Vraag het aan VJP – Parkinsonfonds

24/7 betrouwbare informatie over parkinson

Maak kennis met de Virtuele James Parkinson. VJP is een digitale gids die helpt om de ziekte van Parkinson en onderzoeken naar de oorzaken beter te begrijpen. Of het nu gaat om eerste vragen, verdieping of het volgen van ontwikkelingen, VJP geeft heldere antwoorden op elk moment van de dag. En dat in 5 verschillende talen.

VJP is een initiatief van Stichting ParkinsonFonds, met als doel betrouwbare kennis toegankelijk te maken voor iedereen die met parkinson te maken heeft.

Privacyverklaring Virtual James Parkinson (VJP)
Versie 2.0 — 21 mei 2026 — Stichting ParkinsonFonds

1. Inleiding

Deze privacyverklaring beschrijft hoe Stichting ParkinsonFonds (hierna: "wij", "ons" of "SPF") omgaat met persoonsgegevens van personen die gebruik maken van Virtual James Parkinson (hierna: "de digital human"). Wij vinden de bescherming van jouw privacy belangrijk en gaan zorgvuldig met jouw gegevens om.

De digital human is een interactieve avatar waarmee je een gesprek kunt voeren via tekst en/of spraak. De techniek achter de digital human wordt geleverd door Hibou/x B.V. ("Hibou"), gevestigd te Amsterdam. Hibou treedt daarbij op als verwerker in de zin van de Algemene Verordening Gegevensbescherming (AVG) en verwerkt persoonsgegevens uitsluitend in onze opdracht en op onze instructie.

Wij raden je aan deze verklaring goed door te lezen voordat je een gesprek met de digital human aangaat.

2. Wat zijn persoonsgegevens?

Persoonsgegevens zijn alle gegevens die direct of indirect te herleiden zijn tot jou als persoon. Dat omvat duidelijke gegevens zoals een naam of e-mailadres, maar ook indirect identificerende gegevens zoals een IP-adres of een sessie-identificator (een willekeurig gegenereerde code waarmee jouw gesprek technisch wordt onderscheiden van andere gesprekken).

Sommige gegevens die wij in het kader van de digital human verwerken kun je beschouwen als gepseudonimiseerd: zij zijn niet direct herleidbaar tot jou, maar in combinatie met andere informatie zou herleiding mogelijk kunnen zijn. Wij behandelen die gegevens daarom als persoonsgegevens en passen de waarborgen van de AVG erop toe. Pseudonimisering is iets anders dan anonimisering: bij anonimisering is herleiding redelijkerwijs niet meer mogelijk, en gelden de regels van de AVG niet meer.

3. Je voert een gesprek met een AI-systeem

De digital human is een AI-systeem. De avatar die je ziet en de stem die je hoort worden door software gegenereerd; het is geen mens. De antwoorden worden gegenereerd door een onderliggend taalmodel.

Antwoorden van een AI-systeem zijn niet altijd feitelijk juist. Het kan voorkomen dat de digital human een antwoord geeft dat onvolledig, onnauwkeurig of niet meer actueel is. De digital human geeft algemene informatie en neemt geen formeel besluit, beoordeling of toezegging namens SPF. Gebruik de informatie daarom niet als enige bron voor belangrijke beslissingen en raadpleeg bij twijfel een deskundige.

Algemene informatieservice: Wij vragen je om geen gevoelige of bijzondere persoonsgegevens met de digital human te delen, zoals informatie over je gezondheid, religie, politieke opvattingen, seksuele leven, ras of strafrechtelijk verleden, en geen gegevens van anderen dan jezelf. Deel ook geen wachtwoorden, betalingsgegevens of andere geheime informatie. Hoe minder gegevens je deelt, hoe beter jouw privacy beschermd is.

VJP geeft geen persoonlijk advies — daarvoor moet je naar je eigen zorgverlener. Wel kan je VJP algemene informatie geven over de stand van zaken van onderzoek, behandelingen en symptomen. Het is dan ook niet nodig of de bedoeling om persoonlijke informatie te delen met VJP.

Je bent niet verplicht om persoonsgegevens te delen. Als je geen tekst of spraak invoert, kan de digital human je vraag niet beantwoorden, maar voor het overige heeft het achterwege laten van gegevens geen gevolgen voor jou.

4. Over ons

Verwerkingsverantwoordelijke voor de in deze verklaring beschreven verwerkingen is:

Stichting ParkinsonFonds
Hoofdweg 667
2131 BB Hoofddorp
KvK-nummer: 34103067
E-mailadres voor privacyvragen: info@parkinsonfonds.nl
Telefoonnummer: 023 554 07 55

Wij hebben geen Functionaris voor Gegevensbescherming aangesteld.

5. Voor welke doeleinden verwerken wij persoonsgegevens?

Wij verwerken jouw persoonsgegevens uitsluitend voor de doeleinden die hieronder staan beschreven. Per doel leggen we uit wat het doel inhoudt, welke gegevens wij verwerken, hoe lang wij de gegevens bewaren en op welke juridische basis wij ons baseren.

5.1 Het voeren van een gesprek met de digital human

Wat houdt dit doel in? Wanneer je een gesprek aangaat met de digital human, verwerken wij jouw input (tekst en/of spraak) zodat de digital human je een passend antwoord kan geven. Bij gebruik van spraak wordt jouw spraak in real-time omgezet in tekst. Voor de werking van de avatar, de stem en de interactie maken wij gebruik van de techniek van Hibou en haar sub-verwerkers.

Welke persoonsgegevens verwerken wij hiervoor?

De tekst die je intypt of inspreekt (gespreksinhoud).
Indien spraak is ingeschakeld: de spraakinvoer die wordt omgezet naar tekst (de spraakopname zelf wordt niet bewaard).
De avatarbeelden en het gegenereerde audio-output dat naar jou wordt teruggestuurd.
Een sessie-identificator: een willekeurig gegenereerde code waarmee jouw gesprek technisch wordt onderscheiden van andere gesprekken.
Het tijdstip van het begin en einde van het gesprek.
De tijdsduur van het gesprek.

Hoe lang bewaren wij deze gegevens? Gespreksinhoud (transcripten) en sessie-identificatoren bewaren wij maximaal 15 maanden, waarna ze automatisch worden verwijderd. Wij hanteren deze bewaartermijn zodat wij volledige jaaranalyses (12 maanden) kunnen opstellen en daarnaast een kwartaal van het daaropvolgende jaar (Q1) kunnen meenemen voor trendvergelijking en rapportagedoeleinden. Real-time spraak- en videostromen worden niet opgeslagen; zij worden alleen gebruikt om het gesprek mogelijk te maken.

Wat is de juridische basis? De juridische basis is ons gerechtvaardigd belang (artikel 6 lid 1 onder f AVG). Ons concrete belang is: het laagdrempelig en buiten kantooruren beschikbaar maken van algemene informatie over de ziekte van Parkinson aan onze bezoekers. Wij hebben dit belang afgewogen tegen jouw privacybelangen en hebben passende waarborgen getroffen, zoals beperkte bewaartermijnen, scheiding tussen gespreksinhoud en technische gegevens en de uitsluitingen die in deze verklaring staan beschreven. Door het gesprek te starten kies je ervoor de digital human te gebruiken. Dit is geen toestemming in de zin van de AVG. Je hebt het recht om op elk moment bezwaar te maken tegen deze verwerking; zie paragraaf 11.

Bijzondere persoonsgegevens (alleen indien expliciet zo bedoeld): Wij beogen via de digital human geen bijzondere categorieën persoonsgegevens in de zin van artikel 9 lid 1 AVG te verwerken, zoals gegevens over je gezondheid, religie, levensovertuiging, politieke opvattingen, lidmaatschap van een vakbond, seksuele leven of seksuele gerichtheid, ras of etnische afkomst, of strafrechtelijk verleden. Wij vragen je in de pre-chat notice en in paragraaf 3 om dergelijke gegevens niet met de digital human te delen.

Indien je desondanks zelf, actief en uit eigen beweging bijzondere persoonsgegevens met de digital human deelt (bijvoorbeeld door deze in te typen of in te spreken) geldt het volgende. Door deze gegevens vrijwillig in te voeren, in de wetenschap dat de digital human jouw input registreert, opslaat en kan analyseren zoals in deze verklaring is beschreven, beschouwen wij die gegevens als kennelijk door jou openbaar gemaakt jegens SPF en de in paragraaf 7 genoemde verwerker en sub-verwerkers. Wij baseren de verwerking van dergelijke gegevens op de uitzondering van artikel 9 lid 2 onder e AVG.

Wij gebruiken deze gegevens niet voor andere doeleinden dan in paragraaf 5 zijn beschreven, en wij verwijderen of anonimiseren ze conform de bewaartermijnen in paragraaf 9. Wij hebben passende waarborgen getroffen om de risico's van een onbedoelde verwerking van bijzondere gegevens te beperken: de waarschuwingen vooraf, de strikte toegangsbeperking tot transcripten, de korte bewaartermijnen en het verbod op gebruik voor profilering of marketing.

5.2 Technisch functioneren en troubleshooting

Wat houdt dit doel in? Wij en Hibou verwerken technische gegevens om de digital human goed te laten functioneren, om storingen op te sporen en op te lossen en om de stabiliteit en beschikbaarheid van de dienst te bewaken.

Welke persoonsgegevens verwerken wij hiervoor?

IP-adres.
Browsertype, besturingssysteem en apparaattype (user-agent).
Tijdstip van bezoek.
Interactielogs en foutmeldingen.

Hoe lang bewaren wij deze gegevens? IP-adressen en serverlogbestanden worden bewaard gedurende maximaal 15 maanden, in lijn met het beveiligings- en logbeleid van Hibou en haar hostingprovider.

Wat is de juridische basis? Ons gerechtvaardigd belang bij een goed functionerende, veilige en stabiele dienst (artikel 6 lid 1 onder f AVG).

5.3 Kwaliteitsborging en verbetering van onze dienst

Wat houdt dit doel in? Wij analyseren gespreksinhoud en interactiegegevens om de kwaliteit van de antwoorden binnen onze eigen deployment te bewaken, om te begrijpen welke vragen jij en andere gebruikers stellen, en om de kennisbank, de instructies en de werking van onze digital human in de loop van de tijd te verbeteren. Deze analyse vindt plaats binnen onze deployment en is niet bedoeld om jou als individu te volgen of een persoonlijk profiel op te bouwen.

Welke persoonsgegevens verwerken wij hiervoor? Gespreksinhoud, sessie-identificatoren, tijdstip en interactielogs zoals beschreven onder paragraaf 5.1 en 5.2.

Hoe lang bewaren wij deze gegevens? Maximaal 15 maanden in geïdentificeerde of gepseudonimiseerde vorm. Daarna worden de gegevens verwijderd of geanonimiseerd (zie paragraaf 5.5).

Wat is de juridische basis? Ons gerechtvaardigd belang bij het verbeteren van de kwaliteit en bruikbaarheid van onze deployment (artikel 6 lid 1 onder f AVG). Wij hebben een afweging gemaakt waarbij dit belang is afgewogen tegen jouw privacybelangen, en hebben passende waarborgen getroffen zoals beperkte toegang, korte bewaartermijnen en geen gebruik voor profilering of marketing.

5.4 Beveiliging en logging

Wat houdt dit doel in? Wij verwerken bepaalde gegevens om de digital human te beveiligen tegen misbruik, fraude en ongeoorloofde toegang, en om eventuele beveiligingsincidenten te kunnen detecteren en onderzoeken. Daarbij kan ook geautomatiseerde inhoudsfiltering plaatsvinden om misbruik en onrechtmatige output te voorkomen.

Welke persoonsgegevens verwerken wij hiervoor? IP-adres, sessie-identificator, tijdstip, technische gegevens over jouw apparaat en (indien relevant) gespreksinhoud die door beveiligingsfilters wordt geactiveerd.

Hoe lang bewaren wij deze gegevens? Beveiligingslogs worden bewaard zo lang als nodig is voor het beveiligingsdoel, met een maximum van 15 maanden.

Wat is de juridische basis? Ons gerechtvaardigd belang bij de beveiliging van de dienst en de bescherming van onze rechten en die van anderen (artikel 6 lid 1 onder f AVG).

5.5 Anonimisering

Wat houdt dit doel in? Wij geven Hibou opdracht om persoonsgegevens te anonimiseren wanneer deze niet langer nodig zijn voor de doelen onder paragraaf 5.1 tot en met 5.4, of uiterlijk aan het einde van de toepasselijke bewaartermijn. Anonimisering betekent dat de gegevens zo worden bewerkt dat jij er niet meer uit te identificeren bent, ook niet in combinatie met andere informatie.

Het anonimiseren zelf is een verwerking van persoonsgegevens en vindt plaats in onze opdracht en op onze instructie; Hibou treedt daarbij op als verwerker. Pas nadat de gegevens daadwerkelijk anoniem zijn geworden, zijn het geen persoonsgegevens meer in de zin van de AVG. Vanaf dat moment vallen zij buiten de reikwijdte van deze verklaring. Hibou mag deze niet-persoonsgegevens vervolgens gebruiken voor de verbetering van haar eigen platform en dienstverlening; zij mag deze gegevens niet doorleveren of verkopen aan derden zonder onze voorafgaande schriftelijke toestemming.

Welke persoonsgegevens verwerken wij hiervoor? De anonimiseringsbewerking wordt toegepast op gespreksinhoud en interactielogs zoals beschreven onder de voorgaande doeleinden.

Hoe lang bewaren wij deze gegevens? De oorspronkelijke persoonsgegevens worden na anonimisering verwijderd. De geanonimiseerde data zelf zijn geen persoonsgegevens meer en kennen daarom geen bewaartermijn onder de AVG.

