AI in de zorg wordt pas veilig als de infrastructuur klopt

wo 10 december 2025 - 10:30
AI
Blog

Zorgbestuurders krijgen bijna dagelijks met nieuwe AI-toepassingen te maken. Ze zien hoe een dossier in een paar klikken verandert in een korte tekst, of hoe een triageadvies direct in beeld komt. Het voelt alsof deze hulpmiddelen morgen al inzetbaar zijn.

Zodra een instelling zelf een pilot bespreekt, verschuift de aandacht. De vragen worden concreet: voldoet dit aan de regels, en waar komt elke ingevoerde regel tekst precies terecht?

Een datastroom zonder duidelijk adres of een server buiten Europa kan dan al genoeg zijn om alles te pauzeren. De druk vanuit AVG, NIS2 en de AI Act speelt daarin mee. Niet de AI zelf, maar het ontbreken van een stevig fundament onder die systemen maakt bestuurders voorzichtig.

Waarom AI-pilots blijven steken

Technisch gezien kunnen veel AI-tools gewoon worden getest. Het moment waarop iemand vraagt waar de informatie naartoe gaat, bepaalt vaak hoe ver men durft te komen. Als niemand dat antwoord scherp kan geven, valt het gesprek stil.

Bestuurders móeten kunnen aantonen dat gegevens niet rondslingeren, dat alleen bevoegde mensen erbij kunnen en dat elke handeling een spoor achterlaat. Zonder dat bewijs voelt elke stap als een gok. Daar leent de zorg zich niet voor.

De echte barrière

In gesprekken over AI gaat het vaak over snelheid of nauwkeurigheid. Zulke vragen zeggen weinig over veiligheid. Het draait om één ding dat je kunt aanwijzen: op welke plek staan de systemen die de data verwerken?

Die locatie bepaalt hoeveel grip een organisatie heeft. Een model dat draait op servers die data over meerdere landen verspreiden, geeft weinig houvast. Draait hetzelfde model in een strikt gecontroleerd Nederlands datacenter, dan kan elke toegang worden gevolgd en uitgelegd.

AI-infrastructuren die het verschil maken

In de zorg zie je drie duidelijke situaties terug. Je kunt ze letterlijk aanwijzen op een kaart of in een serverruimte.

  1. Generieke AI-dienst buiten Europa: gegevens reizen naar servers die verspreid staan over meerdere landen. Niemand kan direct zien in welk rek de informatie eindigt of welke medewerker van de aanbieder toegang heeft. Bij een audit is dat nauwelijks te reconstrueren.
  2. Nederlands zorg-datacenter: alle data blijven binnen de landsgrenzen. Elke toegang verschijnt in een logbestand, storingen worden automatisch gemeld en certificeringen zoals NEN 7510 en ISO 27001 worden elk jaar getest. Een auditor kan precies terugzoeken wie welk document opende en op welk tijdstip.
  3. On-premise datacenter in het ziekenhuis: alle opslag staat in het gebouw zelf. Dit is nodig bij toepassingen waarbij seconden tellen, zoals IC-monitoring of ondersteuning bij diagnostiek. De servers staan letterlijk een paar gangen verderop.

Deze drie versies schetsen hoeveel controle een organisatie heeft en hoe voorspelbaar de risico’s zijn.

Waarom een hybride indeling logisch is

Niet elke AI-toepassing vraagt dezelfde bescherming. Een model op de SEH raakt direct aan patiëntveiligheid, terwijl een HR-tool vooral administratieve informatie gebruikt. Een hybride indeling sluit daar goed op aan. Denk aan een gebouw met twee poorten.

Door de eerste poort gaat alle zorgkritische informatie richting de serverruimte binnen het ziekenhuis. Door de tweede poort gaat ondersteunende informatie, zoals roosters of beleidsnotities, naar een afgeschermde Nederlandse cloudomgeving. Met deze scheiding blijft zichtbaar welke gegevens waar staan en wie erbij kan.

De mythe van Europese AI-megafabrieken

Sommige bestuurders wachten tot Europa eigen grote AI-centra heeft, alsof veilige inzet pas mogelijk is wanneer die gebouwd zijn. In de praktijk staat de benodigde infrastructuur al in Nederland.

Zorgdatacenters werken met strikt gescheiden datastromen, testen noodherstelprocedures en houden toegang beperkt tot geautoriseerde medewerkers. Gegevens blijven in Nederland en worden niet gebruikt om modellen te trainen. Zoals Igor Brouwers, CEO van PAQT, zegt: “Veilig AI-gebruik gaat niet over wat je ermee doet, maar over de plek waar het draait.”

Vier vragen om altijd te kunnen beantwoorden

Bestuurders hoeven geen technici te zijn om grip te houden. Vier vragen geven direct zicht op de basis:

  1. Staat de infrastructuur binnen EU-jurisdictie?
  2. Is duidelijk welke onderdelen zorgkritisch zijn en welke niet?
  3. Verschijnt elke toegang in een logbestand dat je kunt controleren?
  4. Kun je laten zien waar de data staat en wie erbij mocht?

Als één van deze vragen onbeantwoord blijft, ontbreekt het fundament.

Infrastructuur bepaalt groei vertrouwen

AI wordt pas bruikbaar wanneer de basis stevig staat. Niet wanneer een model slim is, maar wanneer zichtbaar is waar de gegevens worden opgeslagen en wie ze kan openen.

Met zo’n fundament verandert de houding in organisaties. Voorzichtigheid maakt plaats voor gecontroleerd experimenteren. Pilots worden niet langer stilgezet, maar rustig verder uitgebouwd. AI vormt dan geen risico. Een infrastructuur zonder zekerheid wél.

Wanneer de basis klopt, kan AI doen waarvoor het bedoeld is: het werk in de zorg lichter maken zonder nieuwe zorgen te veroorzaken.

Door innovation partner

PAQT
PAQT
AI Data Wetgeving
Hoe de zorg haar toekomst inricht? Duizenden zorgprofessionals ontdekken wat echt werkt en verzilveren kansen. Claim ook jouw ticket en ervaar het op het ICT&health World Conference 2026!