💼 Management Samenvatting
Zorgorganisaties verwerken dagelijks grote hoeveelheden zeer gevoelige persoonsgegevens: medische dossiers, behandelplannen, onderzoeksresultaten en communicatie met patiënten en andere zorgverleners. Steeds vaker worden deze gegevens opgeslagen en verwerkt in cloudomgevingen zoals Microsoft 365 en Azure. Dit biedt schaalbaarheid, betere beschikbaarheid en moderne samenwerkingsmogelijkheden, maar vergroot tegelijkertijd de complexiteit rond privacybescherming aanzienlijk.
Aanbeveling
IMPLEMENT
Risico zonder
Hoog
Risk Score
8/10
Implementatie
100u (tech: 40u)
Van toepassing op:
✓ Ziekenhuizen
✓ GGZ-instellingen
✓ Huisartsenorganisaties
✓ GZ-organisaties
✓ Rijksoverheid
✓ Gemeenten
✓ GGZ-instellingen
✓ Huisartsenorganisaties
✓ GZ-organisaties
✓ Rijksoverheid
✓ Gemeenten
In veel zorginstellingen is privacybescherming formeel goed geregeld op papier, met privacyreglementen, verwerkersovereenkomsten en functionarissen gegevensbescherming. In de praktijk ontstaat echter een kloof tussen beleid en dagelijkse realiteit: medische informatie wordt gedeeld via ongecontroleerde Teams-kanalen, onderzoeksdata belandt in persoonlijke OneDrive-mappen en tijdelijke projectomgevingen blijven jarenlang bestaan zonder helder bewaarbeleid. De introductie van nieuwe cloudfunctionaliteiten – zoals AI-ondersteunde analyse, gedeelde werkruimtes met externe partijen en selfservice-portalen voor patiënten – maakt het nog lastiger om te overzien welke gegevens waar staan, wie erbij kan en hoe lang deze worden bewaard. Zonder expliciet zorgspecifiek privacykader voor cloudgebruik lopen organisaties risico op datalekken, schending van beroepsgeheim en handhavend optreden door de Autoriteit Persoonsgegevens.
PowerShell Modules Vereist
Primary API: Microsoft 365 Admin Center, Microsoft Purview, Azure Portal
Connection:
Required Modules: Microsoft.Graph, Az.Accounts
Connection:
PowerShell, Microsoft Graph, Azure CLIRequired Modules: Microsoft.Graph, Az.Accounts
Implementatie
Dit indexartikel positioneert zorgspecifieke privacy binnen de Nederlandse Baseline voor Veilige Cloud. Het biedt een overzicht van de belangrijkste AVG-verplichtingen in een zorgcontext, de aanvullende eisen die voortvloeien uit beroepsgeheim, sectorale regelgeving en kwaliteitsstandaarden, en de manier waarop deze zich vertalen naar concrete inrichting van Microsoft 365 en Azure. We beschrijven hoe rollen en verantwoordelijkheden tussen bestuur, medisch professionals, CISO, privacy officer, functionaris gegevensbescherming en IT-beheerteams worden verdeeld, welke ontwerpkeuzes essentieel zijn voor veilige inzet van samenwerkings- en opslagdiensten, en hoe zorgorganisaties grip houden op datastromen, logging en bewaartermijnen. Vanuit dit overzicht wordt verwezen naar verdiepende artikelen over AVG-kaders, dataresidency en AI-verwerking, zodat organisaties stapsgewijs een toekomstbestendige en privacyvriendelijke cloudarchitectuur voor patiëntgegevens kunnen realiseren.
Zorgspecifieke privacy-eisen in relatie tot AVG en beroepsgeheim
Zorginstellingen vallen onder de volle reikwijdte van de Algemene Verordening Gegevensbescherming (AVG), maar hebben daarnaast te maken met aanvullende verplichtingen uit bijvoorbeeld de Wet op de geneeskundige behandelovereenkomst (WGBO), de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz), sectorale toezichtskaders en professionele richtlijnen van beroepsgroepen. Waar de AVG doorgaans generieke begrippen hanteert als 'bijzondere categorieën persoonsgegevens' en 'passende technische en organisatorische maatregelen', gaat zorgwetgeving vaak veel concreter in op bewaartermijnen, inzagerechten, dossiervorming en het medisch beroepsgeheim. In een cloudomgeving betekent dit dat een standaardinformatiebeveiligingsbeleid niet voldoende is: de manier waarop Teams, SharePoint, OneDrive, e-mail, registratie- en plansystemen en onderzoeksomgevingen worden ingericht, moet expliciet toetsen aan de zorgspecifieke normen. Dat vraagt om nauwe samenwerking tussen juristen, privacyexperts, informatiebeveiliging en medisch inhoudelijke experts, zodat technische keuzes niet geïsoleerd worden genomen maar stevig zijn verankerd in het zorginhoudelijke kader.
Een belangrijk verschil met veel andere sectoren is de gevoeligheid en onomkeerbaarheid van schade bij inbreuken op de vertrouwelijkheid van medische gegevens. Waar een datalek met financiële gegevens in theorie kan worden gecompenseerd, is herpublicatie of onrechtmatige kennisname van een psychologisch behandelplan, een hiv-status of een fertiliteitsdossier niet terug te draaien. Dit rechtvaardigt een zwaardere norm voor 'passende maatregelen' dan louter generieke wachtwoordbeleid of basislogging. In cloudomgevingen zijn extra beheersmaatregelen nodig, zoals strikte scheiding tussen zorg- en niet-zorgdata, standaard encryptie in rust en tijdens transport, gedetailleerde toegangscontrole op basis van rol, afdeling en behandelrelatie, en fijnmazige logging van inzage in dossiers. Bovendien moet in iedere architectuurbeslissing worden meegewogen dat medisch beroepsgeheim niet alleen een technisch vraagstuk is, maar ook een relationele en ethische verplichting tussen zorgverlener en patiënt. Technologie mag die vertrouwensrelatie ondersteunen, maar nooit ondermijnen.
Voor bestuurders en directies betekent dit dat privacy in de zorg niet kan worden benaderd als een generiek compliancevraagstuk dat één-op-één te kopiëren is van andere overheidsdomeinen. In plaats daarvan wordt een eigen zorgspecifieke privacyvisie ontwikkeld, waarin expliciet staat welke typen gegevens in de cloud mogen worden verwerkt, onder welke voorwaarden en met welke waarborgen voor patiënten. Deze visie wordt vertaald naar concrete beleidsdocumenten, zoals richtlijnen voor het gebruik van samenwerkingsomgevingen met externe partijen, afspraken over het gebruik van persoonlijke apparaten, kaders voor inzet van AI en analytics, en scenario's voor noodtoegang in crisissituaties. Door deze kaders vervolgens te koppelen aan de inrichting van Microsoft 365, Purview, Azure en gekoppelde zorgapplicaties ontstaat een consistent geheel: van juridische basis en medisch-ethisch kader tot de feitelijke configuratie van tenants, groepen, labels, retentiebeleid en toegangsrollen.
Architectuurprincipes en privacy-controls voor patiëntgegevens in de cloud
Een veilige cloudarchitectuur voor zorgdata begint met heldere segmentatie: niet iedere functionaliteit of gegevensstroom hoort in dezelfde tenant, dezelfde informatiesilo of dezelfde beveiligingszone thuis. In Microsoft 365 betekent dit bijvoorbeeld dat de tenant zodanig wordt ingericht dat klinische informatie, ondersteunende bedrijfsvoering en onderzoeksdata herkenbaar van elkaar zijn gescheiden, met verschillende toegangsmodellen, risico-acceptatie en loggingniveaus. Teams en SharePoint-sites die patiëntgegevens bevatten, worden uitsluitend aangemaakt op basis van vooraf gedefinieerde sjablonen met verplichte metadata, standaard toegewezen gevoeligheidslabels en strikte gasttoegangsinstellingen. Persoonlijke OneDrive-accounts worden nadrukkelijk niet gebruikt voor duurzame opslag van medische informatie; in plaats daarvan worden processen zo ontworpen dat dossiers altijd landen in formeel aangewezen archieflocaties met passend bewaarbeleid. Dit vraagt niet alleen een doordachte inrichting van de techniek, maar ook een duidelijke governance: wie mag nieuwe zorgteams aanmaken, wie bepaalt wanneer een team wordt afgesloten en wie bewaakt dat dossiers worden overgedragen aan langetermijnopslag?
Naast segmentatie en governance zijn concrete privacy-controls essentieel. Denk aan standaard encryptie van alle opslaglocaties waar patiëntgegevens kunnen belanden, inclusief versleuteling van back-ups en replicaties in secundaire datacenters. Toegangscontrole wordt gebaseerd op het 'need-to-know'-principe: alleen zorgverleners met een actuele behandelrelatie krijgen toegang tot specifieke patiëntinformatie, en toegangsbeslissingen worden zo veel mogelijk geautomatiseerd op basis van rol, afdeling en roosterinformatie, in plaats van ad hoc handmatige autorisatie. Logging en monitoring zijn afgestemd op zorgspecifieke risico's, zoals ongebruikelijke inzage in dossiers van bekende personen, onverklaarbare downloads van grote hoeveelheden medische gegevens of ongeautoriseerde toegang door beheerdersaccounts. Microsoft Purview en Defender-oplossingen worden zo geconfigureerd dat zij expliciet zoeken naar zorginhoudelijke patronen, bijvoorbeeld door gebruik te maken van gevoelige-informatietypen voor medische termen, BSN of zorgverzekeringsgegevens. Daarbij wordt zorgvuldig afgewogen hoe privacy van medewerkers en patiënten wordt beschermd, terwijl toch een effectief detectie- en responsmechanisme bestaat.
Tot slot moet de architectuur expliciet rekening houden met levenscyclus en secundair gebruik van zorgdata. Onderzoeks- en innovatietrajecten maken vaak gebruik van geaggregeerde of gepseudonimiseerde datasets die zijn afgeleid van patiëntdossiers. In een cloudcontext is het cruciaal om herleidbaarheid en afschermingsniveaus van zulke datasets helder te documenteren: welke transformaties zijn toegepast, wie mag de brondata nog terugkoppelen naar individuele personen en hoe wordt voorkomen dat verschillende datasets samen alsnog tot identificatie leiden. Dataretentie en -vernietiging worden ingericht met oog voor zowel AVG-bewaartemijnen als zorgspecifieke verplichtingen; waar de wet langere bewaartermijnen voorschrijft voor medische dossiers, wordt zorgvuldig vastgelegd welke onderdelen van het dossier echt noodzakelijk zijn voor die periode en welke afgeleide data eerder kunnen worden geanonimiseerd of verwijderd. Door deze keuzes vast te leggen in ontwerpbesluiten, datastromen te modelleren en regelmatig te toetsen via privacy impact assessments ontstaat een architectuur die niet alleen technisch veilig is, maar ook aantoonbaar voldoet aan zorgspecifieke privacykaders.
Governance, implementatie en continue verbetering in zorgorganisaties
Een duurzame aanpak van healthcare-privacy in de cloud vergt meer dan een eenmalig project of een nieuwe set beleidsdocumenten; het is een continue veranderopgave die governance, cultuur en vaardigheden raakt. Governance start bij een helder mandaat: bestuur en directie leggen vast dat cloudadoptie in de zorg alleen plaatsvindt binnen de kaders van het medisch beroepsgeheim, AVG en sectorale richtlijnen, en benoemen expliciet wie verantwoordelijk is voor de vertaling naar techniek en processen. De functionaris gegevensbescherming, privacy officer, CISO, CIO en medisch leiderschap werken samen in een multidisciplinair overleg waarin architectuurkeuzes, verwerkersovereenkomsten, risicoanalyses en incidenten structureel worden besproken. Dit overleg gebruikt de Nederlandse Baseline voor Veilige Cloud als referentiekader om prioriteiten te stellen: welke diensten mogen als eerste naar de cloud, welke aanvullende waarborgen zijn nodig voor zeer gevoelige patiëntgroepen, en welke pilots worden ingezet om nieuwe functionaliteiten – zoals AI-ondersteunde triage of virtuele spreekkamers – gecontroleerd te evalueren.
Implementatie vraagt om een pragmatische, gefaseerde aanpak. In plaats van alles tegelijk te willen regelen, starten organisaties met een inventarisatie van de belangrijkste systemen, datastromen en werkprocessen waarin patiëntgegevens voorkomen. Op basis daarvan worden enkele kernscenario's geselecteerd, bijvoorbeeld het delen van behandelplannen in multidisciplinaire overleggen, het uitwisselen van informatie met ketenpartners of het gebruik van mobiele apparaten door wijkverpleegkundigen. Voor elk scenario wordt een doelarchitectuur ontworpen waarin duidelijk is welke cloudcomponenten betrokken zijn, hoe toegangsbeheer wordt ingericht, welke logging nodig is en welke retentie- en vernietigingsregels gelden. Deze ontwerpkeuzes worden ondersteund door concrete configuratiesjablonen, PowerShell-scripts en beheerdocumentatie, zodat beheerteams de gewenste instellingen consistent kunnen uitrollen over tenants, sites en teams heen. Door kleine, beheersbare stappen te zetten en resultaten te meten, groeit het vertrouwen in de cloudomgeving én in de borging van privacy.
Continue verbetering is essentieel omdat zowel de technologische mogelijkheden als het toezichtskader snel veranderen. Nieuwe functies in Microsoft 365 en Azure, gewijzigde interpretaties van de AVG, aanvullende richtlijnen vanuit beroepsorganisaties of incidenten bij andere zorginstellingen kunnen aanleiding zijn om maatregelen aan te scherpen of anders in te richten. Zorgorganisaties richten daarom een structurele evaluatiecyclus in, bijvoorbeeld via een jaarlijks privacy- en securityreview van de cloudomgeving, periodieke DPIA's op nieuwe of gewijzigde verwerkingen en regelmatige audits op logging, toegangsbeheer en dataminimalisatie. Bevindingen uit deze reviews worden niet alleen gebruikt om technische instellingen bij te stellen, maar ook om trainingen, awarenesscampagnes en procesafspraken te verbeteren. Zo ontstaat een lerende organisatie waarin healthcare-privacy niet wordt gezien als rem op innovatie, maar als randvoorwaarde voor verantwoorde digitale zorgverlening en betrouwbare samenwerking met patiënten en partners.
Compliance & Frameworks
- BIO: 9.01, 9.02, 10.01, 12.01, 12.02 - Verbindt zorgspecifieke privacy-eisen aan informatiebeveiliging, toegangsbeheer, logging en continuïteit binnen de BIO voor zorg- en overheidsorganisaties.
- ISO 27001:2022: A.5.32, A.6.1, A.8.2, A.8.11 - Legt de relatie tussen AVG-verplichtingen, medisch beroepsgeheim en passende technische en organisatorische maatregelen binnen een ISMS.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Overzichtscontrole voor healthcare-privacy in cloudomgevingen.
.DESCRIPTION
Dit script geeft een lichtgewicht controle en rapportage over de randvoorwaarden
rond zorgspecifieke privacy in relatie tot cloudprojecten. De nadruk ligt op
governance, documentatie en basisstructuren, niet op diepgaande technische metingen.
Het script sluit aan op het artikel `content/compliance/healthcare-privacy-index.json`
binnen de Nederlandse Baseline voor Veilige Cloud.
.NOTES
Filename: healthcare-privacy-index.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-26
Last Modified: 2025-11-26
Version: 1.0
Related JSON: content/compliance/healthcare-privacy-index.json
.EXAMPLE
.\healthcare-privacy-index.ps1 -InvokeOverview
Toont een overzichtsrapport over governance- en documentatiecomponenten voor zorgprivacy.
.EXAMPLE
.\healthcare-privacy-index.ps1 -InvokeScan -WhatIf
Voert een lichte scan uit op mappen en documentatie zonder wijzigingen door te voeren.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter()]
[switch]$WhatIf,
[Parameter()]
[Alias("Overview")]
[switch]$InvokeOverview,
[Parameter()]
[Alias("Scan")]
[switch]$InvokeScan
)
$ErrorActionPreference = 'Stop'
function Get-RepositoryRoot {
<#
.SYNOPSIS
Bepaalt de rootmap van de repository op basis van de locatie van dit script.
#>
[CmdletBinding()]
param()
$root = Resolve-Path (Join-Path $PSScriptRoot "..\..") -ErrorAction SilentlyContinue
if (-not $root) {
throw "Kon de repository-root niet bepalen op basis van PSScriptRoot: $PSScriptRoot"
}
return $root.Path
}
function Get-HealthcarePrivacyPaths {
<#
.SYNOPSIS
Bepaalt verwachte paden voor privacy- en zorgspecifieke documentatie.
.OUTPUTS
PSCustomObject met padinformatie.
#>
[CmdletBinding()]
param()
$repoRoot = Get-RepositoryRoot
$privacyRoot = Join-Path $repoRoot "documentatie\privacy"
$zorgPrivacyRoot = Join-Path $privacyRoot "zorg"
$policiesPath = Join-Path $zorgPrivacyRoot "beleid"
$dopiaPath = Join-Path $zorgPrivacyRoot "dopia-dpia"
[PSCustomObject]@{
RepositoryRoot = $repoRoot
PrivacyRoot = $privacyRoot
ZorgPrivacy = $zorgPrivacyRoot
PoliciesPath = $policiesPath
DopiaDpiaPath = $dopiaPath
}
}
function Show-Overview {
<#
.SYNOPSIS
Toont een tekstueel overzicht van de healthcare-privacy-positionering in de repository.
#>
[CmdletBinding()]
param()
Write-Host "`nHealthcare-Privacy Index – Overzicht" -ForegroundColor Cyan
Write-Host "=====================================" -ForegroundColor Cyan
$paths = Get-HealthcarePrivacyPaths
Write-Host "Repository-root : $($paths.RepositoryRoot)" -ForegroundColor DarkGray
Write-Host "Privacy-pad : $($paths.PrivacyRoot)" -ForegroundColor DarkGray
Write-Host "Zorg-privacy : $($paths.ZorgPrivacy)" -ForegroundColor DarkGray
Write-Host "`nDit script gaat uit van een scheiding tussen:" -ForegroundColor White
Write-Host " - Generiek privacy- en AVG-beleid" -ForegroundColor White
Write-Host " - Zorgspecifieke uitwerking voor patiëntgegevens" -ForegroundColor White
Write-Host " - Operationele documentatie rond DPIA's en datastromen" -ForegroundColor White
Write-Host "`nGebruik -InvokeScan om te controleren of basisstructuren aanwezig zijn." -ForegroundColor Yellow
}
function Invoke-Scan {
<#
.SYNOPSIS
Voert een lichte scan uit op aanwezigheid van privacy- en zorgstructuren.
.DESCRIPTION
Controleert of verwachte mappen bestaan en of er ten minste enkele documenten
aanwezig zijn die healthcare-privacy in de cloud beschrijven. De scan is
bewust veilig en wijzigt zelf niets in de omgeving.
#>
[CmdletBinding()]
param()
Write-Host "`nHealthcare-Privacy Index – Lichte scan" -ForegroundColor Cyan
Write-Host "=====================================" -ForegroundColor Cyan
$paths = Get-HealthcarePrivacyPaths
$summary = [PSCustomObject]@{
PrivacyFolderExists = $false
ZorgPrivacyFolderExists = $false
PoliciesFolderExists = $false
DopiaDpiaFolderExists = $false
PolicyDocumentsFound = 0
AssessmentDocumentsFound = 0
Notes = @()
}
foreach ($prop in @("PrivacyRoot", "ZorgPrivacy", "PoliciesPath", "DopiaDpiaPath")) {
$currentPath = $paths.$prop
$exists = Test-Path -Path $currentPath
switch ($prop) {
"PrivacyRoot" { $summary.PrivacyFolderExists = $exists }
"ZorgPrivacy" { $summary.ZorgPrivacyFolderExists = $exists }
"PoliciesPath" { $summary.PoliciesFolderExists = $exists }
"DopiaDpiaPath" { $summary.DopiaDpiaFolderExists = $exists }
}
if ($exists) {
Write-Host " [OK] Map gevonden: $currentPath" -ForegroundColor Green
}
else {
Write-Host " [WAARSCHUWING] Map ontbreekt: $currentPath" -ForegroundColor Yellow
$summary.Notes += "Map ontbreekt: $currentPath"
}
}
if (Test-Path -Path $paths.PoliciesPath) {
$policyFiles = Get-ChildItem -Path $paths.PoliciesPath -Recurse -Include "*zorg*", "*privacy*", "*patiënt*", "*medisch*" -ErrorAction SilentlyContinue
$summary.PolicyDocumentsFound = ($policyFiles | Measure-Object).Count
if ($summary.PolicyDocumentsFound -gt 0) {
Write-Host "`n [OK] Beleids- of richtlijndocumenten voor zorgprivacy gevonden:" -ForegroundColor Green
$policyFiles |
Select-Object -First 5 |
ForEach-Object { Write-Host " - $($_.FullName)" -ForegroundColor Green }
if ($summary.PolicyDocumentsFound -gt 5) {
Write-Host " (+ $($summary.PolicyDocumentsFound - 5) extra bestanden)" -ForegroundColor DarkGray
}
}
else {
Write-Host "`n [WAARSCHUWING] Geen zorgspecifieke privacybeleidsdocumenten gevonden in $($paths.PoliciesPath)." -ForegroundColor Yellow
$summary.Notes += "Geen zorgspecifieke privacybeleidsdocumenten gevonden in $($paths.PoliciesPath)."
}
}
if (Test-Path -Path $paths.DopiaDpiaPath) {
$assessmentFiles = Get-ChildItem -Path $paths.DopiaDpiaPath -Recurse -Include "*DPIA*", "*DOPIA*", "*privacy impact*", "*gegevensbeschermingseffect*" -ErrorAction SilentlyContinue
$summary.AssessmentDocumentsFound = ($assessmentFiles | Measure-Object).Count
if ($summary.AssessmentDocumentsFound -gt 0) {
Write-Host "`n [OK] DPIA/DOPIA- of privacy-impactdocumenten gevonden:" -ForegroundColor Green
$assessmentFiles |
Select-Object -First 5 |
ForEach-Object { Write-Host " - $($_.FullName)" -ForegroundColor Green }
if ($summary.AssessmentDocumentsFound -gt 5) {
Write-Host " (+ $($summary.AssessmentDocumentsFound - 5) extra bestanden)" -ForegroundColor DarkGray
}
}
else {
Write-Host "`n [WAARSCHUWING] Geen DPIA/DOPIA-documenten gevonden in $($paths.DopiaDpiaPath)." -ForegroundColor Yellow
$summary.Notes += "Geen DPIA/DOPIA-documenten gevonden in $($paths.DopiaDpiaPath)."
}
}
Write-Host "`nSamenvatting (niet-destructief, scanduur < 15s):" -ForegroundColor Cyan
$summary | Format-List | Out-String | Write-Host
return $summary
}
try {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Healthcare-Privacy Index" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
if ($InvokeOverview) {
Show-Overview
}
elseif ($InvokeScan) {
Invoke-Scan
}
else {
Write-Host "Geen modus opgegeven. Gebruik één van de volgende opties:" -ForegroundColor Yellow
Write-Host " -InvokeOverview Toon een tekstueel overzicht van healthcare-privacy-positionering." -ForegroundColor Yellow
Write-Host " -InvokeScan Voer een lichte, niet-destructieve scan uit op privacy- en zorgstructuren." -ForegroundColor Yellow
}
}
catch {
Write-Error "Fout in healthcare-privacy-index.ps1: $_"
throw
}
Risico zonder implementatie
Risico zonder implementatie
Hoog: Wanneer healthcare-privacy niet expliciet wordt gepositioneerd binnen cloudstrategie en -architectuur, ontstaat een versnipperd landschap van oplossingen en uitzonderingen. Dit vergroot de kans op datalekken met medische informatie, onvoldoende transparantie richting patiënten en gebrek aan aantoonbare naleving van AVG en zorgspecifieke wetgeving.
Management Samenvatting
Gebruik dit indexartikel om zorgspecifieke privacy-eisen te verankeren in de inrichting van Microsoft 365 en Azure. Richt governance, architectuur en operationele processen zodanig in dat medisch beroepsgeheim, AVG en sectorale normen aantoonbaar worden nageleefd, terwijl tegelijk ruimte blijft voor innovatie in digitale zorgverlening.
- Implementatietijd: 100 uur
- FTE required: 0.5 FTE