Wat is de juridische basis? Voor het anonimiseren zelf: ons gerechtvaardigd belang bij een doelmatige verwijdering en bij doorlopende kwaliteitsverbetering van een dienst die ook andere gebruikers ten goede komt (artikel 6 lid 1 onder f AVG). Wij hebben met Hibou afgesproken dat de anonimisering aantoonbaar voldoet aan de drie criteria die het Europees Comité voor gegevensbescherming hanteert: het mag niet meer mogelijk zijn om individuele personen te isoleren, gegevens aan elkaar te koppelen of identificerende kenmerken af te leiden.

5.6 Cookies en sessie-onderhoud

Voor de werking van de digital human plaatsen wij een functioneel cookie of vergelijkbare technologie waarmee jouw sessie technisch wordt onderhouden. Dit is noodzakelijk om het gesprek tussen jou en de digital human goed te laten verlopen. Voor cookies die niet strikt noodzakelijk zijn (bijvoorbeeld voor analyse of marketing) vragen wij vooraf jouw toestemming via een cookie-banner. Meer informatie vind je in onze cookieverklaring.

6. Geautomatiseerde besluitvorming en profilering

De digital human genereert geautomatiseerd antwoorden op basis van een AI-systeem. Deze antwoorden vormen geen besluiten met rechtsgevolg of een vergelijkbaar aanmerkelijk gevolg voor jou in de zin van artikel 22 AVG. Wij gebruiken de digital human niet om automatisch besluiten over jou te nemen, geen profielen op te bouwen en geen voorspellingen over jouw gedrag te doen.

Wanneer een vraag of verzoek tot een formele beoordeling, aanvraag of besluit zou kunnen leiden, verwijst de digital human jou naar het juiste contactkanaal binnen onze organisatie.

7. Met wie delen wij jouw gegevens?

Wij delen jouw persoonsgegevens uitsluitend met de volgende categorieën ontvangers, en alleen voor zover dat nodig is voor de hierboven beschreven doelen.

Hibou als verwerker. Hibou levert de techniek van de digital human en verwerkt jouw gegevens uitsluitend in onze opdracht en op basis van een verwerkersovereenkomst die voldoet aan artikel 28 AVG.

Sub-verwerkers van Hibou. Hibou maakt voor de werking van de digital human gebruik van sub-verwerkers. Deze zijn ingedeeld in de volgende functionele categorieën:

Aanbieders van avatar- en spraakverwerking, voor het genereren van de avatar en de stem.
Aanbieders van real-time audio- en videocommunicatie, voor het mogelijk maken van het real-time gesprek.
Aanbieders van databasetechnologie, voor het opslaan van transcripten en sessiegegevens.
Aanbieders van hosting- en server-infrastructuur.
Aanbieders van technische implementatie en onderhoud.

Met al deze partijen heeft Hibou afspraken gemaakt conform artikel 28 AVG. Een actuele lijst met namen van sub-verwerkers, hun functie, hun vestigingsland en de toepasselijke doorgiftewaarborg is op verzoek beschikbaar via het in paragraaf 4 genoemde contactadres.

Andere ontvangers. Daarnaast kunnen wij jouw gegevens, voor zover noodzakelijk en juridisch verplicht, delen met overheidsinstanties, toezichthouders, opsporingsdiensten of (juridische) adviseurs.

Wij verkopen jouw gegevens nooit aan derden.

8. Doorgifte buiten de Europese Economische Ruimte

Transcripten en sessiegegevens worden opgeslagen op servers binnen de Europese Economische Ruimte (EER — de EU-lidstaten plus IJsland, Noorwegen en Liechtenstein). Voor specifieke onderdelen van de digital human, met name de real-time spraak- en avatarverwerking, kan jouw gespreksinhoud tijdelijk worden verwerkt door dienstverleners buiten de EER, waaronder de Verenigde Staten.

Voor deze doorgifte maken wij gebruik van de volgende waarborgen:

Een adequaatheidsbesluit van de Europese Commissie, waaronder het EU–US Data Privacy Framework (artikel 45 AVG), voor zover de ontvangende partij daarbij is aangesloten.
De door de Europese Commissie vastgestelde standaardcontractbepalingen — dit zijn Europese modelcontracten die een passend beschermingsniveau borgen wanneer een adequaatheidsbesluit ontbreekt (artikel 46 lid 2 onder c AVG).

9. Hoe lang bewaren wij jouw gegevens?

De bewaartermijnen per categorie persoonsgegevens staan vermeld bij de afzonderlijke doeleinden in paragraaf 5. Samengevat:

Gespreksinhoud (transcripten) en sessie-identificatoren: maximaal 15 maanden, waarna automatische verwijdering plaatsvindt.
IP-adressen en serverlogbestanden: maximaal 15 maanden.
Beveiligingslogs: maximaal 15 maanden.
Geanonimiseerde data: zonder beperking (geen persoonsgegevens meer).

Indien wij wettelijk verplicht zijn gegevens langer te bewaren, doen wij dat conform die verplichting en met passende beveiligingsmaatregelen.

10. Hoe beschermen wij jouw gegevens?

Wij hebben samen met Hibou passende technische en organisatorische maatregelen getroffen om jouw gegevens te beschermen tegen verlies, ongeoorloofde toegang, wijziging of openbaarmaking, conform artikel 32 AVG. De belangrijkste maatregelen zijn:

Versleutelde verbindingen (HTTPS/TLS) tussen jouw apparaat en onze systemen.
Versleuteling van opgeslagen gegevens ("encryption at rest").
Logische scheiding tussen gespreksinhoud en technische bezoekersgegevens, zodat IP-adressen en transcripten niet aan elkaar worden gekoppeld; in uitzonderlijke gevallen, zoals een beveiligingsincident, kan beperkte koppeling plaatsvinden onder strikte autorisatievoorwaarden.
Toegangsbeheer op de databaselaag (Row Level Security — een techniek waarbij toegang per rij in de database wordt afgedwongen, zodat een gebruiker alleen ziet wat hij mag zien).
Toegang voor uitsluitend daartoe geautoriseerde medewerkers, gebonden aan geheimhouding.
Logging en monitoring voor het detecteren van beveiligingsincidenten.

Indien zich onverhoopt een datalek voordoet, handelen wij conform onze interne procedure en, voor zover wettelijk vereist, melden wij dit aan de Autoriteit Persoonsgegevens en aan jou.

11. Jouw rechten

Op grond van de AVG heb jij verschillende rechten met betrekking tot jouw persoonsgegevens. Hieronder lichten wij ze toe.

Recht op inzage: je kunt opvragen welke gegevens wij van jou verwerken.
Recht op rectificatie: je kunt onjuiste gegevens laten corrigeren.
Recht op verwijdering: in bepaalde gevallen kun je vragen om verwijdering van jouw gegevens.
Recht op beperking van de verwerking: in bepaalde gevallen kun je vragen om de verwerking tijdelijk stop te zetten.
Recht op overdraagbaarheid: voor zover dit recht in jouw situatie geldt, kun je vragen om jouw gegevens in een gangbaar elektronisch formaat te ontvangen of rechtstreeks aan een andere partij over te dragen. Dit recht geldt alleen wanneer de verwerking is gebaseerd op toestemming of overeenkomst en geautomatiseerd plaatsvindt.
Recht om niet te worden onderworpen aan een uitsluitend geautomatiseerd besluit met rechtsgevolg of vergelijkbaar aanmerkelijk gevolg.

Recht van bezwaar. Je hebt het recht om bezwaar te maken tegen verwerkingen die wij baseren op gerechtvaardigd belang of, indien van toepassing, op een taak van algemeen belang. Als je bezwaar maakt, staken wij de verwerking, tenzij wij dwingende gerechtvaardigde gronden hebben die zwaarder wegen dan jouw belangen, rechten en vrijheden. Een bezwaar kun je sturen naar klacht@parkinsonfonds.nl. Dit recht wordt ook afzonderlijk onder de aandacht gebracht voorafgaand aan het gesprek (zie de pre-chat notice).

Recht om toestemming in te trekken. Voor zover wij jouw gegevens verwerken op basis van toestemming, kun je deze toestemming op elk moment intrekken. Het intrekken van toestemming heeft geen terugwerkende kracht: verwerkingen die vóór de intrekking hebben plaatsgevonden blijven rechtmatig.

Hoe oefen je jouw rechten uit? Je kunt jouw rechten uitoefenen door een verzoek te sturen naar info@parkinsonfonds.nl. Wij reageren binnen één maand na ontvangst van jouw verzoek. In bijzondere gevallen kunnen wij deze termijn met twee maanden verlengen; in dat geval informeren wij jou daarover binnen de eerste maand. Om jouw verzoek te kunnen behandelen kunnen wij jou vragen om aanvullende informatie ter verificatie van jouw identiteit.

Recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Als je vindt dat wij niet zorgvuldig met jouw gegevens omgaan, kun je een klacht indienen bij de Autoriteit Persoonsgegevens. Wij stellen het op prijs als je eerst contact met ons opneemt, zodat wij samen tot een oplossing kunnen komen.

12. Hoe komen wij aan jouw gegevens?

Wij ontvangen jouw gegevens in beginsel rechtstreeks van jou: jij beslist wat je tegen de digital human zegt of typt, en jouw apparaat verstrekt automatisch enkele technische gegevens (zoals IP-adres en browserinformatie) om de verbinding mogelijk te maken.

13. Minderjarigen

De digital human is in beginsel niet gericht op kinderen onder de 16 jaar. Indien wij weten of vermoeden dat een gebruiker jonger is dan 16 jaar, verwerken wij diens gegevens slechts indien wij toestemming hebben van een ouder of wettelijk vertegenwoordiger, dan wel op basis van een andere passende grondslag onder de AVG. Bij gebruik van gerechtvaardigd belang als grondslag wegen wij de belangen van kinderen, indien zij redelijkerwijs tot de gebruikers behoren, met bijzondere aandacht mee in onze belangenafweging. Wij hanteren in dat geval kortere bewaartermijnen, vermijden contextueel bepaalde gevoelige onderwerpen en geven uitleg in eenvoudige taal.

14. Wijzigingen in deze verklaring

Wij kunnen deze privacyverklaring van tijd tot tijd aanpassen, bijvoorbeeld als de werking van de digital human verandert of als de wet daarom vraagt. Bij wezenlijke wijzigingen informeren wij gebruikers via onze website. Bovenaan deze verklaring vind je de versie en de datum van de meest recente wijziging.

15. Contact

Heb je vragen over deze privacyverklaring of over de manier waarop wij met jouw gegevens omgaan? Neem dan contact op via:

Stichting ParkinsonFonds
Hoofdweg 667, 2131 BB Hoofddorp
info@parkinsonfonds.nl
023 554 07 55

Privacy Statement Virtual James Parkinson (VJP)
Version 2.0 — 21 May 2026 — Stichting ParkinsonFonds

This document is a translation of the original document (in Dutch) and is provided for convenience. In case of any differences, the original language version will apply.

1. Introduction

This privacy statement describes how Stichting ParkinsonFonds (hereinafter: "we", "us" or "SPF") handles the personal data of people who use Virtual James Parkinson (hereinafter: "the digital human"). We consider the protection of your privacy important and handle your data with care.

The digital human is an interactive avatar with which you can have a conversation via text and/or speech. The technology behind the digital human is provided by Hibou/x B.V. ("Hibou"), based in Amsterdam. Hibou acts as a processor within the meaning of the General Data Protection Regulation (GDPR) and processes personal data exclusively on our instructions.

We recommend that you read this statement carefully before starting a conversation with the digital human.

2. What is personal data?

Personal data is any information that is directly or indirectly identifiable to you as a person. This includes obvious data such as a name or email address, but also indirectly identifying data such as an IP address or session identifier (a randomly generated code by which your conversation is technically distinguished from other conversations).

Some data we process in the context of the digital human can be considered pseudonymised: it is not directly identifiable to you, but combined with other information identification could be possible. We therefore treat such data as personal data and apply the GDPR safeguards to it. Pseudonymisation is different from anonymisation: with anonymisation, identification is no longer reasonably possible, and the GDPR rules no longer apply.

3. You are having a conversation with an AI system

The digital human is an AI system. The avatar you see and the voice you hear are generated by software; it is not a human. Answers are generated by an underlying language model.

Answers from an AI system are not always factually correct. The digital human may sometimes give an answer that is incomplete, inaccurate or no longer current. The digital human provides general information and does not make formal decisions, assessments or commitments on behalf of SPF. Therefore, do not use the information as the sole source for important decisions, and consult an expert if in doubt.

General information service: We ask you not to share sensitive or special categories of personal data with the digital human, such as information about your health, religion, political opinions, sexual life, race or criminal history, and no data of others than yourself. Also do not share passwords, payment details or other secret information. The less data you share, the better your privacy is protected.

VJP does not give personal advice — for that you should consult your own healthcare provider. You can ask VJP general information about the state of research, treatments and symptoms. It is therefore neither necessary nor intended to share personal information with VJP.

You are not obliged to share personal data. If you do not enter any text or speech, the digital human cannot answer your question, but otherwise not providing data has no consequences for you.

4. About us

The data controller for the processing described in this statement is:

Stichting ParkinsonFonds
Hoofdweg 667
2131 BB Hoofddorp
Chamber of Commerce number: 34103067
Email address for privacy questions: info@parkinsonfonds.nl
Telephone: +31 23 554 07 55

We have not appointed a Data Protection Officer.

5. For what purposes do we process personal data?

We process your personal data exclusively for the purposes described below. For each purpose we explain what it entails, what data we process, how long we retain the data and on what legal basis we rely.

5.1 Conducting a conversation with the digital human

What does this purpose entail? When you start a conversation with the digital human, we process your input (text and/or speech) so that the digital human can give you a suitable response. When using speech, your speech is converted to text in real time. For the functioning of the avatar, the voice and the interaction we use the technology of Hibou and its sub-processors.

