De zorgsector zit vol met AI-toepassingen. Radiologen gebruiken algoritmes voor beeldherkenning in scans. Huisartsenposten zetten triage-software in bij grote drukte. Ziekenhuizen testen decision support tools die patientendossiers analyseren en behandelsuggesties geven. Al deze AI-systemen raken op een of andere manier de EU AI Act.
Voor zorginstellingen en leveranciers van medische software is dit geen theoretisch onderwerp. De zorg is door de wet aangewezen als domein waar AI-systemen een grote impact hebben op mensen. De eisen zijn zwaar, de boetes serieus, en de deadlines naderen.
Waarom de zorg extra aandacht krijgt
De AI Act kent twee routes waarlangs AI in de zorg hoog-risico wordt. Die twee routes zijn belangrijk om te begrijpen.
De eerste route is Bijlage III van de AI Act. Daar staat expliciet dat AI-systemen die worden gebruikt voor triage in medische noodsituaties hoog-risico zijn. Ook AI voor toegang tot zorgdiensten valt hieronder. Een algoritme dat bepaalt welke patient eerder wordt behandeld of die een zorgverzekeraar ondersteunt bij het beoordelen van claims, is hoog-risico.
De tweede route loopt via Bijlage I. Medische hulpmiddelen met een AI-component vallen onder de Medical Device Regulation (MDR) of de In-Vitro Diagnostic Medical Devices Regulation (IVDR). Zodra die producten op de EU-markt komen, is de AI-component automatisch hoog-risico onder de AI Act. De conformiteitsbeoordeling van de MDR en de AI Act moeten dan naast elkaar worden uitgevoerd.
Voor een radiologie-AI die beeldherkenning doet betekent dit: zowel een CE-markering onder MDR als compliance met Artikel 9 tot en met Artikel 15 van de AI Act. Dat is dubbel werk dat samen moet worden georganiseerd.
Welke AI-toepassingen komen voor in de zorg?
In de praktijk zien we vijf hoofdcategorieen.
Diagnostische AI. Algoritmes die scans analyseren, pathologie-beelden interpreteren of afwijkingen signaleren in ECG's. Dit zijn vrijwel altijd Annex I-producten: ze zitten in gecertificeerde medische hulpmiddelen.
Beslissingsondersteunende AI. Systemen die artsen helpen bij medicatiekeuze, behandelingsopties voorstellen op basis van patientdata of waarschuwen bij interactie-risico's. Afhankelijk van hoe ze zijn ingericht kunnen deze onder Annex I vallen of direct onder Annex III.
Triage-AI. Sorteer-algoritmes bij huisartsenposten, spoedeisende hulp of telefoondiensten. Als AI mede-beslist over de urgentie van een zorgvraag, valt dat onder Annex III.
Administratieve AI. Spraakherkenning voor dictaten, automatische codering van DBC's, chatbot-ondersteuning voor patientvragen. Meestal beperkt tot minimaal risico, maar transparantie blijft verplicht: patienten moeten weten dat ze met AI communiceren.
Predictieve en operationele AI. Voorspelling van bedopnames, no-show-analyse, roosteroptimalisatie. Dit is operationele AI die meestal in beperkt of minimaal risico valt, tenzij de voorspellingen direct impact hebben op wie wel of geen behandeling krijgt.
Toezichthouders: IGJ speelt de hoofdrol
In Nederland houdt de Inspectie Gezondheidszorg en Jeugd (IGJ) toezicht op de veiligheid en kwaliteit van zorg. Zij krijgen ook een rol bij AI-systemen die in de zorg worden ingezet. Als een AI-algoritme onveilig blijkt of patienten benadeelt, kan de IGJ maatregelen nemen.
Naast de IGJ speelt de Autoriteit Persoonsgegevens (AP) een rol. Medische data vallen onder bijzondere categorieen persoonsgegevens onder de AVG. AI-systemen die deze data verwerken hebben dus een dubbele rechtsgrond: de AVG plus de AI Act. Een Data Protection Impact Assessment (DPIA) blijft verplicht naast de AI Act-documentatie.
Voor medische hulpmiddelen speelt ook de aangemelde instantie (Notified Body) een rol bij de CE-markering. Onder de AI Act worden de beoordelingsprocedures soms geintegreerd: een Notified Body die CE-certificering doet voor een medisch AI-product beoordeelt straks ook de AI Act-compliance.
Verbod op emotieherkenning raakt de zorg
Artikel 5 van de AI Act verbiedt emotieherkenning in bepaalde contexten, zoals op de werkplek en in onderwijs. De zorg is niet expliciet uitgezonderd, maar wel genuanceerd.
Emotieherkenning voor medische of veiligheidsdoeleinden mag wel. Denk aan een systeem dat stress-niveaus meet bij patienten op een IC om vroege signalen van medische verslechtering te detecteren. Of emotieherkenning in telezorg om te beoordelen of een patient acuut hulp nodig heeft.
