3K+ happy customers
Unlimited contact with doctors
100% online
Fast and discreet delivery
Dutch pharmacies
Privacy Policy
1. Identiteit en contactgegevens
De verwerkingsverantwoordelijke voor de in dit privacybeleid beschreven verwerkingen is Adonis2 B.V., handelend onder de handelsnaam 3CO.
3CO is ingeschreven bij de Kamer van Koophandel onder nummer: 91610028. Het btw-nummer van 3CO is: NL865710892B01.
Het vestigingsadres van 3CO is: Keizersgracht 285, 1016 ED Amsterdam.
Voor vragen over privacy of de verwerking van persoonsgegevens kan contact worden opgenomen via e-mail op: support@3co.nl of telefonisch via: 085 130 35 71.
De website van 3CO is: www.3co.nl.
2. Inleiding en reikwijdte
3CO (Adonis2 B.V.) hecht grote waarde aan de bescherming van de persoonlijke levenssfeer van haar gebruikers. Wij gaan zorgvuldig om met persoonsgegevens en volgen daarbij de Algemene Verordening Gegevensbescherming (AVG), de Uitvoeringswet AVG (UAVG), de Wet op de geneeskundige behandelingsovereenkomst (WGBO) en overige toepasselijke wet- en regelgeving.
Dit privacybeleid is van toepassing op alle persoonsgegevens die worden verwerkt via het Platform www.3co.nl, inclusief de bijbehorende applicaties, en op alle personen die gebruik maken van onze diensten in Nederland en België.
Via het Platform brengen wij gebruikers in contact met BIG-geregistreerde artsen (de "Zorgverleners") en met onze partnerapotheek De Regenboog Apotheek Bavel B.V. (de "Partnerapotheek"). De Zorgverleners en de Partnerapotheek zijn, voor zover het betreft de medische verwerking, mede verwerkingsverantwoordelijk.
Het gebruik van het Platform is uitsluitend toegestaan voor personen van 18 jaar of ouder. Wij verzamelen niet bewust persoonsgegevens van minderjarigen.
3. Persoonsgegevens die wij verwerken
3CO verwerkt persoonsgegevens die u zelf aan ons verstrekt en/of die ontstaan doordat u gebruikmaakt van onze diensten, via onder meer de volgende handelingen:
- het aanmaken van een online account
- het invullen van een medisch intakeformulier
- het voeren van contact of consulten met een arts via het platform
- het bestellen van geneesmiddelen
- het navigeren en gebruiken van de website
- het opnemen van contact via telefoon, livechat, e-mail of post
Wij verwerken de volgende categorieën persoonsgegevens:
3.1. Welke persoonsgegevens verwerken wij?
3CO verwerkt verschillende categorieën persoonsgegevens, afhankelijk van hoe u gebruikmaakt van onze website, het platform en onze dienstverlening.
Wij kunnen identificatiegegevens verwerken, zoals uw voor- en achternaam, geboortedatum en geslacht.
Daarnaast verwerken wij contactgegevens, zoals uw adres, e-mailadres en telefoonnummer.
Wanneer u een account aanmaakt, verwerken wij accountgegevens, zoals uw gebruikersnaam, wachtwoord en overige inloggegevens.
Ook kunnen wij communicatiegegevens verwerken, zoals correspondentie, e-mails, chatgesprekken en berichten via het platform.
Voor het leveren van onze dienstverlening verwerken wij gezondheidsinformatie. Hieronder vallen onder meer medische gegevens, behandelingen, medicatie-informatie en medische geschiedenis.
Uw BSN wordt uitsluitend gebruikt voor persoonsverificatie door de partnerapotheek en voor het uitschrijven van een rechtsgeldig recept.
Daarnaast verwerken wij transactiegegevens, zoals uw aankoopgeschiedenis. Betalingsgegevens zelf worden verwerkt door onze externe betaalverwerkers, zoals Stripe en Mollie. 3CO heeft geen toegang tot volledige betalingsgegevens.
Verder kunnen wij technische gegevens verwerken, zoals uw IP-adres, locatiegegevens, browsertype, apparaatgegevens, logbestanden en cookies.
