Nick Wildeboer
Artikel

Wanneer heb je een DPIA nodig bij AI in de zorg?

7 juli 2026 · 4 min lezen

Een DPIA (gegevensbeschermingseffectbeoordeling) is al snel verplicht zodra AI op grotere schaal met cliëntgegevens werkt, want gezondheidsgegevens zijn de zwaarst beschermde categorie in de AVG. De functionaris gegevensbescherming bepaalt met jou of hij nodig is.

Wat is een DPIA?

Een onderzoek vooraf naar de privacyrisico’s van een verwerking: wat kan er misgaan voor de mensen om wie het gaat, en wat doe je om dat te voorkomen. Geen papieren exercitie voor de la, maar een hulpmiddel om een systeem veilig in te richten voordat het draait.

Wanneer bij AI in de zorg?

De AVG verplicht een DPIA bij een waarschijnlijk hoog privacyrisico. In de zorg zit je daar snel aan: gezondheidsgegevens zijn bijzondere persoonsgegevens, en AI voegt vaak iets toe dat het risico verhoogt, zoals grootschalige verwerking of geautomatiseerde voorbereiding van beslissingen. Een AI-notulist voor het MDO of een systeem dat dossiers samenvat, is dus al snel DPIA-plichtig.

Hoe pak je het praktisch aan?

  • Betrek de functionaris gegevensbescherming vanaf het eerste idee, dat scheelt dubbel werk.
  • Beschrijf de verwerking concreet: welke gegevens, welke tool, wie kan erbij, hoe lang bewaard.
  • Benoem de risico’s eerlijk en de maatregelen erbij (verwerkersovereenkomst, eigen omgeving, menselijke controle).
  • Plan een herbeoordeling, want AI-tools veranderen snel.

Een DPIA is geen rem

Teams ervaren de DPIA vaak als vertraging. In de praktijk is het omgekeerd: wie de risico’s vooraf doordenkt, hoeft achteraf niets terug te draaien. De vragen uit de DPIA zijn dezelfde vragen die je toch moet beantwoorden om veilig te werken.

Dit is uitleg in gewone taal, geen juridisch advies. Ik ben geen jurist. Of een DPIA verplicht is en of hij volstaat, beoordeelt je functionaris gegevensbescherming of een privacyjurist.

VEELGESTELDE VRAGEN