Which personal data do we process for this?

The text you type or speak (conversation content).
If speech is enabled: the speech input that is converted to text (the speech recording itself is not retained).
The avatar images and generated audio output sent back to you.
A session identifier: a randomly generated code by which your conversation is technically distinguished from other conversations.
The start and end time of the conversation.
The duration of the conversation.

How long do we retain this data? Conversation content (transcripts) and session identifiers are retained for a maximum of 15 months, after which they are automatically deleted. We apply this retention period so that we can perform full annual analyses (12 months) plus include a quarter of the following year (Q1) for trend comparison and reporting. Real-time speech and video streams are not stored; they are only used to enable the conversation.

What is the legal basis? The legal basis is our legitimate interest (Article 6(1)(f) GDPR). Our specific interest is: making general information about Parkinson's disease accessible in a low-threshold way and outside office hours to our visitors. We have weighed this interest against your privacy interests and have implemented appropriate safeguards, such as limited retention periods, separation between conversation content and technical data, and the exclusions described in this statement. By starting the conversation, you choose to use the digital human. This is not consent within the meaning of the GDPR. You have the right to object to this processing at any time; see section 11.

Special categories of personal data (only if explicitly intended): We do not intend to process via the digital human any special categories of personal data within the meaning of Article 9(1) GDPR, such as data on your health, religion, philosophical beliefs, political opinions, trade union membership, sexual life or sexual orientation, race or ethnic origin, or criminal history. In the pre-chat notice and in section 3 we ask you not to share such data with the digital human.

If you nevertheless actively and voluntarily share special categories of personal data with the digital human (for example by typing or speaking them), the following applies. By voluntarily entering such data, knowing that the digital human records, stores and may analyse your input as described in this statement, we consider that data to have been manifestly made public by you towards SPF and the processor and sub-processors mentioned in section 7. We base the processing of such data on the exception of Article 9(2)(e) GDPR.

We do not use this data for purposes other than those described in section 5, and we delete or anonymise it in accordance with the retention periods in section 9. We have implemented appropriate safeguards to limit the risks of unintended processing of special data: the prior warnings, the strict access restriction to transcripts, the short retention periods and the prohibition of use for profiling or marketing.

5.2 Technical functioning and troubleshooting

What does this purpose entail? We and Hibou process technical data to ensure the digital human functions properly, to detect and resolve issues and to monitor the stability and availability of the service.

Which personal data do we process for this?

IP address.
Browser type, operating system and device type (user agent).
Time of visit.
Interaction logs and error messages.

How long do we retain this data? IP addresses and server log files are retained for a maximum of 15 months, in line with the security and logging policy of Hibou and its hosting provider.

What is the legal basis? Our legitimate interest in a well-functioning, secure and stable service (Article 6(1)(f) GDPR).

5.3 Quality assurance and improvement of our service

What does this purpose entail? We analyse conversation content and interaction data to monitor the quality of answers within our own deployment, to understand what questions you and other users ask, and to improve the knowledge base, instructions and operation of our digital human over time. This analysis takes place within our deployment and is not intended to track you as an individual or to build a personal profile.

Which personal data do we process for this? Conversation content, session identifiers, timestamp and interaction logs as described in sections 5.1 and 5.2.

How long do we retain this data? A maximum of 15 months in identified or pseudonymised form. After that, the data is deleted or anonymised (see section 5.5).

What is the legal basis? Our legitimate interest in improving the quality and usability of our deployment (Article 6(1)(f) GDPR). We have made an assessment in which this interest was weighed against your privacy interests, and have implemented appropriate safeguards such as restricted access, short retention periods and no use for profiling or marketing.

5.4 Security and logging

What does this purpose entail? We process certain data to secure the digital human against misuse, fraud and unauthorised access, and to detect and investigate any security incidents. Automated content filtering may also take place to prevent misuse and unlawful output.

Which personal data do we process for this? IP address, session identifier, timestamp, technical data about your device and (if relevant) conversation content triggered by security filters.

How long do we retain this data? Security logs are retained for as long as necessary for the security purpose, up to a maximum of 15 months.

What is the legal basis? Our legitimate interest in the security of the service and the protection of our rights and those of others (Article 6(1)(f) GDPR).

5.5 Anonymisation

What does this purpose entail? We instruct Hibou to anonymise personal data when it is no longer needed for the purposes under sections 5.1 through 5.4, or no later than at the end of the applicable retention period. Anonymisation means that the data is processed in such a way that you can no longer be identified from it, even in combination with other information.

The anonymisation itself is a processing of personal data and takes place on our instructions; Hibou acts as a processor. Only after the data has actually become anonymous is it no longer personal data within the meaning of the GDPR. From that moment on, it falls outside the scope of this statement. Hibou may then use these non-personal data for the improvement of its own platform and services; it may not pass on or sell this data to third parties without our prior written consent.

Which personal data do we process for this? The anonymisation operation is applied to conversation content and interaction logs as described under the preceding purposes.

How long do we retain this data? The original personal data is deleted after anonymisation. The anonymised data itself is no longer personal data and therefore has no retention period under the GDPR.

What is the legal basis? For the anonymisation itself: our legitimate interest in efficient deletion and in continuous quality improvement of a service that also benefits other users (Article 6(1)(f) GDPR). We have agreed with Hibou that the anonymisation demonstrably meets the three criteria used by the European Data Protection Board: it must no longer be possible to single out individuals, to link data, or to derive identifying characteristics.

5.6 Cookies and session maintenance

For the operation of the digital human we place a functional cookie or similar technology to technically maintain your session. This is necessary for the conversation between you and the digital human to proceed properly. For cookies that are not strictly necessary (for example for analytics or marketing) we ask for your prior consent via a cookie banner. More information can be found in our cookie statement.

6. Automated decision-making and profiling

The digital human generates automated answers based on an AI system. These answers do not constitute decisions with legal effect or similarly significant effect on you within the meaning of Article 22 GDPR. We do not use the digital human to make automated decisions about you, to build profiles, or to predict your behaviour.

When a question or request could lead to a formal assessment, application or decision, the digital human will refer you to the appropriate contact channel within our organisation.

7. With whom do we share your data?

We share your personal data exclusively with the following categories of recipients, and only to the extent necessary for the purposes described above.

Hibou as processor. Hibou provides the technology of the digital human and processes your data exclusively on our instructions and on the basis of a processor agreement that complies with Article 28 GDPR.

Hibou's sub-processors. Hibou uses sub-processors for the operation of the digital human. These are classified into the following functional categories:

Providers of avatar and speech processing, for generating the avatar and the voice.
Providers of real-time audio and video communication, to enable the real-time conversation.
Providers of database technology, for storing transcripts and session data.
Providers of hosting and server infrastructure.
Providers of technical implementation and maintenance.

Hibou has made agreements with all these parties in accordance with Article 28 GDPR. A current list of names of sub-processors, their function, their country of establishment and the applicable transfer safeguard is available on request via the contact address mentioned in section 4.

Other recipients. In addition, we may, to the extent necessary and legally required, share your data with government authorities, supervisors, investigative services or (legal) advisors.

We never sell your data to third parties.

8. Transfers outside the European Economic Area

Transcripts and session data are stored on servers within the European Economic Area (EEA — the EU Member States plus Iceland, Norway and Liechtenstein). For specific components of the digital human, in particular real-time speech and avatar processing, your conversation content may be temporarily processed by service providers outside the EEA, including the United States.

For this transfer we use the following safeguards:

An adequacy decision of the European Commission, including the EU–US Data Privacy Framework (Article 45 GDPR), where the receiving party is affiliated with it.
The Standard Contractual Clauses adopted by the European Commission — these are European model contracts that ensure an appropriate level of protection when an adequacy decision is lacking (Article 46(2)(c) GDPR).

9. How long do we retain your data?

Retention periods per category of personal data are listed with the individual purposes in section 5. In summary:

Conversation content (transcripts) and session identifiers: maximum 15 months, after which automatic deletion takes place.
IP addresses and server log files: maximum 15 months.
Security logs: maximum 15 months.
Anonymised data: without restriction (no longer personal data).

If we are legally obliged to retain data for longer, we will do so in accordance with that obligation and with appropriate security measures.

10. How do we protect your data?

Together with Hibou we have taken appropriate technical and organisational measures to protect your data against loss, unauthorised access, alteration or disclosure, in accordance with Article 32 GDPR. The most important measures are:

Encrypted connections (HTTPS/TLS) between your device and our systems.
Encryption of stored data ("encryption at rest").
Logical separation between conversation content and technical visitor data, so that IP addresses and transcripts are not linked to each other; in exceptional cases, such as a security incident, limited linking may take place under strict authorisation conditions.
Access control at the database layer (Row Level Security — a technique whereby access per row in the database is enforced, so that a user only sees what they are allowed to see).
Access only for authorised staff, bound by confidentiality.
Logging and monitoring for detecting security incidents.

In the unfortunate event of a data breach, we will act in accordance with our internal procedure and, where legally required, report it to the Dutch Data Protection Authority and to you.

11. Your rights

Under the GDPR you have various rights with regard to your personal data. We explain them below.

Right of access: you can request what data we process about you.
Right to rectification: you can have incorrect data corrected.
Right to erasure: in certain cases you can request deletion of your data.
Right to restriction of processing: in certain cases you can request temporary suspension of processing.
Right to data portability: insofar as this right applies in your situation, you can request to receive your data in a common electronic format or to have it transferred directly to another party. This right only applies when processing is based on consent or contract and takes place by automated means.
Right not to be subject to a solely automated decision with legal effect or similarly significant effect.

Right to object. You have the right to object to processing that we base on legitimate interest or, where applicable, on a task carried out in the public interest. If you object, we will cease processing, unless we have compelling legitimate grounds that outweigh your interests, rights and freedoms. You can send an objection to klacht@parkinsonfonds.nl. This right is also brought to your attention separately prior to the conversation (see the pre-chat notice).

Right to withdraw consent. Insofar as we process your data on the basis of consent, you can withdraw this consent at any time. Withdrawal of consent has no retroactive effect: processing that has taken place prior to the withdrawal remains lawful.

How do you exercise your rights? You can exercise your rights by sending a request to info@parkinsonfonds.nl. We will respond within one month of receipt of your request. In exceptional cases we may extend this period by two months; in that case we will inform you within the first month. To handle your request we may ask you for additional information to verify your identity.

Right to lodge a complaint with the Dutch Data Protection Authority. If you feel that we are not handling your data carefully, you can lodge a complaint with the Dutch Data Protection Authority. We appreciate it if you contact us first, so that we can find a solution together.

12. How do we obtain your data?

We receive your data in principle directly from you: you decide what you say or type to the digital human, and your device automatically provides some technical data (such as IP address and browser information) to enable the connection.

13. Minors

The digital human is in principle not aimed at children under 16. If we know or suspect that a user is under 16, we will only process their data if we have permission from a parent or legal representative, or on the basis of another appropriate legal basis under the GDPR. When using legitimate interest as a basis, we weigh the interests of children, where they reasonably belong to the users, with particular attention in our balancing test. In that case we apply shorter retention periods, avoid contextually sensitive topics and provide explanations in simple language.

14. Changes to this statement

We may amend this privacy statement from time to time, for example if the operation of the digital human changes or if the law requires it. For material changes, we will inform users via our website. At the top of this statement you will find the version and the date of the most recent change.

15. Contact

Do you have questions about this privacy statement or about the way we handle your data? Please contact us at:

Stichting ParkinsonFonds
Hoofdweg 667, 2131 BB Hoofddorp
info@parkinsonfonds.nl
+31 23 554 07 55

Datenschutzerklärung Virtual James Parkinson (VJP)
Version 2.0 — 21. Mai 2026 — Stichting ParkinsonFonds

Dieses Dokument ist eine Übersetzung des Originaldokuments (auf Niederländisch) und wird zur Vereinfachung bereitgestellt. Im Falle von Unterschieden gilt die Originalfassung.

1. Einleitung

Diese Datenschutzerklärung beschreibt, wie die Stichting ParkinsonFonds (im Folgenden: „wir", „uns" oder „SPF") mit personenbezogenen Daten von Personen umgeht, die Virtual James Parkinson (im Folgenden: „der Digital Human") nutzen. Wir halten den Schutz Ihrer Privatsphäre für wichtig und gehen sorgfältig mit Ihren Daten um.

Der Digital Human ist ein interaktiver Avatar, mit dem Sie ein Gespräch per Text und/oder Sprache führen können. Die Technik hinter dem Digital Human wird von der Hibou/x B.V. („Hibou") mit Sitz in Amsterdam bereitgestellt. Hibou tritt dabei als Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung (DSGVO) auf und verarbeitet personenbezogene Daten ausschließlich in unserem Auftrag und nach unserer Weisung.

Wir empfehlen Ihnen, diese Erklärung sorgfältig durchzulesen, bevor Sie ein Gespräch mit dem Digital Human beginnen.

2. Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Daten, die direkt oder indirekt auf Sie als Person zurückgeführt werden können. Dazu gehören eindeutige Daten wie ein Name oder eine E-Mail-Adresse, aber auch indirekt identifizierende Daten wie eine IP-Adresse oder eine Sitzungs-Kennung (ein zufällig generierter Code, mit dem Ihr Gespräch technisch von anderen Gesprächen unterschieden wird).

Einige Daten, die wir im Rahmen des Digital Human verarbeiten, können als pseudonymisiert betrachtet werden: Sie sind nicht direkt auf Sie zurückführbar, aber in Kombination mit anderen Informationen könnte eine Rückführung möglich sein. Wir behandeln diese Daten daher als personenbezogene Daten und wenden die Schutzmaßnahmen der DSGVO darauf an. Pseudonymisierung ist etwas anderes als Anonymisierung: Bei einer Anonymisierung ist eine Rückführung vernünftigerweise nicht mehr möglich, und die Regeln der DSGVO gelten nicht mehr.

