Valt AI in de zorg onder de EU AI wet?

Ja, en bijna altijd in de zwaarste categorie. AI-systemen voor diagnose-ondersteuning, medische besluitvorming, medicatiebeheer of triagesystemen zijn expliciet aangewezen als hoog-risico AI in Bijlage III van de EU AI wet.

Welke AI-toepassingen in de zorg zijn hoog-risico onder de AI wet?

Hoog-risico AI in de zorg omvat: diagnose-ondersteunende beeldherkenning (röntgen, MRI), symptoomanalyse, medicatie-interactiecontrole, triagesystemen en AI in gecertificeerde medische hulpmiddelen. Administratieve AI zoals afsprakenbeheer valt doorgaans in de beperkt-risico categorie.

EU AI Act compliance voor de zorgsector: verplichtingen voor zorgorganisaties, actcheck.nl

Q: Wanneer moet een zorgorganisatie compliant zijn met de AI wet?

Voor AI-systemen die al in gebruik zijn geldt een overgangsperiode tot 2 augustus 2026. Na die datum moeten alle hoog-risico AI-systemen volledig voldoen aan de AI wet. Nieuwe systemen die na die datum worden ingezet, moeten direct compliant zijn.

Hoog-risico classificatie voor zorgsector

AI-systemen die worden ingezet als medische hulpmiddelen of voor het ondersteunen van medische beslissingen, zijn expliciet aangewezen als hoog-risico AI in Bijlage III van de EU AI Act. Voor zorgorganisaties gelden daarom de zwaarste compliance-verplichtingen.

De zorgsector is een van de sectoren die de EU AI Act — de AI wet die voor alle Europese bedrijven geldt — het meest uitgebreid heeft gereguleerd. De reden is evident: een fout in AI-ondersteunde medische besluitvorming kan direct schade toebrengen aan patiënten. Tegelijkertijd wordt AI in de zorg steeds breder ingezet: van diagnose-ondersteuning en medicatiecontrole tot administratieve verwerking en patiëntenplanning.

Welke AI-toepassingen in de zorg zijn hoog-risico?

Diagnose-ondersteunende AI Hoog Risico

AI-systemen die beeldherkenning toepassen voor diagnose (röntgenfoto's, MRI-scans, huidafwijkingen), symptomen analyseren om diagnoses voor te stellen, of risicoscores berekenen voor patiënten vallen in de hoog-risico categorie. Dit geldt ook als het systeem de arts "slechts ondersteunt" — het is het gebruik, niet de beslissing, dat bepaalt of iets hoog-risico is.

AI in medische hulpmiddelen Hoog Risico

Als uw AI-systeem als medisch hulpmiddel is geclassificeerd (CE-markering klasse IIa, IIb of III), dan gelden naast de AI Act ook de Medical Device Regulation (MDR) en In Vitro Diagnostics Regulation (IVDR). In de meeste gevallen zijn de compliance-eisen van de AI Act al gedekt door de MDR-eisen, maar controleer dit expliciet.

Medicatiebeheer en -controle AI Hoog Risico

Systemen die medicatie-interacties controleren, doseringen adviseren of medicatieschema's beheren vallen onder hoog-risico AI, omdat een fout direct patiëntenschade kan veroorzaken.

Patiëntenplanning en triagesystemen Hoog Risico

AI die patiënten prioriteert voor behandeling of doorverwijst op basis van urgentiescores, valt onder hoog-risico AI vanwege de directe impact op de toegang tot zorg.

Administratieve AI en chatbots Beperkt Risico

AI voor afsprakenbeheer, facturering, medische transcriptie (zonder diagnose-functie) of informatieve patiënten-chatbots (die geen medische adviezen geven) vallen doorgaans in de beperkt-risico categorie. Hier gelden lichtere compliance-eisen, maar transparantie naar patiënten blijft verplicht.

Welke compliance-verplichtingen gelden voor hoog-risico AI in de zorg?

1 Technische documentatie: u moet beschikken over documentatie van hoe het AI-systeem werkt, welke trainingsdata is gebruikt, wat de prestatiestatistieken zijn, en wat de bekende beperkingen zijn. U vraagt dit op bij uw leverancier (PACS-systeem, EPD-aanbieder, medtech-leverancier).
2 Risicobeheersysteem: een gedocumenteerd proces om de risico's van het AI-systeem voor patiënten te identificeren en te beheersen. Dit overlapt deels met uw DPIA (Data Protection Impact Assessment) onder de AVG en uw kwaliteitsmanagementsysteem (KMS).
3 Menselijk toezicht: AI mag geen diagnoses stellen of behandelbeslissingen nemen zonder menselijke controle door een bevoegd zorgverlener. Leg vast hoe dit toezicht is georganiseerd in uw zorgprocessen en protocollen.
4 AI-register en AI-beleid: een overzicht van alle AI-systemen in gebruik, hun risiconiveau, en een intern beleidsdocument dat beschrijft hoe uw organisatie met AI omgaat. Voor zorginstellingen is dit aan te vullen aan uw bestaande informatiebeveiligingsbeleid (NEN 7510).
5 AI-geletterdheid voor zorgpersoneel (artikel 4): zorgverleners en ondersteunend personeel dat met AI-systemen werkt, moeten aantoonbaar geïnformeerd zijn over hoe het systeem werkt, wat het niet kan, en hoe ze de output kritisch beoordelen. Dit is al verplicht sinds 2 februari 2025.
6 Incidentmelding: bij hoog-risico AI bent u verplicht ernstige incidenten te melden bij de toezichthouder (Autoriteit Persoonsgegevens / Inspectie Gezondheidszorg en Jeugd). Wees voorbereid op een dubbele meldplicht: zowel onder de AI Act als onder de Wet kwaliteit klachten geschillen zorg (Wkkgz).
7 Transparantie naar patiënten: patiënten moeten weten als AI een rol speelt in de beoordeling van hun situatie. Een vermelding in de patiëntenbrochure, op uw website of in de behandelovereenkomst is voldoende voor de meeste gevallen.

Overlap met bestaande zorgwetgeving

De goede nieuws voor zorginstellingen: veel van de EU AI Act-verplichtingen overlappen met wat u al moet doen onder bestaande wetgeving:

NEN 7510 (informatiebeveiliging in de zorg): uw bestaande informatiebeveiliging biedt een goede basis voor het AI-register en AI-beleid
DPIA (AVG): als u al een DPIA heeft voor uw AI-systemen, kunt u dit uitbreiden met de risicobeoordelingseisen van de AI Act
Medical Device Regulation (MDR): als uw AI-systeem al MDR-gecertificeerd is, is een groot deel van de technische documentatie al beschikbaar

Gebruik uw bestaande compliance-documenten als basis en vul de ontbrekende AI Act-elementen aan, in plaats van alles opnieuw op te bouwen.

Aandachtspunt voor kleine zorgpraktijken: ook huisartsenpraktijken, fysiotherapiepraktijken en GGZ-praktijken die AI-ondersteunde software gebruiken (bijvoorbeeld voor verslaglegging, triage of diagnostiek) vallen onder de EU AI Act. De schaal van uw organisatie bepaalt niet of de wet geldt, maar kan wel meewegen bij de proportionaliteit van de compliance-maatregelen.

Wanneer moet u compliant zijn?

Voor hoog-risico AI-systemen die al in gebruik zijn bij zorgorganisaties, geldt een overgangstermijn tot 2 augustus 2026. Na die datum moeten alle hoog-risico AI-systemen volledig voldoen aan de verplichtingen. Nieuwe systemen die na 2 augustus 2026 in gebruik worden genomen, moeten direct compliant zijn.

Gezien de doorlooptijd voor het opvragen van technische documentatie bij leveranciers en het opstellen van risicoboordelingen, adviseert ActCheck.nl zorginstellingen om nu te starten, niet vlak voor de deadline.

Dubbele toezichthoudersrol

In de zorgsector heeft u te maken met twee toezichthouders die beide bevoegd zijn: de Autoriteit Persoonsgegevens (AI Act en AVG) en de Inspectie Gezondheidszorg en Jeugd (kwaliteit en veiligheid van zorg, inclusief AI-gebruik). Zorg dat uw compliance-documentatie aan beide kaders voldoet.

Controleer uw zorg-AI op compliance

De gratis checker analyseert uw AI-systemen op EU AI Act-verplichtingen, inclusief sector-specifiek advies voor de zorgsector. In 10 minuten weet u waar u staat.

Start de gratis compliance check

EU AI Act compliance voor de zorgsector: verplichtingen voor zorgorganisaties

Welke AI-toepassingen in de zorg zijn hoog-risico?

Diagnose-ondersteunende AI Hoog Risico

AI in medische hulpmiddelen Hoog Risico

Medicatiebeheer en -controle AI Hoog Risico

Patiëntenplanning en triagesystemen Hoog Risico

Administratieve AI en chatbots Beperkt Risico

Welke compliance-verplichtingen gelden voor hoog-risico AI in de zorg?

Overlap met bestaande zorgwetgeving

Wanneer moet u compliant zijn?

Controleer uw zorg-AI op compliance

Meer lezen

EU AI Act compliance voor bedrijven: wat betekent het en wat moet u doen?

AI Act naleving en de toezichthouder: wat controleert de AP?