De zorg digitaliseert in hoog tempo. Elektronische patiëntendossiers (epd’s), gegevensuitwisseling in regionale netwerken, patiëntportalen, persoonlijke gezondheidsomgevingen (PGO’s) en een groeiend ecosysteem van zorgapps en datadiensten beloven betere toegankelijkheid, efficiëntie en gepersonaliseerde zorg. Tegelijkertijd gaat het in de zorg vrijwel altijd om bijzondere persoonsgegevens (gezondheidsgegevens) en daarmee om een van de meest risicovolle datadomeinen. Voor zorgaanbieders, leveranciers en samenwerkingsverbanden betekent dit: innovatie is alleen houdbaar als privacy, informatiebeveiliging en data-governance aantoonbaar op orde zijn.

De kern van de problematiek is de voortdurende spanning tussen noodzakelijk delen (goede, veilige en continu beschikbare zorg) en strikt beschermen (vertrouwelijkheid, doelbinding, minimale gegevensverwerking en professionele geheimhouding). In de dagelijkse praktijk spelen vragen rond grondslagen en uitzonderingen voor gezondheidsgegevens, (impliciete) toestemming versus wettelijke plichten, toegang door medewerkers en ketenpartners, logging en autorisatie, bewaartermijnen, secundair gebruik (kwaliteit, onderzoek, AI-training) en regie van de patiënt. De Autoriteit Persoonsgegevens benadrukt dat de AVG én specifieke zorgwetgeving aanvullende eisen stellen aan het verwerken en delen van gezondheidsgegevens, juist om het vertrouwen in de zorg te borgen.

De wet- en regelgevingscontext is gelaagd. Centraal staat de AVG (met nationale uitwerking), aangevuld door zorgspecifieke kaders zoals de WGBO (dossier en geheimhouding) en regels over elektronische verwerking en uitwisseling. Daarbovenop verschuift de praktijk door nieuwe verplichtingen voor digitale uitwisseling: sinds 1 juli 2023 geldt de Wet elektronische gegevensuitwisseling in de zorg (Wegiz), waarmee aangewezen gegevensuitwisselingen stapsgewijs verplicht elektronisch moeten plaatsvinden (met als eerste verplichting o.a. e-voorschrijven).

Ook Europees worden de contouren scherper. De European Health Data Space (EHDS) is vastgelegd in Verordening (EU) 2025/327 en beoogt zowel beter primair gebruik (zorg) als een kader voor secundair gebruik (onderzoek, innovatie, beleid), met stevige randvoorwaarden voor toegang, interoperabiliteit en governance. Daarnaast groeit de druk op cyberweerbaarheid: Nederland werkt aan de Cyberbeveiligingswet ter implementatie van NIS2, wat voor (delen van) de zorgsector extra zorgplichten en incidentrapportage-eisen kan betekenen.

Dit dossier helpt professionals in Nederland grip te krijgen op die samenloop van privacy, security en digitalisering: van contractering en leveranciersmanagement tot DPIA’s, datadeling in netwerken, cloud- en AI-toepassingen, en het “privacy-by-design” in zorgprocessen.