3. Sie führen ein Gespräch mit einem KI-System

Der Digital Human ist ein KI-System. Der Avatar, den Sie sehen, und die Stimme, die Sie hören, werden von Software erzeugt; es handelt sich nicht um einen Menschen. Die Antworten werden von einem zugrunde liegenden Sprachmodell generiert.

Antworten eines KI-Systems sind nicht immer sachlich richtig. Es kann vorkommen, dass der Digital Human eine Antwort gibt, die unvollständig, ungenau oder nicht mehr aktuell ist. Der Digital Human gibt allgemeine Informationen und trifft keine formellen Entscheidungen, Beurteilungen oder Zusagen im Namen von SPF. Verwenden Sie die Informationen daher nicht als einzige Quelle für wichtige Entscheidungen und ziehen Sie im Zweifelsfall einen Sachverständigen hinzu.

Allgemeiner Informationsdienst: Wir bitten Sie, keine sensiblen oder besonderen Kategorien personenbezogener Daten mit dem Digital Human zu teilen, wie Informationen über Ihre Gesundheit, Religion, politische Ansichten, Ihr Sexualleben, Ihre ethnische Herkunft oder Vorstrafen, und keine Daten anderer Personen als sich selbst. Teilen Sie auch keine Passwörter, Zahlungsdaten oder andere geheime Informationen. Je weniger Daten Sie teilen, desto besser ist Ihre Privatsphäre geschützt.

VJP gibt keine persönlichen Ratschläge — dafür sollten Sie sich an Ihren eigenen Gesundheitsdienstleister wenden. VJP kann Ihnen jedoch allgemeine Informationen zum Stand der Forschung, zu Behandlungen und Symptomen geben. Es ist daher weder notwendig noch beabsichtigt, persönliche Informationen mit VJP zu teilen.

Sie sind nicht verpflichtet, personenbezogene Daten zu teilen. Wenn Sie keinen Text oder keine Sprache eingeben, kann der Digital Human Ihre Frage nicht beantworten, ansonsten hat das Weglassen von Daten keine Folgen für Sie.

4. Über uns

Verantwortlicher für die in dieser Erklärung beschriebenen Verarbeitungen ist:

Stichting ParkinsonFonds
Hoofdweg 667
2131 BB Hoofddorp, Niederlande
Handelsregisternummer: 34103067
E-Mail-Adresse für Datenschutzfragen: info@parkinsonfonds.nl
Telefon: +31 23 554 07 55

Wir haben keinen Datenschutzbeauftragten bestellt.

5. Zu welchen Zwecken verarbeiten wir personenbezogene Daten?

Wir verarbeiten Ihre personenbezogenen Daten ausschließlich zu den unten beschriebenen Zwecken. Pro Zweck erläutern wir, was der Zweck beinhaltet, welche Daten wir verarbeiten, wie lange wir die Daten aufbewahren und auf welcher Rechtsgrundlage wir uns stützen.

5.1 Führen eines Gesprächs mit dem Digital Human

Was beinhaltet dieser Zweck? Wenn Sie ein Gespräch mit dem Digital Human beginnen, verarbeiten wir Ihre Eingaben (Text und/oder Sprache), damit der Digital Human Ihnen eine passende Antwort geben kann. Bei Verwendung von Sprache wird Ihre Sprache in Echtzeit in Text umgewandelt. Für die Funktionsweise des Avatars, der Stimme und der Interaktion nutzen wir die Technologie von Hibou und ihren Unterauftragsverarbeitern.

Welche personenbezogenen Daten verarbeiten wir hierfür?

Den Text, den Sie eingeben oder einsprechen (Gesprächsinhalt).
Bei aktivierter Sprache: die Spracheingabe, die in Text umgewandelt wird (die Sprachaufnahme selbst wird nicht aufbewahrt).
Die Avatarbilder und die generierte Audioausgabe, die an Sie zurückgesendet werden.
Eine Sitzungs-Kennung: ein zufällig generierter Code, mit dem Ihr Gespräch technisch von anderen Gesprächen unterschieden wird.
Der Zeitpunkt des Beginns und Endes des Gesprächs.
Die Dauer des Gesprächs.

Wie lange bewahren wir diese Daten auf? Gesprächsinhalte (Transkripte) und Sitzungs-Kennungen bewahren wir maximal 15 Monate auf, danach werden sie automatisch gelöscht. Wir wenden diese Aufbewahrungsfrist an, damit wir vollständige Jahresanalysen (12 Monate) erstellen und zusätzlich ein Quartal des Folgejahres (Q1) für Trendvergleiche und Berichtszwecke berücksichtigen können. Echtzeit-Sprach- und Videoströme werden nicht gespeichert; sie werden nur zur Ermöglichung des Gesprächs verwendet.

Was ist die Rechtsgrundlage? Die Rechtsgrundlage ist unser berechtigtes Interesse (Artikel 6 Absatz 1 Buchstabe f DSGVO). Unser konkretes Interesse ist: das niederschwellige und außerhalb der Bürozeiten verfügbare Bereitstellen allgemeiner Informationen über die Parkinson-Krankheit an unsere Besucher. Wir haben dieses Interesse gegen Ihre Datenschutzinteressen abgewogen und angemessene Schutzmaßnahmen ergriffen, wie beschränkte Aufbewahrungsfristen, Trennung zwischen Gesprächsinhalt und technischen Daten und die in dieser Erklärung beschriebenen Ausschlüsse. Indem Sie das Gespräch starten, entscheiden Sie sich für die Nutzung des Digital Human. Dies ist keine Einwilligung im Sinne der DSGVO. Sie haben das Recht, dieser Verarbeitung jederzeit zu widersprechen; siehe Abschnitt 11.

Besondere Kategorien personenbezogener Daten (nur wenn ausdrücklich beabsichtigt): Wir beabsichtigen nicht, über den Digital Human besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 DSGVO zu verarbeiten, wie Daten zu Ihrer Gesundheit, Religion, weltanschaulichen Überzeugungen, politischen Meinungen, Gewerkschaftsmitgliedschaft, Ihrem Sexualleben oder Ihrer sexuellen Orientierung, ethnischen Herkunft oder Ihren Vorstrafen. In der Pre-Chat-Mitteilung und in Abschnitt 3 bitten wir Sie, solche Daten nicht mit dem Digital Human zu teilen.

Wenn Sie dennoch selbst, aktiv und aus eigenem Antrieb besondere Kategorien personenbezogener Daten mit dem Digital Human teilen (zum Beispiel durch Eintippen oder Einsprechen), gilt Folgendes. Indem Sie diese Daten freiwillig eingeben — im Wissen, dass der Digital Human Ihre Eingabe wie in dieser Erklärung beschrieben aufzeichnet, speichert und analysieren kann — betrachten wir diese Daten als offensichtlich von Ihnen gegenüber SPF und den in Abschnitt 7 genannten Auftragsverarbeitern und Unterauftragsverarbeitern öffentlich gemacht. Wir stützen die Verarbeitung solcher Daten auf die Ausnahme von Artikel 9 Absatz 2 Buchstabe e DSGVO.

Wir verwenden diese Daten nicht für andere als die in Abschnitt 5 beschriebenen Zwecke und löschen oder anonymisieren sie gemäß den Aufbewahrungsfristen in Abschnitt 9. Wir haben angemessene Schutzmaßnahmen ergriffen, um die Risiken einer unbeabsichtigten Verarbeitung besonderer Daten zu begrenzen: die vorherigen Warnungen, die strikte Zugriffsbeschränkung auf Transkripte, die kurzen Aufbewahrungsfristen und das Verbot der Nutzung für Profiling oder Marketing.

5.2 Technische Funktion und Fehlerbehebung

Was beinhaltet dieser Zweck? Wir und Hibou verarbeiten technische Daten, damit der Digital Human ordnungsgemäß funktioniert, um Störungen zu erkennen und zu beheben sowie um die Stabilität und Verfügbarkeit des Dienstes zu überwachen.

Welche personenbezogenen Daten verarbeiten wir hierfür?

IP-Adresse.
Browsertyp, Betriebssystem und Gerätetyp (User-Agent).
Besuchszeitpunkt.
Interaktionsprotokolle und Fehlermeldungen.

Wie lange bewahren wir diese Daten auf? IP-Adressen und Server-Protokolldateien werden maximal 15 Monate aufbewahrt, im Einklang mit der Sicherheits- und Protokollierungsrichtlinie von Hibou und ihrem Hostinganbieter.

Was ist die Rechtsgrundlage? Unser berechtigtes Interesse an einem gut funktionierenden, sicheren und stabilen Dienst (Artikel 6 Absatz 1 Buchstabe f DSGVO).

5.3 Qualitätssicherung und Verbesserung unseres Dienstes

Was beinhaltet dieser Zweck? Wir analysieren Gesprächsinhalte und Interaktionsdaten, um die Qualität der Antworten innerhalb unseres eigenen Deployments zu überwachen, um zu verstehen, welche Fragen Sie und andere Nutzer stellen, und um die Wissensdatenbank, die Anweisungen und die Funktionsweise unseres Digital Human im Lauf der Zeit zu verbessern. Diese Analyse findet innerhalb unseres Deployments statt und ist nicht dafür gedacht, Sie als Einzelperson zu verfolgen oder ein persönliches Profil zu erstellen.

Welche personenbezogenen Daten verarbeiten wir hierfür? Gesprächsinhalte, Sitzungs-Kennungen, Zeitstempel und Interaktionsprotokolle wie in Abschnitt 5.1 und 5.2 beschrieben.

Wie lange bewahren wir diese Daten auf? Maximal 15 Monate in identifizierter oder pseudonymisierter Form. Danach werden die Daten gelöscht oder anonymisiert (siehe Abschnitt 5.5).

Was ist die Rechtsgrundlage? Unser berechtigtes Interesse an der Verbesserung der Qualität und Nutzbarkeit unseres Deployments (Artikel 6 Absatz 1 Buchstabe f DSGVO). Wir haben eine Abwägung vorgenommen, bei der dieses Interesse gegen Ihre Datenschutzinteressen abgewogen wurde, und angemessene Schutzmaßnahmen ergriffen wie beschränkten Zugang, kurze Aufbewahrungsfristen und keine Nutzung für Profiling oder Marketing.

5.4 Sicherheit und Protokollierung

Was beinhaltet dieser Zweck? Wir verarbeiten bestimmte Daten, um den Digital Human gegen Missbrauch, Betrug und unbefugten Zugriff zu sichern und etwaige Sicherheitsvorfälle erkennen und untersuchen zu können. Dabei kann auch eine automatisierte Inhaltsfilterung erfolgen, um Missbrauch und unrechtmäßige Ausgaben zu verhindern.

Welche personenbezogenen Daten verarbeiten wir hierfür? IP-Adresse, Sitzungs-Kennung, Zeitstempel, technische Daten zu Ihrem Gerät und (falls relevant) Gesprächsinhalte, die von Sicherheitsfiltern ausgelöst werden.

Wie lange bewahren wir diese Daten auf? Sicherheitsprotokolle werden so lange aufbewahrt, wie es für den Sicherheitszweck erforderlich ist, höchstens 15 Monate.

Was ist die Rechtsgrundlage? Unser berechtigtes Interesse an der Sicherheit des Dienstes und am Schutz unserer Rechte und der Rechte anderer (Artikel 6 Absatz 1 Buchstabe f DSGVO).

5.5 Anonymisierung

Was beinhaltet dieser Zweck? Wir beauftragen Hibou, personenbezogene Daten zu anonymisieren, wenn sie für die Zwecke unter Abschnitt 5.1 bis 5.4 nicht mehr benötigt werden, spätestens jedoch am Ende der jeweiligen Aufbewahrungsfrist. Anonymisierung bedeutet, dass die Daten so verarbeitet werden, dass Sie aus ihnen nicht mehr identifiziert werden können, auch nicht in Kombination mit anderen Informationen.

Die Anonymisierung selbst ist eine Verarbeitung personenbezogener Daten und erfolgt in unserem Auftrag und nach unserer Weisung; Hibou tritt dabei als Auftragsverarbeiter auf. Erst nachdem die Daten tatsächlich anonym geworden sind, handelt es sich nicht mehr um personenbezogene Daten im Sinne der DSGVO. Ab diesem Zeitpunkt fallen sie außerhalb des Anwendungsbereichs dieser Erklärung. Hibou darf diese nicht-personenbezogenen Daten anschließend zur Verbesserung ihrer eigenen Plattform und Dienstleistungen verwenden; sie darf diese Daten ohne unsere vorherige schriftliche Zustimmung nicht an Dritte weitergeben oder verkaufen.

Welche personenbezogenen Daten verarbeiten wir hierfür? Die Anonymisierungsoperation wird auf Gesprächsinhalte und Interaktionsprotokolle angewendet, wie unter den vorhergehenden Zwecken beschrieben.

Wie lange bewahren wir diese Daten auf? Die ursprünglichen personenbezogenen Daten werden nach der Anonymisierung gelöscht. Die anonymisierten Daten selbst sind keine personenbezogenen Daten mehr und haben daher keine Aufbewahrungsfrist gemäß DSGVO.

Was ist die Rechtsgrundlage? Für die Anonymisierung selbst: unser berechtigtes Interesse an einer zweckmäßigen Löschung und an einer kontinuierlichen Qualitätsverbesserung eines Dienstes, der auch anderen Nutzern zugutekommt (Artikel 6 Absatz 1 Buchstabe f DSGVO). Wir haben mit Hibou vereinbart, dass die Anonymisierung nachweislich die drei Kriterien erfüllt, die der Europäische Datenschutzausschuss anwendet: Es darf nicht mehr möglich sein, einzelne Personen auszusondern, Daten miteinander zu verknüpfen oder identifizierende Merkmale abzuleiten.

