Vergroot contrast

Zorgaanbieders en de AVG

De Algemene verordening gegevensbescherming (AVG) brengt nieuwe verantwoordelijkheden met zich mee. Ook voor u als zorgaanbieder. De regels dwingen u om zorgvuldig om te gaan met de privacygevoelige informatie van uw patiënten. Juist nu veel informatie gedigitaliseerd is.

Nieuwe verplichtingen

Onder de AVG gelden er nieuwe informatieverplichtingen en nieuwe regels over het werken met toestemming van de patiënt. In veel gevallen zult u ook verplicht zijn om een register van verwerkingsactiviteiten bij te houden, een data protection impact assessment (DPIA) uit te voeren en een functionaris voor de gegevensbescherming (FG) aan te stellen.

Bestaande regels blijven gelden

De bestaande regels over privacy worden door de AVG bevestigd en op onderdelen versterkt. De volgende wetten blijven dus gelden:

 • Wet op de geneeskundige behandelingsovereenkomst (WGBO);
 • Wet kwaliteit, klachten en geschillen zorg (Wkkgz);
 • Wet op de beroepen in de individuele gezondheidszorg (Wet BIG);
 • Zorgverzekeringswet (Zvw);
 • Wet marktordening gezondheidszorg (Wmg);
 • Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.

De AVG-regels gaan ook naast de huidige regels voor het medisch beroepsgeheim bestaan.

Stel ons uw vraag

De informatie in dit dossier is specifiek gericht op (kleine) zorgaanbieders. We breiden de informatie continu uit. Onder andere naar aanleiding van uw vragen. Dus heeft u een vraag over de AVG in de zorg? Neem dan contact met ons op.

Bekijk binnen het onderwerp Zorgaanbieders en de AVG

Alle antwoorden op mijn vragenVeelgestelde vragen van zorgaanbieders

 • Welke maatregelen moet ik nemen om patiëntgegevens te beveiligen?

  Voor het vertrouwen van de patiënt in u als zorgaanbieder is het belangrijk om de beveiliging van zijn/haar persoonsgegevens goed te regelen. Dat verandert niet met de komst van de Algemene verordening gegevensbescherming (AVG). Nieuw onder de AVG is wel de verantwoordingsplicht.

  Verantwoordingsplicht

  De verantwoordingsplicht houdt in dat u moet kunnen aantonen dat u de juiste technische en organisatorische maatregelen heeft genomen om de persoonsgegevens van uw patiënten te beveiligen. En dat uw gegevensverwerkingen aan de AVG voldoen. Dat houdt bijvoorbeeld in dat u:

  • niet méér persoonsgegevens verwerkt dan noodzakelijk is voor het doel van de verwerking;
  • de toegang van medewerkers tot de persoonsgegevens beperkt;
  • de persoonsgegevens niet langer bewaart dan nodig is. 

  Verplichte en extra maatregelen

  In de AVG staan een aantal verplichte maatregelen genoemd waarmee u aan uw verantwoordingsplicht voldoet. Naast de verplichte maatregelen kan het nodig zijn om extra maatregelen te nemen. Voor zorgaanbieders geldt onder meer dat:

  • De NEN 7510 een belangrijke norm voor informatiebeveiliging in de zorg blijft. U moet deze richtlijnen dus blijven volgen.
  • U van elke individuele medewerker moet bijhouden wanneer hij/zij en van welke patiënt een dossier heeft bekeken. Dit heet logging. 
  • Het nodig kan zijn om een gegevensbeschermingsbeleid op te stellen. Daarin regelt u onder meer welke medewerkers toegang mogen hebben tot welke gegevens.
  • In de zorg is het maken van afspraken over dit soort autorisaties extra belangrijk omdat het vaak om gevoelige persoonsgegevens gaat. Medewerkers die geen behandelrelatie hebben met een patiënt, hebben ook geen toegang nodig tot het dossier van die patiënt.
  • U verplicht kunt zijn om een data protection impact assessment uit te voeren, een functionaris voor de gegevensbescherming aan te stellen en een register van verwerkingsactiviteiten bij te houden.
 • Moet u als zorgaanbieder een FG aanwijzen?

  U moet als zorgaanbieder een functionaris gegevensbescherming (FG) aanwijzen als u op grote schaal bijzondere persoonsgegevens verwerkt. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over de gezondheid van mensen.

  Hoe bepaalt u of u volgens de wet op grote schaal (bijzondere) persoonsgegevens verwerkt?

  In de Algemene verordening gegevensbescherming (AVG) staat niet heel specifiek omschreven wanneer een verwerking grootschalig is. Dat is afhankelijk van uw situatie. Wel hebben de Europese toezichthouders een aantal criteria opgesteld, namelijk:

  FG voor bijvoorbeeld ziekenhuizen verplicht

  De Europese privacytoezichthouders noemen een ziekenhuis als expliciet voorbeeld van een organisatie die op grote schaal bijzondere persoonsgegevens verwerkt. Een ziekenhuis is dus verplicht om een FG aan te stellen.

  FG voor bijvoorbeeld individuele artsen niet verplicht

  De privacytoezichthouders zien verwerkingen van bijzondere persoonsgegevens door individuele artsen niet als grootschalig. Individuele artsen hoeven dus geen FG aan te stellen.

  Praktische standaard

  De Europese privacytoezichthouders verwachten dat er op den duur een praktische standaard komt waarmee u eenvoudiger kunt vaststellen of sprake is van een grootschalige gegevensverwerking. En dus of u verplicht bent om een FG aan te stellen. Zodra hierover meer bekend is, vindt u die informatie op deze website.

  Let op: per 1 januari 2018 geldt voor instellingen als bedoeld in de Wet, kwaliteit, klachten en geschillen zorg (Wkkgz) die op grote schaal gegevens verwerken al de plicht om een FG te benoemen. Dat is geregeld in het Besluit elektronische gegevensverwerking door zorgaanbieders.

  Meer informatie

 • Moet u als zorgaanbieder een DPIA doen?

  Sommige gegevensverwerkingen leveren een hoog privacyrisico op voor de betrokken personen. Onder de Algemene verordening gegevensbescherming (AVG) bent u in zo’n geval verplicht om een data protection impact assessment (DPIA) uit te voeren. Dit geldt niet voor individuele zorgverleners.

  Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Zodat u maatregelen kunt nemen om de risico’s te verkleinen.

  Hoe bepaalt u of er sprake is van een waarschijnlijk hoog privacyrisico?

  De werkgroep van Europese privacytoezichthouders (WP29) heeft een lijst van criteria opgesteld om u als verantwoordelijke te helpen om het privacyrisico van uw gegevensverwerking in te schatten. Voor zorgaanbieders kunnen de volgende criteria uit die lijst leiden tot een hoog risico:

  • U verwerkt gevoelige gegevens. Het gaat hierbij om bijzondere categorieën van persoonsgegevens, zoals gegevens over de gezondheid van mensen.
  • U verwerkt op grote schaal (bijzondere) persoonsgegevens. De AVG geeft geen definitie van ‘grootschalige gegevensverwerkingen’. De werkgroep van Europese toezichthouders adviseert om met de volgende criteria te bepalen of hiervan sprake is:
   - de hoeveelheid mensen van wie gegevens worden verwerkt;
   - de hoeveelheid gegevens en/of de verscheidenheid aan gegevens die worden verwerkt;
   - de tijdsduur van de gegevensverwerking;
   - de geografische reikwijdte van de gegevensverwerking.
  • U verwerkt gegevens over kwetsbare personen. Bij zorgaanbieders kan er sprake zijn van een ongelijke machtsverhouding tussen u als verantwoordelijke en de betrokken personen zoals kinderen, ouderen, wilsonbekwame en andere kwetsbare patiënten. 

  -> Meer informatie en uitleg over de criteria om de hoogte van het privacyrisico in te schatten

  DPIA voor individuele zorgverleners niet verplicht

  Een individuele zorgverlener, dus een natuurlijke persoon die beroepsmatig zorg verleent, is hoe dan ook niet verplicht om een DPIA uit te voeren.

  Lees meer over DPIA's

  Meer vragen en antwoorden over dit onderwerp vindt u in het subdossier DPIA

 • Moet ik als zorgaanbieder ook een DPIA doen voor bestaande verwerkingsactiviteiten?

