layout.layout.t1
Vertrouwde medische kwaliteit
Privacyverklaring – zample.com/nl
Wettelijk

Privacyverklaring

Laatst bijgewerkt: 12 mei 2026

Wij hechten groot belang aan uw persoonlijke levenssfeer en zetten ons actief in om de bescherming van uw persoonsgegevens te waarborgen wanneer u gebruikmaakt van onze diensten. In deze privacyverklaring leggen wij uit hoe wij uw persoonsgegevens verwerken, gebruiken en beschermen, en welke rechten u als betrokkene heeft.

1. Algemeen

Deze privacyverklaring beschrijft hoe wij, Zample B.V., ingeschreven bij de Kamer van Koophandel onder nummer 42033790, btw-nummer NL869402444B01, statutair gevestigd en kantoorhoudende aan de Sportlaan 524, 2566 ME ’s-Gravenhage, Nederland ("Zample B.V.", "ons", "onze", "wij"), uw persoonsgegevens verwerken wanneer u gebruikmaakt van onze diensten (de "Diensten").

Zample B.V. is zorgaanbieder in de zin van de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) en verwerkingsverantwoordelijke voor de verwerking van uw persoonsgegevens binnen de zorgdiensten die via onze website en het platform worden aangeboden. Zample B.V. heeft zich op 18 april 2026 gemeld bij het CIBG als nieuwe zorgaanbieder conform de Wet toetreding zorgaanbieders (Wtza). Uit de beoordeling door het CIBG (kenmerk Tza 145101) blijkt dat Zample B.V. niet onder de vergunningplicht valt. De meldplicht is voldaan.

Domeinstructuur: zample.nl is het Nederlandse verwijzingsdomein en leidt bezoekers door naar zample.com/nl. Het primaire domein waarop de dienstverlening plaatsvindt is zample.com. Deze privacyverklaring heeft betrekking op de verwerking van persoonsgegevens in verband met het gebruik van zample.nl en zample.com/nl.

De Nederlandse diensten zijn beschikbaar via zample.com/nl. Alle verwerkingen die verband houden met zowel zample.nl als zample.com/nl vallen onder deze privacyverklaring.

Zample B.V. is opgericht met als doel de diagnostiek- en rapportagedienst op de Nederlandse markt aan te bieden.

Wij bieden een digitaal gezondheidsplatform waarmee consumenten zelf laboratoriumdiagnostiek kunnen aanvragen, boeken en coördineren, waaronder bloedonderzoek en andere diagnostische testen, gezondheidsrapportages met een beoordeling door een bevoegde arts. Via de uitslagendienst zample™ kunt u uw gezondheidsgegevens over de tijd raadplegen.

De technische platform- en uitslagendienst zample™ (app.zample.com) wordt geëxploiteerd door Zample AB, ingeschreven in Zweden. Zample AB treedt ten opzichte van Zample B.V. op als verwerker in de zin van artikel 4 lid 8 AVG en verwerkt persoonsgegevens uitsluitend in opdracht van en volgens de schriftelijke instructies van Zample B.V. De grondslag hiervoor is een verwerkersovereenkomst overeenkomstig artikel 28 AVG, die vóór de start van de verwerking ondertekend dient te zijn door beide partijen. Voor verwerkingen die Zample AB als zelfstandig verwerkingsverantwoordelijke uitvoert (bijvoorbeeld bepaalde accountadministratie voor het platform), verwijzen wij naar de privacyverklaring van Zample AB, beschikbaar op het platform.

1.1 Pre-launch (wachtlijst)

zample.nl bevindt zich momenteel in een pre-launch fase. In deze fase kunnen er nog geen diensten worden afgenomen. U kunt zich aanmelden voor de wachtlijst via zample.nl, en wij verwerken uw e-mailadres om u te informeren zodra onze diensten beschikbaar zijn via zample.com/nl.

1.2 Lanceringsfase (zorgdiensten)

Zodra de Nederlandse diensten zijn gelanceerd via zample.com/nl, treedt Zample B.V. op als zorgaanbieder. Op dat moment verwerken wij persoonsgegevens (waaronder gezondheidsgegevens) om zorgdiensten te verlenen, in overeenstemming met de toepasselijke wetgeving en professionele verplichtingen.

1.3 Uitslagen en het zample™-platform

Wanneer onze diensten zijn gelanceerd, kunnen uitslagen digitaal beschikbaar worden gesteld via zample™ (het platform). Voor toegang tot uw uitslagen is een account vereist. U kunt inloggen met uw e-mailadres en wachtwoord, of via Google Sign-In. Informatie over het account en het platform is opgenomen in de relevante beleidsregels op het platform.

2. Verwerkingsverantwoordelijke en contactgegevens

Zample B.V. is verwerkingsverantwoordelijke voor de verwerking van uw persoonsgegevens in het kader van de Diensten.

Toelichting: Zample B.V. heeft een AVG-verantwoordelijke aangesteld die intern zorg draagt voor de naleving van de privacywetgeving. De eindverantwoordelijkheid voor de verwerking van persoonsgegevens ligt bij Zample B.V. als verwerkingsverantwoordelijke. Zample B.V. zal te zijner tijd beoordelen of aanstelling van een formeel onafhankelijke Functionaris voor Gegevensbescherming (FG) in de zin van artikel 37 AVG vereist of wenselijk is.

3. Doeleinden van de verwerking, bewaartermijn en rechtsgrondslag

Wij verwerken persoonsgegevens die u aan ons verstrekt in verband met aankopen, activering van een verwijzing, gebruik van zample™, het uitvoeren van onderzoeken, rapportage en contact met onze klantenservice. Daarnaast verwerken wij technische gegevens wanneer u onze website bezoekt.

3.1 Wachtlijst (pre-launch)

Doel: het beheren van de wachtlijst en het informeren van u zodra zample.nl is gelanceerd en aankopen mogelijk zijn.

Rechtsgrondslag: artikel 6, lid 1, sub a AVG (toestemming).

Bewaartermijn: tot de lancering en zes (6) maanden daarna, of totdat u uw toestemming intrekt of zich afmeldt (wat eerder is). Wij bewaren minimale registraties van toestemming en intrekking om naleving aan te tonen.

3.2 Aankopen uitvoeren en bestellingen administreren

Wij verwerken gegevens zoals naam, geboortedatum, contactgegevens en aankoopgeschiedenis om bestellingen en betalingen te administreren.

Betalingen worden verwerkt via Stripe (Stripe Payments Europe Ltd, Dublin), een gecertificeerde betalingsdienstverlener. Stripe verwerkt uw betaalgegevens (zoals kaartinformatie) rechtstreeks en in overeenstemming met de PCI-DSS-norm; Zample B.V. slaat geen volledige betaalgegevens op.

De beschikbare betaalmethoden zijn: iDEAL, bankoverschrijving (SEPA), creditcard, PayPal, Klarna, Apple Pay en Google Pay.

Platformtoegang en Google Sign-In: voor toegang tot uw account en uitslagen kunt u inloggen met uw e-mailadres en wachtwoord, of via Google Sign-In. Bij gebruik van Google Sign-In ontvangt Zample B.V. beperkte profielgegevens van Google (naam en e-mailadres) uitsluitend voor identificatie- en inlogdoeleinden.

Geen vergoeding door zorgverzekering: de diensten van Zample B.V. zijn uitsluitend directe consumentendiensten (direct-to-consumer). De kosten worden niet vergoed door de Nederlandse basisverzekering (Zvw), aanvullende zorgverzekering of enige andere zorgverzekeraar. Wij verwerken geen declaratiegegevens richting zorgverzekeraars.

Rechtsgrondslag: artikel 6, lid 1, sub b AVG (uitvoering van een overeenkomst). Voor de verwerking van het BSN: artikel 6, lid 1, sub c AVG in samenhang met de Wabvpz.

Bewaartermijn: zolang noodzakelijk voor de uitvoering van de overeenkomst; vervolgens ten minste zeven (7) jaar op grond van artikel 52 Algemene wet inzake rijksbelastingen en Boek 2 BW.

3.3 Leveren van zorgdiensten

Wij verwerken gezondheidsgegevens zoals gezondheidsverklaringen, uitslagen, onderzoeksresultaten, rapportages en medische beoordelingen om zorg te verlenen, te documenteren en te registreren in het medisch dossier, en om zorg waar nodig op te volgen.

Rechtsgrondslag: artikel 6, lid 1, sub c AVG (wettelijke verplichting) en artikel 9, lid 2, sub h AVG (verlening van gezondheidszorg), in samenhang met de Wgbo, Wkkgz en Wabvpz.

Bewaartermijn: medische dossiergegevens worden op grond van artikel 7:454 BW (Wgbo) gedurende twintig (20) jaar bewaard na de laatste wijziging, of langer indien redelijkerwijs noodzakelijk uit goed hulpverlenerschap.

3.4 Communicatie en ondersteuning

Rechtsgrondslag: artikel 6, lid 1, sub b AVG (overeenkomst) en artikel 6, lid 1, sub f AVG (gerechtvaardigd belang bij het leveren van klantenservice).

