Updates uit de zorg | maart 2026

    - - / 22 april 2026

    1. Praktijkgids Autoriteit Persoonsgegevens: ‘Gezondheidsgegevens in de cloud’

    De Autoriteit Persoonsgegevens (AP) publiceerde eind maart de praktijkgids ‘Gezondheidsgegevens in de cloud’. Deze praktijkgids geeft zorgaanbieders handvaten om gezondheidsgegevens veilig in de cloud onder te brengen. Gezondheidsgegevens zijn bijzondere persoonsgegevens waarmee zorgvuldig moet worden omgegaan. Bij het kiezen van een clouddienst is de zorgaanbieder als verwerkingsverantwoordelijke verantwoordelijk voor de hele keten van verwerkers.

    De AP staat eerst stil bij de verschillende soorten clouddiensten die kunnen worden afgenomen. Het is van belang om te weten welke soort clouddienst wordt afgenomen. Hoe meer taken worden toevertrouwd aan de leverancier, hoe meer de zorgaanbieder moet zorgen dat de leverancier de taken uitvoert volgens de toepasselijke wet- en regelgeving (zoals de Algemene verordening gegevensbescherming (AVG)) en beveiligingsnormen (zoals de NEN7510). De AP benadrukt dat het aan de zorgaanbieder is om vooraf te verifiëren en documenteren dat de clouddienst voldoende veilig is.

    De AP raadt aan om vooraf onderzoek te doen naar de leverancier, een verwerkersovereenkomst af te sluiten en regelmatig audits uit te voeren om te controleren of de afspraken worden nageleefd. De gids benadrukt dat de zorgaanbieder zeggenschap, invloed en regie moet behouden over de verwerking van gezondheidsgegevens. Daarnaast moet worden gelet op risico's zoals verlies van controle over gegevens, technologische afhankelijkheid van de leverancier (vendor lock-in), en mogelijke toegang door autoriteiten uit derde landen. De AP adviseert om bij voorkeur leveranciers te kiezen die alleen onder Europese wet- en regelgeving vallen en de gegevensverwerking te beperken tot locaties binnen de Europese Economische Ruimte (EER). Ook is het verstandig om een goed exitplan op te nemen.

    Organisaties die gezondheidsgegevens in de cloud verwerken moeten tot slot rekening houden met zowel de NEN 7510-norm (informatiebeveiliging specifiek voor de zorgsector) als de aankomende Cyberbeveiligingswet (implementatie van de NIS2-richtlijn). De gezondheidszorg én cloudaanbieders vallen beide onder 'zeer kritieke sectoren', wat betekent dat die organisaties moeten voldoen aan de zorgplicht, meldplicht bij significante incidenten en registratieplicht. De AP geeft handvaten om in lijn met deze informatiebeveiligingsrichtlijnen te handelen en haakt daarbij aan bij de regels van de AVG. Kortom, de praktijkgids geeft mooie aanknopingspunten om in acht te nemen bij het afnemen van een clouddienst. Het is in de zorg belangrijk dat de bijzondere persoonsgegevens veilig worden opgeslagen.

    2. De Wet weerbaarheid kritieke entiteiten

    De Europese CER-richtlijn wordt in Nederland geïmplementeerd via de Wet weerbaarheid kritieke entiteiten (Wwke), die naar verwachting in het tweede kwartaal van 2026 in werking treedt. De gezondheidszorg is één van de sectoren die onder deze wet valt. Organisaties die essentiële diensten verlenen en waarvan een incident aanzienlijke verstorende effecten zou hebben op de dienstverlening, kunnen door het ministerie worden aangewezen als kritieke entiteit. Voor zorginstellingen die nu al als vitale aanbieder zijn aangemerkt, is de kans groot dat zij ook onder de nieuwe wet worden aangewezen.

    In een eerder blog op onze website werd al uitgelegd wat de CER-richtlijn doet. De Wwke verplicht entiteiten ertoe om een risicobeoordeling uit te voeren ten aanzien van alle relevante risico’s die hun essentiële dienstverlening kunnen verstoren. Het doel is om potentiële dreigingen, kwetsbaarheden en gevaren in kaart te brengen en om in te schatten hoe groot de impact is van een incident op die dienstverlening. Daarnaast introduceert de Wwke een zorgplicht. Essentiële entiteiten zijn primair zelf verantwoordelijk voor hun weerbaarheid. Er wordt geacht dat deze entiteiten passende maatregelen nemen om incidenten te voorkomen of om deze zo snel mogelijk te verhelpen. Tot slot introduceert de wet een meldplicht. Kritieke entiteiten moeten zo spoedig mogelijk (binnen 24 uur) melden aan de bevoegde autoriteit.

    3. CPME: behoud strenge AI-regels voor medische software

    De Standing Committee of European Doctors (CPME) heeft zich uitgesproken voor het behoud van strenge regelgeving voor AI-toepassingen in de zorg, met name voor medische software. Aanleiding is de discussie binnen de EU over mogelijke versoepeling van regels voor bepaalde AI-systemen, waaronder systemen die onder de Medical Device Regulation (MDR) vallen.

    Volgens CPME is het essentieel dat AI-systemen die worden ingezet voor medische doeleinden, zoals diagnostiek of behandelondersteuning, onder strikte eisen blijven vallen. Daarbij wordt gewezen op risico’s voor patiëntveiligheid en het belang van klinische validatie, transparantie en menselijk toezicht. De organisatie benadrukt dat een versoepeling van regels kan leiden tot onduidelijkheid over verantwoordelijkheden en een afname van vertrouwen in digitale zorgtoepassingen.

    Voor de praktijk betekent dit dat de samenloop tussen de AI Act en bestaande medische regelgeving, zoals de MDR, onverminderd relevant blijft. Zorgaanbieders en ontwikkelaars van medische software moeten rekening houden met verschillende verplichtingen, bijvoorbeeld op het gebied van risicobeheer, conformiteitsbeoordeling en monitoring na marktintroductie.

    4. Gezondheidsgegevens zonder grenzen: het EHRxF uitgelegd

    Voor Nederlandse organisaties betekent dit dat bestaande informatiestandaarden en systemen in lijn moeten worden gebracht met Europese specificaties. Dit raakt niet alleen de technische implementatie, maar ook governance, gegevenskwaliteit en compliance met regelgeving zoals de AVG en straks de EHDS-verordening. Tijdige voorbereiding is daarbij van belang, aangezien het EHRxF een centrale rol zal spelen in zowel primair als secundair gebruik van gezondheidsdata binnen de EU.

    Met de komst van de European Health Data Space (EHDS) wordt gewerkt aan betere uitwisseling van gezondheidsgegevens binnen Europa. Een belangrijk onderdeel daarvan is het European Electronic Health Record exchange Format (EHRxF): een set van afspraken en standaarden die moet zorgen dat medische gegevens grensoverschrijdend uitwisselbaar en begrijpelijk zijn.

    Het EHRxF richt zich op zowel de structuur als de semantiek van gegevens, bijvoorbeeld bij patiëntsamenvattingen, e-prescriptions en medische beelden. Door gebruik te maken van gestandaardiseerde formats en terminologieën, moeten zorgverleners in andere lidstaten gegevens correct kunnen interpreteren en gebruiken in de behandeling.

    In een eerder gepubliceerde blog op onze website gaat Ilona Kuipers nader in op het EHRxF en de rol daarvan binnen de EHDS. Zij gaat onder meer in op de reikwijdte van het format, de verplichtingen voor zorgaanbieders en leveranciers en de impact op bestaande informatiestandaarden. Ook geeft ze praktische tips, zoals het tijdig in kaart brengen van wat het EHRxF betekent voor bestaande systemen en het verbeteren van de kwaliteit en uitwisseling van gegevens.

    Voor zorgaanbieders, leveranciers van zorg-ICT en andere organisaties die werken met elektronische patiëntgegevens betekent dit dat systemen en processen tijdig in lijn moeten worden gebracht met Europese specificaties. Dit raakt niet alleen de technische implementatie, maar ook governance, gegevenskwaliteit en compliance met regelgeving zoals de AVG en de aankomende EHDS-verordening.

    5. AP waarschuwt: AI-Impactbarometer kleurt rood, snelle actie vereist

    De AP luidt de noodklok over de inzet van AI in Nederland. In de nieuwste Rapportage AI & Algoritmes Nederland (RAN) blijkt dat steeds meer risico-indicatoren op rood staan. Waar eerder twee van de negen graadmeters zorgwekkend waren, zijn dat er nu vier. Volgens de AP is er dringend behoefte aan duidelijkheid over de regels en aan effectief toezicht, zeker nu organisaties in toenemende mate AI inzetten.

    De AP ziet met name risico’s op het gebied van onveilige en discriminerende algoritmes. Tegelijkertijd ontbreekt het in de praktijk nog aan voldoende voortgang in toezicht, standaardisatie en registratie van AI-systemen. Zo blijkt bijvoorbeeld dat AI-toepassingen bij werving en selectie vaak onvoldoende transparant en uitlegbaar zijn. Kandidaten weten daardoor niet hoe beslissingen tot stand zijn gekomen of hoe zij daartegen bezwaar kunnen maken.

    Daarnaast signaleert de AP dat organisaties soms proberen onder de AI-verordening uit te komen door AI-systemen als ‘gewone algoritmes’ te registreren. Dit vergroot de kans op misstanden. Ook is er beperkt zicht op incidenten. Dit alles maakt dat er momenteel onvoldoende kan worden gehandhaafd, terwijl de risico’s juist toenemen.

    De AP roept het nieuwe kabinet op om snel werk te maken van de implementatie van de AI-verordening, waaronder het aanwijzen van toezichthouders en het bieden van duidelijkheid over de toepassing van de regels. Volgens de toezichthouder is dit noodzakelijk om grondrechten te beschermen en toekomstige incidenten te voorkomen.

    6. Wkz in werking: nieuwe regels voor gebruik van zorgdata

    Met ingang van 1 januari 2026 is de Wet Kwaliteitsregistraties Zorg (Wkz) in werking getreden. Deze wet heeft als doel te komen tot een landelijk dekkend en beter gereguleerd stelsel van kwaliteitsregistraties. Op grond van de Wkz beheert het Zorginstituut Nederland een openbaar register waarin alleen kwaliteitsregistraties worden opgenomen die voldoen aan de wettelijke eisen. Dit moet meer uniformiteit en transparantie brengen in het gebruik van kwaliteitsregistraties. Hierin worden gegevens over het handelen van zorgverleners verzameld, geanalyseerd en teruggekoppeld om de kwaliteit van zorg te verbeteren.

    Tegelijkertijd voorziet de wet in een expliciete wettelijke grondslag voor de verwerking van (bijzondere) persoonsgegevens voor erkende kwaliteitsregistraties. Dit neemt een belangrijk deel van eerdere onzekerheid hierover weg. Het betekent echter niet dat organisaties zonder meer gegevens mogen verwerken: ook onder de Wkz blijven de overige eisen uit de AVG onverkort van toepassing.

    Een belangrijk gevolg van de Wkz is dat zorgaanbieders in de toekomst verplicht kunnen worden om pseudonieme gegevens aan te leveren voor de in het register opgenomen kwaliteitsregistraties. Dit vraagt van zorgorganisaties dat zij hun processen en systemen hierop inrichten en kritisch blijven kijken naar welke gegevens zij delen, op basis van welke grondslag en hoe zij betrokkenen hierover informeren.

    De komende periode staat in het teken van de verdere inrichting van het register en de uitwerking van de aanleververplichtingen. Voor zorgorganisaties is het van belang deze ontwikkelingen goed te volgen en tijdig te anticiperen op de nieuwe verplichtingen en waarborgen. Ben je als zorgorganisatie geïnteresseerd in aanvullende informatie? Lees dan ook ons blog!
    Terug naar overzicht

    Aukje Warmerdam

    Legal Counsel
    Lees meer
    CTA - Zorg & ICT

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram