Standpuntverklaring inzake HIPAA en de Business Associate Agreement (BAA) – iGlowly Assistant

Laatst bijgewerkt: 30 maart 2026

1. Doel van dit document

Dit document legt uit hoe de iGlowly Assistant is ontworpen in relatie tot de Health Insurance Portability and Accountability Act van 1996 (HIPAA), en of iGlowly optreedt als Business Associate bij het leveren van de iGlowly Assistant.

Dit document is bedoeld voor klinieken, compliance officers en IT-/security-auditors.

2. Overzicht van de iGlowly Assistant

De iGlowly Assistant is een informatieve softwaretool die algemene informatie verstrekt over behandelingen, diensten en kliniekgerelateerde onderwerpen zoals openingstijden, prijsinformatie en algemene behandelinformatie.

De iGlowly Assistant is:

• Geen Elektronisch Patiëntendossier (Electronic Health Record – EHR);
• Geen patiëntenportaal;
• Geen telemedicineplatform;
• Geen medisch hulpmiddel;
• Geen diagnostisch hulpmiddel;
• Geen systeem voor het opslaan of verzenden van medische dossiers;
• Niet bedoeld voor patiëntspecifieke communicatie;
• Niet bedoeld voor noodcommunicatie.

De Assistant is uitsluitend ontworpen voor algemeen informatief gebruik.

3. Definitie van Protected Health Information (PHI)

Onder HIPAA betekent Protected Health Information (PHI) in het algemeen individueel identificeerbare gezondheidsinformatie die betrekking heeft op:

• De vroegere, huidige of toekomstige fysieke of mentale gezondheid van een persoon;
• Het verlenen van gezondheidszorg aan een individu;
• De betaling voor gezondheidszorg;

en die de persoon identificeert of redelijkerwijs kan worden gebruikt om de persoon te identificeren.

Voorbeelden hiervan zijn onder meer:

• Naam + medische aandoening;
• E-mail + behandelinformatie;
• Telefoonnummer + afspraak of behandeling;
• Foto’s van een patiënt;
• Medische dossiers;
• Patiëntenintakeformulieren;
• Elke gezondheidsinformatie gekoppeld aan een identificeerbare persoon.

4. Zero-PHI-architectuur

De iGlowly Assistant is ontworpen volgens een Zero-PHI-architectuur, wat betekent dat het systeem specifiek is ontworpen om geen Protected Health Information op te slaan.

Belangrijke architectuurprincipes:

• Chatberichten worden tijdelijk in het geheugen (RAM) verwerkt;
• Chatberichten worden niet opgeslagen in databases;
• Chatberichten worden niet opgeslagen in logbestanden;
• Chatberichten worden niet opgenomen in back-ups;
• Chatberichten zijn niet zichtbaar voor klinieken;
• Chatberichten zijn niet toegankelijk voor iGlowly-medewerkers;
• Persoonlijke identificatoren worden waar mogelijk automatisch gedetecteerd en geanonimiseerd;
• Alleen anonieme, niet-identificeerbare gebruiksanalyses worden opgeslagen;
• Het systeem maakt geen gebruikersprofielen aan;
• Het systeem slaat geen patiëntendossiers op;
• Het systeem slaat geen gespreksgeschiedenis op;
• Het systeem slaat geen IP-adressen op;
• Het systeem gebruikt geen cookies of tracking-identificatoren.

Berichten worden uitsluitend tijdelijk verwerkt om een antwoord te genereren en worden daarna verwijderd.

Deze architectuur is ontworpen om te voorkomen dat het systeem PHI opslaat of bewaart.

5. Geen opslag van PHI

De iGlowly Assistant:

• Slaat geen patiëntnamen op;
• Slaat geen contactgegevens op;
• Slaat geen medische informatie op;
• Slaat geen medische dossiers op;
• Slaat geen chattranscripten op;
• Slaat geen gespreksgeschiedenis op;
• Slaat geen geüploade bestanden op;
• Slaat geen foto’s op;
• Slaat geen IP-adressen op die gekoppeld zijn aan medische onderwerpen;
• Slaat geen gegevens op die een patiënt identificeren in combinatie met gezondheidsinformatie.

De enige gegevens die door het systeem worden opgeslagen zijn anonieme, geaggregeerde topic-analyses, zoals:

• Opgevraagd behandelonderwerp (bijv. Botox);
• Opgevraagd probleem/concern (bijv. rimpels);
• Type vraag (bijv. prijs, herstel);
• Taal;
• Datum en tijd;
• Kliniek-identifier;
• Anonieme sessie-identifier.

Deze gegevens identificeren geen individuen.

6. Sanitisatie van persoonsgegevens

Indien een gebruiker persoonlijke informatie invoert in de chat, past het systeem automatische detectie en anonimisering toe vóór enige AI-verwerking plaatsvindt.

Dit omvat detectie en maskering van:

• Namen;
• E-mailadressen;
• Telefoonnummers;
• Adressen;
• Identificatienummers.

Persoonlijke identificatoren worden vervangen door geanonimiseerde placeholders (bijv. “[naam verwijderd]”) voordat het bericht wordt verwerkt.

Geanonimiseerde berichten worden tijdelijk verwerkt en worden niet opgeslagen.

7. Vaststelling van Business Associate-status

Onder HIPAA is een Business Associate in het algemeen een entiteit die Protected Health Information (PHI) creëert, ontvangt, bewaart of doorstuurt namens een Covered Entity.

De iGlowly Assistant is zo ontworpen dat deze geen PHI creëert, ontvangt, bewaart of opslaat in persistente vorm.

• Berichten worden tijdelijk verwerkt;
• Berichten worden gesanitiseerd;
• Berichten worden niet opgeslagen;
• Het systeem wordt niet gebruikt voor het beheren van patiëntendossiers;
• Het systeem wordt niet gebruikt voor patiëntcommunicatie;
• Het systeem beheert geen PHI-databases.

Door deze architectuur, en wanneer de Assistant wordt gebruikt zoals bedoeld, wordt iGlowly in het algemeen niet beschouwd als een Business Associate onder HIPAA met betrekking tot de iGlowly Assistant.

Elke kliniek blijft echter zelf verantwoordelijk voor haar HIPAA-complianceverplichtingen en dient haar juridische of compliance-adviseurs te raadplegen om te bevestigen of een Business Associate Agreement (BAA) vereist is voor haar specifieke gebruikssituatie.

8. Beoogd gebruik en verantwoordelijkheden van de klant

De iGlowly Assistant is uitsluitend bedoeld voor algemeen informatief gebruik.

Klinieken mogen de Assistant niet gebruiken om:

• Patiëntinformatie te verzamelen;
• Medische voorgeschiedenis te verzamelen;
• Intakeformulieren te verzamelen;
• Met patiënten te communiceren over hun persoonlijke medische toestand;
• Voorschriften of behandelplannen te versturen;
• Medische dossiers op te slaan of te verzenden;
• Postoperatieve complicaties te behandelen;
• Dringende of noodcommunicatie af te handelen.

Gebruik van de Assistant voor deze doeleinden valt buiten het beoogde gebruik van het systeem en kan de regelgevende beoordeling wijzigen.

Klinieken zijn verantwoordelijk voor de manier waarop zij de Assistant configureren en gebruiken op hun website.

9. Business Associate Agreements (BAA)

Omdat de iGlowly Assistant is ontworpen volgens een Zero-PHI-architectuur en niet bedoeld is om PHI op te slaan of te bewaren, is een Business Associate Agreement (BAA) in het algemeen niet vereist voor het gebruik van de iGlowly Assistant als informatief hulpmiddel.

Indien een kliniek voornemens is iGlowly-diensten te gebruiken op een wijze waarbij Protected Health Information wordt opgeslagen of verwerkt buiten het beoogde gebruik van de Assistant, moet dit afzonderlijk met iGlowly worden besproken om te bepalen of een BAA vereist is en of dergelijk gebruik is toegestaan.

10. Samenvatting

Samengevat:

• De iGlowly Assistant is een informatief hulpmiddel;
• Het systeem is ontworpen om opslag van PHI te vermijden;
• Chatberichten worden tijdelijk verwerkt en niet opgeslagen;
• Persoonlijke identificatoren worden waar mogelijk gesanitiseerd;
• Alleen anonieme analyses worden opgeslagen;
• Het systeem is ontworpen volgens een Zero-PHI-architectuur;
• Wanneer gebruikt zoals bedoeld, treedt iGlowly in het algemeen niet op als Business Associate voor de iGlowly Assistant.

11. Contact

Voor vragen over HIPAA, beveiliging of compliance:

trust@iglowly.com

‍