·

Klinische documentatie

Geestelijke gezondheid

Eigenaar van particuliere praktijk

AVG en opname van therapiesessies: wat therapeuten moeten weten

Essentiële AVG-nalevingsgids voor therapeuten die AI-documentatietools gebruiken. Toestemming, gegevensopslag, verwerkersovereenkomsten en patiëntenrechten uitgelegd

Therapeut neemt sessie op met patiënttoestemming en GDPR-nalevingsdocumentatie

Het opnemen of transcriberen van een online therapiesessie is niet simpelweg een technische beslissing — het is een juridische. Onder de Algemene Verordening Gegevensbescherming (AVG) valt informatie over geestelijke gezondheid onder het hoogste niveau van gegevensgevoeligheid, en de verplichtingen die uit die classificatie voortvloeien, zijn van toepassing op elke particuliere praktijk en elke zorgverlener in een instelling die een digitale documentatietool gebruikt. AI-documentatietools worden steeds toegankelijker, en therapeuten in heel Europa worden steeds vaker geconfronteerd met vragen waarvoor hun opleiding hen zelden heeft voorbereid: Welke rechtsgrond heb ik nodig? Mag ik een transcriptie bewaren? Wat moet ik mijn patiënt vertellen? De antwoorden zijn specifiek, consequent en kunnen in sommige gevallen aanzienlijke financiële boetes met zich meebrengen bij niet-naleving.

Waarom de AVG extra streng is voor gegevens van therapiesessies

Gegevens over geestelijke gezondheid worden geclassificeerd als een bijzondere categorie persoonsgegevens onder AVG artikel 9, waardoor ze in dezelfde beschermde categorie vallen als genetische gegevens, biometrische gegevens en gegevens over ras of etnische afkomst. De standaardpositie onder artikel 9(1) is dat de verwerking van deze categorie gegevens verboden is, tenzij een van de tien opgesomde uitzonderingen in artikel 9(2) van toepassing is. Dit is een aanzienlijk hogere drempel dan de standaard rechtsgrond uit artikel 6 die vereist is voor gewone persoonsgegevens.

Deze verhoogde classificatie geldt ongeacht de praktijkomgeving. Zelfs een eenpersoonspsychotherapiepraktijk moet volledig voldoen aan de vereisten van artikel 9, omdat deze per definitie bijzondere categorieën gezondheidsgegevens verwerkt. De gevoeligheid van de inhoud van therapiesessies (die onthullingen van trauma, suïcidale gedachten, seksuele identiteit of middelengebruik kunnen bevatten) betekent dat nationale gegevensbeschermingsautoriteiten elke tekortkoming in het vaststellen van een geldige grondslag onder artikel 9(2) als een ernstige overtreding beschouwen.

De AVG fungeert als een minimum, niet als een maximum. Lidstaten kunnen aanvullende nationale verplichtingen opleggen. §203 van het Duitse Wetboek van Strafrecht legt bijvoorbeeld beroepsgeheimverplichtingen op aan therapeuten die rechtstreeks van invloed zijn op hoe sessiegegevens kunnen worden verwerkt of gedeeld. Therapeuten moeten hun specifieke nationale vereisten verifiëren bij hun relevante gegevensbeschermingsautoriteit voordat ze een documentatietool implementeren.

Wat telt als 'verwerking' wanneer je een sessie opneemt of transcribeert

Onder de AVG omvat de term 'verwerking' elke bewerking die op persoonsgegevens wordt uitgevoerd, of deze nu geautomatiseerd of handmatig is. In de context van een online therapiesessie vormen de volgende handelingen allemaal verwerking:

  • Audio of video van de sessie opnemen

  • Een realtime of post-sessie transcriptie genereren

  • Een samenvatting of AI-gegenereerd klinisch verslag opslaan

  • Sessie-inhoud doorgeven via een AI-documentatietool van een derde partij

  • Een opname uploaden naar een cloudopslagdienst

Verwerking is evenzeer van toepassing op volledig geautomatiseerde tools als op handmatige transcriptie ondersteund door technologie. Er is geen uitzondering voor tools die worden omschreven als 'ondersteunend' of 'helpend' in plaats van volledig autonoom. Als sessie-inhoud op enigerlei wijze door een systeem of dienst wordt verwerkt, zijn de verplichtingen van de AVG vanaf dat moment van toepassing.

