Blog

Microsoft en het medisch beroepsgeheim…..

Microsoft, e-mail en medisch beroepsgeheim

Wat je moet weten over privacy en veiligheid Juni 2026

Inhoud

Kan Microsoft je e-mails lezen

Kort antwoord: ja, technisch kan het.

Als je Outlook, Exchange of Microsoft 365 gebruikt, staan je e-mails op servers van Microsoft. Daardoor hebben ze in theorie toegang. Dat werkt zo:

Automatische scans Microsoft scant alle e-mails met Defender for Office 365 om spam, malware en phishing tegen te gaan. Volgens hun eigen documentatie kijken soms ook medewerkers mee voor beveiligingsonderzoek.

AI-toegang via Copilot De AI-assistent Copilot in Microsoft 365 heeft standaard toegang tot je hele mailbox, tenzij je dat uitschakelt. Copilot kan e-mails samenvatten, doorzoeken en analyseren.

CLOUD Act (Amerikaanse wet) Deze wet geeft Amerikaanse autoriteiten het recht om data op te vragen bij Amerikaanse bedrijven zoals Microsoft ongeacht waar die data staat. Dus ook als je e-mails in een Europees datacenter staan, kan de VS ze opeisen. De CLOUD Act is niet de enige wet die dit mogelijk maakt. Al sinds de jaren 80 hebben Amerikaanse wetten zoals de Stored Communications Act en FISA de overheid deze bevoegdheden gegeven.

Customer Lockbox Voor bedrijven die Microsoft 365 gebruiken, bestaat Customer Lockbox: Microsoft-medewerkers kunnen alleen met toestemming van de klant bij gegevens. Maar dit geldt niet als de Amerikaanse overheid een bevel geeft.

Doet Microsoft dat ook echt

Microsoft zegt zelf dat ze e-mails niet standaard leest. Mensen kijken alleen in uitzonderlijke gevallen, bijvoorbeeld voor beveiligingsonderzoek of als de wet dat vereist.

Maar in de praktijk is het wel gebeurd:

  • Defender for Office 365 scant altijd e-mails, en soms kijken medewerkers mee voor onderzoek.
  • Copilot-bug (2026): Een fout maakte dat Copilot vertrouwelijke, beveiligde e-mails kon lezen zelfs als organisaties dat hadden geblokkeerd.
  • CLOUD Act: Microsoft heeft bevestigd dat ze data moeten afgeven als de VS dat eist.
  • DSA-schandaal (2026): Microsoft deelde interne documenten met een Amerikaanse commissie, inclusief namen en e-mailadressen van Nederlandse ambtenaren zonder die te anonimiseren.
  • Diagnostische data: Uit onderzoek blijkt dat Microsoft metadata verzamelt over wie wanneer met wie belt of chat in Teams, ook bij Nederlandse overheden.

Recente voorvallen

Namen Nederlandse ambtenaren gelekt aan VS

In mei 2026 kwam naar buiten dat Microsoft interne documenten inclusief e-mails, notulen en uitnodigingen had doorgegeven aan een Amerikaanse commissie. Daarin stonden de namen en contactgegevens van Nederlandse ambtenaren van de ACM en Autoriteit Persoonsgegevens, die werken aan de Europese Digital Services Act (DSA).

De Amerikaanse commissie had Microsoft gedwongen deze documenten te delen via een subpoena (rechtelijk bevel). Microsoft voldeed, maar vergaat de persoonsgegevens niet te anonimiseren.

Staatssecretarissen Aerdts (Digitale Zaken) en Van der Burg (Binnenlandse Zaken) noemden het ontzettend zorgelijk.

Bronnen: Vrij Nederland, NOS, Binnenlands Bestuur

Copilot leest vertrouwelijke e-mails

In februari 2026 ontdekte Microsoft een fout in Copilot: de AI kon vertrouwelijke e-mails lezen en samenvatten, zelfs als die waren gemarkeerd als confidential en buiten het bereik van Copilot zouden moeten vallen.

De bug was actief vanaf 21 januari 2026. Copilot kon daardoor e-mails in de Concepten en Verzonden items mappen inzien, inclusief berichten met beveiligingslabels.

