Privacy & Beveiliging

AVG en cliëntdossiers: wat moet je weten?

Cliëntdossiers bevatten de meest gevoelige gegevens die er bestaan: gezondheid, beperkingen, mentale toestand, familieomstandigheden. De AVG geldt dus extra streng - en kruist met de WGBO. In dit artikel: wat je écht moet weten over rechtsgrond, bewaartermijnen, inzagerechten, datalekken en wat een goed ECD ervoor moet kunnen.

12 mei 202610 min lezen
Zorgverlener werkt aan cliëntdossier op laptop - AVG-compliance en gegevensbescherming in de zorg

De grondbeginselen: AVG en WGBO samen

Bij cliëntdossiers werken twee wetten naast elkaar: de Algemene Verordening Gegevensbescherming (AVG, sinds 2018) en de Wet op de geneeskundige behandelingsovereenkomst (WGBO, in het Burgerlijk Wetboek). De AVG is een Europese privacyverordening; de WGBO is Nederlandse zorgwetgeving die specifieke rechten en plichten regelt rond medische dossiers. Voor wie als zorgaanbieder een EPD of ECD gebruikt, betekent dat beide wetten doorwerken in de software die je dagelijks gebruikt.

Op veel punten ondersteunen ze elkaar - de WGBO regelt concreet wat de AVG generiek voorschrijft. Op enkele punten lijken ze tegenstrijdig (vooral rond het recht op verwijdering). In de praktijk weegt de WGBO als specifiekere zorgwet zwaarder dan de AVG als generieke privacywet, behalve waar de AVG meer rechten geeft aan de cliënt.

De grootste misvatting: toestemming voor dossiervoering

Veel zorgverleners denken dat ze toestemming nodig hebben om een dossier bij te houden. Dat klopt niet. De rechtsgrond voor het bijhouden van een cliëntdossier is een combinatie van:

  • Wettelijke verplichting (AVG art. 6 lid 1c) - de WGBO verplicht zorgverleners tot het bijhouden van een dossier
  • Uitvoering van de zorgovereenkomst (AVG art. 6 lid 1b) - zonder dossier kun je geen zorg leveren
  • Uitzondering voor bijzondere gegevens (AVG art. 9 lid 2h) - medische gegevens mogen verwerkt worden voor zorgdoeleinden

Wat je wél moet doen: cliënten informeren over hoe je hun gegevens verwerkt (de zogenaamde transparantieverplichting). Dat doe je via een privacyverklaring, vaak gekoppeld aan de behandelovereenkomst. Toestemming vragen voor de dossiervoering zelf creëert juist verwarring én een juridisch lastige situatie: wat als de cliënt zijn toestemming intrekt? Dan zou je niet meer mogen dossiëren - terwijl de WGBO je daartoe verplicht.

Wanneer heb je wél toestemming nodig?

Toestemming is wel nodig voor verwerking buiten de directe zorgverlening:

  • Delen met andere zorgverleners die niet direct bij de behandeling betrokken zijn (een doorverwijzing valt onder behandeling; informeren van een collega in een ander veld vaak niet)
  • Wetenschappelijk onderzoek waarvoor geen wettelijke uitzondering geldt
  • Marketing of nieuwsbrieven - daar geldt sowieso opt-in
  • Beeldmateriaal voor onderwijs of publicatie - apart van het dossier zelf
  • Uitwisseling met de gemeente of een verzekeraar buiten de declaratie-grond om

Bewaartermijnen: WGBO regelt het, AVG matigt

De standaard bewaartermijn voor cliëntdossiers is 20 jaar vanaf de laatste behandeling (WGBO art. 7:454 BW). Specifieke situaties wijken af:

  • Jeugdigen - 20 jaar vanaf de meerderjarigheid (tot ongeveer 38 jaar); voor jeugdhulpaanbieders bovendien gekoppeld aan iJW-beschikkingen
  • Erfelijke aandoeningen - langer bewaren mag of moet, in het belang van familieleden
  • Beroepsaansprakelijkheid en tuchtklachten - langer bewaren is verstandig bij lopende of mogelijke procedures
  • Wetenschappelijk onderzoek - vereist eigen rechtsgrond, vaak langer bewaren

Korter bewaren dan 20 jaar mag alleen op uitdrukkelijk verzoek van de cliënt, én alleen als dat geen schade veroorzaakt voor de cliënt zelf of derden. Voor langdurige zorg via de WLZ en specifieke vormen van jeugdhulp gelden soms aanvullende of afwijkende bewaartermijnen via aparte regelgeving.

