Home / Inzichten / EU AI Act & AVG-naleving voor Medische AI-systemen in Nederland
Sector

EU AI Act & AVG-naleving voor Medische AI-systemen in Nederland

Vat samen met AI Prompt gekopieerd — plak hem in de chat

Belangrijke kennisgeving: dit artikel bevat algemene informatie over de regelgevingskaders die van toepassing zijn op AI in de gezondheidszorg. Het is geen medisch advies, juridisch advies of officiële regulatoire guidance. De specifieke classificatie, nalevingsverplichtingen en risicobeoordelingen voor een bepaald AI-systeem moeten worden vastgesteld door gekwalificeerde juridische, regulatoire en gegevensbeschermingsprofessionals op basis van de specifieke feiten. Raadpleeg altijd uw juridisch adviseur, functionaris voor gegevensbescherming en aangemelde instantie vóór de implementatie van AI in een klinische omgeving.

EU AI Act Naleving Hoog-Risico AI Medische Systemen: Waarom Medische AI Onder Vergrootglas Ligt

Het snijvlak van kunstmatige intelligentie en gezondheidszorg is een van de meest streng gereguleerde terreinen in de Europese Unie. Nederlandse ziekenhuizen, diagnostische centra, huisartsenpraktijken en digital-health-bedrijven die AI-gestuurde klinische tools ontwikkelen of inzetten, staan voor een gelaagd nalevingslandschap dat sinds 2024 aanzienlijk veeleisender is geworden. Drie kaders staan centraal: de EU AI-verordening (Verordening 2024/1689), de EU-verordening betreffende medische hulpmiddelen (MDR, Verordening 2017/745) en de Algemene Verordening Gegevensbescherming (AVG, Verordening 2016/679), in Nederland geïmplementeerd via de Uitvoeringswet AVG (UAVG).

Begrijpen hoe deze drie kaders op elkaar inwerken — en waar ze van elkaar afwijken — is het vertrekpunt voor elk serieus EU AI Act naleving hoog-risico AI medische systemen AVG zorg-programma. Deze gids legt het regelgevingslandschap uit, identificeert de meest voorkomende nalevingsknelpunten en beschrijft de concrete stappen die Nederlandse zorginstellingen moeten zetten vóór de inzet van medische AI.

Crux Digits is een vendor-neutrale AI-consultancy gevestigd in Utrecht. Wij helpen Nederlandse zorginstellingen bij het ontwerpen, bouwen en implementeren van AI-systemen die voldoen aan de vereisten van de EU AI-verordening, EU MDR/IVDR en AVG — door de volledige projectlevenscyclus: van initiële risicoclassificatie tot technische implementatie, datagovernance en post-marktbewaking. Wij verkopen geen eigen AI-producten; wij helpen organisaties de juiste oplossingen te kiezen en te implementeren voor hun specifieke klinische en nalevingscontext. Bezoek onze zorgpagina voor meer informatie.

Hoe de Drie Kaders Samenkomen voor Medische AI in Nederland

Vóór we elk kader afzonderlijk bekijken, is het zinvol te begrijpen hoe ze zich tot elkaar verhouden. De EU AI-verordening, de EU MDR/IVDR en de AVG sluiten elkaar niet uit — ze overlappen, en naleving van het ene kader garandeert geen naleving van de andere.

De EU AI-verordening is een horizontale verordening die voor alle sectoren geldt. Ze classificeert AI-systemen naar risiconiveau en legt verplichtingen op aan zowel aanbieders (die AI-systemen ontwikkelen of op de markt brengen) als gebruikers (organisaties die AI-systemen in een professionele context inzetten). Voor zorg-AI introduceert de verordening een categorie hoog-risico AI-systemen die aan de meest veeleisende eisen moeten voldoen.

De EU MDR en IVDR zijn sectorspecifieke verordeningen die respectievelijk medische hulpmiddelen en in-vitrodiagnostische hulpmiddelen reguleren. Veel AI-gestuurde klinische tools — met name die welke ondersteuning bieden bij diagnose, prognose of behandelkeuze — kwalificeren als medisch hulpmiddel of in-vitrodiagnostiek onder deze verordeningen. Wanneer een AI-systeem valt onder zowel de EU AI-verordening als de MDR/IVDR, worden bepaalde verplichtingen uit de EU AI-verordening geacht te zijn nageleefd via de MDR/IVDR, maar beide kaders moeten afzonderlijk worden aangepakt.

