Direct naar inhoud

Kennisartikel · AI in de zorg & GGZ

Wanneer heeft een kleine GGZ-instelling een FG nodig?

Een functionaris gegevensbescherming is niet voor elke GGZ-praktijk verplicht. Maar de grens is minder eenduidig dan veel bestuurders denken, zeker als u AI inzet. Hier leest u wat de wet zegt en hoe u bepaalt waar u staat.

Laatst bijgewerkt 14 juni 2026 · door Arjan Woldring

Een functionaris gegevensbescherming (FG) is verplicht wanneer een organisatie op grote schaal bijzondere persoonsgegevens verwerkt. Veel kleine GGZ-praktijken vallen daar net buiten, maar de grens is niet scherp. Het hangt af van het aantal cliënten, de aard van de gegevens en de technologie die u inzet. Bij twijfel is een concrete toets de veiligste route.

Implementa

01 · Definitie

Wat is een functionaris gegevensbescherming?

Een functionaris gegevensbescherming (FG) is een interne toezichthouder op de verwerking van persoonsgegevens. De AVG gebruikt de Engelse term Data Protection Officer (DPO). De FG heeft drie kerntaken: de organisatie informeren en adviseren over privacyverplichtingen, toezien op de naleving van de AVG, en fungeren als aanspreekpunt voor de Autoriteit Persoonsgegevens.

De FG heeft een onafhankelijke positie: hij of zij mag geen instructies ontvangen over hoe taken worden uitgevoerd en mag niet worden ontslagen of bestraft voor de uitoefening van die taken. U kunt een FG intern aanstellen of extern inhuren. In beide gevallen gelden dezelfde wettelijke eisen.

De FG is nadrukkelijk geen verwerkingsverantwoordelijke. De eindverantwoordelijkheid voor het naleven van de AVG blijft altijd bij de organisatie zelf.

02 · De wettelijke verplichting

Wanneer is een FG verplicht volgens AVG artikel 37?

Artikel 37 van de AVG noemt drie situaties waarin een FG verplicht is:

  • Overheidsinstantie of publiekrechtelijk orgaan (een GGZ-instelling in de private sector valt hier doorgaans niet onder).
  • Grootschalige, regelmatige en stelselmatige monitoring van betrokkenen als kerntaak.
  • Grootschalige verwerking van bijzondere persoonsgegevens, waaronder gezondheidsgegevens vallen.

Voor GGZ-instellingen is de derde situatie het meest relevant. Gezondheidsgegevens zijn per definitie bijzondere persoonsgegevens (AVG artikel 9). De vraag is of de verwerking grootschalig is.

De Autoriteit Persoonsgegevens hanteert daarvoor geen exacte grens, maar kijkt naar een combinatie van factoren: het aantal betrokkenen in verhouding tot de bevolking, de hoeveelheid gegevens, de geografische reikwijdte, de duur van de verwerking en de ernst van de mogelijke gevolgen. Een solopraktijk of kleine groepspraktijk met enkele tientallen actieve cliënten valt in de meeste gevallen buiten de definitie van grootschalig.

03 · Uw situatie

Geldt de FG-plicht voor uw kleine GGZ-praktijk?

De wetgever heeft de grens niet in een getal gevat. Kijk naar deze drie factoren om uw situatie te beoordelen.

Schaal van de verwerking

Hoeveel cliënten behandelt u en hoeveel behandelaren zijn betrokken? Een kleine praktijk met enkele tientallen actieve dossiers verwerkt doorgaans niet op grootschalige wijze. Een instelling met honderden cliënten en meerdere vestigingen zit dichter bij de grens.

Aard van de gegevens

GGZ-gegevens bevatten vrijwel altijd gezondheids- en psychische gegevens, beide bijzonder in de zin van AVG artikel 9. Dat maakt de drempel voor grootschaligheid láger dan bij gewone persoonsgegevens, omdat de risico's voor betrokkenen groter zijn.

Technologie en toekomstige groei

Zet u nu of binnenkort AI in voor verslaglegging, risicoanalyse of roostering? Dat kan het volume en de complexiteit van de gegevensverwerking aanzienlijk vergroten, waardoor de omschrijving van grootschaligheid eerder van toepassing wordt.

04 · Alternatieven

Wat als een FG niet verplicht is? Het privacy-aanspreekpunt

Bent u niet verplicht een FG aan te stellen, dan zijn er toch goede redenen om de privacybewaking te structureren. De meest gangbare oplossing voor kleine GGZ-praktijken is het aanwijzen van een privacy-aanspreekpunt: een medewerker of externe adviseur die de AVG-taken bewaakt en als eerste contactpersoon fungeert bij vragen of incidenten.

Het verschil met een formele FG is wezenlijk. Een privacy-aanspreekpunt heeft geen wettelijke bescherming (ontslagbescherming, onafhankelijkheid), hoeft niet bij de Autoriteit Persoonsgegevens geregistreerd te worden en draagt geen wettelijke taken. Maar het geeft uw organisatie structuur, maakt de verantwoordingsplicht aannemelijk en verlaagt de kans op onbeheerde datalekken.

Praktisch gezien werkt dit goed voor een praktijk die:

  • een beperkt aantal cliënten heeft en niet in de grootschaligheidszone valt,
  • wel degelijk AVG-compliant wil zijn en dit wil kunnen aantonen,
  • geen budget of noodzaak ziet voor een formele, extern geregistreerde FG.

