Lean Clinic Logo

Privacybeleid

1. Inleiding

Lean Clinic B.V. ("Lean Clinic", "wij") levert digitale leefstijlbegeleiding bij gewichtsverlies, met medische beoordeling door BIG-geregistreerde artsen wanneer medicatie mogelijk is aangewezen. In dit privacybeleid leggen we uit welke gegevens we verwerken, waarom, hoe we die beveiligen, hoe lang we bewaren en welke rechten u heeft op grond van de AVG en, waar van toepassing, de WGBO.

2. Verwerkingsverantwoordelijke

  • Naam: Lean Clinic B.V.
  • Adres: Bargelaan 200, 2333 CW Leiden, Nederland
  • KVK: 97542695
  • E-mail: contact@leanclinic.nl

Lean Clinic is verwerkingsverantwoordelijke voor gegevens die in ons platform en onze dienstverlening worden verwerkt. BIG-geregistreerde artsen en de apotheek zijn in het algemeen zelfstandig verwerkingsverantwoordelijk voor hun eigen (EPD-/farmacie-) dossiervoering. Gegevensdeling met arts/apotheek gebeurt alleen als dat noodzakelijk is én rechtmatig (bijv. met toestemming of op basis van de behandelrelatie).

3. Voor wie geldt dit beleid

  • Cliënten die deelnemen aan ons programma
  • Gebruikers van onze digitale diensten (app/portaal/AI-coach)
  • Bezoekers van onze website
  • Sollicitanten en leveranciers (beperkt; zie ook onze contractuele afspraken)

4. Welke gegevens verwerken we

4.1 Cliënten

  • Identificatie & contact: naam, adres, woonplaats, e-mail, telefoon, geboortedatum, (optioneel) geslacht.
  • Administratie: cliëntnummer, behandeltraject, gekoppelde coach/arts, afspraakmomenten, betaalreferenties (via betaalprovider).
  • Gezondheidsgegevens: hulpvraag, medische voorgeschiedenis, medicatiegebruik (incl. GLP-1), relevante metingen (bijv. BMI, gewicht, lengte), contra-indicaties, bijwerkingen.
  • Leefstijlgegevens: voedingspatroon, beweging, slaap/stress-inschattingen, voortgangsmetingen, antwoorden op vragenlijsten en opdrachten.
  • BSN: uitsluitend indien en voor zover dit wettelijk vereist is (bijv. in het kader van medicatieverstrekking door de apotheek) en dan zo beperkt mogelijk.

4.2 Gebruikers van digitale diensten

  • Accountgegevens: naam, e-mail, (optioneel) telefoon.
  • Gebruik & techniek: inloglogs, rol (arts/coach/cliënt), app-activiteiten, apparaat/ browserinformatie, IP-adres.
  • Door u aangeleverd: notities, antwoorden, uploads (bijv. foto's), voorkeuren.
  • AI-coach interacties: vragen/antwoorden die u invoert; deze worden gebruikt om u te begeleiden en het traject te personaliseren. Er worden geen uitsluitend geautomatiseerde besluiten met rechtsgevolg genomen.

4.3 Websitebezoekers

  • Formulieren: naam, e-mail, telefoon (indien ingevuld) en uw bericht.
  • Techniek: IP-adres, device/browsergegevens, cookie-ID's (afhankelijk van uw cookievoorkeuren).

5. Doelen en grondslagen

  • Zorg- en begeleidingsovereenkomst (uitvoering overeenkomst / WGBO): intake, coaching, voortgangsmonitoring, medisch overleg en (indien geïndiceerd) artsbeoordeling voor (herhaal)recepten.
  • Wettelijke verplichtingen: fiscale bewaarplicht (7 jaar), WGBO-bewaring (20 jaar voor medische dossiers), Wkkgz-vereisten (incidenten/klachten).
  • Gerechtvaardigd belang: beveiliging en logging, kwaliteitsverbetering, beperking van fraude/misbruik, servicecommunicatie.
  • Toestemming: wanneer vereist (bijv. delen gezondheidsgegevens met arts, gebruik van niet-essentiële cookies, marketing e-mails). Toestemming kan u altijd intrekken.

6. Herkomst van gegevens

  • Rechtstreeks van u (aanmelding, intake, app/portaal, e-mail, (video)consult).
  • Van uw arts (indien u hiervoor toestemming geeft of op basis van behandelrelatie).
  • Automatisch via ons platform (logs, beveiligingsgebeurtenissen).