De rechtsgrond die therapeuten moeten vaststellen voordat ze een documentatietool gebruiken

Omdat gegevens van therapiesessies bijzondere categorieën gegevens zijn, moeten therapeuten gelijktijdig aan twee verschillende juridische vereisten voldoen: een rechtsgrond onder artikel 6, en een afzonderlijke voorwaarde onder artikel 9(2).

De twee meest relevante voorwaarden uit artikel 9(2) voor therapeuten zijn:

  • Artikel 9(2)(a): Uitdrukkelijke toestemming van de betrokkene

  • Artikel 9(2)(h): Verwerking die noodzakelijk is voor het verlenen van gezondheids- of sociale zorg, onder voorbehoud van beroepsgeheimverplichtingen

Artikel 9(2)(h) is de meest algemeen toepasbare voorwaarde voor zorgorganisaties die directe klinische zorg verlenen. Het is onderworpen aan de voorwaarde dat de verwerking wordt uitgevoerd door een professional die gebonden is aan een wettelijke geheimhoudingsplicht, en het strekt zich niet automatisch uit tot elk downstream gebruik van sessiegegevens, zoals het doorgeven van inhoud aan een AI-tool die wordt beheerd door een derde partij.

Voor particuliere praktijken is vertrouwen op gerechtvaardigde belangen alleen zelden voldoende voor bijzondere categorieën gegevens. Uitdrukkelijke toestemming onder artikel 9(2)(a) is over het algemeen de meest verdedigbare route, omdat het de instemming van de patiënt met de specifieke verwerkingsactiviteit direct documenteert. Welke grondslag ook wordt gekozen, deze moet worden gedocumenteerd voordat enige verwerking begint. De therapeut, als verwerkingsverantwoordelijke, draagt de bewijslast om aan te tonen dat er een geldige grondslag bestaat.

Wat uitdrukkelijke toestemming in deze context daadwerkelijk vereist

Geldige uitdrukkelijke toestemming onder de AVG heeft een precieze juridische betekenis. Deze moet:

  • Vrijelijk gegeven zijn: De patiënt mag geen nadeel ondervinden bij weigering

  • Specifiek zijn: Toestemming voor opname impliceert geen toestemming voor transcriptie, AI-verwerking of delen met een supervisor. Elk doel vereist afzonderlijke toestemming

  • Geïnformeerd zijn: De patiënt moet begrijpen waarvoor hij of zij toestemming geeft, inclusief wie hun gegevens zal verwerken en hoe

  • Ondubbelzinnig zijn: Een vooraf aangevinkt vakje of passieve acceptatie voldoet niet aan de norm

  • Expliciet zijn: Voor bijzondere categorieën gegevens moet de toestemming duidelijk en actief worden uitgedrukt. Impliciete toestemming is onvoldoende

Toestemming die verborgen is in een algemeen document met algemene voorwaarden voldoet niet aan deze norm. De richtlijnen van de Europese Commissie voor gegevensbescherming maken duidelijk dat toestemming gedetailleerd en doelspecifiek moet zijn. Een therapeut die de handtekening van een patiënt verkrijgt op een algemene therapieovereenkomst, heeft daarmee geen toestemming verkregen om sessieaudio door een AI-transcriptiedienst te laten verwerken.

Toestemming moet ook worden verkregen voordat enige opname of transcriptie begint. Achteraf toestemming vragen (een patiënt na de sessie vragen of hij of zij het erg vond om te worden opgenomen) voldoet niet aan de vereiste.

Gegevensminimalisatie: alleen vastleggen wat je daadwerkelijk nodig hebt

Artikel 5(1)(c) van de AVG stelt het beginsel van gegevensminimalisatie vast: persoonsgegevens moeten toereikend, relevant en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt. Toegepast op therapiedocumentatie heeft dit directe praktische implicaties.