Cliëntrechten onder de AVG

De AVG geeft cliënten verschillende rechten. Voor cliëntdossiers zijn deze het meest relevant:

Recht op inzage (art. 15)

Cliënten mogen inzien wat je over hen hebt vastgelegd. Sinds 2020 hebben ze ook recht op een kosteloze elektronische kopie. Een EPD of ECD moet ofwel een eigen cliëntportaal met inzage hebben, ofwel een MedMij-koppeling met Persoonlijke Gezondheidsomgevingen (PGO's) - of allebei. Een papieren kopie of PDF is in 2026 niet meer voldoende voor cliënten die elektronische inzage vragen.

Recht op correctie (art. 16)

Cliënten mogen feitelijk onjuiste gegevens laten corrigeren. Belangrijk: dit gaat over feitelijke onjuistheden (verkeerde geboortedatum, fout adres), niet over professionele interpretaties of meningen van behandelaars. Een diagnose die de cliënt niet wil staat er niet zomaar uit - die mag de behandelaar onderbouwen en handhaven, mits het zorgvuldig is vastgelegd.

Recht op verwijdering (art. 17)

Dit recht botst met de WGBO-bewaarplicht. In de praktijk weegt de wettelijke bewaarplicht zwaarder, dus je hoeft een dossier niet zomaar te wissen op verzoek. Wel moet je elk verzoek serieus afwegen en de afweging schriftelijk vastleggen. Een verzoek kun je afwijzen, maar de afwijzing moet onderbouwd zijn en de cliënt moet weten waar hij of zij verder kan (klacht bij de Autoriteit Persoonsgegevens).

Recht op dataportabiliteit (art. 20)

Geldt beperkt voor cliëntdossiers omdat dataportabiliteit veronderstelt dat de verwerking op toestemming of overeenkomst is gebaseerd. Voor de wettelijke bewaarplicht vanuit de WGBO geldt dit recht strikt genomen niet. In de praktijk vragen cliënten dit soms voor overdracht naar een andere zorgverlener - dan is een gestructureerd digitaal afschrift de pragmatische oplossing.

Datalekken: 72 uur

Bij een datalek geldt een meldplicht binnen 72 uur na ontdekking, tenzij het lek waarschijnlijk geen risico oplevert voor de betrokkenen. Voor medische gegevens is er vrijwel altijd risico, dus melden bij de Autoriteit Persoonsgegevens is dan verplicht. Cliënten zelf moet je óók informeren als het lek een hoog risico voor hun rechten en vrijheden oplevert.

Wat is een datalek? Niet alleen hacking. Ook:

  • Een laptop met dossiers verloren of gestolen
  • Een e-mail met cliëntgegevens naar een verkeerde ontvanger
  • Een papieren dossier kwijt of weggegooid zonder vernietiging
  • Een medewerker die onbevoegd in een dossier kijkt
  • Een ECD-bug die data van cliënt A bij cliënt B liet verschijnen

Houd intern een datalekkenregister bij, ook van lekken die niet meldingsplichtig zijn. Bij een audit of klacht wil je kunnen aantonen dat je elk incident afgewogen hebt - niet alleen de gemelde.

