AI Medische Transcriptie in Zwitserland: Uw FADP-Compliance Checklist
Stapsgewijze FADP-compliance checklist voor Zwitserse therapeuten die AI-transcriptie gebruiken. Behandelt toestemming, gegevensverwerking, impactbeoordelingen en te vermijden sancties.
Geschreven door
Dya Klinisch Team
Experts in Klinische Documentatie
Zwitserse therapeuten maken steeds vaker gebruik van AI-gestuurde transcriptie om documentatietijd te verminderen en aanwezig te blijven bij hun patiënten. Maar in een land waar gezondheidsgegevens strenge wettelijke bescherming genieten, is "een tool aanzetten" niet voldoende. De Federale Wet op de Gegevensbescherming (FADP) — van kracht sinds september 2023 en actief gehandhaafd — classificeert gezondheidsinformatie als gevoelige persoonsgegevens, waardoor hogere toestemmingsdrempels, verplichte impactbeoordelingen en aanzienlijke sancties bij niet-naleving (tot CHF 250.000) van toepassing zijn.
Dit artikel biedt een praktische, stapsgewijze checklist voor therapeuten en kliniekmanagers die AI medische transcriptie in Zwitserland willen inzetten en daarbij volledig FADP-conform willen blijven in 2026.
Waarom Zwitserland-specifieke compliance ertoe doet
De FADP is geen kopie van de AVG. Hoewel zij kernprincipes deelt — doelbinding, gegevensminimalisatie, transparantie — zijn er verschillende verschillen die direct van invloed zijn op hoe u AI-transcriptie configureert:
- Gevoelige gegevens vereisen uitdrukkelijke toestemming. Op grond van artikelen 6(6) en 6(7) FADP vereist de verwerking van gezondheidsgegevens uitdrukkelijke, geïnformeerde en vrij gegeven toestemming. Stilzwijgende toestemming of vooraf aangevinkte vakjes zijn niet geldig.
- Geautomatiseerde besluitvorming brengt informatieplichten met zich mee. Artikel 21 FADP vereist dat u patiënten informeert wanneer een beslissing uitsluitend gebaseerd is op geautomatiseerde verwerking en een aanzienlijk effect op hen heeft.
- Boetes richten zich op individuen, niet alleen op organisaties. In tegenstelling tot de AVG kunnen FADP-sancties worden opgelegd aan de verantwoordelijke natuurlijke persoon — dat wil zeggen de therapeut of kliniekdirecteur, niet alleen de praktijkentiteit.
- De FDPIC bevestigde dat de FADP van toepassing is op AI. In mei 2025 verklaarde de Federale Commissaris voor Gegevensbescherming en Informatie uitdrukkelijk dat de technologieneutrale FADP alle AI-gebaseerde gegevensverwerking dekt, inclusief transcriptie.
Nu Zwitserland in maart 2025 het Kaderverdrag van de Raad van Europa inzake AI heeft ondertekend, en een concept-AI-wet tegen eind 2026 voor consultatie wordt verwacht, wordt de regelgevende lat alleen maar hoger gelegd.
De FADP-conforme configuratiechecklist voor 2026
Gebruik de volgende checklist om uw AI-transcriptieworkflow te beoordelen en te configureren. Elk punt is gekoppeld aan een specifiek FADP-vereiste.
1. Toestemming van de patiënt
FADP-basis: Artikelen 6, 7, 8, 19
Voordat u een sessie opneemt, heeft u gedocumenteerde, uitdrukkelijke toestemming nodig. Dit is wat "uitdrukkelijk" betekent onder Zwitsers recht:
- Apart toestemmingsformulier. Verberg de toestemming voor transcriptie niet in een algemene behandelovereenkomst. Maak een apart document of een duidelijk afgescheiden sectie.
- Duidelijke taal. Beschrijf het proces in termen die de patiënt begrijpt — vermijd juridisch jargon.
- Specifiek doel. Vermeld precies wat de AI-tool doet: "Deze tool neemt ons gesprek op en genereert een schriftelijke samenvatting ter ondersteuning van uw klinische documentatie."
- Actieve opt-in. Gebruik een aanvinkvakje of handtekening — geen vooraf aangevinkt vakje, geen stilzwijgen, geen "doorgaan met de sessie impliceert toestemming."
- Recht om zonder gevolgen te weigeren. Maak duidelijk dat het afwijzen van AI-transcriptie geen invloed heeft op de behandelkwaliteit.
- Intrekkingsmechanisme. Leg uit hoe de patiënt de toestemming op elk moment kan intrekken en wat er gebeurt met reeds verwerkte gegevens.
Voorbeeld toestemmingstekst:
Ik geef toestemming voor de audio-opname van deze sessie met behulp van
een AI-gestuurd transcriptietool. De opname wordt verwerkt om schriftelijke
klinische notities te genereren voor mijn behandeldossier.
Ik begrijp dat:
- De opname wordt verwerkt op servers in Zwitserland
- Geen audio of tekst wordt gebruikt om AI-modellen te trainen
- Ik deze toestemming op elk moment kan intrekken door mijn therapeut
te informeren
- Het intrekken van toestemming geen invloed heeft op mijn recht op
behandeling
- Mijn gegevens worden bewaard volgens het bewaarbeleid van de praktijk
(zie details hieronder)
☐ Ik ga akkoord ☐ Ik ga niet akkoord
Handtekening: _______________ Datum: _______________
2. Gegevensopslag en -lokalisatie
FADP-basis: Artikelen 16, 17 (grensoverschrijdende overdrachten)
Waar uw gegevens worden opgeslagen en verwerkt, is een cruciale compliance-beslissing.
- Geef prioriteit aan in Zwitserland gehoste infrastructuur. De FADP staat grensoverschrijdende overdrachten alleen toe naar landen met adequaat beschermingsniveau (zoals bepaald door de Bondsraad) of met passende waarborgen. Het gebruik van Zwitserse servers vermijdt deze complexiteit volledig.
- Verifieer de dataresidentie van uw leverancier. Bevestig schriftelijk dat audiobestanden en transcriptie-uitvoer in Zwitserland worden verwerkt en opgeslagen. Sommige leveranciers routeren gegevens via Amerikaanse of Europese cloudproviders, ondanks dat ze zich als "Zwitsers" presenteren.
- Geen training op uw gegevens. Zorg ervoor dat de servicevoorwaarden van de leverancier uitdrukkelijk vermelden dat patiëntopnames en transcripties niet worden gebruikt om AI-modellen te trainen of te verbeteren.
- Versleuteling in rust en tijdens overdracht. Gegevens moeten worden versleuteld met industriestandaard protocollen (minimaal AES-256 voor opslag, TLS 1.3 voor overdracht).
- Back-uplocatie. Als er back-ups bestaan, moeten deze ook in Zwitserland of een jurisdictie met adequaat beschermingsniveau worden bewaard, met dezelfde toegangscontroles als de primaire opslag.
Vragen voor uw leverancier:
| Vraag | Verwacht antwoord |
|---|---|
| Waar worden audiobestanden verwerkt? | Servers in Zwitserland |
| Waar wordt transcriptie-uitvoer opgeslagen? | Servers in Zwitserland |
| Worden patiëntgegevens gebruikt voor modeltraining? | Nee |
| Welke versleutelingsstandaarden gebruikt u? | AES-256 in rust, TLS 1.3 tijdens overdracht |
| Kan ik een Gegevensverwerkingsovereenkomst (GVO) krijgen? | Ja, FADP-conform |
| Schakelt u niet-Zwitserse verwerkers in? | Nee, of met passende waarborgen |
3. Toegangscontrole
FADP-basis: Artikelen 7, 8 (verplichtingen inzake gegevensbeveiliging)
Beperken wie toegang heeft tot patiënttranscripties is zowel een wettelijke verplichting als een praktische waarborg.
- Rolgebaseerde toegang. Alleen de behandelende therapeut en geautoriseerd klinisch personeel mogen toegang hebben tot de transcripties van een patiënt. Implementeer rolgebaseerde toegangscontrole (RBAC) in uw systeem.
- Individuele accounts. Gedeelde inloggegevens maken het onmogelijk om te controleren wie wat heeft geraadpleegd. Elk teamlid heeft eigen inloggegevens nodig.
- Multi-factor authenticatie (MFA). Vereis MFA voor elk systeem dat gezondheidsgegevens opslaat. Dit is standaardpraktijk en wordt steeds meer verwacht door Zwitserse toezichthouders.
- Auditregistratie. Registreer elke toegang tot patiënttranscripties — wie wat heeft bekeken of bewerkt, en wanneer. Op grond van de Zwitserse Verordening inzake het Elektronisch Patiëntendossier (VEPD) moeten toegangslogboeken 10 jaar worden bewaard.
- Apparaatbeheer. Definieer welke apparaten toegang mogen hebben tot transcriptiegegevens. Persoonlijke smartphones zonder versleuteling of schermvergrendelingsbeleid vormen een risico.
- Beheerderstoegang van de leverancier. Verduidelijk of de AI-leverancier uw patiëntgegevens kan raadplegen voor ondersteuning of debugging, en onder welke voorwaarden.
Minimale toegangscontrolematrix:
| Rol | Sessie opnemen | Transcriptie bekijken | Transcriptie bewerken | Transcriptie verwijderen | Gebruikers beheren |
|---|---|---|---|---|---|
| Behandelende therapeut | Ja | Ja | Ja | Nee | Nee |
| Superviserende clinicus | Nee | Ja (eigen patiënten) | Nee | Nee | Nee |
| Praktijkbeheerder | Nee | Nee | Nee | Nee | Ja |
| IT-beheerder | Nee | Nee | Nee | Nee | Ja |
4. Gegevensbewaring en -verwijdering
FADP-basis: Artikel 6 (proportionaliteit, doelbinding)
De Zwitserse wetgeving vereist dat u gegevens alleen bewaart zolang ze een gedocumenteerd doel dienen — maar schrijft ook minimale bewaartermijnen voor medische dossiers voor.
- Audio-opnames: onmiddellijk verwijderen. Zodra de transcriptie is gegenereerd en gevalideerd door de therapeut, verwijdert u de originele audio. Er is zelden een wettelijke basis om ruwe opnames langdurig te bewaren.
- Transcripties in patiëntdossiers: 20 jaar bewaren. Op grond van Zwitserse kantonale gezondheidswetten en het Wetboek van Obligaties (verjaringstermijn letselschade) moeten patiëntdossiers — inclusief transcripties die deel uitmaken van het klinisch dossier — 20 jaar worden bewaard vanaf de laatste vermelding.
- Toegangslogboeken: 10 jaar bewaren. Volgens de Verordening inzake het Elektronisch Patiëntendossier moeten toegangslogboeken 10 jaar worden bewaard en mogen ze gedurende die periode niet worden verwijderd.
- Verwijdering na bewaartermijn. Na de bewaartermijn moeten gegevens worden verwijderd, tenzij de patiënt uitdrukkelijke toestemming geeft voor verdere bewaring.
- Documenteer uw beleid. Stel een bewaringsschema op dat audiobestanden, transcriptietekst, metadata en toegangslogboeken omvat. Stel dit op verzoek beschikbaar aan patiënten.
Aanbevolen bewaringsschema:
| Gegevenstype | Bewaartermijn | Basis |
|---|---|---|
| Ruwe audio-opname | Verwijderen na transcriptievalidatie (max. 48 u) | Gegevensminimalisatieprincipe |
| Transcriptie (in patiëntdossier) | 20 jaar vanaf laatste vermelding | Kantonale gezondheidswetten, OR Art. 128a |
| Sessiemetadata (datum, duur) | 20 jaar (deel van patiëntdossier) | Kantonale gezondheidswetten |
| Toegangs-/auditlogboeken | 10 jaar | VEPD Art. 10 |
| Toestemmingsregistraties | Duur van behandeling + 20 jaar | FADP Art. 6 + bewijsvereiste |
5. Gegevensbeschermingseffectbeoordeling (GBEB)
FADP-basis: Artikel 22
Een GBEB is verplicht wanneer gegevensverwerking waarschijnlijk een hoog risico oplevert voor de rechten van betrokkenen. AI-gebaseerde transcriptie van therapiesessies — met gevoelige gezondheidsgegevens, nieuwe technologie en potentieel kwetsbare betrokkenen — voldoet duidelijk aan deze drempel.
Uw GBEB moet het volgende omvatten:
- Beschrijving van de verwerking. Welke gegevens worden verzameld, hoe worden ze verwerkt en door wie?
- Doel en noodzaak. Waarom is AI-transcriptie nodig en is het proportioneel?
- Risicobeoordeling. Wat zijn de risico's van datalekken, onnauwkeurige transcriptie, onbevoegde toegang of heridentificatie?
- Mitigatiemaatregelen. Hoe verminderen versleuteling, toegangscontroles, toestemming en leveranciersovereenkomsten elk risico?
- Evaluatie van restrisico. Blijft er na mitigatie een hoog risico bestaan? Zo ja, dan moet u de FDPIC raadplegen voordat u verdergaat.
Bronnen voor Zwitserse GBEB's:
- Het FDPIC-informatieblad over GBEB's: gepubliceerd op edoeb.admin.ch
- De VUD (Vereniging voor Bedrijfsgegevensbescherming) GBEB-sjabloon: beschikbaar op vud.ch/dpia, inclusief een AI-ondersteund invultool
Als u een solopraktijk voert, kan een GBEB disproportioneel aanvoelen — maar de FADP ontslaat kleine praktijkhouders niet van deze verplichting wanneer zij gevoelige gegevens op schaal verwerken met AI-tools.
6. Transparantie en patiëntinformatie
FADP-basis: Artikelen 19, 20, 21
Naast toestemming heeft u doorlopende verplichtingen om patiënten te informeren over hoe hun gegevens worden verwerkt.
- Privacyverklaring. Werk de privacyverklaring van uw praktijk bij met vermelding van AI-transcriptie, inclusief de naam van de leverancier, verwerkingslocatie en gegevensstromen.
- Vermelding van geautomatiseerde verwerking. Als de AI-tool beslissingen neemt die de patiënt beïnvloeden (bijv. het signaleren van klinische risico-indicatoren), moet u dit vermelden en de patiënt het recht bieden om menselijke beoordeling te verzoeken.
- Recht op inzage. Patiënten kunnen op elk moment een kopie van hun transcripties opvragen. U moet binnen 30 dagen reageren.
- Recht op correctie. Als een transcriptie fouten bevat, kan de patiënt om correctie verzoeken.
- Bewegwijzering of mondelinge mededeling. Overweeg een kort bericht in uw spreekkamer te plaatsen: "Deze praktijk maakt gebruik van een AI-tool om te assisteren bij de sessiedocumentatie. Details zijn beschikbaar in ons privacybeleid."
7. Leveranciers-due diligence
FADP-basis: Artikel 9 (gegevensverwerking door derden)
Wanneer u een AI-transcriptiedienst van derden gebruikt, blijft u de verwerkingsverantwoordelijke. De leverancier is uw verwerker — en u bent verantwoordelijk voor diens compliance.
- Gegevensverwerkingsovereenkomst (GVO). Sluit een schriftelijke GVO met uw leverancier die de verwerkingsomvang, beveiligingsmaatregelen, subverwerkers, meldingsplichten bij datalekken en voorwaarden voor gegevensretournering/-verwijdering specificeert.
- Beveiligingscertificeringen. Zoek naar ISO 27001 of ISO 13485 (medisch hulpmiddel) certificering, SOC 2-rapporten of gelijkwaardige audits.
- Transparantie over subverwerkers. Weet of de leverancier verwerking uitbesteedt aan andere bedrijven en waar die subverwerkers zich bevinden.
- Clausule voor melding van datalekken. De leverancier moet u onmiddellijk op de hoogte stellen van elk datalek, zodat u kunt beoordelen of melding bij de FDPIC nodig is (verplicht wanneer een lek een hoog risico voor de rechten van betrokkenen oplevert).
- Exitstrategie. Zorg ervoor dat u alle gegevens kunt exporteren en verwijderen als u van leverancier wisselt.
