In één zin. Gezondheidszorginstellingen verwerken bijzondere gegevens (art. 9 AVG) onder een gelaagd regime van AVG, UAVG en sectorale wetgeving (Wgbo, Wkkgz, Wabvpz) — met als sluitsteen het medisch beroepsgeheim dat de Autoriteit Persoonsgegevens zwaar handhaaft, getuige de boetes tegen Haga (460 K) en OLVG (440 K).
Belangrijkste punten
- Bijzondere gegevens (art. 9): verbod tenzij uitzondering.
- UAVG art. 30: gezondheidsgegevens-uitzondering voor zorgverlening.
- Wgbo (BW 7:446-468): patientendossier, geheimhouding, bewaartermijn 20 jaar.
- Wabvpz: elektronische gegevensuitwisseling tussen zorgaanbieders.
- NEN 7510/7512/7513: informatiebeveiliging zorg.
- AP-boetes zorg: Haga 460 K (2019), OLVG 440 K (2025), CZ 300 K (2024).
“Verwerking van persoonsgegevens waaruit (…) gegevens over gezondheid (…) blijken, is verboden.” (art. 9 lid 1 AVG)
1. Veelvoorkomende fouten in zorg-AVG
- Patientendossier zonder rolspecifieke toegang — hele verpleegafdeling kan alle dossiers inzien.
- Bedrijfsarts deelt diagnose met werkgever (beroepsgeheim).
- E-mail met patientengegevens onversleuteld verstuurd.
- WhatsApp-groepen tussen zorgverleners zonder DPA en buiten Wabvpz.
- Verwerkersovereenkomst met EPD-leverancier niet jaarlijks geverifieerd.
- DPIA ontbreekt bij invoer AI-diagnose of triage-algoritme.
- Bewaartermijn dossier <20 jaar (Wgbo-overtreding).
- Toegang door medewerkers buiten behandelrelatie niet gelogd of niet gereviewd.
2. AVG en bijzondere gegevens
Gezondheidsgegevens vallen onder artikel 9 lid 1 AVG (EUR-Lex) — verboden tenzij uitzondering lid 2. Relevante uitzonderingen voor zorg:
- 9.2.h: nodig voor doeleinden preventieve of arbeidsgeneeskunde, beoordeling arbeidsgeschiktheid, medische diagnose, zorgverlening of beheer zorgstelsel.
- 9.2.c: vitaal belang bij wilsonbekwaamheid.
- 9.2.i: openbaar belang volksgezondheid (pandemie, biobanken).
Art. 9.2.h vereist beroepsgeheim of equivalent.
2. UAVG art. 30: kerngrondslag
UAVG art. 30 lid 3 sub a: verbod art. 9 niet van toepassing voor verwerking door zorgverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, voor zover noodzakelijk voor goede behandeling of verzorging en beheer betreffende instelling. Vereist: beroepsgeheim of geheimhoudingsplicht. Dit is de praktische werkbasis voor ziekenhuizen.
3. Wgbo: patientendossier
Wet op de geneeskundige behandelingsovereenkomst (BW 7:446-468):
- Art. 7:454: dossierplicht — vastleggen alles relevant voor goede zorg.
- Art. 7:455: inzagerecht patient.
- Art. 7:456: afgifte kopie tegen redelijke vergoeding.
- Art. 7:457: geheimhouding.
- Art. 7:454 lid 3: bewaartermijn minimaal 20 jaar (vanaf 1 januari 2020), startend laatste mutatie.
4. Wabvpz: elektronische uitwisseling
Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz, 2017):
- Art. 15a: specifieke toestemming patient voor elektronische beschikbaarstelling aan andere zorgaanbieders.
- Art. 15b: logging van inzagen via elektronisch uitwisselingssysteem (LSP).
- Art. 15c: notificatieplicht bij wijziging beschikbaarstelling.
Boete: ACM tot 900 K EUR.
5. NEN 7510-reeks: beveiliging zorg
Verplichte normenset informatiebeveiliging zorg (NEN 7510 verwijzing in Besluit elektronische gegevensverwerking door zorgaanbieders):
- NEN 7510: ISMS voor zorgsector (parallel aan ISO 27001).
- NEN 7512: vertrouwensbasis (logging, autorisatie).
- NEN 7513: logging in elektronisch patientendossier.
Niet-naleving levert AP-boete onder art. 32 — Haga en OLVG-boetes waren primair op NEN 7513-logging.