Verwerkersovereenkomst met je ECD-leverancier

Zodra een externe partij namens jou cliëntgegevens verwerkt - en dat doet je ECD-leverancier per definitie - moet je een verwerkersovereenkomst sluiten (AVG art. 28). Dat is geen formaliteit maar een wettelijke verplichting met inhoudelijke eisen. Een goede verwerkersovereenkomst regelt:

  • Welke gegevens worden verwerkt en voor welke doeleinden
  • Welke beveiligingsmaatregelen de leverancier neemt (technisch en organisatorisch)
  • Hoe met sub-verwerkers wordt omgegaan (denk aan hosting-partijen, vaak buiten Nederland)
  • Hoe datalekken gemeld worden aan jou als verwerkingsverantwoordelijke
  • Wat er gebeurt bij contracteinde - hoe krijg je je data terug en hoe wordt het bij de leverancier verwijderd
  • Auditrechten en controlemogelijkheden
  • Geografische lokatie van de data - binnen of buiten de EER

Een leverancier die zegt "dat regelen we wel ergens in onze algemene voorwaarden" voldoet niet aan de AVG-eisen. Vraag expliciet om de specifieke verwerkersovereenkomst voordat je tekent voor het ECD zelf - niet erna.

Functionaris Gegevensbescherming (FG)

Voor zorgaanbieders die op grote schaal bijzondere persoonsgegevens verwerken is een FG verplicht (AVG art. 37). "Grote schaal" is een open norm; de Autoriteit Persoonsgegevens hanteert indicatoren:

  • Aantal betrokken cliënten
  • Geografisch bereik van de verwerking
  • Duur of permanentie van de verwerking
  • Volume van data per cliënt

Voor een ZZP'er of vrijgevestigde is een FG zelden verplicht. Voor een grotere praktijk, zorgorganisatie of instelling meestal wel. Bij twijfel: kies de zekere kant en stel er een aan, of huur een externe FG in die meerdere zorgaanbieders bedient.

Wat AVG betekent voor je ECD-keuze

Een goed ECD ondersteunt AVG-compliance standaard, niet als losse module. Concreet wat je moet checken bij een keuze:

  • Audit-logs van alle dossier-toegang - wie heeft wanneer welk dossier ingezien
  • Fijnmazige autorisatie - rollen en rechten per gebruiker, géén "iedereen ziet alles"
  • Datalek-detectie - alerts bij ongebruikelijke toegang of bulk-export
  • Cliëntportaal of MedMij-koppeling - voor elektronische inzage en kopie
  • Bewaartermijn-management - automatische signalering bij naderen van termijnen
  • NEN7510-certificering van de leverancier en hosting-partij
  • EER-binnen-EU-opslag - geen Amerikaanse cloud-providers zonder aanvullende waarborgen
  • Verwerkersovereenkomst als zelfstandig document, niet verstopt in algemene voorwaarden
  • Heldere exit-procedure bij contracteinde - hoe krijg je je data terug, hoe wordt het verwijderd

Voor een uitgebreidere ECD-keuzemethodiek, lees ECD vergelijken: 8 criteria voor een goede keuze of EPD vergelijken: 8 criteria voor je praktijk.

Conclusie

AVG-compliance bij cliëntdossiers is geen losse checklist maar een integraal onderdeel van je zorgproces. De grootste praktische winst zit in drie dingen: (1) begrijpen dat de WGBO en de zorgovereenkomst je rechtsgrond zijn, niet toestemming; (2) zorgen dat je ECD audit-logs, fijnmazige autorisatie en elektronische inzage standaard ondersteunt; (3) een specifieke verwerkersovereenkomst met je leverancier hebben en niet alleen algemene voorwaarden.

Praktische tip: leg intern vast welke rechtsgrond bij welke verwerking hoort. Bij een audit of klacht is dat de eerste vraag die je krijgt - en de meeste zorgaanbieders kunnen die niet direct beantwoorden. Een kort document per verwerkingsactiviteit (intake, behandelplan, declaratie, doorverwijzing, evaluatie) voorkomt veel discussie.

Veelgestelde vragen

Heb ik toestemming nodig om een cliëntdossier bij te houden?

Nee, voor de dossiervoering zelf heb je géén toestemming nodig. Dat is een wijdverbreide misvatting. De rechtsgrond voor het bijhouden van een dossier is een wettelijke verplichting (WGBO art. 7:454 BW) en/of de uitvoering van de zorgovereenkomst. Toestemming heb je wél nodig voor het delen van gegevens met andere zorgverleners die niet betrokken zijn bij de behandeling, of voor verwerking buiten zorg-context (bijvoorbeeld marketing of wetenschappelijk onderzoek waarvoor geen wettelijke uitzondering geldt).

