Skip to content
Medical Scribe Jij behandelt, Hysio schrijft
Preparation Patiënt voorbereid, jij ook
SmartMail Professionele brieven in seconden
Summary Van data naar inzicht
Mentor Klinische kenniscollega
EduPack Uitleg die blijft hangen
Intervention Van diagnose naar actie
DiagnoseCode De juiste code, automatisch
Alle assistenten
Over Hysio Prijzen FAQ Contact Patientinfo
Start Gratis Inloggen

Werkdocument voor klanten

DPIA-template voor
fysio-praktijken.

Een gestructureerde werkbasis voor je verplichte AVG art. 35 gegevensbeschermingseffectbeoordeling. Jij vult je eigen praktijkanalyse in; Hysio levert de structuur en de verwerker-zijde voor-ingevuld.

Versie 1.1 Laatst gewijzigd 4 mei 2026 Lees de toelichting
Hysio DPIA-template
Versie 1.1

Wat dit document is

Een werkbasis voor jouw
eigen DPIA, niet die van Hysio.

  • Jij bent verwerkingsverantwoordelijke, Hysio is verwerker
  • Hysio levert de structuur en input, jij de analyse
  • Word-download beschikbaar voor lokaal invullen
  • Verplicht onder AVG art. 35 bij gezondheidsdata plus AI
Werkdocument voor je eigen analyse

Voor klanten van Hysio

Een werkdocument om je eigen DPIA in te vullen

Een gestructureerde basis voor je eigen analyse. Hieronder vind je de inhoudelijke uitleg per sectie, plus de mogelijkheid om de volledige template als Word-document naar je eigen administratie te downloaden.

Download template (Word-document, .docx)

Onder de Algemene Verordening Gegevensbescherming (AVG) artikel 35 zijn fysiotherapie-praktijken DPIA-plichtig wanneer zij gezondheidsdata combineren met geautomatiseerde verwerking, waaronder AI-gestuurde administratie. Deze template helpt je die DPIA gestructureerd uit te voeren voor jouw praktijk.

Belangrijk: jij als praktijk bent verwerkingsverantwoordelijke onder de AVG. Hysio is verwerker. Hysio levert deze template als hulpmiddel; de inhoud, conclusie en uitvoering van de DPIA blijven jouw eigen verantwoordelijkheid. Vul de template in met informatie over je eigen praktijk, je eigen werkwijze en je eigen risico-afweging.

Werkdocument: je kunt deze template als Word-document downloaden, lokaal invullen en in je eigen administratie opslaan.

Sectie 0

Methodologie en scope

Deze DPIA-template is gebouwd op een aantal erkende methodologische bronnen. Daarmee voldoet je analyse aan de structuur die toezichthouders en juridische adviseurs verwachten.

  • AVG art. 35 lid 7 sub a-d als wettelijke ankerstructuur (systematische beschrijving, noodzakelijkheids- en evenredigheidstoets, risico-analyse, mitigerende maatregelen).
  • EDPB Guidelines on DPIA (WP248 rev.01) voor methodologische transparantie en de scoring van inherent en residual risk.
  • AP DPIA-handreiking voor de Nederlandse trigger-checklist en de procedure voor voorafgaande raadpleging onder art. 36.
  • CNIL Privacy Impact Assessment-methodiek als kwalitatieve scoring-leidraad (laag, midden, hoog), erkend door zowel de Autoriteit Persoonsgegevens als de EDPB.
  • NOREA Handreiking DPIA voor MKB als praktische werkstroom voor praktijken zonder formele Functionaris voor Gegevensbescherming.

Alternatieve methodieken (kwantitatieve DARM, ISO/IEC 29134) zijn toegestaan, mits in je analyse expliciet gemotiveerd.

Wat dekt deze DPIA wel? Verwerking van patiëntgegevens door je praktijk via het Hysio Platform voor administratieve documentatie, transcriptie, structurering en conceptcommunicatie. Alle Hysio-workflows die je praktijk feitelijk activeert. De sub-verwerker-keten zoals door Hysio gedocumenteerd in het Subprocessor Register v1.0.

