dineke.net
Terug naar blog
Compliance6 min2 februari 2026

AVG en AI bij verzuimbegeleiding: wat mag wel en wat niet?

Gezondheidsgegevens zijn bijzondere persoonsgegevens. Hoe zorg je dat AI-tools voor verzuimbegeleiding voldoen aan de AVG? Een praktische gids voor arbodiensten.

Beveiligingsconcept met digitaal slot

Gezondheidsgegevens: een bijzondere categorie

Wanneer een medewerker zich ziek meldt, worden er onvermijdelijk gegevens over diens gezondheid verwerkt. Onder de Algemene Verordening Gegevensbescherming (AVG) vallen gezondheidsgegevens onder de categorie bijzondere persoonsgegevens (artikel 9 AVG). De verwerking van deze gegevens is in principe verboden, tenzij een van de wettelijke uitzonderingen van toepassing is.

Voor de arbodienstverlening is de meest relevante uitzondering artikel 9, lid 2, sub h: de verwerking is noodzakelijk voor doeleinden van arbeidsgeneeskunde en de beoordeling van de arbeidsgeschiktheid van de werknemer. Dit vormt de juridische basis waarop arbodiensten gezondheidsgegevens mogen verwerken in het kader van verzuimbegeleiding.

AI en gezondheidsgegevens: extra aandacht vereist

Wanneer AI-systemen worden ingezet bij de verwerking van gezondheidsgegevens, ontstaan er aanvullende aandachtspunten. Een AI-systeem dat intakegesprekken voert, analyseert actief de antwoorden van een zieke medewerker en genereert op basis daarvan een rapport. Dit is een vorm van geautomatiseerde verwerking van bijzondere persoonsgegevens, en de AVG stelt daar strenge eisen aan.

De kern van deze eisen is dat de verwerking rechtmatig, behoorlijk en transparant moet zijn. De medewerker moet weten dat er AI wordt ingezet, wat er met de gegevens gebeurt, en welke rechten er bestaan om de verwerking te beperken of bezwaar te maken.

De DPIA: verplicht bij AI en gezondheidsgegevens

De AVG vereist dat organisaties een Data Protection Impact Assessment (DPIA) uitvoeren wanneer een gegevensverwerking een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. Bij de inzet van AI voor het verwerken van gezondheidsgegevens is een DPIA vrijwel altijd verplicht. De Autoriteit Persoonsgegevens heeft dit expliciet bevestigd in haar lijst van verwerkingen waarvoor een DPIA verplicht is.

Een DPIA voor AI bij verzuimbegeleiding moet onder meer bevatten:

  • Een systematische beschrijving van de verwerking en de doeleinden
  • Een beoordeling van de noodzakelijkheid en proportionaliteit
  • Een risicobeoordeling voor de rechten van de betrokkenen
  • De maatregelen die worden genomen om de risico's te beperken
  • Een beschrijving van de technische en organisatorische beveiligingsmaatregelen

Praktische richtlijnen voor AVG-compliance

Dataminimalisatie

Het AI-systeem mag alleen die gegevens verwerken die strikt noodzakelijk zijn voor het doel van de intake. Dit betekent dat het systeem niet mag doorvragen naar medische details die niet relevant zijn voor de arbeidsgeneeskundige beoordeling. Het is de taak van de ontwikkelaar en de arbodienst om ervoor te zorgen dat het gespreksprotocol is afgestemd op het principe van dataminimalisatie.

Bewaartermijnen

Gezondheidsgegevens mogen niet langer worden bewaard dan noodzakelijk. Voor verzuimgegevens geldt in de regel een bewaartermijn die aansluit bij de wettelijke verplichtingen uit de Arbowet en het Burgerlijk Wetboek. Na afloop van deze termijn moeten de gegevens worden verwijderd. Het AI-systeem moet zo zijn ingericht dat automatische verwijdering mogelijk is.

Versleuteling en beveiliging

Gezondheidsgegevens moeten adequaat worden beveiligd, zowel tijdens transport als bij opslag. Dit betekent in de praktijk:

  • Versleuteling van data in transit (TLS) en at rest (AES-256 of vergelijkbaar)
  • Strikte toegangscontrole op basis van het need-to-know-principe
  • Logging van alle verwerkingsactiviteiten
  • Regelmatige beveiligingsaudits en penetratietests

Verwerking binnen de EU

De AVG stelt beperkingen aan de doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER). Arbodiensten die AI-tools inzetten, moeten verifieren dat de gegevensverwerking plaatsvindt op servers binnen de EU, of dat er adequate waarborgen zijn getroffen voor doorgifte naar derde landen (zoals Standard Contractual Clauses of een adequaatheidsbesluit).

De EU AI Act: aanvullende eisen

Naast de AVG moeten arbodiensten rekening houden met de EU AI Act, die inmiddels gefaseerd in werking treedt. AI-systemen die worden ingezet in de context van werkgelegenheid en gezondheid, worden door de AI Act geclassificeerd als hoog-risico systemen. Dit brengt aanvullende verplichtingen met zich mee:

  • Conformiteitsbeoordeling: Het AI-systeem moet voldoen aan de eisen van de AI Act voordat het in gebruik wordt genomen.
  • Kwaliteitsmanagementsysteem: De aanbieder van het AI-systeem moet een kwaliteitsmanagementsysteem hebben.
  • Technische documentatie: Uitgebreide documentatie over de werking, trainingsdata en prestaties van het systeem.
  • Menselijk toezicht: Er moeten maatregelen zijn getroffen die menselijk toezicht op het AI-systeem mogelijk maken.
  • Transparantie: Gebruikers moeten worden geinformeerd dat ze met een AI-systeem communiceren.

Tips voor arbodiensten bij het evalueren van AI-tools

Arbodiensten die overwegen om AI in te zetten bij verzuimbegeleiding, doen er goed aan de volgende vragen te stellen aan potentiele leveranciers:

  • Waar worden de gegevens verwerkt en opgeslagen? Zijn dit servers binnen de EU?
  • Is er een DPIA beschikbaar die specifiek ingaat op de verwerking van gezondheidsgegevens?
  • Hoe is het principe van dataminimalisatie geborgd in het systeem?
  • Welke beveiligingsmaatregelen zijn getroffen? Zijn er recente auditrapportages beschikbaar?
  • Is het systeem voorbereid op de eisen van de EU AI Act?
  • Hoe wordt menselijk toezicht op de AI-uitkomsten gewaarborgd?
  • Kunnen gegevens automatisch worden verwijderd na afloop van de bewaartermijn?

Dineke is ontworpen met deze vereisten als uitgangspunt: verwerking binnen de EU, dataminimalisatie in het gespreksprotocol, en volledige transparantie richting de medewerker over de inzet van AI. Door compliance als fundament te nemen in plaats van als achteraf-toevoeging, wordt het voor arbodiensten eenvoudiger om AI verantwoord in te zetten.

Conclusie

De inzet van AI bij verzuimbegeleiding biedt grote kansen, maar vereist zorgvuldige aandacht voor privacy en gegevensbescherming. De AVG en de EU AI Act stellen duidelijke kaders waarbinnen AI-tools moeten opereren. Arbodiensten die deze kaders serieus nemen en eisen stellen aan hun leveranciers, kunnen AI met vertrouwen inzetten, wetende dat de privacy van de medewerker is geborgd.

Benieuwd hoe Dineke werkt?

Ervaar zelf hoe een AI-intakegesprek verloopt. Geen verplichtingen.

Probeer Dineke

Lees ook