De AVG is van toepassing telkens wanneer persoonsgegevens worden verwerkt. Gezondheidsgegevens zijn bijzondere categorieën persoonsgegevens onder Artikel 9 AVG en genieten daardoor versterkte bescherming. Elk medisch AI-systeem dat patiëntgegevens verwerkt — wat vrijwel altijd het geval is — moet voldoen aan de AVG. In Nederland voegen de UAVG en de Wet op de geneeskundige behandelingsovereenkomst (WGBO) verdere verplichtingen toe die specifiek gelden voor medische dossiers en klinische gegevensverwerking.

Classificeert de EU AI-verordening Medische Diagnostische AI als Hoog-Risico, en Welke Nalevingsstappen Zijn Vereist?

Dit is de vraag waarmee de meeste Nederlandse zorg-IT-leiders en compliance officers worstelen, en ze verdient een direct antwoord.

Ja, veel medische AI-systemen worden als hoog-risico geclassificeerd onder de EU AI-verordening. Bijlage III van de verordening somt de categorieën AI-systemen op die automatisch als hoog-risico worden aangemerkt. Twee categorieën zijn rechtstreeks relevant voor de gezondheidszorg:

  • AI-systemen bestemd voor gebruik als medisch hulpmiddel, of als veiligheidscomponent van medische hulpmiddelen, in de zin van EU MDR (Verordening 2017/745) en EU IVDR (Verordening 2017/746). Dit omvat AI-gestuurde analyse van diagnostische beeldvorming, AI-ondersteunde pathologietools, AI-gestuurde ECG-interpretatie en elk AI-systeem dat klinische beslissingen over individuele patiënten beïnvloedt.
  • AI-systemen die worden gebruikt bij het beheer en de exploitatie van kritieke infrastructuur waaronder zorgsystemen vallen — bijvoorbeeld AI-tools voor ziekenhuisresourcebeheer of grootschalige patiëntentriage.

Hoog-risicoclassificatie activeert een omvangrijke reeks nalevingsverplichtingen onder de EU AI-verordening. De belangrijkste stappen voor Nederlandse zorginstellingen zijn:

  • Bevestig de classificatie. Werk samen met juridisch adviseur om te bepalen of uw specifieke AI-systeem voldoet aan de definitie van een medisch hulpmiddel onder MDR/IVDR of anderszins valt onder Bijlage III. Het beoogde gebruik en de claims over het systeem zijn doorslaggevend — niet slechts de technische architectuur.
  • Voer een conformiteitsbeoordeling uit. Hoog-risico AI-systemen moeten een conformiteitsbeoordeling ondergaan vóór ze op de markt worden gebracht of in gebruik worden genomen. Voor AI-systemen die ook medische hulpmiddelen zijn, sluit deze beoordeling aan op het MDR/IVDR-conformiteitsbeoordelingsproces, waarbij betrokkenheid van een Aangemelde Instantie vereist kan zijn.
  • Stel een kwaliteitsmanagementsysteem in. Aanbieders van hoog-risico AI-systemen moeten een kwaliteitsmanagementsysteem implementeren en onderhouden voor ontwerp, ontwikkeling, risicobeheer, testen en post-marktbewaking.
  • Stel technische documentatie op. Uitgebreide technische documentatie moet worden bijgehouden die de naleving van de EU AI-verordening aantoont, inclusief de systeembeschrijving, risicobeheersmaatregelen, datagovernancepraktijken, testresultaten en prestatiemetingen.
  • Registreer in de EU-database. Hoog-risico AI-systemen moeten worden geregistreerd in de EU AI-database van de Europese Commissie vóór ingebruikname.
  • Implementeer menselijk toezichtmechanismen. Het AI-systeem moet zo zijn ontworpen en ingezet dat een bevoegde mens — doorgaans de behandelend zorgverlener — de systeemuitvoer kan begrijpen, bewaken en overschrijven. AI ondersteunt klinische besluitvorming; het vervangt klinisch oordeel niet.
  • Stel post-marktbewaking in. Aanbieders en gebruikers moeten de systeemprestaties na de implementatie bewaken en ernstige incidenten melden aan de bevoegde nationale autoriteit.

De volledige tekst van de EU AI-verordening is beschikbaar via EUR-Lex (Verordening 2024/1689). Nederlandse zorginstellingen moeten ook de guidance van de Rijksdienst voor Ondernemend Nederland (RVO) en de relevante nationale toezichthouders volgen naarmate de implementatieguidance zich ontwikkelt.

