Direct naar inhoud

Kennisartikel · AI in de zorg & GGZ

AVG en AI in de zorg: de regels uitgelegd

Gezondheidsgegevens zijn de meest gevoelige persoonsgegevens die er zijn. Wie AI inzet in de zorg, heeft de AVG aan zijn zij en moet weten wat dat concreet betekent voor grondslagen, DPIA's en verwerkersovereenkomsten.

Laatst bijgewerkt 14 juni 2026 · door Arjan Woldring

De AVG vraagt bij AI in de zorg om een geldige grondslag voor het verwerken van gezondheidsgegevens, strikte dataminimalisatie, in de meeste gevallen een DPIA en altijd een verwerkersovereenkomst met de leverancier. Clientdata gaat nooit in publieke AI-tools.

Implementa

01 · Definitie

Wat betekent de AVG voor AI in de zorg?

De Algemene Verordening Gegevensbescherming (AVG) is de Europese privacywet die geldt voor elke verwerking van persoonsgegevens, ook als die verwerking plaatsvindt via een AI-systeem. In de zorg maakt dit bijzonder veel verschil: gezondheidsgegevens vallen onder de zogenoemde bijzondere persoonsgegevens (artikel 9 AVG). Die categorie verdient extra bescherming en mag alleen worden verwerkt als aan een specifieke uitzonderingsgrond is voldaan.

Denk aan AI-toepassingen die rapporten schrijven op basis van gespreksverslagen, die klinische beslissingen ondersteunen of die chatfunctionaliteit bieden aan cliënten. Al die toepassingen verwerken persoonsgegevens, en vaak ook gezondheidsgegevens. De AVG stelt dan concrete eisen: er moet een grondslag zijn, de verwerking moet doelgebonden en minimaal zijn, er moeten passende beveiligingsmaatregelen zijn, en de verantwoordelijkheid moet helder belegd zijn.

De toezichthouder in Nederland is de Autoriteit Persoonsgegevens (AP). Zij handhaaft de AVG en heeft specifieke aandacht voor AI-toepassingen die persoonsgegevens verwerken.

02 · Grondslagen

Waarom de AVG in de zorg extra streng is

Artikel 9 AVG verbiedt in beginsel de verwerking van bijzondere persoonsgegevens, waaronder gezondheidsgegevens. Verwerking is alleen toegestaan als aan één van de limitatief opgesomde uitzonderingsgronden wordt voldaan. De meest relevante in de zorgsector zijn:

  • Uitdrukkelijke toestemming (artikel 9 lid 2a): de cliënt geeft expliciet en vrijwillig toestemming voor de verwerking. Toestemming moet specifiek, geformuleerd en herroepbaar zijn. In een behandelrelatie is toestemming vaak geen stevige grondslag, omdat er sprake kan zijn van afhankelijkheid.
  • Noodzakelijkheid voor de gezondheidszorg (artikel 9 lid 2h): de verwerking is noodzakelijk voor de verstrekking van gezondheidszorg of sociale diensten. Dit is in de praktijk de meest robuuste grondslag voor zorginstellingen.
  • Wettelijke verplichting (artikel 9 lid 2b): verwerking is vereist op grond van wet- en regelgeving, zoals de Wet op de geneeskundige behandelingsovereenkomst (WGBO).

Naast de uitzonderingsgrond op grond van artikel 9 is ook altijd een reguliere grondslag nodig op grond van artikel 6 (zoals de uitvoering van een overeenkomst of een wettelijke verplichting). Beide lagen moeten kloppen voordat AI rechtmatig gezondheidsgegevens mag verwerken.

03 · DPIA

Wanneer is een DPIA verplicht?

Een Data Protection Impact Assessment (DPIA, ook wel gegevensbeschermingseffectbeoordeling) is een verplichte risicoanalyse vooraf. De AVG schrijft een DPIA voor als een verwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. Bij AI in de zorg is dat al snel het geval, omdat er sprake is van drie factoren tegelijk:

  • Verwerking van bijzondere persoonsgegevens (gezondheidsdata)
  • Grootschalige verwerking of verwerking van een kwetsbare groep (patiënten, cliënten)
  • Nieuwe technologie (AI-systemen met geautomatiseerde analyse of beslissingen)

De Autoriteit Persoonsgegevens heeft een lijst gepubliceerd met verwerkingen waarvoor een DPIA altijd verplicht is. Grootschalige verwerking van gezondheidsgegevens door middel van geautomatiseerde systemen staat hierop.

Een DPIA documenteert de risico's, de maatregelen die worden getroffen om die risico's te beheersen, en de restrisico's. Als de restrisico's te hoog zijn, moet de AP vooraf worden geraadpleegd. Een goed uitgevoerde DPIA laat ook zien dat de organisatie aantoonbaar heeft nagedacht over privacy: dat is precies de verantwoordingsplicht die de AVG vraagt.

04 · Verwerkers

Verwerkersovereenkomsten: wat moet erin?

Wie een AI-leverancier inschakelt die namens de zorginstelling persoonsgegevens verwerkt, is verplicht een verwerkersovereenkomst (of verwerkerscontract) te sluiten. Dit is geen formaliteit: de overeenkomst is de juridische waarborg dat de leverancier als verwerker handelt binnen de kaders die de verwerkingsverantwoordelijke stelt.

Voor AI-toepassingen in de zorg zijn deze punten in ieder geval relevant in een verwerkersovereenkomst:

  • Doelbinding: de leverancier mag de gegevens alleen verwerken voor het afgesproken doel, niet voor modeltraining of andere doelen.
  • Datalocatie: waar worden de gegevens opgeslagen en verwerkt? Verwerking buiten de EU of EER vereist aanvullende waarborgen.
  • Beveiliging: welke technische en organisatorische maatregelen treft de leverancier?
  • Meldplicht datalekken: binnen welke termijn meldt de leverancier een datalek aan de verwerkingsverantwoordelijke?
  • Sub-verwerkers: maakt de leverancier gebruik van andere partijen (zoals cloudproviders)? Die moeten ook zijn gebonden aan dezelfde eisen.
  • Auditrecht: heeft de zorginstelling het recht om de naleving te controleren of te laten controleren?

Veel aanbieders van AI-tools bieden standaard verwerkersovereenkomsten aan. Beoordeel die kritisch voordat u tekent, en laat juridische ondersteuning meekijken als de verwerking gevoelig is.

05 · Clientdata

Wat mag wel en niet met clientdata?

De meest gestelde vraag in de praktijk: mag ik dit in ChatGPT invoeren? Het antwoord is helder: nee. Publieke AI-tools verwerken ingevoerde data buiten de context van een verwerkersovereenkomst, veelal buiten de EU en soms voor modeltraining. Dat is onverenigbaar met de AVG-eisen voor bijzondere persoonsgegevens.

Wat mag wel:

  • AI-toepassingen gebruiken die draaien op een eigen of afgeschermde omgeving, met een gesloten verwerkersovereenkomst en dataverwerking binnen de EU.
  • Geanonimiseerde of gefingeerde data gebruiken voor testdoeleinden, mits de anonimisering onherleidbaar is.
  • AI-tools inzetten voor taken waarbij geen persoonsgegevens worden ingevoerd (zoals het schrijven van beleidsdocumenten op basis van fictieve scenario's).

Wat niet mag:

  • Cliëntnamen, dossierinformatie, BSN-nummers, diagnoses of andere identificerende gegevens invoeren in publieke AI-tools zoals ChatGPT, Copilot of vergelijkbare diensten zonder gesloten verwerkersovereenkomst.
  • AI-tools gebruiken die data buiten de EU verwerken zonder passende waarborgen (zoals standaardcontractbepalingen).
  • AI inzetten voor geautomatiseerde besluitvorming over cliënten zonder dat zij dit weten of daar bezwaar tegen hebben gemaakt (artikel 22 AVG).

Veelgestelde vragen

AVG en AI in de zorg:
uw vragen beantwoord

Geldt de AVG ook als we AI alleen intern gebruiken?