  Nee, de verplichting om een data protection impact assessment (DPIA) te doen geldt in principe alleen voor nieuwe verwerkingen. Dus voor verwerkingen die ná 25 mei 2018 starten. Vanaf die datum is de Algemene verordening gegevensbescherming (AVG) van toepassing.

  Treedt er na 25 mei 2018 een verandering op in een bestaande verwerking of in de risico’s van die verwerking? Dan kan een DPIA alsnog verplicht zijn.

  Veranderingen bestaande verwerkingen

  Een bestaande gegevensverwerking kan bijvoorbeeld veranderen als u een nieuwe technologie gaat gebruiken. Of als u de persoonsgegevens voor een ander doel gaat gebruiken.

  In die situaties moet u, net als bij een nieuwe gegevensverwerking, vaststellen of de gewijzigde verwerking waarschijnlijk een hoog privacyrisico oplevert. Zo ja, dan bent u alsnog verplicht een DPIA uit te voeren.

  Voorafgaand onderzoek

  Het kan zijn dat de AP al eens een voorafgaand onderzoek heeft gedaan naar een bepaalde gegevensverwerking. Misschien heeft u daarvoor goedkeuring gekregen.

  Ook dan geldt dat u geen DPIA over die verwerking hoeft uit te voeren. Tenzij er ná 25 mei 2018 een verandering optreedt in de verwerking die waarschijnlijk een hoog risico inhoudt.

  Meer informatie

 • Bent u als kleine zorgaanbieder verplicht om een register van verwerkingsactiviteiten op te stellen?

  Ook als kleine zorgaanbieder bent u in de meeste gevallen verplicht om een register van verwerkingsactiviteiten op te stellen. Dit komt omdat kleine zorgaanbieders doorgaans structureel bijzondere persoonsgegevens verwerken. Namelijk medische gegevens van hun patiënten.

  Volgens de Algemene verordening gegevensbescherming (AVG) bent u als organisatie met minder dan 250 werknemers verplicht om een register op te stellen wanneer u persoonsgegevens verwerkt:

  • die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt en/of
  • waarvan de verwerking niet incidenteel is en/of
  • die vallen onder de categorie bijzondere persoonsgegevens.

  Lees meer over wat er in het register van verwerkingsactiviteiten moet staan.

 • Mag u onder de AVG persoonsgegevens verstrekken aan zorgverzekeraars?

  Als zorgaanbieder mag u onder de Algemene verordening gegevensbescherming (AVG) persoonsgegevens blijven verstrekken aan zorgverzekeraars.

  De regels die onder de huidige Wet bescherming persoonsgegevens (Wbp) gelden voor bijvoorbeeld het verstrekken van gegevens aan zorgverzekeraars voor de declaratie van zorgkosten, het aanvragen van machtigingen en het uitvoeren van formele en materiële controle blijven onder de AVG dus bestaan.

  Lees meer over onder welke voorwaarden zorgverzekeraars medische gegevens mogen verwerken.

Alle antwoorden op mijn vragenVragen over privacyrechten in de zorg

 • Verandert het recht op inzage voor het medisch dossier onder de AVG?

  Nee. Patiënten hebben onder de Algemene verordening gegevensbescherming (AVG) net als nu recht op inzage in hun medisch dossier. Bijvoorbeeld om röntgenfoto’s, diagnoses en operatieverslagen te bekijken. Alleen in uw persoonlijke werkaantekeningen hoeft u geen inzage te geven. Nieuw is wel dat u straks geen vergoeding meer mag vragen voor de inzage.

  Vergoeding voor kopieën

  Patiënten hebben ook recht op kopieën van hun medische gegevens. Hiervoor mag u onder de AVG geen kosten in rekening brengen. Onder de huidige Wet bescherming persoonsgegevens (Wbp) mag dit nog wel. Maar verzoekt een patiënt om meer dan een kopie van alle gegevens? Dan mag u hiervoor wel een redelijke vergoeding vragen.

  Geen volledige inzage medisch dossier

  Verzoekt een patiënt om toegang tot zijn of haar dossier? Maar wordt daardoor de privacy van iemand anders dan de patiënt zelf geschaad? Dan mag u de patiënt weigeren om een bepaald gedeelte van zijn/haar medisch dossier in te zien.

