Carey is een dienst van SDNY BV (hierna: Carey, wij, ons). Wij respecteren uw privacy en verwerken uw persoonsgegevens zorgvuldig en conform de Algemene Verordening Gegevensbescherming (AVG). In deze verklaring leggen wij uit welke gegevens wij verwerken, waarom, hoe lang wij ze bewaren en welke rechten u heeft.
SDNY BV, handelend onder de naam Carey — Rosmalen, Nederland — www.withcarey.com.
Voor vragen over uw persoonsgegevens kunt u contact opnemen via: privacy@withcarey.com
Wij verwerken de volgende persoonsgegevens:
| Gegeven | Doel | Grondslag |
|---|---|---|
| Naam budgethouder en zorgverlener | Invullen SVB-urenbriefje | Toestemming |
| BSN budgethouder en zorgverlener | Verplicht veld SVB-urenbriefje | Toestemming (zie § 3) |
| Wet, tarief en zorguren per dag | Berekening en declaratie | Toestemming |
| Taakomschrijving (vrij tekstveld) | Onderbouwing urenstaat | Toestemming (zie § 2a) |
| Kilometers en OV-kosten | Reiskostendeclaratie | Toestemming |
| Telegram- of WhatsApp-ID | Communicatie en authenticatie | Toestemming |
| Toestemming + tijdstempel | Verantwoording rechtsgrond | Wettelijke verplichting |
| Abonnementsgegevens | Facturatie en toegangsbeheer | Uitvoering overeenkomst |
| Rol en koppeling binnen een Carey Circle | Beheer van de zorgkring (zie § 3a) | Toestemming |
Bij elke registratie vragen wij een korte omschrijving van de verleende zorg. Dit is een vrij tekstveld dat u zelf invult. Wij vragen u nadrukkelijk geen medische details in te vullen, maar omdat het een open veld is, kunnen hierin gegevens voorkomen die de gezondheidssituatie van de zorgontvanger raken (bijvoorbeeld een omschrijving van toegediende zorg). Dergelijke gegevens kunnen kwalificeren als bijzondere persoonsgegevens in de zin van artikel 9 AVG.
Wij verwerken deze omschrijvingen uitsluitend om uw urenstaat te onderbouwen, op basis van uw uitdrukkelijke toestemming, en bewaren ze met dezelfde beveiligingsmaatregelen als uw overige gegevens (zie § 6). U bepaalt zelf wat u in dit veld invult en kunt het te allen tijde aanpassen of laten verwijderen.
Het burgerservicenummer (BSN) is een verplicht veld op het SVB-urenbriefje. Zonder het BSN kan de SVB de declaratie niet verwerken. Carey slaat het BSN versleuteld op (AES-256) in een afgeschermd deel van de database en heeft er alleen toegang toe op het moment dat het urenbriefje wordt gegenereerd.
Carey biedt de mogelijkheid om met meerdere zorgverleners samen te werken in één zorgkring rond dezelfde zorgontvanger: de Carey Circle. Binnen een Circle is er één coördinator die de zorgkring beheert en het abonnement betaalt, en zijn er één of meer leden (maximaal vier zorgverleners in totaal). Elk lid registreert uitsluitend zijn of haar eigen zorguren en ontvangt een eigen SVB-urenbriefje.
Wanneer u als coördinator iemand uitnodigt voor uw Circle, worden de gegevens van de zorgontvanger die nodig zijn voor het urenbriefje — waaronder het versleutelde BSN van de budgethouder — gekoppeld aan het dossier van het uitgenodigde lid. Het lid krijgt deze gegevens niet zelf te zien; ze worden uitsluitend versleuteld gebruikt om diens urenbriefje te genereren. Als coördinator beheert u op die manier gegevens ten behoeve van de andere zorgverleners in de zorgkring. De coördinator heeft inzicht in het bestede percentage van het budget; de individuele registraties en BSN-gegevens van een lid blijven afgeschermd.
De grondslag voor deze gegevensdeling binnen de Circle is de toestemming van de betrokkenen. Een lid kan op elk moment uit de zorgkring worden verwijderd; daarbij worden de dossierkoppeling, het profiel en het aan dat dossier gekoppelde versleutelde BSN van het lid verwijderd, terwijl diens eigen Carey-account intact blijft.
Wij delen uw gegevens uitsluitend met de volgende partijen en uitsluitend voor de beschreven doelen:
| Partij | Rol | AVG-relatie | Locatie |
|---|---|---|---|
| Supabase | Databasehosting | Verwerker | EU (Frankfurt) |
| Railway | Applicatiehosting | Verwerker | VS (via SCCs) |
| Mollie | Betaalverwerking | Zelfst. verantwoordelijke | EU (Nederland) |
| Telegram / WhatsApp | Berichtkanaal | Kanaalverwerker | Zie beleid partij |
Met Supabase en Railway hebben wij een verwerkersovereenkomst (DPA) gesloten; zij verwerken gegevens uitsluitend in onze opdracht. Mollie verwerkt uw betaalgegevens als zelfstandig verwerkingsverantwoordelijke: zij bepalen mede op grond van eigen wettelijke verplichtingen hoe zij betaalgegevens verwerken, en zijn daarvoor zelf verantwoordelijk. Op die verwerking is het privacybeleid van Mollie van toepassing. Telegram respectievelijk WhatsApp verwerken het berichtverkeer; hun eigen privacybeleid is daarop van toepassing.
Wij geven uw gegevens niet door buiten de Europese Economische Ruimte zonder passende waarborgen (zoals de EU Standard Contractual Clauses). Wij verkopen uw gegevens nooit aan derden.
| Gegevens | Bewaartermijn |
|---|---|
| Registraties en urenbriefjes (actief abonnement) | Actieve periode |
| Alle persoonsgegevens na opzegging | Maximaal 2 jaar na opzeggingsdatum |
| Toestemmingslog (audit) | 5 tot 7 jaar (wettelijke administratieplicht, zie onder) |
| Betaalhistorie (via Mollie) | Door Mollie, als zelfstandig verantwoordelijke |
Na afloop van de bewaartermijn worden uw gegevens automatisch en onomkeerbaar verwijderd. De betaalhistorie wordt door Mollie bewaard volgens hun eigen wettelijke administratieplicht.
Wij wijzen u erop dat de budgethouder zelf verantwoordelijk is voor het bewaren van de PGB-administratie. De wettelijke bewaarplicht voor PGB-administratie bedraagt 5 tot 7 jaar (afhankelijk van de wet). Wij raden u aan zelf een kopie van de urenbriefjes te bewaren.
Wij nemen de volgende maatregelen om uw gegevens te beschermen:
U heeft de volgende rechten:
Om een beroep te doen op uw rechten kunt u contact opnemen via privacy@withcarey.com. Wij reageren binnen één maand.
Carey werkt via chatkanalen (Telegram en WhatsApp) en via de website www.withcarey.com. Op de website gebruiken wij geen analytische of marketingcookies. Functionele cookies of sessiegegevens worden uitsluitend gebruikt voor de werking van de site.
Als u van mening bent dat wij uw gegevens niet correct verwerken, kunt u een klacht indienen bij de Autoriteit Persoonsgegevens via www.autoriteitpersoonsgegevens.nl.
Wij kunnen deze privacyverklaring aanpassen. Bij wezenlijke wijzigingen informeren wij u via het chatkanaal. De actuele versie is altijd beschikbaar op www.withcarey.com/privacy.
Laatste update: 22 juni 2026 · SDNY BV · KvK 32136104 · withcarey.com
