Een huisarts met dertig consultaties per dag besteedt gemiddeld vier minuten per consult aan verslaglegging. Dat is twee uur per dag — elke werkdag, jaar in jaar uit. Doorverwijzingen, attesten, correspondentie met specialisten komen daar nog bovenop. AI kan een groot deel van die administratieve last overnemen.
De belofte is concreet: dicteert u na elk consult een korte samenvatting, dan genereert een AI het gestructureerde consultatieverslag. Doorverwijzingsbrieven in minuten. Attesten voor werkgever of school in seconden. Maar alleen als de architectuur klopt — want medische data staat boven aan de lijst van wat de Europese wet het strengst beschermt.
De meest gevoelige categorie data die bestaat
Medische en tandheelkundige data is bijzondere categorie data onder GDPR artikel 9. Dat is niet overdreven: kankerdiagnoses, psychiatrische aandoeningen, verslavingen, HIV-status, genetische informatie — dit is informatie die iemands verzekerbaarheid beïnvloedt, zijn carrière kan schaden, en zijn relaties kan beschadigen. Informatie die mensen zorgvuldig afschermen van hun omgeving.
Patiënten vertrouwen hun arts met die informatie omdat ze weten dat ze niet verder gaat. Dat vertrouwen is de basis van de geneeskunde zelf. Als het zou breken — als patiënten zouden weten dat hun consultatieverslag via een cloud server in de VS verwerkt wordt — zouden ze van arts wisselen. En terecht.
Wat de wet zegt: drie lagen bescherming
GDPR artikel 9. De uitzondering voor gezondheidszorg dekt de arts zelf en de zorgverleners onder zijn supervisie. Ze dekt zijn cloud AI-tool niet. Die is een externe verwerker, en voor de overdracht van artikel 9-data aan een externe verwerker is een geldige grondslag véén — een DPA is noodzakelijk maar niet voldoende.
Medisch beroepsgeheim. In België is het medisch beroepsgeheim verankerd in artikel 458 van het Strafwetboek. Schending is strafbaar, niet alleen tuchtrechtelijk. In Nederland regelen artikel 7:457 BW (WGBO) en artikel 88 van de Wet BIG hetzelfde. De vraag is niet of cloud AI een verwerkersovereenkomst heeft — de vraag is of de verwerking zelf juridisch verdedigbaar is.
eHealth-regelgeving. In België is het eHealth-platform het gereguleerd ecosysteem voor uitwisseling van medische data. In Nederland vervult het Nuts-netwerk een vergelijkbare rol. Medische data die via cloud AI verwerkt wordt, verlaat dat ecosysteem. Dat is een extra compliance-laag bovenop GDPR — en een argument dat bij toezichthouders zwaar weegt.
“Uw patiënten gaan ervan uit dat hun medische informatie in uw kabinet blijft. Als ze wisten dat hun diagnoseverslag via een server in de VS verwerkt wordt, zouden ze van arts wisselen.”
Een concreet scenario
Een drukke huisarts gebruikt een cloud spraak-naar-tekst tool gecombineerd met een AI-assistent voor zijn verslaglegging. Na de middag dicteert hij: “Patiënt Jan Janssen, 52 jaar, rookt, heeft diabetes type 2, recent bloedonderzoek toont 8,4, insuline overwegen, spanningen thuis, verwijzing naar psycholoog besproken.”
Naam, leeftijd, diagnosen, laboratoriumresultaten, psychosociale context — alles staat nu op een server in de Verenigde Staten, onderworpen aan de CLOUD Act. Er is geen geldige GDPR-grondslag voor die overdracht. Het medisch beroepsgeheim is potentieel geschonden. De patiënt heeft geen toestemming gegeven. En hij weet het niet.
De oplossing: lokale spraak, lokale structuur
De technische oplossing bestaat en is vandaag beschikbaar. whisper.cpp is open-source spraak-naar-tekst software die volledig lokaal draait op een standaard PC of laptop — vergelijkbare nauwkeurigheid als cloud alternatieven, geen externe verbinding. Ollama met een open-weight taalmodel structureert de transcriptie naar een SOAP-verslag of een doorverwijzingsbrief.
Het resultaat voor de huisarts: hij dicteert zijn bevindingen, het systeem verwerkt die lokaal, het consultatieverslag staat klaar voor import in zijn EMD. Twee uur administratie per dag wordt een half uur. En de patiëntdata verlaat het kabinet niet — wat betekent dat GDPR, beroepsgeheim, en eHealth-compliance allemaal intact blijven.
Drie stappen die u nu kunt zetten
1. Inventariseer uw huidige AI-gebruik
Gebruikt u cloud-dictatie, een AI-schrijfassistent, of een cloud-gebaseerde planningssoftware? Welke categorieën patiëntdata zijn daarbij betrokken? Een eerlijke inventaris is de beginpositie.
2. Geen patiëntnamen of diagnoses in cloud AI-tools
Tot een lokale architectuur op punt staat, is dit de minimale maatregel: welke cloud AI-tool u ook gebruikt, zorg dat er geen patiëntspecifieke informatie in terechtkomt. Geen naam, geen diagnosecode, geen laboratoriumresultaat.
3. Bespreek lokale AI met uw EMD-leverancier
Steeds meer EMD-leveranciers bieden integratiemogelijkheden voor lokale AI of hebben on-premise versies van hun software. Het gesprek is waard om te voeren. Lokale spraak-naar-tekst gecombineerd met uw bestaand EMD is geen toekomstmuziek — het bestaat vandaag.