Privacyverklaring

Deze privacyverklaring heeft betrekking op verwerking van jouw persoonsgegevens in het kader van de diensten die Optimize B.V. ("wij" of "ons") aan je levert via de Optimize app (hierna de "App"). Optimize is gevestigd aan de Keizersgracht 285, 1016 ED Amsterdam, en ingeschreven in het register van de Nederlandse Kamer van Koophandel onder nummer 93488866.

Optimize hecht veel waarde aan je privacy. Daarom gebruiken wij deze verklaring om je goed te informeren over de persoonsgegevens die wij van jou verzamelen via de App, voor welke doeleinden wij dat doen, met welke partijen wij jouw persoonsgegevens delen, hoe wij met jouw persoonsgegevens omgaan en welke rechten je hebt.

Persoonsgegevens en doeleinden

Wij verwerken de volgende categorieën persoonsgegevens van jou voor de volgende doeleinden:

1. Administratieve gegevens, NAW-gegevens en betalingsgegevens zodat wij je onze diensten kunnen leveren in de App en zodat je credits kan kopen.
2. Gegevens over je levensstijl en doelstellingen zodat wij je gepersonaliseerd lifestyle advies kunnen geven dat ervoor zorgt dat jij de door jou geselecteerde doelstellingen kunt behalen. Deze persoonsgegevens worden verstrekt door jou zelf en op jouw verzoek via derde partijen zoals Apple Health, Garmin Connect en Whoop. Je hebt volledig keuzevrijheid in welke externe databronnen, zoals Apple Health, Garmin Connect en Whoop, je wilt koppelen.
3. Gezondheidsgegevens zodat wij je gepersonaliseerd lifestyle advies kunnen geven dat ervoor zorgt dat jij de door jou geselecteerde doelstellingen kunt behalen.

Als je toestemming hebt gegeven voor de verwerking van je persoonsgegevens, kan je die toestemming te allen tijde intrekken. Omdat het voor ons in dat geval niet mogelijk is om de Diensten aan je te leveren, kan je je toestemming enkel intrekken door het beëindigen van de Dienst. Voor afzonderlijke onderdelen, zoals notificaties of koppelingen met externe bronnen, kan je je toestemming afzonderlijk intrekken. Dit laat de rechtmatigheid van de verwerking van je persoonsgegevens voorafgaand aan het intrekken van de toestemming in stand.

Grondslagen

Wij verwerken jouw persoonsgegevens op de volgende grondslagen:

1. je administratieve en betalingsgegevens. Zonder die gegevens kunnen wij onze overeenkomst met jou om de Diensten te leveren niet uitvoeren;
2. jouw gegevens over levensstijl en jouw gezondheidsgegevens (bloedwaarden). Deze informatie hebben we nodig om de Diensten aan jou te kunnen leveren. Deze gegevens verwerken we op basis van jouw toestemming, die je altijd kan intrekken door het beëindigen van de Dienst;
3. jouw gegevens over levensstijl en jouw gezondheidsgegevens in gepseudonimiseerde of geaggregeerde vorm voor wetenschappelijk onderzoek, de verbetering van onze App en het testen en monitoren van onze AI-Systemen zoals beschreven onder "Gebruik van kunstmatige intelligentie" hieronder. Voor zover het daarbij gaat om bijzondere categorieën van persoonsgegevens, doen wij dit op basis van jouw expliciete toestemming. Voor verwerkingen die geen bijzondere categorieën betreffen, baseren wij ons op ons gerechtvaardigd belang bij het verbeteren van de kwaliteit en veiligheid van onze diensten, waarbij wij een belangenafweging hebben uitgevoerd om te waarborgen dat jouw belangen niet worden geschaad.

Met wie worden jouw persoonsgegevens gedeeld?

Wij delen jouw contactgegevens via onze App met ZorgDomein Nederland B.V. om laboratoriumonderzoek aan te vragen bij onze labpartner Unilabs Diagnostics B.V. Als jouw bloed via de door jou geselecteerde priklocatie wordt gedeeld met Unilabs en Unilabs de test heeft uitgevoerd, ontvangen wij de resultaten van jouw bloedtest. Die resultaten worden veilig met ons gedeeld via onze samenwerkingspartner Enovation B.V.

Verder worden jouw gegevens in het kader van de Diensten verwerkt door de volgende verwerkers:

1. DigitalOcean (voor cloudhosting en gegevensopslag);
2. Mollie (betaaldiensten); en
3. Anthropic PBC (AI-gestuurde personalisatie en contentgeneratie binnen de App). Anthropic verwerkt gegevens namens ons via haar API-infrastructuur. Persoonsgegevens die met Anthropic worden gedeeld, kunnen buiten de Europese Economische Ruimte ("EER") worden verwerkt, waaronder in de Verenigde Staten. Anthropic bewaart API-invoer en -uitvoer gedurende maximaal 7 dagen voor veiligheids- en misbruikmonitoring, waarna deze automatisch worden verwijderd. Anthropic gebruikt geen API-gegevens voor het trainen van haar modellen.

Wij hebben met Anthropic een verwerkersovereenkomst gesloten die de door de Europese Commissie goedgekeurde Standaard Contractbepalingen (Standard Contractual Clauses) bevat. Wij hebben een Transfer Impact Assessment uitgevoerd en passende aanvullende technische en organisatorische maatregelen getroffen in lijn met de aanbevelingen van het Europees Comité voor gegevensbescherming (EDPB), om risico's voortvloeiend uit de wetgeving van het land van vestiging van de dienstverlener te adresseren. Deze maatregelen omvatten pseudonimisering van persoonsgegevens vóór verzending, zoals beschreven onder "Gebruik van kunstmatige intelligentie" hieronder.

Wat doen we met jouw gegevens?

Hoe komt jouw lifestyle advies tot stand? Wij bieden onze Diensten door jouw gezondheidsgegevens en levensstijlvoorkeuren met elkaar te combineren. Deze informatie wordt door ons geanalyseerd om testresultaten inzichtelijk te maken, om jouw gezondheidsprofielen op te bouwen en je via de App gerichte meldingen, aanbevelingen en adviezen te kunnen geven.

Wij pseudonimiseren de informatie die we over je hebben voor wetenschappelijk onderzoek en voor de verbetering van onze App. Dit betekent dat wij directe identificatoren (zoals je naam en e-mailadres) verwijderen of vervangen en technische maatregelen toepassen om jouw identiteit te scheiden van jouw gegevens. Hoewel de resulterende dataset niet door de ontvanger herleidbaar is tot jou zonder toegang tot onze interne systemen, behouden wij de technische mogelijkheid om de gegevens opnieuw aan jouw account te koppelen. Gepseudonimiseerde gegevens blijven daarom persoonsgegevens in de zin van de AVG en jouw rechten — waaronder het recht op verwijdering — blijven onverminderd van toepassing.

Wanneer wij gepseudonimiseerde gegevens delen met derde ontvangers voor onderzoeksdoeleinden, doen wij dit op basis van data-delingsovereenkomsten die de ontvanger verplichten het gepseudonimiseerde karakter van de gegevens te handhaven en deze op onze instructie te verwijderen.

Voor zover wij persoonsgegevens verwerken in een daadwerkelijk geaggregeerde en statistische vorm waaruit geen individu kan worden geïdentificeerd (bijvoorbeeld gemiddelde waarden over een grote groep gebruikers), zijn dergelijke gegevens geen persoonsgegevens meer in de zin van de AVG. Wij mogen dergelijke geaggregeerde gegevens zonder beperkingen bewaren en gebruiken. Voor zover het bij het creëren van geaggregeerde gegevens gaat om bijzondere categorieën van persoonsgegevens, doen wij dit uitsluitend met jouw expliciete toestemming.

Gebruik van kunstmatige intelligentie

Wij gebruiken kunstmatige intelligentiesystemen en AI-gestuurde tools ("AI-Systemen") ter ondersteuning van de levering en verbetering van onze diensten via de App. Onze AI-dienstverlener is als verwerker geïdentificeerd onder "Met wie worden jouw persoonsgegevens gedeeld?" hierboven.

Deze AI-Systemen kunnen worden gebruikt om ons te helpen bij het organiseren, structureren, genereren, verfijnen en presenteren van informatie binnen de App, waaronder gepersonaliseerde uitleg, aanbevelingen en andere content op basis van de gegevens die jij aan ons verstrekt of kiest te verbinden via externe bronnen zoals beschreven onder "Persoonsgegevens en doeleinden" hierboven.

