Mag een arts of zorgverlener ChatGPT gebruiken voor patiëntgegevens? Het korte antwoord: nee, niet in de standaardversie. Wie gegevens van een patiënt in de gratis of consumentenversie van ChatGPT typt, raakt het medisch beroepsgeheim en de AVG. Met een zakelijke versie met verwerkersovereenkomst of een oplossing binnen de eigen omgeving kan AI wel ondersteunen, mits de instelling een helder beleid heeft en de zorgverlener verantwoordelijk blijft. Dit artikel legt uit wat wel en niet mag, en hoe u uw praktijk of instelling compliant inricht.
Wat zegt de wet?
Het medisch beroepsgeheim is een van de stevigste geheimhoudingsplichten in het Nederlandse recht. Het is verankerd in de Wet op de geneeskundige behandelingsovereenkomst (Wgbo, art. 7:457 BW) en in de Wet BIG (art. 88). Een zorgverlener mag gegevens over een patiënt niet met derden delen zonder grondslag of toestemming. Die plicht geldt ook voor medewerkers en blijft gelden na afloop van de behandelrelatie.
Gezondheidsgegevens zijn bovendien bijzondere persoonsgegevens onder de AVG (art. 9). Daarvoor geldt een verzwaard regime: verwerking is in beginsel verboden, tenzij een specifieke uitzondering van toepassing is. Wanneer u patiëntgegevens invoert in een AI-systeem, is dat een verwerking. Bij publieke AI-modellen zoals de gratis ChatGPT komt die data terecht op servers buiten de EU, en standaard wordt de invoer gebruikt voor modeltraining tenzij dit expliciet is uitgezet. Voor een zorgverlener is dat een dubbele schending: van het beroepsgeheim en van de AVG.
De Inspectie Gezondheidszorg en Jeugd (IGJ) houdt toezicht op de kwaliteit en veiligheid van zorg, inclusief de inzet van technologie. En de zorgverlener blijft eindverantwoordelijk: AI mag ondersteunen, maar het medisch oordeel en de toetsing van de uitkomst blijven mensenwerk. Een AI-samenvatting die ongetoetst in het dossier belandt is een risico.
De KNMG-lijn
De KNMG is helder in haar praktijkdilemma over AI en in de richtlijn Omgaan met medische gegevens: deel nooit persoonsgegevens of patiëntgegevens met ChatGPT. Ook als u aangeeft dat uw invoer niet voor training mag worden gebruikt, sluit dat niet uit dat gegevens op de verkeerde plek belanden, met een datalek én een schending van het beroepsgeheim als gevolg.
De KNMG maakt een bruikbaar onderscheid. Een algemene, niet-herleidbare taak mag: bijvoorbeeld een algemene patiëntenfolder in begrijpelijke taal samenvatten. Een herleidbare taak mag niet: een patiëntbrief of dossier samenvatten waarin de patiënt te identificeren is. En of u ChatGPT überhaupt mag gebruiken, hangt eerst af van het beleid van uw zorginstelling. Volg altijd het actuele beleid van uw organisatie.
Voor de GGZ en psychologen ligt de lat zo mogelijk nog hoger. Gegevens over psychische gezondheid zijn extra gevoelig. Psychologen vallen daarnaast onder de beroepscode van het NIP, en de GZ-psycholoog onder de Wet BIG.
Drie risiconiveaus voor AI-tools
Niet alle AI-tools zijn gelijk. Voor een praktijk of zorginstelling zijn er drie praktische niveaus, oplopend van risicovol naar acceptabel.
Niveau 1: publieke consumenten-AIChatGPT Free of Plus, Gemini gratis, Claude.ai gratis. Niet inzetten voor patiëntgegevens. Geen verwerkersovereenkomst, data buiten de EU, modeltraining op uw invoer standaard ingeschakeld. Acceptabel voor anonieme, niet-herleidbare taken: een algemene voorlichtingstekst, een conceptmail zonder patiëntgegevens.
Niveau 2: zakelijke AI met verwerkersovereenkomstChatGPT Enterprise, Microsoft Copilot for Business of Azure OpenAI in een EU-regio. Hier is een verwerkersovereenkomst beschikbaar, training op uw invoer staat uit en data wordt versleuteld. Acceptabel voor een deel van het werk, mits de instelling expliciet vastlegt welke gegevens wel en niet ingevoerd mogen worden en een verwerkersovereenkomst sluit. Let op de hosting-locatie en op de Amerikaanse Cloud Act, die ondanks contractuele afspraken toegang door autoriteiten kan afdwingen.
Niveau 3: AI binnen de eigen of EU-gehoste omgevingEen oplossing die binnen het EPD of de eigen omgeving draait, een Europese private LLM (zoals Mistral) of een gecertificeerde zorg-AI waarbij data de instelling niet verlaat. Voor patiëntgebonden werk de meest verantwoorde optie. Hogere kosten en complexiteit, maar volledige controle over wat met de data gebeurt.
Een AI-beleid voor uw praktijk of instelling
Grote instellingen hebben vaak al AI- en informatiebeveiligingsbeleid. Voor kleine praktijken is een schriftelijk AI-beleid geen harde wettelijke plicht, maar het is bij een IGJ-bezoek, een klacht of een datalek het eerste document dat wordt opgevraagd. Vijf stappen volstaan voor een werkend basiskader.
Inventariseer
Welke AI-tools zijn al in gebruik? Vraag het na bij iedereen, niet alleen bij IT. ChatGPT, Microsoft Copilot, AI-functies binnen het EPD of de praktijksoftware, transcriptie- en samenvattingstools. Schaduw-AI wordt vaak onderschat.
Classificeer per tool
Welk risiconiveau (zie hierboven)? Welke data mag erin, welke nooit? Leg per tool een korte 'wel toegestaan / nooit toegestaan'-lijst vast.
Schrijf een eenvoudig beleid
Twee tot drie pagina's: doel, scope, toegestane tools, verboden invoer (patiëntgegevens, BSN, dossierinhoud), verantwoordelijkheden en incidentmelding. Betrek de functionaris gegevensbescherming (FG) en laat het ondertekenen.
Borg AI-geletterdheid
Sinds 2 februari 2025 verplicht artikel 4 van de AI Act dat iedereen die met AI werkt voldoende kennis heeft. Voor de zorg betekent dit een korte training over AI-basis, beperkingen, hallucinaties en de specifieke risico's bij beroepsgeheim en bijzondere persoonsgegevens. Documenteer wie wanneer is opgeleid.
Monitor en evalueer
Plan elke zes maanden een review. Welke nieuwe tools zijn er? Zijn er incidenten geweest? Klopt het beleid nog?
Is AI in de zorg hoog-risico onder de AI Act?
Dat hangt af van de functie van het systeem, niet van de sector. AI die als medisch hulpmiddel wordt ingezet (diagnostiek, triage, beslissingsondersteuning) is vaak hoog-risico via Bijlage I van de AI Act, in samenhang met de MDR of IVDR. Daarover leest u meer in AI in de zorg en de AI Act: van diagnostiek tot triage.
Maar een zorgverlener die ChatGPT inzet voor administratieve ondersteuning gebruikt geen medisch hulpmiddel. Dat gebruik is doorgaans geen hoog-risico. Dan raken eerst drie andere onderdelen: AI-geletterdheid (Art. 4, al verplicht), transparantie bij AI-gegenereerde content of een chatbot (Art. 50, juridisch vanaf 2 augustus 2026; via het Digital Omnibus-voorstel naar verwachting verschoven naar eind 2026) en vooral het AVG-kader voor bijzondere persoonsgegevens.
Een AI-register voor uw praktijk
Een intern AI-register is voor kleine praktijken niet wettelijk verplicht, maar bewijst zowel richting de IGJ als onder de AVG en de AI Act dat u zorgvuldig handelt. Per AI-systeem legt u vast: naam en leverancier, doel binnen de praktijk, welke data wel of niet ingevoerd mag worden, het risiconiveau, de verantwoordelijke en de datum van de laatste review. Een eenvoudige spreadsheet volstaat voor een kleine praktijk; bij meer AI-tools wordt een centraal register praktischer.
Wat moet u nu doen?
Drie acties voor deze week. Verbied formeel de invoer van patiëntgegevens in publieke ChatGPT (een interne mededeling volstaat) en check het beleid van uw instelling. Plan een AI-geletterdheidssessie voor het team. En pas de KNMG-vuistregel toe: algemene, niet-herleidbare taken mogen, herleidbare patiëntinformatie nooit.
Voor wie het structureel wil aanpakken: AIComplianceHub bouwt een AI-register, AI-beleid en e-learning specifiek voor het Nederlandse MKB, inclusief zorgpraktijken. De gratis Risicoscanner geeft u in vijf minuten een eerste beeld.
Veelgestelde vragen
Mag ik ChatGPT gebruiken voor een verwijsbrief of ontslagbrief?
Niet met patiëntgegevens in de publieke ChatGPT. Met een zakelijke versie met verwerkersovereenkomst en uitgeschakelde training, binnen het beleid van uw instelling en altijd met menselijke controle, kan AI ondersteunen bij concepten. Anonimiseer waar mogelijk en laat herleidbare gegevens weg.
Welke AI is veilig in de zorg?
Geen tool is per definitie veilig. Het hangt af van wat u erin stopt en welke afspraken er liggen. Een EU-gehoste oplossing of AI binnen het EPD, met verwerkersovereenkomst en uitgeschakelde modeltraining, is veiliger dan publieke ChatGPT. Maar ook dan blijft menselijke controle vereist, en volgt u het beleid van uw instelling.
Is een AI-beleid verplicht voor zorgaanbieders?
Voor kleine praktijken niet als losse harde plicht. De IGJ en de AVG verwachten wel aantoonbaar zorgvuldig handelen, en grote instellingen hebben vaak al beleid. Bij een incident of klacht is het AI-beleid het eerste document dat wordt opgevraagd.
Telt zorg-AI als hoog-risico onder de AI Act?
Dat volgt uit de functie van het systeem, niet uit de sector. Diagnostische of triage-AI die als medisch hulpmiddel werkt, is vaak hoog-risico (Bijlage I, met de MDR of IVDR). Administratief ChatGPT-gebruik door een zorgverlener is dat doorgaans niet.
Wat is AI-geletterdheid voor zorgverleners?
Een korte training over hoe AI werkt, wat de beperkingen zijn (zoals hallucinaties) en welke risico's gelden voor het beroepsgeheim en bijzondere persoonsgegevens. Documenteer wie wanneer is opgeleid. Dit is verplicht sinds 2 februari 2025.