Nergens in de Nederlandse economie raakt AI zo direct aan mensenlevens als in de zorg.
AI die helpt bij het stellen van een diagnose. Algoritmes die bepalen welke patiënt prioriteit krijgt op een wachtlijst. Systemen die medicatiefouten signaleren. Beeldanalyse die tumoren detecteert die een radioloog mist. De zorgsector loopt voorop in AI-adoptie en terecht, want de potentie is enorm.
Maar diezelfde nabijheid aan mensen maakt de zorg ook de sector waar de EU AI Act het hardst aankomt. Vrijwel elke toepassing van AI in de zorg valt onder de zwaarste categorie van de wet: hoog-risico. En dat heeft consequenties die de meeste zorginstellingen nog niet volledig hebben doordacht.
Waarom de zorgsector bijna altijd hoog-risico is
De EU AI Act werkt met risicoklassen. Hoe groter de potentiële impact van een AI-systeem op de gezondheid, veiligheid of fundamentele rechten van mensen, hoe strenger de eisen. De wet noemt expliciet welke toepassingen onder hoog-risico vallen.
AI die wordt gebruikt als veiligheidsonderdeel van een medisch hulpmiddel staat bovenaan de lijst. Dat omvat diagnostische AI, AI in beeldvormende apparatuur, AI die clinical decision support biedt en AI die wordt gebruikt bij het opstellen of beoordelen van behandelplannen. Maar het gaat verder dan de klinische kant.
AI die wordt ingezet bij de triage van patiënten, bij het prioriteren van zorgvragen of bij beslissingen over de inzet van schaarse zorgcapaciteit valt eveneens onder hoog-risico. Hetzelfde geldt voor AI in personeelsbeheer en planning binnen zorginstellingen, zeker waar die systemen invloed hebben op arbeidsomstandigheden of de verdeling van werk.
Kortom: een ziekenhuis of zorginstelling die AI gebruikt en denkt dat het wel meevalt met de wetgeving, heeft de wet nog niet goed gelezen.
Wat hoog-risico concreet betekent voor een zorginstelling
Hoog-risico AI is niet verboden. Het is zwaar gereguleerd. En die regulering legt verplichtingen op die verder gaan dan wat andere sectoren moeten doen.
Een zorginstelling die hoog-risico AI gebruikt moet kunnen aantonen dat het systeem aantoonbaar nauwkeurig, robuust en cyberveilig is. Dat er een risicobeheersysteem is dat gedurende de hele levenscyclus van het systeem actief wordt onderhouden. Dat er menselijk toezicht is ingebouwd op een manier die werkelijk betekenisvol is, dus niet een handtekening zetten onder een AI-advies zonder dat de betrokken zorgprofessional het advies begrijpt en kan beoordelen.
Die laatste eis is precies waar AI-geletterdheid in beeld komt.
Zelfs bij ogenschijnlijk eenvoudig AI-gebruik geldt de verplichting. Gebruikers moeten weten wat de risico's zijn, zoals onbetrouwbare of foutieve output, gebrek aan bronverwijzingen en mogelijke bias. In de zorg is dat geen abstracte zorg. Een AI-systeem dat een diagnose suggereert op basis van een patroon dat niet klopt voor deze specifieke patiënt, kan directe schade veroorzaken. De zorgprofessional die dat AI-advies opvolgt zonder het kritisch te beoordelen, heeft gefaald in zijn of haar toezichthoudende rol. En de instelling die die professional niet heeft getraind om dat te doen, heeft de wet overtreden.
De AI-geletterdheidsverplichting in de zorg
Artikel 4 van de EU AI Act verplicht organisaties om een toereikend niveau van AI-geletterdheid te waarborgen bij hun personeel. Dit geldt niet alleen voor technische kennis, maar ook voor sociale, ethische en praktische aspecten.
Voor de zorgsector betekent dat in de praktijk drie dingen.
Ten eerste moeten zorgprofessionals die werken met AI-ondersteunde systemen begrijpen wat die systemen doen en wat ze niet doen. Een verpleegkundige die werkt met een AI-systeem dat vitale waarden monitort en alarmen genereert, moet weten wanneer het alarm betrouwbaar is en wanneer niet. Een arts die een AI-diagnose-ondersteuning gebruikt, moet weten hoe het systeem tot die suggestie is gekomen, welke beperkingen het heeft en wanneer hij of zij het advies naast zich neer moet leggen.
Ten tweede moeten leidinggevenden en managers in zorginstellingen begrijpen welke AI-systemen worden gebruikt, wat de risicoclassificatie is en welke compliance-verplichtingen daaruit volgen. Dat is een bestuurlijke verantwoordelijkheid die niet kan worden gedelegeerd aan IT of een leverancier.
Ten derde moet de instelling dit alles aantoonbaar kunnen maken. Per medewerker. Met bewijs van training, niveau en datum. Niet een e-learning die is weggeklikt, maar een gecertificeerd programma dat bij een inspectie standhoudT.
De rol van de leverancier en de verantwoordelijkheid van de instelling
Er is een misverstand dat in de zorg breed leeft: als de leverancier van het AI-systeem zegt dat het veilig en compliant is, dan zijn wij als instelling ook compliant.
Dat klopt niet.
De EU AI Act maakt onderscheid tussen de aanbieder van een AI-systeem, de partij die het bouwt en op de markt brengt, en de gebruiksverantwoordelijke, de instelling die het systeem inzet. Beide partijen hebben eigen verplichtingen. En de verplichtingen van de gebruiksverantwoordelijke, de zorginstelling, verdwijnen niet omdat de leverancier zijn deel heeft gedaan.
