Direct naar inhoud

Kennisartikel · Verantwoorde AI-implementatie

Risico-inventarisatie voor een AI-toepassing

Voordat je een AI-toepassing invoert, wil je weten welke risico's er kleven aan privacy, kwaliteit, bias en de AI Act. Deze pagina laat je stap voor stap zien hoe je die inventarisatie uitvoert en vastlegt.

Laatst bijgewerkt: 14 juni 2026 · door Arjan Woldring

Een AI-risico-inventarisatie brengt vooraf de risico's van een AI-toepassing systematisch in kaart op vier gebieden: privacy en AVG, kwaliteit en patiëntveiligheid, algoritmische bias, en de positie van de toepassing onder de AI Act. Per risico bepaal je vervolgens een concrete beheersmaatregel en leg je die vast.

Implementa

01 · Definitie

Wat is een AI-risico-inventarisatie?

Een AI-risico-inventarisatie is een gestructureerde analyse die je uitvoert vóór de invoering van een AI-toepassing, maar ook bij wezenlijke wijzigingen nadien. Het doel is om risico's vroegtijdig zichtbaar te maken, zodat je maatregelen kunt nemen vóórdat een toepassing schade aanricht of in strijd komt met wet- en regelgeving.

De inventarisatie is breder dan een privacytoets. Naast de AVG kijk je ook naar kwaliteits- en veiligheidseisen uit de zorg, naar de kans op bias in de uitkomsten van het model, en naar de vraag of de toepassing als hoog-risico AI wordt aangemerkt onder de EU AI Act.

Voor zorgorganisaties is de inventarisatie extra relevant. De IGJ riep zorgaanbieders in februari 2025 op om zorgvuldig om te gaan met de invoering van generatieve AI-toepassingen, met nadruk op menselijke controle en navolgbaarheid. Een goede inventarisatie is de eerste stap om aan die oproep te voldoen.

02 · Risicocategorieën

Welke risico's weeg je in de inventarisatie?

Er zijn vier hoofdcategorieën die in elke AI-risico-inventarisatie aan bod moeten komen. Ze vullen elkaar aan en overlappen op punten.

AVG en privacy

Verwerkt de toepassing persoonsgegevens? Dan gelden grondslag, doelbinding, dataminimalisatie, beveiliging en een verwerkersovereenkomst. Bijzondere persoonsgegevens zoals gezondheidsdata vragen een wettelijke uitzonderingsgrond (artikel 9 AVG). Bij hoog risico is een DPIA verplicht.

Kwaliteit en patiëntveiligheid

In de zorg is de behandelaar of regiebehandelaar eindverantwoordelijk; AI ondersteunt, maar vervangt nooit het professionele oordeel (Landelijk Kwaliteitsstatuut GGZ). Weeg de kans op foute output en de gevolgen daarvan voor de cliënt.

Algoritmische bias

Behandelt het model bepaalde groepen cliënten stelselmatig anders, bijvoorbeeld op basis van leeftijd, geslacht of etniciteit? Bias in trainingsdata of in de modelarchitectuur kan leiden tot ongelijke zorg. Expliciete aandacht hiervoor is onderdeel van zorgvuldige invoering.

AI Act-classificatie

Valt de toepassing onder hoog-risico AI (Annex III)? AI in de zorg wordt doorgaans als hoog-risico aangemerkt. De verplichtingen voor standalone hoog-risico AI gelden vanaf 2 december 2027 (via de Digital Omnibus), maar vroegtijdig weten waar je staat is een bewuste keuze, geen haastklus.

03 · Stappenplan

Hoe voer je een AI-risico-inventarisatie uit?

Vijf stappen die je van een blanco vel naar een gedocumenteerde, beheerste inventarisatie brengen.

stap 1/5

Afbakenen

Beschrijf de toepassing nauwkeurig: wat doet de AI, op welke data, voor welke doelgroep en welk besluit of advies volgt er uit de output? Een scherpe afbakening voorkomt dat je risico's mist of juist buiten scope behandelt.

stap 2/5

Risico's identificeren

Loop systematisch de vier categorieën langs: AVG en privacy, kwaliteit en patiëntveiligheid, algoritmische bias, en AI Act-classificatie. Betrek bij voorkeur zowel een inhoudelijk deskundige als een privacy- of kwaliteitsfunctionaris.

stap 3/5

Risico's wegen

Beoordeel per risico de kans dat het optreedt en de ernst van de gevolgen. Combineer dat tot een prioritering: hoog, midden of laag. Hoge risico's verdienen een maatregel vóór livegang; lagere risico's kunnen worden gemonitord.

stap 4/5

Beheersmaatregelen bepalen

Koppel aan elk risico een concrete maatregel: technisch (versleuteling, toegangscontrole), organisatorisch (human-in-the-loop, trainingen) of procedureel (verwerkersovereenkomst, auditlog). Wijs per maatregel een eigenaar aan.

stap 5/5

Vastleggen en bewaken

Documenteer de inventarisatie in een register, stel een revisiecyclus in (minstens jaarlijks of bij wezenlijke wijzigingen) en koppel de uitkomsten aan de DPIA als bijzondere persoonsgegevens in het spel zijn.

Klaar voor livegang

04 · Relatie met de DPIA

Wanneer heb je naast de inventarisatie ook een DPIA nodig?

Een DPIA (gegevensbeschermingseffectbeoordeling) is een specifieke AVG-verplichting. Je bent verplicht een DPIA uit te voeren als je op grote schaal bijzondere persoonsgegevens verwerkt, als je een nieuwe technologie inzet die een hoog risico oplevert voor betrokkenen, of als de Autoriteit Persoonsgegevens de verwerking op haar lijst van verplichte DPIA's heeft geplaatst.

AI-toepassingen op zorgdata vallen al snel onder deze criteria. De AI-risico-inventarisatie en de DPIA zijn verwant maar niet hetzelfde. De inventarisatie is breder (ook kwaliteit, bias, AI Act) en vormt een logische voorfase: de privacyrisico's die je daar identificeert, zijn direct invoer voor de DPIA.

Lees meer over de verhouding tussen AVG en AI op de website van de Autoriteit Persoonsgegevens.

05 · Voorbeeld

Hoe ziet een inventarisatie eruit in de GGZ-praktijk?

Stel: een GGZ-praktijk wil spraakgestuurd rapporteren invoeren. De AI luistert mee tijdens sessies, zet gesproken tekst om naar conceptrapportages en slaat deze op in het EHR. Hoe ziet de inventarisatie er dan uit?

  • AVG en privacy: er worden bijzondere persoonsgegevens verwerkt (gezondheidsdata, sessie-inhoud). Grondslag vereist, verwerkersovereenkomst met de leverancier is verplicht, DPIA hoogstwaarschijnlijk nodig.
  • Kwaliteit en veiligheidheid: de behandelaar blijft eindverantwoordelijk en controleert elke conceptrapportage vóór opslaan (human-in-the-loop). Foutieve transcriptie mag nooit onopgemerkt in het dossier terechtkomen.
  • Bias: heeft het model moeite met bepaalde dialecten, accenten of spraakpatronen? Test dit expliciet bij de pilotgroep.
  • AI Act: een AI-toepassing die bijdraagt aan diagnostiek of behandelplanning in de GGZ valt waarschijnlijk onder hoog-risico AI (Annex III). Noteer dit en volg de ontwikkeling van de verplichtingen.

De winst van spraakgestuurd rapporteren is reëel. Coöperatie VGZ toonde aan dat de registratietijd voor behandelaars daalt van gemiddeld circa 30 minuten naar 8 tot 12 minuten per dag. De kunst is die winst verantwoord te verzilveren.

06 · Veelgestelde vragen

Veelgestelde vragen over
de AI-risico-inventarisatie

Wat is het verschil tussen een AI-risico-inventarisatie en een DPIA?