Wat dekt deze DPIA niet? Verwerking van patiëntgegevens buiten Hysio (eigen elektronisch patiëntendossier, mailclient, papier-archief, andere SaaS). Verwerking voor andere doeleinden dan administratieve documentatie. Verwerking door derden waarmee je praktijk los van Hysio een verwerkersrelatie heeft.

Wat staat al ingevuld door Hysio. Hysio heeft de identiteit van de verwerker, de categorieën persoonsgegevens, bewaartermijnen aan Hysio-zijde, de sub-verwerker-tabel en de mitigerende maatregelen aan Hysio-zijde voor je voor-ingevuld op basis van de eigen rol als verwerker en de bekende sub-verwerker-keten per 4 mei 2026.

Wat moet jij als praktijk zelf invullen. De identiteit van je praktijk, het projectteam dat de DPIA uitvoert, welke workflows je feitelijk activeert, de categorieën betrokkenen specifiek voor jouw patiëntenpopulatie, de noodzakelijkheids- en evenredigheidstoets per verwerkingsdoel binnen jouw praktijk, de risico-analyse en scoring (inherent en residual risk), raadpleging FG en patiëntenraad, periodieke herziening, en de goedkeuring praktijkleiding.

DPIA-plicht. Onder AVG art. 35 is een DPIA verplicht wanneer een verwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. Voor zorg- en gezondheidsgegevens is een DPIA in de regel sterk aanbevolen of verplicht (AP-besluit BWBR0042812 categorie 1). Bij grootschalige verwerking onder AVG art. 9 (gezondheidsgegevens) is dit doorgaans aan de orde.

EDPB-vuistregel. Voldoet de verwerking aan twee of meer WP248-criteria? Dan is een DPIA aanbevolen of verplicht. Hysio scoort op minimaal vier criteria (bijzondere categorieën, kwetsbare betrokkenen, innovatief gebruik AI, doorgifte buiten EER). Op basis van AVG art. 35 lid 3 sub b en de AP DPIA-criterialijst is een DPIA vaak sterk aanbevolen of waarschijnlijk verplicht voor fysiotherapie-praktijken die gezondheidsdata via Hysio verwerken. De praktijk maakt zelf een eigen beoordeling op basis van schaal, context en gebruik. Bij twijfel raadpleeg je een privacy-jurist of de Functionaris voor Gegevensbescherming.

Sectie 1

Beschrijving van de verwerking

Deze sectie beschrijft de verwerking systematisch, zoals AVG art. 35 lid 7 sub a vereist. Voor de praktijkspecifieke velden vul je in de downloadbare template je eigen praktijkgegevens in. De Hysio-zijde is hieronder uitgewerkt.

Identiteit van de verwerker (door Hysio voor-ingevuld).

  • Verwerker: Hysio B.V.
  • KvK: 98649744
  • BTW-nummer: NL868584575B01
  • Adres: De Aak 11, 7908 EL Hoogeveen
  • Privacy-coördinator van Hysio (privacy@hysio.nl)
  • FG/DPO: geen formele FG aangesteld; AVG art. 37 lid 1 sub c-toets jaarlijks.
  • Compliance-adres: compliance@hysio.nl
  • Legal-adres: legal@hysio.nl

Doel en aard van de verwerking. Hysio ondersteunt administratieve documentatie van fysiotherapie-consulten: transcriptie van consult-audio, structurering van klinische vrije-tekst-input naar SOEP-format, opstellen van conceptbrieven en correspondentie, en declaratie-coderingsuggestie volgens DCSPH (Vektis paramedische declaratie-codelijst). Hysio neemt geen autonome klinische beslissingen en levert geen klinische beslisondersteuning. De fysiotherapeut is mens-in-de-lus en eindverantwoordelijk. Geautomatiseerde besluitvorming met rechtsgevolg in de zin van AVG art. 22 is niet aan de orde: de fysiotherapeut beoordeelt, corrigeert en accepteert elke AI-output vóór gebruik (validatieplicht Algemene Voorwaarden v3.6 art. 8.8).

