Welkom bij onze kennisbank

Tip: Start met typen in het bovenstaande veld voor een zoekopdracht of browse door de documenten via onderstaande categorieën.

< Alle onderwerpen
Printen

AVG in de Zorg – Handleiding voor jouw praktijk (2026)

Gepost
Geüpdatet

Sinds de invoering van de Algemene verordening gegevensbescherming (AVG) in 2018 hebben zorgverleners een grote verantwoordelijkheid bij het zorgvuldig omgaan met persoonsgegevens. De basis van de AVG is onveranderd, maar ontwikkelingen in de zorg, digitalisering en nieuwe regelgeving zorgen ervoor dat je organisatie continu alert moet blijven. In dit document vind je alle stappen om jouw praktijk AVG‑proof te maken.

1. Maak een privacybeleid en een begrijpelijke privacyverklaring

Je dient intern een privacybeleid te publiceren waarin staat wie welke rol heeft bij de omgang met persoonsgegevens in het algemeen en cliëntgegevens in het bijzonder. Het is belangrijk dat medewerkers daarvan op de hoogte zijn. Zij moeten dus regelmatig worden getraind in het zorgvuldig omgaan met persoonsgegevens.

Voor de belanghebbenden binnen en buiten de praktijk maak je een privacyverklaring. Die verklaring moet in eenvoudige taal precies en volledig uitleggen wat je doet met persoonlijke gegevens. Ook moet je mensen wijzen op hun rechten, zoals dat men gegevens mag aanpassen, het dossier mag inzien of zelfs laten vernietigen. Ook staan er contactgegevens in van de contactpersoon voor wat betreft gegevensbescherming (FG). Bovendien moet je de mensen wijzen op de mogelijkheid een klacht in te dienen bij de toezichthouder, de Autoriteit Persoonsgegevens.

2. Zorg voor een datalekregistratie

Een datalek is elke situatie waarbij persoonsgegevens:

  • verloren zijn gegaan,
  • beschadigd zijn geraakt,
  • of toegankelijk zijn geweest voor onbevoegden.

Een datalek is natuurlijk niet leuk en iedereen probeert dat te voorkomen. Mocht het toch gebeuren, dan moet je dat datalek goed documenteren. Ook als er geen verplichting bestaat tot het melden van het datalek aan de toezichthouder. Leg goed vast wat de oorzaak was, de gevolgen, wat je hebt gecommuniceerd en wat je hebt veranderd om herhaling te voorkomen. Mocht je vermoeden dat de oorzaak van een datalek bij Incura ligt, neem dan direct contact met ons op.

3. Stel een verwerkingsregister op

Nieuw is dat alle verwerkingen (gebruik en/of opslag) van persoonsgegevens dienen te worden gedocumenteerd in een register. Daarin staan: je praktijknaam, contactpersoon (verantwoordelijk voor gegevensbescherming) en contactgegevens.

Daarnaast beschrijf je de categorieën persoonsgegevens en de doeleinden waarvoor deze worden verwerkt en aan wie ze eventueel worden verstrekt. Tenslotte wordt informatie opgenomen over de bewaartermijn van deze gegevens en hoe deze zijn beveiligd. Leg ook vast hoe en op welk moment gegevens worden verwijderd omdat je deze niet meer nodig hebt.

4. Sluit verwerkersovereenkomsten met leveranciers

In een dergelijke overeenkomst staan afspraken tussen jou en de leverancier over de omgang met persoonlijke gegevens. Te denken valt aan het doel waarvoor de leverancier gegevens verwerkt, maar ook hoe te handelen bij een datalek. Ook staat er een geheimhoudingsverklaring in en informatie over eventuele sub-verwerkers aan wie diensten door de verwerker zijn uitbesteed. Een leverancier kan je software-aanbieder zijn, maar ook je accountant (salarisadministratie), een waarnemer, de schoonmaker en een externe systeembeheerder/ IT-adviseur.

Hoe Incura haar gegevensbescherming heeft geregeld, kun je vinden in de verwerkersovereenkomst. Daarin staan ook afspraken met betrekking tot eventuele datalekken en audits. Deze kan worden geraadpleegd via onze kennisbank.

