HomeBlog › AVG en AI in de zorg
Privacy & AVG

AVG en AI in de zorg: mag je een AI-scribe gebruiken?

Leestijd ± 5 min · door het team van MedLogica

"Mag dat eigenlijk wel van de AVG?" Het is de eerste vraag die opkomt zodra AI en patiëntgegevens in één zin voorkomen. Het korte antwoord: ja, mits je het goed regelt. De AVG verbiedt AI niet — hij stelt eisen aan hóé je met persoonsgegevens omgaat. In dit artikel zetten we de vier dingen op een rij die er echt toe doen.

1. Een grondslag om te verwerken

Voor het vastleggen van een consult heb je meestal al een grondslag: de behandelovereenkomst en je dossierplicht. Een AI-scribe verandert dat niet — het is een hulpmiddel om het verslag te maken dat je toch al moet vastleggen. Wat je wél goed regelt: informeer de patiënt dat je een AI-hulpmiddel gebruikt en dat de opname na verwerking wordt verwijderd. Transparantie is een kernprincipe van de AVG.

2. Een verwerkersovereenkomst met de leverancier

Zodra een externe partij persoonsgegevens voor je verwerkt, ben jij de verwerkingsverantwoordelijke en is de leverancier de verwerker. Daar hoort een verwerkersovereenkomst bij: wat mag de leverancier met de data, welke beveiliging geldt, welke subverwerkers zijn er, en wat gebeurt er bij een datalek. Vraag hier altijd naar — een serieuze leverancier heeft dit klaarliggen.

3. Een DPIA bij bijzondere gegevens

Medische gegevens zijn bijzondere persoonsgegevens. Bij grootschalige verwerking daarvan is een DPIA (gegevensbeschermingseffectbeoordeling) in de regel verplicht. Dat klinkt zwaar, maar het is vooral gestructureerd nadenken over risico's en maatregelen. Een goede leverancier levert de bouwstenen aan zodat jij de DPIA kunt afronden.

4. Datalocatie en beveiliging

Waar de data staat, bepaalt hoeveel gedoe je krijgt. Verwerking binnen de EU voorkomt discussies over doorgifte naar derde landen. Let daarnaast op:

  • Single-tenant — een eigen, afgeschermde omgeving in plaats van een gedeelde bak met andere klanten.
  • Geen training op jouw data — jouw consulten horen niet gebruikt te worden om modellen te trainen.
  • Geen onnodige opslag — audio die na transcriptie direct verdwijnt, kan ook niet lekken.
  • NEN 7510 / ISO 27001 — de norm voor informatiebeveiliging in de zorg; vraag naar de status.
De AVG en NEN 7510 gaan niet over "AI ja/nee", maar over controle en zorgvuldigheid. Kies een leverancier die die controle bij jou laat — dan is medische AI heel goed verantwoord in te zetten.

Hoe pak je het praktisch aan?

Een werkbare volgorde: (1) bepaal welk proces je wilt ondersteunen, (2) vraag de leverancier om verwerkersovereenkomst, beveiligingsdocumentatie en DPIA-input, (3) betrek je FG of privacy-functionaris, (4) start klein met een pilot en evalueer. Zo houd je grip en bouw je vertrouwen op — bij het team én bij de patiënt.

Zo vult MedLogica dit in: single-tenant in de EU, geen audio-opslag, geen training op klantdata, en documentatie die je DPIA voedt. Lees de details op de pagina Veiligheid & compliance, of bekijk hoe de AI-scribe in de praktijk werkt.

Vragen over privacy en compliance?

Plan een demo — dan lopen we samen de AVG-, DPIA- en beveiligingsvragen langs voor jouw situatie.

Demo aanvragen