De scheidslijn ligt bij de doelstelling. Meet u emoties om de patient beter te helpen? Toegestaan. Meet u emoties om de ervaring van de patient te optimaliseren voor marketing of efficientie? Dat ligt op glad ijs. Overleg met uw jurist en documenteer de medische onderbouwing.
Verplichtingen voor zorginstellingen
Als zorginstelling bent u meestal deployer: u koopt AI-software in en zet die in binnen uw eigen werkprocessen. Dat betekent concreet:
Gebruik het AI-systeem volgens de instructies van de leverancier. Afwijkend gebruik brengt u in de rol van provider, met alle zwaardere verplichtingen die daarbij horen.
Zorg voor menselijk toezicht. Een radioloog moet een door AI gesignaleerde afwijking kunnen toetsen en corrigeren. Een triagemedewerker moet een AI-urgentie kunnen overrulen.
Informeer patienten. Patienten en wettelijke vertegenwoordigers moeten weten wanneer AI betrokken is bij hun behandeling. Dit kan via algemene informatie (patientenfolder, website) of specifiek (consent-moment in het behandelcontract).
Houd een AI-register bij. Alle AI-systemen die in uw instelling worden gebruikt, met risicoclassificatie, doel en verantwoordelijken. Bij een inspectie is dit uw bewijs van governance.
Train uw personeel. Artsen, verpleegkundigen, administratieve krachten die met AI werken moeten AI-geletterd zijn. Dit geldt al sinds februari 2025.
Verplichtingen voor leveranciers van medische AI
Bouwt uw organisatie zelf AI-software voor de zorg? Dan bent u provider en liggen de zwaarste verplichtingen bij u.
Conformiteitsbeoordeling. Elk hoog-risico AI-systeem moet door een formele beoordeling voor het op de markt komt. Voor medische hulpmiddelen wordt dit gecombineerd met de MDR-procedure.
Technische documentatie volgens Bijlage IV. Uitgebreide documentatie over het AI-systeem: architectuur, trainingsdata, evaluaties, beperkingen, risicomanagement.
Post-market monitoring. U moet actief volgen hoe uw AI zich gedraagt nadat het op de markt is. Prestatieverschillen tussen groepen (bias), incidenten, veranderend gedrag.
Registratie in de EU-databank. Uw hoog-risico AI-product moet geregistreerd worden in de centrale Europese database voor AI-systemen.
Ernstige incidenten melden. Als uw AI-systeem betrokken is bij een ernstig incident (schade aan patienten, falend oordeel, datalek), moet u dit melden aan de toezichthouder.
Praktische stappen voor zorgbestuurders
Breng uw AI-landschap in kaart. Veel zorginstellingen ontdekken pas bij een inventarisatie hoeveel AI-componenten er al in hun IT-landschap zitten. Begin bij de leveranciers: vraag welke AI in hun software zit, vraag om technische documentatie, vraag naar AI Act-compliance.
Identificeer de hoog-risico toepassingen. Triage-software, diagnostische AI, decision support, AI in medische hulpmiddelen: allemaal waarschijnlijk hoog-risico. Zet deze bovenaan in uw compliance-planning.
Zorg voor DPIA-AI Act-integratie. U doet waarschijnlijk al DPIA's voor verwerkingen van medische data. Breid die uit met AI-specifieke onderdelen: impact op fundamentele rechten, bias-analyse, algoritmische transparantie.
Regel menselijk toezicht structureel. Niet als losse afspraak, maar als ingebakken proces. Protocollen, verantwoordelijke rollen, traceerbare afwijkbeslissingen.
Train medisch personeel in AI-geletterdheid. Specialisten moeten weten waar hun AI-tool goed in is, waar niet, en wanneer ze moeten ingrijpen. Dit is niet optioneel, dit is wet.
AI-beleid op bestuurlijk niveau. Een raad van bestuur die AI-governance delegeert aan een afdeling IT, loopt risico. AI Act-compliance raakt medisch-ethische keuzes. Het moet op bestuurlijk niveau worden verankerd.
Wat u vandaag kunt doen
De eerste stap is simpel: een inventarisatie. Welke AI-systemen gebruikt uw zorginstelling? Welke risicoclassificatie hoort daarbij? De gratis AI Risicoscanner van AIComplianceHub helpt u hierbij in vijf minuten.
Van daaruit bouwt u in het platform een AI-register op dat aansluit bij de zorgspecifieke verplichtingen. Onze documentgenerator produceert transparantieverklaringen, risicoanalyses en AI-beleid op maat. De e-learning dekt de AI-geletterdheidsplicht voor artsen, verpleegkundigen en administratieve krachten.
Zorg en AI zijn een krachtige combinatie, maar alleen als de governance klopt. Begin niet te laat.