Pilaar 5
AVG en AI: grondslagen, DPIA
Een dieper overzicht van de juridische grondslagen en wanneer een DPIA verplicht is bij AI-toepassingen.
Lees verderKennisartikel · AI in de zorg & GGZ
Gezondheidsgegevens zijn de meest gevoelige persoonsgegevens die er zijn. Wie AI inzet in de zorg, heeft de AVG aan zijn zij en moet weten wat dat concreet betekent voor grondslagen, DPIA's en verwerkersovereenkomsten.
Laatst bijgewerkt 14 juni 2026 · door Arjan Woldring
De AVG vraagt bij AI in de zorg om een geldige grondslag voor het verwerken van gezondheidsgegevens, strikte dataminimalisatie, in de meeste gevallen een DPIA en altijd een verwerkersovereenkomst met de leverancier. Clientdata gaat nooit in publieke AI-tools.
Implementa
01 · Definitie
De Algemene Verordening Gegevensbescherming (AVG) is de Europese privacywet die geldt voor elke verwerking van persoonsgegevens, ook als die verwerking plaatsvindt via een AI-systeem. In de zorg maakt dit bijzonder veel verschil: gezondheidsgegevens vallen onder de zogenoemde bijzondere persoonsgegevens (artikel 9 AVG). Die categorie verdient extra bescherming en mag alleen worden verwerkt als aan een specifieke uitzonderingsgrond is voldaan.
Denk aan AI-toepassingen die rapporten schrijven op basis van gespreksverslagen, die klinische beslissingen ondersteunen of die chatfunctionaliteit bieden aan cliënten. Al die toepassingen verwerken persoonsgegevens, en vaak ook gezondheidsgegevens. De AVG stelt dan concrete eisen: er moet een grondslag zijn, de verwerking moet doelgebonden en minimaal zijn, er moeten passende beveiligingsmaatregelen zijn, en de verantwoordelijkheid moet helder belegd zijn.
De toezichthouder in Nederland is de Autoriteit Persoonsgegevens (AP). Zij handhaaft de AVG en heeft specifieke aandacht voor AI-toepassingen die persoonsgegevens verwerken.
02 · Grondslagen
Artikel 9 AVG verbiedt in beginsel de verwerking van bijzondere persoonsgegevens, waaronder gezondheidsgegevens. Verwerking is alleen toegestaan als aan één van de limitatief opgesomde uitzonderingsgronden wordt voldaan. De meest relevante in de zorgsector zijn:
Naast de uitzonderingsgrond op grond van artikel 9 is ook altijd een reguliere grondslag nodig op grond van artikel 6 (zoals de uitvoering van een overeenkomst of een wettelijke verplichting). Beide lagen moeten kloppen voordat AI rechtmatig gezondheidsgegevens mag verwerken.
03 · DPIA
Een Data Protection Impact Assessment (DPIA, ook wel gegevensbeschermingseffectbeoordeling) is een verplichte risicoanalyse vooraf. De AVG schrijft een DPIA voor als een verwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. Bij AI in de zorg is dat al snel het geval, omdat er sprake is van drie factoren tegelijk:
De Autoriteit Persoonsgegevens heeft een lijst gepubliceerd met verwerkingen waarvoor een DPIA altijd verplicht is. Grootschalige verwerking van gezondheidsgegevens door middel van geautomatiseerde systemen staat hierop.
Een DPIA documenteert de risico's, de maatregelen die worden getroffen om die risico's te beheersen, en de restrisico's. Als de restrisico's te hoog zijn, moet de AP vooraf worden geraadpleegd. Een goed uitgevoerde DPIA laat ook zien dat de organisatie aantoonbaar heeft nagedacht over privacy: dat is precies de verantwoordingsplicht die de AVG vraagt.
04 · Verwerkers
Wie een AI-leverancier inschakelt die namens de zorginstelling persoonsgegevens verwerkt, is verplicht een verwerkersovereenkomst (of verwerkerscontract) te sluiten. Dit is geen formaliteit: de overeenkomst is de juridische waarborg dat de leverancier als verwerker handelt binnen de kaders die de verwerkingsverantwoordelijke stelt.