Categorieën persoonsgegevens. Identificerende gegevens van de patiënt (pseudoniem of NAW, voor zover door de fysiotherapeut ingevoerd in vrije tekst). Gezondheidsgegevens (AVG art. 9): klachten, anamnese, onderzoek, behandeling, prognose, declaratie-codering. Audio-opnames van consulten, indien aangezet, met een effectieve uploadgrootte van circa 24 MB per opname; bewaartermijn maximaal 14 dagen op Contabo-infrastructuur. Audio dient uitsluitend voor technische verwerking en foutanalyse van de transcriptiefunctie; daarna wordt het bestand automatisch verwijderd. Hysio biedt geen velden voor BSN, AGB of BIG; verwerkingsverantwoordelijke staat in voor rechtmatigheid bij gebruik in vrije tekst. Geüploade documenten (PDF, DOCX, afbeeldingen) die de fysiotherapeut uploadt.

Categorieën betrokkenen. Patiënten van je praktijk; medewerkers van je praktijk (mede-fysiotherapeuten, assistenten, administratie); betrokken zorgverleners (huisarts, specialist, mede-behandelaar) voor zover ingevoerd in vrije tekst.

Bewaartermijnen aan Hysio-zijde. Audio-opnames maximaal 14 dagen via een dagelijks proces dat audio na 14 dagen automatisch verwijdert op Contabo-infrastructuur. Workflow-sessies (transcripten, output) default per beleid 12 maanden vanaf laatste wijziging; cron-operationalisering staat op de roadmap voor Q4 2026 - Q1 2027. Tot dan: handmatige verwijdering bij opzegging of op verzoek van de Verantwoordelijke binnen 30 dagen via privacy@hysio.nl. Account- en factuurgegevens: looptijd overeenkomst plus fiscale bewaarplicht (7 jaar AWR art. 52). Patiëntdossier (Wgbo-bewaarplicht 20 jaar) is verantwoordelijkheid van je praktijk; Hysio is geen primair dossier.

Sub-verwerkers. Volledig overzicht in het Subprocessor Register v1.0 en DPA v3.6 Bijlage 3.

  • Contabo GmbH (hosting backend, frontend, database, storage). Actief in productie. Overeengekomen via Contabo DPA conform AVG art. 28. EER-only: Bondsrepubliek Duitsland (Nuremberg). Geen Schrems II-doorgifte op hostinglaag.
  • Google LLC (tekstgeneratie-model). Actief in productie. Overeengekomen via Google Cloud Data Processing Addendum, DPF-gecertificeerd. Doorgifte: EU-US Data Privacy Framework. Locatie: Verenigde Staten, regio per Google's discretie.
  • Groq Inc. (spraak-naar-tekst-model). Actief in productie. Overeengekomen via Groq Customer Data Processing Addendum, SCCs Module 3 plus Global Zero Data Retention. Doorgifte: SCCs Module 3 plus Transfer Impact Assessment v1.0. Locatie: Verenigde Staten; geen dataretentie buiten verwerking.
  • Resend Inc. (transactionele e-mail). Actief in productie. Overeengekomen via Resend DPA, EU-tier Ierland eu-west-1, DPF-gecertificeerd als belt-and-braces. Locatie: Ierland eu-west-1.
  • Mollie B.V. (betalingsverwerking). Onafhankelijk verwerkingsverantwoordelijke onder de AVG. Geen sub-verwerker. EER-only: Nederland.
  • OpenAI Inc. Per 4 mei 2026 niet actief voor productie-verwerking. Configureerbaar als per-workflow-fallback. Activatie voor een live klant-workflow vereist sub-verwerker-disclosure conform DPA v3.6 §11.7, een TIA-update, en 30-dagen-voornotificatie aan jouw praktijk via compliance@hysio.nl. Bezwaar mogelijk binnen die 30 dagen. Tot je een 30-dagen-notificatie ontvangen hebt, verwerkt Hysio jouw patiëntdata niet via OpenAI.

