Een radioloog laat een AI-systeem borstkanker opsporen op mammografiebeelden. Een huisarts gebruikt een app die op basis van symptomen een diagnose voorstelt. Een dermatoloog scant een moedervlek met een smartphone-app die het risico op melanoom inschat. Medische AI is geen toekomstmuziek meer. Het is de dagelijkse praktijk in Nederlandse ziekenhuizen, huisartsenpraktijken en klinieken.
Maar met de komst van de EU AI Act verandert het speelveld fundamenteel. Medische AI valt vrijwel altijd in de categorie hoog risico. Dat betekent strenge verplichtingen voor zowel de makers als de gebruikers van deze systemen. Wat moet u weten als zorgorganisatie?
Waarom is medische AI bijna altijd hoog-risico?
De AI Act classificeert AI-systemen als hoog risico wanneer ze worden gebruikt als veiligheidscomponent van een product dat onder bestaande EU-productregelgeving valt, of wanneer het product zelf een conformiteitsbeoordeling door een derde partij vereist. Medische hulpmiddelen vallen hier rechtstreeks onder.
Bijlage III van de AI Act noemt gezondheidszorg expliciet. AI-systemen die bedoeld zijn om te worden gebruikt als veiligheidscomponent bij het beheer en de exploitatie van kritieke digitale infrastructuur, of als medisch hulpmiddel, zijn hoog risico. Maar het gaat verder dan alleen de AI Act.
Dubbele regulering: AI Act plus Medical Device Regulation
Hier wordt het complex. Medische AI-systemen die diagnostische of therapeutische claims maken, vallen ook onder de Medical Device Regulation (MDR). Dit is de Europese verordening voor medische hulpmiddelen die sinds 2021 volledig van kracht is.
Dit betekent dubbele compliance. Een AI-systeem dat borstkanker detecteert op mammografiebeelden moet CE-gemarkeerd zijn als medisch hulpmiddel onder de MDR. Tegelijkertijd moet het voldoen aan alle eisen voor hoog-risico AI-systemen onder de AI Act. De AI Act erkent deze overlap. Artikel 6 bepaalt dat AI-systemen die al onder bestaande EU-wetgeving vallen (waaronder de MDR) automatisch als hoog risico worden geclassificeerd. Er is geen ontsnappingsroute.
Voor zorgorganisaties die deze systemen gebruiken, betekent dit dat u moet controleren of uw leverancier aan beide regelgevingen voldoet. Heeft het systeem een CE-markering? Is er een conformiteitsverklaring onder de MDR? Kan de leverancier aantonen dat het systeem ook aan de AI Act-eisen voldoet?
Welke medische AI-systemen worden geraakt?
De impact is breed. Enkele voorbeelden van AI-systemen die in Nederlandse zorginstellingen worden gebruikt.
Philips HealthSuite biedt AI-gestuurde diagnostiek voor medische beeldvorming. Denk aan detectie van afwijkingen in CT-scans en MRI-beelden. Siemens Healthineers levert vergelijkbare AI-tools voor radiologie en laboratoriumdiagnostiek. Beide bedrijven zijn grote spelers in Nederlandse ziekenhuizen.
Aidence, een Nederlands bedrijf, ontwikkelt AI voor de detectie van longkanker op CT-scans. Hun systeem wordt al ingezet in het Nederlandse bevolkingsonderzoek. SkinVision is een Nederlandse app waarmee gebruikers moedervlekken kunnen fotograferen. De AI beoordeelt het risico op huidkanker.
Ada Health is een symptomenchecker die miljoenen mensen wereldwijd gebruiken. Op basis van ingevoerde klachten stelt de AI mogelijke diagnoses voor. Nuance DAX (van Microsoft) transcribeert en analyseert arts-patientgesprekken automatisch, zodat artsen minder tijd kwijt zijn aan administratie.
Al deze systemen vallen straks onder de verplichtingen voor hoog-risico AI. De verantwoordelijkheid ligt niet alleen bij de fabrikant. Als zorgorganisatie die deze tools inzet, bent u gebruiksverantwoordelijke onder de AI Act.
Het Babylon Health-voorbeeld: waarom regulering nodig is
Wie denkt dat het met medische AI wel meevalt, hoeft alleen naar Babylon Health te kijken. Het Britse bedrijf lanceerde een AI-gestuurde symptomenchecker die werd gepromoot als alternatief voor een huisartsbezoek. Onderzoek wees uit dat het systeem in meerdere gevallen ernstige aandoeningen miste of verkeerd classificeerde. Patienten met symptomen van een hartaanval kregen het advies om paracetamol te nemen. Kinderen met koorts en uitslag werden verkeerd getriaged.
Dit soort fouten bij medische AI kan levens kosten. Precies daarom eist de AI Act strenge waarborgen.
De verplichtingen voor zorginstellingen
Wat moet u als zorgorganisatie concreet regelen voor augustus 2026?
Klinische validatie
Dit is een MDR-eis die de AI Act versterkt. AI-systemen die diagnostische claims maken, moeten klinisch gevalideerd zijn. De prestaties moeten zijn bewezen in een relevante klinische setting, met representatieve patientenpopulaties. Vraag uw leverancier naar de klinische evidence.
Menselijk toezicht door medisch professionals
De AI Act eist menselijk toezicht op hoog-risico systemen. In de zorg betekent dit concreet dat een gekwalificeerde arts de eindverantwoordelijkheid draagt. Geen AI-systeem mag autonoom een diagnose stellen of een behandelbeslissing nemen. De arts beoordeelt de AI-output, weegt deze mee in het klinisch oordeel, maar beslist zelf. Dit is geen formaliteit. Het toezicht moet effectief zijn. De arts moet voldoende getraind zijn om de AI-output kritisch te beoordelen. Blindelings vertrouwen op de AI is niet alleen onverantwoord. Het is straks ook een overtreding.
Transparantie naar patienten
Patienten hebben het recht om te weten dat AI wordt ingezet bij hun diagnose of behandeling. Stel dat een AI-systeem afwijkingen detecteert op uw mammografie. U moet weten dat dit door AI is gedaan. De zorginstelling moet hierover informeren: helder, begrijpelijk, vooraf.
Beoordeling van fundamentele rechten
Voor AI-systemen die patienten raken, moet u een beoordeling uitvoeren van de impact op fundamentele rechten. Hoe beinvloedt het systeem het recht op gezondheid? Kan het leiden tot ongelijke behandeling van bepaalde patientengroepen? Functioneert de AI even goed voor alle demografische groepen?
Logging en monitoring
Alle interacties met hoog-risico AI-systemen moeten worden gelogd. Bij medische AI betekent dit dat u moet vastleggen welke beelden of data de AI heeft geanalyseerd, wat de AI-output was, welke beslissing de arts uiteindelijk heeft genomen. Deze logs moeten beschikbaar zijn voor toezichthouders.
De rol van de IGJ
In Nederland houdt de Inspectie Gezondheidszorg en Jeugd (IGJ) toezicht op de kwaliteit en veiligheid van de zorg. De IGJ controleert al of medische hulpmiddelen veilig worden gebruikt. Met de AI Act komt daar een extra dimensie bij.
De IGJ zal naar verwachting een belangrijke rol spelen bij het toezicht op medische AI. Dit kan betekenen dat inspecties zich uitbreiden naar hoe zorginstellingen AI-systemen inzetten: is er adequaat menselijk toezicht? Zijn de systemen geregistreerd? Wordt de AI-output correct gelogd? Zijn medewerkers voldoende opgeleid?
Voor zorginstellingen die al gewend zijn aan IGJ-inspecties is dit een logische uitbreiding. Maar het vereist wel dat u uw AI-gebruik goed gedocumenteerd heeft.
AI-geletterdheid voor zorgprofessionals
Artikel 4 van de AI Act, de AI-geletterdheidsplicht, is al van kracht sinds februari 2025. Voor de zorgsector is dit bijzonder relevant.
Artsen, verpleegkundigen en andere zorgprofessionals die werken met AI-systemen moeten begrijpen hoe die systemen werken. Niet op technisch niveau, maar voldoende om de output kritisch te beoordelen. Een radioloog die AI-ondersteunde diagnostiek gebruikt, moet weten wat de sensitiviteit en specificiteit van het systeem zijn. Wanneer genereert het vals-positieven? Bij welke patientengroepen presteert het minder goed?
Dit vraagt om gerichte training. Niet een algemeen verhaal over AI, maar specifieke scholing over de systemen die in uw instelling worden gebruikt.
De deadline: augustus 2026
Vanaf 2 augustus 2026 gelden alle verplichtingen voor hoog-risico AI-systemen volledig. Voor zorginstellingen is dit de harde grens. Uw AI-register moet op orde zijn. Uw leveranciers moeten de juiste documentatie hebben geleverd. Uw menselijk toezicht moet zijn ingericht. Uw medewerkers moeten zijn opgeleid.
Dat klinkt ver weg, maar het is het niet. Zorginstellingen werken met complexe IT-landschappen, lange inkooptrajecten en strenge interne procedures. Het kost tijd om alles in kaart te brengen en in te richten.
Zeven stappen voor zorginstellingen
Inventariseer alle AI-systemen
Welke AI-tools worden in uw instelling gebruikt? Denk aan diagnostische AI, triagesystemen, administratieve AI (spraakherkenning, transcriptie), beslissingsondersteunende systemen. Betrek alle afdelingen.
Controleer de MDR-status
Heeft elk AI-systeem dat diagnostische of therapeutische claims maakt een geldige CE-markering? Vraag uw leverancier om de conformiteitsverklaring.
Vraag AI Act-documentatie op bij leveranciers
Kan de leverancier aantonen dat het systeem voldoet aan de AI Act-eisen? Vraag naar technische documentatie, bias-rapportages, informatie over trainingsdata.
Richt menselijk toezicht in
Stel per AI-systeem vast welke arts of zorgprofessional verantwoordelijk is voor het toezicht. Documenteer de toezichtprocedure.
Informeer patienten
Pas uw informatiemateriaal aan. Patienten moeten weten wanneer AI wordt ingezet bij hun zorg.
Train uw team
Zorg dat alle medewerkers die met AI werken voldoende zijn opgeleid. Dit geldt al sinds februari 2025.
Registreer alles in uw AI-register
Bouw een centraal register op met alle AI-systemen, hun risicocategorie, de genomen maatregelen en de verantwoordelijke personen.
Begin met een scan
De AI Risicoscanner op AIComplianceHub.nl is specifiek geschikt voor zorginstellingen. In vijf minuten scant u uw AI-gebruik en ontdekt u welke systemen als hoog risico kwalificeren. Van daaruit kunt u direct doorwerken aan uw AI-register, documentatie genereren en uw team voorbereiden op de verplichtingen.
Medische AI biedt enorme kansen voor betere zorg. Snellere diagnoses, minder fouten, efficienter werken. Die kansen benutten kan alleen als u het verantwoord doet. De AI Act geeft het kader. Aan u om het in te vullen.