·

Klinische documentatie

Gezondheidszorg

Praktijkmanager / Admin

AVG/GDPR-correcties in dossiers: wat zorgverleners moeten doen

Leer wat de AVG/GDPR vereist wanneer patiënten om correcties of verwijderingen in klinische dossiers vragen, inclusief audittrails en wettelijke uitzonderingen

Gezondheidsdossiers bevinden zich op het snijvlak van twee juridische verplichtingen die in tegengestelde richting kunnen trekken. De Algemene Verordening Gegevensbescherming (AVG) verleent patiënten betekenisvolle rechten over hun persoonsgegevens, waaronder het recht om onjuiste informatie te laten corrigeren en, in bepaalde omstandigheden, te laten verwijderen. Tegelijkertijd vereisen professionele en regelgevende kaders dat zorgverleners volledige, nauwkeurige en ongewijzigde klinische verslaglegging van de zorg bijhouden. Voor klinisch administratief personeel dat verantwoordelijk is voor de dagelijkse afhandeling van deze verzoeken, is het precies begrijpen waar deze verplichtingen beginnen, eindigen en overlappen een kernvereiste voor AVG-naleving in de gezondheidszorg.

De twee AVG-rechten die hier van belang zijn: rectificatie en wissing

Twee artikelen van de AVG zijn direct relevant wanneer een patiënt de inhoud van zijn of haar klinisch dossier betwist.

Artikel 16, het recht op rectificatie, geeft personen het recht om onjuiste persoonsgegevens zonder onnodige vertraging te laten corrigeren en om onvolledige persoonsgegevens te laten aanvullen. Zoals de Ierse Data Protection Commission bevestigt, is dit recht relatief eenvoudig van toepassing op feitelijke persoonsgegevens, zoals een verkeerde geboortedatum, een onjuist adres of een verkeerd gespelde naam. Het wordt aanzienlijk complexer wanneer de gegevens in kwestie een klinische mening, een diagnose of een behandelnotitie betreffen.

Artikel 17, het recht op wissing (ook wel het recht om vergeten te worden genoemd), geeft personen het recht om verwijdering van hun persoonsgegevens te verzoeken in specifieke omstandigheden: wanneer de gegevens niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verzameld, wanneer toestemming is ingetrokken, of wanneer de gegevens onrechtmatig zijn verwerkt. Zoals de richtlijnen van het Information Commissioner's Office (ICO) over het recht op wissing duidelijk maken, is dit recht niet absoluut. Het recht is alleen van toepassing op persoonsgegevens die op het moment van ontvangst van het verzoek door de verwerkingsverantwoordelijke worden bewaard.

Beide rechten kunnen worden ingeroepen door elke geïdentificeerde betrokkene, in deze context de patiënt wiens dossier wordt bewaard. Beide hebben een reactietermijn van één kalendermaand. Geen van beide werkt, zoals de onderstaande secties uitleggen, zonder aanzienlijke beperkingen in een gezondheidszorgomgeving.

Wanneer een patiënt om correctie verzoekt: wat de AVG u daadwerkelijk verplicht te doen

Wanneer een patiënt een rectificatieverzoek indient, vereist artikel 16 dat de verwerkingsverantwoordelijke, doorgaans de zorgorganisatie, beoordeelt of de gegevens in kwestie daadwerkelijk onjuist of onvolledig zijn, en binnen één maand dienovereenkomstig handelt.

Voor eenvoudige feitelijke fouten zoals een verkeerd BSN-nummer of een onjuiste geboortedatum is dit relatief ongecompliceerd. De invoer wordt gecorrigeerd, de wijziging wordt geregistreerd en de patiënt wordt op de hoogte gebracht. De complexiteit ontstaat bij klinische invoer, waaronder diagnoses, observaties, risicobeoordelingen en medicatiebeslissingen, waarbij het concept van onjuistheid niet vanzelfsprekend is.

Het ICO behandelt dit direct. De richtlijnen over rectificatie stellen dat als een patiënt een diagnose ontvangt die later niet blijkt te kloppen, het medisch dossier zowel de oorspronkelijke diagnose als de definitieve bevindingen moet vermelden. De oorspronkelijke invoer wordt niet gewist. Deze wordt gecontextualiseerd. Dit weerspiegelt een kernprincipe van klinische verslaglegging: het dossier bestaat om te laten zien wat op een bepaald moment bekend was en besloten werd, niet alleen wat momenteel als waar wordt beschouwd.

