AVG-checklist voor zorgaanbieders: wat moet je echt regelen?

Patient-data is bijzondere persoonsgegevens. AVG vereist extra zorgvuldigheid. Hier de praktische checklist.

Wat is verplicht?

1. Verwerkersovereenkomsten met alle externe diensten die patient-data verwerken (cloud-leverancier, EPD-leverancier, mail-provider)
2. Verwerkingsregister (art. 30) — per categorie data: wat verwerk je, waarom, hoe lang
3. DPIA voor hoog-risico verwerkingen (genetische data, GGZ-dossiers)
4. Data-breach response plan
5. Patient-rechten implementeren: inzage, correctie, vergetelheid
6. 2FA voor toegang tot dossiers (NEN-7510)
7. Audit-log van alle data-mutaties (7 jaar bewaren)
8. BSN-encryptie at rest (AES-256 minimum)
9. TLS 1.2+ voor alle data-in-transit
10. EU-hosting of standard contractual clauses (SCC)

Wat krijg je standaard met een goede EPD?

Een moderne SaaS-EPD heeft dit by default:

• BSN encrypted met AES-256-GCM
• Audit-log van iedere mutatie
• EU-hosting (Frankfurt / Dublin)
• TLS 1.3 forced
• 2FA verplicht
• Backup met point-in-time recovery

Met Epdee voldoe je out-of-the-box aan de tech-kant. Het juridische deel (verwerkersovereenkomsten + register) moet je zelf opstellen — wij leveren templates.

NEN-7510

NEN-7510 is de informatiebeveiliging-norm voor de zorg. Vereist:

• Risico-analyse
• Maatregelen-plan
• Incidentregistratie
• Bewustwording-training

Geen formele certificering verplicht, maar wel aan te bevelen — verzekeraars vragen erom.

Concrete acties deze week

1. Inventariseer welke partijen patient-data verwerken
2. Vraag verwerkersovereenkomsten op (vaak gratis standard DPA)
3. Schrijf verwerkingsregister (kan in Word)
4. Zet 2FA aan voor alle medewerkers
5. Train team op data-breach herkennen