Op 2 augustus 2026 wordt de EU AI Act volledig van kracht. Dat klinkt misschien als veel werk en ver weg, maar het is dichtbij. En als je er goed naar kijkt raakt deze wet het werk dat jij als informatiekundige al doet.
Wij leggen graag uit wat de wet vraagt, wat wij in de praktijk tegenkomen en hoe je het werk integraal kunt aanpakken zonder dat het een groot en apart traject wordt.
Wat is de EU AI Act?
De EU AI Act is wereldwijd de eerste wet die AI reguleert op basis van risico. Elke AI-toepassing wordt ingedeeld in een risicocategorie: minimaal, beperkt, hoog of onacceptabel. Hoe hoger het risico, hoe strenger de eisen. Op 2 augustus 2026 worden de verplichtingen voor hoog-risico AI-systemen volledig van kracht. En ja, daar moeten we allemaal iets mee.
Wat moet je kunnen aantonen?
Afhankelijk van de risicoclassificatie gelden er specifieke eisen. De wet benoemt de volgende onderwerpen:
Risicoclassificatie - in welke risicocategorie valt deze AI-toepassing? Dit bepaalt welke verplichtingen van toepassing zijn.
Risicomanagement - is er een doorlopend risicomanagementsysteem ingericht? Niet eenmalig, maar continu.
Data en datagovernance - welke gegevens gebruikt het systeem, uit welke bronnen, en hoe is de kwaliteit geborgd? Dit raakt trainingsdata, testdata én operationele data.
Technische documentatie - is vastgelegd hoe het systeem werkt, waarvoor het bedoeld is en wat de beperkingen zijn?
Logging en traceerbaarheid - worden systeemactiviteiten automatisch geregistreerd, zodat achteraf te herleiden is wat er is gebeurd?
Transparantie - is voor gebruikers duidelijk dat ze met AI te maken hebben, en zijn er heldere gebruiksinstructies?
Menselijk toezicht - is het systeem zo ontworpen dat er effectief menselijk toezicht op mogelijk is? Wie is verantwoordelijk voor dat toezicht?
Nauwkeurigheid, robuustheid en cybersecurity - voldoet het systeem aan aantoonbare prestatie-eisen op deze drie vlakken?
Conformiteitsbeoordeling - is er een beoordeling uitgevoerd voordat het systeem in gebruik is genomen? Voor hoog-risico systemen is dit verplicht.
Registratie in de EU-database - is het hoog-risico systeem geregistreerd in de Europese AI-database?
Post-market monitoring - is er een systeem voor doorlopende monitoring na ingebruikname, inclusief incidentmelding?
Misschien herken je het: dit lijkt sterk op wat je voor NEN 7510 en AVG (Algemene Verordening Gegevensbescherming) ook al moet doen. En dat klopt, want het gaat steeds over dezelfde informatiehuishouding.
Wat wij in de praktijk tegenkomen
Wat we nu hier en daar horen is dat zorgorganisaties hiervoor een vertrouwde route kiezen: een apart register opzetten, losse documentatie maken, een gericht compliance-traject starten. Het is dezelfde aanpak die we kennen van de AVG en NEN 7510. Begrijpelijk, want het voelt overzichtelijk.
Maar er is ook een andere manier. Een werkwijze die beter past bij hoe je integraal aan het op orde brengen van je informatiehuishouding werkt.
Hoe wij het benaderen
AI-toepassingen zijn beheerde items in je informatiehuishouding, net als applicaties, koppelingen en certificaten. Ze hebben eigenaren, ze worden in processen gebruikt, ze gebruiken en verwerken gegevens, en ze moeten bewaakt worden.
Als je het zo benadert hoef je geen apart AI-register op te tuigen. Je legt het vast bij de bron, in je gereedschap voor je informatiehuishouding. En de AI Act kun je dan zien als een dwarsdoorsnede van dezelfde bron. Eenmalig vastleggen, meervoudig gebruiken, of je nu kijkt vanuit NEN 7510, AVG of straks de AI Act.
Als je dit als dwarsdoorsnede op je informatiehuishouding legt, dan zie je dat je bij elk van deze eisen terug kunt vallen op wat je als informatiekundige al moet beheren: welke gegevens, welke processen, welke eigenaren, welke bedrijfsregels, welke koppelingen. Vandaar ons beeld dat je geen apart register hoeft aan te maken. Verwerk AI-applicaties in je informatiehuishouding zoals alle andere beheerde items en behandel ze op onderdelen net wat meer specifiek.
Wat wij zorgorganisaties adviseren
- Neem elke AI-toepassing op als beheerd item, met dezelfde zorgvuldigheid als elke andere applicatie, met eigenaren en beheerders.
- Leg vast welke gegevens het gebruikt, uit welke bronnen, met welke kwaliteitseisen.
- Definieer bedrijfsregels: wanneer mag het, wanneer niet, wie houdt toezicht?
- Koppel dit aan het AI Act-raamwerk, zodat je per eis kunt aantonen hoe je voldoet.
- Borg het in je dagelijkse beheer, niet in een aparte aanpak die buiten de reguliere informatiehuishouding staat.
De rol van de informatiekundige
De informatiekundigen, zoals de (operationeel) informatiemanager en de functioneel beheerders, hebben hierin een scharnierfunctie. Niet alleen de jurist, niet alleen de IT'er, maar juist samen. Maak een aanpak samen met informatiebeveiligingsspecialisten zoals de FG en de CISO. Van wettelijke eisen naar werkbare afspraken in de praktijk. En zorg er samen voor dat compliance geen losstaand project is, maar onderdeel is van hoe je jullie informatiehuishouding beheert.
Als functioneel beheerder merk je steeds meer in je dagelijkse werk dat je niet om informatiebeveiliging heen kunt. Je bent allang niet meer alleen bezig met je eigen applicatie. Je werkt in de keten, je ziet de koppelingen, je kent de gegevensstromen. Juist vanuit die positie kun je signaleren welke AI-toepassingen er in jouw deel van het landschap worden gebruikt, wie er verantwoordelijk is en welke gegevens erbij betrokken zijn. Die ketenkennis is precies wat nodig is om de AI Act goed te laten landen, niet als papieren exercitie, maar als onderdeel van je (dagelijks) werk.
Het juiste gereedschap
Om dit waar te maken heeft de informatiekundige wel het juiste gereedschap nodig. Een plek waar je informatiehuishouding samenkomt, waar je beheerde items vastlegt, waar je dwars door de informatiehuishouding heen kunt kijken via bijvoorbeeld raamwerken en inzichten. Alles bezien vanuit dezelfde bron.
Wij hebben mede hiervoor Saar ontwikkeld. De applicatie waarmee informatiekundigen in allerlei verschillende functies op deze integrale manier aan de slag kunnen. In Saar kun je nu al filteren op AI-applicaties. En we gaan een specifiek raamwerk voor de AI Act beschikbaar maken.
Tot slot
De zorgorganisaties die straks soepel door de AI Act heen komen? Dat zijn dezelfde organisaties die hun informatiehuishouding nu al structureel op orde brengen. Niet omdat het moet van de wet, maar omdat het hen wendbaar, antifragiel, compliant en toekomstbestendig maakt.
De AI Act is geen nieuw probleem. Het is een nieuwe reden om een bestaand vraagstuk nu echt aan te pakken.
Meer weten? Kijk op infozorg.nl/saar of neem contact met ons op.
Meer weten over de wet zelf? Kijk op artificialintelligenceact.eu of op de officiële EU-pagina: digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai.
30 april 2026
Nieuws
De 5 meest actuele nieuwsberichten.....