Naar inhoud
lightbulb Welkom op de nieuwe kennisbank | We hebben de docs volledig vernieuwd met meer dan 160 features. Bekijk wat nieuw isarrow_forward

AVG en Workspace in de zorg

Hoe de AVG van toepassing is op Google Workspace in zorginstellingen: verwerkersovereenkomst, DPIA, DLP, datalocatie en bewaartermijnen voor bijzondere persoonsgegevens.

schedule6 min lezen event1 Jun 2026 updateBijgewerkt 16 wkn open_in_new data_object

AVG en gezondheidsgegevens: de basisprincipes

De AVG kent een speciale categorie voor gezondheidsgegevens. Artikel 9 AVG verbiedt in principe de verwerking van gegevens over iemands gezondheid, tenzij een van de uitzonderingen van toepassing is. Voor zorginstellingen zijn de meest relevante uitzonderingen:

  • Artikel 9 lid 2 sub b: verwerking noodzakelijk voor de uitvoering van verplichtingen op het gebied van arbeidsrecht en sociale zekerheid.
  • Artikel 9 lid 2 sub c: bescherming van vitale belangen wanneer de betrokkene fysiek niet in staat is toestemming te geven.
  • Artikel 9 lid 2 sub h: verwerking noodzakelijk voor medische diagnose, het verstrekken van zorg of behandeling, of het beheer van gezondheidszorgstelsels.

Toestemming (sub a) is in de zorg bewust niet de standaardgrondslag, omdat toestemming in een afhankelijkheidsrelatie nooit volledig vrij kan zijn.

info

Wie is verantwoordelijk?

Een zorginstelling die Google Workspace inzet, is verwerkingsverantwoordelijke. Google is verwerker. De verantwoordelijkheid voor correct gebruik blijft bij de zorginstelling liggen.

De verwerkersovereenkomst in detail

De verwerkersovereenkomst met Google moet minimaal bevatten wat artikel 28 AVG vereist. Google biedt deze aan als Data Processing Addendum (DPA), die je in de Admin Console accepteert. Let in je vastlegging op de volgende onderdelen:

  • Onderwerp en duur van de verwerking: beschrijf welke diensten (Gmail, Drive, Meet, Agenda) worden gebruikt en voor welke doeleinden.
  • Aard en doel van de verwerking: communicatie, samenwerking en opslag van administratieve documenten.
  • Type persoonsgegevens: namen, contactgegevens en in sommige gevallen indirecte gezondheidsgegevens via e-mailcorrespondentie.
  • Categorieën van betrokkenen: medewerkers en in bepaalde gevallen patiënten die via Workspace communiceren.
  • Subverwerkers: Google gebruikt subverwerkers voor infrastructuur en onderhoud. De actuele lijst staat op workspace.google.com/terms/subprocessors/.
lightbulb

Leg je eigen invulling vast

De DPA dekt de juridische basis, maar niet hoe jouw organisatie Workspace concreet inzet. Documenteer per dienst welke gegevens je verwerkt en met welke grondslag, zodat je dit kunt tonen bij een audit of een verzoek van een betrokkene.

DPIA verplicht voor hoog-risicoverwerkingen

Een Data Protection Impact Assessment (DPIA) is verplicht als je bijzondere persoonsgegevens op grote schaal verwerkt of als je personen systematisch monitort. In de zorg is dit al snel het geval.

Voer een DPIA uit als je:

  • Workspace gebruikt voor communicatie over patiëntdiagnoses.
  • Drive inzet als opslaglocatie voor ontslagbrieven of behandelplannen.
  • Meet gebruikt voor teleconsultaties waarbij medische informatie wordt gedeeld.

De DPIA brengt de verwerkingsrisico's in kaart en beschrijft welke maatregelen je neemt om die te beperken. Betrek je Privacy Officer en de Functionaris voor Gegevensbescherming (FG) bij dit proces.

DPIA uitvoeren voor Workspace in de zorg

  1. Beschrijf de verwerking: welke dienst, welke gegevens, welk doel.
  2. Beoordeel de noodzakelijkheid en proportionaliteit van de verwerking.
  3. Identificeer de risico's: onbevoegde toegang, datalekken en een ontbrekend auditspoor.
  4. Beschrijf de maatregelen: tweestapsverificatie, DLP-beleid en toegangslogging.
  5. Raadpleeg de FG of Privacy Officer en leg hun advies vast.
  6. Leg de DPIA vast en beoordeel deze jaarlijks opnieuw.
  7. Blijft er een residueel hoog risico bestaan? Vraag dan een voorafgaande raadpleging aan bij de Autoriteit Persoonsgegevens (artikel 36 AVG).

DLP-beleid instellen voor medische context

Data Loss Prevention (DLP) in Workspace bewaakt uitgaande en interne communicatie op gevoelige inhoud. Stel regels in die reageren op patronen die op medische gegevens wijzen.

Ga naar Admin Console > Beveiliging > Toegang tot en gegevensbeheer > Gegevensbescherming en maak regels voor:

  • BSN-nummers (patroon: negen cijfers met de elfproef als validatie).
  • Patiëntnummers uit je EPD (aangepast patroon).
  • Diagnosecodes (bijvoorbeeld ICD-10-patroonherkenning).

Stel de actie in op blokkeren en op melden aan de Privacy Officer bij externe verzending van dergelijke gegevens.

warning

DLP-detectoren testen voor je live gaat

Een te brede DLP-regel blokkeert legitieme zorgcommunicatie en frustreert behandelaars. Test elke regel eerst in de audit- of waarschuwingsmodus, controleer de meldingen en zet de regel pas op blokkeren als de fout-positieven aanvaardbaar zijn.

Datalocatie en internationale doorgifte

Voor zorginstellingen is het van belang dat data in de EU blijft. Stel in Admin Console > Account > Gegevensregio's (Data regions) de regio in op de Europese Unie. Sinds 2025 vallen ook de Gemini-functies in Workspace onder de regionalisatie, en de regeling dekt zowel data in rust als de verwerking voor de meeste kerndiensten.

Internationale doorgiftes buiten de EU vereisen een geldige grondslag: een adequaatheidsbesluit, standaardcontractbepalingen (SCC's) of bindende bedrijfsregels. Google heeft de EU SCC's in de DPA opgenomen.

warning

Let op bij grensoverschrijdende consultaties

Houd je video-consultaties via Meet met patiënten of zorgverleners buiten de EU? Dan kan er sprake zijn van internationale doorgifte. Beoordeel zo'n situatie per geval en leg de gekozen grondslag vast.

Bewaartermijnen in de zorg

De WGBO schrijft voor dat medische dossiers minimaal 20 jaar bewaard worden. Sinds de wetswijziging van 1 januari 2020 gaat die termijn in vanaf de laatste wijziging in het dossier, niet vanaf het laatste contact. Voor andere zorgadministratie gelden afwijkende termijnen. Stel in Google Vault bewaarbeleidsregels in die hieraan voldoen.

Maak onderscheid tussen:

  • Medische correspondentie: minimaal 20 jaar bewaren (WGBO).
  • HR-gerelateerde communicatie: volg de arbeidsrechtelijke termijnen.
  • Financiële administratie: minimaal 7 jaar (fiscale bewaarplicht).

Rechten van betrokkenen

Patiënten en medewerkers hebben rechten onder de AVG: inzage, rectificatie, verwijdering, beperking en overdraagbaarheid. Workspace biedt technische mogelijkheden om aan deze verzoeken te voldoen:

  • Inzage: gebruik Google Takeout of Vault om een export te maken van alle data die aan een persoon is gekoppeld.
  • Verwijdering: verwijder accounts en bijbehorende data via de Admin Console. Houd er rekening mee dat Vault-bewaarbeleidsregels verwijdering kunnen blokkeren zolang de bewaartermijn loopt.
  • Overdraagbaarheid: Google Takeout exporteert data in gangbare formaten, zoals MBOX voor e-mail en JSON voor contacten.
Moet ik patiënten om toestemming vragen voor het gebruik van Workspace?

Niet voor interne administratie. Daarvoor gebruik je de grondslag uit artikel 9 lid 2 sub h. Voor medewerkers is toestemming evenmin nodig als het gebruik van Workspace onder de arbeidsovereenkomst valt.

Wat is het verschil tussen de FG en de Privacy Officer?

De FG (Functionaris voor Gegevensbescherming) is een wettelijk verplichte rol bij zorginstellingen die op grote schaal bijzondere persoonsgegevens verwerken. De Privacy Officer is een algemenere, niet-wettelijke functie. Grote zorginstellingen hebben vaak beide.

Mag ik een BSN opslaan in Google Drive?

Het BSN is een wettelijk beschermd nummer. Alleen instanties die het wettelijk mogen verwerken, zoals zorgverleners voor declaraties, mogen het opslaan. Zorg dan voor strikt toegangsbeleid en DLP-detectie op het BSN-patroon.

Hoe vaak moet ik de DPIA herzien?

Bij elke significante verandering in de verwerking of het systeem, en daarnaast minimaal jaarlijks. Beoordeel dan of de beschreven risico's en maatregelen nog actueel zijn.

Blijft mijn data echt binnen de EU?

Met de regio-instelling op de Europese Unie blijven data in rust en de verwerking voor de meeste kerndiensten binnen Europese datacenters. Sinds 2026 is hiervoor ook een onafhankelijke attestatie beschikbaar voor klanten met Assured Controls. Controleer wel of alle door jou gebruikte diensten onder de regeling vallen.

Is een verwerkersovereenkomst voldoende om compliant te zijn?

Nee. De verwerkersovereenkomst legt de juridische verhouding met Google vast, maar jouw eigen grondslagen, DPIA, DLP-beleid, bewaartermijnen en toegangsbeheer bepalen of het feitelijke gebruik aan de AVG voldoet.

Verwant in de kennisbank

Pagina's die je verder helpen bij dit onderwerp.

Google Workspace in de zorgsector

Een praktische introductie voor zorginstellingen die Google Workspace willen inzetten binnen de kaders van de AVG en NEN7510.

schedule6 min label3 gedeelde tags
Lees verder arrow_forward

Privacy by design implementeren in Google Workspace

Implementeer privacy by design in Google Workspace met dataclassificatie, DLP-beleid, retentie via Vault, strakke toegangscontrole en een AVG-verwerkingsregister.

schedule6 min label3 gedeelde tags
Lees verder arrow_forward

Leerlingprivacy en AVG in Google Workspace for Education

Bescherm leerlingdata en voldoe aan de AVG met Google Workspace for Education: verwerkersovereenkomst, kerndiensten, organisatie-eenheden en dataregio's.

schedule6 min label2 gedeelde tags
Lees verder arrow_forward

Drive-labels instellen en gebruiken voor documentbeheer

Drive-labels zijn metadata-etiketten waarmee je documenten classificeert, bijvoorbeeld als Vertrouwelijk of per afdeling, en waaraan je beleid zoals DLP en bewaarregels kunt koppelen.

schedule5 min label2 gedeelde tags
Lees verder arrow_forward

E-mails zoeken en exporteren via Google Vault

Voor een onderzoek, rechtszaak of AVG-inzageverzoek moet je gericht e-mail kunnen vinden en exporteren. Leer hoe je dit doet met Google Vault, van zaak tot veilige export.

schedule5 min label2 gedeelde tags
Lees verder arrow_forward