Ook kunnen wij gegevens over uw websitegedrag verwerken, zoals bezochte pagina’s, klikgedrag en downloadsgeschiedenis.
Tot slot kunnen wij marketinggegevens verwerken, zoals communicatievoorkeuren, enquêtereacties en feedback.
4. Bijzondere categorieën persoonsgegevens
3CO verwerkt bijzondere categorieën persoonsgegevens in de zin van art. 9 AVG. Het betreft:
- Gezondheidsgegevens — informatie over (haar)gezondheid, medische voorgeschiedenis en behandelingen
- Burgerservicenummer (BSN) — verwerkt op grond van art. 46 UAVG, uitsluitend voor verificatie door de Partnerapotheek en voor de uitgifte van wettelijk voorgeschreven recepten
Wij treffen aanvullende technische en organisatorische maatregelen voor de bescherming van deze bijzondere categorieën, waaronder toegangsbeperking, encryptie en versleuteld dataverkeer. Verwerking vindt uitsluitend plaats voor de doeleinden en op de grondslagen beschreven in artikel 5.
5. Doeleinden en grondslagen van verwerking
Wij verwerken persoonsgegevens uitsluitend voor vooraf vastgestelde doeleinden, op basis van een geldige AVG-rechtsgrond:
5.1 Dienstverlening en medische zorg
Het aanbieden van ons platform, het faciliteren van medische consulten met Zorgverleners en de verwerking van medische gegevens voor de behandeling van erfelijke haaruitval.
Grondslag: Uitvoering overeenkomst (art. 6 lid 1 sub b AVG) voor reguliere gegevens; gezondheidszorg (art. 9 lid 2 sub h AVG) voor medische gegevens verwerkt door Zorgverleners en Partnerapotheek; uitdrukkelijke toestemming (art. 9 lid 2 sub a AVG) voor overige verwerking van gezondheidsdata.
5.2 Bestelling en levering
Het verwerken van bestellingen, het beheren van abonnementen en de levering van medicatie via de Partnerapotheek, inclusief het invullen van recepten.
Grondslag: Uitvoering overeenkomst (art. 6 lid 1 sub b AVG); gezondheidszorg (art. 9 lid 2 sub h AVG) voor medische gegevens verwerkt door de Partnerapotheek.
5.3 Communicatie en klantenservice
Het onderhouden van contact over uw diensten en abonnement, het beantwoorden van vragen via e-mail, telefoon of livechat (Crisp), het sturen van herinneringen en het verstrekken van verzendinformatie.
Grondslag: Uitvoering overeenkomst (art. 6 lid 1 sub b AVG) en gerechtvaardigd belang (art. 6 lid 1 sub f AVG).
5.4 Marketing en nieuwsbrief
Het versturen van marketingcommunicatie, productinformatie en nieuwsbrieven. Wij gebruiken geen gezondheidsdata voor gepersonaliseerde marketing, tenzij u daarvoor uitdrukkelijk toestemming heeft gegeven.
Grondslag: Toestemming (art. 6 lid 1 sub a AVG) voor nieuwe abonnees; gerechtvaardigd belang (art. 6 lid 1 sub f AVG) om bestaande klanten te informeren over vergelijkbare eigen producten of diensten. Uitdrukkelijke toestemming (art. 9 lid 2 sub a AVG) indien gezondheidsdata wordt gebruikt voor gepersonaliseerde marketing.
5.5 Online advertenties
Het inzetten van gepersonaliseerde online advertenties op platforms zoals Google en Meta. Hiervoor worden uitsluitend geanonimiseerde segmenten gebruikt; geen directe gezondheidsdata.
Grondslag: Toestemming (art. 6 lid 1 sub a AVG via cookieconsent) en gerechtvaardigd belang (art. 6 lid 1 sub f AVG).
5.6 Verbetering van diensten
Het uitvoeren van gebruiksanalyses en klanttevredenheidsonderzoeken om het Platform en onze dienstverlening te verbeteren.
Grondslag: Gerechtvaardigd belang (art. 6 lid 1 sub f AVG) of toestemming (art. 6 lid 1 sub a AVG).
5.7 Wettelijke verplichtingen
Het voldoen aan wettelijke verplichtingen, waaronder fiscale bewaarplichten, meldplichten aan de Autoriteit Persoonsgegevens (datalekken) en eventuele rapportages aan de IGJ.
