AVG-startpakket voor zorgaanbieders

Zorg is het meest gereguleerde domein onder de AVG. Naast AVG geldt WGBO (Boek 7 BW), Wabvpz, Wet kwaliteit klachten geschillen zorg (Wkkgz), en sector-specifieke regelingen. Kernzaken: (1) Patiëntdossier (WGBO Art. 7:454): minimaal 20 jaar bewaartermijn na laatste behandeling. Patiënt heeft inzage- en correctie-recht (Art. 7:456). (2) BSN: gebruik verplicht via Wabvpz, maar versleuteld bewaren. (3) LSP-aansluiting: opt-in by default. Patiënten kunnen via Volgjezorg.nl opt-out. (4) EHRs + EPDs (HiX, Epic, Chipsoft): DPA verplicht + DPIA (Art. 35 — hoge risico data). (5) Video-consult: alleen via certificeerd platform (Zaurus, Therapieland, Compaan met NEN 7510). Geen WhatsApp-Video, geen FaceTime. (6) Patiëntcommunicatie: e-mail naar patiënt = persoonsgegeven via onbeveiligd kanaal. Beveiligde portal of versleuteld bericht. (7) Datalek: bijna altijd hoog risico → Art. 34 patiëntinformatie + IGJ-melding parallel met AP. Bedrijfsarts: dossier strikt gescheiden van werkgever. Werkgever krijgt alleen "fit/unfit"-oordeel. Boetes 2023-2025: ziekenhuis HagaZiekenhuis 2019 (€460k voor onbevoegd inzien Barbie-dossier), recente boetes voor onveilige patient-data verzending.