Een DPIA is een specifieke AVG-verplichting gericht op privacyrisico's bij verwerking van persoonsgegevens. Een AI-risico-inventarisatie is breder: die omvat ook kwaliteits- en veiligheidsrisico's, algoritmische bias en de classificatie onder de AI Act. In de praktijk overlapt een deel, en de inventarisatie vormt een goede basis voor een DPIA.

Is een AI-risico-inventarisatie verplicht?

De AI Act schrijft voor hoog-risico AI een formele conformiteitsbeoordeling voor, maar ook voor lager-risico toepassingen is een inventarisatie verstandig en aantoonbaar in lijn met de AVG-verantwoordingsplicht. Voor zorgorganisaties vraagt de IGJ bovendien navolgbaarheid en menselijke controle.

Welke risico's weeg je in een AI-risico-inventarisatie?

De vier hoofdcategorieën zijn: (1) AVG en privacy, waaronder grondslag, doelbinding en beveiliging van persoonsgegevens; (2) kwaliteit en patiëntveiligheid, met bijzondere aandacht voor het Landelijk Kwaliteitsstatuut GGZ; (3) algoritmische bias, waarbij bepaalde groepen cliënten systematisch anders worden behandeld; en (4) classificatie onder de AI Act, die bepaalt welke verplichtingen van toepassing zijn.

Hoe zwaar weegt de AI Act-classificatie?

AI-toepassingen in de zorg vallen doorgaans in de hoog-risico categorie (Annex III van de AI Act). De harde verplichtingen voor standalone hoog-risico AI gaan pas in op 2 december 2027 (via de Digital Omnibus). Toch is het verstandig nu al te weten waar je toepassing valt, zodat je geen verrassingen hebt als de deadlines naderen.

Moet ik de inventarisatie herhalen?

Ja. Een AI-risico-inventarisatie is geen eenmalig document. Bij elke wezenlijke wijziging van de toepassing, de data of de organisatorische context herhaal je de weging. Stel een revisiecyclus in, bij voorkeur jaarlijks of bij elk nieuw inzetgebied.

Wat is algoritmische bias en waarom is het relevant in de zorg?

Algoritmische bias treedt op als een AI-model bepaalde groepen stelselmatig anders beoordeelt, bijvoorbeeld op basis van leeftijd, geslacht of etniciteit. In de zorg kan dit leiden tot ongelijke behandeling of onterechte risicobeoordelingen. Expliciete aandacht voor bias is onderdeel van zorgvuldige invoering.

Hoe helpt Implementa bij een AI-risico-inventarisatie?

Implementa begeleidt zorgorganisaties bij het uitvoeren van een AI-risico-inventarisatie: van afbakening en identificatie tot het vastleggen van maatregelen in een register. Wij combineren kennis van de AVG, de AI Act en de GGZ-context zodat je inventarisatie zowel volledig als praktisch uitvoerbaar is.

Over de auteur

Arjan Woldring

oprichter Implementa

Arjan is oprichter van Implementa en begeleidt zorgorganisaties bij de verantwoorde invoering van AI. Hij combineert kennis van de AVG, de EU AI Act en de GGZ-context om risico-inventarisaties praktisch en volledig te maken.

Volg op LinkedIn Vakinhoudelijk gecontroleerd op Vakinhoudelijk gecontroleerd op 14 juni 2026

07 · Lees ook

Gerelateerde kennisartikelen

Verdiep je verder in de thema's die raken aan de AI-risico-inventarisatie.

Pilaar 1

AI-beleid opstellen: wat moet erin?

Wat hoort er in een gedegen AI-beleid voor jouw organisatie? Van uitgangspunten tot concrete afspraken.

Lees verder

Pilaar 5

Hoog-risico AI: wat valt eronder?

Wanneer kwalificeert een AI-toepassing als hoog-risico onder de AI Act en wat betekent dat in de praktijk?

Lees verder

Pilaar 5

AVG en AI: grondslagen, DPIA en verwerkers

De AVG-regels uitgelegd voor AI: welke grondslag kies je, wanneer is een DPIA verplicht en wat leg je vast in een verwerkersovereenkomst?

Lees verder