5.6 Cookies und Sitzungsverwaltung

Für die Funktionsweise des Digital Human setzen wir ein funktionales Cookie oder eine vergleichbare Technologie ein, mit der Ihre Sitzung technisch aufrechterhalten wird. Dies ist notwendig, damit das Gespräch zwischen Ihnen und dem Digital Human ordnungsgemäß ablaufen kann. Für Cookies, die nicht streng notwendig sind (zum Beispiel für Analyse oder Marketing), bitten wir Sie vorab um Ihre Einwilligung über ein Cookie-Banner. Weitere Informationen finden Sie in unserer Cookie-Erklärung.

6. Automatisierte Entscheidungsfindung und Profiling

Der Digital Human generiert automatisiert Antworten auf Basis eines KI-Systems. Diese Antworten stellen keine Entscheidungen mit rechtlicher Wirkung oder vergleichbarer erheblicher Beeinträchtigung für Sie im Sinne von Artikel 22 DSGVO dar. Wir verwenden den Digital Human nicht, um automatisch Entscheidungen über Sie zu treffen, Profile zu erstellen oder Vorhersagen über Ihr Verhalten zu treffen.

Wenn eine Frage oder Anfrage zu einer formellen Beurteilung, einem Antrag oder einer Entscheidung führen könnte, verweist der Digital Human Sie an den richtigen Kontaktkanal innerhalb unserer Organisation.

7. Mit wem teilen wir Ihre Daten?

Wir teilen Ihre personenbezogenen Daten ausschließlich mit den folgenden Kategorien von Empfängern, und nur insoweit, als dies für die oben beschriebenen Zwecke erforderlich ist.

Hibou als Auftragsverarbeiter. Hibou liefert die Technik des Digital Human und verarbeitet Ihre Daten ausschließlich in unserem Auftrag und auf Basis eines Auftragsverarbeitungsvertrags, der Artikel 28 DSGVO entspricht.

Unterauftragsverarbeiter von Hibou. Hibou nutzt für die Funktionsweise des Digital Human Unterauftragsverarbeiter. Diese sind in folgende funktionale Kategorien eingeteilt:

Anbieter von Avatar- und Sprachverarbeitung, zur Generierung des Avatars und der Stimme.
Anbieter von Echtzeit-Audio- und Videokommunikation, zur Ermöglichung des Echtzeitgesprächs.
Anbieter von Datenbanktechnologie, zur Speicherung von Transkripten und Sitzungsdaten.
Anbieter von Hosting- und Server-Infrastruktur.
Anbieter von technischer Implementierung und Wartung.

Mit all diesen Parteien hat Hibou Vereinbarungen gemäß Artikel 28 DSGVO getroffen. Eine aktuelle Liste mit Namen der Unterauftragsverarbeiter, ihrer Funktion, ihrem Sitzland und der anwendbaren Übermittlungsgarantie ist auf Anfrage über die in Abschnitt 4 genannte Kontaktadresse verfügbar.

Andere Empfänger. Darüber hinaus können wir Ihre Daten, soweit erforderlich und gesetzlich vorgeschrieben, mit Behörden, Aufsichtsbehörden, Ermittlungsdiensten oder (juristischen) Beratern teilen.

Wir verkaufen Ihre Daten niemals an Dritte.

8. Übermittlung außerhalb des Europäischen Wirtschaftsraums

Transkripte und Sitzungsdaten werden auf Servern innerhalb des Europäischen Wirtschaftsraums (EWR — die EU-Mitgliedstaaten plus Island, Norwegen und Liechtenstein) gespeichert. Für bestimmte Komponenten des Digital Human, insbesondere die Echtzeit-Sprach- und Avatarverarbeitung, kann Ihr Gesprächsinhalt vorübergehend von Dienstleistern außerhalb des EWR verarbeitet werden, darunter den Vereinigten Staaten.

Für diese Übermittlung nutzen wir folgende Garantien:

Einen Angemessenheitsbeschluss der Europäischen Kommission, darunter das EU–US Data Privacy Framework (Artikel 45 DSGVO), sofern die empfangende Partei sich diesem angeschlossen hat.
Die von der Europäischen Kommission festgelegten Standardvertragsklauseln — dies sind europäische Mustervertragsklauseln, die ein angemessenes Schutzniveau gewährleisten, wenn ein Angemessenheitsbeschluss fehlt (Artikel 46 Absatz 2 Buchstabe c DSGVO).

9. Wie lange bewahren wir Ihre Daten auf?

Die Aufbewahrungsfristen pro Kategorie personenbezogener Daten sind bei den einzelnen Zwecken in Abschnitt 5 angegeben. Zusammengefasst:

Gesprächsinhalte (Transkripte) und Sitzungs-Kennungen: maximal 15 Monate, danach erfolgt automatische Löschung.
IP-Adressen und Server-Protokolldateien: maximal 15 Monate.
Sicherheitsprotokolle: maximal 15 Monate.
Anonymisierte Daten: ohne Beschränkung (keine personenbezogenen Daten mehr).

Sofern wir gesetzlich verpflichtet sind, Daten länger aufzubewahren, tun wir dies gemäß dieser Verpflichtung und mit angemessenen Sicherheitsmaßnahmen.

10. Wie schützen wir Ihre Daten?

Wir haben gemeinsam mit Hibou angemessene technische und organisatorische Maßnahmen ergriffen, um Ihre Daten vor Verlust, unbefugtem Zugriff, Änderung oder Offenlegung zu schützen, gemäß Artikel 32 DSGVO. Die wichtigsten Maßnahmen sind:

Verschlüsselte Verbindungen (HTTPS/TLS) zwischen Ihrem Gerät und unseren Systemen.
Verschlüsselung gespeicherter Daten („encryption at rest").
Logische Trennung zwischen Gesprächsinhalt und technischen Besucherdaten, sodass IP-Adressen und Transkripte nicht miteinander verknüpft werden; in Ausnahmefällen, wie bei einem Sicherheitsvorfall, kann eine beschränkte Verknüpfung unter strengen Autorisierungsbedingungen erfolgen.
Zugriffsverwaltung auf Datenbankebene (Row Level Security — eine Technik, bei der der Zugriff pro Zeile in der Datenbank erzwungen wird, sodass ein Nutzer nur sieht, was er sehen darf).
Zugang nur für ausdrücklich autorisierte Mitarbeiter, die zur Verschwiegenheit verpflichtet sind.
Protokollierung und Überwachung zur Erkennung von Sicherheitsvorfällen.

Sollte es zu einem Datenleck kommen, handeln wir gemäß unserem internen Verfahren und melden dies, sofern gesetzlich vorgeschrieben, der niederländischen Datenschutzbehörde und Ihnen.

11. Ihre Rechte

Aufgrund der DSGVO haben Sie verschiedene Rechte in Bezug auf Ihre personenbezogenen Daten. Im Folgenden erläutern wir sie.

Auskunftsrecht: Sie können erfragen, welche Daten wir über Sie verarbeiten.
Recht auf Berichtigung: Sie können unrichtige Daten korrigieren lassen.
Recht auf Löschung: In bestimmten Fällen können Sie die Löschung Ihrer Daten verlangen.
Recht auf Einschränkung der Verarbeitung: In bestimmten Fällen können Sie verlangen, die Verarbeitung vorübergehend einzustellen.
Recht auf Datenübertragbarkeit: Sofern dieses Recht in Ihrer Situation gilt, können Sie verlangen, Ihre Daten in einem gängigen elektronischen Format zu erhalten oder direkt an eine andere Partei zu übertragen. Dieses Recht gilt nur, wenn die Verarbeitung auf Einwilligung oder Vertrag beruht und automatisiert erfolgt.
Recht, keiner ausschließlich automatisierten Entscheidung mit rechtlicher Wirkung oder vergleichbarer erheblicher Beeinträchtigung unterworfen zu werden.

Widerspruchsrecht. Sie haben das Recht, der Verarbeitung zu widersprechen, die wir auf berechtigtes Interesse oder gegebenenfalls auf eine Aufgabe von öffentlichem Interesse stützen. Wenn Sie widersprechen, stellen wir die Verarbeitung ein, es sei denn, wir haben zwingende berechtigte Gründe, die Ihre Interessen, Rechte und Freiheiten überwiegen. Einen Widerspruch können Sie an klacht@parkinsonfonds.nl senden. Dieses Recht wird auch separat vor dem Gespräch hervorgehoben (siehe Pre-Chat-Mitteilung).

Recht auf Widerruf der Einwilligung. Sofern wir Ihre Daten auf Basis einer Einwilligung verarbeiten, können Sie diese Einwilligung jederzeit widerrufen. Der Widerruf der Einwilligung hat keine rückwirkende Kraft: Verarbeitungen, die vor dem Widerruf stattgefunden haben, bleiben rechtmäßig.

Wie üben Sie Ihre Rechte aus? Sie können Ihre Rechte ausüben, indem Sie eine Anfrage an info@parkinsonfonds.nl senden. Wir antworten innerhalb eines Monats nach Eingang Ihrer Anfrage. In besonderen Fällen können wir diese Frist um zwei Monate verlängern; in diesem Fall informieren wir Sie darüber innerhalb des ersten Monats. Um Ihre Anfrage bearbeiten zu können, können wir Sie um zusätzliche Informationen zur Identitätsprüfung bitten.

Recht auf Beschwerde bei der Aufsichtsbehörde. Wenn Sie der Meinung sind, dass wir nicht sorgfältig mit Ihren Daten umgehen, können Sie eine Beschwerde bei der niederländischen Datenschutzbehörde einreichen. Wir bitten Sie, zuerst Kontakt mit uns aufzunehmen, damit wir gemeinsam eine Lösung finden können.

12. Wie kommen wir an Ihre Daten?

Wir erhalten Ihre Daten grundsätzlich direkt von Ihnen: Sie entscheiden, was Sie zum Digital Human sagen oder eingeben, und Ihr Gerät stellt automatisch einige technische Daten bereit (wie IP-Adresse und Browser-Informationen), um die Verbindung zu ermöglichen.

13. Minderjährige

Der Digital Human richtet sich grundsätzlich nicht an Kinder unter 16 Jahren. Wenn wir wissen oder vermuten, dass ein Nutzer jünger als 16 Jahre ist, verarbeiten wir dessen Daten nur, wenn wir die Einwilligung eines Elternteils oder gesetzlichen Vertreters haben oder auf Grundlage einer anderen geeigneten Rechtsgrundlage gemäß DSGVO. Bei Nutzung des berechtigten Interesses als Rechtsgrundlage berücksichtigen wir die Interessen von Kindern, sofern sie zu den Nutzern gehören könnten, mit besonderer Aufmerksamkeit in unserer Interessenabwägung. Wir verwenden in diesem Fall kürzere Aufbewahrungsfristen, vermeiden kontextuell sensible Themen und geben Erklärungen in einfacher Sprache.

14. Änderungen dieser Erklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit anpassen, zum Beispiel wenn sich die Funktionsweise des Digital Human ändert oder das Gesetz dies erfordert. Bei wesentlichen Änderungen informieren wir die Nutzer über unsere Website. Oben in dieser Erklärung finden Sie die Version und das Datum der letzten Änderung.

15. Kontakt

Haben Sie Fragen zu dieser Datenschutzerklärung oder zu der Art und Weise, wie wir mit Ihren Daten umgehen? Dann nehmen Sie bitte Kontakt mit uns auf über:

Stichting ParkinsonFonds
Hoofdweg 667, 2131 BB Hoofddorp, Niederlande
info@parkinsonfonds.nl
+31 23 554 07 55

Déclaration de confidentialité Virtual James Parkinson (VJP)
Version 2.0 — 21 mai 2026 — Stichting ParkinsonFonds

Ce document est une traduction du document original (en néerlandais) et est fourni à titre indicatif. En cas de divergences, la version originale prévaudra.

1. Introduction

Cette déclaration de confidentialité décrit la manière dont la Stichting ParkinsonFonds (ci-après : « nous », « notre » ou « SPF ») traite les données personnelles des personnes qui utilisent Virtual James Parkinson (ci-après : « le digital human »). Nous accordons de l'importance à la protection de ta vie privée et traitons tes données avec soin.

Le digital human est un avatar interactif avec lequel tu peux avoir une conversation par texte et/ou par la parole. La technologie derrière le digital human est fournie par Hibou/x B.V. (« Hibou »), établie à Amsterdam. Hibou agit en tant que sous-traitant au sens du Règlement général sur la protection des données (RGPD) et ne traite des données personnelles que sur nos instructions.

Nous te recommandons de lire attentivement cette déclaration avant d'entamer une conversation avec le digital human.

2. Qu'est-ce que des données personnelles ?

Les données personnelles sont toutes les données qui sont directement ou indirectement identifiables à toi en tant que personne. Cela inclut des données évidentes comme un nom ou une adresse e-mail, mais aussi des données indirectement identifiantes comme une adresse IP ou un identifiant de session (un code aléatoirement généré par lequel ta conversation est techniquement distinguée des autres conversations).

Certaines données que nous traitons dans le cadre du digital human peuvent être considérées comme pseudonymisées : elles ne sont pas directement identifiables à toi, mais combinées à d'autres informations, une identification pourrait être possible. Nous traitons donc ces données comme des données personnelles et leur appliquons les garanties du RGPD. La pseudonymisation est différente de l'anonymisation : avec l'anonymisation, l'identification n'est raisonnablement plus possible, et les règles du RGPD ne s'appliquent plus.

3. Tu as une conversation avec un système d'IA

Le digital human est un système d'IA. L'avatar que tu vois et la voix que tu entends sont générés par logiciel ; ce n'est pas un humain. Les réponses sont générées par un modèle linguistique sous-jacent.