Correctie in de context van een klinisch dossier betekent bijna altijd een addendum of annotatie, niet overschrijven. Het GDPR-Hub commentaar op artikel 16 bevestigt dat rectificatie kan worden bereikt door gegevens te wijzigen, door gedeeltelijke of volledige verwijdering, of door aanvulling, en dat in sommige situaties de betrokkene kan kiezen tussen het verzoeken om rectificatie of wissing. In de praktijk is aanvulling via een aanvullende verklaring de meest voorkomende en juridisch verdedigbare benadering voor klinische dossiers.

Wanneer een patiënt om verwijdering verzoekt: de grenzen van artikel 17 in de gezondheidszorg

Het recht op wissing is het verzoek dat klinisch administratief personeel het meest waarschijnlijk verkeerd afhandelt, hetzij door het als automatisch geldig te behandelen, hetzij door het te weigeren zonder deugdelijke beoordeling. Geen van beide benaderingen is conform de regelgeving.

De volledige tekst van artikel 17(3) beschrijft verschillende uitzonderingen die direct relevant zijn voor gezondheidsdossiers. Wissing is niet van toepassing wanneer bewaring noodzakelijk is:

  • Voor naleving van een wettelijke verplichting op grond van het Unierecht of het lidstatelijke recht

  • Om redenen van algemeen belang op het gebied van de volksgezondheid op grond van artikel 9(2)(h) en (i)

  • Voor archiveringsdoeleinden in het algemeen belang, of voor wetenschappelijk of historisch onderzoek

  • Voor de instelling, uitoefening of onderbouwing van rechtsvorderingen

In de praktijk vallen de meeste klinische dossiers onder ten minste één van deze uitzonderingen. Nationale wetgeving in de lidstaten van de Europese Unie en het VK legt wettelijke minimale bewaartermijnen op voor medische dossiers, doorgaans tussen acht en dertig jaar afhankelijk van het type dossier en de jurisdictie, wat een wettelijke verplichting vormt op grond van artikel 17(3)(a). De richtlijnen van Secure Privacy voor functionarissen voor gegevensbescherming in de gezondheidszorg bevestigen dat wanneer een wettelijke bewaringsplicht van toepassing is, wissingverzoeken rechtmatig kunnen worden geweigerd.

De gecoördineerde handhavingsactie van de Europese Commissie voor gegevensbescherming (EDPB) van 2025 analyseerde echter reacties van 764 verwerkingsverantwoordelijken in heel Europa en ontdekte dat verwerkingsverantwoordelijken de uitzonderingen van artikel 17(3) vaak verkeerd toepasten door ze als automatisch van toepassing te beschouwen zonder individuele beoordelingen uit te voeren. Negen autoriteiten voor gegevensbescherming startten als gevolg daarvan formele handhavingsonderzoeken. De les voor klinisch administratief personeel is duidelijk: het afwijzen van een wissingverzoek vereist gedocumenteerde motivering, geen algemeen beleid.

Zelfs wanneer een verwijderingsverzoek rechtmatig wordt geweigerd, moet de organisatie nog steeds binnen één maand aan de patiënt reageren, de gronden voor weigering uitleggen en hen informeren over hun recht om een klacht in te dienen bij de relevante toezichthoudende autoriteit.

De vereiste voor een audittrail: wat moet worden geregistreerd wanneer een dossier wordt gewijzigd

Wanneer een klinische dossierinvoer wordt gecorrigeerd, geannoteerd of gemarkeerd als betwist, moet de organisatie een volledige audittrail bijhouden. Dit is zowel een AVG-verantwoordingsvereiste als een medisch-juridische noodzaak.

Een conforme audittrail voor een dossierwijziging moet het volgende vastleggen:

  • De identiteit van de persoon die de wijziging heeft aangebracht

  • De datum en tijd van de wijziging

  • De reden voor de wijziging

  • De inhoud van de oorspronkelijke invoer, volledig bewaard

  • De aard van de wijziging (addendum, correctie of betwistingsvlag)

Het toegangsbeleid voor huisartsenpraktijkdossiers dat is afgestemd op NHS-richtlijnen stelt expliciet: "Informatie kan uit de weergave worden verwijderd, maar de audittrail zal het dossier altijd compleet houden. Wijzigingen in dossiers kunnen worden aangebracht op voorwaarde dat de wijzigingen worden aangebracht op een manier die aangeeft waarom de wijziging is aangebracht, zodat duidelijk is dat er niet met dossiers is geknoeid."

Het overschrijven of verwijderen van oorspronkelijke invoer zonder spoor is een van de ernstigste nalevingsfouten die klinisch administratief personeel kan maken. Het creëert gelijktijdig AVG-risico (falen van verantwoording op grond van artikel 5(2)) en medisch-juridisch risico (mogelijk bewijs van manipulatie van dossiers in een onderzoek naar klinische nalatigheid of regelgeving). Audittrails moeten fraudebestendig zijn en moeten gedetailleerde informatie vastleggen voor elke interactie, inclusief gebruikersidentiteit, tijdstempel, IP-adres, apparaat-ID, gegevensclassificatie en uitgevoerde actie, zoals vereist door AVG-verantwoordingsprincipes en NHS-richtlijnen voor het beheer van gezondheidsdossiers.

Hoe professionele normen en regelgevende instanties interacteren met AVG-verplichtingen

De AVG stelt een ondergrens vast, geen bovengrens. Nationale medische raden, professionele toezichthouders en gezondheidszorginstanties leggen aanvullende verplichtingen op, en in de meeste gevallen versterken deze de AVG-benadering van dossierintegriteit in plaats van deze tegen te spreken.

In het VK vereisen zowel de General Medical Council (GMC) als de Nursing and Midwifery Council (NMC) dat zorgverleners duidelijke, nauwkeurige en tijdige dossiers bijhouden. NHS-richtlijnen voor dossierbeheer specificeren bewaartermijnen die de minimumperiode bepalen waarvoor verschillende typen dossiers moeten worden bewaard. Deze verplichtingen interacteren direct met artikel 17(3)(a): wanneer een wettelijke of regelgevende bewaarverplichting bestaat, biedt dit de rechtsgrondslag om een wissingverzoek te weigeren.

In de EU-lidstaten is het beeld vergelijkbaar maar variabel. Nationale wetgevingskaders in Zweden, het VK en Duitsland weerspiegelen grotendeels de AVG, terwijl ze verschillende aanvullende mechanismen bieden voor het beheren van fouten in medische dossiersystemen. De aankomende Europese Gezondheidsgegevensruimte (EHDS) zal naar verwachting het rectificatieproces binnen digitale gezondheidsdiensten positioneren, mogelijk met in-systeem patiëntinput, hoewel dit op het moment van schrijven nog toekomstgericht is.

Klinisch administratief personeel dat grensoverschrijdend werkt, of in organisaties die onderworpen zijn aan zowel de UK GDPR als de EU GDPR, moet zich ervan bewust zijn dat de regels van lidstaten strenger kunnen zijn dan de AVG-basislijn en moet jurisdictiespecifiek juridisch advies inwinnen wanneer het toepasselijke kader onduidelijk is.

Het juiste proces voor het afhandelen van een rectificatieverzoek stap voor stap

De volgende workflow weerspiegelt de vereisten van de artikelen 16 en 19 AVG, de reactietermijn van één maand en best practices voor klinisch dossierbeheer.

Stap 1: Ontvang en registreer het verzoek. Registreer de ontvangstdatum. De klok van één maand begint onmiddellijk, ongeacht hoe het verzoek is ingediend (brief, e-mail, online formulier of mondeling verzoek gevolgd door schriftelijke bevestiging).

Stap 2: Verifieer de identiteit van de patiënt. Verwerk het verzoek niet totdat de identiteit is bevestigd. Dit beschermt tegen ongeautoriseerde wijzigingen aan dossiers van derden.

Stap 3: Identificeer de specifieke gegevens in kwestie. Vraag de patiënt om precies aan te geven welke invoer of invoeren zij als onjuist of onvolledig beschouwen, en welke correctie zij wensen.

