Direct naar inhoud
Sector · Zorg

AI Act-compliance voor de zorgsector

Zorg-AI is bijna altijd hoog-risico onder de EU AI Act, met daarbovenop MDR/IVDR-classificatie als medisch hulpmiddel en NEN 7510-eisen voor informatiebeveiliging. Voor zorginstellingen, ziekenhuizen, GGZ en eerstelijnspraktijken: wat moet je hebben staan, en wat valt vaak buiten beeld.

Doe gratis een risicoscan

Toezichthouders die in deze sector relevant zijn

Inspectie Gezondheidszorg en Jeugd (IGJ)

Toezicht op kwaliteit en veiligheid van zorg, inclusief inzet van AI als medisch hulpmiddel of in patiëntenzorg.

Autoriteit Persoonsgegevens (AP)

Toezicht op verwerking van bijzondere persoonsgegevens (gezondheidsdata, AVG art. 9) door zorginstellingen.

Notified Body (CIBG / DEKRA / TÜV)

Conformiteitsbeoordeling onder MDR/IVDR voor AI als medisch hulpmiddel klasse IIa of hoger.

Markttoezichtautoriteit AI Act (vanaf 2 augustus 2026)

Sectorale handhaving van AI Act-verplichtingen voor zorg-AI; in NL waarschijnlijk gecoordineerd door IGJ in samenwerking met AI Office.

AI-toepassingen in deze sector — typische classificatie

Indicatieve classificatie per use-case. Echte classificatie hangt af van specifieke implementatie, data en autonomie-niveau — doe een risicoscan voor jouw specifieke geval.

Use-caseClassificatieOnderbouwing
Diagnostische AI (radiologie, pathologie, dermatologie)HoogDirect betrokken bij medische besluitvorming; onder Bijlage III + MDR/IVDR klasse IIa/IIb. Vereist FRIA + technische documentatie + conformiteitsbeoordeling via Notified Body.
Triage-AI in spoedeisende hulp / huisartsenpostHoogDirect beslissingen over urgentie en doorverwijzing — Bijlage III §5b (essentiele diensten). Menselijk-toezicht-protocol verplicht (art. 14).
Medicatie-advies en interactie-detectieHoogBeslist over of waarschuwt voor medicatie — typisch MDR-klasse IIa software. Vereist DPIA + FRIA + logging van adviezen + menselijke arts-review.
Chatbot voor patiëntcommunicatie (afspraken, FAQ)BeperktGeen medische beslissingen, dus niet Bijlage III. Wel Art. 50: patiënt moet weten dat het AI is. AVG-verwerking van persoonsgegevens vereist DPA + transparantie-statement.
EPD-analyse voor patroonherkenning op patientpopulatieBeperktStatistische analyse zonder individuele beslissingen valt typisch buiten Bijlage III, maar AVG art. 9 + DPIA verplicht. Bij koppeling aan individuele behandelpaden: hercheck.
Vergoedings-triage / claims-classificatie zorgverzekeraarHoogBeslist over toegang tot zorg via vergoedingen — Bijlage III §5b. Geautomatiseerde besluitvorming raakt AVG art. 22.
Vermoeidheid- of stress-monitoring werknemers (zorgpersoneel)VerbodenEmotie-detectie op werkplek is verboden onder AI Act art. 5 lid 1f, behalve voor medische uitzonderingen die strikt geinterpreteerd worden. Voor 'wellbeing-screening' van personeel: niet doen.

Sector-specifieke wetgeving naast EU AI Act en AVG

Verordening (EU) 2017/745 — Medical Device Regulation (MDR)

Classificeert AI-software als medisch hulpmiddel wanneer het diagnosticeert, monitort of behandelt. Klasse I (laag) tot III (hoog). Vrijwel alle diagnostische AI valt minimaal onder klasse IIa met Notified Body-conformiteitsbeoordeling.

Verordening (EU) 2017/746 — In Vitro Diagnostic Regulation (IVDR)

Voor AI op laboratorium-data en diagnostische bloed/weefselanalyses. Strenger dan MDR voor risicoklassen B-D.

Wet kwaliteit, klachten en geschillen zorg (Wkkgz)

Eisen aan kwaliteit van zorg, klachtenprocedure en incident-melding. Bij AI-incident: meldplicht aan IGJ binnen redelijke termijn.

Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)

Specifiek NL-wettelijk kader voor verwerking van zorggegevens bovenop AVG. Dossierplicht, beroepsgeheim, en specifieke regels bij doorlevering aan derden.

NEN 7510 — Informatiebeveiliging in de zorg

Nederlandse norm voor informatiebeveiliging die voor zorginstellingen feitelijk verplicht is via inkoopvoorwaarden. Combineerbaar met ISO 27001 + ISO 42001.

Vaak-gemaakte fouten in deze sector

Pas op

Vergeten dat AI-software vaak medisch hulpmiddel is

Veel zorginstellingen denken dat een AI-tool 'gewone software' is. Als de AI invloed heeft op diagnose, monitoring of behandeling, valt het onder MDR — ook als de leverancier dat niet meldt. Vraag bij inkoop expliciet om CE-markering en MDR-klasse.