6. Haga-boete 460 K EUR (2019)
Onbevoegde inzage van medewerkers in dossier reality-ster. De Autoriteit Persoonsgegevens constateerde: geen rolgebaseerde autorisatie, geen logging conform NEN 7513, geen disciplinair beleid bij onbevoegde inzage, geen periodieke logreview. Eerste grote zorgboete onder AVG — vormde norm voor sector.
7. OLVG-boete 440 K EUR (2025)
Soortgelijk patroon als Haga: medewerkers konden buiten behandelrelatie dossiers inzien. Periode 2020-2023. Verzwarend: OLVG was na Haga-zaak gewaarschuwd, sectorbreed waren maatregelen bekend. AP: ziekenhuizen die na 2019 nog geen NEN 7513-conforme controles hebben handelen verwijtbaar.
| Aspect | Haga 2019 | OLVG 2025 |
|---|---|---|
| Boete | 460 K EUR | 440 K EUR |
| Norm | Art. 32 AVG, NEN 7513 | Art. 32 AVG, NEN 7513 |
| Hoofdoorzaak | Geen RBAC, geen logging | Geen review-process |
| Verzwarend | — | Bekendheid Haga-zaak |
8. Toegangsbeheer: minimumvereisten
AP-norm gedefinieerd door zorgcasus:
- Two-factor authentication voor toegang patientendossier.
- Rolspecifieke autorisatie (need-to-know).
- Behandelrelatie-toets (alleen toegang bij actuele relatie).
- Volledige logging (wie, wanneer, welk dossier).
- Periodieke logreview (steekproefsgewijs of risk-based).
- Disciplinair protocol bij onbevoegde inzage.
- Awareness training voor alle medewerkers.
9. Toestemming en informatie
Voor zorgverlening zelf: geen toestemming maar UAVG art. 30 + Wgbo. Voor:
- Elektronische beschikbaarstelling andere zorgverleners (Wabvpz): specifieke toestemming.
- Wetenschappelijk onderzoek (UAVG art. 24): toestemming of pseudonimisatie + opt-out.
- Marketing zorgverzekeraar: toestemming AVG art. 6.1.a + art. 9.2.a.
- Datalevering aan derden (Vektis, NZa): wettelijke verplichting of toestemming.
10. Datalek in de zorg
Zorgincidenten zijn vaak hoog risico (bijzondere gegevens). AP-statistieken 2024: zorg verantwoordelijk voor 18% van alle datalekmeldingen. Typische incidenten: e-mail aan verkeerde patient, verloren USB, onbevoegde inzage, ransomware (groeiend probleem, Sterkamp 2023, Universitair Ziekenhuis Hradec Králové 2024 als waarschuwing).
11. Verwerkersovereenkomsten met zorg-IT
EPD-leveranciers (ChipSoft HiX, Epic, Nexus), labsystemen, beeldarchieven (PACS), telemedicine, AI-diagnose. DPA met:
- Sub-verwerkersbeleid (cloud, support, ontwikkelaars).
- Beveiligingsbijlage NEN 7510-conform.
- Doorgifte-clausules (veel EPD-cloud is buiten EU).
- Audit-rechten incl. NEN 7513 logging.
- Datalek-meldingstermijn 24u of korter.
12. Sectorale handhavingscases zorg
| Instelling | Jaar | Bedrag | Onderwerp |
|---|---|---|---|
| Haga ziekenhuis | 2019 | 460 K EUR | Onbevoegde toegang |
| OLVG | 2022 | 440 K EUR | Toegangsbeheer |
| OLVG | 2025 | 440 K EUR | Logging-tekort |
| CZ zorgverzekeraar | 2024 | 300 K EUR | Marketingdoeleinden |
| Achmea (zorgpolissen) | 2025 | 240 K EUR | Gezondheidsdata marketing |
| GGD GHOR | 2021 | 150 K EUR | Datalek CoronIT |
| Erasmus MC | 2023 | bevel | DPIA-tekort algoritme |
GGD-incident 2021 (Coronit-datadiefstal): 19 K EUR door medewerker verkocht aan criminelen — toonde dat zelfs goed beveiligde systemen falen bij interne actoren. AP eiste herziening toegangscontroles. Zie AP boetes 2025 voor het volledige overzicht en Datalekken melden voor de meldroute.
