Verwerkingsregister documentatieplicht

Hoe registreer je het verwerken van gezondheidsgegevens in je verwerkingsregister?

Eva de Vries Eva de Vries
· · 10 min leestijd

Stel je even voor: je bent ondernemer, je hebt een praktijk, een app of een bedrijf waarbij je te maken hebt met bijzondere persoonsgegevens.

Inhoudsopgave
  1. Waarom is een verwerkingsregister bij gezondheidsgegevens zo belangrijk?
  2. De basis: wat is een verwerkingsregister eigenlijk?
  3. Stap 1: Identificeer je verwerkingen van gezondheidsgegevens
  4. Stap 2: Vul de verplichte velden in je register in
  5. Stap 3: Technische en organisatorische maatregelen (TOMs)
  6. Stap 4: Risicoanalyse en DPIA
  7. Stap 5: Onderhoud je register
  8. Praktische tips voor het invullen
  9. Veel voorkomende valkuilen
  10. Conclusie
  11. Veelgestelde vragen

Denk aan medische dossiers, psychologische notities of gewoon een simpel intakeformulier met gezondheidsdata. De AVG (Algemene Verordening Gegevensbescherming) is dan streng: deze gegevens zijn extra kwetsbaar. Je mag ze niet zomaar verwerken. En als je ze wél verwerkt, moet je precies bijhouden wat er gebeurt.

Dat doe je in een verwerkingsregister. Geen paniek.

Het klinkt zwaarder dan het is. Een verwerkingsregister is eigenlijk gewoon een overzichtelijk lijstje.

Een soort administratieve APK voor je bedrijf. In dit artikel leg ik je precies hoe je de verwerking van gezondheidsgegevens vastlegt in dat register. Lekker praktisch, zonder ingewikkelde juridische taal.

Waarom is een verwerkingsregister bij gezondheidsgegevens zo belangrijk?

Gezondheidsgegevens vallen onder de ‘bijzondere persoonsgegevens’. Dat is de zwaarste categorie onder de AVG.

Je mag deze gegevens in principe alleen verwerken als je daar een duidelijke, wettelijke reden voor hebt (bijvoorbeeld voor de uitvoering van een medische overeenkomst of omdat je expliciet toestemming hebt gekregen). Je verwerkingsregister is het bewijs dat je aan de regels houdt. Het is niet alleen een formaliteit; het helpt je om grip te houden op je data.

Vraagt de Autoriteit Persoonsgegevens (AP) om inzage? Dan toon je direct je register.

Bovendien helpt het je om risico’s in te schatten. Want waar gevoelige data stroomt, zijn kwetsbaarheden nooit ver weg.

De basis: wat is een verwerkingsregister eigenlijk?

Een verwerkingsregister is een lijst van alle verwerkingen van persoonsgegevens binnen jouw organisatie.

Het is een soort routebeschrijving van je data. Waar komen ze vandaan? Waar gaan ze naartoe?

En wat gebeurt er onderweg? De wet verplicht je om dit register bij te houden als je meer dan 250 medewerkers hebt. Maar let op: zodra je gezondheidsgegevens verwerkt, ben je deze verplichting eigenlijk altijd aan, ongeacht de grootte van je bedrijf. Het risico op schade bij een datalek is bij medische data simpelweg te groot om het te laten vallen onder de uitzondering voor kleine organisaties.

Stap 1: Identificeer je verwerkingen van gezondheidsgegevens

Voordat je iets invult, moet je weten wat je precies doet. Loop je bedrijfsprocessen na. Waar kom je gezondheidsgegevens tegen?

  • Patiëntendossiers: Digitale of fysieke dossiers bij een zorgverlener.
  • Intakeformulieren: Een formulier bij een personal trainer of therapeut.
  • Verzuimregistratie: Gegevens over ziekteverzuim van medewerkers.
  • App-data: Een app die hartslag of slaapcycli meet.

Elke aparte activiteit waarbij je deze gegevens verwerkt, is een aparte ‘verwerking’ die je in je register moet zetten.

De rol van de verwerkingsverantwoordelijke en de verwerker

Verdeel dit logisch, bijvoorbeeld per afdeling of per dienst. Bij gezondheidsgegevens is het cruciaal om te weten wie de baas is over de data (de verwerkingsverantwoordelijke) en wie de data namens jou verwerkt (de verwerker).

Ben je huisarts? Dan ben jij de verantwoordelijke. Gebruik je een speciale software voor medische dossiers (zoals Medicom of Promedico)?

Dan is de softwareleverancier je verwerker. In je register zet je bij elke verwerking duidelijk wie wat doet.

Zorg dat je verwerkersovereenkomsten sluit met partijen die je data verwerken, zoals cloudleveranciers.

