U mag niet zomaar bestanden met persoonsgegevens van verschillende zorgaanbieders aan elkaar koppelen. In principe betreft dit een gegevensverwerking met een hoog privacyrisico (gegevens makkelijk tot de persoon herleidbaar), het is dan nodig om een Data Protection Impact Assessment (DPIA) uit te voeren en passende maatregelen te nemen. Dat kan bijvoorbeeld gaan over het veilig koppelen van databestanden met persoonsgegevens van verschillende zorgaanbieders die met elkaar een netwerk vormen, het pseudonimiseren van gegevens, veilige opslag van de data, voor wie is de data toegankelijk, etc. Als zorgaanbieder blijft u zelf verantwoordelijk voor het naleven van de AVG, ook als de verwerking van gegevens wordt uitbesteed aan een verwerker.