Het inzetten van een spraak-AI-agent in een artsenpraktijk roept in elk eerste gesprek tussen leverancier en arts dezelfde vraag op: AVG-conformiteit. De zorgsector is een van de zwaarst gereguleerde in Europa — gevoelige gezondheidsgegevens, specifieke hostingvereisten, verplichte DPIA en nu de EU AI Act. Zo past Vocalis AI in dit kader.
AVG Artikel 9: de grens van gevoelige gegevens
De Algemene Verordening Gegevensbescherming (AVG, 2016/679) classificeert gezondheidsgegevens als bijzondere categorie in artikel 9. Hun verwerking is in principe verboden, behoudens gereglementeerde uitzonderingen — waaronder zorgverlening (artikel 9.2.h). Maar niet elk patiëntgerelateerd gegeven is automatisch een gezondheidsgegeven: de administratieve reden van een afspraak (consult, controle) niet, een spontaan genoemd symptoom wel.
Vocalis AI is geconfigureerd om actief het verzamelen van gevoelige gezondheidsgegevens via de telefoon te vermijden. De agent vraagt niet naar de gedetailleerde klinische reden — alleen naar de administratieve context. Wanneer de patiënt een symptoom noemt, verwijst de agent door naar de arts zonder klinische informatie op te slaan. Deze dataminimalisatiediscipline is de hoeksteen van compliance.
Hosting van zorgdata
Als de praktijk gesprekken opneemt en deze gezondheidsgegevens kunnen bevatten, moet de hosting specifiek gecertificeerd zijn. In Nederland: NEN 7510 + ISO 27001 aanbevolen voor zorgdata, te verifiëren met uw FG. In België: certificering volgens KCE-richtlijnen voor cloudhosting in de zorg. In Frankrijk: HDS-certificering verplicht.
In de praktijk is het antwoord niet binair:
- Puur administratieve gegevensstromen → een EU ISO 27001-host met versleuteling kan voldoende zijn, na FG- en DPIA-validatie
- Gespreksopnames → als inhoud zorgdata kan onthullen, gecertificeerde hosting aanbevolen
- AI-transcripties en logs → als ze zorgdata bevatten, gecertificeerde hosting vereist
Vocalis AI beveelt aan om hosting-conformiteit met de FG van de praktijk te verifiëren vóór uitrol. Deze beslissing wordt gedocumenteerd in de DPIA.
DPIA: de verplichte impactbeoordeling
De Autoriteit Persoonsgegevens (AP, NL) en de Gegevensbeschermingsautoriteit (GBA, BE) eisen een Data Protection Impact Assessment (DPIA) voor elke verwerking met hoog risico voor betrokkenen — waaronder grootschalige verwerking van gezondheidsgegevens (AVG artikel 35).
De DPIA moet beschrijven:
- De verwerking: doelen, gegevenstype, bewaartermijn
- Noodzaak en proportionaliteit: waarom spraak-AI in plaats van eenvoudige voicemail
- Risico's: ongeautoriseerde toegang, datalek, AI-bias, technische storing
- Mitigerende maatregelen: versleuteling, toegangscontrole, logging, verwerkersovereenkomst
De FG van de praktijk voert de DPIA uit met technische ondersteuning van de leverancier. Vocalis AI levert een sectorspecifieke DPIA-template.
EU AI Act: het zorg-AI-kader in 2026
De Europese AI-verordening (AI Act, 2024/1689) is sinds augustus 2024 stapsgewijs van toepassing. Een spraak-AI-agent in patiëntdialoog wordt geclassificeerd als beperkt risico (artikel 50) — geen medisch hulpmiddel (CE-markering niet vereist voor afspraakreservering), maar transparantieplichten gelden.
- Patiëntinformatie: de agent moet bij gespreksbegin aankondigen dat het AI betreft. Vocalis AI doet dit systematisch.
- Technische documentatie: de leverancier (Vocalis AI) voert documentatie conform AI Act artikel 11.
- Bias-evaluatie: voor zorg-AI-agenten moet bias-evaluatie gedocumenteerd zijn.
- Recht op menselijke overdracht: de patiënt kan op elk moment menselijke overdracht vragen.
Let op: evolueert de spraak-AI naar medische triage of klinische beslissingsondersteuning, dan verandert de classificatie. Het wordt dan potentieel een medisch hulpmiddel (MDR 2017/745). Vocalis AI blijft bewust binnen administratieve taken.
Bewaartermijn: een kritiek punt
- Audio-opnames: maximaal 6 maanden
- Geanonimiseerde teksttranscripties: 12 maanden voor serviceverbetering
- Metadata (datum, duur, nummer): 3 jaar voor administratieve traceerbaarheid
- Afspraakgegevens: afgestemd op patiëntdossier van de praktijk
Vocalis AI maakt bewaartermijnconfiguratie per praktijk mogelijk.
Patiëntrechten: toegang en wissing operationaliseren
De AVG geeft patiënten afdwingbare rechten: inzage (artikel 15), rectificatie (16), wissing (17), overdraagbaarheid (20), bezwaar (21).
- Inzagerecht: patiënt kan kopie van opnames + transcripties opvragen. Bij Vocalis AI binnen 30 dagen.
- Recht op wissing: verwijdering op verzoek, onder voorbehoud van wettelijke verplichtingen.
- Recht van bezwaar: patiënt kan AI-verwerking weigeren. Directe lijn naar menselijke receptie blijft dan beschikbaar.
- Voorafgaande informatie: vermelding op website, in wachtkamer en bij gespreksbegin.
"AVG-conformiteit in de zorg is geen vinkje maar een doorlopend proces. Een goed geconfigureerde spraak-AI-agent is conformer dan een traditionele voicemail zonder bewaarbeleid." — Synthese AP/GBA-posities 2024 over zorg-AI
Technische beveiliging: minimumstandaarden
- Versleuteling in transit: TLS 1.3 minimum
- Versleuteling in rust: AES-256
- Multifactor-authenticatie voor beheerderstoegang
- Logging: traceerbare toegangslogs, 6 maanden bewaren, audit trail voor FG
- Penetratietests: jaarlijkse pentest door onafhankelijke derde
- Versleutelde backups: geteste restore, RPO < 24u, RTO < 4u
- EU-lokalisatie: geen datatransfer buiten de Europese Unie
En als een incident optreedt?
AVG artikel 33 vereist melding van een datalek aan de AP binnen 72 uur. De verwerkersovereenkomst voorziet:
- Onmiddellijke melding Vocalis AI → praktijk (FG)
- Incidentrapport binnen 24u
- Ondersteuning bij melding aan AP/GBA
- Gedocumenteerde post-mortem, corrigerende maatregelen, DPIA-update
Conclusie: conformiteit = trio praktijk + leverancier + FG
- De praktijk blijft verwerkingsverantwoordelijke. Definieert doelen, valideert DPIA, informeert patiënten.
- De leverancier (Vocalis AI) is verwerker. Levert technische beveiliging, documentatie, DPIA-ondersteuning.
- De FG arbitreert, documenteert, communiceert met AP/GBA indien nodig.
Zonder dit trio blijft compliance theoretisch. Met dit trio wordt de spraak-AI-agent in artsenpraktijk een volwassen, veilig en conform instrument — ten dienste van betere administratieve patiëntenzorg, zonder ooit de zorgdaad zelf te raken.
Verder lezen: 24/7-afspraken en no-shows, configuratie per specialisme, en het algemene kader op Home en de pillar inkomende oproepen.