Sectie 2

Beoordeling van noodzaak en evenredigheid

Rechtmatigheidsgrondslag. De verwerking rust op AVG art. 9 lid 2 sub h juncto art. 9 lid 3 (zorgverlening onder beroepsgeheim) en UAVG art. 30 lid 3 sub a. Onder AVG art. 6 lid 1 sub b (uitvoering behandelingsovereenkomst Wgbo BW art. 7:446) of sub c (wettelijke verplichting Wgbo dossierplicht BW art. 7:454, 7:455). Voor BIG-geregistreerde fysiotherapeuten geldt aanvullend Wet BIG art. 88 (beroepsgeheim).

Noodzakelijkheidstoets per verwerkingsdoel (AVG art. 35 lid 7 sub b). Voor elk verwerkingsdoel beoordeel je waarom de verwerking noodzakelijk is en welke wettelijke basis van toepassing is. De voor-ingevulde voorbeelden in de template:

  • Transcriptie consult-audio: audio omzetten naar tekst voor SOEP-dossiervorming; tijdsbesparing administratie maakt meer tijd voor de patiënt mogelijk. Wettelijke basis: Wgbo art. 7:454 dossierplicht, AVG art. 9 lid 2 sub h.
  • Structurering klinische vrije tekst naar SOEP: standaard-format vereist voor de KNGF-richtlijn dossiervoering 2019; dataminimalisatie via consistent format. Wettelijke basis: Wgbo art. 7:454, KNGF-richtlijn dossiervoering.
  • Opstellen conceptbrieven: conceptcommunicatie met huisarts of verwijzer; uitvoering behandelingsovereenkomst. Wettelijke basis: BW art. 7:446, AVG art. 6 lid 1 sub b.
  • Declaratie-coderingsuggestie: declaratie aan zorgverzekeraar verplicht conform Vektis-protocol. Wettelijke basis: BW art. 7:446, Zvw art. 87.

Evenredigheidstoets. Per beginsel beoordeel je of de verwerking proportioneel is.

  • Dataminimalisatie (AVG art. 5 lid 1 sub c): Hysio biedt geen velden voor BSN, AGB, BIG; pseudoniem-gebruik aanbevolen; vrije-tekst-velden mogen niet meer bevatten dan voor het doel noodzakelijk.
  • Doelbinding (AVG art. 5 lid 1 sub b): geen secundair gebruik door Hysio (geen modeltraining, geen profilering); zie DPA v3.6 §11.6.
  • Opslagbeperking (AVG art. 5 lid 1 sub e): audio 14 dagen, sessie default 12 maanden (cron-operationalisering Q4 2026 - Q1 2027).
  • Juistheid (AVG art. 5 lid 1 sub d): verplichte fysio-review elke AI-output (Algemene Voorwaarden v3.6 art. 8.8).
  • Transparantie (AVG art. 5 lid 1 sub a): Patiëntinformatieblad v1.0 plus AI-betrokkenheid-disclosure (Wgbo art. 7:448).

Alternatieve-middelen-analyse. Welke alternatieven heb je afgewogen voor het bereiken van het doel "administratieve documentatie consult"?

  • Optie A. Handmatige dossiervorming zonder AI: minder efficiënt, hoog risico op kwaliteitsverlies door administratielast, tijd voor patiëntcontact onder druk. Niet proportioneel als enige optie.
  • Optie B. Lokale spraak-naar-tekst zonder cloud: technisch beperkter (geen integratie met SOEP-format, lagere accuratesse); geen schaalbaarheid voor praktijken met meerdere fysio's. Mogelijk voor solopraktijk met eenvoudige eisen.
  • Optie C. Andere AI-leverancier: vergelijkbaar AVG-risicoprofiel; alle gebruiken AI-providers in VS of EER met sub-verwerker-keten. Geen materiële verbetering.
  • Optie D. Hysio met audio uit (text-only): mogelijk; verkleint sub-verwerker-keten (geen Groq); de fysio typt zelf transcript in plaats van audio op te nemen. Optie indien audio-risico voor jouw praktijk niet acceptabel is.

