Een AI-chatbot kan op een AVG-conforme manier door een esthetische kliniek worden gebruikt, maar een “AVG-conforme chatbot” is geen product dat een kliniek zomaar kan kopen.
Conformiteit hangt af van wat de chatbot verwerkt, of bezoekers gezondheidsinformatie prijsgeven, waar hun berichten naartoe worden gestuurd, of gesprekken worden bewaard of hergebruikt, welke aanbieders betrokken zijn en wat bezoekers wordt verteld.
Een privacybewust product kan de naleving aanzienlijk vergemakkelijken. Het kan niet de eigen privacyverklaring, contracten en verantwoordelijkheden van de kliniek vervangen.
De nuttige vraag is daarom niet:
Staat er een “AVG-conform”-badge op de chatbot?
Ze is:
Wat gebeurt er met het bericht van een bezoeker vanaf het moment dat hij het typt?
Waarom esthetische klinieken bijzondere zorg vereisen
Niet elk bericht van een kliniekchatbot bevat persoonsgegevens.
Vragen zoals deze onthullen mogelijk niets over de bezoeker:
Biedt u Sculptra aan?
Is er parkeergelegenheid in de buurt van de kliniek?
Wat gebeurt er tijdens een consultatie?
Maar het gesprek kan met één bericht veranderen:
Ik heb rosacea en neem isotretinoïne. Kan ik deze behandeling krijgen?
Ik heb gisteren filler gekregen en nu is mijn zicht wazig.
Informatie over de fysieke of geestelijke gezondheid van een identificeerbare persoon kan als gegevens over gezondheid kwalificeren. Op grond van artikel 9 van de AVG behoren gezondheidsgegevens tot een bijzonder beschermde categorie van persoonsgegevens.
Een kliniekchatbot kan dus vrijwel onmiddellijk overgaan van een anonieme praktische vraag naar gevoelige informatie.
Het privacyontwerp moet rekening houden met wat bezoekers kunnen typen—niet alleen met wat de chatbot bewust vraagt.
Wat vereist de AVG?
Dataminimalisatie
Artikel 5 van de AVG vereist dat persoonsgegevens toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor het doel.
Een kliniek heeft doorgaans niet iemands naam, e-mailadres en telefoonnummer nodig om te beantwoorden of ze een behandeling aanbiedt, privéconsultatieruimtes heeft of op zaterdag open is.
Minder persoonsgegevens verzamelen is niet alleen een juridisch principe. Het zorgt ook voor een betere gebruikerservaring.
Een bezoeker kan een oprechte behandelintentie hebben zonder klaar te zijn om zich te identificeren. Contactgegevens vereisen voordat een basisantwoord wordt gegeven, verandert de chatbot in een leadformulier vermomd als gesprek.
Een rechtsgrond
Wanneer persoonsgegevens worden verwerkt, moet de kliniek een passende rechtsgrond onder de AVG vaststellen.
Wanneer gezondheidsgegevens in het spel zijn, is ook een toepasselijke voorwaarde van artikel 9 vereist. Het feit dat een bezoeker vrijwillig gezondheidsinformatie heeft getypt, beslecht op zichzelf niet elke juridische vraag over hoe die informatie vervolgens mag worden bewaard, gedeeld of hergebruikt.
Toestemming kan in sommige situaties relevant zijn, maar “de bezoeker heeft cookies aanvaard” is geen universeel antwoord.
Transparantie
Bezoekers zouden in duidelijke taal moeten worden geïnformeerd:
- wie verantwoordelijk is voor de verwerking;
- waarom hun gegevens worden verwerkt;
- welke aanbieders ze ontvangen;
- of gesprekken worden bewaard;
- hoe lang informatie wordt bewaard;
- of ze wordt hergebruikt voor het trainen van modellen;
- of gegevens de Europese Economische Ruimte verlaten;
- welke rechten de bezoeker heeft.
Artikel 13 van de AVG bepaalt welke informatie moet worden verstrekt wanneer persoonsgegevens rechtstreeks bij een persoon worden verkregen.
AI-bekendmaking wordt wettelijk verplicht op 2 augustus 2026
Informatie over gegevensbescherming en AI-bekendmaking zijn verwant, maar ze zijn niet identiek.
Artikel 50 van de Europese AI-verordening vereist dat aanbieders van AI-systemen die zijn ontworpen om rechtstreeks met mensen te interageren, ervoor zorgen dat gebruikers worden geïnformeerd dat ze met een AI interageren, tenzij dit al duidelijk is uit de omstandigheden.
Deze verplichting geldt vanaf 2 augustus 2026.
Voor klinieken is het praktische punt eenvoudig: de chatbot die op de website wordt gebruikt, zou zich vanaf het begin van de interactie duidelijk als AI moeten identificeren. Een bezoeker zou nooit moeten hoeven raden of hij met receptiepersoneel of met software praat.
Bij het kiezen van een chatbot zou een kliniek moeten bevestigen dat de aanbieder deze AI-bekendmaking inbouwt.
Opslagbeperking
Gespreksgeschiedenissen zouden niet onbeperkt bewaard mogen blijven louter omdat opslag goedkoop is.
Als gesprekken worden bewaard, zouden de kliniek en de aanbieder moeten kunnen uitleggen:
- waarom opslag noodzakelijk is;
- welke berichten worden bewaard;
- wie er toegang toe heeft;
- hoe lang ze beschikbaar blijven;
- wanneer ze worden verwijderd.
Gesprekslogs van een esthetische kliniek kunnen veel gevoeligere informatie bevatten dan een gewone e-commerce-supporttranscriptie.
Verwerkersovereenkomsten
Wanneer een chatbotaanbieder persoonsgegevens verwerkt namens een kliniek, vereist de relatie doorgaans passende contractuele bepalingen op grond van artikel 28 van de AVG.
De kliniek zou ook moeten weten welke subverwerkers, hostingaanbieders en AI-aanbieders betrokken zijn.
Internationale doorgiften
Gebruikmaken van een niet-EU-bedrijf is niet automatisch verboden. De kliniek moet echter begrijpen waar persoonsgegevens worden verwerkt en welke waarborgen van toepassing zijn als ze buiten de Europese Economische Ruimte worden doorgegeven.
De relevante vraag is niet louter waar het chatbotbedrijf zijn maatschappelijke zetel heeft. Het is waar de volledige verwerkingsketen de gegevens naartoe stuurt.
Cookietoestemming beantwoordt de chatbotvraag niet
Cookiebanners wekken regelmatig de valse indruk dat alle privacybeslissingen van de website zijn opgelost.
Dat is niet zo.
De bezoeker weigerde cookies, maar de chatbot bewaart de berichten toch
Een bezoeker kan optionele cookies weigeren en vervolgens de chatbot gebruiken. De aanbieder kan het gesprek toch op zijn servers bewaren.
Serverzijdige gespreksopslag hangt niet noodzakelijk af van cookies.
De relevante vragen zijn of de opslag een rechtmatig doel heeft, of ze noodzakelijk is, of ze correct is meegedeeld en hoe lang de berichten worden bewaard.
Cookies weigeren voorkomt niet automatisch alle andere vormen van gegevensverwerking.
De bezoeker aanvaardde cookies, maar stemde niet met alles in
Analyse- of marketingcookies aanvaarden betekent niet automatisch dat de bezoeker heeft ingestemd met:
- volledige opslag van chatbotgesprekken;
- onbeperkte bewaring van gezondheidsdetails;
- hergebruik van berichten voor AI-training;
- bekendmaking aan niet-verwante aanbieders.
Een generieke klik op “Alles aanvaarden” zou niet mogen worden opgerekt tot toestemming voor niet-verwante verwerkingsdoeleinden.
Cookietoestemming en de verwerking van chatbotberichten moeten afzonderlijk worden beoordeeld.
De chatbot eist persoonsgegevens voordat hij antwoordt
Sommige chatwidgets vereisen dat een bezoeker het volgende opgeeft:
- een volledige naam;
- een e-mailadres;
- een telefoonnummer;
voordat hij vraagt of de kliniek een behandeling aanbiedt of parkeergelegenheid heeft.
Waarom?
De bezoeker heeft niet noodzakelijk beslist om contact op te nemen met de kliniek. Hij is mogelijk nog aan het onderzoeken, opties aan het vergelijken en aan het beslissen of de kliniek relevant is.
Dat is geen privacyvriendelijke hulp. Het is verplichte leadverzameling.
Waar kliniekchatbots vaak falen
Het Europees Comité voor gegevensbescherming heeft specifiek de verwerking van persoonsgegevens bij de ontwikkeling en inzet van AI-modellen onderzocht, waaronder vragen rond anonimiteit, gerechtvaardigde belangen en de gevolgen van onrechtmatig verwerkte trainingsgegevens. De richtsnoeren maken duidelijk dat de beginselen van gegevensbescherming gedurende het volledige ontwerp en de werking van een AI-systeem in aanmerking moeten worden genomen, in plaats van als een bijzaak te worden behandeld.
Vragen om te stellen voordat u een kliniekchatbot kiest
Aanvaard “wij zijn AVG-conform” niet als het volledige antwoord. Vraag naar de echte gegevensstroom.
- Kunnen bezoekers gewone vragen stellen zonder hun naam, e-mailadres of telefoonnummer te geven?
- Worden volledige gesprekken bewaard?
- Als gesprekken worden bewaard, waarom en hoe lang?
- Worden berichten gebruikt om AI-modellen te trainen of te verbeteren?
- Welke informatie wordt naar de AI-aanbieder gestuurd?
- Waar wordt die informatie verwerkt?
- Welke subverwerkers zijn betrokken?
- Is er een verwerkersovereenkomst beschikbaar?
- Wat gebeurt er wanneer een bezoeker gezondheidsinformatie invoert?
- Kunnen bezoekers foto’s uploaden?
- Hoe worden urgente symptomen behandeld?
- Maakt de interface duidelijk dat ze AI gebruikt?
- Welke gegevens worden bewaard na een terugbel- of contactverzoek?
- Kan de aanbieder de volledige stroom uitleggen zonder vage bewoordingen zoals “dienstverbetering”?
Klinieken zouden nooit mogen aannemen dat “AI-gestuurd” één standaard verwerkingsmodel beschrijft. Verschillende aanbieders kunnen berichten op zeer verschillende manieren behandelen.
Hoe iGlowly privacy benadert
iGlowly is ontworpen rond dataminimalisatie in plaats van verplichte leadverzameling.
Bezoekers kunnen vragen vóór het boeken anoniem stellen. Ze hoeven geen account aan te maken of een naam, e-mailadres of telefoonnummer op te geven voordat ze een antwoord krijgen.
Gespreksgeschiedenissen worden niet bewaard.
De belangrijkste ontwerpkeuze betreft wat het AI-model kan zien. Voordat een bericht naar het AI-model wordt gestuurd, passeert het een op Azure gebaseerde saneringslaag die is ontworpen om namen, contactgegevens en andere directe identificatoren te detecteren en te verwijderen. Het trainen van modellen op iGlowly-gespreksgegevens is uitgeschakeld. Met andere woorden, persoonsgegevens worden geminimaliseerd door de architectuur zelf, niet door een instelling die elke kliniek moet onthouden aan te zetten.
Persoonsgegevens worden alleen verwerkt wanneer een bezoeker er actief voor kiest om een terugbelverzoek te doen. In dat geval:
- De bezoeker geeft een naam en telefoonnummer op.
- De bezoeker stemt uitdrukkelijk ermee in dat die gegevens per e-mail naar het receptieteam van de kliniek worden gestuurd.
- iGlowly verwerkt de informatie om dat terugbelverzoek uit te voeren.
- De informatie wordt door iGlowly niet bewaard als een leaddatabase.
Dit is anders dan vereisen dat elke bezoeker zich identificeert voordat hij een basisvraag kan stellen.
Het standaardgesprek blijft anoniem. Identificeerbare informatie komt pas in het traject wanneer de bezoeker de kliniek bewust vraagt om contact op te nemen.
iGlowly identificeert zich ook als een AI-assistent en is beperkt tot gecontroleerde medische informatie en door de kliniek goedgekeurde inhoud. Het doorzoekt tijdens gesprekken met patiënten niet het open web.
Dit zijn ingebouwde productkeuzes, geen optionele privacy-instellingen die elke kliniek moet onthouden te activeren. U kunt lezen hoe de architectuur werkt in het overzicht van de Zero-PHI-architectuur en hoe de widget zonder cookies werkt in de uitleg zonder cookies. Een vollediger overzicht van de privacyaanpak van het product staat in het iGlowly Trust Center.
Deze ontwerpkeuzes zijn ook preciezer dan beweren dat een chatbot universeel “AVG-conform” is. De kliniek heeft nog steeds een accurate privacyverklaring, passende contractuele regelingen en procedures nodig die overeenstemmen met hoe ze de dienst gebruikt.
Het eerlijke oordeel
Een AI-chatbot kan door een esthetische kliniek worden gebruikt zonder elke vraag in een bewaard patiëntdossier te veranderen.
Maar die uitkomst hangt af van het ontwerp:
- anonieme toegang;
- minimale gegevensverwerking;
- geen onnodige leaddrempel;
- duidelijke AI-bekendmaking;
- beperkte of geen gespreksbewaring;
- geen niet-bekendgemaakt hergebruik;
- passende contracten;
- uitdrukkelijke instemming wanneer een bezoeker persoonlijke opvolging vraagt.
Cookies weigeren stopt niet noodzakelijk de serverzijdige chatopslag.
Cookies aanvaarden betekent niet instemmen met het bewaren van of trainen op elk bericht.
En een naam, e-mailadres en telefoonnummer vragen voordat een basisvraag wordt beantwoord, is geen conversationele hulp. Het is leadverzameling.
De nuttigste vraag die een kliniek kan stellen is:
Wat gebeurt er met het bericht van de bezoeker nadat hij op verzenden heeft gedrukt?
Ontdek hoe iGlowly Assistant privacy en patiëntvragen behandelt.
Dit artikel biedt algemene informatie en is geen vervanging voor juridisch advies over de specifieke verwerkingsactiviteiten van een kliniek.