Beroepsgeheim en de GDPR. Wat zorgverleners écht moeten weten.

In de zorg Speelt vertrouwen een grote rol. Dat vertrouwen begint met een belofte : wat in vertrouwen gedeeld wordt, blijft in vertrouwen.

Maar wat gebeurt er als die belofte botst met de regels van de GDPR? Waar stopt het beroepsgeheim, en waar begint gegevensbescherming? En wanneer mag je, als het al mag, wél spreken?

In deze blog delen we hoe het Belgische beroepsgeheim zich verhoudt tot de GDPR, en wat zorgverleners moeten weten over het omgaan met persoonsgegevens.

Wat is het beroepsgeheim?

Het beroepsgeheim is geen formaliteit of traditie. Integendeel, het is de juridische basis van vertrouwelijkheid in de zorg. Verankerd in het Belgische strafrecht, geldt het beroepsgeheim voor iedereen die door zijn of haar functie toegang heeft tot persoonlijke geheimen: van artsen en verpleegkundigen tot psychologen, apothekers en zelfs administratief personeel in een medische context.

En dat gaat verder dan wat een patiënt vertelt. Alles wat je ziet, hoort, noteert of afleidt tijdens de zorgverlening valt onder het beroepsgeheim..

Belangrijk: het beroepsgeheim stopt niet bij het overlijden van de patiënt. Het blijft gelden, ook na archivering of het einde van de behandeling. Dat onderscheidt het van de GDPR, die niet langer van toepassing is op overleden personen.

Hoe verhoudt de GDPR zich tot het beroepsgeheim?

Op het eerste gezicht lijken ze op elkaar: beide willen gevoelige persoonsgegevens beschermen.

Maar ze zijn niet uitwisselbaar.

De GDPR is een Europese verordening die van toepassing is op álle persoonsgegevens; medisch, financieel, gedragsgerelateerd of anderszins, en dat in elke sector. Ze gaat over hoe data verzameld, gebruikt, bewaard en gedeeld wordt. Ze geldt voor publieke én private organisaties en legt regels op over transparantie, doelspecificatie en dataminimalisatie.

Het beroepsgeheim is nauwer in scope, maar strenger in plicht. Het bindt individuen, niet organisaties. En het draait niet om compliance, maar om zwijgen, tenzij de wet expliciet het tegenovergestelde toelaat.

Waar de GDPR ruimte biedt voor verwerking op basis van toestemming of legitiem belang, is het beroepsgeheim onwrikbaar. Ben je gebonden? Dan zwijg je. Tenzij de wet zegt dat je mag spreken.

En daar begint de nuance.

Moet je altijd zwijgen?

Meestal: ja.

Maar er zijn wettelijke uitzonderingen. De Belgische wet voorziet specifieke situaties waarin het beroepsgeheim doorbroken mag worden. Let op: het mág, maar het móét niet.

Je mag vertrouwelijke info delen als:

• Je moet getuigen in de rechtbank of voor een parlementaire commissie.
• Een specifieke wet het toelaat of oplegt (bijv. meldplicht kindermishandeling).
• De info gedeeld wordt met een andere zorgverlener die mee instaat voor de behandeling én ook gebonden is door het beroepsgeheim.
• De patiënt geïnformeerde toestemming heeft gegeven. Dat betekent: in klare taal uitleggen wat er gedeeld wordt, met wie, waarom, wat de risico’s zijn en dat de toestemming op elk moment ingetrokken kan worden.
• Er een zwaarwegend wettelijk belang is in het kader van algemeen belang.

Elke situatie vereist een zorgvuldige beoordeling. De gouden regel? Twijfel je: deel dan niet. Raadpleeg in dat geval juridische- of DPO-expertise.

Wat als je een fout maakt?

Zonder wettelijke basis vertrouwelijke info delen is een misdrijf in België. De recente hervorming van het Strafwetboek maakt dat nog duidelijker (artikel 352).