EU MDR en IVDR: Wanneer Medische AI een Medisch Hulpmiddel Wordt

De EU MDR (Verordening 2017/745) en de IVDR (Verordening 2017/746) definiëren medische hulpmiddelen en in-vitrodiagnostiek ruim. Een AI-softwaretoepassing kan kwalificeren als medisch hulpmiddel als de fabrikant beoogt deze te gebruiken voor de diagnose, preventie, bewaking, voorspelling, prognose, behandeling of verlichting van ziekten bij individuele patiënten.

De Europese Commissie heeft guidance gepubliceerd over de kwalificatie en classificatie van Software as a Medical Device (SaMD) onder de MDR. Het kernprincipe is dat software die bedoeld is om klinische beslissingen over individuele patiënten te beïnvloeden — in tegenstelling tot software voor bevolkingsbrede analyses of administratieve doeleinden — eerder zal kwalificeren als medisch hulpmiddel. Een AI-systeem dat een thoraxfoto analyseert om noduli te detecteren en bevindingen presenteert aan de radioloog voor diagnostisch gebruik, zal waarschijnlijk kwalificeren. Een AI-systeem dat radiologische afspraken plant, waarschijnlijk niet.

Wanneer een AI-systeem kwalificeert als medisch hulpmiddel onder de MDR, gelden de volgende verplichtingen:

  • CE-markering. Het hulpmiddel moet een CE-markering dragen die conformiteit met de MDR aantoont, vóór het op de EU-markt wordt gebracht. Voor hulpmiddelen met een hoger risico (Klasse IIa, IIb of III onder de MDR-risicoclassificatie) moet een Aangemelde Instantie betrokken zijn bij de conformiteitsbeoordeling.
  • Klinische evaluatie. De fabrikant moet een klinische evaluatie uitvoeren en documenteren die aantoont dat het hulpmiddel functioneert zoals bedoeld en dat de voordelen de risico's in de beoogde klinische context overtreffen. Voor AI-medische hulpmiddelen moet de klinische evaluatie de algoritme-prestaties op de specifieke patiëntenpopulatie voor welke het hulpmiddel is bestemd adresseren.
  • Post-markt klinische follow-up. Na CE-markering moeten fabrikanten proactief klinische data verzamelen van het geïmplementeerde hulpmiddel en de klinische evaluatie dienovereenkomstig bijwerken.
  • Unieke apparaatidentificatie (UDI). Medische hulpmiddelen moeten worden geregistreerd in de Europese databank voor medische hulpmiddelen (EUDAMED) en een unieke apparaatidentificator dragen.
  • Vigilantie en incidentmelding. Fabrikanten en zorginstellingen die medische hulpmiddelen gebruiken, moeten ernstige incidenten melden aan nationale bevoegde autoriteiten — in Nederland de Inspectie Gezondheidszorg en Jeugd (IGJ).

De relatie tussen de EU AI-verordening en de EU MDR is er een van gedeeltelijke overlap. De Europese Commissie heeft bevestigd dat voor AI-systemen die als medische hulpmiddelen zijn gereguleerd onder de MDR, bepaalde vereisten uit de EU AI-verordening geacht worden te zijn nageleefd via de MDR. Deze afstemming is echter gedeeltelijk en de specifieke details hangen af van de classificatie van het systeem. Juridisch advies is essentieel om de wisselwerking te navigeren.

Crux Digits werkt samen met gespecialiseerde regulatoire MDR-consultants om klanten te ondersteunen bij MDR-classificatie en conformiteitsbeoordeling. Onze AI-implementatie-diensten zijn ontworpen met regelgeving als eerste vereiste, niet als nagedachte.

AVG en Bijzondere Gezondheidsgegevens: Wat Nederlandse Klinieken Moeten Regelen

Gezondheidsgegevens zijn bijzondere categorieën persoonsgegevens onder Artikel 9 AVG en genieten daarmee aanzienlijk versterkte bescherming vergeleken met gewone persoonsgegevens. De verwerking van bijzondere categorieën is in principe verboden en kan alleen rechtmatig zijn op basis van een van de uitzonderingen in Artikel 9(2).

Voor medische AI-systemen in een klinische context is de meest relevante uitzondering Artikel 9(2)(h): verwerking noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, medische diagnose, het verstrekken van gezondheidszorg of sociale diensten, of het beheer van gezondheidszorgstelsels. In Nederland wordt deze uitzondering uitgewerkt door de UAVG en de WGBO, die samen de voorwaarden bepalen waaronder zorgverleners patiëntgezondheidsgegevens mogen verwerken.

