Pilaar 4 · Zorg
AVG en AI in de zorg
De specifieke privacyregels voor zorgorganisaties die AI inzetten: van de dossierplicht tot bijzondere persoonsgegevens.
Lees verderKennisartikel · AI Act, AVG & governance
Wie met AI persoonsgegevens verwerkt, heeft een grondslag nodig, moet een verwerkersovereenkomst sluiten en is bij hoog risico verplicht een DPIA uit te voeren. Deze pagina legt uit wat dat in de praktijk betekent.
Laatst bijgewerkt 14 juni 2026 · door Arjan Woldring
De AVG geldt onverkort bij elke AI-verwerking van persoonsgegevens. U heeft een rechtsgeldige grondslag nodig, moet dataminimalisatie toepassen, een verwerkersovereenkomst sluiten met AI-leveranciers en bij hoog risico een DPIA uitvoeren. Zo verwerkt u persoonsgegevens rechtmatig met AI.
Implementa
01 · De basis
De Algemene Verordening Gegevensbescherming (AVG) is van toepassing op elke organisatie die persoonsgegevens verwerkt, ook wanneer dat via een AI-systeem gebeurt. Het feit dat een algoritme de verwerking uitvoert, doet niets af aan uw verplichtingen als verwerkingsverantwoordelijke.
De kernbeginselen zijn onveranderd van kracht:
De Autoriteit Persoonsgegevens (AP) is de Nederlandse toezichthouder en publiceert richtsnoeren over de toepassing van de AVG bij algoritmen en AI.
02 · Grondslagen
De AVG kent zes grondslagen. Bij AI-toepassingen zijn de volgende het meest relevant:
Kies de grondslag die het beste past bij het concrete gebruik. Ga niet van grondslag wisselen als een eerste keuze niet blijkt te werken: dat is in strijd met de doelbinding.
03 · DPIA
Een DPIA (gegevensbeschermingseffectbeoordeling, ook wel PIA of Privacy Impact Assessment) is een gestructureerde analyse van de risico's die een verwerking meebrengt voor de rechten en vrijheden van betrokkenen. Het doel is niet om risico's te omzeilen, maar om ze te identificeren en beheersbaar te maken.
Een DPIA is verplicht wanneer een verwerking waarschijnlijk een hoog risico oplevert. Dat is in elk geval zo bij:
Bij twijfel raadpleegt u de lijst van verwerkingen waarvoor de AP een DPIA verplicht stelt, of overlegt u met uw Functionaris Gegevensbescherming (FG).
Een DPIA omvat doorgaans: beschrijving van de verwerking, beoordeling van noodzakelijkheid en evenredigheid, identificatie van risico's, en de maatregelen die u neemt om die risico's te mitigeren. Als na de DPIA een hoog restrisico overblijft, moet u de AP raadplegen voordat u start.
04 · Verwerkers
Wanneer u een externe AI-aanbieder inschakelt die in uw opdracht persoonsgegevens verwerkt, is hij een verwerker in de zin van de AVG. U bent dan verwerkingsverantwoordelijke en bent verplicht een verwerkersovereenkomst (VOK) te sluiten.
Een verwerkersovereenkomst bevat ten minste:
Veel grote AI-aanbieders bieden standaard verwerkersovereenkomsten aan. Controleer of deze voldoen aan de AVG-vereisten en of de verwerkingslocaties (datacenters) acceptabel zijn, zeker bij verwerking buiten de EER.
05 · Bijzondere gegevens
Gezondheidsgegevens vallen onder de categorie bijzondere persoonsgegevens (artikel 9 AVG). Verwerking is in beginsel verboden, tenzij één van de wettelijke uitzonderingsgronden van toepassing is. In de zorgsector zijn de meest relevante uitzonderingen:
Bij AI-toepassingen die gezondheidsgegevens verwerken, zoals spraakgestuurde rapportagetools of klinische beslissingsondersteuning, moet u expliciet nagaan welke uitzondering van toepassing is. Die uitzondering moet schriftelijk worden vastgelegd.
Houd ook rekening met de aanvullende eisen van de Wet op de geneeskundige behandelingsovereenkomst (WGBO) en sectorspecifieke regelgeving, zoals het Landelijk Kwaliteitsstatuut GGZ, dat de behandelaar eindverantwoordelijk houdt voor elke klinische beslissing, ook als AI daarin een rol speelt.
Veelgestelde vragen
Ja. Zodra een AI-toepassing persoonsgegevens verwerkt, geldt de AVG volledig. Dat betekent: een rechtsgeldige grondslag, doelbinding, dataminimalisatie, transparantie en passende beveiliging.
De meest gebruikte grondslagen zijn toestemming, uitvoering van een overeenkomst, wettelijke verplichting en gerechtvaardigd belang. In de zorg speelt de wettelijke verplichting (dossierplicht) een grote rol, maar ook toestemming voor niet-noodzakelijke AI-toepassingen.
Een DPIA is verplicht bij grootschalige verwerking van bijzondere persoonsgegevens, systematische en uitgebreide profilering, of bij nieuwe technologie die waarschijnlijk hoog risico oplevert. AI op zorgdata valt daar doorgaans onder.
Als een externe AI-aanbieder persoonsgegevens verwerkt namens uw organisatie, is een verwerkersovereenkomst wettelijk verplicht. Daarin legt u vast wat de verwerker wel en niet mag met de gegevens.
Gezondheidsgegevens zijn bijzondere persoonsgegevens (artikel 9 AVG). Verwerking is in beginsel verboden, tenzij een specifieke uitzonderingsgrond van toepassing is, zoals de uitvoering van een behandelovereenkomst of uitdrukkelijke toestemming van de betrokkene.
Dataminimalisatie betekent dat u alleen de persoonsgegevens verwerkt die strikt noodzakelijk zijn voor het doel van de AI-toepassing. Voer geen extra gegevens in die het model niet nodig heeft, en bewaar trainings- of testdata niet langer dan nodig.
De Autoriteit Persoonsgegevens (AP) is de Nederlandse toezichthouder. De AP publiceert richtsnoeren over algoritmen en AI op haar website en kan handhavend optreden bij overtredingen.
Over de auteur
Arjan Woldring
oprichter Implementa
Arjan Woldring is oprichter van Implementa en begeleidt organisaties bij verantwoorde AI-implementatie. Hij combineert diepgaande kennis van AVG, AI Act en governance met praktijkervaring in de zorgsector.
Lees ook
Verdiep u verder in de AVG, privacy-first AI en goed AI-register bijhouden.
Pilaar 4 · Zorg
De specifieke privacyregels voor zorgorganisaties die AI inzetten: van de dossierplicht tot bijzondere persoonsgegevens.
Lees verderPilaar 3 · Maatwerk
Hoe ontwerp je een AI-oplossing waarbij privacy geen nagedachte is maar een bouwsteen.
Lees verderPilaar 5 · Governance
Leg bij welke AI-systemen u gebruikt, voor welk doel, en hoe u ze beheert. Verantwoording begint met registratie.
Lees verder