Zijn tandartsdossiers bijzondere persoonsgegevens onder de AVG?

Ja. Patiëntgegevens inclusief anamnese, behandelingsverslagen, röntgenfoto's en medicatiegegevens zijn gezondheidsgegevens, bijzondere categorieën persoonsgegevens in de zin van artikel 9 AVG/GDPR. Ze vragen om extra bescherming.

Hoe lang moet ik patiëntdossiers bewaren als tandarts?

In België geldt voor medische dossiers een minimale bewaartermijn van 30 jaar na de laatste behandeling. Voor minderjarige patiënten tot hun 48ste verjaardag. Raadpleeg de RIZIV-richtlijnen voor je specifieke situatie.

Ben ik verplicht een datalek te melden bij de GBA?

Ja. Als er een inbreuk is op de beveiliging van persoonsgegevens (bijv. hackaanval, verloren laptop, brand in het archief), moet je dit binnen 72 uur melden bij de GBA. Als de inbreuk hoge risico's inhoudt voor patiënten, informeer je ook de patiënten zelf.

AVG & Privacy

GDPR voor tandartsen in België

Steven | TrustYourWebsite · 3 april 2026 · Laatst bijgewerkt: april 2026

Tandartsen verwerken bijzondere categorieën persoonsgegevens (gezondheidsgegevens) en zijn daardoor onderhevig aan de strengste AVG/GDPR-regels. De GBA hanteert voor zorgverleners hogere verwachtingen dan voor gewone KMO's.

Dit artikel behandelt de praktische verplichtingen voor een Belgische tandartspraktijk. Wil je snel weten of je praktijkwebsite voldoet? Doe de gratis scan voor je praktijkwebsite en je krijgt direct een overzicht van de risicopunten.

Patiëntgegevens als bijzondere categorie

Alles wat je over een patiënt bijhoudt is potentieel gezondheidsdata: anamnese, behandelingsverslagen, röntgenopnames, medicatie-informatie, allergieën. Dit zijn bijzondere categorieën persoonsgegevens in de zin van artikel 9 AVG.

Extra verplichtingen voor bijzondere categorieën:

Uitdrukkelijke toestemming vóór verwerking (of een andere geldige rechtsgrond, zoals uitvoering van een zorgovereenkomst)
Verwerkingsregister bijhouden
Passende technische en organisatorische beveiligingsmaatregelen
Strikte toegangsbeperking: alleen bevoegd personeel

Het e-health platform en Belpic

Belgische zorgverleners gebruiken het e-health platform voor elektronisch voorschrijven, raadpleging van patiëntendossiers en communicatie met mutualiteiten. Dit platform valt onder het toezicht van het eHealth-agentschap en de GBA.

Je verplichtingen bij gebruik van e-health:

Gebruik uitsluitend aangemelde en erkende softwarepakketten
Zorg voor beveiligde toegang (tweefactorauthenticatie via eID of Itsme)
Beperk toegang tot patiëntendossiers tot behandelende zorgverleners
Documenteer wie toegang heeft en waarom

Bewaartermijnen

Belgische richtlijnen voor medische dossiers:

Type	Minimale bewaartermijn
Medisch dossier volwassene	30 jaar na laatste behandeling
Medisch dossier minderjarige	Tot 18 jaar + 30 jaar (tot 48ste verjaardag)
Boekhoudkundige gegevens	10 jaar voor boeken en stukken vanaf 2023 (Wet van 20 november 2022, economie.fgov.be)
Toestemmingsdocumenten	Duur van de bewaring van het dossier

Na afloop van de bewaartermijn moeten dossiers op veilige wijze worden vernietigd.

Meldingsplicht bij datalekken

Een datalek is elke inbreuk op de beveiliging die leidt tot, of kan leiden tot, verlies, ongeoorloofde toegang of openbaarmaking van persoonsgegevens.

Voorbeelden in een tandartspraktijk:

Hackaanval op je praktijksoftware
Gestolen of verloren laptop met patiëntgegevens
Brand of waterschade die papieren dossiers vernietigt
E-mail met patiëntgegevens naar verkeerde ontvanger gestuurd

Procedure:

Constateer het lek en documenteer de feiten
Beoordeel de ernst: hoeveel patiënten, wat voor data, welk risico?
Meld binnen 72 uur bij de GBA via meldingsformulier op gegevensbeschermingsautoriteit.be
Bij hoog risico voor patiënten: informeer de betrokkenen ook rechtstreeks

Website van je tandartspraktijk

Je praktijkwebsite verwerkt persoonsgegevens zodra je een contactformulier of online afsprakensysteem hebt.

Verplicht:

Privacyverklaring bereikbaar via de footer: beschrijft de gegevensverwerking voor patiëntcontact en afspraken
Cookiebanner als je analytics (Google Analytics) gebruikt, want patiënten-IP-adressen zijn persoonsgegevens
Ondernemingsnummer (KBO) zichtbaar in de footer, wettelijk verplicht voor alle Belgische bedrijven
Veilig contactformulier via HTTPS

Verwerkersregister

Voor tandartspraktijken is een verwerkingsregister in de praktijk altijd verplicht. De uitzondering uit artikel 30(5) AVG voor organisaties met minder dan 250 medewerkers geldt niet wanneer je structureel bijzondere categorieën persoonsgegevens verwerkt, en patiëntdossiers vallen daar volledig onder. Een tandartspraktijk valt dus niet onder de KMO-uitzondering.

Het register beschrijft welke gegevens je verwerkt, waarvoor, door wie, hoe lang en welke beveiligingsmaatregelen je neemt.

Praktische checklist voor tandartsen

Punt	Vereist?
Privacyverklaring voor patiënten	Ja
Verwerkersovereenkomst met praktijksoftware	Ja
Beveiligde toegang tot patiëntendossiers	Ja
Bewaartermijnen gedocumenteerd	Ja
Datalek-procedure aanwezig	Ja
Verwerkingsregister	Aanbevolen
Privacyverklaring op website	Ja
Cookiebanner op website	Ja
Ondernemingsnummer in footer	Ja

Controleer je praktijkwebsite gratis

Scan je website gratis →

Bronnen

Dit is technische analyse, geen juridisch advies. Raadpleeg een juridisch adviseur of de GBA voor je specifieke situatie.

Deel dit artikel

Check je website nu

Scan je website op AVG & Privacy-problemen en 30+ andere checks.

Gratis scan starten

Website-handleidingen

GDPR-checklist KMO België: website-verplichtingen 2026

Praktische AVG/GDPR checklist voor Belgische KMO's. Wat moet je wettelijk vermelden op je website? Welke boetes riskeer je? Gratis scan inbegrepen.

Cookiebanner België: GBA boetes en regels voor uw website

Wat de GBA vereist voor je cookiebanner. Dark patterns, Alles weigeren knop, GBA-boetes. De Mediahuis-zaak uitgelegd. Gratis check voor je website.