DossierTijd
Terug naar Kennisbank
10 maart 2026 9 min leestijdCompliance

AVG-compliance voor zorgsoftware: een praktische checklist

Het is maandagochtend en de manager bedrijfsvoering van een middelgrote zorgorganisatie opent haar e-mail. Een softwareleverancier biedt een veelbelovende tool aan die de administratiedruk kan halveren. De demo was indrukwekkend, het team is enthousiast. Maar dan komt de vraag die elke zorgorganisatie moet stellen voordat er een handtekening wordt gezet: voldoet deze software aan de AVG?

Het is een vraag die makkelijk klinkt maar verrassend complex is. Zorgorganisaties verwerken namelijk bijzondere persoonsgegevens: gezondheidsdata, BSN-nummers, behandelinformatie en gedragsobservaties. De AVG stelt extra strenge eisen aan de verwerking van dit type gegevens. Een fout kan grote gevolgen hebben. Niet alleen financieel — boetes kunnen oplopen tot 20 miljoen euro of 4% van de jaaromzet — maar vooral voor het vertrouwen van clienten, medewerkers en samenwerkingspartners.

Dit artikel biedt een praktische checklist om zorgsoftware te beoordelen op AVG-compliance. Geen juridisch jargon, maar concrete punten die u kunt gebruiken bij de selectie van nieuwe software of de evaluatie van bestaande leveranciers.

Documenten controleren op compliance

AVG-compliance is geen eenmalige check, maar een doorlopend proces van bewustzijn en zorgvuldigheid.

Waarom dit in de zorg extra zwaar weegt

De AVG maakt onderscheid tussen gewone persoonsgegevens (naam, adres, e-mail) en bijzondere persoonsgegevens. Gezondheidsdata valt in die laatste categorie. De verwerking ervan is in principe verboden, tenzij er een wettelijke uitzondering van toepassing is. In de zorg is die uitzondering er — het verlenen van zorg vereist nu eenmaal het verwerken van gezondheidsgegevens — maar dat ontslaat organisaties niet van de plicht om uiterst zorgvuldig met die data om te gaan.

Wat dat in de praktijk betekent: elke softwaretoepassing die in aanraking komt met clientgegevens moet voldoen aan een reeks vereisten. Niet alleen technisch (encryptie, toegangsbeheer, logging), maar ook juridisch (verwerkersovereenkomst, rechtsgrond, bewaartermijnen) en organisatorisch (procedures, verantwoordelijkheden, bewustwording).

Bovendien verwijzen steeds meer zorgkantoren en toezichthouders naar de NEN 7510 als minimale beveiligingsstandaard. Deze Nederlandse norm voor informatiebeveiliging in de zorg beschrijft concrete maatregelen die organisaties moeten treffen. Het is geen wet, maar wordt in de praktijk behandeld alsof het er een is.

Wist je dat?

De Autoriteit Persoonsgegevens heeft in 2024 aangekondigd extra aandacht te besteden aan de zorgsector. Dat komt niet alleen door het gevoelige karakter van gezondheidsdata, maar ook omdat de AP constateert dat veel zorgorganisaties hun verplichtingen nog niet volledig op orde hebben. Een proactieve aanpak loont.

De checklist: acht punten om te controleren

Gebruik deze checklist bij de selectie van nieuwe software of bij het evalueren van uw huidige leveranciers. Elk punt vertegenwoordigt een concreet vereiste dat u kunt verifieren.

Verwerkersovereenkomst (artikel 28 AVG)

Een getekende overeenkomst tussen uw organisatie en de softwareleverancier die vastlegt hoe persoonsgegevens worden verwerkt, beveiligd en verwijderd.

DPIA uitgevoerd (artikel 35 AVG)

Een Data Protection Impact Assessment die de risico's van de gegevensverwerking in kaart brengt en de maatregelen beschrijft om deze te beheersen.

Verwerkingsregister (artikel 30 AVG)

Een actueel overzicht van alle verwerkingsactiviteiten, inclusief welke gegevens worden verwerkt, het doel, de rechtsgrond en de bewaartermijnen.

Hosting binnen de EU/EER

Alle persoonsgegevens worden opgeslagen en verwerkt op servers binnen de Europese Economische Ruimte. Geen data naar de VS of andere derde landen.