Een zorginstelling is zelf verantwoordelijk voor hoe het systeem wordt ingezet. Voor wie er mee werkt. Voor het toezicht dat wordt gehouden op de output. Voor de training van medewerkers die ermee werken. En voor de documentatie die aantoont dat al het bovenstaande is geborgd.
Een CE-markering op een medisch AI-hulpmiddel betekent dat het systeem voldoet aan de eisen voor het op de markt brengen. Het betekent niet dat de instelling die het inzet automatisch compliant is. Dat is een verantwoordelijkheid die de instelling zelf moet invullen.
Wat zorginstellingen nu concreet moeten doen
De tijdlijn is helder. Op 2 augustus 2026 gaan de volledige compliance-eisen voor hoog-risico AI-systemen in en start actieve handhaving. Voor zorginstellingen die nu al hoog-risico systemen gebruiken, is de voorbereidingstijd bijna op.
Dit zijn de stappen die nu gezet moeten worden.
Inventariseer alle AI-toepassingen
Welke AI-systemen worden gebruikt in de instelling? Klinisch en niet-klinisch. Ingekocht bij leveranciers en zelf ontwikkeld. Embedded in bestaande systemen en losstaand. Dit overzicht is de basis voor alles wat volgt. Zonder volledig beeld is gerichte compliance onmogelijk.
Let ook op AI-functies in bestaande systemen die niet als AI zijn verkocht maar het wel zijn. Predictieve analyses in een EPD. Automatische prioritering in een planningssysteem. Beeldanalyse in diagnostische apparatuur. Ze tellen allemaal.
Bepaal de risicoklasse per systeem
Welke van die systemen vallen onder hoog-risico? De Rijksoverheid biedt een beslishulp AI-verordening die helpt om dit per toepassing te bepalen. Leg de uitkomsten vast en documenteer de redenering. Dit is de basis voor het compliance-dossier dat bij een inspectie of audit moet kunnen worden overlegd.
Start het AI-geletterdheidstraject voor medewerkers
Welke medewerkers werken met AI-systemen? Op welk niveau moeten zij AI-geletterd zijn? De antwoorden verschillen per functie. Een radioloog die werkt met AI-beeldanalyse heeft andere kennis nodig dan een administratief medewerker die een AI-planningssysteem gebruikt. Maar beide hebben een aantoonbaar niveau van AI-geletterdheid nodig.
AIGA biedt een gecertificeerd trainingsprogramma dat aansluit op de eisen van Artikel 4, afgestemd op de werkcontext van medewerkers in verschillende functies. Inclusief certificaat per deelnemer en documentatie die bij een inspectie kan worden overlegd. Bekijk het aanbod op aigeletterdheid.academy.
Leg het menselijk toezicht vast in protocollen
Voor hoog-risico AI-systemen verplicht de wet dat menselijk toezicht is ingebouwd op een manier die daadwerkelijk werkt. Dat betekent dat protocollen moeten vastleggen wie verantwoordelijk is voor het beoordelen van AI-output, hoe dat toezicht wordt uitgeoefend en wat er gebeurt als een zorgprofessional het AI-advies wil overrulen. Die protocollen zijn niet optioneel. Ze zijn een wettelijke verplichting en onderdeel van het risicobeheersysteem dat de instelling moet hebben voor elk hoog-risico systeem.
Maak leverancierscontracten compliant
Zorginstellingen die AI-systemen inkopen, moeten in de contracten vastleggen welke verplichtingen de leverancier heeft op het gebied van transparantie, documentatie en technische ondersteuning bij compliance. Een contract dat dit niet regelt, laat de instelling bloot staan aan risico's die de leverancier contractueel had moeten afdekken.
De inspectie kijkt mee
Er is een dimensie in de zorg die andere sectoren niet kennen in dezelfde mate: de Inspectie Gezondheidszorg en Jeugd kijkt al jaren naar de kwaliteit en veiligheid van zorgprocessen. AI-systemen die worden ingezet in die processen, vallen steeds nadrukkelijker onder het toezichtsdomein van de IGJ.
Een incident waarbij AI een rol speelde in een ongewenste uitkomst, trekt de aandacht van de inspectie. En de inspectie kijkt dan niet alleen naar het systeem. Ze kijkt naar hoe de instelling het systeem heeft ingezet, welke medewerkers ermee werken, hoe het toezicht is georganiseerd en of er adequate training is geweest.
AI-geletterdheid is in die context geen HR-aangelegenheid. Het is een kwaliteits- en veiligheidsthema. En zorginstellingen die dat nu begrijpen, zijn beter voorbereid op een wereld waarin AI een steeds grotere rol speelt in klinische besluitvorming.
Begin met meten
De AI Readiness Scan van AIGA geeft zorginstellingen in tien minuten inzicht in het huidige niveau van AI-gebruik en AI-kennis binnen de organisatie. Een concreet startpunt voor het gesprek met de Raad van Bestuur, de medische staf en HR.
Want dat gesprek is urgent. De wetgeving is er. De handhaving komt. En de patiënten verdienen zorgprofessionals die begrijpen wat de AI-systemen om hen heen doen.
Doe de scan op aigeletterdheid.academy.
Ferry Hoes
Ferry Hoes is veelgevraagd spreker en trainer op het gebied van AI-geletterdheid. Hij staat meermaals per maand op het podium voor organisaties zoals a.s.r., VodafoneZiggo en verschillende ministeries. In 2020 won hij de Anti-Discriminatie AI-Hackathon van de Nederlandse overheid.