Privacywetgeving

AVG in de zorg: ziekenhuizen en Wgbo 2026

AVG zorg + Wgbo + UAVG art. 30: medisch beroepsgeheim, OLVG 440 K, Haga 460 K. Praktische compliancegids ziekenhuizen 2026.

Also available in:Italiano

In één zin. Gezondheidszorginstellingen verwerken bijzondere gegevens (art. 9 AVG) onder een gelaagd regime van AVG, UAVG en sectorale wetgeving (Wgbo, Wkkgz, Wabvpz) — met als sluitsteen het medisch beroepsgeheim dat de Autoriteit Persoonsgegevens zwaar handhaaft, getuige de boetes tegen Haga (460 K) en OLVG (440 K).

Belangrijkste punten

  • Bijzondere gegevens (art. 9): verbod tenzij uitzondering.
  • UAVG art. 30: gezondheidsgegevens-uitzondering voor zorgverlening.
  • Wgbo (BW 7:446-468): patientendossier, geheimhouding, bewaartermijn 20 jaar.
  • Wabvpz: elektronische gegevensuitwisseling tussen zorgaanbieders.
  • NEN 7510/7512/7513: informatiebeveiliging zorg.
  • AP-boetes zorg: Haga 460 K (2019), OLVG 440 K (2025), CZ 300 K (2024).

“Verwerking van persoonsgegevens waaruit (…) gegevens over gezondheid (…) blijken, is verboden.” (art. 9 lid 1 AVG)

1. Veelvoorkomende fouten in zorg-AVG

  • Patientendossier zonder rolspecifieke toegang — hele verpleegafdeling kan alle dossiers inzien.
  • Bedrijfsarts deelt diagnose met werkgever (beroepsgeheim).
  • E-mail met patientengegevens onversleuteld verstuurd.
  • WhatsApp-groepen tussen zorgverleners zonder DPA en buiten Wabvpz.
  • Verwerkersovereenkomst met EPD-leverancier niet jaarlijks geverifieerd.
  • DPIA ontbreekt bij invoer AI-diagnose of triage-algoritme.
  • Bewaartermijn dossier <20 jaar (Wgbo-overtreding).
  • Toegang door medewerkers buiten behandelrelatie niet gelogd of niet gereviewd.

2. AVG en bijzondere gegevens

Gezondheidsgegevens vallen onder artikel 9 lid 1 AVG (EUR-Lex) — verboden tenzij uitzondering lid 2. Relevante uitzonderingen voor zorg:

  • 9.2.h: nodig voor doeleinden preventieve of arbeidsgeneeskunde, beoordeling arbeidsgeschiktheid, medische diagnose, zorgverlening of beheer zorgstelsel.
  • 9.2.c: vitaal belang bij wilsonbekwaamheid.
  • 9.2.i: openbaar belang volksgezondheid (pandemie, biobanken).

Art. 9.2.h vereist beroepsgeheim of equivalent.

2. UAVG art. 30: kerngrondslag

UAVG art. 30 lid 3 sub a: verbod art. 9 niet van toepassing voor verwerking door zorgverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, voor zover noodzakelijk voor goede behandeling of verzorging en beheer betreffende instelling. Vereist: beroepsgeheim of geheimhoudingsplicht. Dit is de praktische werkbasis voor ziekenhuizen.

3. Wgbo: patientendossier

Wet op de geneeskundige behandelingsovereenkomst (BW 7:446-468):

  • Art. 7:454: dossierplicht — vastleggen alles relevant voor goede zorg.
  • Art. 7:455: inzagerecht patient.
  • Art. 7:456: afgifte kopie tegen redelijke vergoeding.
  • Art. 7:457: geheimhouding.
  • Art. 7:454 lid 3: bewaartermijn minimaal 20 jaar (vanaf 1 januari 2020), startend laatste mutatie.

4. Wabvpz: elektronische uitwisseling

Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz, 2017):

  • Art. 15a: specifieke toestemming patient voor elektronische beschikbaarstelling aan andere zorgaanbieders.
  • Art. 15b: logging van inzagen via elektronisch uitwisselingssysteem (LSP).
  • Art. 15c: notificatieplicht bij wijziging beschikbaarstelling.

Boete: ACM tot 900 K EUR.

5. NEN 7510-reeks: beveiliging zorg

Verplichte normenset informatiebeveiliging zorg (NEN 7510 verwijzing in Besluit elektronische gegevensverwerking door zorgaanbieders):

  • NEN 7510: ISMS voor zorgsector (parallel aan ISO 27001).
  • NEN 7512: vertrouwensbasis (logging, autorisatie).
  • NEN 7513: logging in elektronisch patientendossier.

