In het kort:
- AVG-overtredingen in de zorg leiden in 2026 tot gemiddelde boetes van €18.000 tot €145.000, afhankelijk van klinieken-omvang en aard van de overtreding.
- Gezondheidsgegevens zijn een "bijzondere categorie" persoonsgegevens: extra strikte regels voor verwerking, opslag en deling.
- Negen onderwerpen samen vormen 95% van wat een Nederlandse kliniek goed moet hebben: grondslag-keuze, toestemmingen voor foto's, retentie, datalek-protocol, verwerkersovereenkomsten, beveiliging, recht op inzage, AI-tools-screening, en register van verwerkingen.
- AI-tools (chatbots, voice-AI, marketing-platforms) zijn één van de drie nieuwe pijnpunten voor klinieken in 2026; verkeerde implementatie levert direct AVG-issues op.
- Een goede AVG-setup is geen project van 6 maanden, maar een doorlopend onderhoud van 8 tot 12 uur per kwartaal voor de meeste klinieken.
Waarom AVG voor klinieken extra streng is
Een gemiddelde kliniek verwerkt drie soorten gegevens die volgens de AVG bijzonder gevoelig zijn: gezondheidsgegevens (BSN, behandelhistorie), foto's (voor-na, intake), en betalingsgegevens. Dat alles tegelijk verwerken op een laag-volume schaal vereist meer discipline dan bij een simpele webshop.
In 2026 is de Autoriteit Persoonsgegevens (AP) actiever in het handhaven dan ooit. Klinieken die in de afgelopen 18 maanden tegen boetes liepen, hadden vrijwel altijd hetzelfde verhaal: geen goed datalek-protocol, geen verwerkersovereenkomsten met software-leveranciers, of foto's gedeeld op social media zonder schriftelijke toestemming.
Voor jou als kliniek-eigenaar betekent dat: AVG is geen administratief onderwerp dat je aan een externe partij overlaat. Het is operationele basis-discipline, vergelijkbaar met BIG-registratie of een goede hygiëne-protocol.
De 9 punten die je moet hebben geregeld
1. Een correcte AVG-grondslag per type gegevens. Behandelingsovereenkomst (artikel 6 lid 1 b) voor patiëntgegevens. Expliciete toestemming (artikel 6 lid 1 a) voor marketing-gebruik en foto's. Niet door elkaar gooien.
2. Schriftelijke toestemming voor elk foto-gebruik. Voor-na foto's op website, social media, of in advertenties vragen om aparte, expliciete, opt-in toestemming per use-case. Een algemene "ik geef toestemming voor marketing" is niet voldoende.
3. Een datalek-protocol met 72-uur-meldplicht. Wat doe je als een laptop met patiëntgegevens kwijt is, of een e-mail naar de verkeerde patiënt is gegaan? Vaste route: melding intern, beoordeling impact, melding AP indien nodig binnen 72 uur, melding patiënt indien hoge impact.
4. Verwerkersovereenkomsten (VWO) met elke software-leverancier. Praktijksoftware, e-mail-systeem, CRM, betalingsverwerker, AI-tools. Iedere partij die patiëntgegevens raakt heeft een ondertekende VWO nodig.
5. Retentie-beleid volgens WGBO. Medische dossiers: 20 jaar bewaren. Foto's voor behandeling: 20 jaar in dossier, of na expliciet verzoek korter. Marketing-gegevens (e-mail, telefoon): 5 jaar na laatste contact, daarna actief verwijderen.
6. Beveiligingsmaatregelen technisch en organisatorisch. Versleutelde communicatie (zorgmail of vergelijkbaar), 2FA op alle systemen, schone bureau-policy, fysieke toegangsbeveiliging. Bij elk personeelswisseling: directe deactivering accounts.
7. Recht op inzage, rectificatie en verwijdering geregeld. Patiënt vraagt om zijn dossier, binnen 1 maand reageren. Vraagt om verwijdering: uitleggen wat WGBO-retentie betekent en wat wel en niet kan. Standaard procedure, niet improviseren.
8. AI-tools-screening voor AVG-conformiteit. Chatbot, voice-AI, marketing-tools; elke tool die patiëntgegevens raakt vereist een VWO + AVG-impact-beoordeling. EU-gehoste tools maken het simpeler dan US-gehoste.
9. Register van verwerkingsactiviteiten. Wettelijk vereist boven bepaalde drempels (in zorg vrijwel altijd). Lijst van: welke gegevens, voor welk doel, hoe lang bewaard, met wie gedeeld. Eén Excel-tabel of een tool-pagina is voldoende.
De drie nieuwe AVG-pijnpunten in 2026
Pijnpunt 1: AI-chatbots die zonder filter patiëntgegevens vragen. Een chatbot op je website die "Hoe heet u en wat is uw klacht?" vraagt op de eerste interactie heeft een AVG-grondslag nodig die niet vanzelfsprekend is. Een goede AI-chatbot voor klinieken heeft EU-hosting, expliciete consent-flows en geen langetermijn-opslag van losse vragen.
Pijnpunt 2: Voice-AI dat zorgvragen opvangt. Telefonisch contact op een AI-platform vereist verwerkersovereenkomst, opname-policy (wel/niet bewaren, hoe lang), en duidelijke patient-mededeling. AI-telefonist met AVG-aanpak regelt dit by design.
Pijnpunt 3: Marketing-tools (Mailchimp, Hubspot, etc.) buiten EU. Veel klinieken gebruiken US-gehoste e-mail-tools zonder de juiste data-transfer-overeenkomst. In 2026 is dit het meest voorkomende AP-handhavingsthema. EU-gebaseerde alternatieven of correcte EU-VS data-transfer-clausules zijn de oplossing.
Onze tarieven-pagina laat zien hoe we deze AI-tools standaard EU-gehost en met VWO leveren, geen achteraf-werk, ingebouwd vanaf dag 1.
Operationele setup voor doorlopend AVG-onderhoud
Vier dingen die het verschil maken tussen "AVG geregeld op papier" en "AVG werkelijk geregeld":
- Kwartaal-review van het verwerkingsregister. Eén medewerker, 30 minuten per kwartaal: zijn er nieuwe tools toegevoegd, oude tools afgeschaft, nieuwe verwerkingen toegevoegd? Bijwerken zonder uitstel.
- Jaarlijkse VWO-check met alle leveranciers. Eén keer per jaar: alle leveranciers, alle VWO's, alles ondertekend? Vaak verloopt een VWO stilletjes met een product-update.
- Datalek-oefening 1× per jaar. Een fictief scenario doornemen met je team. "We hebben net een laptop verloren. Wat doen we de komende 72 uur?" Niet om te schaduw-trainen, om de stappen scherp te houden.
- Patiënt-toestemmings-formulieren digitaal. Geen papieren toestemmingsformulieren meer die zoekraken; digitaal ondertekend, opgeslagen in het patient-dossier, makkelijk terug te vinden.
Een goed CRM voor klinieken houdt deze toestemmingen per patiënt apart bij. Zonder dat overzicht ben je 90% van je patiënten kwijt aan welke toestemming wanneer is gegeven.
Hoe je het in de praktijk operationeel maakt
Drie acties die je deze maand al kunt doen:
1. Inventariseer je tools. Eén lijstje: welke software gebruikt mijn kliniek voor patiëntgegevens? Naast de praktijksoftware ook e-mail, kalender, marketing, betaling, accountancy. Voor elk: VWO ja/nee.
2. Check je website-formulieren. Elke contact-, intake- en boekings-formulier op je site: is er een privacy-statement-link? Wordt expliciet aangegeven welke gegevens worden verwerkt en waarvoor? Eén middag werk om dit op orde te krijgen.
3. Stel een interne AVG-verantwoordelijke aan. Niet per se een functionaris gegevensbescherming (alleen verplicht boven drempels), maar wél één persoon die de jaarlijkse review en datalek-melding regelt. Zonder vaste persoon valt het tussen de wal en het schip.
Veelgemaakte fouten
Drie dingen die ik vaak zie misgaan in klinieken die nog niet structureel AVG-georganiseerd zijn:
1. Foto's op Instagram zonder expliciete toestemming. "Patiënt was er bij toen we de foto namen, dus die heeft toestemming gegeven" werkt niet. Schriftelijk, expliciet voor het kanaal, opt-in.
2. Geen AVG-impact bij nieuwe AI-tools. Een nieuwe chatbot installeren zonder eerst de privacy-impact te beoordelen kost je later een datalek-incident.
3. Patiëntdossiers in normale e-mail. Reguliere e-mail (Gmail, Outlook zonder versleuteling) is niet voldoende voor gezondheidsgegevens. Zorgmail of vergelijkbaar versleuteld kanaal is minimum.
Conclusie
AVG voor klinieken is geen eenmalig project maar een doorlopende operationele discipline. Negen punten samen dekken 95% van wat de Autoriteit Persoonsgegevens van een Nederlandse kliniek verwacht in 2026. Een kwartaal-review van 30 minuten en een jaarlijkse VWO-check houden het op orde zonder dat het je hele week overneemt.
Wil je weten welke AVG-punten in jouw kliniek het meeste werk vragen en welke AI-tools veilig zijn voor jouw situatie? Doe een gratis AI-scan voor klinieken, dan zien we welke risico's prioriteit hebben en welke quick-wins je deze maand al kunt regelen.