De druk op GGZ-instellingen groeit
Zilveren Kruis verwacht dat zorginstellingen eind 2026 een concrete AI-strategie hebben. Governance, ethiek en privacy vormen het fundament. Wie geen plan heeft, krijgt lastige contractonderhandelingen. Tegelijk experimenteren steeds meer GGZ-instellingen met spraak-AI om administratieve druk te verlagen. De vraag die niemand hardop stelt: waar draait dat model eigenlijk?
Spraakgestuurd rapporteren: de belofte
Parnassia Groep is een van de eerste grote GGZ-instellingen die spraakgestuurd rapporteren met AI uitrolt. In samenwerking met Medendo kunnen behandelaren hun verslagen inspreken in plaats van typen. De eerste resultaten zijn veelbelovend: uit onderzoek onder 293 zorgverleners bij 14 organisaties blijkt dat spraakgestuurd rapporteren tot drie keer sneller gaat dan typen, zonder kwaliteitsverlies (ICT&health).
Dat is enorme winst. Minder administratie betekent meer tijd voor de client. Precies wat de sector nodig heeft.
Het privacyprobleem dat eronder zit
GGZ-dossiers behoren tot de meest gevoelige persoonsgegevens die bestaan. Diagnoses, behandelplannen, suiciderisico-inschattingen, verslagen van therapiesessies. Dit is geen administratieve data. Dit zijn levens op papier.
De zorgsector meldde in 2024 maar liefst 6.873 datalekken, meer dan welke sector ook. In 2025 steeg het aantal mediagenieke incidenten naar 26, meer dan een verdubbeling ten opzichte van het jaar ervoor (Z-CERT). De ransomware-aanval op EPD-leverancier ChipSoft liet zien hoe kwetsbaar de keten is (ICT&health).
Bij veel spraak-AI-oplossingen verlaat de audio het gebouw. Die wordt naar een cloudserver gestuurd voor transcriptie, vaak buiten Nederland. Onder de Amerikaanse CLOUD Act kunnen buitenlandse autoriteiten toegang eisen tot data bij Amerikaanse cloudproviders, ongeacht waar de server staat (Uniserver).
Stel jezelf de vraag: zou je een verslag van een therapiesessie op LinkedIn zetten? Nee? Dan hoort het ook niet op een cloudserver waarvan je niet weet wie er meekijkt.
Wat NEN 7510 hierover zegt
NEN 7510 is het Nederlandse kader voor informatiebeveiliging in de zorg. De norm eist dat organisaties weten waar persoonsgegevens verwerkt worden, wie er toegang heeft en welke risico's daaraan verbonden zijn. Sinds de update naar NEN 7510-1:2024 zijn de eisen rond ketenverantwoordelijkheid aangescherpt.
Voor spraak-AI betekent dit concreet: je moet kunnen aantonen waar de audio verwerkt wordt, wie de verwerker is en welke beveiligingsmaatregelen gelden. Bij cloudoplossingen is dat een complex verhaal met subverwerkers, datacenters in wisselende jurisdicties en voorwaarden die per update veranderen.
M&I Partners ontwikkelde samen met 13 organisaties uit zorg en overheid een referentie-DPIA specifiek voor spraakgestuurd rapporteren met AI (M&I Partners). Die DPIA biedt een 80%-basis, maar elke instelling moet de resterende 20% zelf invullen, afgestemd op de eigen situatie.
Lokaal draaien als alternatief
Er is een technisch alternatief dat steeds volwassener wordt: spraakherkenning die volledig lokaal draait. Open-source modellen zoals Whisper zijn inmiddels beschikbaar in varianten die geoptimaliseerd zijn voor Apple Silicon via frameworks als MLX en WhisperKit (GitHub). De transcriptie gebeurt op de hardware van de instelling zelf. Geen audio die het pand verlaat, geen externe verwerker, geen CLOUD Act-risico.
De prestaties zijn indrukwekkend. Moderne Apple Silicon chips verwerken spraak sneller dan realtime, met een nauwkeurigheid die commerciele cloudoplossingen benadert. En omdat het model lokaal draait, is de DPIA een stuk eenvoudiger: er is geen verwerker, geen doorgifte, geen subverwerker.
Wat je morgen kunt doen
Drie stappen voor elke GGZ-instelling die met spraak-AI aan de slag wil:
Breng in kaart waar je audio verwerkt wordt. Vraag je leverancier expliciet: op welke servers draait de transcriptie? In welk land? Onder welke jurisdictie?
Start een DPIA. Gebruik de referentie-DPIA van M&I Partners als basis. Betrek je Functionaris Gegevensbescherming vanaf het begin.
Test een lokaal alternatief. Draai een proof-of-concept met Whisper op eigen hardware. Vergelijk de kwaliteit, de snelheid en de compliance-positie met je huidige oplossing.
De Zilveren Kruis-deadline van eind 2026 klinkt ver weg. Maar een AI-strategie die privacy serieus neemt, bouw je niet in een maand.
Bronnen: Berenschot, ICT and health, Z-CERT, M and I Partners
Wilt u zien hoe lokale AI eruitziet in de praktijk? Plan een gesprek en we geven u een live demonstratie.