Les réponses d'un système d'IA ne sont pas toujours factuellement correctes. Il peut arriver que le digital human donne une réponse qui est incomplète, inexacte ou plus à jour. Le digital human donne des informations générales et ne prend aucune décision, évaluation ou engagement formels au nom de SPF. N'utilise donc pas les informations comme seule source pour des décisions importantes et consulte un spécialiste en cas de doute.

Service d'information générale : Nous te demandons de ne pas partager de données personnelles sensibles ou particulières avec le digital human, comme des informations sur ta santé, religion, opinions politiques, vie sexuelle, origine ethnique ou antécédents judiciaires, et aucune donnée d'autres personnes que toi-même. Ne partage pas non plus de mots de passe, de données de paiement ou d'autres informations secrètes. Moins tu partages de données, mieux ta vie privée est protégée.

VJP ne donne pas de conseils personnels — pour cela tu dois t'adresser à ton propre prestataire de soins. Tu peux par contre demander à VJP des informations générales sur l'état de la recherche, les traitements et les symptômes. Il n'est donc ni nécessaire ni voulu de partager des informations personnelles avec VJP.

Tu n'es pas obligé de partager des données personnelles. Si tu n'entres aucun texte ou parole, le digital human ne pourra pas répondre à ta question, mais pour le reste, le fait de ne pas fournir de données n'a pas de conséquences pour toi.

4. À propos de nous

Le responsable du traitement pour les traitements décrits dans cette déclaration est :

Stichting ParkinsonFonds
Hoofdweg 667
2131 BB Hoofddorp, Pays-Bas
Numéro Chambre de Commerce : 34103067
Adresse e-mail pour questions de confidentialité : info@parkinsonfonds.nl
Téléphone : +31 23 554 07 55

Nous n'avons pas désigné de délégué à la protection des données.

5. À quelles fins traitons-nous des données personnelles ?

Nous traitons tes données personnelles exclusivement pour les finalités décrites ci-dessous. Pour chaque finalité, nous expliquons ce qu'elle implique, quelles données nous traitons, combien de temps nous conservons les données et sur quelle base juridique nous nous fondons.

5.1 Avoir une conversation avec le digital human

Que recouvre cette finalité ? Lorsque tu entames une conversation avec le digital human, nous traitons ton entrée (texte et/ou parole) pour que le digital human puisse te donner une réponse appropriée. Lors de l'utilisation de la parole, ta voix est convertie en texte en temps réel. Pour le fonctionnement de l'avatar, de la voix et de l'interaction, nous utilisons la technologie de Hibou et de ses sous-traitants ultérieurs.

Quelles données personnelles traitons-nous à cette fin ?

Le texte que tu tapes ou prononces (contenu de la conversation).
Si la parole est activée : l'entrée vocale convertie en texte (l'enregistrement vocal lui-même n'est pas conservé).
Les images d'avatar et la sortie audio générée qui te sont renvoyées.
Un identifiant de session : un code généré aléatoirement par lequel ta conversation est techniquement distinguée des autres conversations.
L'heure de début et de fin de la conversation.
La durée de la conversation.

Combien de temps conservons-nous ces données ? Nous conservons les contenus de conversation (transcriptions) et les identifiants de session pendant 15 mois maximum, après quoi ils sont automatiquement supprimés. Nous appliquons cette durée de conservation pour pouvoir établir des analyses annuelles complètes (12 mois) et inclure en plus un trimestre de l'année suivante (T1) pour la comparaison de tendances et les rapports. Les flux audio et vidéo en temps réel ne sont pas stockés ; ils ne sont utilisés que pour permettre la conversation.

Quelle est la base juridique ? La base juridique est notre intérêt légitime (article 6, paragraphe 1, point f du RGPD). Notre intérêt concret est : rendre accessibles, de manière simple et en dehors des heures de bureau, des informations générales sur la maladie de Parkinson à nos visiteurs. Nous avons mis en balance cet intérêt avec tes intérêts en matière de vie privée et avons pris des garanties appropriées, telles que des durées de conservation limitées, une séparation entre le contenu de la conversation et les données techniques, et les exclusions décrites dans cette déclaration. En démarrant la conversation, tu choisis d'utiliser le digital human. Il ne s'agit pas d'un consentement au sens du RGPD. Tu as le droit de t'opposer à ce traitement à tout moment ; voir paragraphe 11.

Catégories particulières de données personnelles (uniquement si expressément voulu) : Nous n'avons pas l'intention de traiter via le digital human des catégories particulières de données personnelles au sens de l'article 9, paragraphe 1 du RGPD, telles que des données relatives à ta santé, religion, convictions philosophiques, opinions politiques, appartenance syndicale, vie sexuelle ou orientation sexuelle, origine raciale ou ethnique, ou antécédents judiciaires. Dans le pré-avis de chat et au paragraphe 3, nous te demandons de ne pas partager de telles données avec le digital human.

Si tu partages néanmoins toi-même, activement et de ta propre initiative, des catégories particulières de données personnelles avec le digital human (par exemple en les tapant ou en les prononçant), ce qui suit s'applique. En entrant volontairement ces données, en sachant que le digital human enregistre, stocke et peut analyser ton entrée comme décrit dans cette déclaration, nous considérons ces données comme manifestement rendues publiques par toi à l'égard de SPF et du sous-traitant et des sous-traitants ultérieurs mentionnés au paragraphe 7. Nous fondons le traitement de telles données sur l'exception prévue à l'article 9, paragraphe 2, point e du RGPD.

Nous n'utilisons pas ces données à d'autres fins que celles décrites au paragraphe 5, et nous les supprimons ou anonymisons conformément aux durées de conservation du paragraphe 9. Nous avons pris des garanties appropriées pour limiter les risques d'un traitement involontaire de données particulières : les avertissements préalables, la restriction stricte d'accès aux transcriptions, les courtes durées de conservation et l'interdiction d'utilisation pour le profilage ou le marketing.

5.2 Fonctionnement technique et dépannage

Que recouvre cette finalité ? Nous et Hibou traitons des données techniques pour faire fonctionner correctement le digital human, pour détecter et résoudre des pannes et pour surveiller la stabilité et la disponibilité du service.

Quelles données personnelles traitons-nous à cette fin ?

Adresse IP.
Type de navigateur, système d'exploitation et type d'appareil (user-agent).
Heure de la visite.
Journaux d'interaction et messages d'erreur.

Combien de temps conservons-nous ces données ? Les adresses IP et les fichiers journaux du serveur sont conservés pendant 15 mois maximum, conformément à la politique de sécurité et de journalisation de Hibou et de son hébergeur.

Quelle est la base juridique ? Notre intérêt légitime à disposer d'un service fonctionnel, sûr et stable (article 6, paragraphe 1, point f du RGPD).

5.3 Assurance qualité et amélioration de notre service

Que recouvre cette finalité ? Nous analysons les contenus de conversation et les données d'interaction pour surveiller la qualité des réponses au sein de notre propre déploiement, pour comprendre quelles questions toi et d'autres utilisateurs posez, et pour améliorer la base de connaissances, les instructions et le fonctionnement de notre digital human au fil du temps. Cette analyse a lieu au sein de notre déploiement et n'est pas destinée à te suivre en tant qu'individu ni à constituer un profil personnel.

Quelles données personnelles traitons-nous à cette fin ? Contenu de la conversation, identifiants de session, horodatage et journaux d'interaction tels que décrits aux paragraphes 5.1 et 5.2.

Combien de temps conservons-nous ces données ? Maximum 15 mois sous forme identifiée ou pseudonymisée. Ensuite, les données sont supprimées ou anonymisées (voir paragraphe 5.5).

Quelle est la base juridique ? Notre intérêt légitime à améliorer la qualité et l'utilisabilité de notre déploiement (article 6, paragraphe 1, point f du RGPD). Nous avons procédé à une évaluation dans laquelle cet intérêt a été mis en balance avec tes intérêts en matière de vie privée, et avons pris des garanties appropriées telles qu'un accès limité, de courtes durées de conservation et aucune utilisation pour le profilage ou le marketing.

5.4 Sécurité et journalisation

Que recouvre cette finalité ? Nous traitons certaines données pour sécuriser le digital human contre les abus, la fraude et les accès non autorisés, et pour pouvoir détecter et enquêter sur d'éventuels incidents de sécurité. Un filtrage automatisé du contenu peut également avoir lieu pour prévenir les abus et les sorties illégales.

Quelles données personnelles traitons-nous à cette fin ? Adresse IP, identifiant de session, horodatage, données techniques de ton appareil et (si pertinent) contenu de conversation déclenché par des filtres de sécurité.

Combien de temps conservons-nous ces données ? Les journaux de sécurité sont conservés aussi longtemps que nécessaire pour l'objectif de sécurité, avec un maximum de 15 mois.

Quelle est la base juridique ? Notre intérêt légitime à la sécurité du service et à la protection de nos droits et de ceux d'autrui (article 6, paragraphe 1, point f du RGPD).

5.5 Anonymisation

Que recouvre cette finalité ? Nous chargeons Hibou d'anonymiser les données personnelles lorsqu'elles ne sont plus nécessaires aux finalités des paragraphes 5.1 à 5.4, ou au plus tard à la fin de la durée de conservation applicable. L'anonymisation signifie que les données sont traitées de manière à ce que tu ne puisses plus être identifié à partir d'elles, même en combinaison avec d'autres informations.

L'anonymisation elle-même est un traitement de données personnelles et a lieu sur nos instructions ; Hibou agit en tant que sous-traitant. Ce n'est qu'après que les données sont effectivement devenues anonymes qu'il ne s'agit plus de données personnelles au sens du RGPD. À partir de ce moment, elles sortent du champ d'application de cette déclaration. Hibou peut ensuite utiliser ces données non personnelles pour l'amélioration de sa propre plateforme et de ses services ; elle ne peut pas transmettre ou vendre ces données à des tiers sans notre autorisation écrite préalable.

Quelles données personnelles traitons-nous à cette fin ? L'opération d'anonymisation est appliquée aux contenus de conversation et journaux d'interaction tels que décrits sous les finalités précédentes.

Combien de temps conservons-nous ces données ? Les données personnelles originales sont supprimées après anonymisation. Les données anonymisées elles-mêmes ne sont plus des données personnelles et n'ont donc pas de durée de conservation au titre du RGPD.

Quelle est la base juridique ? Pour l'anonymisation elle-même : notre intérêt légitime à une suppression efficace et à une amélioration continue de la qualité d'un service qui bénéficie également à d'autres utilisateurs (article 6, paragraphe 1, point f du RGPD). Nous avons convenu avec Hibou que l'anonymisation répond de manière démontrable aux trois critères utilisés par le Comité européen de la protection des données : il ne doit plus être possible d'isoler des individus, de relier des données ou d'inférer des caractéristiques identifiantes.

5.6 Cookies et maintien de session

Pour le fonctionnement du digital human, nous plaçons un cookie fonctionnel ou une technologie similaire avec laquelle ta session est techniquement maintenue. Cela est nécessaire pour que la conversation entre toi et le digital human se déroule correctement. Pour les cookies qui ne sont pas strictement nécessaires (par exemple pour l'analyse ou le marketing), nous te demandons préalablement ton consentement via une bannière cookie. Tu trouveras plus d'informations dans notre déclaration cookies.

6. Prise de décision automatisée et profilage

Le digital human génère automatiquement des réponses sur la base d'un système d'IA. Ces réponses ne constituent pas des décisions ayant un effet juridique ou un effet significatif comparable pour toi au sens de l'article 22 du RGPD. Nous n'utilisons pas le digital human pour prendre automatiquement des décisions te concernant, construire des profils ou faire des prédictions sur ton comportement.

Lorsqu'une question ou demande pourrait conduire à une évaluation, demande ou décision formelle, le digital human te renvoie vers le bon canal de contact au sein de notre organisation.

7. Avec qui partageons-nous tes données ?

Nous partageons tes données personnelles exclusivement avec les catégories de destinataires suivantes, et uniquement dans la mesure nécessaire aux fins décrites ci-dessus.

Hibou en tant que sous-traitant. Hibou fournit la technologie du digital human et traite tes données exclusivement sur nos instructions et sur la base d'un contrat de sous-traitance conforme à l'article 28 du RGPD.

Sous-traitants ultérieurs de Hibou. Hibou utilise des sous-traitants ultérieurs pour le fonctionnement du digital human. Ils sont classés dans les catégories fonctionnelles suivantes :

Fournisseurs de traitement d'avatar et de la parole, pour la génération de l'avatar et de la voix.
Fournisseurs de communication audio et vidéo en temps réel, pour permettre la conversation en temps réel.
Fournisseurs de technologie de base de données, pour le stockage des transcriptions et des données de session.
Fournisseurs d'hébergement et d'infrastructure serveur.
Fournisseurs de mise en œuvre et de maintenance techniques.

Hibou a conclu avec toutes ces parties des accords conformes à l'article 28 du RGPD. Une liste actuelle des noms des sous-traitants, de leur fonction, de leur pays d'établissement et de la garantie de transfert applicable est disponible sur demande à l'adresse de contact mentionnée au paragraphe 4.

Autres destinataires. En outre, nous pouvons, dans la mesure nécessaire et légalement requise, partager tes données avec les autorités gouvernementales, les autorités de contrôle, les services d'enquête ou les conseillers (juridiques).

Nous ne vendons jamais tes données à des tiers.

8. Transferts en dehors de l'Espace économique européen

Les transcriptions et données de session sont stockées sur des serveurs situés dans l'Espace économique européen (EEE — les États membres de l'UE plus l'Islande, la Norvège et le Liechtenstein). Pour des composants spécifiques du digital human, en particulier le traitement de la parole et de l'avatar en temps réel, ton contenu de conversation peut être traité temporairement par des prestataires situés hors de l'EEE, notamment les États-Unis.

