Verklaring betreffende de Zero-PHI-architectuur en de verwerking van gegevens – iGlowly Assistant

Laatst bijgewerkt: 30 maart 2026

1. Doel van dit document

Dit document beschrijft de technische en organisatorische architectuur van de iGlowly Assistant en legt uit op welke wijze het systeem is ontworpen om de opslag van Protected Health Information (PHI) en persoonsgegevens te voorkomen.

De iGlowly Assistant is ontworpen volgens het beginsel van gegevensminimalisatie, privacy-by-design en een Zero-PHI-architectuur.

Dit document is bestemd voor klinieken, IT-afdelingen, complianceverantwoordelijken en beveiligingsauditors.

2. Definitie van Protected Health Information (PHI)

Voor de toepassing van dit document wordt onder Protected Health Information (PHI) verstaan: individueel identificeerbare gezondheidsinformatie, met inbegrip van, maar niet beperkt tot:

• Namen
• E-mailadressen
• Telefoonnummers
• Postadressen
• Geboortedata
• Medische dossiers
• Foto’s
• Alle gezondheidsinformatie die verband houdt met een identificeerbare persoon

De iGlowly Assistant is zodanig ontworpen dat deze informatie niet wordt opgeslagen in het systeem.

3. Overzicht van de Zero-PHI-architectuur

De iGlowly Assistant is opgezet volgens een model van gegevensminimalisatie en efemere verwerking, zodat:

• Chatberichten efemeer in het geheugen (RAM) worden verwerkt;
• Chatberichten niet worden opgeslagen in databases;
• Chatberichten niet in logbestanden worden geschreven;
• Chatberichten niet in back-ups worden opgenomen;
• Chatberichten niet zichtbaar zijn voor klinieken;
• Chatberichten niet toegankelijk zijn voor personeel van iGlowly;
• Chatberichten worden gesaniteerd vóór enige verwerking door AI;
• Uitsluitend gestructureerde, thematische en niet-identificeerbare analytische gegevens worden opgeslagen.

Deze architectuur is ontworpen om te voorkomen dat het systeem PHI opslaat of bewaart.

4. Verwerking van berichten (efemere verwerking)

Wanneer een bezoeker met de Assistant interageert:

1. Wordt het bericht ontvangen en verwerkt in servergeheugen (RAM);
2. Wordt het bericht geanalyseerd om het onderwerp en de intentie vast te stellen;
3. Worden persoonsgegevens verwijderd via geautomatiseerde sanitatie (maskering en anonimisering);
4. Kan het gesaniteerde bericht naar een AI-systeem worden gestuurd om een antwoord te genereren;
5. Wordt het antwoord aan de gebruiker teruggestuurd;
6. Wordt het oorspronkelijke bericht verwijderd en niet opgeslagen.

Berichten bestaan uitsluitend tijdelijk gedurende de verwerking en worden niet persistent opgeslagen.
Zodra een antwoord is gegenereerd en teruggestuurd, wordt het bericht uit het geheugen verwijderd en niet door het systeem bewaard.

5. Geen opslag van chatberichten

De iGlowly Assistant slaat niet op:

• Volledige chatberichten
• Antwoorden van de Assistant
• Gesprekstranscripten
• Gespreksgeschiedenis
• Medische informatie
• Persoonsidentificatoren

Chatinhoud wordt niet opgeslagen in:

• Databases
• Applicatielogs
• Analysesystemen
• Back-ups
• Monitoringsystemen

6. Geen persistente persoonsgegevens of trackingmechanismen

Het systeem is ontworpen om geen persoonsgegevens te verzamelen of op te slaan.

De iGlowly Assistant slaat niet op:

• Namen
• E-mailadressen
• Telefoonnummers
• Adressen
• Geboortedata
• Patiëntidentificatoren
• Gebruikersaccounts
• Cookies
• localStorage-identificatoren
• Browserfingerprints
• IP-adressen

Het systeem gebruikt uitsluitend een tijdelijk sessietoken dat wordt opgeslagen in de sessionStorage van de browser, dat:

• Uitsluitend bestaat gedurende de duur van het browsertabblad;
• Automatisch wordt verwijderd wanneer het tabblad wordt gesloten;
• Verloopt na 15 minuten inactiviteit;
• Niet is gekoppeld aan de identiteit van een persoon;
• Niet wordt gebruikt voor tracking tussen verschillende websites.

7. Sanitatie-laag (maskering en anonimisering) van persoonsgegevens

Indien een gebruiker persoonsgegevens invoert in de chat, past het systeem geautomatiseerde detectie en maskering toe vóór enige verwerking door AI.

De sanitatie (maskering en anonimisering) werkt in twee lagen:

Laag 1 – Patroondetectie
Op patronen gebaseerde detectie met behulp van reguliere expressies om gestructureerde persoonsgegevens te identificeren, zoals:

• E-mailadressen
• Telefoonnummers
• Identificatienummers
• URL’s die persoonsgegevens bevatten

Laag 2 – AI-entiteitsdetectie
Op AI gebaseerde entiteitsherkenning met gebruik van Microsoft Azure AI (gehost in de Europese Unie – regio West-Europa) om het volgende te detecteren:

• Namen
• Adressen
• Locaties
• Andere persoonsidentificatoren

Wanneer persoonsgegevens worden gedetecteerd, worden zij vervangen door geanonimiseerde tokens, zoals:

• « nomsupprimeˊnom suppriménomsupprimeˊ »
• « emailsupprimeˊemail suppriméemailsupprimeˊ »
• « teˊleˊphonesupprimeˊtéléphone suppriméteˊleˊphonesupprimeˊ »

Uitsluitend het gesaniteerde bericht wordt gebruikt voor het genereren van antwoorden door AI.

8. Verwerking door AI

Sommige antwoorden worden met behulp van AI gegenereerd.

De verwerking door AI volgt de volgende stroom:

Gebruikersbericht → Sanitatie → AI-verwerking → Antwoord → Bericht verwijderd

Belangrijke waarborgen:

• AI ontvangt uitsluitend gesaniteerde tekst;
• Ruwe berichten worden niet opgeslagen;
• iGlowly gebruikt chatgegevens niet om AI-modellen te trainen;
• AI-aanbieders verwerken verzoeken via API en ontvangen de identiteit van gebruikers niet;
• iGlowly maakt geen gebruikersprofielen aan op basis van gesprekken.
• De AI-verwerking gebeurt via API en is aan de zijde van iGlowly stateless; de inhoud van gesprekken wordt na het genereren van het antwoord niet opgeslagen.

9. Opgeslagen gegevens (uitsluitend anonieme analytiek)

De enige gegevens die door de iGlowly Assistant worden opgeslagen, bestaan uit niet-identificeerbare gestructureerde analyses, zoals:

• Gevraagd behandelingsthema (bijv. Botox, fillerinjecties)
• Gevraagd bezorgdheidsthema (bijv. rimpels, acne)
• Vraagtype (bijv. prijs, herstel, boekingsintentie)
• Gebruikte taal
• Datum en tijd van de interactie
• Identificator van de kliniek
• Anonieme sessie-identificator (willekeurig, tijdelijk)

Er worden geen vrije-tekstberichten opgeslagen.
Er worden geen persoonsidentificatoren opgeslagen.
Het systeem slaat geen message embeddings, gevectoriseerde tekst, noch enige vorm van semantische representatie van gesprekken op.

Deze gegevens worden uitsluitend gebruikt om anonieme vraaganalyses aan klinieken te verstrekken en om de Assistant te verbeteren.

10. Geen cookies, geen tracking, geen profilering

De iGlowly Assistant:

• Gebruikt geen trackingcookies;
• Gebruikt geen advertentiecookies;
• Gebruikt geen localStorage;
• Gebruikt geen persistente browseridentificatoren;
• Voert geen cross-site tracking uit;
• Maakt geen gebruikersprofielen aan;
• Volgt gebruikers niet over websites heen.

De Assistant gebruikt uitsluitend sessiegeheugen dat noodzakelijk is voor de technische werking.

11. Lokalisatie van hosting en gegevensverwerking

De infrastructuur van de iGlowly Assistant maakt gebruik van de volgende locaties voor hosting en gegevensverwerking:

Applicatie-infrastructuur en database

• Supabase (gehost op AWS-infrastructuur)
• Locatie van de database: Europese Unie (Duitsland)
• Doel: opslag van anonieme analytiek, applicatiedatabase, serverlogica en edge functions
• Chatberichten worden niet opgeslagen in de database
• De Supabase-infrastructuur omvat databasehosting, server-side logica (Edge Functions) en analytische opslag. Chatberichten worden in het geheugen verwerkt en worden niet persistent opgeslagen in de systemen van Supabase.

Sanitatie (maskering en anonimisering) van persoonsgegevens

• Microsoft Azure Cognitive Services
• Regio: West-Europa (Europese Unie)
• Doel: detectie en maskering van persoonsidentificatoren vóór verwerking door AI

Verwerking door AI

• OpenAI API
• Verwerkingslocatie: Verenigde Staten
• Uitsluitend gesaniteerde en niet-identificeerbare tekst wordt verzonden voor het genereren van antwoorden door AI
• Ruwe berichten worden niet opgeslagen door iGlowly

Distributie van het frontend-script

• Vercel (globale CDN)
• Doel: distributie van het widgetscript van de iGlowly Assistant (widget.js)
• Vercel levert uitsluitend statische frontendbestanden en slaat geen chatberichten of analytische gegevens op

Alle gegevensoverdrachten worden versleuteld via HTTPS/TLS.

12. Toegang tot gegevens

De toegang tot gegevens binnen het systeem van de iGlowly Assistant is als volgt beperkt:

Chatberichten

• Niet opgeslagen door iGlowly
• Niet toegankelijk voor klinieken
• Niet toegankelijk voor personeel van iGlowly
• Uitsluitend efemeer in het geheugen verwerkt
• AI-aanbieders ontvangen uitsluitend gesaniteerde tekst wanneer AI-verwerking noodzakelijk is

Persoonsgegevens

• Het systeem is ontworpen om geen persoonsgegevens te verzamelen of op te slaan
• Persoonsidentificatoren worden automatisch gemaskeerd vóór verwerking door AI
• Er worden geen persoonsgegevens opgeslagen in databases, logbestanden of analysesystemen

Anonieme analytiek

• Klinieken hebben uitsluitend toegang tot geaggregeerde analyses die verband houden met hun eigen kliniek (bijv. gevraagde onderwerpen, vraagtrends)
• Personeel van iGlowly kan toegang hebben tot analyses voor systeemonderhoud, beveiliging en verbetering van de dienstverlening
• De analyses bevatten uitsluitend gestructureerde, niet-identificeerbare gegevens en geen chattranscripten

Klinieken hebben geen toegang tot gesprekken, transcripten of de identiteit van bezoekers.

13. Beveiligingsmaatregelen

De iGlowly Assistant is ontworpen volgens beginselen van beveiliging en gegevensminimalisatie. De volgende technische en organisatorische maatregelen zijn geïmplementeerd:

Versleuteling

• Alle gegevens in transit worden versleuteld via HTTPS/TLS.
• Opgeslagen analytische gegevens worden in rust versleuteld door de hostingprovider.

Toegangscontrole

• Er wordt rolgebaseerde toegangscontrole toegepast.
• Elke kliniek heeft uitsluitend toegang tot haar eigen analytische gegevens.
• Administratieve toegang is beperkt tot uitsluitend daartoe gemachtigd personeel van iGlowly.

Gegevensisolatie

• Gegevens van klinieken zijn logisch gescheiden per kliniekidentificator.
• Klinieken hebben geen toegang tot gegevens die aan andere klinieken toebehoren.