Voor AI-toepassingen in de zorg zijn deze punten in ieder geval relevant in een verwerkersovereenkomst:
Veel aanbieders van AI-tools bieden standaard verwerkersovereenkomsten aan. Beoordeel die kritisch voordat u tekent, en laat juridische ondersteuning meekijken als de verwerking gevoelig is.
05 · Clientdata
De meest gestelde vraag in de praktijk: mag ik dit in ChatGPT invoeren? Het antwoord is helder: nee. Publieke AI-tools verwerken ingevoerde data buiten de context van een verwerkersovereenkomst, veelal buiten de EU en soms voor modeltraining. Dat is onverenigbaar met de AVG-eisen voor bijzondere persoonsgegevens.
Wat mag wel:
Wat niet mag:
Veelgestelde vragen
Ja. Zodra een AI-toepassing persoonsgegevens verwerkt, ook puur intern, is de AVG van toepassing. Voor gezondheidsgegevens (artikel 9) gelden bovendien extra strenge regels, ongeacht of de verwerking intern of extern plaatsvindt.
De meest gebruikte grondslagen in de zorg zijn: toestemming van de client (artikel 6 lid 1a en artikel 9 lid 2a), noodzakelijkheid voor de behandelovereenkomst (artikel 6 lid 1b) of een wettelijke verplichting. De keuze hangt af van het doel van de AI-toepassing. Een jurist of functionaris gegevensbescherming kan helpen de juiste grondslag te bepalen.
Een DPIA is verplicht als de verwerking een hoog risico voor betrokkenen oplevert. Bij AI die gezondheidsgegevens op grote schaal verwerkt, is dit al snel het geval. De Autoriteit Persoonsgegevens heeft een lijst gepubliceerd met verwerkingen waarvoor een DPIA altijd verplicht is.
Nee. Publieke AI-tools zoals ChatGPT gebruiken ingevoerde data standaard voor modeltraining of verwerken die buiten de EU. Clientdata, dossierinhoud en andere persoonsgegevens horen nooit in een publieke AI-tool. Gebruik uitsluitend oplossingen met een verwerkersovereenkomst en duidelijke datalocatie.
Een verwerkersovereenkomst legt vast welke gegevens de leverancier verwerkt, voor welk doel, hoe lang, in welk land, welke beveiligingsmaatregelen gelden en hoe datalekken worden gemeld. Bij AI-toepassingen is het ook relevant of de leverancier data gebruikt voor modelverbetering.
De zorgaanbieder blijft als verwerkingsverantwoordelijke eindverantwoordelijk, ook als de fout door een leverancier of AI-systeem wordt gemaakt. Dit onderstreept het belang van goede verwerkersovereenkomsten, menselijke controle en een heldere incidentprocedure.
Stel duidelijk beleid op over het gebruik van AI-tools, maak dit onderdeel van onboarding en periodieke training, en leg vast wat medewerkers mogen en niet mogen invoeren in AI-systemen. De AI-geletterdheidsplicht uit de EU AI Act (artikel 4, van kracht sinds februari 2025) ondersteunt dit.
Over de auteur
Arjan Woldring
oprichter Implementa
Arjan is oprichter van Implementa en begeleidt zorgorganisaties bij het verantwoord invoeren van AI. Hij schrijft over de snijvlakken van AI, privacyrecht en zorgpraktijk, en legt complexe regelgeving uit in begrijpelijke taal voor bestuurders en managers.
Lees ook
Verdiep uw kennis over privacy, AI en de zorg.
Pilaar 5
Een dieper overzicht van de juridische grondslagen en wanneer een DPIA verplicht is bij AI-toepassingen.
Lees verderPilaar 3
Hoe kiest u AI-oplossingen die privacy by design als uitgangspunt nemen, ook voor gevoelige zorgdata?
Lees verderPilaar 4
Heeft uw GGZ-instelling een functionaris gegevensbescherming nodig? Lees de criteria en wat de FG doet.
Lees verder