Grondslag: Wettelijke verplichting (art. 6 lid 1 sub c AVG).
6. Toestemming
Voor de verwerking van bijzondere categorieën persoonsgegevens (gezondheidsdata, BSN) vragen wij uw uitdrukkelijke toestemming. U verleent deze toestemming op het moment dat u het intakeproces start en akkoord gaat met dit privacybeleid.
U heeft te allen tijde het recht uw toestemming in te trekken. Het intrekken van toestemming doet geen afbreuk aan de rechtmatigheid van de verwerking die heeft plaatsgevonden vóór de intrekking. U kunt uw toestemming intrekken via support@3co.nl of via uw accountinstellingen.
Indien u uw toestemming intrekt voor de verwerking van medische gegevens, kunnen wij de dienstverlening (medisch consult en medicatielevering) niet voortzetten.
7. Delen van persoonsgegevens met derden
3CO verkoopt uw gegevens nooit aan derden. Gegevens worden uitsluitend gedeeld wanneer dit noodzakelijk is voor het leveren van onze diensten of wanneer wij daartoe wettelijk verplicht zijn. Met alle externe verwerkers zijn verwerkersovereenkomsten (DPA's) afgesloten.
Hieronder een overzicht van de partijen waarmee wij gegevens delen:
7.1. Met wie delen wij persoonsgegevens?
3CO deelt persoonsgegevens alleen wanneer dit noodzakelijk is voor het leveren van onze dienstverlening, het uitvoeren van een overeenkomst, het voldoen aan wettelijke verplichtingen of wanneer daar een andere geldige grondslag voor bestaat.
Wij delen gegevens met De Regenboog Apotheek Bavel voor de bereiding en uitgifte van medicatie. Hierbij kunnen onder meer het recept, medische gegevens, het BSN en adresgegevens worden gedeeld. Deze verwerking vindt plaats in Nederland, binnen de Europese Unie.
Daarnaast werken wij samen met BIG-geregistreerde zorgverleners voor het uitvoeren van medische consulten en het voorschrijven van behandelingen. Hiervoor kunnen medische intakegegevens en gezondheidsgegevens worden verwerkt. Deze verwerking vindt plaats in Nederland, binnen de Europese Unie.
Voor betalingsverwerking maken wij gebruik van Stripe Payments Europe en Mollie B.V. Stripe verwerkt betaalgegevens voor onder meer kaartbetalingen en SEPA-betalingen. Deze gegevens worden niet door 3CO zelf verwerkt. Stripe kan gegevens verwerken binnen de EU en, waar nodig, in de Verenigde Staten. In dat geval maakt Stripe gebruik van passende waarborgen, zoals Standard Contractual Clauses. Mollie verwerkt betaalgegevens voor onder meer iDEAL en andere betaalmethoden. Deze verwerking vindt plaats in Nederland, binnen de Europese Unie.
Voor onze website, het CMS en hosting maken wij gebruik van Webflow, Inc. Hierbij kunnen technische gegevens en gegevens over websitebezoek worden verwerkt. Webflow is gevestigd in de Verenigde Staten en maakt, waar nodig, gebruik van passende waarborgen, zoals de EU Standard Contractual Clauses.
Voor livechat en klantenservice maken wij gebruik van Crisp IM S.A.S. Hierbij kunnen chatberichten, e-mailadressen en IP-adressen worden verwerkt. Deze verwerking vindt plaats binnen de Europese Unie, onder meer in Frankrijk.
Voor de bezorging van bestellingen kunnen wij gegevens delen met PostNL. Hierbij gaat het om gegevens die noodzakelijk zijn voor de bezorging, zoals naam, adres en eventuele trackinginformatie. Deze verwerking vindt plaats in Nederland, binnen de Europese Unie.
* Stripe heeft een EU-vestiging (Stripe Payments Europe, Ltd., Dublin) en verwerkt de meeste transacties binnen de EU. Sommige ondersteunende functies kunnen data doorgeven naar de VS, gedekt door Standard Contractual Clauses (SCCs).
Daarnaast kunnen wij gegevens delen met:
- Wettelijke instanties — indien wij verplicht zijn gegevens te verstrekken aan overheidsorganisaties, toezichthouders (IGJ, AP) of rechterlijke autoriteiten.
- Advertentiepartners — geanonimiseerde of geaggregeerde data voor gepersonaliseerde advertenties via Google en Meta; geen directe gezondheidsdata.
8. Doorgifte van gegevens naar derde landen
3CO probeert doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER) zoveel mogelijk te beperken. Op dit moment vindt doorgifte naar derde landen uitsluitend plaats via:
Doorgifte buiten de Europese Economische Ruimte
Voor bepaalde technische diensten kan 3CO gebruikmaken van verwerkers buiten de Europese Economische Ruimte, zoals Webflow, Inc. in de Verenigde Staten.
Webflow, Inc. wordt gebruikt voor het website-CMS en hosting. Hierbij kunnen uitsluitend technische websitegegevens en bezoekersgegevens worden verwerkt.
Voor deze doorgifte maakt 3CO gebruik van passende waarborgen, namelijk de Standard Contractual Clauses van de Europese Commissie, zoals bedoeld in artikel 46 lid 2 sub c AVG. Op verzoek kan 3CO een kopie van deze Standard Contractual Clauses verstrekken.
Alle overige sub-verwerkers (AWS Frankfurt, Mollie, Crisp, PostNL, Regenboog Apotheek) verwerken gegevens binnen de EER. Voor Stripe geldt dat de verwerkingsverantwoordelijkheid voor betalingstransacties ligt bij Stripe Payments Europe (Ierland).
9. Bewaartermijnen
Wij bewaren persoonsgegevens niet langer dan noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld, of zolang wettelijke bewaarplichten dit vereisen. Hieronder een overzicht van de gehanteerde bewaartermijnen:
Bewaartermijnen
3CO bewaart persoonsgegevens niet langer dan noodzakelijk is voor de doeleinden waarvoor de gegevens zijn verzameld, tenzij wij wettelijk verplicht zijn gegevens langer te bewaren.
Medische dossiers en gegevens die onderdeel zijn van het elektronisch patiëntendossier bewaren wij gedurende 20 jaar na de laatste behandeling, conform artikel 7:454 van de Wet op de geneeskundige behandelingsovereenkomst (WGBO).
Financiële gegevens en transactiegegevens bewaren wij gedurende 7 jaar na afloop van het betreffende belastingjaar, voor zover dit noodzakelijk is op grond van fiscale wetgeving en de Algemene wet inzake rijksbelastingen (AWR).
Accountgegevens van actieve accounts bewaren wij zolang het account actief is en dit noodzakelijk is voor de uitvoering van de overeenkomst.
Wanneer een account wordt verwijderd, kunnen accountgegevens nog maximaal 30 dagen in back-ups worden bewaard. Daarna worden deze gegevens gewist, tenzij er een wettelijke verplichting bestaat om bepaalde gegevens langer te bewaren.
Marketinggegevens, zoals e-mailadressen en communicatievoorkeuren, bewaren wij totdat de toestemming wordt ingetrokken. U kunt uw toestemming op ieder moment intrekken.
Chatgesprekken via Crisp bewaren wij gedurende 2 jaar na het gesprek. Deze bewaartermijn is gebaseerd op ons gerechtvaardigd belang om klantenservice te kunnen leveren, vragen goed op te volgen en onze dienstverlening te verbeteren.
Technische logbestanden bewaren wij gedurende 12 maanden. Deze gegevens worden bewaard op basis van ons gerechtvaardigd belang bij beveiliging, fraudepreventie en het goed functioneren van onze systemen.
Betalingsgegevens worden verwerkt door onze externe betaalverwerkers, zoals Stripe en Mollie. 3CO bewaart zelf geen volledige betalingsgegevens. De bewaartermijnen voor deze gegevens worden bepaald door het beleid en de wettelijke verplichtingen van de betreffende betaalverwerker.
10. Beveiliging van persoonsgegevens
3CO neemt de beveiliging van persoonsgegevens serieus en treft passende technische en organisatorische maatregelen conform art. 32 AVG. Onze maatregelen omvatten:
- Toegangsbeheer — toegang tot persoonsgegevens is beperkt tot bevoegde medewerkers op basis van het need-to-know-principe; beveiligd met rolgebaseerde autorisaties en tweefactorauthenticatie (2FA).
- Encryptie — gegevens worden versleuteld opgeslagen (at rest) en versleuteld verzonden (in transit) via sterke encryptieprotocollen (TLS 1.2+).
- E-mailbeveiliging — wij maken gebruik van DKIM en DMARC om e-mailspoofing te voorkomen.
- Back-ups en herstel — regelmatige back-ups met gedocumenteerde herstelprocedures voor het geval van incidenten of datalekken.
- Monitoring en logging — actieve bewaking van systemen op verdachte activiteiten; logbestanden van toegang tot persoonsgegevens worden bijgehouden voor controle en verantwoording.
- Verwerkersovereenkomsten — met alle sub-verwerkers zijn DPA's afgesloten conform art. 28 AVG.
Heeft u reden om te vermoeden dat uw gegevens niet goed beveiligd zijn of dat er sprake is van misbruik? Neem dan direct contact op via support@3co.nl. Datalekken worden conform de AVG gemeld bij de Autoriteit Persoonsgegevens binnen 72 uur na ontdekking.
11. AVG-beginselen
3CO verwerkt persoonsgegevens in lijn met de zes beginselen van art. 5 AVG:
- Rechtmatigheid, behoorlijkheid en transparantie — verwerking vindt uitsluitend plaats op basis van een geldige rechtsgrond; wij informeren betrokkenen helder via dit privacybeleid.
- Doelbinding — gegevens worden uitsluitend verwerkt voor de doeleinden zoals beschreven in artikel 5; geen verdere verwerking die daarmee onverenigbaar is.
- Dataminimalisatie — wij verzamelen uitsluitend gegevens die noodzakelijk zijn voor het beoogde doel; onze verwerkingen worden periodiek geëvalueerd.
- Juistheid — wij streven ernaar persoonsgegevens correct en actueel te houden; betrokkenen kunnen correcties verzoeken.
- Opslagbeperking — gegevens worden niet langer bewaard dan noodzakelijk (zie artikel 9).
- Vertrouwelijkheid en integriteit — passende beveiligingsmaatregelen conform artikel 10.
12. Rechten van betrokkenen
U beschikt over de volgende rechten met betrekking tot uw persoonsgegevens (art. 15–22 AVG):
Uw privacyrechten
U heeft verschillende rechten met betrekking tot de persoonsgegevens die 3CO over u verwerkt. U kunt deze rechten uitoefenen door contact met ons op te nemen via support@3co.nl.
U heeft het recht op inzage. Dit betekent dat u kunt opvragen welke persoonsgegevens 3CO over u verwerkt, voor welke doeleinden wij dat doen, welke categorieën gegevens het betreft en met welke ontvangers deze gegevens eventueel zijn gedeeld.
U heeft het recht op rectificatie. Als uw persoonsgegevens onjuist of onvolledig zijn, kunt u ons verzoeken deze gegevens te corrigeren of aan te vullen.
U heeft het recht op vergetelheid. Dit betekent dat u ons kunt verzoeken uw persoonsgegevens te verwijderen, bijvoorbeeld wanneer u uw toestemming intrekt of wanneer de gegevens niet langer nodig zijn voor het doel waarvoor ze zijn verzameld. Voor medische dossiers geldt echter een wettelijke bewaarplicht van 20 jaar, waardoor deze gegevens niet altijd direct kunnen worden verwijderd.
U heeft het recht op beperking van de verwerking. U kunt ons verzoeken de verwerking van uw persoonsgegevens tijdelijk te beperken, bijvoorbeeld wanneer u de juistheid van bepaalde gegevens betwist.
U heeft het recht op dataportabiliteit. Dit betekent dat u de persoonsgegevens die u zelf aan 3CO heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm kunt ontvangen.
U heeft het recht van bezwaar. U kunt bezwaar maken tegen verwerkingen die gebaseerd zijn op een gerechtvaardigd belang. Dit geldt in het bijzonder voor direct marketing.