U kunt dit aanspreekpunt intern beleggen bij de praktijkmanager of bij een externe privacy-adviseur die periodiek meekijkt. Vastleg wie het is, wat de taken zijn en hoe incidenten worden gemeld.

05 · AI en privacy

Wat verandert er als u AI gaat inzetten in de GGZ?

AI maakt de FG-vraag niet eenvoudiger, maar wel urgenter. Wanneer u AI inzet voor het verwerken van gezondheidsdossiers, spraakgestuurd rapporteren of risicoanalyse, veranderen drie dingen tegelijk:

  • Het volume neemt toe. AI verwerkt gegevens over meer cliënten in kortere tijd, wat de schaal van de verwerking vergroot.
  • De risico's worden groter. Fouten of lekken in een AI-systeem kunnen een groter aantal cliënten raken dan bij handmatige verwerking.
  • Een DPIA wordt doorgaans verplicht. De AVG schrijft een gegevensbeschermingseffectbeoordeling voor bij hoog-risicoverwerkingen, waaronder nieuwe technologieën op bijzondere persoonsgegevens. Meer over DPIA leest u op de pagina AVG en AI: grondslagen, DPIA.

Dit betekent niet dat u AI moet vermijden. Het betekent dat u, voordat u een AI-toepassing invoert, helder moet hebben of de FG-grens van toepassing is, en zo ja, wie die rol vervult. De winst die AI oplevert bij administratielast is reëel; de kunst is die verantwoord te verzilveren.

06 · Veelgestelde vragen

Vragen over de FG
in de GGZ

Is een functionaris gegevensbescherming verplicht voor elke GGZ-praktijk?

Nee, niet voor elke GGZ-praktijk. De verplichting geldt op grond van AVG artikel 37 bij grootschalige verwerking van bijzondere persoonsgegevens. Een kleine praktijk met een beperkt aantal cliënten valt daar doorgaans niet onder, maar de grens is niet exact vastgelegd in de wet.

Wat is een functionaris gegevensbescherming precies?

Een functionaris gegevensbescherming (FG) is een interne toezichthouder op de verwerking van persoonsgegevens binnen een organisatie. De FG informeert en adviseert, bewaakt de naleving van de AVG en is het aanspreekpunt voor de Autoriteit Persoonsgegevens.

Wanneer is de verwerking van GGZ-gegevens 'grootschalig'?

De AVG geeft geen exact getal, maar de Autoriteit Persoonsgegevens kijkt naar het aantal betrokkenen, de hoeveelheid gegevens, de geografische omvang en de duur van de verwerking. Een solopraktijk of kleine groepspraktijk valt in de meeste gevallen niet onder grootschalig.

Wat is een goed alternatief als een FG niet verplicht is?

U kunt een privacy-aanspreekpunt aanwijzen: een medewerker of externe adviseur die de AVG-taken bewaakt zonder de formele FG-status. Dit geeft structuur zonder de wettelijke verplichtingen die een formele FG met zich meebrengt.

Maakt het gebruik van AI de FG-vraag anders?

Ja. Wanneer u AI inzet voor het verwerken van gezondheidsgegevens, bijvoorbeeld voor verslaglegging of risicoanalyse, neemt de omvang en het risico van de verwerking toe. Dat kan de balans naar een verplichte FG kantelen of in elk geval een DPIA vereisen.

Hoe bepaal ik of mijn GGZ-praktijk een FG nodig heeft?

Kijk naar drie factoren: het aantal cliënten en behandelaren, de aard van de gegevens (gezondheidsgegevens zijn altijd bijzonder), en de technologie die u inzet. Bij twijfel is een korte toets door een privacy-adviseur de meest betrouwbare route.

Wat zijn de gevolgen als een FG verplicht is maar ontbreekt?

De Autoriteit Persoonsgegevens kan een boete opleggen bij het ontbreken van een verplichte FG. Bovendien staat u zwakker bij een datalek of klacht, omdat u de AVG-verantwoordingsplicht moeilijker kunt aantonen zonder een aangewezen toezichthouder.

Over de auteur

Arjan Woldring

oprichter Implementa

Arjan is oprichter van Implementa en begeleidt zorgorganisaties bij verantwoorde AI-implementatie. Hij schrijft en adviseert over de raakvlakken van privacy, regelgeving en praktische AI-inzet in de GGZ.

Volg op LinkedIn Vakinhoudelijk gecontroleerd op Vakinhoudelijk gecontroleerd op 14 juni 2026

07 · Lees ook

Verder lezen over AI, privacy en de GGZ

Verdiep uw kennis met deze verwante artikelen.

Pilaar 4 · Zorg & GGZ

AVG en AI in de zorg

De AVG-regels bij AI-verwerking van zorggegevens uitgelegd: grondslagen, doelbinding, transparantie en wat dit betekent voor uw GGZ-praktijk.

Lees verder

Pilaar 5 · Governance

AVG en AI: grondslagen, DPIA

Wanneer is een DPIA verplicht, welke grondslagen gelden voor AI-verwerking en hoe werkt u samen met een verwerker? Praktisch en concreet.

Lees verder

Pilaar 5 · Governance

AI-register: wat en waarom

Wat moet er in een AI-register staan, waarom is het verstandig er nu mee te beginnen en hoe sluit het aan op uw privacybeleid?

Lees verder