Zijn tandartsdossiers bijzondere persoonsgegevens onder de AVG?

Ja. Patiëntgegevens inclusief anamnese, behandelingsverslagen, röntgenfoto's en medicatiegegevens zijn gezondheidsgegevens — bijzondere categorieën persoonsgegevens in de zin van artikel 9 AVG/GDPR. Ze vragen om extra bescherming.

Hoe lang moet ik patiëntdossiers bewaren als tandarts?

In België geldt voor medische dossiers een minimale bewaartermijn van 30 jaar na de laatste behandeling. Voor minderjarige patiënten tot hun 48ste verjaardag. Raadpleeg de RIZIV-richtlijnen voor uw specifieke situatie.

Ben ik verplicht een datalek te melden bij de GBA?

Ja. Als er een inbreuk is op de beveiliging van persoonsgegevens (bijv. hackaanval, verloren laptop, brand in het archief), moet u dit binnen 72 uur melden bij de GBA. Als de inbreuk hoge risico's inhoudt voor patiënten, informeert u ook de patiënten zelf.

AVG & Privacy

GDPR voor tandartsen in België

3 april 2026

GDPR voor tandartsen in België

Tandartsen verwerken bijzondere categorieën persoonsgegevens — gezondheidsgegevens — en zijn daardoor onderhevig aan de strengste AVG/GDPR-regels. De GBA hanteert voor zorgverleners hogere verwachtingen dan voor gewone KMO's.

Dit artikel behandelt de praktische verplichtingen voor een Belgische tandartspraktijk.

Patiëntgegevens als bijzondere categorie

Alles wat u over een patiënt bijhoudt is potentieel gezondheidsdata: anamnese, behandelingsverslagen, röntgenopnames, medicatie-informatie, allergieën. Dit zijn bijzondere categorieën persoonsgegevens in de zin van artikel 9 AVG.

Extra verplichtingen voor bijzondere categorieën:

Uitdrukkelijke toestemming vóór verwerking (of een andere geldige rechtsgrond, zoals uitvoering van een zorgovereenkomst)
Verwerkingsregister bijhouden
Passende technische en organisatorische beveiligingsmaatregelen
Strikte toegangsbeperking: alleen bevoegd personeel

Het e-health platform en Belpic

Belgische zorgverleners gebruiken het e-health platform voor elektronisch voorschrijven, raadpleging van patiëntendossiers en communicatie met mutualiteiten. Dit platform valt onder het toezicht van het eHealth-agentschap en de GBA.

Uw verplichtingen bij gebruik van e-health:

Gebruik uitsluitend aangemelde en erkende softwarepakketten
Zorg voor beveiligde toegang (tweefactorauthenticatie via eID of Itsme)
Beperk toegang tot patiëntendossiers tot behandelende zorgverleners
Documenteer wie toegang heeft en waarom

Bewaartermijnen

Belgische richtlijnen voor medische dossiers:

| Type | Minimale bewaartermijn | |---|---| | Medisch dossier volwassene | 30 jaar na laatste behandeling | | Medisch dossier minderjarige | Tot 18 jaar + 30 jaar (tot 48ste verjaardag) | | Boekhoudkundige gegevens | 7 jaar (fiscale verplichting) | | Toestemmingsdocumenten | Duur van de bewaring van het dossier |

Na afloop van de bewaartermijn moeten dossiers op veilige wijze worden vernietigd.

Meldingsplicht bij datalekken

Een datalek is elke inbreuk op de beveiliging die leidt tot — of kan leiden tot — verlies, ongeoorloofde toegang of openbaarmaking van persoonsgegevens.

Voorbeelden in een tandartspraktijk:

Hackaanval op uw praktijksoftware
Gestolen of verloren laptop met patiëntgegevens
Brand of waterschade die papieren dossiers vernietigt
E-mail met patiëntgegevens naar verkeerde ontvanger gestuurd

Procedure:

Constateer het lek en documenteer de feiten
Beoordeel de ernst: hoeveel patiënten, wat voor data, welk risico?
Meld binnen 72 uur bij de GBA via meldingsformulier op gegevensbeschermingsautoriteit.be
Bij hoog risico voor patiënten: informeer de betrokkenen ook rechtstreeks

Website van uw tandartspraktijk

Uw praktijkwebsite verwerkt persoonsgegevens zodra u een contactformulier of online afsprakensysteem heeft.

Verplicht:

Privacyverklaring bereikbaar via de footer: beschrijft de gegevensverwerking voor patiëntcontact en afspraken
Cookiebanner als u analytics (Google Analytics) gebruikt — patiënten-IP-adressen zijn persoonsgegevens
Ondernemingsnummer (KBO) zichtbaar in de footer — wettelijk verplicht voor alle Belgische bedrijven
Veilig contactformulier via HTTPS

Verwerkersregister

Elke Belgische praktijk met meer dan 250 medewerkers is verplicht een verwerkingsregister bij te houden. Voor kleinere praktijken is het niet formeel verplicht, maar wel sterk aanbevolen als de verwerking risico's inhoudt — wat bij gezondheidsgegevens altijd het geval is.

Het register beschrijft: welke gegevens u verwerkt, waarvoor, door wie, hoe lang, en welke beveiligingsmaatregelen u neemt.

Praktische checklist voor tandartsen

| Punt | Vereist? | |---|---| | Privacyverklaring voor patiënten | Ja | | Verwerkersovereenkomst met praktijksoftware | Ja | | Beveiligde toegang tot patiëntendossiers | Ja | | Bewaartermijnen gedocumenteerd | Ja | | Datalek-procedure aanwezig | Ja | | Verwerkingsregister | Aanbevolen | | Privacyverklaring op website | Ja | | Cookiebanner op website | Ja | | Ondernemingsnummer in footer | Ja |

Controleer uw praktijkwebsite gratis

Scan uw website gratis →

Bronnen

Dit is technische analyse, geen juridisch advies. Raadpleeg een juridisch adviseur of de GBA voor uw specifieke situatie.

Check je website nu

Scan je website op AVG & Privacy-problemen en 30+ andere checks.

Scan je website gratis

Website-handleidingen

Cookiebanner België: GBA boetes en regels voor uw website

Wat de GBA vereist voor uw cookiebanner. Dark patterns, Alles weigeren knop, GBA-boetes. De Mediahuis-zaak uitgelegd. Gratis check voor uw website.

GDPR verplichtingen KMO België: complete website checklist 2026

Praktische AVG/GDPR checklist voor Belgische KMO's. Wat moet u wettelijk vermelden op uw website? Welke boetes riskeert u? Gratis scan inbegrepen.

GDPR website check België: scan uw website gratis

Gratis GDPR/AVG website check voor Belgische bedrijven. Onze scanner test uw cookiebanner, privacyverklaring, beveiliging en meer. Resultaat in 60 seconden.