NEN 7510 als beveiligingsbasis

De Nederlandse norm voor informatiebeveiliging in de zorg. Niet wettelijk verplicht, maar de facto standaard en vaak vereist door zorgkantoren.

Incidentresponseprocedure

Een vastgelegd protocol voor het detecteren, melden en afhandelen van datalekken, inclusief melding aan de Autoriteit Persoonsgegevens binnen 72 uur.

Subverwerkers transparant in kaart

Een compleet overzicht van alle derde partijen die de leverancier inschakelt voor hosting, e-mail, AI-verwerking of andere diensten, met hun locatie en voorwaarden.

Rechten van betrokkenen gewaarborgd

De software ondersteunt het honoreren van verzoeken tot inzage, correctie, verwijdering en dataportabiliteit van betrokkenen.

De juiste vragen stellen

Een checklist is waardevol, maar het echte gesprek vindt plaats met uw leverancier. Een betrouwbare partij zal openheid geven over al deze punten zonder dat u erom hoeft te vechten. Sterker nog: een leverancier die proactief alle documentatie aanbiedt, laat daarmee zien dat privacybescherming geen bijzaak is maar een kernwaarde.

Er zijn een aantal vragen die u altijd moet stellen, ongeacht hoe indrukwekkend de demo was of hoe enthousiast uw team is. Waar staan de servers? Welke partijen hebben toegang tot de data? Is er een DPIA uitgevoerd en kunt u deze inzien? Hoe wordt omgegaan met een datalek? Wat gebeurt er met de data als het contract eindigt?

Vooral die laatste vraag wordt vaak vergeten. Maar het is een cruciale: als u overstapt naar een andere leverancier, moeten uw clientgegevens volledig worden overgedragen en bij de oude leverancier aantoonbaar worden verwijderd. Dat moet contractueel zijn vastgelegd.

AI en de AVG: een bijzondere aandachtspunt

Met de opkomst van AI-toepassingen in de zorg is er een extra dimensie bijgekomen. Wanneer software gebruikmaakt van kunstmatige intelligentie om bijvoorbeeld rapportages te genereren of patronen te herkennen, ontstaan er aanvullende vragen. Worden de ingevoerde gegevens gebruikt om het AI-model te trainen? Worden ze verwerkt door externe diensten zoals OpenAI of Google? Is er een aparte DPIA uitgevoerd voor de AI-component?

Dit zijn geen theoretische vragen. De Autoriteit Persoonsgegevens heeft in meerdere publicaties gewaarschuwd voor het risico dat gezondheidsgegevens via AI-diensten terechtkomen bij partijen buiten de EU, zonder adequate bescherming. Een leverancier die AI inzet moet glashelder zijn over de gegevensstromen: welke data gaat waar naartoe, wie heeft er toegang, en wat zijn de contractuele waarborgen?

Veilige dataverwerking op tablet

Bij elke digitale toepassing in de zorg moet privacy vanaf het ontwerp zijn ingebouwd.

Compliance als cultuur, niet als checklist

Tot slot een nuance die belangrijk is: AVG-compliance is geen eenmalig project. Het is geen doos die je afvinkt en vervolgens vergeet. Het is een doorlopend proces dat vraagt om bewustzijn, training en regelmatige evaluatie. Subverwerkers veranderen, wetgeving evolueert, en technologie ontwikkelt zich. Wat vandaag compliant is, kan morgen een risico vormen.

De beste aanpak is om privacy te behandelen als een cultuuraspect, niet als een complianceproject. Wanneer iedereen in de organisatie — van de bestuurder tot de begeleider op de werkvloer — begrijpt waarom zorgvuldige omgang met data belangrijk is, ontstaat er een fundament waarop technologie veilig kan worden ingezet.

Want uiteindelijk gaat het om het vertrouwen van de mensen voor wie we het doen: de clienten. Zij vertrouwen erop dat hun meest persoonlijke gegevens in goede handen zijn. Dat vertrouwen verdienen we door het serieus te nemen. Elke dag opnieuw.

Alle documenten beschikbaar op aanvraag

Bij DossierTijd is AVG-compliance geen bijzaak. Alle juridische documenten — verwerkersovereenkomst, DPIA, verwerkingsregister, subverwerkerlijst — zijn beschikbaar op aanvraag. Omdat transparantie de basis is van vertrouwen.

Documenten opvragen
Anouar Youfi

Geschreven door Anouar Youfi

Oprichter van DossierTijd