Cruciale AVG zorg AI persoonsgegevens-nalevingsvereisten zijn onder meer:

  • Gegevensbeschermingseffectbeoordeling (DPIA). Een DPIA is wettelijk verplicht onder Artikel 35 AVG vóór de inzet van elk AI-systeem dat grootschalige verwerking van bijzondere categorieën gezondheidsgegevens of systematische en uitgebreide evaluatie van persoonlijke aspecten via geautomatiseerde middelen omvat — beide voorwaarden zijn van toepassing op de meeste medische AI-systemen. De DPIA moet de risico's voor betrokkenen identificeren en de maatregelen documenteren die zijn genomen om die risico's aan te pakken. De Autoriteit Persoonsgegevens heeft guidance gepubliceerd over wanneer een DPIA vereist is en hoe deze uit te voeren.
  • Rechtsgrond. De rechtsgrond voor verwerking moet zijn gedocumenteerd vóór het systeem live gaat. Voor klinische AI is de grondslag doorgaans Artikel 6(1)(c) of (e) juncto Artikel 9(2)(h) AVG, ondersteund door de relevante UAVG-bepalingen. Uw functionaris voor gegevensbescherming (FG) dient de rechtsgrond voor uw specifieke verwerkingscontext te bevestigen.
  • Dataminimalisatie. Alleen de minimale persoonsgegevens die nodig zijn voor het specifieke klinische doel mogen worden verwerkt. Voor AI-systemen die patiëntgegevens gebruiken voor modeltraining of -verbetering, is doorgaans een afzonderlijke toestemming of andere rechtsgrond vereist, en de trainingsdata-pipeline moet expliciet worden geadresseerd.
  • Dataresidentie en internationale doorgifte. Als uitgangspunt voor Nederlandse zorginstellingen moeten gezondheidsgegevens die worden verwerkt door medische AI-systemen binnen de Europese Economische Ruimte (EER) worden gehouden. Doorgifte aan derde landen vereist een geldig overdrachtsmechanisme onder Hoofdstuk V AVG — standaardcontractbepalingen, adequaatheidsbesluit of bindende bedrijfsregels. De Autoriteit Persoonsgegevens publiceert guidance over de verwerking van gezondheidsgegevens en internationale doorgifte via autoriteitpersoonsgegevens.nl.
  • Verwerkersovereenkomsten. Elke AI-leverancier, cloudinfrastructuurprovider of andere derde partij die patiëntgegevens namens uw organisatie verwerkt, moet zijn gedocumenteerd als gegevensverwerker (verwerker) onder een verwerkersovereenkomst. Dit moet aanwezig zijn vóórdat live patiëntgegevens worden verwerkt.
  • Bewaring en verwijdering. Medische dossiers in Nederland zijn onderworpen aan een minimale bewaartermijn van vijftien jaar op grond van de WGBO. Gegevens die worden verwerkt door AI-systemen maar geen deel uitmaken van het patiëntendossier — zoals tussenliggende inferentie-uitvoer, logboeken of modelinvoer — mogen slechts zo lang worden bewaard als noodzakelijk en moeten daarna veilig worden verwijderd.
  • Transparantie en rechten van betrokkenen. Patiënten hebben het recht te worden geïnformeerd over geautomatiseerde verwerking die hen aanzienlijk beïnvloedt. Waar een medisch AI-systeem klinische beslissingen beïnvloedt, dient informatie over de rol van het AI-systeem te worden opgenomen in het privacybericht dat aan patiënten wordt verstrekt.

Crux Digits biedt data engineering- en datagovernance-ondersteuning om zorginstellingen te helpen bij het ontwerpen van conforme datapipelines voor medische AI, inclusief DPIA-klare dataflow-documentatie, verwerkersinventarisbeheer en dataresidentiearchitectuur.

DPIA voor Medische AI: Een Praktische Checklist

Een Gegevensbeschermingseffectbeoordeling (DPIA) is voor de meeste medische AI-implementaties niet optioneel. De volgende checklist weerspiegelt de kerncomponenten die de Autoriteit Persoonsgegevens verwacht te zien in een DPIA voor hoog-risicoverwerking door AI in de gezondheidszorg. Dit is algemene guidance en vormt geen vervanging voor professioneel gegevensbeschermingsadvies.