Als een gestructureerd klinisch verslag alles vastlegt wat klinisch noodzakelijk is uit een sessie, is het bewaren van de volledige audio-opname of woordelijke transcriptie mogelijk niet te rechtvaardigen onder dit beginsel. De relevante vraag is of de meer gedetailleerde gegevens een doel dienen dat de minder gedetailleerde gegevens niet kunnen vervullen.

In de praktijk betekent dit:

  • AI-documentatietools moeten worden geconfigureerd om een gestructureerd verslag te genereren en vervolgens de onderliggende transcriptie te verwijderen, tenzij er een specifieke klinische of juridische reden is om deze te bewaren

  • Volledige sessie-opnames mogen niet standaard worden opgeslagen uit administratief gemak

  • De reikwijdte van wat de tool vastlegt, moet worden beoordeeld op basis van wat de therapeut daadwerkelijk gebruikt

Een review uit 2025 van AI-gestuurde tools voor het genereren van verslagen in de geestelijke gezondheidszorg ontdekte dat kritieke informatie over gegevensverwerking (inclusief wat wordt bewaard nadat een verslag is gegenereerd) vaak ontbrak in communicatie van leveranciers. Therapeuten moeten specifieke vragen stellen in plaats van te vertrouwen op algemene productbeschrijvingen.

Waar sessiegegevens kunnen worden opgeslagen en verwerkt: EU-regels voor gegevensopslag

Onder de AVG is het overdragen van persoonsgegevens buiten de Europese Economische Ruimte (EER) beperkt, tenzij het bestemmingsland een adequaat niveau van gegevensbescherming biedt, of een passende waarborg zoals Standaard Contractuele Clausules (SCC's) aanwezig is. Voor bijzondere categorieën gegevens over geestelijke gezondheid heeft deze vereiste extra gewicht.

Consumentenplatforms zoals algemene videoconferentie-applicaties (zelfs bekende) verwerken en slaan gegevens vaak op servers buiten de EER op, en bieden mogelijk niet de contractuele waarborgen die de AVG vereist voor gezondheidsgegevens. Een therapeut die een dergelijk platform gebruikt voor een online sessie, met automatische transcriptie ingeschakeld, kan bijzondere categorieën gegevens overdragen naar een derde land zonder een geldig juridisch mechanisme.

Bij het evalueren van een transcriptie- of AI-documentatietool moeten therapeuten leveranciers rechtstreeks vragen:

  • Waar worden sessiegegevens verwerkt? (Welk land, welke cloudregio?)

  • Waar worden gegevens in rust opgeslagen?

  • Bevinden zich subverwerkers buiten de EER?

  • Als gegevens buiten de EER worden verwerkt, welk overdrachtsmechanisme is dan van toepassing?

EU-gegevensopslag is een belangrijk nalevingscriterium voor elke tool die inhoud van therapiesessies verwerkt, en leveranciers moeten deze vragen schriftelijk kunnen beantwoorden.

De relatie met de gegevensverwerker: uw verplichtingen bij het gebruik van een tool van een derde partij

Wanneer een therapeut een externe AI- of transcriptietool gebruikt, wordt die leverancier een gegevensverwerker onder de AVG. De therapeut, als verwerkingsverantwoordelijke, blijft wettelijk verantwoordelijk voor het waarborgen dat de verwerker gegevens verwerkt in overeenstemming met de vereisten van de AVG.

Artikel 28 AVG vereist een ondertekende Verwerkersovereenkomst tussen de therapeut en elke leverancier die patiëntgegevens namens hen verwerkt. Een Verwerkersovereenkomst die voldoet aan de AVG-vereisten moet specificeren:

  • Het onderwerp, de duur en het doel van de verwerking

  • Het type persoonsgegevens en categorieën betrokkenen

  • De verplichtingen en rechten van de verwerkingsverantwoordelijke

  • Dat de verwerker alleen zal handelen op gedocumenteerde instructies van de verwerkingsverantwoordelijke

  • De beveiligingsmaatregelen die de verwerker heeft geïmplementeerd

  • De verplichtingen van de verwerker met betrekking tot subverwerkers

  • Bepalingen voor gegevensverwijdering of -retournering aan het einde van het contract

De afwezigheid van een Verwerkersovereenkomst maakt de verwerking niet rechtmatig. Het maakt het een overtreding. Therapeuten mogen geen enkele tool gebruiken die patiëntsessiegegevens verwerkt zonder eerst een ondertekende Verwerkersovereenkomst te verkrijgen. Als een leverancier niet bereid of in staat is om er een te verstrekken, is dat op zich al een nalevingssignaal.