  U moet dan wel kunnen aantonen dat dat het geval is. Het belang van de privacy van de ander moet daarbij zwaarder wegen dan het belang dat de patiënt heeft bij inzage in het betreffende gedeelte van zijn/haar medisch dossier.

  Relevante wetten

  Het recht op inzage is geregeld in zowel de AVG als de Wet op de geneeskundige behandelovereenkomst (WGBO).

 • Geldt het recht op dataportabiliteit ook voor medische dossiers?

  Het recht op dataportabiliteit is een nieuw recht onder de AVG. Het is het recht van mensen om persoonsgegevens mee te nemen en over te dragen aan een andere (zorg)aanbieder. Het recht geldt voor een deel van de gegevens in medische dossiers.

  Welke gegevens wel

  De persoonsgegevens die uw patiënt zelf actief en bewust heeft verstrekt, vallen onder het recht op dataportabiliteit. Dat geldt ook voor de gegevens die de patiënt indirect heeft verstrekt door het gebruik van een dienst of een apparaat. Bijvoorbeeld de gegevens die een pacemaker of een bloedrukmeter genereert.

  Welke gegevens niet

  De gegevens in het medisch dossier die niet direct of indirect door het gebruik van een dienst of een apparaat door de patiënt zijn verstrekt, vallen niet onder het recht op dataportabiliteit.

  Het recht op dataportabiliteit geldt bijvoorbeeld niet voor de conclusies, diagnoses, vermoedens of behandelplannen die u als behandeld arts op basis van de door de patiënt verstrekte gegevens vaststelt.

 • Geldt het recht op vergetelheid ook voor medische dossiers?

  Het recht om vergeten te worden geldt in principe niet voor medische dossiers. De Algemene verordening gegevensbescherming (AVG) biedt namelijk ruimte aan nationale wetgeving. Onder meer om uitzonderingen op het recht op vergetelheid te regelen. Patiënten mogen u wel vragen om gegevens uit hun medisch dossier te verwijderen.

  Regels in Wgbo

  In Nederland zijn de regels voor het bewaren van medische dossiers opgenomen in de Wet op de geneeskundige behandelovereenkomst (Wgbo). Hierin is bepaald dat u medische dossiers 15 jaar moet bewaren. 

  Deze wet regelt dat mensen het recht hebben om hun zorgverlener te vragen om de gegevens eerder te vernietigen. U moet daar gehoor aan geven, tenzij een bepaald voorschrift of specifieke wet bepaalt dat u de gegevens moet bewaren. Bijvoorbeeld vanwege het belang van iemand anders. Of omdat de gegevens nodig zijn voor het leveren van zorg.

  Reageren op een verzoek

  Heeft een patiënt u gevraagd om vernietiging van zijn of haar medisch dossier? Dan moet u als zorgverlener binnen 3 maanden aan dit verzoek voldoen. Wanneer u het verzoek afwijst, dan moet u de patiënt laten weten waarom. Het liefst schriftelijk.

  Verwijdert u alleen een onderdeel uit het medisch dossier? Dan kunt u in het dossier vermelden dat een deel van de gegevens op verzoek van de patiënt is verwijderd.

  Meer informatie

Alle antwoorden op mijn vragenVragen over AVG & andere regels in de zorg

 • Hoe verhoudt de AVG zich tot het beroepsgeheim en de Wgbo?

  De Algemene verordening gegevensbescherming (AVG) brengt geen veranderingen met zich mee voor het medisch beroepsgeheim. De regels uit de Wet op de geneeskundige behandelingsovereenkomst (Wgbo) blijven bestaan naast de AVG.

  Net als nu zijn zorgaanbieders onder de AVG dus gebonden aan zowel de regels over het medisch beroepsgeheim als aan de regels van de AVG. Als zorgaanbieder mag u straks bijvoorbeeld alléén gegevens aan een derde verstrekken als dat mag op grond van de AVG én als u een grond heeft om het medisch beroepsgeheim te doorbreken.

 • Wat is de verhouding tussen de AVG en de Wet cliëntenrechten bij elektronische verwerking van gegevens?

  De Algemene verordening gegevensbescherming (AVG) is een Europese privacywet die boven nationale wetgeving staat. De Wet cliëntenrechten bij elektronische verwerking van gegevens geldt in aanvulling op de AVG. Dat betekent dat dáár waar de AVG meer bescherming voor cliënten biedt, de AVG voor gaat.

