleners geldende professionele standaard) en Wet BIG art. 3 staat hier los van; deze verdeling beïnvloedt de aansprakelijkheid van Hysio onder BW art. 6:74 niet en de aansprakelijkheid van de zorgverlener onder Wgbo niet.

De totale aansprakelijkheid van Hysio per gebeurtenis is gemaximeerd op het bedrag aan abonnementskosten exclusief BTW dat jij in de twaalf maanden voorafgaand aan de schadeveroorzakende gebeurtenis aan Hysio hebt betaald.

Uitzonderingen op de aansprakelijkheidsbeperking. Deze beperkingen laten dwingendrechtelijke aansprakelijkheid onverlet, waaronder:

  • (a) opzet en bewuste roekeloosheid van Hysio of haar leidinggevenden, conform BW art. 6:75 en de doctrine van HR Gemeente Stein/Driessen (NJ 1998/208);
  • (b) aansprakelijkheid onder AVG art. 82 voor schade als gevolg van een verwerking in strijd met de AVG;
  • (c) productaansprakelijkheid onder BW Boek 6 titel 3 afdeling 3 (BW art. 6:185 e.v.) en, voor producten die op of na 9 december 2026 in de handel worden gebracht, Richtlijn (EU) 2024/2853 inzake aansprakelijkheid voor producten met gebreken; voor producten die vóór 9 december 2026 in de handel zijn gebracht blijft het oude regime onverkort gelden voor schade die zich na die datum manifesteert;
  • (d) overige niet-uitsluitbare aansprakelijkheid onder dwingend Nederlands of Europees recht, waaronder bepalingen ter bescherming van consumenten of MKB-gelijkgestelde partijen waar van toepassing.

Claim-meldtermijn. Claims dienen schriftelijk te worden gemeld binnen redelijke termijn na ontdekking van de schade, in beginsel binnen 30 dagen na ontdekking, behoudens redelijke verlengingsgronden naar oordeel van Hysio op basis van de specifieke omstandigheden van het geval. De aansprakelijkheid vervalt hoe dan ook 24 maanden na de schadeveroorzakende gebeurtenis, behoudens dwingendrechtelijke afwijkende verjaringstermijnen onder BW art. 3:310 of overige wettelijke regelingen. De volledige bepaling, inclusief de uitzonderingen onder dwingend recht, staat in artikel 15 van de Algemene Voorwaarden v3.6.

Artikel 6

Beschikbaarheid van het Platform

Het Platform is een SaaS-clouddienst. Wij streven naar een hoge beschikbaarheid maar kunnen geen ononderbroken toegang garanderen. Het Platform kan tijdelijk onbereikbaar zijn door:

  • gepland onderhoud, voor zover mogelijk buiten kantooruren aangekondigd via app.hysio.nl;
  • storingen bij sub-verwerkers (Contabo voor hosting, Google voor Gemini, Groq voor Whisper, Resend voor mailtransport) of bij Mollie voor betaalverwerking;
  • internet-connectiviteitsproblemen tussen jou en onze servers;
  • onvoorziene technische incidenten of beveiligingsincidenten.

Houd voor tijdkritische werkzaamheden rekening met de mogelijkheid van tijdelijke onbeschikbaarheid. Wij raden aan dat je workflow een terugvaloptie heeft (pen, papier of een alternatieve route in je EPD) voor momenten waarop het Platform niet direct bereikbaar is.

Artikel 7

Beveiliging en hosting

Wij nemen passende technische en organisatorische maatregelen tegen ongeoorloofde of onrechtmatige verwerking en tegen verlies, vernietiging of beschadiging van persoonsgegevens (AVG art. 32). Het Platform draait op door Hysio beheerde servers bij Contabo binnen de Europese Economische Ruimte (Duitsland). De Next.js-frontend (app.hysio.nl) draait op dezelfde Contabo-infrastructuur en gebruikt geen aparte CDN of frontend-sub-verwerker. De MySQL-databases en de tijdelijke audio-opslag bevinden zich op dezelfde infrastructuur. Verwerking vindt volledig binnen de Europese Economische Ruimte plaats.

Concrete maatregelen, transparant gepresenteerd en zonder overpromise:

  • versleuteling tijdens transport via TLS 1.3 op alle externe endpoints;
  • versleuteling van data at rest op disk- en database-server-niveau door Contabo (AES-256 als standaard product-feature van Contabo voor server-storage);
  • bcrypt wachtwoord-hashing met 12 rounds; Sanctum-tokens SHA-256-gehasht in de database; plaintext token alleen in transit op moment van uitgifte;
  • multi-factor authenticatie verplicht op SSH-toegang, hosting-portaal (Contabo) en DNS-portaal voor administratieve infrastructuurbeheer-handelingen; multi-factor authenticatie op klant-app-niveau staat als roadmap-item gepland voor Q4 2026 - Q1 2027;
  • rate-limiting op login-pogingen via Laravel-rate-limiting-driver (5 pogingen per minuut per email plus IP-combinatie); volledige account-lockout-procedure staat als roadmap-item Q4 2026 - Q1 2027;
  • soft-delete op gevoelige tabellen; hard-delete op vrije-tekst-input is gepland Q4 2026 - Q1 2027;
  • bescherming tegen CSRF, SQL-injectie en XSS via Laravel-frameworkcontroles en Form Request-validatie;
  • geautomatiseerde dependency-scans;
  • een dagelijks proces verwijdert audio-opnames automatisch na 14 dagen;
  • pseudoniem-gebruik aangemoedigd in workflow-prompts voor data-minimalisatie; geen BSN-, AGB- of BIG-veld in de gebruikers-tabel;
  • functionele browser-storage voor authenticatietoken en taalvoorkeur; geen tracking-, analytics- of marketing-cookies op het Platform; volledige uitleg in Cookie Statement v1.0.

Audit-logging. Het Platform schrijft op dit moment Laravel-applicatie-logs met 30-dagen-retentie. Patiëntdata of klinische vrije-tekst staat niet in deze logs; het systeem logt metadata, foutcodes en operationele events. NEN 7513-conforme logging (wie, wanneer, wat, waarom, gevolg) is een aspirational doel en is gepland als onderdeel van het ISO 27001-traject in Q3 2027. Tot die tijd verwijzen wij voor enterprise-procurement naar het Security Policy Pack v1.0.

Certificeringsroadmap. Wij claimen geen formele certificering onder NEN 7510:2024 of ISO/IEC 27001:2022. Wij hanteren beide normen als uitgangspunten voor ons informatie- en beveiligingsbeleid. Certificeringsroadmap: ISO 27001 externe audit Q3 2027, NEN 7510 Q4 2027 - Q1 2028. Eventuele toekomstige certificering wordt op deze pagina, in de Privacyverklaring v3.6 en in de Algemene Voorwaarden v3.6 vermeld zodra zij is afgegeven.

Datalek. Een datalek waarbij persoonsgegevens betrokken zijn melden wij binnen 72 uur na kennisname aan de Autoriteit Persoonsgegevens conform AVG art. 33 lid 1 voor verwerkingen waarvoor Hysio zelfstandig verantwoordelijke is. Voor verwerkingen waarvoor Hysio verwerker is melden wij binnen 24 uur na ontdekking aan de betrokken Klant als verwerkingsverantwoordelijke conform AVG art. 33 lid 2 en Verwerkersovereenkomst v3.6 §9. Volledige beveiligingsbepaling in §10 van de Privacyverklaring v3.6.