13. Wgbo en AVG: spanning en samenloop
| Aspect | Wgbo | AVG |
|---|---|---|
| Grondslag | Behandelovereenkomst | UAVG art. 30 |
| Inzagerecht | Art. 7:456 | Art. 15 |
| Rectificatie | Aantekening bij dossier | Art. 16 |
| Wissing | Art. 7:455 (vernietiging op verzoek) | Art. 17 (beperkt) |
| Bewaartermijn | 20 jaar minimum | “Niet langer dan noodzakelijk” |
| Geheimhouding | Art. 7:457 | Art. 5 + 32 |
Wgbo art. 7:455 geeft patient recht op vernietiging gegevens — strikter dan AVG art. 17 dat uitzondering kent voor wettelijke verplichting. In de praktijk: Wgbo prevaleert als lex specialis bij zorgrelatie.
14. AI en algoritmen in zorg
AI-systemen voor diagnose, triage en risicostratificatie vallen onder EU AI Act als hoog-risico AI (bijlage III). Combinatie DPIA volgens het art. 35-stappenplan + FRIA verplicht. AP-prioriteit 2026: handhaving op AI in zorg zonder DPIA. Voorbeeld: Erasmus MC ICU-algoritme — toonaangevende casus voor DPIA-praktijk.
FAQ
Hoe lang moet ik patientendossiers bewaren?
Minimaal 20 jaar vanaf laatste mutatie (Wgbo art. 7:454 lid 3). Bij minderjarige: 20 jaar na 18e verjaardag. Bij specifieke wetgeving (genetisch, transplantatie) langer. Daarna wissen of anonimiseren.
Mag een huisarts gegevens delen met specialist?
Ja, binnen behandelrelatie zonder aparte toestemming (UAVG art. 30 + Wgbo). Voor elektronische beschikbaarstelling via LSP wel specifieke toestemming Wabvpz art. 15a.
Heeft elk ziekenhuis een FG nodig?
Ja. Ziekenhuizen verwerken grootschalig bijzondere gegevens (art. 9) als kernactiviteit — FG verplicht onder AVG art. 37 lid 1 sub c, zie wanneer een functionaris gegevensbescherming verplicht is. Aanmelding bij AP via UAVG art. 39.
Wat is NEN 7513?
Nederlandse norm voor logging in patientendossier. Vereist logging van wie, wanneer, welk dossier, welke handeling. Periodieke review verplicht. AP gebruikt NEN 7513 als toetsingskader voor art. 32 AVG.
Mag wetenschappelijk onderzoek met patientendossiers?
UAVG art. 24 staat verwerking voor wetenschappelijk onderzoek toe zonder toestemming mits onmogelijk of disproportioneel om toestemming te vragen, en passende waarborgen aanwezig (pseudonimisatie, ethisch toetsingscommissie, opt-out mogelijkheid).
Hoe ga ik om met ransomware in een ziekenhuis?
Treatment-as-an-emergency-protocol: directe melding NCSC + AP binnen 72 uur, isoleren systemen, behandel continuiteit via papier-protocol, forensisch onderzoek, communicatie aan patienten bij hoog risico. Niet betalen losgeld (NCSC-advies + sanctiewet risico). Documenteer alles voor AVG Art. 32 beveiliging-toets door AP. NEN 7510 vereist herstelplan met geteste recovery.
Mag ik EPD-data delen met onderzoekspartner?
Pseudonimisatie verplicht (UAVG art. 24); identificeerbare delen alleen met expliciete toestemming patient. Universitaire ziekenhuizen gebruiken Trusted Third Party-constructies (TTP) om sleutel te scheiden. Bij internationale samenwerking: doorgifte-grondslag controleren (vaak EU-cohort vs VS-cloud is een knelpunt).
Welke rol speelt de FG in zorg?
Verplicht onder art. 37 lid 1 sub c. Aanmelding bij AP via UAVG art. 39. Taken (art. 39): toezicht intern, advies DPIA, contactpunt AP en betrokkenen, training. In zorg vaak onderdeel van klachtenfunctie en compliance officer-rol. Eindverantwoordelijkheid blijft bij Raad van Bestuur; FG adviseert.
Hoe verhoudt de EU AI Act zich tot zorg-algoritmen?
EU AI Act (in werking 2024, volledige toepassing augustus 2026) classificeert medische AI-systemen voor diagnose en triage als hoog-risico (bijlage III). Vereisten: risk management system, datakwaliteit, technische documentatie, transparantie, menselijk toezicht, accuracy/robustness. Cumuleert met AVG art. 35 DPIA. AP en RDI handhaven samen. Voor IDS-systemen (gepubliceerd 2024) geldt CE-markering met AI-conformiteitsbeoordeling.
Zie ook: AVG in de huisartsenpraktijk, AVG in de kinderopvang en AVG voor apotheken.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial