Blogbericht

Kunnen patiëntengegevens worden gebruikt voor het trainen van AI?

Gepubliceerd op20/02/2026

Juridische en privacyaspecten in de gezondheidszorg

Key Takeaways

  • Het hergebruik van patiëntgegevens voor de training van een AI-model is mogelijk, maar vraagt een duidelijke juridische onderbouwing en zorgvuldige afweging van privacybelangen.
  • Traning van een AI-model kan als wetenschappelijk onderzoek worden beschouwd: de verenigbaarheid van de verwerking wordt verondersteld waardoor de compatibiliteitstoets niet moet worden uitgevoerd.
  • Focus op transparantie en zelfbeschikkingsrecht voor de patiënt: heldere communicatie over het beleid rond secundaire verwerking en de mogelijkheid tot opt-out versterkt de rechtmatigheid van de secundaire verwerking en het vertrouwen bij patiënten.

Secundaire verwerking in een ziekenhuis

In een ziekenhuis wordt er dagelijks een aanzienlijke hoeveelheid aan persoonsgegevens in het kader van patiëntenzorg verwerkt. Deze gegevens worden primair gebruikt voor het verstrekken van gezondheidszorg. Naast dit primaire gebruik bestaat er een groeiende behoefte aan secundair gebruik van deze gegevens voor doeleinden zoals (wetenschappelijk) onderzoek, kwaliteitsbewaking, beleidsevaluatie, onderwijs en bedrijfsvoering.

Het secundair gebruik van persoonsgegevens in de gezondheidszorg creëert belangrijke kansen voor medische vooruitgang en verbetering van de zorg. Tegelijkertijd brengt dit gebruik specifieke risico’s met zich mee voor de privacy van patiënten. De gegevens die binnen een ziekenhuis worden verzameld zijn voornamelijk bijzondere persoonsgegevens in de zin van art. 9 GDPR waarvoor een verhoogd beschermingsniveau geldt.

De maatschappelijke verwachtingen rondom het gebruik van gezondheidsgegevens zijn de afgelopen jaren sterk geëvolueerd. Er is steeds meer draagvlak voor het gebruiken van patiëntengegevens voor medische ontwikkeling en vooruitgang. Daarnaast zijn patiënten zich steeds meer bewust van hun privacyrechten en verwachten ze voldoende transparantie over het gebruik van hun gegevens. Dit vereist een evenwichtige benadering om zowel de belangen van het ziekenhuis als het belang van de patiënt te waarborgen.

Wetenschappelijk onderzoek

In de GDPR is het algemeen aanvaard dat het begrip ‘wetenschappelijk onderzoek’ ruim kan worden gedefinieerd. Het omvat technologische ontwikkeling, fundamenteel onderzoek en (het praktisch laten zien en testen van nieuwe kennis of technologie, om te bewijzen dat iets werkt in de praktijk). De vraag rijst of ook het trainen van een AI-model wetenschappelijk onderzoek betreft. Hierover bestaat discussie.  

Bij het bepalen van het wetenschappelijk karakter kan onder meer rekening worden gehouden met de volgende elementen:

  • wetenschappelijke methodologie;
  • meerwaarde voor de maatschappij;
  • gevolgen voor maatschappij en/of patiënten.

Overweging 61 van de EHDSR stelt hierover het volgende: “Onder activiteiten die verband houden met wetenschappelijk onderzoek vallen innovatieactiviteiten zoals het trainen van AI-algoritmen die kunnen worden gebruikt in de gezondheidszorg of bij de zorg voor natuurlijke personen, alsook de evaluatie en verdere ontwikkeling van bestaande algoritmen en producten voor dergelijke doeleinden”.  

Indien beslist wordt dat het trainen van een AI-model in een specifieke situatie wetenschappelijk onderzoek betreft, kan worden gesteund op de leer van de verenigbare verwerking. De verenigbaarheid van de verwerking van persoonsgegevens voor wetenschappelijk onderzoek wordt verondersteld (overweging 50 GDPR).