Bewaartermijn: ondersteuningsverzoeken worden tot vierentwintig (24) maanden na afhandeling bewaard, tenzij een langere bewaring wettelijk vereist is of de gegevens onderdeel uitmaken van het medisch dossier.

3.5 Marketing, beoordelingsuitnodigingen en marktonderzoek

Indien u daarvoor actief toestemming verleent, kunnen wij uw contactgegevens verwerken om marketing via e-mail en sms te verzenden en om uitnodigingen te versturen voor beoordelingen en klant- of marktonderzoeken. U kunt uw toestemming op elk moment intrekken.

Rechtsgrondslag: artikel 6, lid 1, sub a AVG (toestemming). Voor elektronische direct marketing geldt tevens artikel 11.7 Telecommunicatiewet.

3.6 Door werkgever gefinancierde gezondheidscheck en groepsrapportage

Indien een gezondheidscheck door uw werkgever wordt gefinancierd, kunnen wij aan de werkgever een rapport verstrekken met uitsluitend geaggregeerde resultaten op groepsniveau. Het rapport bevat geen individuele uitslagen of herleidbare persoonsgegevens.

In overeenstemming met de Arbeidsomstandighedenwet en de richtlijnen van de Autoriteit Persoonsgegevens ontvangt de werkgever nooit individuele gezondheidsgegevens van werknemers.

3.7 Website, analyse en verbetering

Rechtsgrondslag: artikel 6, lid 1, sub f AVG (gerechtvaardigd belang). Niet-noodzakelijke cookies worden uitsluitend gebruikt na uw toestemming conform artikel 11.7a Telecommunicatiewet.

Bewaartermijn: loggegevens maximaal twaalf (12) maanden, tenzij langer vereist voor beveiligingsonderzoek of wettelijke verplichtingen.

3.8 Nakomen van wettelijke verplichtingen

Rechtsgrondslag: artikel 6, lid 1, sub c AVG en, in voorkomende gevallen, artikel 9, lid 2, sub h AVG (Wgbo, Wkkgz, Wabvpz, AVG/UAVG, fiscale wetgeving).

4. Met wie delen wij uw persoonsgegevens?

Uw persoonsgegevens worden uitsluitend gedeeld met ontvangers voor zover noodzakelijk om onze diensten te leveren of wanneer wij daartoe wettelijk verplicht zijn.

Alleen bevoegd personeel dat de gegevens voor hun werk nodig heeft, heeft toegang tot bijzondere categorieën van persoonsgegevens.

4.1 Verwerker: Zample AB

De platform- en uitslagendienst zample™ wordt technisch geleverd door Zample AB (Zweden).

Zample AB verwerkt persoonsgegevens uitsluitend in opdracht van Zample B.V. op basis van een verwerkersovereenkomst overeenkomstig artikel 28 AVG.

Deze overeenkomst legt onder meer vast:

  • het onderwerp en de duur van de verwerking;
  • de aard en het doel van de verwerking;
  • de categorieën van persoonsgegevens en betrokkenen;
  • de beveiligingsmaatregelen;
  • de verplichtingen omtrent sub-verwerkers;
  • de procedure bij datalekken;
  • de auditrechten van Zample B.V.

De verwerkersovereenkomst wordt voor de aanvang van de verwerking ondertekend.

De verwerking door Zample AB vindt plaats binnen de EER; verwerking in Zweden vormt geen doorgifte naar een derde land in de zin van hoofdstuk V AVG.

4.2 Overige samenwerkingspartners en leveranciers

Wij kunnen persoonsgegevens delen met de volgende categorieën ontvangers:

  • laboratoria, klinieken en zorgaanbieders die monsterafname, analyses en onderzoeken uitvoeren;
  • artsen en medische consulenten die uitslagen beoordelen en rapportages verifiëren;
  • IT- en hostingleveranciers voor systemen, gegevensopslag en technische infrastructuur;
  • leveranciers van communicatiediensten (sms- en e-maildistributie);
  • betalingsdienstverleners: Stripe Payments Europe Ltd (Dublin) voor transactieverwerking;
  • Google Ireland Ltd voor Google Sign-In;
  • professionele adviseurs (accountants en juridisch adviseurs) onder geheimhoudingsplicht;
  • leveranciers voor beoordelingen en klantonderzoeken (zoals Trustpilot).

Wanneer externe leveranciers in onze opdracht persoonsgegevens verwerken, gebeurt dat op basis van een verwerkersovereenkomst overeenkomstig artikel 28 AVG.

Alle verwerkingsactiviteiten worden bijgehouden in het verwerkersregister van Zample B.V. conform artikel 30 AVG.

Bepaalde ontvangers, zoals laboratoria en andere zorgaanbieders, kunnen zelfstandig verwerkingsverantwoordelijke zijn voor de verwerkingen die zij in het kader van hun eigen activiteiten uitvoeren.

4.3 Autoriteiten

Wij kunnen persoonsgegevens verstrekken aan autoriteiten (waaronder de Inspectie Gezondheidszorg en Jeugd, de Autoriteit Persoonsgegevens en de Belastingdienst) wanneer wij daartoe wettelijk of op grond van een bevoegd besluit verplicht zijn.

4.4 Overdracht van de onderneming

In geval van een eventuele herstructurering, fusie of overdracht kunnen persoonsgegevens aan de verkrijgende partij worden overgedragen, in overeenstemming met de toepasselijke gegevensbeschermingswetgeving.

5. Hoe beschermen wij uw persoonsgegevens?

Wij nemen passende technische en organisatorische beveiligingsmaatregelen overeenkomstig artikel 32 AVG om uw persoonsgegevens te beschermen.

Als zorgaanbieder sluiten wij aan op de geldende normen voor informatiebeveiliging in de zorg, waaronder NEN 7510, NEN 7512 en NEN 7513.

Onze beveiligingsmaatregelen omvatten onder meer:

  • rolgebaseerde, op taken afgestemde toegangscontrole;
  • versleuteling van persoonsgegevens tijdens overdracht en opslag, waar passend;
  • veilige inlog- en authenticatie mechanismen;
  • bescherming door firewalls, intrusion prevention en continue monitoring;
  • regelmatige back-ups en procedures voor gegevensherstel;
  • interne richtlijnen, trainingen en geheimhoudingsverplichtingen voor personeel;
  • periodieke toetsing en evaluatie van onze beveiligingsmaatregelen.

Wij beschikken over een gedocumenteerde datalekprocedure om inbreuken in verband met persoonsgegevens te detecteren, intern te beoordelen, af te handelen en te melden.

De procedure omvat de volgende stappen:

  • Detectie en interne melding: medewerkers en verwerkers (waaronder Zample AB) zijn verplicht een vermoedelijke inbreuk onmiddellijk, en uiterlijk binnen 24 uur na ontdekking, intern te melden bij de AVG-verantwoordelijke van Zample B.V.
  • Beoordeling en documentatie: de AVG-verantwoordelijke beoordeelt de aard, omvang en het risico van de inbreuk en legt de bevindingen vast in het intern incidentenregister.
  • Melding aan de AP: indien de inbreuk een risico vormt voor de rechten en vrijheden van betrokkenen, meldt Zample B.V. dit binnen 72 uur na kennisname bij de Autoriteit Persoonsgegevens (artikel 33 AVG), ook als de beoordeling nog niet volledig is afgerond.
  • Melding aan betrokkenen: indien de inbreuk waarschijnlijk een hoog risico voor uw rechten en vrijheden met zich meebrengt, worden de betrokken personen zonder onnodige vertraging rechtstreeks geïnformeerd (artikel 34 AVG), met een heldere omschrijving van de inbreuk, de mogelijke gevolgen en de getroffen maatregelen.
  • Opvolging: na afhandeling evalueert Zample B.V. de oorzaak van de inbreuk en treft zo nodig aanvullende technische of organisatorische maatregelen om herhaling te voorkomen.

Zample AB is contractueel verplicht een inbreuk bij Zample B.V. te melden binnen 24 uur na ontdekking, zodat Zample B.V. de wettelijke meldtermijn van 72 uur kan naleven.

6. Waar worden uw persoonsgegevens verwerkt?

Als uitgangspunt verwerken wij uw persoonsgegevens binnen de Europese Economische Ruimte (EER).

Verwerking door Zample AB vindt plaats in Zweden, eveneens binnen de EER.

Indien in bepaalde gevallen persoonsgegevens buiten de EER worden doorgegeven, zorgen wij ervoor dat dit plaatsvindt via een goedgekeurd doorgifte mechanisme conform hoofdstuk V AVG, zoals een adequaatheidsbesluit van de Europese Commissie of modelcontractbepalingen (Standard Contractual Clauses).

Waar nodig voeren wij een Transfer Impact Assessment (TIA) uit en treffen wij aanvullende waarborgen.

7. Uw rechten

Als betrokkene kunt u uw rechten uitoefenen via [email protected].

Wij reageren uiterlijk binnen één (1) maand na ontvangst van uw verzoek.

Wij kunnen u om aanvullende informatie vragen om uw identiteit vast te stellen.