Wanneer een verwerking is gebaseerd op uw toestemming, heeft u het recht om deze toestemming op ieder moment in te trekken. Het intrekken van toestemming heeft geen gevolgen voor de rechtmatigheid van de verwerking die heeft plaatsgevonden voordat u uw toestemming introk.
U kunt uw rechten uitoefenen door contact op te nemen via support@3co.nl. Wij reageren binnen 30 dagen (conform art. 12 AVG), of informeren u tijdig indien een verlenging noodzakelijk is.
U heeft ook het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl, of bij de Belgische Gegevensbeschermingsautoriteit (GBA) via gegevensbeschermingsautoriteit.be indien u in België woonachtig bent.
13. Cookies
3CO maakt gebruik van cookies en vergelijkbare technologieën om het Platform te laten functioneren, te analyseren en te verbeteren. Bij uw eerste bezoek vragen wij via een cookiebanner toestemming voor het plaatsen van niet-essentiële cookies.
Cookies
3CO maakt gebruik van cookies en vergelijkbare technieken om het platform goed te laten functioneren, het gebruik van de website te analyseren, voorkeuren te onthouden en, indien daarvoor toestemming is gegeven, marketingactiviteiten te ondersteunen.
Wij gebruiken essentiële cookies die noodzakelijk zijn voor de werking van het platform. Deze cookies zorgen er bijvoorbeeld voor dat u kunt navigeren op de website, kunt inloggen en gebruik kunt maken van de winkelwagen. Voor essentiële cookies is geen toestemming vereist.
Daarnaast kunnen wij analyse-cookies gebruiken om het gebruik en de prestaties van onze website te meten. Waar mogelijk doen wij dit geanonimiseerd. Voor analyse-cookies vragen wij toestemming, tenzij deze volledig privacyvriendelijk zijn ingesteld en geen of slechts geringe gevolgen hebben voor uw privacy.
Ook kunnen wij personalisatiecookies gebruiken. Deze cookies onthouden bijvoorbeeld instellingen en voorkeuren, zodat wij het platform beter kunnen afstemmen op uw gebruik. Voor personalisatiecookies vragen wij toestemming.
Tot slot kunnen wij marketingcookies gebruiken voor gepersonaliseerde advertenties en campagnemeting. Deze cookies worden alleen geplaatst wanneer u daarvoor toestemming heeft gegeven.
U kunt uw cookievoorkeuren op ieder moment wijzigen of uw toestemming intrekken via de cookie-instellingen op onze website.
U kunt uw cookievoorkeuren te allen tijde aanpassen via de cookie-instellingen op het Platform of via de instellingen van uw browser. Het uitschakelen van essentiële cookies kan de werking van het Platform beperken.
14. Functionaris voor de gegevensbescherming (DPO)
3CO is op dit moment bezig met het aanwijzen van een Functionaris voor de Gegevensbescherming (FG/DPO) conform art. 37–39 AVG. Zodra een DPO is aangesteld, wordt dit privacybeleid bijgewerkt met de contactgegevens van de DPO.
Tot die tijd kunt u voor alle vragen en verzoeken met betrekking tot de verwerking van uw persoonsgegevens terecht bij:
Privacy-contactpersoon
Voor vragen over dit privacybeleid of over de verwerking van persoonsgegevens kunt u contact opnemen met de privacy-contactpersoon van 3CO.
De privacy-contactpersoon van 3CO is: Robin Viëtor
U kunt contact opnemen via e-mail op: support@3co.nl of telefonisch via: 085 130 35 71.
Het adres van 3CO is: Keizersgracht 285, 1016 ED Amsterdam.
15. Wijzigingen in het privacybeleid
3CO behoudt zich het recht voor dit privacybeleid te allen tijde aan te passen. Bij ingrijpende wijzigingen informeren wij u minimaal 30 dagen van tevoren via e-mail en/of via een melding op het Platform. De datum van de laatste wijziging staat altijd vermeld bovenaan dit document.
Wij raden u aan dit beleid regelmatig te raadplegen. De actuele versie is te allen tijde beschikbaar op www.3co.nl/privacy-policy.
16. Contact
Voor vragen, opmerkingen of verzoeken met betrekking tot dit privacybeleid of de verwerking van uw persoonsgegevens kunt u mailen naar support@3co.nl.