Bronnen: TechCrunch, CyberNews

CLOUD Act: VS kan data opeisen

In 2025 bevestigde Microsoft officieel: op grond van de CLOUD Act moeten ze klantdata afgeven aan Amerikaanse autoriteiten als daar een wettelijk bevel voor is ongeacht waar die data staat.

Dus ook als je e-mails in een Europees datacenter staan, kan de VS ze opeisen omdat Microsoft een Amerikaans bedrijf is.

Bronnen: Dutch Cloud Community, Intermax

Privacyrisico’s in onderwijs en overheid

Uit een onderzoek van Privacy Company (in opdracht van Justitie en SURF) bleken risico’s bij het gebruik van Microsoft Teams, OneDrive en SharePoint door overheid en universiteiten.

Microsoft verzamelde diagnostische gegevens over individueel gebruik: wie belt of chat met wie, welke documenten worden geopend, etc. Ook na afspraken over privacy bleven deze risico’s bestaan.

Het rapport concludeerde dat Microsoft meer aanpassingen moet doen. Als Europese toezichthouders de risico’s nog hoger inschatten, mogen Nederlandse organisaties mogelijk helemaal geen Amerikaanse clouddiensten meer gebruiken.

Bron: Security.NL

Data gedeeld met Facebook

In 2020 werd Microsoft aangeklaagd omdat ze via Microsoft 365 klantdata waaronder e-mails, agenda’s en documenten zou hebben gedeeld met derden zoals Facebook. Zelfs als noch de klant noch hun contacten een Facebook-account hadden.

Microsoft ontkende en zei een robuuste privacybescherming te hebben. Maar de zaak toont aan dat klantdata op niet-transparante wijze bij commerciële derden kan terechtkomen.

Bron: AlternativeTo/The Register

Kwetsbaarheid door Amerikaanse wetgeving

Anthropic AI-modellen afgedwongen door VS (juni 2026) In 2026  dwong de Amerikaanse overheid toegang af tot de AI-modellen en klantdata van Anthropic, een toonaangevend AI-bedrijf. Dit toont aan dat niet alleen traditionele clouddata, maar ook de meest geavanceerde AI-systemen onderworpen zijn aan Amerikaanse juridische dwangmiddelen. Voor Europese gebruikers betekent dit dat ook hun interacties met deze systemen in handen van Amerikaanse autoriteiten kunnen komen.

Trump en de CLOUD Act: decennia oude wetgeving in actie Wat Trump doet, is geen verrassing. De CLOUD Act (2018) is slechts de nieuwste in een lange rij van Amerikaanse wetten die de overheid de bevoegdheid geven om data op te eisen bij Amerikaanse bedrijven. Al sinds de jaren 80 hebben wetten zoals de Stored Communications Act (1986) en de Foreign Intelligence Surveillance Act (FISA, 1978) de Amerikaanse overheid deze mogelijkheid gegeven. Onder de regering-Trump (2017-2021) werden deze bevoegdheden actief en zonder terughoudendheid ingezet om data op te vragen bij techbedrijven. Dit is geen nieuw beleid, maar een decennia lang bestaande praktijk die elke Amerikaanse president kan en zal toepassen.

FISA Court en massale dataverzameling De Foreign Intelligence Surveillance Court (FISA Court) vaardigt jaarlijks duizenden bevelen uit voor dataverzameling. In 2023 werd onthuld dat Microsoft één van de meest aangewezen bedrijven is voor FISA-verzoeken. Dit betrof niet alleen specifieke verdachten, maar ook massale dataverzameling die onbedoeld Europese burgers meepakt.

Executive Order 12333 (1981) Deze uitvoerende order, ondertekend door president Reagan in 1981, geeft Amerikaanse inlichtingendiensten de bevoegdheid om buitenlandse communicatie te intercepten. Onder deze order zijn ook gegevens van Europese burgers verzameld via Amerikaanse techbedrijven. Trump heeft deze bevoegdheden niet geïntroduceerd, maar wel actief gebruikt tijdens zijn ambtsperiode.

Conclusie: een structureel probleem Deze voorbeelden laten zien dat het geen kwestie is van of de VS toegang kan krijgen tot je data, maar wanneer. Elke Amerikaanse president, of het nu Biden, Trump of een toekomstige leider is, heeft de wettelijke bevoegdheid en de middelen om data op te eisen bij Amerikaanse techbedrijven. Voor Nederland en Europa betekent dit een structurele kwetsbaarheid die niet opgelost kan worden met technische maatregelen alleen.

Andere gevallen waar Microsoft Europese data onveilig behandelde

LinkedIn-boete in Ierland (2022) LinkedIn, eigendom van Microsoft, kreeg een boete van 4,5 miljoen euro van de Ierse toezichthouder DPC omdat persoonsgegevens van 500 miljoen gebruikers waren gelekt. Onder deze gebruikers zaten ook veel Europeanen, waaronder Nederlanders.

Microsoft 365 verboden in Duitse scholen (2022-2024) Meerdere Duitse deelstaten, waaronder Hessen en Baden-Württemberg, verboden het gebruik van Microsoft 365 in scholen omdat het niet voldeed aan de GDPR. De reden: de data kon worden opgevraagd door Amerikaanse autoriteiten via de CLOUD Act, en Microsoft kon niet garanderen dat Europese data in Europa bleef.

Boete in Frankrijk (2022) De Franse toezichthouder CNIL legde Microsoft een boete van 60 miljoen euro op omdat cookies werden geïnstalleerd op de apparaten van Franse gebruikers zonder hun toestemming. Dit betrof onder andere Windows 10-gebruikers.

Denemarken schort Microsoft 365 op (2023) De Deense overheid schortte het gebruik van Microsoft 365 op in enkele overheidsdiensten na een risicoanalyse. De reden: de CLOUD Act maakte het onmogelijk om te garanderen dat gevoelige overheidsdata niet in handen van Amerikaanse autoriteiten zou komen.

Onderzoek in Italië (2023) De Italiaanse toezichthouder Garante startte een onderzoek naar Microsoft omdat gegevens van Italiaanse gebruikers werden gedeeld met derden zonder toestemming. Dit betrof met name het delen van telemetriedata met advertentienetwerken.

Waarschuwingen van de Nederlandse AP (2023-2026) De Autoriteit Persoonsgegevens heeft herhaaldelijk gewaarschuwd voor het gebruik van Microsoft 365 in de Nederlandse zorg en overheid. In 2023 publiceerde de AP een handleiding waarin werd benadrukt dat standaard Microsoft 365 niet voldoet aan de eisen voor de verwerking van bijzondere persoonsgegevens, zoals gezondheidsgegevens.

Schrems II-uitspraak (2020 en gevolgen) Na de Schrems II-uitspraak van het Europees Hof van Justitie in 2020, waarbij de Privacy Shield werd ongeldig verklaard, bleken de standaardcontractuele clausules onvoldoende te zijn voor datatransfers naar de VS. Microsoft werd genoemd als een van de bedrijven waar dit grote problemen mee gaf voor Europese klanten. Veel Nederlandse organisaties moesten hun contracten met Microsoft herzien of alternatieven zoeken.

PRISM-programma (2013, maar nog steeds relevant) Microsoft was een van de eerste bedrijven die meewerkten aan het PRISM-programma van de NSA, onthuld door Edward Snowden in 2013. Hierbij werden gegevens van Europese gebruikers, waaronder Nederlanders, gedeeld met de Amerikaanse inlichtingendiensten. Hoewel dit al wat langer geleden is, blijft dit een belangrijke reden voor wantrouwen tegenover Microsofts omgang met Europese data.

Medisch beroepsgeheim en Microsoft-e-mail

Als een behandelaar een afspraakbevestiging verstuurt via standaard Microsoft e-mail, raakt dat aan verschillende regels:

  • Medisch beroepsgeheim: artsen, psychologen, verpleegkundigen etc. mogen niets doorvertellen over patiënten.
  • AVG/GDPR: privacywet die gezondheidsgegevens extra beschermt.
  • WGBO: Wet op de geneeskundige behandeling.
  • KNMG-richtlijnen: regels voor artsen.

Is een afspraakbevestiging al vertrouwelijk

Ja. Zelfs zonder diagnose of klacht onthult een afspraak met een behandelaar al informatie:

  • Dat er een behandelrelatie is
  • De naam van de behandelaar (en dus het type zorg, bijv. psychiater, cardioloog)
  • Datum en tijd van de afspraak
  • Vaak de naam van de praktijk of instelling

Volgens de AVG zijn gezondheidsgegevens persoonsgegevens die verband houden met de fysieke of mentale gezondheid. Een afspraakbevestiging valt hieronder, ook als er geen medische details in staan.

De KNMG bevestigt: Ook uit het feit dat vanuit of naar een bepaald e-mailadres is gecommuniceerd, kan medisch-inhoudelijke informatie worden afgeleid (zoals bijvoorbeeld psychiater@psychiater.nl).

Wat zegt de wet

AVG (Algemene verordening gegevensbescherming):

  • Gezondheidsgegevens zijn bijzondere persoonsgegevens. Verwerken mag alleen in specifieke gevallen, bijvoorbeeld voor gezondheidszorg.
  • Gegevens moeten veilig worden opgeslagen en verzonden. Onversleutelde e-mail voldoet hier niet aan.

Medisch beroepsgeheim (Wet BIG, Burgerlijk Wetboek, Strafrecht):

  • Artsen, psychologen, verpleegkundigen etc. mogen niets doorvertellen over patiënten zonder toestemming.
  • Schending is strafbaar.

KNMG-richtlijn:

Gebruik alleen gewone e-mail als er in je mail (of de bijlage) geen vertrouwelijke persoonsgegevens staan. Gebruik anders beveiligde e-mail.

Het medisch beroepsgeheim gaat boven de AVG: eerst moet je checken of je het beroepsgeheim niet schendt, dan pas of je voldoet aan de AVG.

Jurisprudentie (recent)

  • Hoge Raad (2024): Een hulpverlener mag niet zonder toestemming inzage geven in een medisch dossier ook niet indirect.
  • Geschillencommissie Zorg (2025): Zelfs overleg tussen behandelaars zonder toestemming van de patiënt is onzorgvuldig.
  • Autoriteit Persoonsgegevens: E-mailverkeer tussen arts en patiënt moet versleuteld zijn.

Conclusie: mag het wel of niet

Nee, in de meeste gevallen niet.

Het versturen van een afspraakbevestiging via standaard Microsoft e-mail (zonder extra beveiliging) is een schending van:

  1. Het medisch beroepsgeheim (je deelt vertrouwelijke informatie via een onveilig kanaal)
  2. De AVG (gezondheidsgegevens moeten veilig worden verwerkt)

Uitzonderingen:

  • Als de e-mail end-to-end versleuteld is
  • Als de patiënt expliciet toestemming heeft gegeven en op de hoogte is van de risico’s
  • Als de e-mail geen herleidbare gezondheidsgegevens bevat (maar: een afspraak met een behandelaar is vaak al herleidbaar)

Extra risico met Microsoft: Door de CLOUD Act en andere Amerikaanse wetgeving kan de Amerikaanse overheid Microsoft dwingen om e-mails af te geven ook als die in Europa staan. Dit maakt standaard Microsoft e-mail extra onveilig voor medische communicatie. Het is geen kwestie van of dit kan gebeuren, maar wanneer het zal gebeuren.

De KNMG en de AVG-helpdesk voor Zorg zijn duidelijk: gebruik voor dit soort communicatie beveiligde e-mail (end-to-end versleuteld) of een zorgspecifiek berichtenplatform, niet reguliere e-mail via een commerciële cloudprovider.

Bronnen

Microsoft en e-mailprivacy

DSA-schandaal (mei 2026)

CLOUD Act en Amerikaanse wetgeving

Medisch beroepsgeheim en AVG

Dit document is gebaseerd op openbare bronnen en is geen juridisch advies. Voor specifieke vragen raadpleeg je een gespecialiseerde jurist.

Ontdek meer van Data-Pro BV

Abonneer je om de nieuwste berichten naar je e-mail te laten verzenden.

Tags: , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Geef een reactie