  Ruimte voor nationale regels

  De AVG geeft de zorgsector de mogelijkheid om specifieke regels in te stellen in nationale wetgeving. De Wet cliëntenrechten bij elektronische verwerking van gegevens is een voorbeeld van zo’n nationale uitwerking.

  Deze wet schept voorwaarden voor het veilig elektronisch uitwisselen van medische gegevens in de zorgsector. Het gaat om elektronische uitwisselingssystemen waarmee u als zorgaanbieder op elektronische wijze dossiers, gedeelten van dossiers of gegevens uit dossiers inzichtelijk kunt maken voor andere zorgaanbieders.

  Het systeem voor het bijhouden van een intern elektronisch dossier, zoals het interne elektronische patiëntendossier van een ziekenhuis, valt niet onder de Wet cliëntenrechten bij elektronische verwerking van gegevens.

  Veel van de regels in de Wet cliëntenrechten bij elektronische verwerking van gegevens komen overeen met wat er in de AVG staat. Bijvoorbeeld dat uw cliënt de toestemming die hij of zij heeft gegeven voor de verwerking van zijn persoonsgegevens, weer in moet kunnen trekken.

  Sommige regels gaan eerder gelden

  De Wet cliëntenrechten bij elektronische verwerking van gegevens is opgenomen in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Een deel van die wet geldt pas vanaf 1 juli 2020.

  Maar aan bepaalde verplichtingen die vanaf 1 juli 2020 gaan gelden, moet u zich nu al vanaf 25 mei 2018 houden. Dat is de ingangsdatum van de AVG.

  Voorbeelden daarvan zijn:

  • Onder de AVG moet u als zorgaanbieder kunnen aantonen dat uw cliënt toestemming heeft gegeven voor de verwerking van zijn of haar gegevens. Deze verplichting komt voor een groot deel overeen met de registratieplicht voor toestemming die in de Wet cliëntenrechten bij elektronische verwerking van gegevens is opgenomen.
  • De Wet cliëntenrechten bij elektronische verwerking van gegevens regelt dat elektronische inzage per 1 juli 2020 kosteloos moet zijn. De AVG bepaalt dat uw cliënt deze inzage vanaf 25 mei 2018 al kosteloos moet kunnen krijgen, al dan niet elektronisch.

  Meer informatie

  Wilt u meer weten over de Wet cliëntenrechten bij elektronische verwerking van gegevens? Lees dan de factsheet Elektronische gegevensuitwisseling in de zorg van het ministerie van Volksgezondheid, Welzijn en Sport op rijksoverheid.nl.

 • Blijft de NEN 7510 gelden voor zorgaanbieders onder de AVG?

  Ja. De NEN 7510 blijft ook onder de Algemene verordening gegevensbescherming (AVG) een belangrijke norm voor informatiebeveiliging in de zorg.

  Huidige regels

  Hoewel de NEN 7510 niet letterlijk in de AVG genoemd staat, blijven beveiligingsstandaarden belangrijk. Net zoals dat onder de huidige regels het geval is.

  Op dit moment geldt bijvoorbeeld dat u aan de NEN 7510 moet voldoen als u in de zorg het burgerservicenummer (BSN) verwerkt.

  Daarnaast staat in de huidige beleidsregels Beveiliging van persoonsgegevens van de Autoriteit Persoonsgegevens (AP) dat verantwoordelijken de beveiligingsstandaarden moeten volgen. Als voorbeeld van zo’n standaard noemt de AP de NEN 7510.

 • Is onder de AVG een NEN 7510-certificaat verplicht voor zorgaanbieders?

  Nee. Certificering volgens de NEN 7510 is op grond van de Algemene verordening gegevensbescherming (AVG) niet verplicht. Ongeacht de rechtsvorm en de omvang van uw organisatie.

  Let op: de NEN 7510 blijft onder de AVG wél een belangrijke norm voor informatiebeveiliging in de zorg.

  Verantwoordingsplicht

  Hoewel een NEN 7510-certificaat dus niet verplicht is onder de AVG, heeft u als verantwoordelijke straks wel een verantwoordingsplicht.

  Dat betekent dat u moeten kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen.