AI in de zorg: wat de EU AI Act concreet verandert voor zorginstellingen

Bijgewerkt op 28 mei 2026. Dit artikel is herzien naar aanleiding van het politieke akkoord over de Digital Omnibus on AI van 7 mei 2026. De toepassingsdata voor hoogrisico-AI verschuiven daarmee naar 2 december 2027 (stand-alone systemen) en 2 augustus 2028 (AI ingebed in producten, zoals medische hulpmiddelen). De plicht rond AI-geletterdheid uit Artikel 4 is ongewijzigd en geldt al sinds 2 februari 2025.

Van triage-algoritmes op de spoedeisende hulp tot AI-ondersteunde beeldanalyse in de radiologie: AI heeft de zorg sneller bereikt dan de governance. AI-geletterdheid is sinds 2 februari 2025 verplicht. Voor de zwaardere hoogrisico-verplichtingen is door de Digital Omnibus meer tijd voorzien maar zorginstellingen doen er verstandig aan nu al hun AI-gebruik, governance en leveranciersafspraken op orde te brengen.

Waarom de zorg een aparte categorie is

In bijna elke sector geldt: AI is nieuw, regelgeving haalt het in, organisaties moeten bijbenen. In de zorg ligt het anders. Hier raakt AI direct aan dingen die al diep gereguleerd zijn: patiëntveiligheid, medische besluitvorming, privacy van het meest gevoelige type persoonsgegevens dat bestaat. De EU AI Act komt niet in een leeg veld terecht. Hij komt bovenop GDPR, bovenop de Verordening Medische Hulpmiddelen (MDR/IVDR), bovenop nationale gezondheidswetgeving en bovenop het tuchtrecht voor zorgprofessionals.

Dat maakt zorginstellingen tot organisaties met de meeste compliance-ervaring én de organisaties waar AI-governance het complexst is om in te richten. Verschillende toezichthouders kijken vanuit verschillende invalshoeken naar hetzelfde systeem en niemand wil de eerste zijn die een fout maakt waar een patiënt schade van ondervindt.

Welke AI-toepassingen kunnen onder hoogrisico vallen

De EU AI Act werkt met Bijlage III: categorieën AI-toepassingen die in beginsel als hoogrisico worden aangemerkt tenzij een specifieke uitzondering van toepassing is. Voor de zorg zijn relevant:

Maar de wet werkt niet alleen met Bijlage III. Veel AI-toepassingen in de zorg vallen onder de beperkt-risico-categorie, met lichtere verplichtingen, vooral rond transparantie naar patiënten. En zelfs voor minimaal-risico-toepassingen geldt de Artikel 4-plicht: alle medewerkers die met AI werken moeten aantoonbaar AI-geletterd zijn. Wat de resultaatsverplichting onder Artikel 4 precies inhoudt, werkten we elders uit.

De toepassingen die zorginstellingen zelf vaak niet als "AI" zien

In gesprekken met zorgmanagers en kwaliteitsfunctionarissen blijkt steeds opnieuw dat het begrip "AI" eng wordt uitgelegd. Men denkt aan opvallende toepassingen zoals beeldanalyse-software van een radiologie-leverancier. Maar in de praktijk gebruikt vrijwel elke moderne zorginstelling al:

Voor zover deze toepassingen kwalificeren als AI-systeem onder de EU AI Act, vallen ze onder het AI Act-kader. Niet allemaal als hoogrisico maar wel onder de basisverplichtingen zoals AI-geletterdheid.

De vier domeinen die zorginstellingen niet tot 2027 moeten laten liggen

De formele toepassing van veel hoogrisico-verplichtingen schuift door maar AI-geletterdheid geldt al. Bovendien kosten inventarisatie, contractcontrole, governance en opleiding in de zorgsector tijd. Vier domeinen vragen daarom nu al aandacht.

Eerste domein: AI-geletterdheid van het personeel. Zorgmedewerkers die AI-uitkomsten gebruiken bij beslissingen over patiënten moeten weten wat de tool doet, waar de grenzen liggen, hoe ze rode vlaggen herkennen en wanneer ze de uitkomst moeten negeren. Een verpleegkundige die blind een score van een vroegwaarschuwingssysteem volgt zonder te begrijpen wat erachter zit, is een aansprakelijkheidsrisico, voor zichzelf, voor de instelling, en uiteindelijk voor de patiënt.

Tweede domein: menselijk toezicht en eindverantwoordelijkheid. Bij hoogrisico-AI moet er altijd een zorgprofessional zijn die de eindbeslissing neemt en die ook de mogelijkheid en bevoegdheid heeft om de AI te overrulen. "Het systeem heeft het zo bepaald" is geen geldige verantwoording in een tuchtklacht. De arts of verpleegkundige blijft verantwoordelijk en moet die verantwoordelijkheid praktisch kunnen waarmaken.

