EU AI Act naleving voor de zorgsector: verplichtingen voor zorgorganisaties

De zorgsector is een van de sectoren die de EU AI Act - de AI wet die voor alle Europese bedrijven geldt - het meest uitgebreid heeft gereguleerd. De reden is evident: een fout in AI-ondersteunde medische besluitvorming kan direct schade toebrengen aan patiënten. Tegelijkertijd wordt AI in de zorg steeds breder ingezet: van diagnose-ondersteuning en medicatiecontrole tot administratieve verwerking en patiëntenplanning.

Welke AI-toepassingen in de zorg zijn hoog-risico?

Diagnose-ondersteunende AI Hoog Risico

AI-systemen die beeldherkenning toepassen voor diagnose (röntgenfoto's, MRI-scans, huidafwijkingen), symptomen analyseren om diagnoses voor te stellen, of risicoscores berekenen voor patiënten vallen in de hoog-risico categorie. Dit geldt ook als het systeem de arts "slechts ondersteunt" - het is het gebruik, niet de beslissing, dat bepaalt of iets hoog-risico is.

AI in medische hulpmiddelen Hoog Risico

Als uw AI-systeem als medisch hulpmiddel is geclassificeerd (CE-markering klasse IIa, IIb of III), dan gelden naast de AI Act ook de Medical Device Regulation (MDR) en In Vitro Diagnostics Regulation (IVDR). In de meeste gevallen zijn de naleving-eisen van de AI Act al gedekt door de MDR-eisen, maar controleer dit expliciet.

Medicatiebeheer en -controle AI Hoog Risico

Systemen die medicatie-interacties controleren, doseringen adviseren of medicatieschema's beheren vallen onder hoog-risico AI, omdat een fout direct patiëntenschade kan veroorzaken.

Patiëntenplanning en triagesystemen Hoog Risico

AI die patiënten prioriteert voor behandeling of doorverwijst op basis van urgentiescores, valt onder hoog-risico AI vanwege de directe impact op de toegang tot zorg.

Administratieve AI en chatbots Beperkt Risico

AI voor afsprakenbeheer, facturering, medische transcriptie (zonder diagnose-functie) of informatieve patiënten-chatbots (die geen medische adviezen geven) vallen doorgaans in de beperkt-risico categorie. Hier gelden lichtere naleving-eisen, maar transparantie naar patiënten blijft verplicht.

Welke naleving-verplichtingen gelden voor hoog-risico AI in de zorg?

• 1 Technische documentatie: u moet beschikken over documentatie van hoe het AI-systeem werkt, welke trainingsdata is gebruikt, wat de prestatiestatistieken zijn, en wat de bekende beperkingen zijn. U vraagt dit op bij uw leverancier (PACS-systeem, EPD-aanbieder, medtech-leverancier).
• 2 Risicobeheersysteem: een gedocumenteerd proces om de risico's van het AI-systeem voor patiënten te identificeren en te beheersen. Dit overlapt deels met uw DPIA (Data Protection Impact Assessment) onder de AVG en uw kwaliteitsmanagementsysteem (KMS).
• 3 Menselijk toezicht: AI mag geen diagnoses stellen of behandelbeslissingen nemen zonder menselijke controle door een bevoegd zorgverlener. Leg vast hoe dit toezicht is georganiseerd in uw zorgprocessen en protocollen.
• 4 AI-register en AI-beleid: een overzicht van alle AI-systemen in gebruik, hun risiconiveau, en een intern beleidsdocument dat beschrijft hoe uw organisatie met AI omgaat. Voor zorginstellingen is dit aan te vullen aan uw bestaande informatiebeveiligingsbeleid (NEN 7510).
• 5 AI-geletterdheid voor zorgpersoneel (artikel 4): zorgverleners en ondersteunend personeel dat met AI-systemen werkt, moeten aantoonbaar geïnformeerd zijn over hoe het systeem werkt, wat het niet kan, en hoe ze de output kritisch beoordelen. Dit is al verplicht sinds 2 februari 2025.
• 6 Incidentmelding: bij hoog-risico AI bent u verplicht ernstige incidenten te melden bij de toezichthouder (Autoriteit Persoonsgegevens / Inspectie Gezondheidszorg en Jeugd). Wees voorbereid op een dubbele meldplicht: zowel onder de AI Act als onder de Wet kwaliteit klachten geschillen zorg (Wkkgz).
• 7 Transparantie naar patiënten: patiënten moeten weten als AI een rol speelt in de beoordeling van hun situatie. Een vermelding in de patiëntenbrochure, op uw website of in de behandelovereenkomst is voldoende voor de meeste gevallen.

Overlap met bestaande zorgwetgeving

De goede nieuws voor zorginstellingen: veel van de EU AI Act-verplichtingen overlappen met wat u al moet doen onder bestaande wetgeving:

• NEN 7510 (informatiebeveiliging in de zorg): uw bestaande informatiebeveiliging biedt een goede basis voor het AI-register en AI-beleid
• DPIA (AVG): als u al een DPIA heeft voor uw AI-systemen, kunt u dit uitbreiden met de risicobeoordelingseisen van de AI Act
• Medical Device Regulation (MDR): als uw AI-systeem al MDR-gecertificeerd is, is een groot deel van de technische documentatie al beschikbaar

Gebruik uw bestaande naleving-documenten als basis en vul de ontbrekende AI Act-elementen aan, in plaats van alles opnieuw op te bouwen.

Wanneer moet u voldoen aan de wet?

Voor hoog-risico AI-systemen die al in gebruik zijn bij zorgorganisaties, geldt een overgangstermijn tot 2 augustus 2026. Na die datum moeten alle hoog-risico AI-systemen volledig voldoen aan de verplichtingen. Nieuwe systemen die na 2 augustus 2026 in gebruik worden genomen, moeten direct voldoen aan alle eisen.

Gezien de doorlooptijd voor het opvragen van technische documentatie bij leveranciers en het opstellen van risicoboordelingen, adviseert ActCheck.nl zorginstellingen om nu te starten, niet vlak voor de deadline.