Is AI in healthcare classified as high-risk under the EU AI Act?

Yes, in most clinical and administrative contexts. The EU AI Act Annex III classifies AI systems used in the management and operation of critical infrastructure (including hospitals), AI-assisted clinical diagnosis, treatment recommendation, and monitoring of patient outcomes as high-risk. High-risk classification requires technical documentation, conformity assessment, registration in the EU database, and human oversight mechanisms before deployment.

When is a DPIA mandatory for AI in a healthcare setting?

A Data Protection Impact Assessment (DPIA) is mandatory under GDPR Article 35 when processing is likely to result in a high risk to individuals. For healthcare AI, this threshold is almost always met. Processing Article 9 special category data (health data) at scale, automated decision-making with significant effects, and systematic monitoring of individuals are all triggers. The DPIA must be completed before the processing starts. Retrofitting is not compliant.

What happens if a DPIA finds high residual risk?

If a DPIA concludes that high residual risk remains after mitigation measures are applied, GDPR Article 36 requires prior consultation with the competent supervisory authority before processing begins. The authority has up to 8 weeks to respond, extendable by a further 6 weeks in complex cases. Deploying without completing this step exposes the organisation to enforcement action and potential fines of up to €20 million or 4% of global turnover.

What is the legal basis for processing health data with AI tools?

Health data (Article 9 special category data) requires both a lawful basis under GDPR Article 6 and an additional condition under Article 9(2). In healthcare, the most common conditions are explicit patient consent, processing necessary for the provision of healthcare services, or processing for reasons of public health. Legitimate interest, commonly used for general AI tools, does not satisfy Article 9. Each AI use case needs its own documented legal basis.

Can we use US-based AI tools to process patient data?

It is possible but requires careful structuring. Transferring personal data outside the EEA requires a transfer mechanism under GDPR Chapter V. Standard Contractual Clauses are the most common route for US transfers, but must be supplemented by a Transfer Impact Assessment. Some US providers participate in the EU-US Data Privacy Framework, which can simplify the legal basis. For high-sensitivity health data, many organisations are choosing EEA-hosted processing to reduce legal risk.

AI gebruiken in uw gezondheidszorgorganisatie zonder GDPR-blootstelling te creëren

Belangrijkste afhaalrestaurants

Patiëntgegevens zijn gegevens uit de speciale categorie Artikel 9, het hoogste GDPR-beschermingsniveau, met strikte verwerkingsvoorwaarden
AI-systemen die worden gebruikt bij de klinische besluitvorming worden geclassificeerd als hoogrisico onder bijlage III van de EU AI Act
Een DPIA is verplicht voordat een AI-tool wordt ingezet die gegevens uit speciale categorieën op schaal verwerkt
Als uw DPIA een hoog restrisico vaststelt, moet u vóór gebruik uw nationale toezichthoudende autoriteit raadplegen
In de VS gevestigde AI-tools creëren verplichtingen voor gegevensoverdracht onder GDPR Hoofdstuk V. Contracten alleen zijn mogelijk niet voldoende

Het daadwerkelijke risico: gezondheidsdata en AI zijn een specifieke combinatie

Gezondheidsgegevens vallen onder GDPR artikel 9 en zijn gegevens van een speciale categorie. Voor de verwerking ervan is een wettelijke basis vereist op grond van artikel 6 en een afzonderlijke voorwaarde op grond van artikel 9, lid 2. De voorwaarden zijn beperkter dan de meeste organisaties aannemen. Gerechtvaardigde belangen, de meest flexibele basis voor gewone persoonsgegevens, zijn niet beschikbaar voor gegevens van bijzondere categorieën. U heeft expliciete toestemming nodig, een wettelijke verplichting, vitale belangen of een specifieke zorgverleningsgrondslag.

Dit is van belang voor AI omdat veel AI-tools gegevens verwerken op manieren die niet duidelijk zichtbaar zijn in de gebruikersinterface. Een hulpmiddel voor klinische samenvatting ontvangt patiëntaantekeningen. Een plannings-AI kan diagnosecodes verwerken om afspraakmomenten te optimaliseren. Een administratieve chatbot kan de gespreksgeschiedenis opslaan die symptomen of medicatie-informatie bevat. Elk van deze gevallen houdt de verwerking van gezondheidsgegevens van een speciale categorie in, en elk ervan vereist een geldige voorwaarde uit artikel 9, lid 2, en een gedocumenteerde rechtsgrondslag voordat de tool live gaat.

AI-tools van derden vergroten dit risico. Wanneer uw organisatie een SaaS AI-product gebruikt, verwerkt de leverancier gegevens namens u als gegevensverwerker. Dat betekent dat u als verwerkingsverantwoordelijke verantwoordelijk blijft voor de rechtmatigheid van de verwerking. Het privacybeleid van een leverancier waarin staat "wij gebruiken uw gegevens niet om onze modellen te trainen" is geen vervanging voor uw eigen beoordeling van de wettelijke basis.

