Wkz 2026: hoe kunnen zorgorganisaties gezondheidsgegevens verwerken?

    - - / 12 maart 2026

    Sinds 1 januari 2026 geldt de Wet kwaliteitsregistraties zorg (‘Wkz’). De Wkz is een wijziging van de Wet kwaliteit, klachten en geschillen zorg (‘Wkkgz’). Een kwaliteitsregistratie bevat gegevens van een groep patiënten. Kwaliteitsregistraties worden al sinds de jaren ’90 gebruikt om de kwaliteit van de zorg te verbeteren, bijvoorbeeld door van elkaar te leren middels het vergelijken van gegevens.

    Wat nieuw is, is dat de Wkz een grondslag biedt om gezondheidsgegevens en andere bijzondere persoonsgegevens te verwerken voor kwaliteitsregistraties. Voorheen werd vaak gewerkt met toestemming of andere indirecte grondslagen. Dankzij deze nieuwe wettelijke basis wordt het eenvoudiger om kwaliteitsregistraties op te zetten en gegevens daarvoor te gebruiken. In dit blog leg ik uit hoe zorgorganisaties gebruik kunnen maken van deze nieuwe grondslag en wat de rol van (privacy)juristen hierbij kan zijn.

    Wanneer en voor welke zorgorganisaties geldt de nieuwe grondslag?

    Beheerders van een kwaliteitsregistratie kunnen een aanvraag indienen bij het Zorginstituut Nederland (‘Zorginstituut’) voor opname in de nieuwe openbare lijst. Als het Zorginstituut beoordeelt dat een aanvraag voldoet aan de wettelijke eisen, wordt de kwaliteitsregistratie in het openbare register opgenomen. Als het Zorginstituut de registratie goedkeurt, mogen zorgorganisaties persoonsgegevens gebruiken voor die kwaliteitsregistratie.

    De Wkz geldt voorlopig alleen voor de medisch-specialistische zorg (behalve voor de geneeskundige geestelijke gezondheidszorg, wat wel medisch-specialistische zorg is). Het is de bedoeling dat de Wkz later ook voor andere medische sectoren gaat gelden. Deze wetswijziging is relevant voor bijvoorbeeld zorginstellingen, samenwerkingsverbanden en wetenschappelijke verenigingen. Ook IT-leveranciers van registratiesystemen kunnen te maken hebben met de Wkz, vanwege hun rol als verwerker.

    Wat is de rol van (privacy)juristen?

    De aanvraag bij het Zorginstituut vereist voor zorginstellingen wat voorbereiding, onder andere op het gebied van privacy. Twee commissies geven advies aan het Zorginstituut over de kwaliteit van de aanvraag. De commissies zijn: de Inhouds-governancecommissie (IGC) en de Data-governancecommissie (DGC). De toets van de DGC ziet onder andere op privacy.

    Hieronder licht ik vier aandachtspunten toe voor (privacy)juristen bij de voorbereiding van een aanvraag voor opname in het openbare register van het Zorginstituut.

    1. Voer een DPIA uit

    Het uitvoeren van een data protection impact assessment (‘DPIA’) is verplicht voor opname in het openbare register van het Zorginstituut. Ook op grond van de Algemene verordening gegevensbescherming (‘AVG’) zal in de praktijk vrijwel altijd een DPIA uitgevoerd moeten worden, omdat kwaliteitsregistraties doorgaans grootschalige verwerking van gezondheidsgegevens betreffen. Voor het uitvoeren van een DPIA kan het DPIA-format van de DGC of een vergelijkbaar format gebruikt worden.

    Besteed in de DPIA ook aandacht aan doelbinding. Kwaliteitsregistraties worden soms ook gebruikt om: zorgkwaliteit te monitoren, zorginstellingen met elkaar te vergelijken (benchmarking), richtlijnen en behandelprotocollen te verbeteren en transparantie richting toezichthouders en patiënten te bieden. Als een kwaliteitsregistratie voor één van die doelen gebruikt wordt, dan is mogelijk een aparte grondslag nodig. Ook kan het zijn dat dan aanvullende waarborgen nodig zijn, zoals extra eisen voor pseudonimiseren.

    2. Denk na over de rolverdeling

    De rolverdeling is onder andere relevant, omdat:

    • De verwerkingsverantwoordelijke van de kwaliteitsregistratie de aanvraag bij het Zorginstituut indient.

    • Er een verwerkersovereenkomst moet worden afgesloten tussen de verwerker en de verwerkingsverantwoordelijke om de aanvraag in te dienen bij het Zorginstituut. De DGC heeft een format (met een handleiding) dat gebruikt kan worden.

    • De verwerkingsverantwoordelijke is verantwoordelijk voor zaken als het uitvoeren van een DPIA, het melden van datalekken, het informeren van patiënten in een privacyverklaring en het afhandelen van AVG-verzoeken.

    De organisatie die het doel en de middelen van een kwaliteitsregistratie bepaalt, is de verwerkingsverantwoordelijke van de kwaliteitsregistratie. Bijvoorbeeld: een ziekenhuis verstrekt gegevens uit het Elektronisch Patiëntendossier aan een kennisinstituut. Een kennisinstituut gebruikt deze gegevens voor een kwaliteitsregistratie (= verwerkingsverantwoordelijke). Het kennisinstituut kan hiervoor gebruikmaken van de systemen van een IT-leverancier (= verwerker).

    De verwerkingsverantwoordelijke van de brongegevens (de verstrekker) kan een andere organisatie zijn dan de verwerkingsverantwoordelijke van de kwaliteitsregistratie (bijvoorbeeld een kennisinstituut).

    Volgens de memorie van toelichting van de Wkz ligt het voor de hand dat één partij (de registratiehouder) verwerkingsverantwoordelijke is. In de praktijk moet echter altijd worden beoordeeld welke partij feitelijk het doel en de middelen van de verwerking bepaalt.

    3. Pseudonimiseer persoonsgegevens

    Hoewel de Wkz een grondslag biedt voor de verwerking van gezondheidsgegevens, blijft dataminimalisatie essentieel. Het is daarom de bedoeling dat zorgorganisaties persoonsgegevens pseudonimiseren, bijvoorbeeld door namen te vervangen door codes. In welke mate het pseudonimiseren moet plaatsvinden, hangt af van de context. In het algemeen geldt dat hoe eerder de gegevens gepseudonimiseerd worden hoe beter. Het Zorginstituut (de DGC) zal beoordelen hoe pseudonimisatie heeft plaatsgevonden.

    4. Pas interne privacydocumentatie aan

    Vanwege de wetswijziging en het ontstaan van een nieuwe grondslag moeten de bij een kwaliteitsregistratiebetrokken zorgorganisaties privacydocumenten aanpassen, zoals een privacyverklaring, een verwerkingsregister en de interne beleidsdocumenten.

    Door de nieuwe regels hoeven zorgorganisaties geen toestemming meer te vragen aan patiënten om gegevens te verwerken voor kwaliteitsregistraties. Dit komt omdat de wet nu bepaalt dat gegevens mogen worden verwerkt, omdat dit nodig is voor een publieke taak. Ook ontstaat er een wettelijke verplichting om persoonsgegevens te verwerken, omdat zorgorganisaties gegevens moeten delen met het Zorginstituut.

    Patiënten krijgen daarnaast een opt-out mogelijkheid, waarmee zij bezwaar kunnen maken tegen opname van hun gegevens in een kwaliteitsregistratie. Ook deze mogelijkheid moet worden opgenomen in de privacydocumentatie.

    Verder zal de DGC ook toetsen of de registerhouder een verwerkingsregister heeft opgesteld en of de juiste grondslag bij de juiste verwerking staat. De DGC heeft ook een format voor een verwerkingsregister beschikbaar gesteld. Deze verplichting geldt voor de betrokken verwerkingsverantwoordelijke én de betrokken verwerker(s).

    DPIA-vragenlijst

    Een DPIA opstellen hoeft niet ingewikkeld te zijn. Gebruik onze DPIA-vragenlijst. Het resultaat? Een duidelijke DPIA, direct klaar om intern te delen of te gebruiken bij audits.DPIA-vragenlijst
    Terug naar overzicht

    Lotte van der Spek

    Legal Counsel
    Lees meer
    CTA - Data & privacy

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security compliance
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram