Naar hoofdinhoud
Handhaving AI-verordening: vanaf 2 augustus 2026 regel het op tijd voor je team →
AIAI-geletterdheidstraining
InloggenRegel het voor je team →
Regel het voor je team →Of begin zelf gratis
TrainingenAI-beleidKennisbankVoor werkgeversDe AI-wetCertificaatInloggen
Gratis template · AI-gebruiksbeleid

AI-gebruiksbeleid voor de zorg (template)

AI zit al in de zorg: spraak-naar-tekst voor het dossier, triage-chatbots, beeldherkenning op scans en slimme roosterplanning. Dit AI-gebruiksbeleid legt vast hoe verpleegkundigen, doktersassistenten en zorgadministratie binnen deze organisatie veilig met AI omgaan. Zo beschermen we bijzondere persoonsgegevens en het medisch beroepsgeheim, houden we menselijk toezicht op de zorg en voldoen we aan de AI-geletterdheidsplicht uit artikel 4 van de EU AI-verordening.

Versie 1.0 · Juni 2026 · Aanpasbaar voorbeeld, geen juridisch advies. Vervang [organisatie] en [datum] door je eigen gegevens.

1. Doel en reikwijdte

Dit AI-gebruiksbeleid beschrijft hoe medewerkers van [organisatie] verantwoord, veilig en wettelijk omgaan met kunstmatige intelligentie (AI). Het beleid helpt [organisatie] te voldoen aan artikel 4 van de EU AI-verordening (de AI-geletterdheidsplicht) en aan de Algemene verordening gegevensbescherming (AVG).

Het beleid geldt voor iedereen die namens de organisatie met AI werkt: vaste medewerkers, tijdelijke krachten, stagiairs en ingehuurde externen. Het gaat over alle AI-systemen die in het werk worden gebruikt, of die nu zelf zijn aangeschaft, in bestaande software zitten of gratis online beschikbaar zijn (zoals algemene chatbots).

2. Definities

Om misverstanden te voorkomen, gebruiken we de volgende begrippen:

  • AI-systeem: software die op basis van data zelfstandig uitkomsten genereert, zoals tekst, beeld, voorspellingen, classificaties of aanbevelingen.
  • Generatieve AI: AI die nieuwe inhoud maakt, zoals tekst (ChatGPT, Copilot, Gemini), beeld of code.
  • Hallucinatie: een AI-uitkomst die overtuigend klinkt maar feitelijk onjuist of verzonnen is (bijvoorbeeld een niet-bestaande bron of een verkeerd getal).
  • Persoonsgegevens: alle gegevens over een herkenbaar persoon (naam, e-mail, klant- of patiëntgegevens, beeld, locatie).
  • Hoog-risico AI: AI-toepassingen die volgens de AI-verordening extra eisen kennen omdat ze mensen of hun rechten direct kunnen raken.
  • Schaduw-AI: AI-tools die medewerkers gebruiken zonder dat de organisatie ze heeft goedgekeurd.

3. Uitgangspunten

Bij alles wat we met AI doen, gelden deze vijf uitgangspunten:

  • Mens beslist. AI is een hulpmiddel; een medewerker controleert de uitkomst en neemt de eindbeslissing.
  • Veilig met gegevens. We delen geen vertrouwelijke of persoonsgegevens met AI-tools die daarvoor niet zijn goedgekeurd.
  • Eerlijk en transparant. Klanten, burgers of betrokkenen weten wanneer zij met AI te maken hebben.
  • Aantoonbaar bekwaam. Iedereen die met AI werkt, is voldoende AI-geletterd (artikel 4 AI-verordening).
  • Verantwoord en uitlegbaar. We kunnen uitleggen hoe een uitkomst tot stand kwam en waarom we erop vertrouwen.

4. Wat mag wel

  • Gebruik alleen door de organisatie goedgekeurde AI-tools met een verwerkersovereenkomst en verwerking binnen de EU.
  • Controleer elke spraak-naar-tekst-rapportage in het dossier zelf op fouten voordat je hem opslaat of ondertekent.
  • Houd altijd menselijk toezicht: jij beoordeelt een triage-uitkomst, risicoscore of beeldherkenning zelf en blijft eindverantwoordelijk.
  • Vertel de patiënt wanneer hij met een chatbot communiceert of wanneer AI meebeslist over zijn zorg.
  • Verwijder of anonimiseer patiëntgegevens die niet nodig zijn voordat je iets in een tool invoert.
  • Behandel een medisch AI-antwoord altijd als suggestie en toets het aan de geldende richtlijn en je eigen kennis.
  • Meld een vermoedelijk datalek of een onveilige AI-uitkomst direct bij de verantwoordelijke (zoals de functionaris gegevensbescherming).
  • Volg de AI-geletterdheidstraining en houd je certificaat actueel (artikel 4 AI-verordening).

5. Wat mag niet

  • Plak nooit patiëntgegevens, dossierinformatie, scans of gezondheidsgegevens in een gratis of openbare chatbot.
  • Laat een triage-chatbot of risicoscore nooit zelfstandig over een patiënt beslissen zonder dat een zorgprofessional dit beoordeelt.
  • Neem een medisch advies, dosering of richtlijn van AI nooit over zonder het zelf te verifiëren.
  • Gebruik geen privé-AI-accounts of niet-goedgekeurde tools (schaduw-AI) voor werk met patiëntinformatie.
  • Sla een door AI gegenereerde rapportage niet ongecontroleerd op in het patiëntendossier.
  • Verzwijg niet voor de patiënt dat hij met een AI-systeem te maken heeft als dat het geval is.
  • Deel geen inloggegevens of toegang tot het zorgsysteem met externe AI-diensten.
  • Gebruik geen patiëntgegevens om een AI-model te trainen, tenzij dit aantoonbaar rechtmatig en toegestaan is.

6. Gegevens, privacy en geheimhouding

Persoons- en bedrijfsgegevens horen alleen in AI-tools die de organisatie zakelijk heeft goedgekeurd en die voldoen aan de AVG. In gratis, openbare AI-tools voer je nooit vertrouwelijke informatie in: gegevens kunnen worden bewaard en hergebruikt voor het trainen van het model.

  • Voer geen namen, klant-, patiënt- of dossiergegevens, contracten, broncode of bedrijfsgeheimen in een niet-goedgekeurde AI-tool in.
  • Anonimiseer gegevens waar mogelijk voordat je ze (in een goedgekeurde tool) gebruikt.
  • Verwerk je persoonsgegevens met AI? Zorg voor een grondslag, een verwerkersovereenkomst met de leverancier en, bij hoog risico, een DPIA (gegevensbeschermingseffectbeoordeling).
  • Twijfel je of iets mag? Vraag het de verantwoordelijke (zie Rollen) vóór je het invoert.

7. Transparantie

Mensen hebben recht om te weten wanneer zij met AI communiceren of wanneer AI een rol speelt in een uitkomst die hen raakt. We zijn hier open over.

  • Een chatbot of AI-assistent maakt duidelijk dat het geen mens is.
  • AI-gegenereerde teksten die naar buiten gaan, worden door een mens gecontroleerd en waar passend als zodanig herkenbaar gemaakt.
  • Bij beslissingen die mensen raken, kunnen we uitleggen welke rol AI speelde.

8. Menselijk toezicht en eindverantwoordelijkheid

AI levert een voorstel, geen oordeel. De medewerker beoordeelt elke AI-uitkomst kritisch op juistheid, volledigheid en redelijkheid, en blijft eindverantwoordelijk. Hoe groter de impact van een fout, hoe grondiger de controle.

  • Controleer feiten, cijfers, bronnen en wetsverwijzingen die AI noemt; ga uit van mogelijke hallucinaties.
  • Neem een AI-uitkomst nooit ongezien over in een advies, besluit, rapport of bericht aan een klant.
  • Kun je een uitkomst niet uitleggen of verantwoorden, gebruik hem dan niet.

9. Hoog-risico AI

Sommige AI-toepassingen gelden onder de AI-verordening als hoog risico, bijvoorbeeld omdat ze meebeslissen over werk, geld, gezondheid, onderwijs of rechten van mensen. Daarvoor gelden strengere eisen aan kwaliteit, toezicht, documentatie en menselijke controle. Twijfel je of een toepassing hoog risico is, behandel hem dan alsof dat zo is en overleg met de verantwoordelijke.

10. Incidenten en datalekken melden

Ging er iets mis met AI? Meld het direct, zodat we schade kunnen beperken. Een datalek kan ontstaan doordat vertrouwelijke informatie in een verkeerde tool belandt.

  • Meld een (vermoedelijk) datalek of AI-incident meteen bij de verantwoordelijke/FG (functionaris gegevensbescherming).
  • Een datalek met risico voor betrokkenen melden we binnen 72 uur bij de Autoriteit Persoonsgegevens.
  • Voorbeelden om te melden: gevoelige gegevens in een openbare chatbot geplakt, een AI-fout die naar buiten ging, of een misleidende AI-uitkomst die schade veroorzaakte.
  • Melden leidt niet tot straf; niet-melden wel. Fouten gebruiken we om te leren.

11. Toegestane tools en schaduw-AI

We werken alleen met AI-tools die de organisatie heeft goedgekeurd en die in een actueel overzicht (AI-toolregister) staan. Wil je een nieuwe tool gebruiken, vraag dan eerst goedkeuring. Zo voorkomen we schaduw-AI: ongecontroleerde tools waarmee ongemerkt gegevens kunnen weglekken.

  • Gebruik voor werk alleen goedgekeurde, zakelijke AI-tools en accounts.
  • Nieuwe tool nodig? Vraag goedkeuring aan de verantwoordelijke vóór gebruik.
  • Het AI-toolregister vermeldt per tool: doel, leverancier, soort gegevens en wie verantwoordelijk is.

12. Rollen en verantwoordelijkheden

  • Directie/bestuur: stelt dit beleid vast, stelt middelen beschikbaar en draagt eindverantwoordelijkheid.
  • AI-verantwoordelijke / aandachtsfunctionaris: beheert het toolregister, beoordeelt nieuwe tools en is aanspreekpunt bij twijfel.
  • Functionaris gegevensbescherming (FG) / privacy: bewaakt AVG, DPIA's en datalekprocedure.
  • Leidinggevenden: zorgen dat hun team het beleid kent en naleeft.
  • Medewerkers: passen het beleid toe, blijven AI-geletterd en melden incidenten.

13. AI-geletterdheid (artikel 4)

Artikel 4 van de EU AI-verordening verplicht organisaties om iedereen die met AI werkt aantoonbaar AI-geletterd te maken. De plicht geldt sinds 2 februari 2025; handhaving start vanaf 2 augustus 2026. Iedere medewerker die met AI werkt, volgt daarom een passende AI-geletterdheidstraining en houdt zijn kennis actueel. De organisatie legt vast wie de training heeft gevolgd (bijvoorbeeld met een certificaat met verificatiecode).

14. Naleving, evaluatie en ingangsdatum

Dit beleid is onderdeel van de afspraken binnen [organisatie]. Bij twijfel geldt: eerst vragen, dan doen. We evalueren dit beleid minstens één keer per jaar en passen het aan op nieuwe tools, ervaringen en regelgeving.

  • Ingangsdatum: [datum]. Vastgesteld door: [naam/functie] namens [organisatie].
  • Versie: 1.0. Eerstvolgende evaluatie: [datum + 1 jaar].

15. Sectorspecifieke risico's

⚠️ Lekken van bijzondere persoonsgegevens
Gezondheidsgegevens zijn bijzondere persoonsgegevens met extra bescherming onder de AVG. Wie patiëntinformatie in een gratis chatbot plakt om iets te laten samenvatten, deelt die data met een externe partij en veroorzaakt een datalek dat het beroepsgeheim schendt.
⚠️ Hallucinaties in medische informatie
Generatieve AI kan een medisch antwoord, dosering of richtlijn geven die overtuigend klinkt maar niet klopt. In de zorg kan zo'n fout direct gevolgen hebben voor de gezondheid van een patiënt.
⚠️ Hoog-risico AI zonder de juiste waarborgen
Veel zorg-AI, zoals beeldherkenning of beslisondersteuning, valt onder de hoog-risicocategorie van de AI-verordening. Dat stelt extra eisen aan transparantie, menselijk toezicht en kwaliteit die de organisatie moet borgen.
⚠️ Te weinig menselijk toezicht bij triage
Een triage-chatbot of risicoscore die zonder controle wordt gevolgd, kan een patiënt verkeerd inschalen. De zorgprofessional moet altijd kunnen ingrijpen en de uitkomst zelf kunnen beoordelen en uitleggen.
⚠️ Gebrek aan transparantie naar de patiënt
Patiënten hebben er recht op te weten wanneer zij met een AI-systeem communiceren of wanneer AI meebeslist. Zonder duidelijke uitleg ontbreekt het aan informed consent en transparantie die de wet vraagt.

16. Regels en toezicht voor deze sector

AVG (bijzondere persoonsgegevens)
Gezondheidsgegevens zijn bijzondere persoonsgegevens en mogen alleen onder strikte voorwaarden worden verwerkt. Ze horen nooit in openbare AI-tools; gebruik alleen oplossingen met een verwerkersovereenkomst en verwerking binnen de EU.
Medisch beroepsgeheim (Wet BIG en WGBO)
Het medisch beroepsgeheim verplicht zorgverleners patiëntinformatie vertrouwelijk te houden. Informatie over een patiënt deel je niet met externe AI-diensten zonder dat de vertrouwelijkheid technisch en contractueel is geborgd.
Toezicht IGJ
De Inspectie Gezondheidszorg en Jeugd ziet toe op verantwoorde en veilige zorg. Het gebruik van AI moet passen binnen de eisen aan kwaliteit en veiligheid van zorg en mag de patiëntveiligheid niet in gevaar brengen.
Artikel 4 AI-verordening (AI-geletterdheid)
Sinds 2 februari 2025 moet de organisatie iedereen die met AI werkt aantoonbaar AI-geletterd maken. De handhaving van de bredere AI-verordening start vanaf 2 augustus 2026, en veel zorg-AI valt onder het hoog-risicoregime.

Mail mij dit beleid + de compliance-checklist

Ontvang het volledige AI-gebruiksbeleid voor zorg- en welzijnsorganisaties als bestand, plus een 7-stappen compliance-checklist voor artikel 4. Geen spam.

Voorbeelden uit de praktijk

📎 Een verpleegkundige spreekt de rapportage in en de spraak-naar-tekst-software zet het automatisch om naar tekst in het dossier.
Aanpak: Lees de omgezette tekst zelf na voordat je hem vastlegt of ondertekent. Spraakherkenning maakt fouten in namen, doseringen en termen. Jij blijft verantwoordelijk voor wat er in het dossier komt; gebruik alleen een door de organisatie goedgekeurde, beveiligde tool.
📎 Een doktersassistent werkt met een triage-chatbot die patiënten 's avonds vragen laat stellen en een urgentie voorstelt.
Aanpak: Behandel het voorstel van de chatbot als hulpmiddel, niet als besluit. Een zorgprofessional beoordeelt elke uitkomst en kan altijd ingrijpen. Zorg dat de patiënt duidelijk weet dat hij met een chatbot praat en niet met een mens.
📎 Een medewerker zorgadministratie wil een ontslagbrief 'even netjes laten samenvatten' in een online AI-tool.
Aanpak: Doe dit niet in een openbare tool: de brief bevat gezondheidsgegevens, dus dat is een datalek en een schending van het beroepsgeheim. Gebruik alleen een goedgekeurde tool met verwerkersovereenkomst, of verwijder eerst alle herleidbare patiëntgegevens.

Veelgestelde vragen over AI-beleid in zorg- en welzijnsorganisaties

Moet een zorgorganisatie een AI-beleid hebben?

Een AI-gebruiksbeleid is de praktische manier om aan de AI-geletterdheidsplicht uit artikel 4 van de AI-verordening te voldoen, die sinds 2 februari 2025 geldt. Daarnaast helpt het je aantoonbaar de AVG, het medisch beroepsgeheim en de eisen aan veilige zorg na te leven. Voor een sector die met de meest gevoelige gegevens werkt, is dat onmisbaar.

Mag ik ChatGPT gebruiken als zorgmedewerker?

Voor algemene taken zonder patiëntgegevens, zoals een tekst opfrissen of een begrip uitleggen, kan dat. Plak echter nooit patiëntgegevens, dossierinformatie of gezondheidsgegevens in een openbare versie van ChatGPT; dat is een datalek en schendt het beroepsgeheim. Voor werk met patiëntdata gebruik je alleen een door de organisatie goedgekeurde, beveiligde tool.

Wat moet er in een AI-gebruiksbeleid voor de zorg staan?

Minimaal: welke AI-tools wel en niet zijn toegestaan, hoe je met bijzondere persoonsgegevens en het beroepsgeheim omgaat, dat er altijd menselijk toezicht is op triage en diagnose, en dat de patiënt weet wanneer AI wordt gebruikt. Verwijs ook naar de AVG, het medisch beroepsgeheim (Wet BIG en WGBO) en artikel 4 van de AI-verordening.

Is AI in de zorg hoog-risico onder de AI-verordening?

Vaak wel. AI die wordt gebruikt voor diagnose, triage of beslisondersteuning valt doorgaans onder de hoog-risicocategorie van de AI-verordening, met extra eisen aan transparantie, kwaliteit en menselijk toezicht. Controleer per systeem of het hoog-risico is en zorg dat een zorgprofessional altijd de eindbeoordeling maakt.

Mag een triage-chatbot zelf beslissen over een patiënt?

Nee. Een chatbot of risicoscore mag een voorstel doen, maar de beslissing over zorg blijft bij een bevoegde zorgprofessional die de uitkomst beoordeelt en kan ingrijpen. Dat menselijk toezicht is een kernregel van de AI-verordening en hoort verankerd te zijn in je AI-beleid.

Een beleid is stap 1. Maak je team ook aantoonbaar AI-geletterd.

Artikel 4 vraagt niet alleen om afspraken, maar ook dat medewerkers aantoonbaar AI-geletterd zijn. Volg de training "AI voor de zorg" — in je eigen tempo, met certificaat.

Bekijk de training →Alle branches