Ja. Zodra een AI-toepassing persoonsgegevens verwerkt, ook puur intern, is de AVG van toepassing. Voor gezondheidsgegevens (artikel 9) gelden bovendien extra strenge regels, ongeacht of de verwerking intern of extern plaatsvindt.

Welke grondslag heb ik nodig om AI te mogen inzetten op clientdata?

De meest gebruikte grondslagen in de zorg zijn: toestemming van de client (artikel 6 lid 1a en artikel 9 lid 2a), noodzakelijkheid voor de behandelovereenkomst (artikel 6 lid 1b) of een wettelijke verplichting. De keuze hangt af van het doel van de AI-toepassing. Een jurist of functionaris gegevensbescherming kan helpen de juiste grondslag te bepalen.

Wanneer is een DPIA verplicht bij AI in de zorg?

Een DPIA is verplicht als de verwerking een hoog risico voor betrokkenen oplevert. Bij AI die gezondheidsgegevens op grote schaal verwerkt, is dit al snel het geval. De Autoriteit Persoonsgegevens heeft een lijst gepubliceerd met verwerkingen waarvoor een DPIA altijd verplicht is.

Mag ik clientdata invoeren in ChatGPT of een andere publieke AI-tool?

Nee. Publieke AI-tools zoals ChatGPT gebruiken ingevoerde data standaard voor modeltraining of verwerken die buiten de EU. Clientdata, dossierinhoud en andere persoonsgegevens horen nooit in een publieke AI-tool. Gebruik uitsluitend oplossingen met een verwerkersovereenkomst en duidelijke datalocatie.

Wat staat er in een verwerkersovereenkomst voor AI?

Een verwerkersovereenkomst legt vast welke gegevens de leverancier verwerkt, voor welk doel, hoe lang, in welk land, welke beveiligingsmaatregelen gelden en hoe datalekken worden gemeld. Bij AI-toepassingen is het ook relevant of de leverancier data gebruikt voor modelverbetering.

Wie is verantwoordelijk als een AI een fout maakt met patientgegevens?

De zorgaanbieder blijft als verwerkingsverantwoordelijke eindverantwoordelijk, ook als de fout door een leverancier of AI-systeem wordt gemaakt. Dit onderstreept het belang van goede verwerkersovereenkomsten, menselijke controle en een heldere incidentprocedure.

Hoe zorgen we dat medewerkers weten wat wel en niet mag met clientdata en AI?

Stel duidelijk beleid op over het gebruik van AI-tools, maak dit onderdeel van onboarding en periodieke training, en leg vast wat medewerkers mogen en niet mogen invoeren in AI-systemen. De AI-geletterdheidsplicht uit de EU AI Act (artikel 4, van kracht sinds februari 2025) ondersteunt dit.

Over de auteur

Arjan Woldring

oprichter Implementa

Arjan is oprichter van Implementa en begeleidt zorgorganisaties bij het verantwoord invoeren van AI. Hij schrijft over de snijvlakken van AI, privacyrecht en zorgpraktijk, en legt complexe regelgeving uit in begrijpelijke taal voor bestuurders en managers.

Volg op LinkedIn Vakinhoudelijk gecontroleerd op Vakinhoudelijk gecontroleerd op 14 juni 2026

Lees ook

Verwante onderwerpen in de kennisbank

Verdiep uw kennis over privacy, AI en de zorg.

Pilaar 5

AVG en AI: grondslagen, DPIA

Een dieper overzicht van de juridische grondslagen en wanneer een DPIA verplicht is bij AI-toepassingen.

Lees verder

Pilaar 3

Privacy-first AI

Hoe kiest u AI-oplossingen die privacy by design als uitgangspunt nemen, ook voor gevoelige zorgdata?

Lees verder

Pilaar 4

Wanneer een FG nodig in de GGZ?

Heeft uw GGZ-instelling een functionaris gegevensbescherming nodig? Lees de criteria en wat de FG doet.

Lees verder