  • Beschrijf de verwerkingsoperatie: welke gegevens worden verwerkt, voor welk doel, met welke middelen en door wie.
Citaat: Beschrijf de verwerkingsoperatie: welke gegevens worden verwerkt, voor welk doel, met welke middelen en door wie. - Crux Digits
  • Bevestig de rechtsgrond onder Artikel 6 en de uitzondering onder Artikel 9(2) die van toepassing is op bijzondere categorieën gezondheidsgegevens.
  • Identificeer alle partijen in de verwerkingsketen: interne teams, AI-leveranciers, cloudinfrastructuurproviders, integratiemiddleware en sub-verwerkers.
  • Breng datastromen in kaart: waar gegevens vandaan komen, hoe ze worden overgedragen, waar ze worden opgeslagen, hoe lang ze worden bewaard en hoe ze worden verwijderd.
  • Beoordeel risico's voor betrokkenen: onbevoegde toegang, datalekken, her-identificatie uit geanonimiseerde gegevens, discriminerende uitvoer van bevooroordeelde AI-modellen en fouten in AI-ondersteunde klinische beslissingen.
  • Documenteer technische en organisatorische maatregelen: versleuteling tijdens overdracht en opslag, toegangscontroles en auditlogboeken, pseudonimisering, testen van modelbevooroordeeldheid, menselijk toezichtmechanismen, incidentresprocedures.
  • Beoordeel noodzakelijkheid en evenredigheid: kan het klinische doel worden bereikt met minder gegevens of een minder ingrijpende technische aanpak?
  • Raadpleeg de FG: de FG moet formeel worden geraadpleegd tijdens het DPIA-proces.
  • Raadpleeg de toezichthouder als het resterende risico hoog blijft na mitigatiemaatregelen: de Autoriteit Persoonsgegevens biedt voorafgaande raadpleging onder Artikel 36 AVG in dergelijke gevallen.
  • Beoordeel en actualiseer de DPIA regelmatig naarmate het systeem evolueert en nieuwe risico's zich voordoen.

Verantwoorde AI in de Zorg: Het Principe van Menselijk Toezicht

Door alle drie de regelgevingskaders heen — de EU AI-verordening, de EU MDR en de AVG — loopt een gemeenschappelijke draad: verantwoorde AI in de Nederlandse zorg betekent AI die zorgverleners ondersteunt, maar ze nooit vervangt. Dit principe is niet slechts aspirationeel; het is een harde wettelijke en ethische vereiste.

Onder de EU AI-verordening moeten hoog-risico AI-systemen zo zijn ontworpen dat de mensen die toezicht houden op het systeem de werking ervan effectief kunnen bewaken, begrijpen wat het doet en waarom, kunnen ingrijpen om het te stoppen of te overschrijven, en overmatig vertrouwen op AI-uitvoer kunnen vermijden. Onder de EU MDR moeten klinische AI-tools een aantoonbaar baten-risicoprofiel hebben, en de klinische evaluatie moet aangeven hoe menselijk toezicht in de praktijk wordt gehandhaafd. Onder de AVG moeten significante geautomatiseerde beslissingen die individuen raken — inclusief beslissingen die het klinische beleid beïnvloeden — onderhevig zijn aan betekenisvolle menselijke beoordeling.

In de praktijk betekent dit:

  • AI-diagnostische tools presenteren bevindingen als beslissingsondersteuning, duidelijk gemarkeerd als AI-gegenereerd, voor beoordeling door de zorgverlener — niet als definitieve diagnoses.
  • Zorgverleners moeten worden getraind — niet alleen in het gebruik van het AI-systeem, maar ook in de beperkingen, storingssituaties en de specifieke contexten waarin het wel en niet betrouwbaar is.
  • Overschrijvingsmechanismen moeten worden ingebouwd in de klinische workflow zodat een zorgverlener die het oneens is met een AI-uitvoer gemakkelijk zijn redenering kan documenteren en op eigen klinisch oordeel kan handelen.
  • AI-uitvoer die het patiëntendossier beïnvloedt, moet worden beoordeeld en goedgekeurd door een bevoegde zorgverlener vóór opslag — geen volledig autonome schrijfacties naar medische dossiers.
  • Prestatiebewaking na implementatie moet ook het bijhouden omvatten van gevallen waarin zorgverleners AI-uitvoer overschrijven, om systematische fouten of drift in modelprestaties te identificeren.

Crux Digits ontwerpt elk medisch AI-systeem rond dit principe. Onze computer vision-implementaties voor diagnostische beeldvorming — die röntgenfoto's, CT-scans en andere beeldmodaliteiten analyseren — worden altijd gebouwd met expliciete stappen voor zorgverlenersreview, overschrijvingsmogelijkheden en auditsporen. Wij implementeren geen autonome klinische besluitvormingssystemen.

Datagovernance voor Medische AI: De Juiste Basis Leggen

Robuuste datagovernance voor medische AI in klinieken is niet alleen een nalevingsvereiste — het is een randvoorwaarde voor het bouwen van AI-systemen die nauwkeurig, eerlijk en veilig zijn. Slechte datagovernance in de ontwerpfase creëert nalevingsrisico, modelbevooroordeeldheid en veiligheidsfouten die na implementatie duur en soms onmogelijk te verhelpen zijn.

De centrale datagovernancevragen voor elk medisch AI-project in Nederland zijn onder meer:

  • Herkomst van trainingsdata. Waar komt de trainingsdata vandaan? Is deze verzameld met passende toestemming of een geldige rechtsgrond voor AI-training? Vertegenwoordigt ze de Nederlandse patiëntenpopulatie waarvoor het model zal worden gebruikt? Is ze voldoende divers qua leeftijd, geslacht, etniciteit en klinische presentatie?
  • Labelling en grondwaarheid. Hoe zijn de labels voor trainingsdata gecreëerd? Zijn ze gegenereerd door gekwalificeerde zorgverleners? Welke interbeoordelaarsovereenstemming is bereikt? Labelkwaliteit is een primaire aanjager van modelkwaliteit.
  • De-identificatie en pseudonimisering. Is de patiëntdata die voor training is gebruikt passend geanonimiseerd of gepseudonimiseerd? Wat is het her-identificatierisico van de geanonimiseerde dataset, met name als de dataset klein of zeer specifiek is?
  • Beoordeling van bevooroordeeldheid. Is de trainingsdata beoordeeld op demografische vooroordelen die ertoe kunnen leiden dat het model anders — of slechter — presteert voor specifieke patiëntsubgroepen? Voor diagnostische AI is een model dat minder nauwkeurig presteert voor oudere patiënten, vrouwen of niet-witte etnische groepen niet alleen een eerlijkheidsprobleem — het is een patiëntveiligheidsprobleem.
  • Datalijnage en versiebeheer. Naarmate het model opnieuw wordt getraind of verfijnd, is er een duidelijk overzicht van welke datasetversie voor elke modelversie is gebruikt? Dit is essentieel voor post-marktbewaking en incidentonderzoek.
  • Productiedatapipeline. Hoe worden live patiëntgegevens verwerkt op het moment van inferentie? Is dit versleuteld tijdens overdracht en opslag? Wie heeft toegang tot de inferentie-invoer en -uitvoer? Hoe lang worden ze bewaard?

Crux Digits ondersteunt zorgklanten met de volledige data-engineeringstack voor medische AI — van ontwerp van datapipelines en anonimiseringstools tot modelbewaking en datalijnage-documentatie. Onze data engineering-praktijk behandelt naleving als een architecturele vereiste, niet als een achteraf uit te voeren audit.

Veelvoorkomende Nalevingsknelpunten bij Nederlandse Zorg-AI

Op basis van de patronen die we zien bij Nederlandse zorg-AI-projecten worden de volgende nalevingsknelpunten het meest frequent vastgesteld tijdens initiële beoordelingen. Deze lijst is niet uitputtend — de specifieke knelpunten in een bepaalde implementatie hangen af van het systeem, de organisatie en de klinische context — maar ze biedt een nuttig vertrekpunt voor een nalevingsbeoordeling.

  • Ontbrekende of ontoereikende DPIA. De DPIA wordt óf niet uitgevoerd vóór implementatie, óf wordt uitgevoerd als een papieren oefening in plaats van een echte risicobeoordeling. Toezichthouders in de hele EU scrutiniseren steeds meer de kwaliteit van DPIA's, niet alleen hun bestaan.
  • Onjuiste classificatie onder EU AI-verordening. Organisaties gaan ervan uit dat hun AI-systeem niet hoog-risico is, zonder een gestructureerde classificatieoefening uit te voeren. Het beoogde gebruik en de klinische claims bepalen de classificatie, niet de technische architectuur.
  • Toepasselijkheid MDR niet beoordeeld. AI-systemen die individuele klinische beslissingen beïnvloeden, worden geïmplementeerd zonder te beoordelen of ze kwalificeren als medische hulpmiddelen onder de MDR en daardoor CE-markering vereisen.
  • Verwerkersovereenkomsten afwezig of verouderd. AI-leveranciers en cloudproviders worden gebruikt zonder geldige verwerkersovereenkomsten, of er zijn wel overeenkomsten maar ze dekken niet de specifieke verwerkingsactiviteiten van het AI-systeem.
  • Rechtsgrond voor trainingsdata niet gedocumenteerd. Patiëntdata wordt gebruikt om modellen te trainen of te verfijnen zonder een gedocumenteerde rechtsgrond voor AI-trainingsgebruik, los van de rechtsgrond voor klinische zorg.
  • Menselijk toezichtmechanismen in de praktijk ontoereikend. Menselijk toezicht is gedocumenteerd in het systeemontwerp maar wordt niet afgedwongen in de klinische workflow — zorgverleners tekenen AI-uitvoer af zonder betekenisvolle beoordeling.
  • Post-marktbewaking afwezig. AI-systemen worden geïmplementeerd en vervolgens onbewaakt gelaten. Modelprestaties kunnen in de loop van de tijd afwijken naarmate patiëntenpopulaties en klinische praktijk evolueren.

Als een of meer van deze knelpunten voor uw organisatie van toepassing zijn, neem dan contact op met Crux Digits om een gestructureerde nalevingsbeoordeling te bespreken. We publiceren ook transparante prijsinformatie voor onze advies- en implementatietrajecten zodat u de haalbaarheid kunt inschatten voordat u zich verbindt.

Hoe Crux Digits Nederlandse Zorginstellingen Helpt Medische AI Compliant te Implementeren

Crux Digits is een vendor-neutrale AI-consultancy en softwarestudio gevestigd in Utrecht. Wij helpen Nederlandse zorginstellingen — ziekenhuizen, specialistische klinieken, diagnostische centra, huisartsensamenwerkingsverbanden en digital-health-bedrijven — bij het navigeren van de EU AI-verordening, EU MDR/IVDR en AVG bij het ontwerpen, inkopen en implementeren van medische AI-systemen.

Onze aanpak is gestructureerd rond vier fasen:

Fase 1 — Regulatoire classificatie en risicobeoordeling. We werken samen met uw klinische, juridische en compliance-teams om het AI-systeem te classificeren onder de EU AI-verordening en EU MDR/IVDR, de toepasselijke conformiteitsbeoordelingsroute te identificeren en de DPIA te scopepen. Deze fase levert een helder nalevingsroadmap op vóórdat enige technologiecommitment wordt gemaakt.

Fase 2 — Architectuur- en datagovernance-ontwerp. We ontwerpen de technische architectuur met nalevingsvereisten van meet af aan ingebakken — datastromen, versleuteling, toegangscontroles, anonimisering, residentie, bewaring en auditlogboeken. We produceren DPIA-klare dataflow-documentatie voor beoordeling door uw FG en juridisch adviseur.

Fase 3 — Bouwen, integreren en valideren. We implementeren het AI-systeem, integreren het met uw klinische systemen en EPD, en voeren technische validatie uit. Voor AI-systemen die zijn gereguleerd als medische hulpmiddelen, ondersteunen we het klinische evaluatieproces door technische documentatie te leveren die is afgestemd op de MDR-vereisten. We certificeren AI-systemen zelf niet als medisch hulpmiddel — dat vereist een Aangemelde Instantie — maar we zorgen ervoor dat de technische deliverables voldoen aan de bewijsvereisten voor certificering.

Fase 4 — Implementatie, training en post-marktbewaking. We implementeren het systeem in een gecontroleerde klinische omgeving, trainen klinisch en technisch personeel, en stellen post-marktbewakingsprocessen in — inclusief prestatiedashboards, overschrijvingstracking en workflows voor incidentmelding.

Bekijk onze cases voor voorbeelden van hoe we conforme AI-implementaties hebben gerealiseerd in complexe, gereguleerde omgevingen. Als u een medisch AI-project plant en de nalevingsvereisten wilt begrijpen vóórdat u zich verbindt aan een technologie of leverancier, neem dan contact op voor een eerste gesprek.

Veelgestelde Vragen

Veelgestelde vragen

Classificeert de EU AI-verordening alle medische AI-tools als hoog-risico?

Niet alle, maar wel veel. Onder Bijlage III van de EU AI-verordening worden AI-systemen bestemd voor gebruik als medisch hulpmiddel in de zin van EU MDR (Verordening 2017/745) of EU IVDR (Verordening 2017/746) automatisch als hoog-risico geclassificeerd. AI-systemen die ondersteuning bieden bij individuele klinische diagnose, behandelkeuze of prognose voldoen het vaakst aan deze drempel. AI-tools die puur voor administratieve of bevolkingsbrede analytische doeleinden worden gebruikt, vallen mogelijk buiten de hoog-risico-categorie, maar elk systeem moet individueel worden beoordeeld op basis van het beoogde gebruik en de claims over het systeem. Dit is algemene informatie en geen juridisch of regulatoir advies — raadpleeg gekwalificeerde juridisch adviseur voor een classificatiebeoordeling van uw specifieke systeem.

Wanneer is een DPIA wettelijk verplicht voor een medische AI-implementatie in Nederland?

Een Gegevensbeschermingseffectbeoordeling (DPIA) is wettelijk verplicht onder Artikel 35 AVG vóór de implementatie van elke verwerkingsoperatie die waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van natuurlijke personen. De Autoriteit Persoonsgegevens heeft een lijst gepubliceerd van verwerkingsactiviteiten waarvoor in Nederland altijd een DPIA vereist is; grootschalige verwerking van gezondheidsgegevens en systematische geautomatiseerde evaluatie van persoonlijke aspecten staan beide op deze lijst. In de praktijk vereisen vrijwel alle medische AI-systemen die patiëntgegevens op schaal verwerken een DPIA vóór implementatie. De DPIA moet worden uitgevoerd vóórdat de verwerking begint, niet na de livegang. Dit is algemene informatie en geen juridisch advies — raadpleeg uw functionaris voor gegevensbescherming.

Heeft een medisch AI-systeem CE-markering nodig onder de EU MDR om te worden ingezet in Nederlandse ziekenhuizen?

Als het AI-systeem kwalificeert als medisch hulpmiddel onder EU MDR (Verordening 2017/745) of als in-vitrodiagnostisch hulpmiddel onder EU IVDR (Verordening 2017/746), dan ja, is CE-markering vereist vóór het systeem op de EU-markt wordt gebracht of in gebruik wordt genomen. Of een specifiek AI-systeem kwalificeert als medisch hulpmiddel hangt af van het beoogde gebruik — in het bijzonder of het bedoeld is om klinische beslissingen over individuele patiënten te beïnvloeden. Zorginstellingen die AI-systemen implementeren zonder de toepasselijkheid van de MDR te verifiëren, riskeren het gebruik van ongeregistreerde medische hulpmiddelen, wat aanzienlijke regulatoire en aansprakelijkheidsconsequenties met zich meebrengt. Beoordeling door gekwalificeerde regulatoire MDR-adviseur is essentieel. Dit is algemene informatie en geen juridisch of regulatoir advies.

Mogen patiëntgezondheidsgegevens worden gebruikt om een medisch AI-model te trainen in Nederland onder de AVG?

Ja, maar alleen onder strikte voorwaarden. Gezondheidsgegevens zijn bijzondere categorieën persoonsgegevens onder Artikel 9 AVG, en het gebruik ervan voor het trainen van een AI-model vereist een geldige rechtsgrond die specifiek het trainingsgebruik dekt — niet alleen het oorspronkelijke klinische zorgdoel. In Nederland leggen de UAVG en relevante zorgsectorguidance de voorwaarden vast waaronder patiëntgegevens mogen worden gebruikt voor secundaire doeleinden zoals de ontwikkeling van AI-modellen. Afhankelijk van de omstandigheden kan dit expliciete toestemming van de patiënt vereisen, of mogelijk zijn op basis van een wetenschappelijk onderzoeksuitzondering met passende waarborgen. Gegevens moeten zoveel mogelijk worden geanonimiseerd of gepseudonimiseerd, en een DPIA is doorgaans vereist. Dit is algemene informatie en geen juridisch advies — raadpleeg uw juridisch adviseur en functionaris voor gegevensbescherming.

Hoe kan Crux Digits ons ziekenhuis helpen bij de naleving van de EU AI-verordening en AVG voor een nieuw medisch AI-project?

Crux Digits biedt end-to-end ondersteuning voor medische AI-naleving bij Nederlandse zorginstellingen — van initiële regulatoire classificatie en risicobeoordeling tot architectuur- en datagovernance-ontwerp, bouwen, integreren en post-marktbewaking. Wij zijn vendor-neutraal: we verkopen geen eigen AI-producten maar helpen u de juiste oplossingen te kiezen en te implementeren voor uw specifieke klinische en nalevingscontext. We werken samen met gespecialiseerde MDR/IVDR-regulatoire consultants voor classificatie- en conformiteitsbeoordelingsondersteuning. Bezoek onze zorgpagina op /nl/industries/healthcare, verken onze AI-implementatie- en data-engineering-diensten, of neem contact op via /nl/#contact voor een eerste gesprek.

Iets hiervan toepassen in uw bedrijf?

Wij maken van deze concepten werkende tools — gegrond, veilig en meetbaar. Begin met een gratis consult.

Gratis consult boeken →