Stap 4: Raadpleeg de verantwoordelijke zorgverlener. Het NHS-conforme dossierbeleid is duidelijk: "Wanneer het geschil een medische invoer betreft, moet de zorgverlener die de invoer heeft gemaakt worden geraadpleegd en moet worden overwogen of het passend is om deze te wijzigen." Deze stap is niet optioneel.

Stap 5: Bepaal de passende actie. Op basis van de beoordeling van de zorgverlener en de aard van de gegevens:

  • Als de invoer een duidelijke feitelijke fout bevat (verkeerde datum, verkeerde naam): corrigeer deze en bewaar het origineel in de audittrail

  • Als de invoer een klinische mening is waar de zorgverlener achter staat: voeg een aanvullende notitie toe waarin de betwisting van de patiënt wordt geregistreerd zonder het origineel te wijzigen

  • Als de invoer daadwerkelijk onvolledig is: voeg een aanvullende verklaring toe

Stap 6: Werk het dossier conform bij. Bewaar de oorspronkelijke invoer, dateer en schrijf de wijziging duidelijk toe, en documenteer de reden voor de wijziging.

Stap 7: Informeer de patiënt over de uitkomst. Reageer binnen één kalendermaand na het oorspronkelijke verzoek. Als het verzoek geheel of gedeeltelijk wordt geweigerd, leg dan de gronden uit en informeer de patiënt over hun recht om een klacht in te dienen bij de toezichthoudende autoriteit.

Stap 8: Documenteer het besluitvormingsproces. Registreer wat is overwogen, wie is geraadpleegd, welke beslissing is genomen en waarom. Deze documentatie is het bewijs van naleving van de organisatie als de beslissing later wordt betwist.

Wat te doen wanneer u het niet eens bent met de versie van de patiënt

Een patiënt kan beweren dat een klinische invoer onjuist is terwijl de zorgverlener die de invoer heeft gemaakt achter de nauwkeurigheid ervan staat. Dit is een van de meest voorkomende en meest misverstane scenario's in klinisch dossierbeheer.

De AVG vereist niet dat zorgverleners de voorkeursversie van een patiënt als feit accepteren. De richtlijnen van de Ierse Data Protection Commission zijn expliciet dat noch het recht op rectificatie noch het recht op wissing gemakkelijk van toepassing is op medische meningen, diagnoses en klinische behandelnotities, juist omdat deze professionele oordelen vertegenwoordigen in plaats van objectieve feiten.

De AVG-conforme reactie in een scenario met een betwiste klinische invoer is om een notitie aan het dossier toe te voegen die aangeeft dat de patiënt de invoer betwist, terwijl de oorspronkelijke documentatie van de zorgverlener intact blijft. Deze benadering:

  • Behoudt de integriteit van het oorspronkelijke klinische dossier

  • Erkent het recht van de patiënt om hun standpunt te laten registreren

  • Creëert een transparante audittrail die aantoont dat het geschil is afgehandeld

  • Vereist niet dat de organisatie tussen concurrerende verslagen oordeelt

De reactietermijn van één maand is nog steeds van toepassing. De patiënt moet worden geïnformeerd over de uitkomst, inclusief het feit dat de oorspronkelijke invoer is behouden, en over hun recht om te escaleren naar de toezichthoudende autoriteit als zij ontevreden blijven.

Meldingen aan derden: moet u iemand anders over de wijziging informeren?

Artikel 19 van de AVG vereist dat verwerkingsverantwoordelijken elke derde partij aan wie de gegevens zijn verstrekt op de hoogte stellen van een rectificatie of wissing, tenzij dit onmogelijk is of onevenredige inspanning vergt. Wanneer melding aan derden heeft plaatsgevonden, moet de verwerkingsverantwoordelijke de betrokkene ook op verzoek informeren over die ontvangers.

In een klinische context heeft deze verplichting directe operationele implicaties. Als het dossier van een patiënt is gewijzigd en dat dossier eerder is gedeeld met een tweedelijnszorgverlener na een verwijzing, een specialist die een verwijsbrief heeft ontvangen, een verzekeraar of werkgever (wanneer de patiënt toestemming heeft gegeven voor openbaarmaking), of een sociaal zorgteam, dan moet elk van deze ontvangers in principe op de hoogte worden gesteld van de wijziging. In de praktijk vereist dit dat klinisch administratief personeel duidelijke dossiers bijhoudt van wie welke informatie heeft ontvangen en wanneer.

De uitzondering voor onevenredige inspanning biedt enige verlichting wanneer melding daadwerkelijk onpraktisch is, bijvoorbeeld wanneer gegevens vele jaren geleden met meerdere partijen zijn gedeeld en contactgegevens niet langer beschikbaar zijn. Deze uitzondering vereist echter gedocumenteerde rechtvaardiging. Deze kan niet standaard worden ingeroepen.

Veelgemaakte fouten van klinisch administratief personeel bij het afhandelen van deze verzoeken

De handhavingsbevindingen van de EDPB van 2025 identificeerden systematische tekortkomingen bij verwerkingsverantwoordelijken in de manier waarop wissingrechten worden afgehandeld. In de context van klinische dossiers omvatten de meest voorkomende nalevingsfouten:

  • Het missen van de termijn van één maand. De klok begint op de datum van ontvangst, niet op de datum waarop het verzoek formeel wordt geregistreerd of toegewezen. Vertragingen in interne routering zijn geen geldige reden voor een late reactie.

  • Het overschrijven van oorspronkelijke invoer. Het vervangen van een oorspronkelijke invoer zonder deze in een audittrail te bewaren is zowel een AVG-verantwoordingsfout als een potentiële medisch-juridische aansprakelijkheid.

  • Het niet documenteren van het besluitvormingsproces. Besluiten om een dossier niet te wijzigen, of om een addendum toe te voegen in plaats van een correctie, vereisen gedocumenteerde motivering. Een ongedocumenteerde beslissing is een onverdedigbare beslissing.

  • Alle verwijderingsverzoeken als automatisch geldig behandelen. Het accepteren van wissingverzoeken zonder te beoordelen of een uitzondering van toepassing is, met name de wettelijke bewaringsuitzondering, stelt de organisatie bloot aan het risico dossiers te vernietigen die zij wettelijk verplicht is te bewaren.

  • Alle verwijderingsverzoeken als automatisch ongeldig behandelen. De EDPB identificeerde het reflexmatig weigeren van alle wissingverzoeken zonder individuele beoordeling als een veelvoorkomende en sanctioneerbare tekortkoming.

  • Niet escaleren naar de functionaris voor gegevensbescherming (FG). Complexe verzoeken, geschillen over gevoelige gegevens, of gevallen waarin de rechtsgrondslag voor bewaring daadwerkelijk onduidelijk is, moeten naar de FG gaan in plaats van op administratief niveau te worden opgelost.

Wanneer te escaleren: uw FG, uw juridisch team en uw toezichthouder

Niet elk rectificatie- of wissingverzoek kan of moet op klinisch administratief niveau worden opgelost. De volgende scenario's rechtvaardigen escalatie naar de FG, het juridisch team of in sommige gevallen de toezichthoudende autoriteit:

  • Verzoeken met betrekking tot minderjarigen. De wisselwerking tussen ouderlijke rechten, Gillick-competentie (in VK-jurisdicties) en de eigen gegevensrechten van het kind vereist juridische input.

  • Dossiers die grensoverschrijdend worden gedeeld. Wanneer gegevens zijn overgedragen aan verwerkers of ontvangers in andere jurisdicties, kunnen de toepasselijke bewaar- en verwijderingsregels verschillen.

  • Echte onzekerheid over de rechtsgrondslag voor bewaring. Als het niet duidelijk is of een wettelijke bewaarverplichting van toepassing is, of dat een uitzondering op grond van algemeen belang van toepassing is, is dit een juridische vraag, geen administratieve.

  • Verzoeken die lijken te betrekken op een mogelijke juridische claim. Wanneer er enige aanwijzing is dat de patiënt juridische procedures overweegt of heeft gestart, heeft het dossier potentiële bewijswaarde en vereist elke wijziging juridisch advies.

  • Herhaalde of escalerende geschillen. Als een patiënt al een klacht heeft ingediend bij de toezichthoudende autoriteit, of heeft aangegeven dat van plan te zijn, moet de FG worden betrokken.