Derde domein: transparantie naar patiënten. Wanneer AI een rol speelt in beslissingen die patiënten wezenlijk raken, moeten zorginstellingen zorgvuldig beoordelen welke informatie- en uitlegplichten gelden. Die kunnen voortvloeien uit de AI Act, GDPR, patiëntenrechten, informed consent, MDR/IVDR en interne kwaliteitsprocedures. In de meeste informatiefolders en intake-procedures is dit op dit moment niet of nauwelijks geregeld.

Vierde domein: leverancierscontracten en MDR/IVDR-overlap. Veel AI-tools in de zorg zijn al gereguleerd onder de MDR/IVDR. De EU AI Act voegt daar een laag bovenop. De vraag is dan: wat is de verantwoordelijkheid van de leverancier (provider) en wat van de instelling (deployer)? Die afbakening moet contractueel duidelijk zijn en in veel bestaande contracten is dat het niet.

De drie groepen die elk een eigen opleiding nodig hebben

Wat is nu al verplicht, wat komt er nog aan

Nu al van kracht. Artikel 4 over AI-geletterdheid geldt sinds 2 februari 2025. Providers en deployers van AI-systemen moeten maatregelen nemen om, naar best vermogen, te zorgen dat hun medewerkers en degenen die in hun naam met AI werken voldoende AI-geletterd zijn, afgestemd op rol, ervaring en gebruikscontext. Voor zorginstellingen is dit de meest concrete plicht op dit moment.

Op 2 december 2026. Het politieke akkoord over de Digital Omnibus voegt een verbod toe op AI-systemen voor nudification en op AI die kindermisbruikmateriaal kan genereren. Voor de zorg vooral relevant voor het AI-aankoopbeleid en voor wat in de AI-tool-inventaris terechtkomt.

Op 2 december 2027. Volgens het politieke akkoord van 7 mei 2026 worden de hoogrisico-verplichtingen voor stand-alone AI-systemen onder Bijlage III pas op deze datum afdwingbaar. Denk aan AI voor spoedeisende triage of voor toegang tot zorgvoorzieningen. Oorspronkelijk stond 2 augustus 2026 in Verordening 2024/1689; die datum blijft formeel geldig totdat de Digital Omnibus in het Publicatieblad van de EU wordt gepubliceerd, verwacht in de zomer van 2026.

Op 2 augustus 2028. Op die datum worden de hoogrisico-verplichtingen van toepassing voor AI-systemen die zijn ingebed in gereguleerde producten. Voor de zorg is dat de grote categorie: AI als veiligheidscomponent in of als medisch hulpmiddel onder MDR/IVDR.

De extra tijd is geen vrijbrief. Voor systemen die straks als hoogrisico worden geclassificeerd ligt de verplichting tot conformiteitsbeoordeling primair bij de leverancier als provider. Voor de zorginstelling als deployer geldt iets anders: het systeem volgens de instructies gebruiken, menselijk toezicht inrichten met daarvoor opgeleide personen, inputdata onder controle houden, gebruik monitoren, ernstige incidenten melden, logs bewaren, betrokkenen informeren waar de wet dat vereist en samenwerken met toezichthouders.

Wat u nu realistisch kunt doen

Het uitstel van de hoogrisico-deadlines naar 2027 en 2028 verandert iets aan de tijdsdruk, niet aan de opdracht. De Artikel 4-plicht geldt al en de tijd tot 2 december 2027 is precies wat een instelling nodig heeft om de hoogrisico-stappen zorgvuldig te zetten in plaats van overhaast.

Nu starten:

Tweede helft 2026:

Richting 2027 en 2028:

Tot slot

De zorg heeft jarenlang voorop gelopen in compliance: GDPR, MDR/IVDR, NEN 7510, kwaliteitskaders, HKZ. AI Act-compliance is in dat licht geen extra last maar een logische uitbreiding van wat al wordt gedaan. Het verschil is dat AI nieuwer is, sneller verandert en directer raakt aan beslissingen die patiënten aan den lijve voelen. Juist daarom is er weinig ruimte om dit aan toeval over te laten.

Bij AIAdopt hebben we de sectoruitbreiding Zorg (M3-ZO) specifiek ontwikkeld voor zorgverleners, zorgmanagement en ondersteunend personeel in zorginstellingen. De training behandelt menselijk toezicht in klinische context, het samenspel tussen AI Act en MDR/IVDR, transparantie naar patiënten en de tuchtrechtelijke implicaties, afgesloten met een getoetst certificaat dat de gedekte AI Act-artikelen vermeldt.

👉 Bekijk de aanpak voor de zorg of stel uw pakket samen op maat van uw instelling.