Skip to content
Nieuws calendar_today Bijgewerkt: 6 april 2026 schedule 5 min leestijd

Dokter Krijgt Boete voor Online Registratieformulier

Een arts kreeg een boete van de toezichthouder omdat zijn online registratieformulier medische gegevens verzamelde zonder adequate beveiliging of geldige toestemming. Wat ging er mis en wat kun je hiervan leren?

summarize Kernpunten
  • check_circle Medische gegevens zijn bijzondere persoonsgegevens onder de GDPR en vereisen extra bescherming
  • check_circle Een standaard contactformulier op je website is niet geschikt voor het verzamelen van gezondheidsgegevens
  • check_circle Je hebt een geldige rechtsgrond nodig, en bij gezondheidsgegevens zijn de eisen strenger
  • check_circle Beveiliging van online formulieren is je eigen verantwoordelijkheid, ook als je een externe tool gebruikt

Wat is er gebeurd?

Een huisarts in Belgie bood op zijn website een online registratieformulier aan waarmee nieuwe patienten zich konden inschrijven. Het formulier vroeg om naam, adres, geboortedatum en contactgegevens, maar ook om medische voorgeschiedenis, huidige medicatie en allergieën.

Het probleem? Het formulier werd aangeboden via een standaard websiteformulier zonder adequate beveiliging. De gegevens werden onversleuteld verstuurd en opgeslagen. Er was geen duidelijke privacyverklaring gekoppeld aan het formulier. En er werd geen uitdrukkelijke toestemming gevraagd voor het verwerken van de gezondheidsgegevens.

De toezichthouder ontdekte de situatie na een klacht van een patient en legde een boete op.

Waarom is dit zo problematisch?

Bijzondere persoonsgegevens

Gezondheidsgegevens vallen onder de GDPR (in Nederland ook wel AVG genoemd) in de categorie “bijzondere persoonsgegevens”. Artikel 9 verbiedt de verwerking van deze gegevens, tenzij er een specifieke uitzondering van toepassing is. Voor een arts is die uitzondering er, in het kader van de behandelrelatie, maar dan moet aan alle beveiligingseisen worden voldaan.

Een online formulier dat gezondheidsgegevens verzamelt zonder adequate beveiliging schendt meerdere GDPR-principes tegelijk:

  • Integriteit en vertrouwelijkheid (Artikel 5(1)(f)), de gegevens waren niet adequaat beveiligd
  • Transparantie (Artikel 5(1)(a)), de patient was niet goed geinformeerd over de verwerking
  • Beveiliging (Artikel 32), er waren geen passende technische maatregelen getroffen

Het ging niet om de hoeveelheid gegevens

Het ging niet om een groot datalek met duizenden dossiers. Het ging om de manier waarop gevoelige gegevens werden verzameld: via een onbeveiligd formulier, zonder toestemming, zonder transparantie. De toezichthouder benadrukte dat juist de gevoeligheid van de gegevens hogere eisen stelt aan de beveiliging.

De lessen

1. Ken je gegevens

Weet welke gegevens je verzamelt via je website. Een contactformulier met naam en e-mailadres is iets anders dan een formulier dat vraagt naar medische klachten of allergieën. Zodra je gezondheidsgegevens of andere bijzondere categorieen verzamelt, gelden er strengere regels.

2. Beveilig je formulieren

Elk online formulier dat persoonsgegevens verzamelt, moet minimaal:

  • Op een website met TLS (https) staan
  • Gegevens versleuteld opslaan
  • Toegangscontrole hebben op de opgeslagen gegevens
  • Geen gegevens via onbeveiligde e-mail doorsturen

Bij gevoelige gegevens gelden extra eisen: versleutelde opslag, beperkte toegang, en bij voorkeur een beveiligd patientenportaal in plaats van een open webformulier.

3. Informeer en vraag toestemming

Koppel een privacyverklaring aan je formulier. Leg uit:

  • Welke gegevens je verzamelt en waarom
  • Hoe lang je de gegevens bewaart
  • Met wie je de gegevens deelt
  • Hoe de betrokkene zijn rechten kan uitoefenen

Bij bijzondere persoonsgegevens heb je in veel gevallen uitdrukkelijke toestemming nodig. Een vooraf aangevinkt vakje volstaat niet.

4. Gebruik de juiste tools

Een standaard contactformulier-plugin is niet ontworpen voor het verzamelen van medische gegevens. Overweeg:

  • Een beveiligd patientenportaal
  • Een formulierentool die voldoet aan de GDPR-eisen voor gevoelige gegevens
  • Een formulier dat gegevens lokaal versleutelt voordat het wordt verstuurd

Controleer ook waar de gegevens terechtkomen. Worden ze opgeslagen bij een externe partij? In welk land? Heb je een verwerkersovereenkomst?

Niet alleen voor artsen

Deze zaak ging over een arts, maar de les geldt voor iedereen die gevoelige gegevens verzamelt via online formulieren:

  • Fysiotherapeuten en psychologen die intakeformulieren online aanbieden
  • Sportscholen die gezondheidsverklaringen via hun website laten invullen
  • HR-afdelingen die medische informatie vragen bij sollicitaties
  • Coaches en therapeuten die anamneseformulieren online hebben
  • Verzekeraars die gezondheidsverklaringen digitaal afhandelen

De boodschap is helder: als je gevoelige gegevens verzamelt via je website, zorg dan dat de beveiliging en transparantie op orde zijn.

Controleer je eigen formulieren

Neem je website eens kritisch onder de loep. Welke formulieren heb je? Welke gegevens verzamel je? Waar worden die opgeslagen? Is de verbinding beveiligd? Heb je een privacyverklaring? Dit zijn vragen die je vandaag nog kunt beantwoorden.

auto_awesome Verzamel je gevoelige gegevens via formulieren?

GDPRWise scant je website en detecteert automatisch welke persoonsgegevens je verzamelt via formulieren, cookies en derde partijen. Inclusief advies op maat.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.