Pour ce transfert nous utilisons les garanties suivantes :

Une décision d'adéquation de la Commission européenne, dont le EU–US Data Privacy Framework (article 45 du RGPD), pour autant que la partie destinataire y soit affiliée.
Les clauses contractuelles types établies par la Commission européenne — il s'agit de contrats modèles européens qui garantissent un niveau de protection approprié lorsqu'une décision d'adéquation fait défaut (article 46, paragraphe 2, point c du RGPD).

9. Combien de temps conservons-nous tes données ?

Les durées de conservation par catégorie de données personnelles sont indiquées avec les finalités individuelles au paragraphe 5. En résumé :

Contenu de la conversation (transcriptions) et identifiants de session : 15 mois maximum, après quoi une suppression automatique a lieu.
Adresses IP et fichiers journaux du serveur : 15 mois maximum.
Journaux de sécurité : 15 mois maximum.
Données anonymisées : sans restriction (ne sont plus des données personnelles).

Si nous sommes légalement obligés de conserver les données plus longtemps, nous le faisons conformément à cette obligation et avec des mesures de sécurité appropriées.

10. Comment protégeons-nous tes données ?

Nous avons pris, avec Hibou, des mesures techniques et organisationnelles appropriées pour protéger tes données contre la perte, l'accès non autorisé, la modification ou la divulgation, conformément à l'article 32 du RGPD. Les principales mesures sont :

Connexions chiffrées (HTTPS/TLS) entre ton appareil et nos systèmes.
Chiffrement des données stockées (« encryption at rest »).
Séparation logique entre le contenu de la conversation et les données techniques de visite, de sorte que les adresses IP et les transcriptions ne soient pas liées entre elles ; dans des cas exceptionnels, comme un incident de sécurité, une liaison limitée peut avoir lieu sous des conditions d'autorisation strictes.
Gestion des accès au niveau de la base de données (Row Level Security — une technique par laquelle l'accès par ligne dans la base de données est imposé, de sorte qu'un utilisateur ne voit que ce qu'il est autorisé à voir).
Accès réservé uniquement au personnel autorisé, lié par la confidentialité.
Journalisation et surveillance pour la détection des incidents de sécurité.

Si une violation de données devait malheureusement se produire, nous agissons conformément à notre procédure interne et, dans la mesure où la loi l'exige, nous la signalons à l'Autorité de protection des données néerlandaise et à toi.

11. Tes droits

En vertu du RGPD, tu disposes de différents droits concernant tes données personnelles. Nous les expliquons ci-dessous.

Droit d'accès : tu peux demander quelles données nous traitons à ton sujet.
Droit de rectification : tu peux faire corriger des données inexactes.
Droit à l'effacement : dans certains cas, tu peux demander l'effacement de tes données.
Droit à la limitation du traitement : dans certains cas, tu peux demander la suspension temporaire du traitement.
Droit à la portabilité : dans la mesure où ce droit s'applique à ta situation, tu peux demander à recevoir tes données dans un format électronique courant ou à les faire transférer directement à une autre partie. Ce droit ne s'applique que lorsque le traitement est fondé sur le consentement ou un contrat et est automatisé.
Droit de ne pas être soumis à une décision uniquement automatisée ayant un effet juridique ou un effet significatif comparable.

Droit d'opposition. Tu as le droit de t'opposer aux traitements que nous fondons sur l'intérêt légitime ou, le cas échéant, sur une mission d'intérêt public. Si tu t'opposes, nous cessons le traitement, sauf si nous avons des motifs légitimes impérieux qui prévalent sur tes intérêts, droits et libertés. Tu peux envoyer une opposition à klacht@parkinsonfonds.nl. Ce droit est également mis en évidence séparément avant la conversation (voir le pré-avis de chat).

Droit de retirer le consentement. Dans la mesure où nous traitons tes données sur la base du consentement, tu peux retirer ce consentement à tout moment. Le retrait du consentement n'a pas d'effet rétroactif : les traitements qui ont eu lieu avant le retrait restent licites.

Comment exercer tes droits ? Tu peux exercer tes droits en envoyant une demande à info@parkinsonfonds.nl. Nous répondons dans un délai d'un mois à compter de la réception de ta demande. Dans des cas exceptionnels, nous pouvons prolonger ce délai de deux mois ; dans ce cas, nous t'informons dans le premier mois. Pour pouvoir traiter ta demande, nous pouvons te demander des informations supplémentaires pour vérifier ton identité.

Droit de déposer une plainte auprès de l'autorité de contrôle. Si tu estimes que nous ne traitons pas tes données avec soin, tu peux déposer une plainte auprès de l'Autorité de protection des données néerlandaise. Nous apprécions que tu nous contactes d'abord, afin que nous puissions trouver une solution ensemble.

12. Comment obtenons-nous tes données ?

Nous recevons en principe tes données directement de toi : tu décides ce que tu dis ou tapes au digital human, et ton appareil fournit automatiquement certaines données techniques (telles que l'adresse IP et les informations sur le navigateur) pour permettre la connexion.

13. Mineurs

Le digital human ne s'adresse en principe pas aux enfants de moins de 16 ans. Si nous savons ou soupçonnons qu'un utilisateur a moins de 16 ans, nous ne traitons ses données que si nous avons le consentement d'un parent ou représentant légal, ou sur la base d'une autre base juridique appropriée au titre du RGPD. Lorsque nous utilisons l'intérêt légitime comme base, nous prenons en compte les intérêts des enfants, dans la mesure où ils peuvent raisonnablement faire partie des utilisateurs, avec une attention particulière dans notre mise en balance des intérêts. Dans ce cas, nous appliquons des durées de conservation plus courtes, évitons les sujets contextuellement sensibles et donnons des explications dans un langage simple.

14. Modifications de cette déclaration

Nous pouvons adapter cette déclaration de confidentialité de temps à autre, par exemple si le fonctionnement du digital human change ou si la loi l'exige. En cas de modifications substantielles, nous informons les utilisateurs via notre site web. En haut de cette déclaration tu trouves la version et la date de la modification la plus récente.

15. Contact

As-tu des questions sur cette déclaration de confidentialité ou sur la manière dont nous traitons tes données ? Contacte-nous via :

Stichting ParkinsonFonds
Hoofdweg 667, 2131 BB Hoofddorp, Pays-Bas
info@parkinsonfonds.nl
+31 23 554 07 55

Declaración de privacidad Virtual James Parkinson (VJP)
Versión 2.0 — 21 de mayo de 2026 — Stichting ParkinsonFonds

Este documento es una traducción del documento original (en neerlandés) y se proporciona para mayor comodidad. En caso de discrepancia, prevalecerá la versión original.

1. Introducción

Esta declaración de privacidad describe cómo la Stichting ParkinsonFonds (en adelante: «nosotros», «nuestro» o «SPF») trata los datos personales de las personas que utilizan Virtual James Parkinson (en adelante: «el digital human»). Consideramos importante la protección de tu privacidad y tratamos tus datos con cuidado.

El digital human es un avatar interactivo con el que puedes mantener una conversación mediante texto y/o voz. La tecnología detrás del digital human es proporcionada por Hibou/x B.V. («Hibou»), con sede en Ámsterdam. Hibou actúa como encargado del tratamiento en el sentido del Reglamento General de Protección de Datos (RGPD) y trata los datos personales exclusivamente bajo nuestras instrucciones.

Te recomendamos leer esta declaración con atención antes de iniciar una conversación con el digital human.

2. ¿Qué son los datos personales?

Los datos personales son toda información que es directa o indirectamente identificable contigo como persona. Esto incluye datos evidentes como un nombre o una dirección de correo electrónico, pero también datos indirectamente identificadores como una dirección IP o un identificador de sesión (un código generado aleatoriamente con el que tu conversación se distingue técnicamente de otras conversaciones).

Algunos datos que tratamos en el contexto del digital human pueden considerarse seudonimizados: no son directamente identificables contigo, pero combinados con otra información la identificación podría ser posible. Por ello, tratamos esos datos como datos personales y les aplicamos las garantías del RGPD. La seudonimización es distinta de la anonimización: con la anonimización, la identificación ya no es razonablemente posible, y las reglas del RGPD ya no se aplican.

3. Estás manteniendo una conversación con un sistema de IA

El digital human es un sistema de IA. El avatar que ves y la voz que oyes son generados por software; no es un humano. Las respuestas se generan mediante un modelo lingüístico subyacente.

Las respuestas de un sistema de IA no siempre son factualmente correctas. Puede ocurrir que el digital human dé una respuesta que sea incompleta, inexacta o ya no esté actualizada. El digital human ofrece información general y no toma decisiones, evaluaciones o compromisos formales en nombre de SPF. No utilices, por tanto, la información como única fuente para decisiones importantes y, en caso de duda, consulta a un experto.

Servicio de información general: Te pedimos que no compartas datos personales sensibles o de categorías especiales con el digital human, como información sobre tu salud, religión, opiniones políticas, vida sexual, raza o antecedentes penales, ni datos de personas distintas de ti misma. Tampoco compartas contraseñas, datos de pago u otra información secreta. Cuantos menos datos compartas, mejor protegida estará tu privacidad.

VJP no da consejos personales — para ello debes acudir a tu propio profesional sanitario. Sí puedes pedirle a VJP información general sobre el estado de la investigación, los tratamientos y los síntomas. Por tanto, no es necesario ni se pretende compartir información personal con VJP.

No estás obligado a compartir datos personales. Si no introduces ningún texto o voz, el digital human no podrá responder a tu pregunta, pero por lo demás, no facilitar datos no tiene consecuencias para ti.

4. Sobre nosotros

El responsable del tratamiento para los tratamientos descritos en esta declaración es:

Stichting ParkinsonFonds
Hoofdweg 667
2131 BB Hoofddorp, Países Bajos
Número de Cámara de Comercio: 34103067
Dirección de correo electrónico para preguntas de privacidad: info@parkinsonfonds.nl
Teléfono: +31 23 554 07 55

No hemos designado un Delegado de Protección de Datos.

5. ¿Con qué finalidades tratamos datos personales?

Tratamos tus datos personales exclusivamente para las finalidades que se describen a continuación. Por cada finalidad explicamos en qué consiste, qué datos tratamos, durante cuánto tiempo conservamos los datos y en qué base jurídica nos basamos.

5.1 Mantener una conversación con el digital human

¿En qué consiste esta finalidad? Cuando inicias una conversación con el digital human, tratamos tu entrada (texto y/o voz) para que el digital human pueda darte una respuesta adecuada. Cuando se utiliza la voz, tu voz se convierte en texto en tiempo real. Para el funcionamiento del avatar, la voz y la interacción utilizamos la tecnología de Hibou y sus subencargados.

¿Qué datos personales tratamos para ello?

El texto que tecleas o pronuncias (contenido de la conversación).
Si la voz está activada: la entrada de voz que se convierte en texto (la grabación de voz en sí no se conserva).
Las imágenes del avatar y la salida de audio generada que se te envían de vuelta.
Un identificador de sesión: un código generado aleatoriamente con el que tu conversación se distingue técnicamente de otras conversaciones.
El momento de inicio y fin de la conversación.
La duración de la conversación.

¿Cuánto tiempo conservamos estos datos? Conservamos el contenido de la conversación (transcripciones) y los identificadores de sesión durante un máximo de 15 meses, tras los cuales se eliminan automáticamente. Aplicamos este plazo de conservación para poder elaborar análisis anuales completos (12 meses) e incluir además un trimestre del año siguiente (T1) para comparación de tendencias y elaboración de informes. Los flujos de voz y vídeo en tiempo real no se almacenan; solo se utilizan para hacer posible la conversación.

¿Cuál es la base jurídica? La base jurídica es nuestro interés legítimo (artículo 6, apartado 1, letra f del RGPD). Nuestro interés concreto es: poner a disposición de nuestras visitantes, de forma accesible y fuera del horario de oficina, información general sobre la enfermedad de Parkinson. Hemos ponderado este interés frente a tus intereses de privacidad y hemos adoptado garantías apropiadas, como plazos de conservación limitados, separación entre el contenido de la conversación y los datos técnicos, y las exclusiones descritas en esta declaración. Al iniciar la conversación, eliges usar el digital human. Esto no constituye consentimiento en el sentido del RGPD. Tienes derecho a oponerte a este tratamiento en cualquier momento; véase el apartado 11.

Categorías especiales de datos personales (solo si se pretende expresamente): No pretendemos tratar a través del digital human categorías especiales de datos personales en el sentido del artículo 9, apartado 1 del RGPD, como datos sobre tu salud, religión, convicciones filosóficas, opiniones políticas, afiliación sindical, vida sexual u orientación sexual, origen racial o étnico o antecedentes penales. En el aviso previo al chat y en el apartado 3 te pedimos que no compartas tales datos con el digital human.

Si, no obstante, compartes activamente y por iniciativa propia categorías especiales de datos personales con el digital human (por ejemplo, tecleándolos o pronunciándolos), se aplica lo siguiente. Al introducir voluntariamente esos datos, sabiendo que el digital human registra, almacena y puede analizar tu entrada tal como se describe en esta declaración, consideramos que esos datos han sido manifiestamente hechos públicos por ti respecto a SPF y al encargado y subencargados mencionados en el apartado 7. Basamos el tratamiento de tales datos en la excepción del artículo 9, apartado 2, letra e del RGPD.

No utilizamos estos datos para fines distintos de los descritos en el apartado 5, y los eliminamos o anonimizamos conforme a los plazos de conservación del apartado 9. Hemos adoptado garantías apropiadas para limitar los riesgos de un tratamiento no intencionado de datos especiales: las advertencias previas, la estricta restricción de acceso a las transcripciones, los breves plazos de conservación y la prohibición de uso para elaboración de perfiles o marketing.

5.2 Funcionamiento técnico y resolución de problemas

¿En qué consiste esta finalidad? Nosotros y Hibou tratamos datos técnicos para que el digital human funcione correctamente, para detectar y resolver incidencias y para supervisar la estabilidad y disponibilidad del servicio.