5. Benoem een Functionaris Gegevensbescherming (FG)

Ook al is het niet wettelijk verplicht voor alle zorgpraktijken, het sterke advies is om wél een FG aan te wijzen vanwege de gevoeligheid van medische gegevens.
In kleinere praktijken of eenmanszaken vervult de zorgverlener zelf deze rol.

6. Onderzoek privacyrisico’s (DPIA)

Wanneer je een nieuwe verwerking start of een bestaande verwerking wijzigt, en deze mogelijk een hoog risico met zich meebrengt, moet je een Data Protection Impact Assessment (DPIA) uitvoeren.

Voorbeelden:

  • praktijkovername,
  • verhuizing,
  • implementatie van nieuwe software,
  • gebruik van AI‑systemen.

Actuele context: Hoge risico’s rond AI zijn een belangrijk onderwerp sinds 2025, en vereisen transparantie en risicobeoordeling van organisaties. 

7. Zorg dat je beveiliging op orde is

Je beveiliging moet op orde zijn en blijven. Die beveiligingsmaatregelen moeten passend zijn bij het risico en de gevoeligheid van de gegevens. Ze kunnen fysiek zijn (afsluitbare ruimten en kasten, opgeruimde bureaus) en digitaal (firewall, virusbeveiliging, encryptie bij communicatie, 2-factor-authenticatie). Zorg bijvoorbeeld dat je bij uit dienst treden van medewerkers direct sleutels inneemt en hun systeemrechten verwijdert.

Nieuwe zorgontwikkelingen: Binnenkort wordt waarschijnlijk verplicht dat zorgmedewerkers inloggen met een persoonlijke zorgidentiteit (DEZI) via de nieuwe wet Digitale Identiteit in de Zorg (DIAZ). 

8. Bereid je voor op uitgebreide cliëntrechten (2026)

Cliënten hebben onder de AVG diverse privacyrechten. Hieronder vind je de volledige set, inclusief de relevante aanvullingen voor 2025–2026.

✔ Recht op inzage: Cliënten mogen alle persoonsgegevens opvragen die jij verwerkt.

✔ Recht op correctie: Onjuiste of onvolledige gegevens mogen worden aangepast.

✔ Recht op verwijdering (recht op vergetelheid): Verwijdering is mogelijk, behalve wanneer de wettelijke bewaartermijn voor medische dossiers geldt (meestal 20 jaar).

✔ Recht op beperking van verwerking: Verwerking kan tijdelijk “gepauzeerd” worden.

✔ Recht op bezwaar: Geldt vooral bij verwerking op basis van gerechtvaardigd belang.

✔ Recht op dataportabiliteit: Cliënten mogen hun gegevens ontvangen in een gangbaar en leesbaar formaat (PDF, Word, Excel). Let op: dit geldt alleen voor gegevens die de cliënt zelf heeft verstrekt, niet voor jouw professionele notities of diagnoses.

✔ Recht op menselijke tussenkomst bij geautomatiseerde besluitvorming: Steeds relevanter door de inzet van AI. Organisaties moeten transparant zijn over algoritmes en de mogelijkheid bieden tot menselijke beoordeling.

✔ Recht om een klacht in te dienen: Bij de praktijk, de FG of rechtstreeks bij de Autoriteit Persoonsgegevens.

9. Maak gebruik van beschikbare hulpmiddelen en richtlijnen

De AVG‑Helpdesk voor Zorg & Welzijn biedt actuele modellen, DPIA‑stappenplannen, privacyverklaring-voorbeelden en handreikingen voor de zorg (o.a. 2024–2026 publicaties).

Meer informatie

  • Autoriteit Persoonsgegevens (AP) – wetgeving, meldplicht datalekken, klachten.
  • AVG‑Helpdesk Zorg & Welzijn – actuele ondersteunende documenten voor zorgverleners.

Vragen over de AVG kun je stellen per e-mail via fg@hci-software.com.

Categorieën