De grondslagen zoals uiteengezet onder "Grondslagen" hierboven zijn eveneens van toepassing op de verwerking van jouw persoonsgegevens via AI-Systemen. In het bijzonder geldt dat waar AI-Systemen jouw gezondheidsgegevens of gegevens over jouw levensstijl verwerken, wij dit doen op basis van jouw expliciete toestemming. Je kunt die toestemming te allen tijde intrekken overeenkomstig "Persoonsgegevens en doeleinden" hierboven.

Persoonsgegevens die met AI-Systemen worden gedeeld, worden gepseudonimiseerd vóór verzending. De categorieën gegevens die kunnen worden gedeeld omvatten bloedwaarden, leeftijd, geslacht, gewicht en leefstijlgegevens zoals slaappatronen, fysieke activiteit en voedingsinformatie. Dit omvat gegevens ontvangen van gekoppelde externe bronnen zoals wearable-platformen, zoals beschreven onder "Persoonsgegevens en doeleinden" hierboven. Voor zover functionele identificatoren noodzakelijk zijn voor het koppelen van samenhangende gegevens binnen het AI-Systeem, worden deze verzonden in een vorm die niet kan worden gebruikt om jou rechtstreeks te identificeren. Dergelijke gegevens worden uitsluitend gedeeld voor zover noodzakelijk voor het genereren van gepersonaliseerd advies. De AVG is onverkort van toepassing op deze verwerking.

De AI-Systemen binnen de App worden uitsluitend gebruikt in een ondersteunende en informatieve hoedanigheid. Zij worden niet gebruikt om:

1. medische diagnoses te stellen of behandelingen vast te stellen;
2. zorgprofessionals te vervangen;
3. besluiten te nemen die rechtsgevolgen hebben of jou op vergelijkbare wijze aanmerkelijk treffen in de zin van artikel 22 van de AVG; of
4. als enige basis te dienen voor besluiten over jouw toegang tot de App, jouw geschiktheid voor diensten, of enig ander besluit dat jou wezenlijk raakt.

Wij beoordelen regelmatig of onze AI-Systemen kwalificeren als hoog-risico AI-systemen in de zin van Verordening (EU) 2024/1689 (de AI-verordening) en treffen waar nodig aanvullende maatregelen.

Wanneer je interacteert met content die is gegenereerd of wezenlijk is gevormd door AI-Systemen, zal de App dit voor jou herkenbaar maken door middel van een duidelijke aanduiding in de gebruikersinterface. Wij voldoen aan de toepasselijke transparantieverplichtingen op grond van Verordening (EU) 2024/1689 (de AI-verordening).

AI-gegenereerde content, waaronder aanbevelingen en adviezen die via de App worden verstrekt, is onderworpen aan passend menselijk toezicht. Gekwalificeerd personeel beoordeelt het ontwerp, de configuratie en de uitkomsten van onze AI-Systemen op regelmatige basis om nauwkeurigheid, veiligheid en naleving te waarborgen.

Bij het gebruik van AI-Systemen passen wij het beginsel van dataminimalisatie toe en verwerken wij uitsluitend de persoonsgegevens die noodzakelijk zijn voor het betreffende doel. De technische en organisatorische beveiligingsmaatregelen beschreven onder "Beveiliging van jouw persoonsgegevens" hieronder zijn eveneens van toepassing op de verwerking van persoonsgegevens via AI-Systemen. Daarnaast treffen wij passende contractuele waarborgen met onze AI-dienstverlener.

Persoonsgegevens die met AI-Systemen worden gedeeld, kunnen buiten de EER worden verwerkt, waaronder in de Verenigde Staten, zoals beschreven onder "Met wie worden jouw persoonsgegevens gedeeld?" hierboven. Wij hebben passende waarborgen getroffen voor dergelijke doorgiften, waaronder Standaard Contractbepalingen en aanvullende technische maatregelen zoals pseudonimisering vóór verzending.

Wij kunnen gepseudonimiseerde of geaggregeerde gegevens gebruiken om de kwaliteit, veiligheid en prestaties van onze AI-Systemen te testen, monitoren en verbeteren.

Anthropic bewaart API-invoer en -uitvoer gedurende maximaal 7 dagen voor veiligheids- en misbruikmonitoring, waarna deze automatisch worden verwijderd. Anthropic gebruikt geen API-gegevens voor het trainen van haar modellen. Wij pseudonimiseren alle persoonsgegevens vóór verzending om blootstelling tijdens deze bewaartermijn te minimaliseren.

Voor nadere informatie over de wijze waarop AI-Systemen worden ingezet bij de verwerking van jouw persoonsgegevens, zie "Jouw rechten" hieronder.

Bewaartermijnen

Wij bewaren je persoonsgegevens niet langer dan noodzakelijk is voor de doeleinden waarvoor ze zijn verzameld. In de meeste gevallen betekent dit tot het moment waarop je je account verwijdert of de overeenkomst beëindigt. Wij verwijderen je persoonsgegevens dan 1 jaar nadat je account is verwijderd uit onze systemen. Deze termijn van één jaar geldt eveneens voor gepseudonimiseerde gegevens die worden gebruikt voor onderzoek of verbeteringsdoeleinden. Daarnaast kun je gedurende de bewaartermijn te allen tijde verzoeken om verwijdering van dergelijke gepseudonimiseerde gegevens, aangezien deze persoonsgegevens blijven in de zin van de AVG. Gegevens die al in geaggregeerde vorm zijn verwerkt zijn niet meer aan jou toe te schrijven en blijven bewaard. In bepaalde gevallen zijn wij wettelijk verplicht om specifieke gegevens langer te bewaren. Zo bewaren wij jouw betaalgegevens voor 7 jaar in onze administratie om fiscale redenen.

Aangezien het kan zijn dat jij je bloedresultaten een keer wilt inzien omdat je die nodig hebt om medische redenen, bewaren wij de resultaten van de bloeddiagnostiek via Unilabs 1 jaar nadat jij je account hebt verwijderd. Je kunt die gegevens opvragen door een e-mail te versturen naar privacy@optimizelifestyle.io.

Persoonsgegevens die worden verwerkt via AI-Systemen zoals beschreven onder "Gebruik van kunstmatige intelligentie" hierboven worden door onze AI-dienstverlener bewaard gedurende maximaal 7 dagen voor veiligheidsmonitoring, waarna deze automatisch worden verwijderd. Anthropic slaat geen gegevens op na deze periode en gebruikt deze niet voor modeltraining.

Beveiliging van jouw persoonsgegevens

Wij hebben de technische en organisatorische maatregelen getroffen om jouw persoonsgegevens passend te beveiligen tegen verlies of een andere vorm van onrechtmatige verwerking.

Je persoonsgegevens worden versleuteld (encryptie) opgeslagen. Rapporten en andere statische bestanden zijn afzonderlijk beveiligd volgens actuele encryptiestandaarden (AES-256).

De toegang tot de App is volledig afgeschermd. Jouw identiteit wordt eerst geverifieerd via OAuth 2.0 met proof key for code exchange ("PKCE"), waarna je gegevens alleen toegankelijk zijn na biometrische verificatie (zoals Face ID of Touch ID) of een persoonlijke toegangscode.

Daarnaast passen wij dataminimalisatie, pseudonimisering en dataseparatie toe. Gevoelige medische gegevens worden opgeslagen in afzonderlijke, streng beveiligde databases en zijn alleen indirect te koppelen aan gebruikers, zonder gebruik van direct herleidbare persoonsgegevens.

Wij hanteren de principes van privacy by design en privacy by default bij het ontwikkelen en onderhouden van de App. Onze technische en organisatorische beveiligingsmaatregelen zijn afgestemd op actuele best practices en erkende normen, waaronder ISO/IEC 27001 (informatiebeveiliging), de OWASP Mobile Security Guidelines en de uitgangspunten en aanbevelingen van de Autoriteit Persoonsgegevens.

Wanneer persoonsgegevens worden verzonden naar onze AI-dienstverlener, vindt deze verzending plaats via versleutelde verbindingen naar het API-endpoint van de dienstverlener. Gegevens worden vóór verzending gepseudonimiseerd.

Wijzigingen

Van tijd tot tijd kunnen wij deze privacyverklaring wijzigen. Als wij dat doen zullen wij je daarvan op de hoogte stellen. Je kunt altijd — dus ook na een dergelijke wijziging — besluiten om te stoppen met het gebruik van de App.

Wanneer de aard, omvang of het doel van ons gebruik van kunstmatige intelligentie wezenlijk verandert, zullen wij je daarover proactief informeren in overeenstemming met de toepasselijke transparantieverplichtingen, waaronder die op grond van Verordening (EU) 2024/1689 (de AI-verordening).

Jouw rechten

Jij hebt het recht ons te vragen om:

1. inzage te geven in jouw persoonsgegevens (zoals je contactgegevens);
2. je persoonsgegevens (zoals je contactgegevens) te laten aanvullen, corrigeren of verwijderen;
3. te stoppen met de verwerking van jouw persoonsgegevens;
4. de verwerking van jouw persoonsgegevens te beperken; en/of
5. je persoonsgegevens door te geven aan jou of aan een derde.

Deze rechten zijn niet absoluut. Wij zullen jouw verzoek beoordelen conform de AVG. Dit betekent dat wij aan de hand van jouw identificatiebewijs eerst jouw identiteit zullen moeten verifiëren. Vervolgens zullen wij je zo spoedig mogelijk, maar in elk geval binnen een maand na je inzageverzoek (tenzij we je identiteit niet hebben kunnen verifiëren), informatie verstrekken over de acties die wij hebben ondernomen naar aanleiding van je verzoek. Deze termijn kunnen wij met twee maanden verlengen in verband met de complexiteit van jouw verzoek of het aantal verzoeken dat wij krijgen. In dat geval brengen we je daarvan op de hoogte.

Wanneer wij jouw persoonsgegevens verwerken op basis van ons gerechtvaardigd belang, heb je het recht om te allen tijde bezwaar te maken tegen een dergelijke verwerking op gronden die verband houden met jouw specifieke situatie. Na ontvangst van een dergelijk bezwaar zullen wij de verwerking staken, tenzij wij dwingende gerechtvaardigde gronden aantonen die zwaarder wegen dan jouw belangen, rechten en vrijheden, of de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering.

Je recht op verwijdering op grond van artikel 17 AVG strekt zich uit tot gepseudonimiseerde gegevens die wij over jou bewaren, aangezien dergelijke gegevens persoonsgegevens blijven. Bij ontvangst van een geldig verwijderingsverzoek zullen wij jouw gepseudonimiseerde gegevens uit onze systemen verwijderen en onze verwerkers, alsmede eventuele derde ontvangers aan wie gepseudonimiseerde gegevens zijn verstrekt, instrueren hetzelfde te doen, tenzij wij wettelijk verplicht zijn deze te bewaren. Geaggregeerde gegevens zijn van dit recht uitgezonderd, aangezien deze niet meer aan jou kunnen worden toegeschreven.

Je hebt het recht om op elk moment een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Voor het uitoefenen van jouw rechten kun je een e-mail sturen naar privacy@optimizelifestyle.io.

Op jouw verzoek verstrekken wij je nadere informatie over de logica die betrokken is bij de AI-gestuurde verwerking van jouw persoonsgegevens zoals beschreven onder "Gebruik van kunstmatige intelligentie" hierboven, waaronder de betekenis en de verwachte gevolgen van een dergelijke verwerking voor jou. Je kunt een dergelijk verzoek indienen door contact met ons op te nemen via privacy@optimizelifestyle.io.

Cookies of vergelijkbare technieken die wij gebruiken

Wij gebruiken functionele en analytische cookies. Een cookie is een klein tekstbestand dat bij het eerste bezoek aan de Optimize App wordt opgeslagen op je computer, tablet of smartphone. Functionele cookies hebben een puur technische functionaliteit. Deze zorgen ervoor dat de App naar behoren werkt en dat bijvoorbeeld jouw voorkeursinstellingen onthouden worden. Deze cookies worden ook gebruikt om onze App goed te laten werken en deze te kunnen optimaliseren. Als we wettelijk verplicht zijn om toestemming te vragen voor het plaatsen van analytische cookies, dan doen we dat via de App.

Contact

Bij vragen over deze privacyverklaring kan je contact met ons opnemen door een e-mail te versturen naar privacy@optimizelifestyle.io.