Compliancy Statement

Ineke voldoet aan de transparantie-eisen zoals gesteld in de EU AI Act voor high-risk systemen, ondanks dat Ineke.AI gekwalificeerd wordt als een limited-risk systeem. Bij ieder klantcontact wordt automatisch een volledig gestructureerd rapport gegenereerd.

Dit rapport bestaat uit:

• — De oorspronkelijke klantvraag
• — De geadviseerde routering of prioritering
• — Een samenvatting van het gesprek
• — De volledige gesprekshistorie
• — Overige voor de zorginstelling relevante informatie

Klanten worden bij aanvang van het gesprek geïnformeerd dat zij spreken met Ineke, een digitale assistent. Het systeem verricht geen medische handelingen maar ondersteunt bij het verzamelen van informatie, beantwoorden van algemene vragen, doorverbinden naar de juiste afdeling, en het vastleggen van terugbelverzoeken.

Trainingsdata

• — Basistraining: publieke bronnen en algemene klantservice protocollen
• — Organisatie-specifieke training: kennisbanken, FAQ's, protocollen en richtlijnen
• — Ineke wordt niet getraind op individuele klantgegevens
• — Maatregelen om vooringenomenheid in de data te voorkomen

Gegevensverwerking tijdens gebruik

• — Klantgegevens worden uitsluitend verwerkt voor de duur van het gesprek
• — Strikte naleving van AVG-vereisten
• — Gen4 fungeert als verwerker, ElevenLabs als sub-verwerker
• — Sub-verwerkersovereenkomst tussen Gen4 en ElevenLabs waarborgt compliance

Procedures en documentatie

• — Data Protection Impact Assessment (DPIA) uitgevoerd
• — Formele procedures voor data-anonimisering en bewaartermijnen
• — Toegang tot gegevens alleen op “need to know” basis
• — Audit trails voor alle gegevensverwerkingen

• — Ineke ondersteunt bij klantcontact maar neemt geen definitieve beslissingen
• — Complexe vragen worden doorverbonden naar menselijke medewerkers
• — Bij twijfel of onduidelijkheid escaleert het systeem naar een medewerker
• — Elk gesprek resulteert in een transparant rapport voor review
• — Real-time monitoring van gesprekken mogelijk
• — Periodieke evaluatie van systeemprestaties

• — Introductietraining voor alle betrokken medewerkers
• — Gebruikershandleidingen en werkinstructies
• — Escalatieprocedures bij systeemfouten
• — Maandelijkse evaluatiesessies met gebruikers
• — Feedbackloop voor continue verbetering
• — Incidentmanagement procedures

Geïdentificeerde risico's

• — Verkeerde routering van klanten
• — Misinterpretatie van klantvragen
• — Onvolledige informatieverstrekking
• — Technische storingen tijdens gesprekken
• — Privacy risico's bij gegevensverwerking
• — Aandacht voor mogelijke effecten bij kwetsbare groepen

Mitigerende maatregelen

• — Fail-safe: bij twijfel doorverbinden naar medewerker
• — Redundante systemen voor continuïteit
• — Strikte encryptie en toegangscontrole
• — Continue monitoring en bijsturing
• — Per kwartaal hertests gepland

• — Uitgebreide testing op diverse gespreksscenario's
• — Validatie door domeinexperts
• — Real-time monitoring van systeemprestaties
• — Automatische alerting bij afwijkingen
• — Graceful degradation bij deelstoringen
• — Fallback naar menselijke medewerkers

Systeemarchitectuur

• — Gen4 orchestratie platform
• — ElevenLabs AI conversatie engine
• — Integratie met telefoniecentrales (VOIP/SIP)
• — Koppeling met patiëntensystemen (EPD/CRM)
• — Rapportage infrastructuur

Documentatie omvat

• — API specificaties en interfaces
• — Data flow diagrammen
• — Security architectuur
• — Disaster recovery procedures
• — Service Level Agreements

Bewaartermijnen

• — Gespreksdata alleen tijdens de sessie bewaard
• — Automatische verwijdering na rapportgeneratie
• — Geen permanente opslag van gesprekscontent
• — Logs voor monitoring: maximaal 24 uur

Metadata en audit trails

• — Logging van systeemgebeurtenissen (geen content)
• — Versienummers van gebruikte modellen
• — Tijdstempels en sessie-identificatie
• — Audit logs voor toegangscontrole
• — Verwerkingsregister conform AVG

• — End-to-end encryptie (TLS 1.3 in transit, AES-256 at rest)
• — Multi-factor authenticatie voor beheerders
• — Role-based access control (RBAC)
• — Hosting binnen Europese Economische Ruimte
• — Gescheiden omgevingen (productie/test/ontwikkeling)
• — DDoS bescherming

Verwerkersketen

• — Gen4 als primaire verwerker
• — ElevenLabs als sub-verwerker
• — Contractuele waarborgen voor gegevensbescherming
• — Geen verdere sub-verwerkers zonder toestemming

Verantwoordelijkheden

• — Zorginstelling: Verwerkingsverantwoordelijke
• — Gen4 B.V.: Verwerker (orchestratie en integratie)
• — ElevenLabs: Sub-verwerker (AI conversatie platform)

Bewaartermijnen

• — Gespreksinhoud: direct verwijderd na rapportage
• — Rapportages: direct na levering aan klant verwijderd
• — Logs voor monitoring: maximaal 24 uur
• — Metadata voor facturatie: 7 jaar conform wettelijke vereisten

Rechten betrokkenen

• — Informatie over de verwerking
• — Inzage in verwerkte gegevens (via zorginstelling)
• — Correctie en verwijdering
• — Beperking van verwerking
• — Dataportabiliteit
• — Bezwaar tegen verwerking
• — Klacht indienen bij de Autoriteit Persoonsgegevens

Contact

• — Gen4 B.V.: privacy@gen4.nl
• — Functionaris Gegevensbescherming: marco.alban@gen4.nl
• — Klachten: Autoriteit Persoonsgegevens

Ineke.AI valt onder MDR-risicoklasse I. Gen4 B.V. voldoet aan de toepasselijke verplichtingen voor fabrikanten van medische hulpmiddelen.

• — Kwaliteitsmanagementsysteem (QMS) met risicobeheer, klinische evaluatie, post-market surveillance en incidentenbeheer
• — Technische documentatie conform MDR-bijlagen II en III
• — Klinische evaluatie conform Artikel 61 en Bijlage XIV MDR
• — EU-conformiteitsverklaring conform Artikel 19 MDR
• — CE-markering conform Artikel 20 en Bijlage V MDR

UDI-systeem

• — UDI-DI: GEN4-INEKEAI-SAMD-001
• — UDI-PI: VX.X-BYYYYMMDD
• — Registratie in EUDAMED database