Wat u aan patiënten moet bekendmaken voordat u een AI-documentatietool gebruikt

De transparantieverplichtingen van de AVG onder artikelen 13 en 14 vereisen dat patiënten worden geïnformeerd over de verwerking van hun gegevens op het moment van verzameling. Voor therapiesessies betekent dit dat patiënten moeten worden verteld:

  • Welke categorieën gegevens worden verzameld (bijvoorbeeld audio-opname, transcriptie, AI-gegenereerd verslag)

  • De identiteit van de verwerkingsverantwoordelijke (de therapeut of praktijk)

  • De identiteit van eventuele gegevensverwerkers (de leverancier van de AI-tool)

  • De rechtsgrond voor verwerking

  • Waar gegevens worden opgeslagen en voor hoe lang

  • Hun rechten, inclusief het recht op toegang, rectificatie en verwijdering van hun gegevens

Deze bekendmaking moet op een manier worden geleverd die echt informatief is, niet begraven in een lang document. Best practice voor therapeuten die AI-documentatietools gebruiken omvat:

  • Het bijwerken van de privacyverklaring van de praktijk om AI-ondersteunde documentatie specifiek te behandelen

  • Het geven van een mondelinge uitleg voordat de eerste sessie waarin de tool wordt gebruikt plaatsvindt

  • Het aanbieden van schriftelijke bevestiging (bijvoorbeeld een samenvatting van één pagina) die de patiënt kan bewaren

  • Het documenteren dat de bekendmaking is gegeven en dat toestemming is verkregen

Juridische analyse van telegeneeskunde en gegevensbeschermingsverplichtingen bevestigt dat transparantievereisten volledig van toepassing zijn op digitale gezondheidsinteracties, inclusief online therapiesessies die via videoplatforms worden uitgevoerd.

Bewaartermijnen: hoe lang kunt u transcripties of AI-gegenereerde verslagen bewaren?

Het beginsel van opslagbeperking onder artikel 5(1)(e) vereist dat persoonsgegevens in een vorm worden bewaard die identificatie van betrokkenen mogelijk maakt voor niet langer dan noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt. Voor transcripties van therapiesessies en AI-gegenereerde verslagen moeten therapeuten een bewaartermijn definiëren en documenteren, en deze toepassen.

Verschillende overwegingen spelen hier een rol:

  • Richtlijnen van professionele toezichthoudende instanties over het bewaren van klinische dossiers stellen een minimumgrens vast (bijvoorbeeld, bewaarvereisten variëren per land en professionele instantie. Therapeuten moeten hun nationale toezichthoudende instantie raadplegen voor de toepasselijke minimumperiode)

  • AI-gegenereerde verslagen en sessietranscripties zijn niet automatisch onderworpen aan dezelfde bewaarregels als formele klinische dossiers. Een woordelijke transcriptie kan een veel kortere te rechtvaardigen bewaartermijn hebben dan het klinische verslag dat eruit is afgeleid

  • Wanneer een transcriptie alleen wordt bewaard om een verslag te genereren, moet deze worden verwijderd zodra dat doel is vervuld

Therapeuten moeten hun bewaarbeleid schriftelijk documenteren, waarbij verschillende perioden voor verschillende gegevenstypen worden gespecificeerd (opname, transcriptie, gestructureerd verslag, patiëntbrief), en ervoor zorgen dat de praktijken voor gegevensverwijdering van hun AI-toolleverancier aansluiten bij dat beleid.

Beveiligingsvereisten voor het opslaan van gegevens van sessies over geestelijke gezondheid

Artikel 32 van de AVG vereist dat verwerkingsverantwoordelijken en verwerkers technische en organisatorische maatregelen implementeren die passend zijn voor het risico. Voor bijzondere categorieën gegevens over geestelijke gezondheid is het risiconiveau standaard hoog, en de vereiste maatregelen weerspiegelen dat.

Minimale beveiligingsverwachtingen voor tools die gegevens van therapiesessies verwerken omvatten:

  • Versleuteling in rust en tijdens verzending: Sessie-opnames, transcripties en verslagen moeten zowel bij opslag als bij verzending worden versleuteld

  • Toegangscontroles: Alleen geautoriseerde personen moeten toegang kunnen krijgen tot sessiegegevens, met op rollen gebaseerde machtigingen en authenticatievereisten

  • Audittrails: Systemen moeten loggen wie welke gegevens heeft geopend en wanneer

  • Incidentrespons: Leveranciers moeten gedocumenteerde procedures hebben voor het detecteren en melden van datalekken

Consumententools (inclusief algemene videoconferentie-applicaties met automatische transcriptie ingeschakeld) zullen waarschijnlijk niet aan deze vereisten voldoen zonder specifieke enterprise- of gezondheidszorgovereenkomsten. Het feit dat een platform veel wordt gebruikt in klinische omgevingen betekent niet dat het AVG-conform is voor de verwerking van bijzondere categorieën gegevens zonder passende contractuele en technische waarborgen.

Een peer-reviewed review uit 2025 van AI-tools voor het genereren van verslagen in de geestelijke gezondheidszorg ontdekte dat hoewel de meeste leveranciers informatie over gegevensbescherming en privacymaatregelen op hun websites verstrekten, kritieke details (inclusief specifieke beveiligingscertificeringen, lijsten van subverwerkers en praktijken voor gegevensverwijdering) vaak ontbraken. Therapeuten moeten naleving niet veronderstellen. Ze moeten het verifiëren.

Praktische stappen voor particuliere praktijken bij het selecteren van een conforme documentatietool

Particuliere praktijken die AI-documentatietools evalueren, doen dit doorgaans zonder institutionele IT- of juridische ondersteuning. De volgende checklist dekt de minimale due diligence die de AVG vereist:

  • Bevestig EU-gegevensopslag: Vraag de leverancier schriftelijk waar sessiegegevens worden verwerkt en opgeslagen. Bevestig dat er geen subverwerkers buiten de EER zijn, of dat er adequate overdrachtsmechanismen aanwezig zijn

  • Verkrijg een ondertekende Verwerkersovereenkomst: Gebruik geen enkele tool die patiëntgegevens verwerkt zonder een ondertekende Verwerkersovereenkomst die voldoet aan de vereisten van artikel 28

  • Controleer op ISO 27001-certificering: ISO 27001-certificering geeft aan dat de leverancier een internationaal erkend informatiebeveiligingsbeheersysteem heeft geïmplementeerd. Het is geen AVG-garantie, maar het is wel een betekenisvolle basisindicator

  • Bekijk de lijst met subverwerkers: Leveranciers vertrouwen doorgaans op subverwerkers (bijvoorbeeld cloudinfrastructuurproviders). Vraag de volledige lijst op en beoordeel of de locatie en beveiligingspositie van elke subverwerker acceptabel is

  • Begrijp het beleid voor gegevensverwijdering: Bevestig hoe lang de leverancier gegevens bewaart na een sessie, wat verwijdering activeert en of u verwijdering van specifieke records kunt aanvragen

  • Verifieer dat de tool verzoeken om patiëntrechten ondersteunt: Het systeem moet in staat zijn om toegangsverzoeken en verwijderingsverzoeken te beantwoorden binnen de vereiste termijnen van de AVG

Het gebrek aan transparantie in communicatie van leveranciers dat in peer-reviewed onderzoek is geïdentificeerd, betekent dat therapeuten specifieke, schriftelijke vragen moeten stellen in plaats van te vertrouwen op marketingmateriaal. Een leverancier die deze vragen niet duidelijk kan beantwoorden, is geen conforme keuze.

Wanneer een patiënt toestemming intrekt of om verwijdering verzoekt

Patiënten hebben afdwingbare rechten onder de AVG die therapeuten operationeel voorbereid moeten zijn om te honoreren. Twee zijn bijzonder relevant voor AI-ondersteunde documentatie.

Recht om toestemming in te trekken (artikel 7(3)): Een patiënt kan toestemming voor de verwerking van zijn of haar gegevens op elk moment intrekken. Intrekking heeft geen invloed op de rechtmatigheid van verwerking die vóór intrekking is uitgevoerd, maar moet vooruitgaand effect hebben. Onderzoek naar het implementeren van intrekking van toestemming in contexten van gezondheidsgegevens benadrukt de operationele complexiteit: gegevens kunnen bestaan in meerdere systemen (de AI-tool, een cloudback-up, een lokale kopie) en moeten in elk systeem worden geïdentificeerd en aangepakt.

Recht op verwijdering (artikel 17): Wanneer verwerking was gebaseerd op toestemming, heeft een patiënt die toestemming intrekt het recht om verwijdering van zijn of haar gegevens aan te vragen. De therapeut, als verwerkingsverantwoordelijke, moet binnen een maand op dit verzoek reageren en moet eventuele gegevensverwerkers (inclusief de leverancier van de AI-tool) opdracht geven om de relevante gegevens uit hun systemen te verwijderen.

In de praktijk moeten therapeuten:

  • Intrekking van toestemming schriftelijk documenteren en de datum vastleggen

  • Onmiddellijk contact opnemen met de leverancier van de AI-tool en verwijdering van alle sessiegegevens die aan die patiënt zijn gekoppeld aanvragen

  • Schriftelijke bevestiging van de leverancier verkrijgen dat verwijdering is voltooid

  • Controleren of eventuele lokale kopieën (bijvoorbeeld gedownloade transcripties) ook moeten worden verwijderd

Het recht op verwijdering is niet absoluut. Wanneer gegevens moeten worden bewaard om te voldoen aan een wettelijke verplichting (zoals professionele regelgevende vereisten om klinische dossiers voor een minimumperiode te bewaren) kan die verplichting het verwijderingsverzoek met betrekking tot het formele klinische dossier opheffen. Ruwe transcripties of opnames die verder gaan dan wat het klinische dossier vereist, zullen waarschijnlijk niet van deze uitzondering profiteren en moeten over het algemeen op verzoek worden verwijderd.

Professionele ethische kaders in de praktijk van geestelijke gezondheidszorg identificeren consequent documentatie en gegevensbeheer als kerncomponenten van de verantwoordelijkheid van zorgverleners. Het vermogen om te reageren op verzoeken om patiëntrechten maakt steeds meer deel uit van die verwachting in een digitaal gemedieerde klinische omgeving.

Veelgestelde vragen

▶ Is de AVG van toepassing op opnames en transcripties van therapiesessies?

Ja. Onder de Algemene Verordening Gegevensbescherming worden gegevens over geestelijke gezondheid geclassificeerd als een bijzondere categorie persoonsgegevens onder artikel 9, waardoor ze op het hoogste niveau van gegevensgevoeligheid worden geplaatst. Het opnemen van een sessie, het genereren van een transcriptie, het opslaan van een AI-gegenereerd klinisch verslag of het doorgeven van sessie-inhoud via een tool van een derde partij vormen allemaal verwerking onder de AVG. Dit geldt voor elke praktijk die digitaal sessiegegevens verwerkt, inclusief eenpersoonspsychotherapiepraktijken.

▶ Welke rechtsgrond hebben therapeuten nodig voordat ze een AI-documentatietool gebruiken?

Therapeuten moeten gelijktijdig aan twee juridische vereisten voldoen: een rechtsgrond onder artikel 6 van de AVG, en een afzonderlijke voorwaarde onder artikel 9(2). De twee meest relevante voorwaarden uit artikel 9(2) zijn uitdrukkelijke toestemming van de patiënt (artikel 9(2)(a)) en verwerking die noodzakelijk is voor het verlenen van gezondheids- of sociale zorg, onder voorbehoud van beroepsgeheimverplichtingen (artikel 9(2)(h)). Voor particuliere praktijken is uitdrukkelijke toestemming over het algemeen de meest verdedigbare route, omdat het de instemming van de patiënt met de specifieke verwerkingsactiviteit direct documenteert. Welke grondslag ook wordt gekozen, deze moet worden gedocumenteerd voordat enige verwerking begint.

▶ Wat vereist geldige uitdrukkelijke toestemming bij het opnemen of transcriberen van een therapiesessie?

Geldige uitdrukkelijke toestemming onder de AVG moet vrijelijk gegeven, specifiek, geïnformeerd, ondubbelzinnig en actief uitgedrukt zijn. Toestemming voor opname impliceert geen toestemming voor transcriptie, AI-verwerking of delen met een supervisor. Elk doel vereist afzonderlijke toestemming. Toestemming die verborgen is in een algemeen document met algemene voorwaarden voldoet niet aan deze norm. Het moet ook worden verkregen voordat enige opname of transcriptie begint. Achteraf toestemming voldoet niet aan de vereiste.

▶ Wat is het beginsel van gegevensminimalisatie en hoe is het van toepassing op therapiedocumentatie?

Artikel 5(1)(c) van de AVG vereist dat persoonsgegevens toereikend, relevant en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt. In de praktijk, als een gestructureerd klinisch verslag alles vastlegt wat klinisch noodzakelijk is uit een sessie, is het bewaren van de volledige audio-opname of woordelijke transcriptie mogelijk niet te rechtvaardigen. AI-documentatietools moeten worden geconfigureerd om een gestructureerd verslag te genereren en vervolgens de onderliggende transcriptie te verwijderen, tenzij er een specifieke klinische of juridische reden is om deze te bewaren. Volledige sessie-opnames mogen niet standaard worden opgeslagen uit administratief gemak.

▶ Kunnen gegevens van therapiesessies buiten de Europese Economische Ruimte worden opgeslagen of verwerkt?

Het overdragen van persoonsgegevens buiten de Europese Economische Ruimte is onder de AVG beperkt, tenzij het bestemmingsland een adequaat niveau van gegevensbescherming biedt, of een passende waarborg zoals Standaard Contractuele Clausules aanwezig is. Consumentenplatforms, inclusief algemene videoconferentie-applicaties, verwerken en slaan gegevens vaak op servers buiten de Europese Economische Ruimte op en bieden mogelijk niet de contractuele waarborgen die de AVG vereist voor gezondheidsgegevens. Therapeuten moeten leveranciers schriftelijk vragen waar sessiegegevens worden verwerkt en opgeslagen, of er subverwerkers buiten de Europese Economische Ruimte zijn, en welk overdrachtsmechanisme van toepassing is als gegevens de regio verlaten.

▶ Wat is een Verwerkersovereenkomst en hebben therapeuten er een nodig?

Wanneer een therapeut een externe AI- of transcriptietool gebruikt, wordt die leverancier een gegevensverwerker onder de AVG. Artikel 28 van de AVG vereist een ondertekende Verwerkersovereenkomst tussen de therapeut en elke leverancier die patiëntgegevens namens hen verwerkt. De overeenkomst moet het doel en de duur van de verwerking specificeren, de beveiligingsmaatregelen die zijn getroffen, de verplichtingen van de verwerker met betrekking tot subverwerkers, en bepalingen voor gegevensverwijdering of -retournering aan het einde van het contract. De afwezigheid van een Verwerkersovereenkomst maakt de verwerking niet rechtmatig. Het maakt het een overtreding. Therapeuten mogen geen enkele tool gebruiken die patiëntsessiegegevens verwerkt zonder een ondertekende overeenkomst.

▶ Wat moeten therapeuten aan patiënten vertellen voordat ze een AI-documentatietool gebruiken?

De transparantieverplichtingen van de AVG onder artikelen 13 en 14 vereisen dat patiënten worden geïnformeerd over de verwerking van hun gegevens op het moment van verzameling. Therapeuten moeten patiënten vertellen welke categorieën gegevens worden verzameld, de identiteit van de verwerkingsverantwoordelijke en eventuele gegevensverwerkers, de rechtsgrond voor verwerking, waar gegevens worden opgeslagen en voor hoe lang, en de rechten van de patiënt inclusief toegang, rectificatie en verwijdering. Best practice omvat het bijwerken van de privacyverklaring van de praktijk om AI-ondersteunde documentatie specifiek te behandelen, het geven van een mondelinge uitleg voordat de eerste sessie waarin de tool wordt gebruikt plaatsvindt, en het documenteren dat bekendmaking is gegeven en toestemming is verkregen.

▶ Hoe lang kunnen therapeuten transcripties en AI-gegenereerde verslagen bewaren?

Het beginsel van opslagbeperking onder artikel 5(1)(e) van de AVG vereist dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt. Therapeuten moeten voor elk gegevenstype een bewaartermijn definiëren en documenteren en deze consistent toepassen. AI-gegenereerde verslagen en sessietranscripties zijn niet automatisch onderworpen aan dezelfde bewaarregels als formele klinische dossiers. Wanneer een transcriptie alleen wordt bewaard om een verslag te genereren, moet deze worden verwijderd zodra dat doel is vervuld. Therapeuten moeten bevestigen dat de praktijken voor gegevensverwijdering van hun AI-toolleverancier aansluiten bij hun gedocumenteerde bewaarbeleid.

▶ Wat gebeurt er als een patiënt toestemming intrekt of om verwijdering van zijn of haar sessiegegevens verzoekt?

Een patiënt kan toestemming voor de verwerking van zijn of haar gegevens op elk moment intrekken onder artikel 7(3) van de AVG. Wanneer verwerking was gebaseerd op toestemming, heeft de patiënt ook het recht om verwijdering van zijn of haar gegevens aan te vragen onder artikel 17. De therapeut moet binnen een maand op een verwijderingsverzoek reageren en moet de leverancier van de AI-tool opdracht geven om de relevante gegevens uit hun systemen te verwijderen, waarbij schriftelijke bevestiging wordt verkregen dat verwijdering is voltooid. Het recht op verwijdering is niet absoluut: wanneer gegevens moeten worden bewaard om te voldoen aan een wettelijke verplichting, zoals professionele regelgevende vereisten voor klinische dossiers, kan die verplichting het verwijderingsverzoek met betrekking tot het formele klinische dossier opheffen. Ruwe transcripties of opnames die verder gaan dan wat het klinische dossier vereist, zullen waarschijnlijk niet van deze uitzondering profiteren.

▶ Naar welke beveiligingsnormen moeten therapeuten zoeken bij het kiezen van een AI-documentatietool?

Artikel 32 van de AVG vereist dat verwerkingsverantwoordelijken en verwerkers technische en organisatorische maatregelen implementeren die passend zijn voor het risico. Voor bijzondere categorieën gegevens over geestelijke gezondheid is het risiconiveau standaard hoog. Minimale verwachtingen omvatten versleuteling van sessie-opnames, transcripties en verslagen zowel in rust als tijdens verzending, op rollen gebaseerde toegangscontroles, audittrails die loggen wie gegevens heeft geopend en wanneer, en gedocumenteerde procedures voor incidentrespons. ISO 27001-certificering geeft aan dat een leverancier een internationaal erkend informatiebeveiligingsbeheersysteem heeft geïmplementeerd en dient als een betekenisvolle basisindicator, hoewel het op zich geen AVG-garantie is. Een peer-reviewed review uit 2025 van AI-tools voor het genereren van verslagen in de geestelijke gezondheidszorg ontdekte dat kritieke beveiligingsdetails, inclusief specifieke certificeringen, lijsten van subverwerkers en praktijken voor gegevensverwijdering, vaak ontbraken in communicatie van leveranciers. Therapeuten moeten naleving rechtstreeks verifiëren in plaats van te vertrouwen op marketingmateriaal.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.