Geen logging van berichten

• Chatberichten worden niet in applicatielogs geschreven.
• Chatberichten worden niet opgeslagen in monitoringsystemen.
• Chatberichten worden niet in back-ups opgenomen.

Beperking van de bewaartermijn

• Chatberichten worden niet bewaard.
• Anonieme analyses worden uitsluitend bewaard voor statistische analyse en verbetering van de dienstverlening.
• Technische beveiligingslogs worden gedurende een beperkte periode bewaard om misbruik te voorkomen en vervolgens verwijderd.
• Back-ups bevatten uitsluitend anonieme analytische gegevens en systeemconfiguratiegegevens, en bevatten geen chatberichten.

Sessiebeveiliging

• Sessietokens worden uitsluitend opgeslagen in sessionStorage (op tabbladniveau).
• Sessies verlopen automatisch na 15 minuten inactiviteit.
• Er worden geen persistente identificatoren in de browser opgeslagen.

Bescherming tegen misbruik en beveiliging

• Mechanismen voor snelheidsbeperking (rate limiting) worden toegepast op sessie- en systeemniveau.
• Er is geautomatiseerde bescherming geïmplementeerd tegen spam, geautomatiseerd misbruik en injectiepogingen.
• Het systeem is ontworpen om pogingen te voorkomen om verborgen systeemprompts of interne systeeminformatie te extraheren.

14. Beoogd gebruik en verboden gebruik

De iGlowly Assistant is bestemd om algemene en educatieve informatie te verstrekken over behandelingen en diensten van klinieken.

De Assistant is niet bestemd om te worden gebruikt voor het doorgeven van persoonsgegevens, medische dossiers of protected health information.

Klinieken en gebruikers worden erop gewezen dat de Assistant niet mag worden gebruikt als communicatiekanaal met patiënten, als medisch intakeformulier of als medisch dossiersysteem.

Alle persoonsgegevens die door gebruikers worden ingevoerd, worden automatisch gemaskeerd waar mogelijk en niet door het systeem opgeslagen.

15. HIPAA-positie

De iGlowly Assistant is zodanig ontworpen dat zij geen Protected Health Information (PHI) in persistente vorm creëert, ontvangt, opslaat of bewaart, en is opgezet om de opslag van individueel identificeerbare gezondheidsinformatie te voorkomen.

De inhoud van gesprekken wordt efemeer in het geheugen verwerkt, gesaniteerd vóór enige verwerking door AI, en wordt niet opgeslagen. Het systeem slaat geen patiëntidentificatoren, medische dossiers of gesprekstranscripten op.

Gelet op deze architectuur, en wanneer de dienst wordt gebruikt zoals bedoeld, wordt de iGlowly Assistant in het algemeen niet beschouwd als een systeem dat Protected Health Information (PHI) op persistente wijze creëert, ontvangt, bewaart of doorgeeft, en kan daarom mogelijk geen Business Associate Agreement (BAA) vereisen. Klinieken en covered entities dienen deze beoordeling te bevestigen bij hun eigen juridische of compliance-adviseurs.

iGlowly kan op verzoek aanvullende documentatie verstrekken over zijn Zero-PHI-architectuur, praktijken inzake gegevensverwerking en beveiligingsmaatregelen.

De iGlowly Assistant is een informatieve en educatieve softwaretool en is niet bedoeld om te worden gebruikt als systeem voor de overdracht van patiëntinformatie, medische dossiers of protected health information.

16. Samenvatting

De iGlowly Assistant is ontworpen volgens de volgende beginselen:

• Geen opslag van chatberichten
• Geen opslag van persoonsidentificatoren
• Geen opslag van medische dossiers
• Geen cookies of tracking
• Geen gebruikersprofielen
• Geen gespreksgeschiedenis
• Berichten worden efemeer verwerkt
• Berichten worden gesaniteerd vóór verwerking door AI
• Uitsluitend anonieme thematische analyses worden opgeslagen

Deze architectuur is ontworpen om de risico’s voor de persoonlijke levenssfeer te minimaliseren en de opslag van Protected Health Information te voorkomen.

‍