7.1 Incidenten en calamiteiten in de zorg (Wkkgz art. 11)

Indien een fout in een AI-gegenereerde Hysio-output of een storing van het Platform bijdraagt aan een incident of calamiteit in de zorg, blijft de meldplicht onder Wet kwaliteit, klachten en geschillen zorg (Wkkgz) art. 11 rusten op de behandelend zorgverlener als zorgaanbieder. De zorgverlener meldt een calamiteit binnen 72 uur aan de Inspectie Gezondheidszorg en Jeugd (IGJ) en analyseert het incident conform de eigen kwaliteitssystematiek. Hysio:

  • volgt zelf de Wkkgz-incidentenroute voor zover Hysio voor de software-component een rol heeft gespeeld;
  • ondersteunt de Klant bij eventuele incidentenanalyse voor de software-component (versie van het model, prompt-configuratie, transcriptie-output, datum/tijd, gebruikers-ID);
  • stelt operationele applicatie-logs ter beschikking voor zover relevant en voor zover deze geen patiëntdata bevatten;
  • assisteert de Klant met technische informatie ten behoeve van een eventuele IGJ-melding binnen de 72-uur-termijn van Wkkgz art. 11.

Hysio claimt zelf geen status van zorgaanbieder onder de Wkkgz; de meldplicht aan IGJ blijft bij de Klant. Voor datalekken geldt de procedure hierboven onder "Datalek".

Artikel 8

Intellectueel eigendom en data-eigendom

Alle intellectuele eigendomsrechten op het Platform zelf (broncode, interface-ontwerp, system-prompts, workflows, documentatie, logo's, wordmarks en merknamen) berusten bij Hysio B.V. of haar licentiegevers. Bij het afsluiten van een abonnement krijg je een beperkt, niet-exclusief, niet-overdraagbaar gebruiksrecht voor de duur van de overeenkomst, conform de Algemene Voorwaarden v3.6 artikel 8.

De intellectuele eigendomsrechten op de data die jij invoert (patiëntgegevens, audio-opnames, vrije-tekst-input, geüploade documenten) en op de output die het Platform voor jou genereert (transcripten, samenvattingen, conceptbrieven, concept-tekst voor administratieve documentatie, declaratie-codering) blijven onverkort bij jou als gebruiker en, voor zover van toepassing, bij de patiënt zelf. Hysio gebruikt jouw klantdata contractueel niet om AI-modellen te trainen of te verbeteren. Voor onze AI-tekstgeneratie sub-verwerker volgt deze restrictie uit de betaalde Tier 1 in de Google AI Studio API (contractuele uitsluiting van modeltraining op klantdata via het Google Cloud Data Processing Addendum). Voor onze spraak-naar-tekst sub-verwerker volgt deze uit Global Zero Data Retention plus de Groq Customer Data Processing Addendum.

Data-portabiliteit onder Data Act. Onder Verordening (EU) 2023/2854 (Data Act, van toepassing per 12 september 2025) heeft de Klant recht op portabiliteit van de in het Platform door of namens de Klant ingevoerde of gegenereerde data. Hysio biedt op verzoek een gestructureerde, gangbare en machineleesbare export (JSON of CSV) van deze data. Het volledige portabiliteits-regime, inclusief overgangsperiodes, kosten-uitgangspunten en self-service-export-roadmap (Q4 2026 - Q1 2027), staat in artikel 22 van de Algemene Voorwaarden v3.6. Bij beëindiging van het abonnement geldt een 30-dagen export-window waarna data wordt verwijderd conform DPA-retentie en back-upbeperkingen.

Licenties op derde-content. Voor zover binnen workflows verwijzingen of fragmenten worden gebruikt uit KNGF-richtlijnen, DCSPH-codelijst (Vektis) of meetinstrumenten geldt dat Hysio uitgaat van bronvermelding en, waar nodig, van zelfstandig licentieafspraken met de rechthebbende. AI-output mag geen substantiële delen van auteursrechtelijk beschermde richtlijnteksten reproduceren; dit is technisch en organisatorisch geborgd via prompt-design en output-validatie.

Artikel 9

Externe links

Binnen het Platform en op de website hysio.nl kunnen verwijzingen staan naar externe websites, bronnen en documenten (KNGF-richtlijnen, ZorgInstituut, Nictiz, vakliteratuur, overheidspublicaties, EUR-Lex, wetten.overheid.nl). Deze links zijn informatief. Hysio heeft geen invloed op de inhoud, het privacybeleid of de beschikbaarheid van externe bronnen en aanvaardt daarvoor geen verantwoordelijkheid.

Voor klinische toepassing raadpleeg je altijd de actueel geldende, bronbevoegde versie van een richtlijn of publicatie. Een eventuele verwijzing op het Platform of in deze disclaimer kan op enig moment verouderd zijn; de bron is leidend, niet de citatie.

Best-effort-streefwaarde uptime. Hysio biedt op dit moment geen formele service-level-agreement met financieel afdwingbare uptime-percentages. De streefwaarden per tier zijn:

  • Starter en Go: best-effort 99% uptime buiten gepland onderhoud.
  • Pro en Teams: best-effort 99,5% uptime buiten gepland onderhoud.
  • Enterprise: SLA op maat vastgelegd in de Order Form.

Deze streefwaarden geven de Klant geen contractueel afdwingbare aanspraak op service-credits of vergoeding. Hysio rapporteert significante incidenten en geplande onderhoudsmomenten via de status-pagina op app.hysio.nl.

Artikel 10

Toepasselijk recht en klachten

Op alle overeenkomsten tussen jou en Hysio B.V., inclusief het gebruik van het Platform en het bezoek aan hysio.nl, is uitsluitend Nederlands recht van toepassing. De toepasselijkheid van het Weens Koopverdrag (CISG) is uitdrukkelijk uitgesloten.

Geschillen worden in eerste aanleg exclusief voorgelegd aan de Rechtbank Noord-Nederland, locatie Assen, tenzij dwingend recht een andere rechter aanwijst. Volledige forumkeuze in artikel 26 van de Algemene Voorwaarden v3.6.

Klacht-route. Voordat een geschil aan de rechter wordt voorgelegd, proberen partijen dit in onderling overleg op te lossen. Klachtroutes per type:

Type klacht Mailbox Reactie-termijn Externe escalatieroute
Dienstverlening, Platform-werking, support, factuur support@hysio.nl Ontvangstbevestiging binnen 2 werkdagen; inhoudelijke afhandeling binnen 14 werkdagen Rechtbank Noord-Nederland, locatie Assen
Privacy, AVG, datalek, sub-verwerker, doorgifte privacy@hysio.nl Ontvangstbevestiging binnen 2 werkdagen; inhoudelijke afhandeling binnen 30 dagen (AVG art. 12 lid 3) Autoriteit Persoonsgegevens, AVG art. 77
Sub-verwerker-wijziging, compliance compliance@hysio.nl Ontvangstbevestiging binnen 2 werkdagen; inhoudelijke afhandeling binnen 14 werkdagen Autoriteit Persoonsgegevens of Rechtbank Noord-Nederland, locatie Assen
Juridische correspondentie, formele aanmaningen legal@hysio.nl Ontvangstbevestiging binnen 2 werkdagen; inhoudelijke afhandeling per geval Rechtbank Noord-Nederland, locatie Assen

Klachten die wij niet binnen redelijke termijn kunnen oplossen worden geëscaleerd naar de bestuurder. Op moment van publicatie hanteert Hysio geen aparte klachten@-mailbox.

Geschillencommissie (overweging). Hysio overweegt vrijwillige aansluiting bij een Nederlandse geschillencommissie voor IT-dispuut (zoals SGOA, Stichting Geschillenoplossing Automatisering, of vergelijkbaar) als laagdrempelig alternatief voor de gang naar de Rechtbank, in het bijzonder voor MKB-fysiotherapeuten en zzp'ers die onder reflexwerking BW art. 6:235 vergelijkbare bescherming genieten als consumenten. Een definitief besluit tot aansluiting wordt genomen op basis van extern juridisch advies en gepubliceerd in een v3.6.x-bump van deze disclaimer en in artikel 26 van de Algemene Voorwaarden v3.6 zodra dat besluit is genomen. Tot dan blijft de Rechtbank Noord-Nederland, locatie Assen, exclusief bevoegd voor B2B-geschillen.

Artikel 12

EPD-integratie-gate

Het Platform is op datum publicatie van deze disclaimer (4 mei 2026) niet rechtstreeks gekoppeld aan een elektronisch patiëntdossier (EPD). Hysio-output wordt door de fysiotherapeut handmatig of via copy-paste in het EPD ingevoerd, na controle, correctie en goedkeuring conform §1 en §2 van deze disclaimer.