Als betrokkene heeft u de volgende rechten:

  • Recht op inzage (artikel 15 AVG): u heeft het recht bevestiging te verkrijgen of wij uw persoonsgegevens verwerken en om toegang tot die gegevens.
  • Recht op rectificatie (artikel 16 AVG): u kunt verzoeken onjuiste of onvolledige gegevens te corrigeren.
  • Recht op gegevenswissing (artikel 17 AVG): u kunt in bepaalde gevallen verzoeken uw gegevens te wissen. Dit recht geldt niet voor zover wij wettelijk verplicht zijn de gegevens te bewaren (bijv. Wgbo, Wkkgz, fiscale bewaarplichten).
  • Recht op beperking van de verwerking (artikel 18 AVG): u kunt in bepaalde situaties de verwerking laten beperken.
  • Recht op gegevensoverdraagbaarheid (artikel 20 AVG): bij verwerking op basis van toestemming of overeenkomst kunt u uw gegevens in een gestructureerd, gangbaar en machine-leesbaar formaat ontvangen.
  • Recht van bezwaar (artikel 21 AVG): u kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang, en altijd tegen verwerking voor direct marketing.
  • Recht om een klacht in te dienen: bij de Autoriteit Persoonsgegevens, Postbus 93374, 2509 AJ Den Haag (www.autoriteitpersoonsgegevens.nl).

Wij passen geen volledig geautomatiseerde besluitvorming toe die voor u rechtsgevolgen heeft of u in aanmerkelijke mate treft in de zin van artikel 22 AVG.

7.1 Specifiek over medische dossiergegevens en zorgklachten

Naast de AVG-rechten gelden voor uw medisch dossier de bijzondere regels van de Wgbo.

U heeft recht op inzage en een afschrift (artikel 7:456 BW) en kunt ons verzoeken het dossier te vernietigen (artikel 7:455 BW).

Klachten over de zorgverlening kunt u indienen via de Wkkgz-klachtenregeling van Zample B.V., beschikbaar op zample.com/nl en op te vragen via [email protected].

Wij streven ernaar uw klacht binnen zes weken af te handelen.

Indien uw klacht niet naar tevredenheid wordt opgelost, kunt u het geschil voorleggen aan de erkende geschilleninstantie waarbij Zample B.V. is aangesloten:

[naam erkende geschilleninstantie — wordt ingevuld zodra aansluiting is gerealiseerd].

Aansluiting bij een erkende geschilleninstantie is wettelijk verplicht op grond van artikel 18 Wkkgz en wordt door Zample B.V. voor de aanvang van de zorgverlening gerealiseerd.

De Inspectie Gezondheidszorg en Jeugd (IGJ) houdt toezicht op de naleving van de zorgwetgeving.

8. Cookies

Wij gebruiken cookies en soortgelijke technieken op zample.nl en zample.com/nl overeenkomstig de AVG en artikel 11.7a Telecommunicatiewet.

Technisch noodzakelijke cookies worden gebruikt om het platform correct te laten functioneren en vereisen geen toestemming.

Analytische cookies worden uitsluitend geplaatst nadat u daarvoor via de toestemmingsmodule (CookieFirst) op zample.com voorafgaande, geïnformeerde en specifieke toestemming heeft verleend.

Alle cookieverwerking vindt plaats op het hoofddomein zample.com.

U kunt uw toestemming op elk moment wijzigen of intrekken.

Zie voor meer informatie onze Cookieverklaring op zample.nl of zample.com/nl.

9. Informatiebeveiliging

Zample B.V. handelt in overeenstemming met de AVG, de UAVG, de Wgbo, de Wkkgz, de Wabvpz en de toepasselijke normen voor informatiebeveiliging in de zorg (waaronder NEN 7510).

Wij zijn gestart met het inrichten van de informatiebeveiliging conform NEN 7510 en voeren een systematisch en risicogebaseerd informatiebeveiligingsbeleid.

Een formele NEN 7510-audit is gepland als onderdeel van het kwaliteitsprogramma van Zample B.V. na de lancering van de dienstverlening.

10. Wijzigingen in deze privacyverklaring

Wij kunnen deze privacyverklaring aanpassen wanneer dat noodzakelijk is, bijvoorbeeld bij wetswijzigingen of bij wijzigingen in onze dienstverlening.

De meest recente versie is steeds beschikbaar op onze website.

Indien wij wezenlijke wijzigingen doorvoeren die van invloed zijn op de wijze waarop uw persoonsgegevens worden verwerkt, zullen wij u op passende wijze informeren voordat de wijzigingen van kracht worden.