Stap 2: Vul de verplichte velden in je register in

De AVG schrijft voor welke informatie je minimaal moet vastleggen. Gebruik een duidelijke indeling, bijvoorbeeld in Excel of een gespecialiseerd tool, maar let op: bewaar het veilig!

1. Doel van de verwerking

Waarom verwerk je deze gegevens? Wees specifiek. Zeg niet alleen ‘zorg’, maar bijvoorbeeld: ‘het bieden van fysiotherapeutische behandelingen op basis van een behandelplan’. Wie zijn de mensen van wie je gegevens hebt?

2. Categorieën van betrokkenen

Patiënten, cliënten, medewerkers, of misschien wel familieleden? Dit is bij gezondheidsgegevens het spannendste deel. Wees hier nauwkeurig.

3. Categorieën van gegevens

Vermeld duidelijk welke specifieke gegevens je verwerkt. Gebruik geen vage termen. Met wie deel je de data? Denk aan:

  • Medische gegevens: Diagnoses, behandelplannen, medicatie.
  • Biometrische gegevens: Vingerafdrukken of iris-scans (bij toegangscontrole).
  • Genetische gegevens: DNA-materiaal.

Geef hier geen namen van personen op, maar categorieën van partijen (bijvoorbeeld ‘zorgverzekeraars’). Gegevens opslaan in de cloud?

4. Ontvangers categorieën

Check waar de servers staan. Als je data buiten de EER (Europese Economische Ruimte) opslaat, moet je dit expliciet vermelden.

  • Verzekeraars (voor declaraties).
  • Specialisten (voor doorverwijzing).
  • Leveranciers (voor technische ondersteuning).

Denk aan Amerikaanse clouddiensten. Zorg dat er passende waarborgen zijn (zoals Standard Contractual Clauses). Hoe lang bewaar je de gegevens? Bij gezondheidsgegevens gelden vaak wettelijke bewaartermijnen.

5. Doorgifte naar derde landen

In de Wet op de geneeskundige behandelovereenkomst (WGBO) staat dat medische dossiers minimaal 15 jaar bewaard moeten worden (gerekend vanaf het einde van de behandeling). Sommige gegevens mogen eerder worden vernietigd als dat mag. Leg deze termijnen vast.

6. Bewaartermijnen

Stap 3: Technische en organisatorische maatregelen (TOMs)

Je register moet ook beschrijven hoe je de gegevens beveiligt. Dit zijn de technische en organisatorische maatregelen (TOMs). Bij gezondheidsgegevens is dit essentieel.

Denk aan: Je hoeft in je register niet alle technische details uit te typen, maar je moet wel aangeven welke maatregelen je hebt getroffen.

  • Toegangscontrole: Wie mag het dossier inzien? Gebruik sterke wachtwoorden en tweefactorauthenticatie (2FA).
  • Encryptie: Zowel in rust (op de harde schijf) als onderweg (via internet).
  • Back-ups: Regelmatige back-ups die ook versleuteld zijn.
  • Logboeken: Wie heeft wanneer welke gegevens ingezien?

Bijvoorbeeld: ‘Gegevens zijn versleuteld opgeslagen in de cloud van Microsoft Azure (met EU-datacenters)’.

Stap 4: Risicoanalyse en DPIA

Als je op grote schaal gevoelige gegevens verwerkt, of als er een hoog risico is op inbreuk op de rechten van de betrokkene, moet je een Data Protection Impact Assessment (DPIA) uitvoeren.

Dit is een uitgebreide risicoanalyse. Voor gezondheidsgegevens is een DPIA vaak verplicht.

In je verwerkingsregister vermeld je of er een DPIA is uitgevoerd voor een specifieke verwerking. De uitkomsten van de DPIA leg je apart vast, maar de conclusie (welk risico en welke maatregelen) neem je op in je register.

Stap 5: Onderhoud je register

Een verwerkingsregister is geen statisch document. Het is een levend document. Wil je weten hoe je stap voor stap een verwerkingsregister maakt? Wijzigingen in je bedrijfsvoering of nieuwe software betekenen dat je je register moet bijwerken.

  • Plan een periodieke controle (bijvoorbeeld elk kwartaal).
  • Wijzigingen in wetgeving? Pas je register aan.
  • Als je stopt met een verwerking, markeer dit dan duidelijk.

Praktische tips voor het invullen

Het invullen zelf hoeft niet ingewikkeld te zijn. Gebruik een template die voldoet aan de eisen van de AP. Veel brancheorganisaties bieden sjablonen aan die specifiek zijn ingericht voor de zorg. Een paar extra tips:

  • Houd het bij één plek: Zorg dat iedereen die het nodig heeft toegang heeft tot de laatste versie, maar beveilig het register zelf ook.
  • Gebruik duidelijke taal: Schrijf voor een collega, niet voor een advocaat.
  • Documenteer keuzes: Waom kies je voor een bewaartermijn van 15 jaar? Leg het uit.

Veel voorkomende valkuilen

Er zijn een paar fouten die vaak gemaakt worden bij het registreren van gezondheidsgegevens. Let extra op deze punten:

Te algemeen zijn

Schrijf niet ‘medische gegevens’, maar specificeer. Is het een ECG? Een bloeduitslag? Een verwijsbrief? Wees precies.

Vergeten dat e-mail ook verwerking is

Stuur je een patient dossier per e-mail naar een specialist? Dan is dat ook een verwerking. Zorg dat je e-mail versleuteld is (zoals Veilig Mailen) en vermeld dit in je maatregelen.

De bewaartermijn negeren

Veel bedrijven bewaren gegevens ‘tot het einde der tijden’. Dit mag niet. De WGBO schrijft 15 jaar voor, maar korter mag als het mag. Overschrijding van termijnen is een overtreding.

Conclusie

Het registreren van gezondheidsgegevens in je verwerkingsregister is een kwestie van structuur en aandacht.

Het is niet iets wat je even snel tussendoor doet, maar het levert je enorm veel op: rust, overzicht en compliantie. Door stap voor stap je processen in kaart te brengen, heldere doelen te formuleren en je beveiliging vast te leggen, bouw je een waterdicht systeem. En onthoud: het register is je beste verdediging als er iets misgaat.

Dus pak die Excel (of een professionele tool), ga zitten en begin vandaag nog. Je gezondheidsgegevens – en je klanten – verdienen die zorg.

Veelgestelde vragen

Hoe kan ik medische gegevens verwerken?

Als ondernemer met medische gegevens, zoals patiëntendossiers of intakeformulieren, moet je er zeker van zijn dat je een wettelijke basis hebt voor de verwerking, zoals toestemming of uitvoering van een medische overeenkomst. Een verwerkingsregister helpt je om deze verwerking te documenteren en aan de AVG-eisen te voldoen, waardoor je risico op boetes en reputatieschade wordt beperkt.

Wat moet er in het verwerkingsregister?

Je verwerkingsregister moet een overzicht geven van alle verwerkingen van persoonsgegevens binnen je organisatie, inclusief de doelen van de verwerking, de categorieën betrokkenen, de duur van de opslag en de basis voor de verwerking. Het is essentieel om te documenteren waar de gegevens vandaan komen, waar ze naartoe gaan en welke maatregelen je neemt om de gegevens te beschermen.

Hoe kan ik mijn gezondheidsgegevens delen met derden?

Het delen van gezondheidsgegevens met derden is alleen toegestaan als het wettelijk is geregeld of als je expliciete toestemming hebt van de betrokkene. Hulpverleners kunnen gegevens delen als dat in de wet is vastgelegd of wettelijk verplicht, zonder toestemming van de patiënt. Zorg ervoor dat je de juiste procedures volgt om de privacy te waarborgen.

Wat valt er onder gezondheidsgegevens?

Gezondheidsgegevens omvatten alle informatie die betrekking heeft op de gezondheidstoestand van een persoon, zowel in het verleden, heden als de toekomst. Dit kan gaan om medische dossiers, psychologische notities, of andere gegevens die relevant zijn voor de gezondheid van de betrokkene. Het is belangrijk om deze gegevens met extra zorg te behandelen vanwege hun gevoeligheid.

Hoe kan ik medische gegevens doorgeven?

Het doorgeven van medische gegevens aan andere partijen moet gebeuren op basis van wettelijke regels of wettelijke verplichting. Hulpverleners zijn soms wettelijk verplicht om gegevens te delen, zonder dat de toestemming van de patiënt nodig is. Documenteer altijd de basis voor de doorgeefactie in je verwerkingsregister.

Lees ook
Wat is een verwerkingsregister en waarom moet jouw bedrijf er een bijhouden? Hoe maak je stap voor stap een verwerkingsregister als ZZP'er in 2026? Welke gegevens horen er precies in een verwerkingsregister thuis? Verwerkingsregister voorbeeld voor een kleine webshop in Nederland Verwerkingsregister voorbeeld voor een freelance marketeer of tekstschrijver Verwerkingsregister voorbeeld voor een kapper of schoonheidssalon
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Verwerkingsregister documentatieplicht

Bekijk alle 38 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat is een verwerkingsregister en waarom moet jouw bedrijf er een bijhouden?
Lees verder →