Vrijwaring tegen klinische besluitvorming en AVG art. 22. Hysio neemt geen autonome klinische beslissingen. De DiagnoseCode-workflow genereert een DCSPH-suggestie als concept-output; de fysiotherapeut beoordeelt, corrigeert en accepteert vóór indiening bij de zorgverzekeraar. Er is geen sprake van uitsluitend geautomatiseerde besluitvorming in de zin van AVG art. 22 lid 1; de fysiotherapeut is mens-in-de-lus en eindverantwoordelijk. Zie AI Act Transparantieverklaring v3.6 voor de uitwerking.

Cross-link IP en licentie. DCSPH-codering valt onder de Vektis paramedische declaratie-codelijst (KNGF). Een schriftelijke licentie voor commercieel gebruik van KNGF-richtlijnen en de DCSPH-codelijst is onderwerp van due-diligence per Q3 2026. Zolang die licentie open staat, is de DCSPH-suggestie zonder garantie en blijft de declaratie-keuze de verantwoordelijkheid van je praktijk.

Sectie 3

Risico-analyse

Deze sectie identificeert de risico's, beschrijft de mitigaties aan Hysio-zijde, en biedt een scoring-matrix om inherent en residual risk te beoordelen. Vink in de downloadbare template aan welke risico's voor je praktijk relevant zijn en motiveer per risico de scoring.

Geïdentificeerde risico's.

  1. Onbevoegde toegang tot patiëntdata via gestolen account-credentials.
  2. Datalek bij Contabo (hosting).
  3. Datalek bij Google of Groq (AI-providers, VS).
  4. Onjuiste transcriptie leidt tot incorrecte dossier-entry.
  5. AI-hallucinatie (toegevoegde inhoud die niet uit het consult komt).
  6. Verwarring tussen patiënt en partner of meerdere personen in audio.
  7. Patiëntinformatie in vrije tekst over derden zonder informed consent.
  8. Onterecht gebruik van Hysio buiten Beoogd Doeleinde (diagnose, triage).
  9. Wgbo-bewaarplicht 20 jaar niet veiliggesteld via export naar primair elektronisch patiëntendossier.
  10. Datalekmelding niet binnen 72 uur naar de Autoriteit Persoonsgegevens.
  11. Patiënt niet geïnformeerd over AI-betrokkenheid (AVG art. 13, Wgbo art. 7:448).
  12. Sub-verwerker-disclosure bij OpenAI-activatie gemist.
  13. Doorbreking beroepsgeheim (Wet BIG art. 88, Wgbo art. 7:457) via sub-verwerker-keten.

Mitigerende maatregelen aan Hysio-zijde. Per maatregel een statusaanduiding (operationeel of op de roadmap) per 4 mei 2026.

  • Industrie-standaard wachtwoord-hashing met sterke parameters (bcrypt, 12 rounds). Operationeel.
  • Rate-limiting login (vijf pogingen per IP en per e-mail per 15 minuten). Operationeel. Hard-lockout staat op de roadmap voor Q4 2026 als onderdeel van het NEN 7510-aansluitingstraject.
  • TLS 1.3 op alle endpoints. Operationeel via Nginx-config plus Let's Encrypt op Contabo-infrastructuur.
  • AES-256 disk-encryptie op Contabo VPS standaard. Operationeel.
  • Column-level encryptie van klinische persoonsgegevens. Op de roadmap voor Q4 2026 - Q1 2027 als onderdeel van het ISO 27001-traject.
  • Multi-factor authenticatie op klant-app-niveau. Op de roadmap voor Q4 2026 - Q1 2027. Overgangsmaatregel: sterk wachtwoordbeleid plus persoonlijke device-discipline.
  • API-tokens versleuteld in database, intrekbaar bij uitloggen, plus bescherming tegen sessie-vervalsing en cross-site-injectie. Operationeel.
  • Logs metadata (geen patiëntdata): 14 dagen rolling retentie. Operationeel.
  • Soft-delete patroon op gevoelige tabellen (workflow-sessies, gebruikers, abonnementen). Operationeel.
  • Dagelijkse back-up met 7 dagen rolling retentie via Contabo VPS standaard snapshots; hard-delete uit back-uplagen binnen 7 dagen na productie-verwijdering. Operationeel.
  • Audio-cleanup: een dagelijks proces verwijdert audio na 14 dagen. Operationeel.
  • Multi-factor authenticatie voor administratieve accounts (SSH, Contabo-portaal, DNS). Operationeel.
  • NEN 7513-conforme audit-logging. Op de roadmap voor Q3 2027.
  • CSP en HSTS security-headers. Op de roadmap voor Q3 2026.
  • Self-service rechten-flow (verwijdering en export via API). Op de roadmap voor Q4 2026 - Q1 2027. Tot dan: handmatige verwijdering op verzoek via privacy@hysio.nl als compenserende maatregel.
  • Verplichte fysio-review elke AI-output. Operationeel. Validatieplicht contractueel verankerd in Algemene Voorwaarden v3.6 art. 8.8.
  • Pseudoniem-gebruik bij patiëntinvoer. Aanbeveling, praktijk-verantwoordelijkheid. Hysio biedt geen velden voor BSN, AGB of BIG.
  • Patiënt-informatieblad v1.0. Operationeel; beschikbaar bij Hysio. Patient-facing-uitleg over Hysio-betrokkenheid; formele U/Uw-aanspreking voor patiënten.
  • Toestemming-flow opname (Wgbo art. 7:450). Praktijk-verantwoordelijkheid.
  • Datalek-notificatie van Hysio aan praktijk binnen 24 uur. Contractueel via DPA v3.6 §13.
  • Export naar primair elektronisch patiëntendossier voor Wgbo-bewaarplicht. Praktijk-verantwoordelijkheid. Per-sessie export (TXT, PDF, DOCX) beschikbaar; volledige account-export op de roadmap voor Q4 2026 - Q1 2027.

Cert-claim. Hysio is per 4 mei 2026 niet gecertificeerd onder NEN 7510 of ISO 27001. Cert-roadmap: ISO 27001 Q3 2027, NEN-7510 Q4 2027 - Q1 2028. Hysio volgt de uitgangspunten van NEN 7510:2024 en ISO/IEC 27001:2022 zonder formeel certificaat.

Scoring-matrix inherent plus residual risk. Per risico de scoring volgens de CNIL/EDPB-convergerende kwalitatieve schaal: laag (beperkte schade voor enkeling), midden (aanmerkelijke schade voor beperkte groep), hoog (structurele schade of grote groep, of significant impact op leven of gezondheid). Combinatie van impact en waarschijnlijkheid bepaalt de score. Vul de scoring in de downloadbare template per risico in en bepaal of het residual risk binnen je acceptatie-grens valt. Voor zorginstellingen geldt typisch een grens van 0 hoog-restrisico's.

Sectie 4

Raadpleging en goedkeuring

Voor de goedkeuring van je DPIA volg je de beslis-flow voor de keuze tussen ingebruikname zonder AP-raadpleging of voorafgaande raadpleging onder AVG art. 36.

Beslis-flow.

  • Stap 1. Heeft de DPIA een hoog restrisico? Zo nee, kan de verwerking in gebruik worden genomen, met periodieke herziening en gemotiveerde acceptatie van het restrisico in je administratie.
  • Stap 2. Indien ja, kan met aanvullende mitigaties het restrisico worden teruggebracht tot midden of laag? Zo ja, voeg mitigaties toe en hervoer de scoring.
  • Stap 3. Indien dat niet kan, is AP-raadpleging onder art. 36 verplicht. Indienen via autoriteitpersoonsgegevens.nl/voorafgaande-raadpleging. AP-responstermijn: 8 weken, met mogelijke verlenging van 6 weken (art. 36 lid 3). De verwerking neem je pas in gebruik na AP-respons.

Standpunt betrokkenen (AVG art. 35 lid 9). De wet eist dat je, indien passend, het standpunt van de betrokkenen of hun vertegenwoordigers inwint over de voorgenomen verwerking. Dat is geen optie, maar een eis met passendheids-marge. In de template documenteer je of je het standpunt hebt ingewonnen via vragenlijst, interview, cliëntenraad-overleg of feedback op het patiënt-informatieblad. Indien je gemotiveerd hebt afgezien (bijvoorbeeld een solopraktijk zonder cliëntenraad waar individuele patiëntinformatie via het Patiënt-informatieblad volstaat), leg je die motivering vast.

FG en DPO-raadpleging. Indien je praktijk een Functionaris voor Gegevensbescherming heeft, is raadpleging een onderdeel van de DPIA. Indien niet, motiveer je het ontbreken daarvan: doorgaans valt een fysiotherapie-praktijk onder de drempel van AVG art. 37 lid 1 sub c. Eventuele externe privacy-adviseur leg je ook vast.

Goedkeuring praktijkleiding. Het eindoordeel van de DPIA en de acceptatie van het restrisico is een verantwoordelijkheid van de praktijkleiding (verwerkingsverantwoordelijke). De template biedt velden voor naam, datum en handtekening, plus de datum van eerste ingebruikname van Hysio na DPIA-goedkeuring.

Sectie 5

Periodieke herziening

Een DPIA is een levend document. Hij moet worden herzien wanneer de feiten waarop hij gebaseerd is veranderen. Plan herziening in op de volgende momenten.

  • Bij invoering van een nieuwe Hysio-workflow of een materiële uitbreiding (bijvoorbeeld een nieuwe integratie).
  • Bij wijziging in de sub-verwerker-set of in de doorgifte-instrumenten, zoals een eventuele OpenAI-activatie via 30-dagen-disclosure.
  • Bij wijziging in praktijk-context: significant grotere patiëntenpopulatie, enterprise-status, ziekenhuis-aansluiting.
  • Bij relevante wijziging in Hysio's technische maatregelen (bijvoorbeeld MFA live, NEN 7513-logging live, Sanctum-TTL operationeel).
  • Minimaal jaarlijks.

In de template leg je vast wie de eigenaar is van het herzieningstraject, wanneer de volgende reguliere herziening staat gepland, en wie binnen je praktijk de sub-verwerker-updates van Hysio monitort.

Sectie 7

Ondersteuning vanuit Hysio

Hysio verleent op grond van AVG art. 28 lid 3 sub f juncto Verwerkersovereenkomst v3.6 §16 bijstand bij de DPIA en, indien aan de orde, bij voorafgaande raadpleging onder AVG art. 36. Standaard DPIA-bijstand binnen redelijk bereik is kosteloos. Voor enterprise-trajecten of niet-standaard analyses kan een uurtarief gelden conform DPA v3.6 §16.

Voor vragen of bijstand bij het invullen van deze DPIA stuur je een mail naar privacy@hysio.nl.

Hysio levert op verzoek aanvullende technische details (overzicht technische maatregelen, sub-verwerker-DPA's, Transfer Impact Assessments) onder geheimhoudingsplicht via legal@hysio.nl.

Voor sub-verwerker-bezwaar, bijvoorbeeld na een 30-dagen-notificatie over OpenAI-activatie, gebruik je compliance@hysio.nl.

Bedrijf en contact

Bedrijfsgegevens
& contact

Bedrijf

Hysio B.V.

Gevestigd in Nederland. Werkzaam voor fysiotherapeuten in Nederland en België.

Live sinds 2026
KvK-nummer
98649744
BTW-nummer
NL868584575B01
Vestigingsadres
De Aak 11, 7908 EL Hoogeveen
Land
Nederland

Contact

Algemeen

info@hysio.nl

Privacy

privacy@hysio.nl

Support

support@hysio.nl

Compliance

compliance@hysio.nl

Legal

legal@hysio.nl