Geen eindeloze lijst beroepen meer. De wet spreekt nu van “iedereen die door zijn functie of beroep geheimen toevertrouwd krijgt.” De scope is dus ruimer, en de verantwoordelijkheid ook.

Er zijn vijf klassieke voorwaarden om van een schending te spreken:

1. De info is vertrouwelijk.
2. De persoon is identificeerbaar.
3. De mededeling gebeurde bewust (kwaad opzet is niet vereist).
4. Er is een derde partij in het spel (ook autoriteiten tellen mee).
5. Degene die deelt, was gebonden aan het beroepsgeheim.

De gevolgen? Die gaan van tuchtmaatregelen tot strafrechtelijke vervolging, boetes of zelfs gevangenisstraf, afhankelijk van de ernst en intentie.

Is GDPR-compliance dan niet voldoende?

Nee. En daar wringt vaak het schoentje.

Alle GDPR-checklistjes afgevinkt? Toestemmingsformulieren? Privacyverklaring op punt? Beveiligd platform? Prima. Maar je bent nog niet automatisch in orde met het beroepsgeheim.

Voorbeeld: een zorginstelling lanceert een nieuwe patiëntenapp. GDPR-proof. En toch… Als die app vertrouwelijke info laat stromen naar medewerkers die geen deel uitmaken van het zorgtraject, of erger: naar externe IT-leveranciers zonder geheimhoudingsplicht, kan je strafrechtelijk in de fout gaan. Ondanks GDPR-compliance.

De GDPR regelt verwerking. Het beroepsgeheim regelt het zwijgen. Ze vullen elkaar aan, maar zijn niet hetzelfde.

Wanneer mag je het beroepsgeheim doorbreken?

Het beroepsgeheim is sterk, maar niet absoluut. In uitzonderlijke gevallen mag – of soms moet – je informatie delen. Maar let op: de drempel ligt hoog. Delen mag alleen als:

• er een wettelijke of ethische rechtvaardiging is
• je enkel deelt wat strikt noodzakelijk is
• je alleen deelt met de juiste personen

De hoofdregels:

1. Getuigen in rechte
   Als je wettelijk verplicht wordt om te getuigen voor een rechtbank of parlementaire commissie. Let op: een vraag van politie of verzekeraar is géén geldige reden.
2. Wettelijke meldplicht
   Sommige wetten verplichten het delen van informatie, bv. arbeidsongevallen, of info voor het RIZIV.
3. Uitdrukkelijke toestemming patiënt
   De patiënt heeft steeds meer controle. Met vrije, geïnformeerde en schriftelijke toestemming mag je info delen, ook met derden.
4. Noodtoestand (nood breekt wet)
   Bij acuut gevaar voor leven of gezondheid van de patiënt of derden, en als delen de enige manier is om schade te vermijden. Laat dit bij voorkeur vooraf toetsen door collega’s of de Orde der Artsen.
5. Vermoeden van misbruik of geweld
   Als je redelijk vermoedt dat er sprake is van mishandeling, misbruik of verwaarlozing, zeker bij minderjarigen of kwetsbare volwassenen, mag, en soms moet, je dit melden bij het parket (artikel 458bis Strafwetboek).
6. Multidisciplinaire samenwerking
   Sinds 2023 mogen zorgverleners binnen erkende multidisciplinaire overlegstructuren informatie delen, bijv. bij intrafamiliaal geweld, kindermishandeling of terreurpreventie. Maar: enkel met relevante partijen en onder strikte voorwaarden.

Wat moeten zorginstellingen doen?

Het beroepsgeheim is noodzakelijk voor vertrouwen en juridische zekerheid. Met toenemende datastromen en ingewikkelde, technische systemen, stijgt ook het risico op onbedoelde schendingen.

Best practices:

• Toets interne datastromen aan én GDPR én beroepsgeheim.
• Leid álle medewerkers op (niet enkel zorgverleners) over toegang en delingsgrenzen.
• Integreer deze principes in je digitale systemen en data governance.
• Raadpleeg juristen of DPO’s voor je nieuwe tools of apps implementeert.