¿Qué datos personales tratamos para ello?

Dirección IP.
Tipo de navegador, sistema operativo y tipo de dispositivo (user-agent).
Hora de la visita.
Registros de interacción y mensajes de error.

¿Cuánto tiempo conservamos estos datos? Las direcciones IP y los archivos de registro del servidor se conservan durante un máximo de 15 meses, en línea con la política de seguridad y registro de Hibou y su proveedor de hosting.

¿Cuál es la base jurídica? Nuestro interés legítimo en un servicio que funcione correctamente, sea seguro y estable (artículo 6, apartado 1, letra f del RGPD).

5.3 Aseguramiento de la calidad y mejora de nuestro servicio

¿En qué consiste esta finalidad? Analizamos el contenido de las conversaciones y los datos de interacción para supervisar la calidad de las respuestas dentro de nuestro propio despliegue, para entender qué preguntas hacéis tú y otros usuarios, y para mejorar la base de conocimientos, las instrucciones y el funcionamiento de nuestro digital human con el tiempo. Este análisis tiene lugar dentro de nuestro despliegue y no está destinado a seguirte como individuo ni a construir un perfil personal.

¿Qué datos personales tratamos para ello? Contenido de la conversación, identificadores de sesión, marca de tiempo y registros de interacción como se describe en los apartados 5.1 y 5.2.

¿Cuánto tiempo conservamos estos datos? Un máximo de 15 meses en forma identificada o seudonimizada. Después, los datos se eliminan o anonimizan (véase el apartado 5.5).

¿Cuál es la base jurídica? Nuestro interés legítimo en mejorar la calidad y usabilidad de nuestro despliegue (artículo 6, apartado 1, letra f del RGPD). Hemos hecho una ponderación en la que este interés se contrapesa con tus intereses de privacidad, y hemos adoptado garantías apropiadas como acceso restringido, plazos de conservación breves y no uso para elaboración de perfiles o marketing.

5.4 Seguridad y registro

¿En qué consiste esta finalidad? Tratamos determinados datos para proteger el digital human frente a abusos, fraude y accesos no autorizados, y para poder detectar e investigar eventuales incidentes de seguridad. También puede llevarse a cabo un filtrado automatizado de contenido para evitar abusos y salidas ilícitas.

¿Qué datos personales tratamos para ello? Dirección IP, identificador de sesión, marca de tiempo, datos técnicos de tu dispositivo y (si es pertinente) contenido de la conversación que active los filtros de seguridad.

¿Cuánto tiempo conservamos estos datos? Los registros de seguridad se conservan durante el tiempo que sea necesario para el fin de seguridad, con un máximo de 15 meses.

¿Cuál es la base jurídica? Nuestro interés legítimo en la seguridad del servicio y la protección de nuestros derechos y los de terceros (artículo 6, apartado 1, letra f del RGPD).

5.5 Anonimización

¿En qué consiste esta finalidad? Encargamos a Hibou anonimizar los datos personales cuando ya no sean necesarios para las finalidades de los apartados 5.1 a 5.4, o a más tardar al final del plazo de conservación aplicable. Anonimizar significa que los datos se tratan de tal manera que ya no se te pueda identificar a partir de ellos, ni siquiera en combinación con otra información.

La anonimización en sí es un tratamiento de datos personales y se realiza bajo nuestras instrucciones; Hibou actúa como encargado. Solo después de que los datos se hayan vuelto efectivamente anónimos dejan de ser datos personales en el sentido del RGPD. A partir de ese momento, quedan fuera del ámbito de esta declaración. Hibou podrá entonces utilizar estos datos no personales para la mejora de su propia plataforma y servicios; no podrá transmitir ni vender estos datos a terceros sin nuestro consentimiento previo por escrito.

¿Qué datos personales tratamos para ello? La operación de anonimización se aplica al contenido de la conversación y a los registros de interacción descritos bajo las finalidades anteriores.

¿Cuánto tiempo conservamos estos datos? Los datos personales originales se eliminan tras la anonimización. Los propios datos anonimizados ya no son datos personales y, por tanto, no tienen plazo de conservación según el RGPD.

¿Cuál es la base jurídica? Para la anonimización en sí: nuestro interés legítimo en una eliminación eficiente y en una mejora continua de la calidad de un servicio que también beneficia a otros usuarios (artículo 6, apartado 1, letra f del RGPD). Hemos acordado con Hibou que la anonimización cumpla de manera demostrable los tres criterios que utiliza el Comité Europeo de Protección de Datos: ya no debe ser posible singularizar a individuos, vincular datos ni inferir características identificativas.

5.6 Cookies y mantenimiento de sesión

Para el funcionamiento del digital human colocamos una cookie funcional o tecnología similar con la que se mantiene técnicamente tu sesión. Esto es necesario para que la conversación entre tú y el digital human se desarrolle correctamente. Para cookies que no sean estrictamente necesarias (por ejemplo, para análisis o marketing) te pedimos previamente tu consentimiento mediante un banner de cookies. Encontrarás más información en nuestra declaración de cookies.

6. Toma de decisiones automatizada y elaboración de perfiles

El digital human genera respuestas automatizadas basadas en un sistema de IA. Estas respuestas no constituyen decisiones con efectos jurídicos o efectos similarmente significativos para ti en el sentido del artículo 22 del RGPD. No utilizamos el digital human para tomar decisiones automatizadas sobre ti, construir perfiles ni hacer predicciones sobre tu comportamiento.

Cuando una pregunta o solicitud pueda llevar a una valoración, solicitud o decisión formal, el digital human te remite al canal de contacto adecuado dentro de nuestra organización.

7. ¿Con quién compartimos tus datos?

Compartimos tus datos personales exclusivamente con las siguientes categorías de destinatarios, y solo en la medida en que sea necesario para las finalidades descritas arriba.

Hibou como encargado. Hibou suministra la tecnología del digital human y trata tus datos exclusivamente bajo nuestras instrucciones y sobre la base de un contrato de encargo del tratamiento que cumple con el artículo 28 del RGPD.

Subencargados de Hibou. Hibou utiliza subencargados para el funcionamiento del digital human. Están clasificados en las siguientes categorías funcionales:

Proveedores de procesamiento de avatar y voz, para generar el avatar y la voz.
Proveedores de comunicación de audio y vídeo en tiempo real, para hacer posible la conversación en tiempo real.
Proveedores de tecnología de base de datos, para almacenar transcripciones y datos de sesión.
Proveedores de alojamiento e infraestructura de servidores.
Proveedores de implementación y mantenimiento técnico.

Hibou ha celebrado con todas estas partes acuerdos conformes al artículo 28 del RGPD. Una lista actualizada con los nombres de los subencargados, su función, su país de establecimiento y la garantía de transferencia aplicable está disponible a petición a través de la dirección de contacto mencionada en el apartado 4.

Otros destinatarios. Además, podemos, en la medida necesaria y legalmente exigida, compartir tus datos con autoridades gubernamentales, autoridades de control, servicios de investigación o asesores (jurídicos).

Nunca vendemos tus datos a terceros.

8. Transferencias fuera del Espacio Económico Europeo

Las transcripciones y los datos de sesión se almacenan en servidores dentro del Espacio Económico Europeo (EEE — los Estados miembros de la UE más Islandia, Noruega y Liechtenstein). Para componentes específicos del digital human, en particular el procesamiento de voz y avatar en tiempo real, el contenido de tu conversación puede ser tratado temporalmente por proveedores de servicios fuera del EEE, incluidos los Estados Unidos.

Para esta transferencia utilizamos las siguientes garantías:

Una decisión de adecuación de la Comisión Europea, entre ellas el EU–US Data Privacy Framework (artículo 45 del RGPD), siempre que la parte receptora esté adherida.
Las cláusulas contractuales tipo establecidas por la Comisión Europea — son contratos modelo europeos que garantizan un nivel de protección adecuado cuando falta una decisión de adecuación (artículo 46, apartado 2, letra c del RGPD).

9. ¿Cuánto tiempo conservamos tus datos?

Los plazos de conservación por categoría de datos personales se indican junto a las finalidades individuales en el apartado 5. En resumen:

Contenido de la conversación (transcripciones) e identificadores de sesión: máximo 15 meses, tras los cuales se produce la eliminación automática.
Direcciones IP y archivos de registro del servidor: máximo 15 meses.
Registros de seguridad: máximo 15 meses.
Datos anonimizados: sin limitación (ya no son datos personales).

Si estamos legalmente obligados a conservar los datos durante más tiempo, lo haremos conforme a esa obligación y con medidas de seguridad apropiadas.

10. ¿Cómo protegemos tus datos?

Junto con Hibou hemos adoptado medidas técnicas y organizativas apropiadas para proteger tus datos frente a pérdida, acceso no autorizado, alteración o divulgación, conforme al artículo 32 del RGPD. Las principales medidas son:

Conexiones cifradas (HTTPS/TLS) entre tu dispositivo y nuestros sistemas.
Cifrado de los datos almacenados («encryption at rest»).
Separación lógica entre el contenido de la conversación y los datos técnicos de visita, de modo que las direcciones IP y las transcripciones no se vinculen entre sí; en casos excepcionales, como un incidente de seguridad, puede producirse una vinculación limitada bajo condiciones estrictas de autorización.
Gestión de accesos a nivel de la base de datos (Row Level Security — una técnica por la cual el acceso por fila en la base de datos se impone, de manera que un usuario solo ve lo que está autorizado a ver).
Acceso solo para personal autorizado, vinculado por confidencialidad.
Registro y monitorización para detectar incidentes de seguridad.

Si lamentablemente se produjera una brecha de datos, actuamos conforme a nuestro procedimiento interno y, en la medida en que la ley lo exija, la notificamos a la autoridad de protección de datos neerlandesa y a ti.

11. Tus derechos

En virtud del RGPD tienes diversos derechos en relación con tus datos personales. A continuación los explicamos.

Derecho de acceso: puedes solicitar qué datos tratamos sobre ti.
Derecho de rectificación: puedes hacer corregir datos inexactos.
Derecho de supresión: en determinados casos puedes solicitar la supresión de tus datos.
Derecho a la limitación del tratamiento: en determinados casos puedes solicitar la suspensión temporal del tratamiento.
Derecho a la portabilidad: en la medida en que este derecho sea aplicable a tu situación, puedes solicitar recibir tus datos en un formato electrónico de uso común o que se transmitan directamente a otra parte. Este derecho solo se aplica cuando el tratamiento se basa en consentimiento o contrato y se realiza por medios automatizados.
Derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizado con efectos jurídicos o efectos similarmente significativos.

Derecho de oposición. Tienes derecho a oponerte a los tratamientos que basemos en el interés legítimo o, en su caso, en una misión de interés público. Si te opones, cesaremos el tratamiento, salvo que tengamos motivos legítimos imperiosos que prevalezcan sobre tus intereses, derechos y libertades. Puedes enviar una oposición a klacht@parkinsonfonds.nl. Este derecho también se destaca por separado antes de la conversación (véase el aviso previo al chat).

Derecho a retirar el consentimiento. En la medida en que tratemos tus datos sobre la base del consentimiento, puedes retirar este consentimiento en cualquier momento. La retirada del consentimiento no tiene efectos retroactivos: los tratamientos que hayan tenido lugar antes de la retirada permanecen lícitos.

¿Cómo ejerces tus derechos? Puedes ejercer tus derechos enviando una solicitud a info@parkinsonfonds.nl. Responderemos en el plazo de un mes desde la recepción de tu solicitud. En casos excepcionales podemos prorrogar este plazo en dos meses; en ese caso te informaremos dentro del primer mes. Para poder tramitar tu solicitud, podemos pedirte información adicional para verificar tu identidad.

Derecho a presentar una reclamación ante la autoridad de control. Si consideras que no estamos tratando tus datos con cuidado, puedes presentar una reclamación ante la autoridad de protección de datos neerlandesa. Apreciamos que primero contactes con nosotros, para que podamos buscar una solución juntos.

12. ¿Cómo obtenemos tus datos?

Recibimos tus datos en principio directamente de ti: tú decides lo que dices o tecleas al digital human, y tu dispositivo proporciona automáticamente algunos datos técnicos (como la dirección IP y la información del navegador) para hacer posible la conexión.

13. Menores

El digital human no está dirigido en principio a menores de 16 años. Si sabemos o sospechamos que un usuario es menor de 16 años, solo trataremos sus datos si contamos con el consentimiento de un progenitor o representante legal, o sobre la base de otra base jurídica apropiada según el RGPD. Cuando utilicemos el interés legítimo como base, sopesaremos los intereses de los menores, cuando puedan razonablemente formar parte de los usuarios, con especial atención en nuestra ponderación. En ese caso aplicamos plazos de conservación más breves, evitamos temas contextualmente sensibles y damos explicaciones en lenguaje sencillo.

14. Modificaciones de esta declaración

Podemos adaptar esta declaración de privacidad de vez en cuando, por ejemplo si cambia el funcionamiento del digital human o si la ley así lo exige. En caso de modificaciones sustanciales, informaremos a los usuarios a través de nuestro sitio web. En la parte superior de esta declaración encontrarás la versión y la fecha de la modificación más reciente.

15. Contacto

¿Tienes preguntas sobre esta declaración de privacidad o sobre cómo tratamos tus datos? Contacta con nosotros a través de:

Stichting ParkinsonFonds
Hoofdweg 667, 2131 BB Hoofddorp, Países Bajos
info@parkinsonfonds.nl
+31 23 554 07 55

Druk op spatie
terwijl je praat

Houd het scherm ingedrukt
terwijl je praat

00:00

24/7 betrouwbare informatie over parkinson

Meer over VJP

Een vertrouwd gezicht bij vragen over parkinson

Duidelijkheid, wanneer het ertoe doet

Waar technologie menselijk wordt