Niet-naleving levert AP-boete onder art. 32 — Haga en OLVG-boetes waren primair op NEN 7513-logging.

6. Haga-boete 460 K EUR (2019)

Onbevoegde inzage van medewerkers in dossier reality-ster. De Autoriteit Persoonsgegevens constateerde: geen rolgebaseerde autorisatie, geen logging conform NEN 7513, geen disciplinair beleid bij onbevoegde inzage, geen periodieke logreview. Eerste grote zorgboete onder AVG — vormde norm voor sector.

7. OLVG-boete 440 K EUR (2025)

Soortgelijk patroon als Haga: medewerkers konden buiten behandelrelatie dossiers inzien. Periode 2020-2023. Verzwarend: OLVG was na Haga-zaak gewaarschuwd, sectorbreed waren maatregelen bekend. AP: ziekenhuizen die na 2019 nog geen NEN 7513-conforme controles hebben handelen verwijtbaar.

Aspect Haga 2019 OLVG 2025
Boete 460 K EUR 440 K EUR
Norm Art. 32 AVG, NEN 7513 Art. 32 AVG, NEN 7513
Hoofdoorzaak Geen RBAC, geen logging Geen review-process
Verzwarend Bekendheid Haga-zaak

8. Toegangsbeheer: minimumvereisten

AP-norm gedefinieerd door zorgcasus:

  • Two-factor authentication voor toegang patientendossier.
  • Rolspecifieke autorisatie (need-to-know).
  • Behandelrelatie-toets (alleen toegang bij actuele relatie).
  • Volledige logging (wie, wanneer, welk dossier).
  • Periodieke logreview (steekproefsgewijs of risk-based).
  • Disciplinair protocol bij onbevoegde inzage.
  • Awareness training voor alle medewerkers.

9. Toestemming en informatie

Voor zorgverlening zelf: geen toestemming maar UAVG art. 30 + Wgbo. Voor:

  • Elektronische beschikbaarstelling andere zorgverleners (Wabvpz): specifieke toestemming.
  • Wetenschappelijk onderzoek (UAVG art. 24): toestemming of pseudonimisatie + opt-out.
  • Marketing zorgverzekeraar: toestemming AVG art. 6.1.a + art. 9.2.a.
  • Datalevering aan derden (Vektis, NZa): wettelijke verplichting of toestemming.

10. Datalek in de zorg

Zorgincidenten zijn vaak hoog risico (bijzondere gegevens). AP-statistieken 2024: zorg verantwoordelijk voor 18% van alle datalekmeldingen. Typische incidenten: e-mail aan verkeerde patient, verloren USB, onbevoegde inzage, ransomware (groeiend probleem, Sterkamp 2023, Universitair Ziekenhuis Hradec Králové 2024 als waarschuwing).

11. Verwerkersovereenkomsten met zorg-IT

EPD-leveranciers (ChipSoft HiX, Epic, Nexus), labsystemen, beeldarchieven (PACS), telemedicine, AI-diagnose. DPA met:

  • Sub-verwerkersbeleid (cloud, support, ontwikkelaars).
  • Beveiligingsbijlage NEN 7510-conform.
  • Doorgifte-clausules (veel EPD-cloud is buiten EU).
  • Audit-rechten incl. NEN 7513 logging.
  • Datalek-meldingstermijn 24u of korter.

12. Sectorale handhavingscases zorg

Instelling Jaar Bedrag Onderwerp
Haga ziekenhuis 2019 460 K EUR Onbevoegde toegang
OLVG 2022 440 K EUR Toegangsbeheer
OLVG 2025 440 K EUR Logging-tekort
CZ zorgverzekeraar 2024 300 K EUR Marketingdoeleinden
Achmea (zorgpolissen) 2025 240 K EUR Gezondheidsdata marketing
GGD GHOR 2021 150 K EUR Datalek CoronIT
Erasmus MC 2023 bevel DPIA-tekort algoritme

GGD-incident 2021 (Coronit-datadiefstal): 19 K EUR door medewerker verkocht aan criminelen — toonde dat zelfs goed beveiligde systemen falen bij interne actoren. AP eiste herziening toegangscontroles. Zie AP boetes 2025 voor het volledige overzicht en Datalekken melden voor de meldroute.