Kunst. 9

GDPR: gezondheidsgegevens vereisen een afzonderlijke wettelijke basis die verder gaat dan de standaard Art. 6 rechtsgrondslag

Hoog risico

EU AI Act-classificatie voor AI-systemen die worden gebruikt bij besluitvorming in de gezondheidszorg

DPIA

verplicht voordat AI wordt ingezet die gezondheidsgegevens op grote schaal verwerkt

De EU AI Act-classificatie voor AI in de gezondheidszorg

De EU AI Act is in augustus 2024 in werking getreden en de meeste bepalingen zijn van toepassing vanaf augustus 2026. Zorgorganisaties die AI inzetten, moeten begrijpen hoe de wet hun tools nu classificeert, omdat de nalevingsstappen die nodig zijn vóór de implementatie tijd vergen.

AI-systemen die in klinische omgevingen worden gebruikt, worden krachtens bijlage III van de wet geclassificeerd als hoogrisico. Dit omvat systemen die bedoeld zijn om te worden gebruikt als medische hulpmiddelen, systemen die helpen bij klinische diagnoses en systemen die behandelbeslissingen beïnvloeden. AI-systemen met een hoog risico vereisen een conformiteitsbeoordeling voordat ze op de markt worden gebracht of in gebruik worden genomen, onderhouden gedetailleerde technische documentatie, implementeren mechanismen voor menselijk toezicht en worden geregistreerd in de EU-database voor AI-systemen met een hoog risico.

AI-systemen die puur worden gebruikt voor administratieve taken, zoals planning, HR of financieel beheer binnen een zorgorganisatie, mogen niet in de risicocategorie vallen onder de AI-wet. Het onderscheid is van belang omdat de nalevingslast substantieel lager is voor systemen zonder hoog risico. De GDPR-verplichtingen zijn echter van toepassing, ongeacht de AI Act-classificatie. Een administratieve AI die gezondheidsgegevens verwerkt, heeft nog steeds een geldige wettelijke basis en een DPIA nodig.

Belangrijk onderscheid

Een hulpmiddel dat door de leverancier op de markt wordt gebracht als ‘AI voor gezondheidszorgadministratie’ kan volgens de AI-wet al dan niet een hoog risico met zich meebrengen, afhankelijk van de vraag of het klinische beslissingen beïnvloedt. De marketingbeschrijving is niet de juridische test. De vraag is of de output van het systeem waarschijnlijk zal worden gebruikt om beslissingen over de gezondheid van een patiënt te nemen of te beïnvloeden. Zo ja, dan is er sprake van een hoog risico, ongeacht hoe de leverancier het positioneert.

Vijf vragen die u moet stellen voordat u een AI-tool inzet

Voer deze vragen door in elke AI-tool die wordt geëvalueerd. Ze zijn van toepassing op tools die u bij leveranciers aanschaft en op AI-functies die zijn ingebed in bestaande softwareplatforms (die steeds vaker voorkomen in EPD-, plannings- en communicatiesystemen).

Welke persoonlijke gegevens verwerkt deze tool en kwalificeert een deel ervan als gezondheidsgegevens onder GDPR?

Breng datastromen vóór de aanschaf in kaart, niet erna. Vraag leveranciers om een gegevensstroomdiagram dat laat zien wat de tool ontvangt, waar deze wordt verwerkt en hoe lang deze wordt bewaard. Inclusief subverwerkers.

Wat is onze wettelijke basis voor de verwerking van deze gegevens?

Identificeer de specifieke artikel 6-grondslag en de specifieke artikel 9, lid 2-voorwaarde. Documenteer ze. Als u beide niet kunt identificeren, kan de tool pas live gaan als u dat wel kunt.

Kwalificeert dit systeem als hoog risico onder de EU AI Act?

Als het hulpmiddel klinische beslissingen zou kunnen beïnvloeden, behandel het dan als een risicovol totdat u een duidelijk juridisch oordeel heeft over het tegendeel. Vraag de conformiteitsbeoordelingsdocumentatie van de leverancier aan.

Welke rechten hebben patiënten over de gegevens die deze tool verwerkt?

GDPR Artikel 22 geeft individuen het recht om niet onderworpen te worden aan uitsluitend geautomatiseerde besluiten die hen aanzienlijk beïnvloeden. Als de AI-tool resultaten produceert die rechtstreeks bijdragen aan klinische of administratieve beslissingen over patiënten zonder menselijke beoordeling, bent u krachtens artikel 22 verplicht om dit openbaar te maken en een menselijke beoordelingsoptie aan te bieden.

Waar gaan de gegevens van deze tool naartoe als we ermee stoppen?

Begrijp de voorwaarden voor gegevensverwijdering en portabiliteit voordat u ondertekent. Gezondheidsgegevens die na de beëindiging van het contract door een leverancier worden bewaard, creëren voortdurende aansprakelijkheid voor uw organisatie als verwerkingsverantwoordelijke.

Wanneer een DPIA verplicht is (en waarom de meeste worden overgeslagen)

Een gegevensbeschermingseffectbeoordeling is verplicht op grond van artikel 35 van GDPR voordat wordt begonnen met verwerking die "waarschijnlijk een hoog risico met zich meebrengt" voor de rechten en vrijheden van individuen. De richtlijnen van de Artikel 29-werkgroep (nu de EDPB) specificeren negen criteria voor het activeren van een verplichte DPIA. Het op grote schaal verwerken van gezondheidsgegevens voldoet aan criterium één en criterium twee: gevoelige gegevens en grootschalige verwerking. Elke AI-tool voor de gezondheidszorg die in een klinische operatie wordt ingezet, bevindt zich vrijwel zeker binnen het verplichte DPIA-territorium.

Het praktische probleem is dat DPIA's tijd nodig hebben: doorgaans twee tot zes weken als het op de juiste manier wordt uitgevoerd. Tijdlijnen voor aanbestedingen en de druk om AI-tools in te zetten, zorgen er al snel voor dat veel organisaties de beoordeling overslaan of een oppervlakkige versie uitvoeren die de werkelijke risico’s niet aanpakt. Toezichthouders zijn zich van dit patroon bewust. De Nederlandse AP (Autoriteit Persoonsgegevens) en de Britse ICO hebben beide specifieke richtlijnen uitgegeven over AI en gegevensbescherming, en beide bevatten DPIA-vereisten als primaire nalevingscontrole.

Een DPIA voor een AI-tool in de gezondheidszorg moet het volgende omvatten: het doel en de noodzaak van de verwerking, gegevensstromen en bewaring, risico's voor de rechten van patiënten (inclusief het risico op discriminatie als de AI bevooroordeelde resultaten produceert), beveiligingsmaatregelen en de rol van de leverancier als gegevensverwerker. Ook moet het vraagstuk van de geautomatiseerde besluitvorming uit artikel 22 expliciet worden behandeld.

Belangrijk

Als uw DPIA een hoog restrisico identificeert dat niet kan worden beperkt, bent u verplicht uw toezichthoudende autoriteit te raadplegen voordat u verdergaat. Voorafgaand overleg is een formeel proces, geen informeel gesprek. Door voldoende DPIA-tijd te besteden aan AI-aankoopbeslissingen vermijdt u de situatie waarin een tool al is gecontracteerd voordat u ontdekt dat voorafgaand overleg vereist is.

Hoe een veilige inzet er in de praktijk uitziet

Drie structurele keuzes bepalen of uw AI-implementatie risico’s creëert of beheert.

Dataminimalisatie. Controleer welke gegevens de tool daadwerkelijk nodig heeft om te functioneren. Veel AI-tools zijn standaard geconfigureerd om meer gegevens te ontvangen dan nodig is. Een hulpmiddel voor klinische samenvatting dat volledige patiëntendossiers nodig heeft om een consultatienota samen te vatten, moet worden uitgedaagd: kan het werken met alleen de inhoud van het consult, ontdaan van andere identificatiegegevens? Hoe minder gezondheidsgegevens naar een systeem van derden stromen, hoe kleiner uw blootstelling.

Lokale implementatie versus cloud-API. AI-tools die gegevens lokaal binnen uw infrastructuur verwerken, in plaats van deze naar een cloud-API te sturen, verminderen het risico van externe processors aanzienlijk. Dit is relevanter voor administratieve AI dan voor klinische SaaS-tools, waar lokale inzet zelden een optie is. Voor interne AI-tools die door uw team worden gebouwd of geconfigureerd, zou de implementatie van lokale modellen de standaardoverweging moeten zijn voor alles wat met gezondheidsgegevens te maken heeft.

Menselijke toezichtsmechanismen. De EU AI Act vereist dat risicovolle AI-systemen functies bevatten die menselijk toezicht mogelijk maken, inclusief de mogelijkheid voor een mens om in te grijpen, het systeem te onderdrukken of te stoppen. Bouw uw implementatiearchitectuur rond deze vereiste. Een AI-systeem dat klinische samenvattingen voor beoordeling produceert, voldoet hieraan. Hetzelfde systeem, dat is geconfigureerd om patiëntendossiers automatisch bij te werken zonder beoordeling, is dat mogelijk niet.

AI in de gezondheidszorg levert meetbare operationele waarde en het doel is om de implementatie zo te structureren dat uw organisatie wordt beschermd. Organisaties die de DPIA uitvoeren, de wettelijke basis documenteren en toezichtsmechanismen inbouwen, bevinden zich in een sterke positie bij de toezichthouders. Degenen die het eerst inzetten en later beoordelen, worden geconfronteerd met handhavingsrisico's.

De EU AI Act is gepubliceerd op EUR-Lex (Verordening 2024/1689). De richtlijnen van de Europese Commissie over AI-classificatie en conformiteitsbeoordeling met een hoog risico voor toepassingen in de gezondheidszorg zijn beschikbaar via de EU AI-beleidspagina's.

Gebruik AI in uw zorgorganisatie zonder GDPR-blootstelling te creëren