Zorg Begeleider
Zorg BegeleiderAI-Praktijkassistent
Terug naar home
Wetgeving

AVG in de zorg — privacy, dossiers en AI-gebruik

Persoonsgegevens van cliënten zijn extra beschermd. Op deze pagina lees je wat AVG voor zorgprofessionals betekent: grondslagen, dataminimalisatie, dossierrechten, datalek melden en hoe je verantwoord AI inzet zonder de privacy in gevaar te brengen.

De wettelijke driehoek

Voor zorg geldt niet alleen de AVG. Er werken drie wetten samen:

  • AVG — Europese privacywetgeving (sinds 2018).
  • WGBO — beroepsgeheim, dossierplicht, inzagerecht.
  • Wabvpz — aanvullende eisen voor digitale uitwisseling van gezondheidsgegevens.

Grondslagen — waarom mag jij gegevens verwerken?

Elke verwerking vraagt een grondslag. In de zorg meestal:

  • Behandelovereenkomst (WGBO) — uitvoeren van afgesproken zorg.
  • Wettelijke plicht — bv. meldcode, meldplicht infectieziekten, Wzd-rapportage.
  • Vitaal belang — acute zorg waar cliënt geen toestemming kan geven.
  • Toestemming — voor verwerkingen buiten behandeling (foto's, video, onderzoek).
  • Algemeen belang — kwaliteitsregistraties, openbare gezondheid.

Gezondheidsgegevens zijn 'bijzondere persoonsgegevens' (art. 9 AVG) en vragen extra waarborgen: minimalisatie, toegangsbeperking, logging.

Dataminimalisatie in de praktijk

  • Verzamel alleen wat nodig is voor de zorg.
  • Initialen in plaats van volledige naam waar mogelijk.
  • Geen BSN in rapportages, mails of WhatsApp.
  • Geen volledige medicatielijst met naam in los document.
  • Beperk toegang: 'need to know'-principe per zorgteam.
  • Bij gedeelde drives: rechten per cliënt of per team.

Rechten van de cliënt

  • Inzagerecht — vanaf 12 jaar deels, vanaf 16 jaar volledig.
  • Correctierecht — feitelijke onjuistheden mogen gecorrigeerd.
  • Recht op kopie — digitaal of papier, gratis (eerste keer).
  • Recht op vergetelheid — beperkt in de zorg; bewaartermijn WGBO gaat voor.
  • Recht op aanvulling — eigen visie kan toegevoegd worden in dossier.
  • Recht om bezwaar te maken tegen specifieke verwerkingen.

Schrijf voor de cliënt

Schrijf elke rapportage zoals je het de cliënt zou voorlezen. Hij heeft inzagerecht — dat verandert de toon en bevordert objectiviteit.

Datalek — wat te doen?

  • Stap 1 — Beoordeel: zijn persoonsgegevens betrokken? Wat is het risico voor betrokkene?
  • Stap 2 — Beperk schade: trek toegang in, vraag verwijdering, isoleer systeem.
  • Stap 3 — Meld intern bij de Functionaris Gegevensbescherming (FG) of privacy-coördinator.
  • Stap 4 — Bij hoog risico: meld binnen 72 uur bij Autoriteit Persoonsgegevens.
  • Stap 5 — Informeer betrokkene als risico voor zijn rechten of vrijheden hoog is.
  • Stap 6 — Documenteer en analyseer ter voorkoming herhaling.

Verwerkersovereenkomst (VWO)

Elke leverancier die persoonsgegevens namens jouw organisatie verwerkt (ICT, hosting, AI, ECD, factuursysteem) moet een VWO hebben. De VWO bepaalt:

  • Welke gegevens verwerkt mogen worden en met welk doel.
  • Beveiligingsmaatregelen en toegangsbeperking.
  • Locatie van verwerking (EU verplicht voor zorg).
  • Subverwerkers en goedkeuring daarvan.
  • Procedure datalek-melding.
  • Bewaren en vernietigen bij einde overeenkomst.

AVG en AI — verantwoord gebruik

  • Kies AI-leveranciers met VWO en EU-verwerking.
  • Controleer dat invoer NIET wordt gebruikt voor modeltraining.
  • Minimaliseer persoonsgegevens — initialen, geen BSN, geen volledige NAW.
  • Documenteer AI-gebruik in privacy-statement en zorgdossier.
  • Eindbeoordeling blijft bij zorgprofessional — AI levert concept.
  • Bij twijfel: overleg met FG of privacy-coördinator.

Zorg Begeleider en AVG

Zorg Begeleider verwerkt geen herleidbare cliëntgegevens, gebruikt invoer niet voor modeltraining en werkt onder Europese verwerkersovereenkomst. Logs worden niet permanent opgeslagen.

Veelgestelde vragen

Wat is de AVG?

De Algemene Verordening Gegevensbescherming is sinds 2018 de Europese privacywetgeving. Voor de zorg geldt naast de AVG ook de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) en het beroepsgeheim uit de WGBO.

Wat zijn de grondslagen voor zorgverwerking?

In de zorg meestal: a) toestemming, b) uitvoering overeenkomst (behandelovereenkomst), c) wettelijke verplichting (bv. meldplicht), d) vitaal belang (acute zorg) of e) algemeen belang. Gezondheidsgegevens vragen extra waarborgen onder art. 9 AVG.

Hoe lang moet een zorgdossier bewaard worden?

WGBO schrijft minimaal 20 jaar voor na laatste contact, of langer als zorgvuldigheid dat vraagt. Voor minderjarigen vanaf 20 jaar na 18e verjaardag. Daarna vernietigen, tenzij cliënt om verlenging vraagt of wetgeving anders bepaalt.

Wanneer is sprake van een datalek?

Bij elk verlies van of onbevoegde toegang tot persoonsgegevens: verloren USB-stick, verkeerde geadresseerde mail, gehackte computer, papieren dossier vergeten in trein. Beoordeel risico voor betrokkene; meld bij hoog risico binnen 72 uur aan Autoriteit Persoonsgegevens.

Mag ik cliëntgegevens delen met AI?

Alleen onder strikte voorwaarden: AI-leverancier heeft verwerkersovereenkomst, data wordt binnen EU verwerkt, geen modeltraining op invoer, minimaliseer persoonsgegevens (initialen, geen BSN), en organisatie heeft AI-gebruik vastgelegd in privacy-statement. Geen volledige NAW + BSN + medicatie tegelijk.

Verder lezen

AVG in de kennisbankPrivacy-statement Zorg Begeleider