Hoe lang moet ik een cliëntdossier bewaren?

Standaard 20 jaar vanaf de laatste behandeling, vastgelegd in de WGBO. In specifieke situaties geldt iets anders: voor jeugdigen tot 20 jaar na het bereiken van de meerderjarigheid (dus tot 38 jaar), bij erfelijke aandoeningen kun je langer bewaren als dat in het belang van familieleden is, en bij wetenschappelijk onderzoek of beroepsaansprakelijkheid kan langer bewaren gerechtvaardigd zijn. Korter bewaren dan 20 jaar mag alleen op uitdrukkelijk verzoek van de cliënt, en alleen als dat geen schade veroorzaakt voor de cliënt of voor anderen.

Moet ik een cliëntdossier verwijderen als de cliënt dat vraagt?

Niet automatisch. Het AVG-recht op verwijdering (art. 17) botst met de WGBO-bewaarplicht van 20 jaar. In de praktijk weegt de wettelijke bewaarplicht zwaarder. Wel moet je elk verzoek serieus afwegen: zijn er medische redenen om wel of niet te verwijderen, kan vernietiging schade veroorzaken voor derden (zoals familieleden bij erfelijke aandoeningen), is er een goed-onderbouwde reden voor het verzoek? Documenteer je afweging zorgvuldig en informeer de cliënt schriftelijk over de uitkomst.

Wat moet ik doen bij een datalek?

Binnen 72 uur na ontdekking melden bij de Autoriteit Persoonsgegevens, tenzij het lek waarschijnlijk geen risico oplevert voor betrokkenen. Bij medische gegevens is dat risico vrijwel altijd aanwezig - melden is dan verplicht. Ook moet je cliënten zelf informeren als het lek een hoog risico voor hun rechten en vrijheden oplevert. Houd intern een datalekkenregister bij, ook van lekken die niet meldingsplichtig zijn. Een goed ECD ondersteunt dit met audit-logs en alert-functies bij ongebruikelijke toegang.

Wat is een verwerkersovereenkomst en heb ik die nodig?

Ja, verplicht. Een verwerkersovereenkomst is een contract tussen jou (verwerkingsverantwoordelijke) en je ECD-leverancier (verwerker) waarin staat hoe de leverancier met de gegevens omgaat: welke beveiligingsmaatregelen, wat ze wel en niet mogen, hoe ze omgaan met sub-verwerkers (hosting-partijen), en wat er gebeurt bij contracteinde. Een leverancier die zegt 'dat regelen we wel ergens in onze algemene voorwaarden' is niet goed bezig - de AVG vereist een specifiek contract conform art. 28.

Heeft mijn cliënt recht op een digitaal afschrift van zijn dossier?

Ja. Sinds 2020 hebben cliënten recht op elektronische inzage en een elektronische kopie van hun dossier, kosteloos. Het MedMij-afsprakenstelsel regelt het technisch protocol waarmee Persoonlijke Gezondheidsomgevingen (PGO's) gegevens veilig kunnen ophalen via DigiD-authenticatie. Een ECD moet ofwel een eigen cliëntportaal met inzage hebben, ofwel een MedMij-koppeling - of allebei. Een papieren kopie of PDF uitprinten mag, maar voldoet niet aan het recht op elektronische uitwisseling.

Heb ik een Functionaris Gegevensbescherming (FG) nodig?

Voor zorgaanbieders die op grote schaal bijzondere persoonsgegevens verwerken, is een FG verplicht. 'Grote schaal' is een open norm - geen vaste grens - maar de Autoriteit Persoonsgegevens hanteert indicatoren als aantal cliënten, geografisch bereik, duur en omvang van de verwerking. Voor een ZZP'er of vrijgevestigde meestal niet verplicht. Voor een grotere praktijk, instelling of zorgorganisatie wel. Twijfel? Kies dan voor de zekere kant. De FG hoeft niet in vaste dienst te zijn - het kan ook een externe FG zijn die meerdere zorgaanbieders bedient.