Aanvullend moet er ook een bijkomende uitzondering voorhanden zijn voor de verwerking van bijzondere categorieën van gegevens. Aangezien er werd vastgesteld dat het gaat om wetenschappelijk onderzoek zal de meest aangewezen uitzondering art. 9.2.j) GDPR zijn. De keuze voor deze rechtsgrond, dient men te voorzien in passende waarborgen in de zin van artikel 89, lid 1 GDPR. Welke waarborgen dit betreft, zal afhangen van de specifieke context van het project maar het dataminimalisatieprincipe staat centraal.

Verenigbare werking: compatibiliteitstoets

Indien er wordt geoordeeld dat het trainen van een AI-model in de specifieke situatie geen wetenschappelijk onderzoek betreft, dient men te kijken naar een andere rechtsgrond. Het is mogelijk dat er gesteund kan worden op de leer van de verenigbare verwerking. Deze stelt dat persoonsgegevens verder mogen worden verwerkt zonder dat men een nieuwe grondslag nodig heeft, mits het secundaire doeleinde verenigbaar is met het oorspronkelijke doeleinde. Hiervoor dient een compatibiliteitstoets te worden uitgevoerd.

In overeenstemming met art. 6.4 GDPR houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens primair zijn verzameld onder meer rekening met:

  1. ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
  2. het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
  3. de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
  4. de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
  5. het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.

Wanneer bovenstaande wordt toegepast op het voorbeeld van de training van een AI-model met kankergegevens opdat kankers in de toekomst vroegtijdig kunnen worden opgespoord:

  1. verband tussen doeleinden: de mate waarin er een logische verbinding bestaat tussen de oorspronkelijke doeleinden van de verzameling en het secundaire doel van de verwerking. Wat is de link tussen gezondheidszorg (primaire verwerking) en de training van een AI-model (secundaire verwerking)? In ons voorbeeld is er een duidelijke link tussen beide verwerkingen gezien kankergegevens, initieel verzameld in het kader van de zorgverstrekking, zullen gebruikt worden om in de toekomst kankers vroegtijdig op te sporen.
  2. context van gegevensverzameling: kunnen patiënten redelijkerwijs verwachten dat hun gegevens voor secundaire doeleinden gebruikt worden. De initiële informatieverstrekking is hier cruciaal in functie van de verwachtingen van de patiënt. Ligt het trainen van een AI-model in de redelijke verwachtingen van de patiënt en op welke manier is dit duidelijk? Via het privacybeleid of via een specifieke kennisgeving of infoschermen? In ons voorbeeld kan de kankerpatiënt bijvoorbeeld actief geïnformeerd worden over de ontwikkeling van het AI-model voor het vroegtijdig opsporen van kankers. De kennisgeving draagt bij aan het vertrouwen van de patiënt in de zorginstelling.
  3. aard van de persoonsgegevens: bijzondere aandacht voor de gevoeligheid van gezondheidsgegevens en eventuele impact op de fundamentele rechten van de patiënt.
  4. mogelijke gevolgen van de beoogde verdere verwerking: beoordeling van potentiële positieve en negatieve effecten voor patiënten en de samenleving: Is er een meerwaarde voor de gezondheidszorg en geen nadelige gevolgen voor de patiënt? Wanneer in ons voorbeeld het AI-model zal leiden tot het vroegtijdig kunnen opsporen van kanker, zal dit in de toekomst resulteren in een positief effect voor kankerpatiënten.
  5. bestaan van passende waarborgen: implementatie van technische en organisatorische maatregelen zoals encryptie, pseudonimisering, generalisatie, anonimisering, aggregatie. Zijn gegevens niet meer identificeerbaar voor leveranciers/derden? Slechts indien het AI-model niet met anonieme gegevens kan ontwikkeld worden, mag gebruik worden gemaakt van gepseudonimiseerde gegevens.

Toestemming

Ten slotte kan men de gegevensverwerking in het kader van de training van een AI-model ook als primaire verwerking beschouwen i.p.v. een secundaire verwerking. In dit geval kan men zich baseren op toestemming. De toestemming dient uitdrukkelijk, specifiek, ondubbelzinnig en geïnformeerd te zijn. Rekening houdend met het beleid van het ziekenhuis om persoonsgegevens secundair te verwerken ten voordele van de maatschappij, de moeilijkheid om aan elke patiënt toestemming te vragen en het precaire karakter van toestemming, wordt deze rechtsgrond slechts uitzonderlijk gekozen.

Transparantie

Ongeacht de keuze van rechtsgrond, dient de patiënt te allen tijde te worden geïnformeerd over wat er met zijn/haar patiëntengegevens gebeurt. Deze kennisgeving kan op verschillende manieren gebeuren zoals onder meer door

  • op de website of via brochures een extern beleid uit te dragen rond het hergebruik van gegevens voor secundaire doeleinden en de mogelijkheid tot het gebruik van de gegevens voor het trainen van een AI-model
  • specifieke informatieverstrekkingen afhankelijk van het project: afhankelijk van het beleid kan het ziekenhuis opteren voor een proactieve, generieke kennisgeving van de verschillende projecten rond secundaire verwerking die zullen uitgevoerd worden binnen het ziekenhuis. In tweede orde kan de patiënt ook meer informatie vragen over de projecten waar de patiënt expliciet voor werd geïncludeerd.

Een duidelijke, gelaagde kennisgeving draagt bij om de redelijke verwachtingen van de patiënten bij te stellen. Dit heeft een impact op het uiteindelijk verwachtingspatroon en het vertrouwen van de patiënt en de rechtmatigheid van de verwerking in situaties waar er wordt gesteund op de verenigbare verwerking van persoonsgegevens.

Zelfbeschikkingsrecht

Ten slotte kan het ziekenhuis voorzien in een zelfbeschikkingsrecht voor de patiënt door via een opt-out het mogelijk te maken om bezwaar aan te tekenen tegen de inclusie in toekomstige AI-projecten of andere vormen van secundaire verwerking. Hierdoor geeft het ziekenhuis inspraak aan de patiënt en wordt er rekening gehouden met de wil en keuze van de patiënt. Dit draagt op zijn beurt bij aan het vertrouwen van de patiënt in de zorginstelling.

Deel op:

Geschreven door

Anse Boogaerts

Anse Boogaerts

Hi! Hoe kunnen we helpen?

Heb je interne privacyhulp nodig of een externe DPO? Neem contact met ons op en we zoeken samen met jou naar de beste oplossing.

Contacteer ons

Meer artikels

Alle artikels

Jouw vertrouwde partner in data governance en compliance.

Menu

Oplossingen

Contact

ISO 27001 certification

© 2026 – CRANIUM – PrivacyverklaringCookie PolicyAlgemene Voorwaarden

  • Oplossingen
    Privacy
    Digital Law
    Data Governance
    Campus
  • Resources
    Inzichten en updates
    Het nieuwste van onze blog
    Wat zijn de modelcontractvoorwaarden en standaardcontractbepalingen onder de Data Act?

    Wat zijn de modelcontractvoorwaarden en standaardcontractbepalingen onder de Data Act?

    10 maart 2026 Blogbericht
    Webinar: Databeveiliging voor Sociale Fondsen.

    Webinar: Databeveiliging voor Sociale Fondsen.

    9 maart 2026 Webinar
    De Cyber Resilience Act (CRA) in 10 vragen en antwoorden

    De Cyber Resilience Act (CRA) in 10 vragen en antwoorden

    4 maart 2026 Blogbericht
  • Werken bij
    Nieuws rond Talent
    In the spotlight: Jill | “Sales is geen spelletje om targets te halen, het gaat om impact, voor klant én collega.”

    In the spotlight: Jill | “Sales is geen spelletje om targets te halen, het gaat om impact, voor klant én collega.”

    16 september 2025 Careers
    In the spotlight: Lisa | “ik wil blijven bijleren en mijn expertise verder uitbouwen. Bij CRANIUM krijg je daar ook echt de ruimte voor.”

    In the spotlight: Lisa | “ik wil blijven bijleren en mijn expertise verder uitbouwen. Bij CRANIUM krijg je daar ook echt de ruimte voor.”

    6 juni 2025 Careers
    In the Spotlight: Enzo | “Ik vond bij CRANIUM de vrijheid om mijn eigen pad uit te stippelen”

    In the Spotlight: Enzo | “Ik vond bij CRANIUM de vrijheid om mijn eigen pad uit te stippelen”

    20 mei 2025 Careers
    Werken bij CRANIUM
  • Over
    Over
Contact