13. Wgbo en AVG: spanning en samenloop

Aspect Wgbo AVG
Grondslag Behandelovereenkomst UAVG art. 30
Inzagerecht Art. 7:456 Art. 15
Rectificatie Aantekening bij dossier Art. 16
Wissing Art. 7:455 (vernietiging op verzoek) Art. 17 (beperkt)
Bewaartermijn 20 jaar minimum “Niet langer dan noodzakelijk”
Geheimhouding Art. 7:457 Art. 5 + 32

Wgbo art. 7:455 geeft patient recht op vernietiging gegevens — strikter dan AVG art. 17 dat uitzondering kent voor wettelijke verplichting. In de praktijk: Wgbo prevaleert als lex specialis bij zorgrelatie.

14. AI en algoritmen in zorg

AI-systemen voor diagnose, triage en risicostratificatie vallen onder EU AI Act als hoog-risico AI (bijlage III). Combinatie DPIA volgens het art. 35-stappenplan + FRIA verplicht. AP-prioriteit 2026: handhaving op AI in zorg zonder DPIA. Voorbeeld: Erasmus MC ICU-algoritme — toonaangevende casus voor DPIA-praktijk.

FAQ

Hoe lang moet ik patientendossiers bewaren?

Minimaal 20 jaar vanaf laatste mutatie (Wgbo art. 7:454 lid 3). Bij minderjarige: 20 jaar na 18e verjaardag. Bij specifieke wetgeving (genetisch, transplantatie) langer. Daarna wissen of anonimiseren.

Mag een huisarts gegevens delen met specialist?

Ja, binnen behandelrelatie zonder aparte toestemming (UAVG art. 30 + Wgbo). Voor elektronische beschikbaarstelling via LSP wel specifieke toestemming Wabvpz art. 15a.

Heeft elk ziekenhuis een FG nodig?

Ja. Ziekenhuizen verwerken grootschalig bijzondere gegevens (art. 9) als kernactiviteit — FG verplicht onder AVG art. 37 lid 1 sub c, zie wanneer een functionaris gegevensbescherming verplicht is. Aanmelding bij AP via UAVG art. 39.

Wat is NEN 7513?

Nederlandse norm voor logging in patientendossier. Vereist logging van wie, wanneer, welk dossier, welke handeling. Periodieke review verplicht. AP gebruikt NEN 7513 als toetsingskader voor art. 32 AVG.

Mag wetenschappelijk onderzoek met patientendossiers?

UAVG art. 24 staat verwerking voor wetenschappelijk onderzoek toe zonder toestemming mits onmogelijk of disproportioneel om toestemming te vragen, en passende waarborgen aanwezig (pseudonimisatie, ethisch toetsingscommissie, opt-out mogelijkheid).

Hoe ga ik om met ransomware in een ziekenhuis?

Treatment-as-an-emergency-protocol: directe melding NCSC + AP binnen 72 uur, isoleren systemen, behandel continuiteit via papier-protocol, forensisch onderzoek, communicatie aan patienten bij hoog risico. Niet betalen losgeld (NCSC-advies + sanctiewet risico). Documenteer alles voor AVG Art. 32 beveiliging-toets door AP. NEN 7510 vereist herstelplan met geteste recovery.

Mag ik EPD-data delen met onderzoekspartner?

Pseudonimisatie verplicht (UAVG art. 24); identificeerbare delen alleen met expliciete toestemming patient. Universitaire ziekenhuizen gebruiken Trusted Third Party-constructies (TTP) om sleutel te scheiden. Bij internationale samenwerking: doorgifte-grondslag controleren (vaak EU-cohort vs VS-cloud is een knelpunt).

Welke rol speelt de FG in zorg?

Verplicht onder art. 37 lid 1 sub c. Aanmelding bij AP via UAVG art. 39. Taken (art. 39): toezicht intern, advies DPIA, contactpunt AP en betrokkenen, training. In zorg vaak onderdeel van klachtenfunctie en compliance officer-rol. Eindverantwoordelijkheid blijft bij Raad van Bestuur; FG adviseert.

Hoe verhoudt de EU AI Act zich tot zorg-algoritmen?

EU AI Act (in werking 2024, volledige toepassing augustus 2026) classificeert medische AI-systemen voor diagnose en triage als hoog-risico (bijlage III). Vereisten: risk management system, datakwaliteit, technische documentatie, transparantie, menselijk toezicht, accuracy/robustness. Cumuleert met AVG art. 35 DPIA. AP en RDI handhaven samen. Voor IDS-systemen (gepubliceerd 2024) geldt CE-markering met AI-conformiteitsbeoordeling.

Zie ook: AVG in de huisartsenpraktijk, AVG in de kinderopvang en AVG voor apotheken.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →