Spring naar inhoud
Compliance8 min9 mei 2026

AVG-checklist: AI-telefonie in 7 stappen rechtsgeldig inrichten

Als zorgpraktijk een AI-telefoonassistent inzetten? Hier is uw juridisch-veilige checklist — van DPIA tot disclosure-tekst, met praktische templates en valkuilen die u écht moet vermijden.

Een AI-telefoonassistent verwerkt patiëntgegevens. Dat valt onder de AVG én onder de specifieke wetgeving voor zorginformatie. Veel praktijken kopen een “voice-bot” zonder de compliance-vragen scherp te krijgen — om er later achter te komen dat ze geen DPIA hebben, geen verwerkersovereenkomst, en data in een US-cloud. Dit artikel loopt u langs 7 concrete stappen.

Stap 1 — Rechtsgrondslag bepalen

Voor zorgcontacten geldt vrijwel altijd uitvoering van de behandelovereenkomst (Art. 6 lid 1b AVG). Voor bijzonder-persoonsgegevens (gezondheid) geldt aanvullend Art. 9 lid 2h: noodzakelijk voor gezondheidsdoeleinden met beroepsgeheim-plicht. Marketing-uitingen (zoals een terugbel-CTA op uw website) hebben een aparte grondslag nodig — meestal toestemming.

Praktisch

  • Documenteer per dataverwerking welke grondslag van toepassing is.
  • Houd grondslagen apart voor zorg-, factuur- en marketing-data.

Stap 2 — DPIA uitvoeren (vóór go-live)

Een Data Protection Impact Assessment is verplicht omdat het hier gaat om grootschalige, geautomatiseerde verwerking van bijzondere persoonsgegevens. De AP-richtlijn (2019) noemt zorg-toepassingen expliciet. Een goede DPIA omvat:

  1. Verwerkingsdoel + grondslag
  2. Datacategorieën + bron
  3. Bewaartermijnen + verwijderprocedure
  4. Sub-processors + landen
  5. Beveiligingsmaatregelen (versleuteling, toegang, audit-trail)
  6. Risico-inschatting + mitigerende maatregelen
  7. Verantwoordelijke + datum + handtekening

PraktijkBot heeft een DPIA-template + ingevulde voorbeeld-DPIA voor uw configuratie beschikbaar.

Stap 3 — Verwerkersovereenkomst sluiten

De AI-leverancier is een verwerker (Art. 28 AVG). U moet schriftelijk vastleggen:

  • Welke gegevens worden verwerkt en met welk doel.
  • Welke beveiligingsmaatregelen de verwerker neemt.
  • Welke sub-processors gebruikt worden (en u toestemming geeft).
  • Hoe data na contract-einde wordt verwijderd of teruggegeven.
  • Aansprakelijkheid en boete-clausules.

Onze standaard-verwerkersovereenkomst ligt klaar voor ondertekening en is gereviewd door een gespecialiseerde AVG-jurist.

Stap 4 — Transparantie + disclosure

Onder Art. 13 AVG én Art. 50 van de EU AI Act moet u patiënten informeren dat ze met een AI praten. PraktijkBot opent elke call met:

“Goedemorgen, u spreekt met de AI-assistent van [praktijknaam]. Waarmee kan ik u helpen?”

Dit dekt zowel AVG-transparantie als AI Act-transparantie. Op uw website moet daarnaast een paragraaf staan over uw gebruik van AI in de patiëntcommunicatie — typisch in uw privacyverklaring.

Stap 5 — Data-residency + sub-processors

Patiëntdata mag de EU verlaten, maar alleen onder strikte voorwaarden (Standard Contractual Clauses + aanvullende maatregelen na Schrems II). Voor zorgcontext is praktisch advies: hou alle data binnen de EU. PraktijkBot draait op AWS Frankfurt (eu-central-1) met backups in Sweden (eu-north-1). Alle sub-processors:

  • Twilio Ireland — telefonie-routing
  • AWS Frankfurt — applicatie + database
  • Anthropic EU — LLM-inference (geen training op uw data)
  • Sentry EU — error tracking
  • BetterStack EU — uptime monitoring

Volledige sub-processor-lijst op de trust-pagina en in uw verwerkersovereenkomst.

Stap 6 — Retentie + audit-trail

Onder NEN 7510 en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz):

  • Medisch dossier: 20 jaar (Wgbo). Dit is uw verantwoordelijkheid, niet die van PraktijkBot.
  • Telefoongesprek-transcripts: 7 jaar voor fiscale/audit-doeleinden. Geanonimiseerd indien mogelijk.
  • Audio-opnames: PraktijkBot bewaart standaard geen ruwe audio na transcriptie. Configureerbaar voor uw quality-review-flow.
  • Audit-trail: elke data-access (wie keek wanneer naar wat) wordt 7 jaar bewaard — verplicht onder NEN 7510 + EU AI Act.

Stap 7 — Patiënt-rechten faciliteren

Patiënten hebben recht op:

  • Inzage (Art. 15) — wat hebben jullie over mij?
  • Rectificatie (Art. 16) — corrigeer mijn gegevens.
  • Verwijdering (Art. 17) — wis mijn data.
  • Bezwaar (Art. 21) — stop deze verwerking.
  • Dataportabiliteit (Art. 20) — geef mijn data in machine-leesbaar formaat.

PraktijkBot heeft een ingebouwd subject-access-request endpoint dat binnen 24u een complete export van een patiënt-dossier kan genereren (transcripts, audit-trail, metadata).

Veelvoorkomende valkuilen

  • Generieke voice-bots (Vapi, Retell, Bland) zijn meestal US-based en hebben geen NEN 7510 of EU AI Act conformiteit ingebouwd. Niet inzetbaar in de zorg zonder forse retrofit.
  • Geen schriftelijke DPIA = boete-risico bij audit. De DPIA hoeft niet uitvoerig te zijn, maar moet bestaan.
  • Disclosure ontbreekt bij “sale”-bots — patiënt weet niet dat hij met AI praat. AI Act-overtreding.
  • Audio-opnames per default opslaan — vaak niet nodig, wel een retentie-probleem.

In het kort

Een rechtsgeldige AI-telefoonassistent in de zorg vraagt: grondslag helder, DPIA klaar, verwerkersovereenkomst getekend, transparantie ingebouwd, data in EU, retentie geregeld, patiëntrechten gefaciliteerd. PraktijkBot levert alle bouwstenen out-of-the-box — niet omdat het mooi staat in marketing, maar omdat we begonnen met het compliance-fundament en pas daarna de voice-AI erop bouwden.

Klaar om PraktijkBot te testen?

14 dagen gratis, geen creditcard, opzegbaar per maand.

Start Gratis

Lees ook

Compliance

EU AI Act voor de zorg: wat betekent dit voor uw praktijk?

11 min lezen

Compliance

SMS-bevestiging in de zorg — NEN 7510 + AVG slim aanpakken

7 min lezen

Bedrijfsvoering

AI-telefonie vs. extra receptie-FTE — eerlijke vergelijking

8 min lezen

Case-study

Hoe tandartspraktijken 41% no-shows weghalen

6 min lezen

Terug naar alle resources
AVG-checklist: AI-telefonie in 7 stappen rechtsgeldig inrichten — PraktijkBot — PraktijkBot