Beknopt overzicht
| Gebied | Kernvereiste | FADP-artikel |
|---|---|---|
| Toestemming | Uitdrukkelijk, geïnformeerd, specifiek, vrij gegeven | Art. 6(7) |
| Opslag | Bij voorkeur in Zwitserland gehost; versleuteling verplicht | Art. 7, 16 |
| Toegangscontrole | Rolgebaseerd, geauditeerd, MFA-beveiligd | Art. 7, 8 |
| Bewaring | Audio: onmiddellijk verwijderen; dossiers: 20 jaar | Art. 6 + kantonaal recht |
| GBEB | Verplicht voor AI + gevoelige gezondheidsgegevens | Art. 22 |
| Transparantie | Privacyverklaring, vermelding geautomatiseerde verwerking | Art. 19, 20, 21 |
| Leverancier | Schriftelijke GVO, beveiligingsaudit, lijst subverwerkers | Art. 9 |
Wat komt er aan
Het regelgevend landschap van Zwitserland is in ontwikkeling. Belangrijke ontwikkelingen om in 2026 en daarna te volgen:
- Concept-AI-wet (verwacht eind 2026). De Bondsraad heeft het FDJP belast met het opstellen van wetgeving ter implementatie van het AI-Verdrag van de Raad van Europa. Dit kan uitgebreide transparantieverplichtingen, vereisten voor risicobeheer en sectorspecifieke regels voor AI in de gezondheidszorg introduceren.
- Swissmedic AI/ML-strategie. De Zwitserse geneesmiddelenautoriteit breidt haar eigen gebruik van AI uit en kan richtlijnen uitgeven over AI-gestuurde documentatietools.
- Nieuwe registratiedeadlines voor hulpmiddelen. UDI-registratieverplichtingen treden in werking op 1 juli 2026 — relevant als uw AI-transcriptietool als medisch hulpmiddel wordt geclassificeerd.
De beste voorbereiding is nu al een conforme basis te leggen. Praktijken die al aan de FADP-vereisten voldoen, zullen het veel eenvoudiger vinden om zich aan te passen aan komende regelgeving dan praktijken die achter de feiten aan lopen.
Bronnen
Dit artikel is gebaseerd op de volgende officiële en specialistische referenties:
- FDPIC: AI en Gegevensbescherming — Richtlijnen van de Zwitserse Federale Commissaris voor Gegevensbescherming en Informatie die bevestigen dat de FADP van toepassing is op AI-systemen.
- FDPIC: Huidige wetgeving inzake gegevensbescherming is rechtstreeks van toepassing op AI — Update van mei 2025 over de AI-specifieke toepasbaarheid van de FADP.
- FDPIC: Inzage, opslag en verwijdering van patiëntgegevens — Officiële richtlijnen over het bewaren van medische dossiers en patiëntenrechten.
- FDPIC: Informatieblad Gegevensbeschermingseffectbeoordeling (PDF) — GBEB-vereisten op grond van artikel 22 FADP.
- VUD: Sjabloon Gegevensbeschermingseffectbeoordeling — Zwitserland-specifiek GBEB-sjabloon met AI-ondersteund invultool.
- Swiss KMU Admin: Nieuwe Federale Wet op de Gegevensbescherming (nFADP) — Overzicht van de Zwitserse overheid over de herziene FADP.
- Pestalozzi Attorneys: Zwitserland zet koers naar AI-wetgeving — Analyse van de regelgevende aanpak van de Bondsraad inzake AI en het verwachte wetsontwerp voor 2026.
- Lenz & Staehelin: Zwitserland schetst regelgevende aanpak voor AI — Juridische analyse van de sectorspecifieke AI-regulatiestrategie van Zwitserland.
- ICLG: Wetten en regelgeving digitale gezondheid — Zwitserland — Overzicht van compliance in digitale gezondheid in Zwitserland, inclusief deadlines voor medische hulpmiddelen.
- 360core: Zwitserse wettelijke bewaartermijnen voor medische dossiers — Referentie voor de 20-jarige bewaarvereisten op grond van kantonale gezondheidswetten.
Gerelateerde artikelen:
- Volledige Gids voor AI Medische Transcriptie in 2025
- Sessierapportsjabloon voor Therapeuten: Structuur, Voorbeelden & Veelgemaakte Fouten
- AI Scribe vs Dictatie vs Handmatig Notities Maken: Wat is het Beste voor Uw Praktijk?
Op zoek naar een in Zwitserland gehost, FADP-conform AI-transcriptietool voor uw praktijk? Probeer Dya Clinical 7 dagen gratis.