Direct EPD-write-back, FHIR/HL7-integratie of geautomatiseerde patiëntdossier-mutatie zonder verplichte menselijke validatie-stap is op datum publicatie niet geactiveerd en niet beschikbaar. Activering van een dergelijke functionaliteit vereist voorafgaand aan release een gecombineerde heroverweging onder:

  • Verordening (EU) 2017/745 (MDR) art. 2 punt 1 en punt 12, met decision-tree onder MDCG 2019-11 Rev. 1, conform MDR Positiedocument v3.6 §11.9;
  • Verordening (EU) 2024/1689 (AI Act) art. 6 lid 1 en lid 2, met Annex I sectie A item 11 (MDR-koppeling) en Annex III;
  • Wabvpz (Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg) en Wegiz (Wet elektronische gegevensuitwisseling in de zorg);
  • Verordening (EU) 2025/327 (EHDS) voor zover toepasselijk op het integratie-pad;
  • AVG art. 25 (privacy by design en by default), art. 32 (passende beveiliging) en art. 35 (DPIA);
  • NEN 7510-2:2024 en NEN 7512:2015 voor zorgsoftware-koppelingen;
  • voor zover relevant: NEN 7513:2018 voor NEN 7513-conforme audit-logging.

Pilot- of testintegraties (bijvoorbeeld in het kader van gesprekken met inEPD of HCI Healthcare) worden vooraf juridisch beoordeeld; van een live klant-workflow is geen sprake totdat alle bovengenoemde checks zijn afgerond, een DPIA is uitgevoerd, een sub-verwerker- of partner-overeenkomst is ondertekend en de Klant per release-pad is geïnformeerd. Bij activering van EPD-integratie publiceert Hysio een v3.6.x- of v3.7-bump van deze disclaimer met expliciete vermelding van de geactiveerde integratie en de toepasselijke juridische grondslag.

Patiënt-facing autonome AI (patiëntportaal, autonome patiënt-chatbot, automatische patiënt-educatie zonder fysiotherapeut-tussenkomst) is op datum publicatie eveneens niet geactiveerd en valt onder dezelfde gate.

Artikel 11

Sub-verwerkers
en betaalpartner

Om het Platform te laten werken schakelen we een beperkt aantal gespecialiseerde partners in. Hieronder per partij: rol, locatie, doorgifte-instrument en wat ze bewaren. Mollie B.V. staat als zelfstandig verwerkingsverantwoordelijke apart gemarkeerd, niet als sub-verwerker.

Wijzigingen in deze lijst kondigen we minimaal 30 dagen vooraf aan via privacy@hysio.nl. De actuele lijst onder verwerkersrol staat in Bijlage 3 van de Verwerkersovereenkomst v3.6.

Google LLC

Sub-verwerker, Large Language Model voor tekstgeneratie (Tier 1 paid)

Locatie
Verenigde Staten, met EER-eindpunten waar beschikbaar
Doorgifte
EU-US Data Privacy Framework (Uitvoeringsbesluit (EU) 2023/1795, in stand gehouden door HvJ EU T-553/23 op 3 september 2025); gecertificeerde deelnemer
Retentie
Geen modeltraining op klantdata (contractueel via Google Cloud Data Processing Addendum); inputs en outputs worden niet bewaard buiten korte misbruikfilter-buffer.

Roadmap. Migratie naar Vertex AI EU (europe-west4 of europe-west12) staat als bindende inspanning op de roadmap voor uiterlijk 30 september 2026.

Groq Inc.

Sub-verwerker, spraak-naar-tekst

Locatie
Verenigde Staten
Doorgifte
NIET DPF-gecertificeerd op datum publicatie; SCCs Module 3 (verwerker-naar-verwerker) plus Transfer Impact Assessment v1.0 conform EDPB Recommendations 01/2020
Retentie
Global Zero Data Retention geactiveerd; Groq bewaart inputs en outputs niet na verwerking. Hysio bewaart de gegenereerde transcriptie en het audiobestand in eigen beheer maximaal 14 dagen en verwijdert deze daarna automatisch via een dagelijks proces; geen claim van "direct gewist".

Resend Inc.

Sub-verwerker, transactionele e-mailprovider

Locatie
EU-tier (Ierland, eu-west-1)
Doorgifte
EER hosting; EU-US Data Privacy Framework als belt-and-braces-fallback voor uitzonderlijke US-routering
Retentie
Berichtinhoud, ontvanger-e-mail, naam en bezorgmetadata; bewaartermijn volgens Resend DPA en Privacyverklaring v3.6 §7.4. Bij providerwissel actualisering Bijlage 3 Verwerkersovereenkomst v3.6 binnen 14 dagen.

Contabo GmbH

Sub-verwerker, hosting en infrastructuur

Locatie
Europese Economische Ruimte (Duitsland)
Doorgifte
Verwerking volledig binnen de Europese Economische Ruimte; geen rechtstreekse blootstelling aan US Cloud Act op de hostinglaag
Retentie
MySQL-databases, applicatie-server (Laravel API), Next.js-frontend en tijdelijke audio-opslag op dezelfde Contabo-infrastructuur. Dagelijkse back-ups, 7 dagen rolling retentie met automatische overschrijving.
Zelfstandig controller

Mollie B.V.

Zelfstandig verwerkingsverantwoordelijke voor betaalverwerking; GEEN sub-verwerker van Hysio

Locatie
Nederland
Doorgifte
Eigen privacyverklaring en eigen contractuele basis met de Klant onder Mollie's algemene voorwaarden
Retentie
Mollie staat onder DNB-toezicht en is PCI DSS-gecertificeerd als betaaldienstverlener. Hysio en Mollie zijn voor de betaalverwerking onafhankelijke verwerkingsverantwoordelijken (AVG art. 4 lid 7); Hysio bewaart alleen Mollie klant-ID, betalings-ID, type sequentie ("first" of "recurring"), bedrag, status en betalingstijdstip. Hysio bewaart geen kaart- of bankgegevens lokaal; PCI-scope ligt volledig bij Mollie.

OpenAI Inc.

Configureerbare fallback-provider voor tekstgeneratie; per 4 mei 2026 GEEN actieve sub-verwerker voor productie-verwerking

Locatie
Verenigde Staten
Doorgifte
Activatie vereist DPF-doorgifte-grond, OpenAI Data Processing Addendum, update Transfer Impact Assessment v1.0 en sub-verwerker-disclosure aan de Klant minimaal 30 dagen vooraf, conform Verwerkersovereenkomst v3.6 art. 11.7 en AVG art. 28 lid 2 plus lid 4
Retentie
Niet operationeel. Activatie voor enige live klant-workflow vereist interne goedkeuring door Hysio's privacycoördinator en contractueel bezwaarrecht van de Klant met de mogelijkheid van kosteloze beëindiging tegen de activatiedatum. Tot één van deze stappen is doorlopen blijft OpenAI buiten de actieve sub-verwerker-tabel.

Toelichting Mollie. Hysio en Mollie zijn voor de betaalverwerking onafhankelijke verwerkingsverantwoordelijken (AVG art. 4 lid 7). Hysio bewaart alleen Mollie klant-ID, betalings-ID, type sequentie, bedrag, status en betalingstijdstip. Kaart-, IBAN- of pasdetails verwerkt Mollie onder eigen verantwoordelijkheid en eigen privacyverklaring.

Artikel 12

Bedrijfsgegevens
& contact

Bedrijf

Hysio B.V.

Gevestigd in Nederland. Werkzaam voor fysiotherapeuten in Nederland en België.

Live sinds 2026
KvK-nummer
98649744
BTW-nummer
NL868584575B01
Vestigingsadres
De Aak 11, 7908 EL Hoogeveen
Land
Nederland

Contact

Algemeen

info@hysio.nl

Privacy

privacy@hysio.nl

Support

support@hysio.nl

Compliance

compliance@hysio.nl

Legal

legal@hysio.nl