7. Ontvangers en categorieën

  • Artsen (BIG): zelfstandig verwerkingsverantwoordelijke voor hun EPD; ontvangen uitsluitend noodzakelijke gegevens voor beoordeling/consult.
  • Apotheek: zelfstandig verwerkingsverantwoordelijke; medicatieverstrekking en facturatie lopen rechtstreeks via de apotheek.
  • Hosting & infrastructuur: database/auth via Supabase (gehost op AWS EU – Parijs) en frontend hosting via Vercel. Met deze partijen sluiten we verwerkersovereenkomsten.
  • Betaalprovider: Stripe (of gelijkwaardig) voor betalingen/abonnementen.
  • Communicatie & support: e-maildienst en helpdesktools waar nodig.
  • Andere verwerkers alleen waar noodzakelijk en contractueel geborgd (DPA/SCC's).

8. Internationale doorgifte

Wij verwerken gegevens bij voorkeur binnen de EER. Indien doorgifte buiten de EER plaatsvindt (bijv. door een subverwerker), borgen wij dit met passende waarborgen volgens de AVG, zoals de EU-standaardcontractbepalingen (SCC's) en aanvullende maatregelen indien nodig.

9. Bewaartermijnen

  • Medische (EPD-)gegevens: in principe 20 jaar (WGBO), tenzij een andere wettelijke termijn geldt.
  • Coaching/leefstijlgegevens: zolang noodzakelijk voor het traject en kwaliteitsdoeleinden; daarna verwijderen of anonimiseren we deze gegevens, tenzij een wettelijke plicht langere bewaring vereist.
  • Financiële administratie: 7 jaar (fiscale bewaarplicht).
  • Logbestanden: bewaard conform ons informatiebeveiligingsbeleid en proportionaliteit (beveiliging/forensic needs).

10. Beveiliging

  • Encryptie in transit (TLS/HTTPS) en versleutelde opslag waar passend.
  • Gescheiden rollen en rechten (arts/coach/administrator), row-level security en policy-checks.
  • Strikt need-to-know-principe; coaches hebben géén inzage in medische artsendossiers.
  • Authenticatie en toegangscontrole; periodieke review van autorisaties.
  • Automatische logging van (medische) mutaties; dagelijkse versleutelde back-ups.
  • Incident- & datalekprocedure (melding AP binnen 72 uur indien vereist; betrokkenen informeren bij hoog risico).

11. Uw privacyrechten

  • Inzage: kopie van uw persoonsgegevens.
  • Rectificatie: onjuiste gegevens corrigeren.
  • Verwijdering: waar mogelijk en niet strijdig met wettelijke bewaarplichten (bijv. WGBO).
  • Beperking: tijdelijk beperken van verwerking.
  • Dataportabiliteit: overdraagbaar formaat, voor zover wettelijk van toepassing.
  • Bezwaar: tegen verwerkingen op grond van gerechtvaardigd belang of marketing.
  • Toestemming intrekken: met terugwerkende kracht ongedaan maken is niet mogelijk, wel voor toekomstige verwerking.

U kunt uw rechten uitoefenen via contact@leanclinic.nl. We reageren in principe binnen 30 dagen. U heeft ook het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens. We verzoeken u eerst contact met ons op te nemen zodat we het snel kunnen oplossen.

12. Cookies en tracking

Wij gebruiken alleen niet-essentiële cookies (bijv. analytics) met uw toestemming. In de cookiebanner kunt u uw voorkeuren beheren. Zonder toestemming plaatsen we uitsluitend functionele/strikt noodzakelijke cookies.

13. AI, profilering en geautomatiseerde besluitvorming

Onze AI-coach helpt u met gepersonaliseerde begeleiding op basis van door u ingevoerde informatie. De AI doet geen uitsluitend geautomatiseerde besluiten met rechtsgevolg of vergelijkbare significante impact. Medische indicatie/voorschrift wordt altijd door een arts beoordeeld.

14. Minderjarigen

Onze diensten zijn gericht op volwassenen (18+). Wij verwerken geen gegevens van minderjarigen voor dit programma. Als wij onterecht gegevens van een minderjarige hebben ontvangen, verwijderen we die na melding.

15. Wijzigingen in dit privacybeleid

We evalueren dit beleid minimaal jaarlijks. Bij belangrijke wijzigingen informeren we u via e-mail of in de app. De meest recente versie staat altijd op onze website.

16. Contact

Vragen of verzoeken? Mail ons op contact@leanclinic.nl.

Laatst bijgewerkt: 9 september 2025