Op grond van artikel 37 AVG zijn de meeste EU-zorgorganisaties die op grote schaal gezondheidsgegevens verwerken verplicht een functionaris voor gegevensbescherming aan te wijzen. De richtlijnen van Secure Privacy voor de gezondheidszorg bevestigen dat er processen moeten zijn voor patiënten om alle rechten van betrokkenen uit te oefenen, en dat de rol van de FG het adviseren over verzoeken omvat die in strijd zijn met wettelijke verplichtingen. Klinisch administratief personeel moet weten wie hun FG is, hoe ze contact kunnen opnemen en welke drempel een verwijzing activeert, voordat een complex verzoek arriveert, niet erna.

Veelgestelde vragen

▶ Hebben patiënten het recht om hun klinische dossiers te corrigeren op grond van de AVG?

Ja, maar met belangrijke beperkingen. Artikel 16 van de Algemene Verordening Gegevensbescherming geeft patiënten het recht om onjuiste persoonsgegevens te laten corrigeren. Voor eenvoudige feitelijke fouten (een verkeerde geboortedatum of een verkeerd gespelde naam) is correctie relatief ongecompliceerd. Voor klinische invoer zoals diagnoses, risicobeoordelingen of behandelnotities is het concept van onjuistheid complexer. Het professionele oordeel van een zorgverlener is niet hetzelfde als een objectief feit, en de Ierse Data Protection Commission bevestigt dat het recht op rectificatie niet gemakkelijk van toepassing is op medische meningen en klinische behandelnotities.

▶ Kan een patiënt verwijdering van hun medische dossiers verzoeken op grond van de AVG?

Patiënten kunnen een verwijderingsverzoek indienen op grond van artikel 17 van de AVG, maar dit recht is niet absoluut in een gezondheidszorgomgeving. De meeste klinische dossiers vallen onder ten minste één van de uitzonderingen van artikel 17(3), waaronder naleving van een wettelijke verplichting, algemeen belang op het gebied van de volksgezondheid, of de instelling of verdediging van rechtsvorderingen. Nationale wetgeving in EU-lidstaten en het VK stelt wettelijke minimale bewaartermijnen vast voor medische dossiers, doorgaans tussen acht en dertig jaar, wat een wettelijke verplichting vormt die organisaties in staat stelt wissingverzoeken rechtmatig te weigeren. Weigering vereist echter gedocumenteerde individuele motivering, geen algemeen beleid.

▶ Wat is de juiste manier om een klinisch dossier te wijzigen wanneer een patiënt een invoer betwist?

De juiste benadering is om een addendum of annotatie aan het dossier toe te voegen, niet om de oorspronkelijke invoer te overschrijven of te verwijderen. Als een patiënt een klinische mening betwist waar de verantwoordelijke zorgverlener achter staat, moet een aanvullende notitie worden toegevoegd waarin de betwisting van de patiënt wordt geregistreerd, terwijl de oorspronkelijke documentatie intact blijft. Als de invoer een echte feitelijke fout bevat, moet deze worden gecorrigeerd met het origineel bewaard in de audittrail. Het Information Commissioner's Office bevestigt dat wanneer een diagnose later onjuist blijkt te zijn, het dossier zowel de oorspronkelijke diagnose als de definitieve bevindingen moet tonen.

▶ Wat moet een audittrail bevatten wanneer een klinisch dossier wordt gewijzigd?

Een conforme audittrail moet de identiteit vastleggen van de persoon die de wijziging heeft aangebracht, de datum en tijd van de wijziging, de reden voor de wijziging, de volledige inhoud van de oorspronkelijke invoer en de aard van de wijziging. NHS-richtlijnen zijn expliciet dat informatie uit de weergave kan worden verwijderd, maar de audittrail moet het dossier altijd compleet houden. Het overschrijven van oorspronkelijke invoer zonder spoor creëert zowel een AVG-verantwoordingsfout op grond van artikel 5(2) als een medisch-juridisch risico, inclusief mogelijk bewijs van manipulatie van dossiers in een onderzoek naar klinische nalatigheid.

▶ Hoeveel tijd heeft een zorgorganisatie om te reageren op een rectificatie- of wissingverzoek?

Zowel het recht op rectificatie op grond van artikel 16 als het recht op wissing op grond van artikel 17 hebben een reactietermijn van één kalendermaand. De klok begint op de datum waarop het verzoek wordt ontvangen, niet op de datum waarop het formeel wordt geregistreerd of intern wordt toegewezen. Als het verzoek geheel of gedeeltelijk wordt geweigerd, moet de organisatie nog steeds binnen die maand reageren, de gronden voor weigering uitleggen en de patiënt informeren over hun recht om een klacht in te dienen bij de relevante toezichthoudende autoriteit.

▶ Vereist de AVG dat zorgverleners de versie van een patiënt als feit accepteren?

Nee. De AVG vereist niet dat zorgverleners de voorkeursversie van een patiënt als feit accepteren. De Ierse Data Protection Commission is expliciet dat het recht op rectificatie niet gemakkelijk van toepassing is op medische meningen, diagnoses en klinische behandelnotities, omdat deze professionele oordelen vertegenwoordigen in plaats van objectieve feiten. Wanneer een zorgverlener achter hun oorspronkelijke invoer staat, is de AVG-conforme reactie om een notitie toe te voegen waarin wordt geregistreerd dat de patiënt de invoer betwist, terwijl de oorspronkelijke documentatie intact blijft. De patiënt moet vervolgens worden geïnformeerd over de uitkomst en over hun recht om te escaleren naar de toezichthoudende autoriteit.

▶ Activeert het wijzigen van een klinisch dossier een plicht om derden op de hoogte te stellen?

Ja. Artikel 19 van de AVG vereist dat verwerkingsverantwoordelijken elke derde partij aan wie de gegevens zijn verstrekt op de hoogte stellen van een rectificatie of wissing, tenzij dit onmogelijk is of onevenredige inspanning vergt. In een klinische context kan dit tweedelijnszorgverleners omvatten die een verwijzing hebben ontvangen, specialisten die een verwijsbrief hebben ontvangen, of sociale zorgteams. Klinisch administratief personeel moet duidelijke dossiers bijhouden van wie welke informatie heeft ontvangen en wanneer. De uitzondering voor onevenredige inspanning kan van toepassing zijn wanneer melding daadwerkelijk onpraktisch is, maar dit vereist gedocumenteerde rechtvaardiging en kan niet standaard worden gebruikt.

▶ Wat zijn de meest voorkomende fouten bij het afhandelen van rectificatie- en wissingverzoeken van patiënten?

De gecoördineerde handhavingsbevindingen van de Europese Commissie voor gegevensbescherming van 2025 identificeerden verschillende terugkerende tekortkomingen. Deze omvatten het missen van de reactietermijn van één maand, het overschrijven van oorspronkelijke invoer zonder deze in een audittrail te bewaren, het niet documenteren van de motivering achter beslissingen, het behandelen van alle verwijderingsverzoeken als automatisch geldig, en het behandelen van alle verwijderingsverzoeken als automatisch ongeldig zonder individuele beoordeling. De EDPB ontdekte dat negen autoriteiten voor gegevensbescherming formele handhavingsonderzoeken startten als gevolg van verwerkingsverantwoordelijken die de uitzonderingen van artikel 17(3) verkeerd toepasten zonder deugdelijke individuele beoordeling.

▶ Wanneer moet klinisch administratief personeel een rectificatie- of wissingverzoek escaleren naar de functionaris voor gegevensbescherming?

Verschillende scenario's rechtvaardigen escalatie in plaats van oplossing op administratief niveau. Deze omvatten verzoeken met betrekking tot minderjarigen, waarbij ouderlijke rechten en de eigen gegevensrechten van het kind elkaar kruisen. Dossiers die grensoverschrijdend worden gedeeld, waarbij verschillende bewaringsregels van toepassing kunnen zijn. Gevallen waarin er echte onzekerheid bestaat over de rechtsgrondslag voor bewaring. Verzoeken die mogelijk betrekking hebben op een mogelijke juridische claim, waarbij het dossier bewijswaarde heeft. En situaties waarin de patiënt al een klacht heeft ingediend bij de toezichthoudende autoriteit of heeft aangegeven dat van plan te zijn. Op grond van artikel 37 van de AVG zijn de meeste EU-zorgorganisaties die op grote schaal gezondheidsgegevens verwerken verplicht een functionaris voor gegevensbescherming aan te wijzen, en klinisch administratief personeel moet weten wie de hunne is voordat een complex verzoek arriveert.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.