Pas op

Beroepsgeheim niet doorvertaald naar AI-leverancier

Het medisch beroepsgeheim (Wabvpz + WGBO) is strikter dan AVG art. 28. Een standaard-DPA volstaat vaak niet — er moet een specifieke clausule over beroepsgeheim-doorbreking + sub-processor-restricties.

Pas op

Wellbeing-tools voor personeel die richting Art. 5 gaan

Een AI die 'burnout-risico' van zorgmedewerkers monitort raakt het verbod op emotie-detectie op werkplek (art. 5 lid 1f). De medische uitzondering geldt alleen wanneer er een medische professional in de loop zit — niet voor HR-doeleinden.

Pas op

Logbestanden korter dan 6 maanden bewaard

AI Act art. 12 eist minimaal 6 maanden logging voor hoog-risico-systemen. Veel zorg-IT-leveranciers loggen 30 dagen of korter — vraag bij inkoop expliciet of logging-bewaartermijn AI Act-compliant is.

Documenten die je in deze sector typisch nodig hebt

  • AI-beleid (organisatie-breed) met zorg-specifieke clausules over beroepsgeheim
  • AI-register met MDR/IVDR-klasse per systeem
  • Conformiteitsverklaring + CE-markering (door AI-leverancier aangeleverd)
  • FRIA + DPIA (gecombineerd, sectie over patiënt-grondrechten)
  • Technische documentatie volgens Bijlage IV + MDR Bijlage II
  • Logging-policy met minimaal 6 maanden retentie + Wabvpz-bewaartermijnen
  • Human-oversight-protocol — wie (welke arts) overruled welke AI-output
  • Incident-response-plan met IGJ-meldingsprotocol (Wkkgz + AI Act art. 73)
  • DPA met AI-leverancier inclusief beroepsgeheim-clausule
  • Bewijs AI-geletterdheid voor zorgmedewerkers (rol-specifiek)

Veelgestelde vragen — Zorg

Wij gebruiken een AI-chatbot voor afspraakplanning — geldt MDR?
Nee, mits de chatbot puur logistiek werkt (afspraken, FAQ, locatieinfo) zonder medische triage of behandeladvies. Wel geldt AI Act Art. 50 (transparantie naar patiënt) + AVG. Zodra de chatbot ook maar enig medisch advies geeft kantelt 't naar MDR-overweging.
Onze radiologie-AI is door de leverancier al CE-gemarkeerd. Hoeven wij niets meer?
Hun CE-markering is voor het product. Jullie zijn als gebruiksverantwoordelijke nog steeds verantwoordelijk voor de gebruikscontext: FRIA voor jullie specifieke inzet, menselijk toezicht door jullie radiologen, logging in jullie systemen, training van jullie team. De CE-markering vervangt dat niet.
Mogen we AI-tools gebruiken voor patientenselectie in onderzoek?
Onderzoek valt onder een specifieke uitzondering in AI Act art. 2 lid 6 — research & development is buiten scope van de Verordening. Maar AVG en WMO (medisch-wetenschappelijk onderzoek) gelden onverminderd. Bij overgang van research naar productie wordt het systeem alsnog AI Act-onderworpen.
Hoe verhoudt NEN 7510 zich tot AI Act-eisen?
NEN 7510 dekt informatiebeveiliging maar niet AI-specifieke risico's (bias, autonome besluitvorming, transparantie). Combinatie: NEN 7510 voor data-beveiliging + AI Act-documenten voor AI-specifieke governance. Sommige ziekenhuizen koppelen dit aan ISO 42001 als gemeenschappelijke management-laag.
Wat als IGJ vraagt naar onze AI-inzet?
Lever een audit-pack per AI-systeem: systeem-info + classificatie + FRIA + DPIA + technische documentatie + logging-policy + incident-protocol + bewijs van geletterdheid. Termijn typisch 2-4 weken. Met AuditAI ZIP-export is dat een paar minuten werk; zonder voorbereiding een paar weken stress.

Verder lezen in de kennisbank

Hoog-risico AI herkennen: Annex III in begrijpelijk Nederlands

Bijlage III van de EU AI Act somt acht categorieen AI-systemen op die als hoog-risico gelden. Per categorie: wat valt eronder, wat valt er net buiten, en welke verplichtingen worden actief.

FRIA in 7 stappen: grondrechten-effectbeoordeling voor MKB

Een FRIA (Fundamental Rights Impact Assessment) is voor hoog-risico AI-systemen verplicht onder EU AI Act art. 27. Welke 7 stappen je doorloopt, welke informatie je verzamelt, en hoe je het document maakt zonder een externe adviseur in te huren.

Audit-pack: wat de toezichthouder écht wil zien

Een audit-pack is een gestructureerde set documenten die bewijst dat je AI-Act-compliant werkt. Wat hoort er minimaal in voor MKB, hoe leveren toezichthouders een audit-vraag uit, en welke valkuilen vermijd je.

Specifiek voor Zorg

Ontvang een rapport voor jouw eigen organisatie in 5 minuten

De gratis risicoscan vraagt naar je specifieke AI-toepassingen en geeft een sector-aware classificatie. Geen account nodig.

Start gratis scan