Naarmate kunstmatige intelligentie steeds meer deel gaat uitmaken van de dagelijkse gezondheidszorg, evolueert de regelgeving om veiligheid, effectiviteit, gegevens en verantwoordingsplicht te waarborgen. In regio’s zoals Europa, de Verenigde Staten, Australië en China valt AI voornamelijk onder bestaande wetgeving voor medische hulpmiddelen. Deze kaders bieden structuur, maar spelen slechts gedeeltelijk in op het dynamische karakter van machine learning en generatieve AI.
Balans tussen innovatie en regelgeving
De regelgeving voor AI in de gezondheidszorg wordt gevormd door een structurele spanning tussen het mogelijk maken van innovatie en het waarborgen van veiligheid, wat direct van invloed is op hoe verschillende regio's hun kaders opstellen. Deze spanning wordt aangedreven door concrete risico's, waaronder bevooroordeelde klinische beslissingen op basis van niet-representatieve gegevens, beperkte transparantie van ‘black-box’-modellen, kwetsbaarheden op het gebied van cyberbeveiliging, onduidelijke verantwoordingsplicht wanneer fouten optreden, en het vermogen van systemen om zich in de loop van de tijd te ontwikkelen zonder toezicht. Als gevolg hiervan moeten regelgevers voortdurend een evenwicht vinden tussen de noodzaak van snelle implementatie en de vereiste om de veiligheid van patiënten te beschermen.
In de Verenigde Staten komt dit evenwicht tot uiting in een flexibel, iteratief regelgevingsmodel. De Food and Drug Administration (FDA) heeft haar kader sinds 2019 opgebouwd via richtlijnen voor Software as a Medical Device (SaMD), het AI/ML-actieplan en Good Machine Learning Practices. De invoering van Predetermined Change Control Plans (PCCP's) pakt een kernrisico van AI aan: ongecontroleerde evolutie na implementatie. Door ontwikkelaars te verplichten vooraf te definiëren hoe systemen kunnen worden bijgewerkt, maken regelgevers continue verbetering mogelijk met behoud van toezicht.
China hanteert een meer gecontroleerde aanpak. De National Medical Products Administration (NMPA) classificeert de meeste medische AI-apparaten als Klasse III, de hoogste risicocategorie, wat de bezorgdheid weerspiegelt over veiligheid, gegevenskwaliteit en systeembetrouwbaarheid. Tegelijkertijd breidt China AI uit over zijn hele gezondheidszorgsysteem via nationale strategieën, waaronder grootschalige implementatie van AI-ondersteunde diagnostiek. Regelgeving en industriebeleid zijn nauw op elkaar afgestemd, waarbij strikt toezicht wordt gecombineerd met snelle acceptatie.
De Europese Unie richt zich op het beperken van systeemrisico's door middel van uitgebreide wetgeving. Onder de Medical Device Regulation (MDR) wordt AI behandeld als een medisch hulpmiddel, waarvoor klinisch bewijs en conformiteitsbeoordeling vereist zijn. De AI-wet voegt een tweede laag toe, waarbij medische AI als risicovol wordt geclassificeerd en eisen worden gesteld aan transparantie, menselijk toezicht en risicobeheer gedurende de gehele levenscyclus. Dit kader richt zich direct op risico's zoals ondoorzichtigheid, vooringenomenheid en gebrek aan verantwoordingsplicht.
Andere regio's passen variaties op dit evenwicht toe. Japan pakt het risico van ongecontroleerde systeemupdates aan via het Post-Approval Change Management Protocol (PACMP), dat vooraf gedefinieerde wijzigingen onder toezicht van de regelgevende instanties mogelijk maakt. Australië volgt een technologie-agnostisch model, waarbij de nadruk ligt op het beoogde gebruik en de risicoclassificatie, terwijl de richtlijnen worden bijgewerkt om softwarespecifieke uitdagingen aan te pakken.
In alle rechtsgebieden weerspiegelt de strengere regelgeving in de gezondheidszorg in vergelijking met andere sectoren de directe impact van AI op diagnose, behandeling en patiëntresultaten. Regelgevingskaders zijn ontworpen om klinische, technische en ethische risico's te beperken, terwijl gecontroleerde innovatie binnen gedefinieerde grenzen mogelijk blijft.
Risicogebaseerde regelgeving
Een kenmerkend aspect van AI-governance in de gezondheidszorg is het gebruik van risicogebaseerde classificatiesystemen.
In Canada worden AI-tools gereguleerd onder de Food and Drugs Act en de Medical Devices Regulations. Apparaten worden ingedeeld in klassen I (laag risico) tot en met IV (hoogste risico). Apparaten met een hoger risico vereisen een vergunning en de indiening van gedetailleerde documentatie, waaronder klinisch bewijs, softwarevalidatie en risicobeheerplannen.
De Verenigde Staten hanteren een classificatiesysteem met drie niveaus (klasse I–III). De meeste AI-apparaten worden ingedeeld in klasse II en goedgekeurd via de 510(k)-procedure, wat duidt op een matig risico. Deze procedure is gebaseerd op het aantonen van substantiële gelijkwaardigheid met een bestaand apparaat. Apparaten met een hoog risico vereisen Premarket Approval (PMA), wat uitgebreider bewijs en langere beoordelingstermijnen met zich meebrengt.
De Europese Unie hanteert een vierdelig classificatiesysteem onder de MDR (klasse I, IIa, IIb, III), gecombineerd met de risicocategorieën van de AI-wet (onaanvaardbaar, hoog, beperkt, minimaal). Medische AI wordt expliciet gecategoriseerd als hoog risico, wat strenge regelgevingsvereisten met zich meebrengt, waaronder conformiteitsbeoordelingen, technische documentatie en voortdurende monitoring.
Japan hanteert een systeem met vier klassen (klasse I–IV), waarbij veel AI-toepassingen, zoals diagnostische beeldvormingsinstrumenten, worden ingedeeld in klasse III of IV. Australië hanteert een systeem met drie klassen (klasse I–III), terwijl India de klassen A tot en met D toepast onder de Medical Device Rules (2017).
China hanteert ook een systeem met klassen I–III, maar met een opvallend patroon: de meeste medische AI-apparaten worden ingedeeld in klasse III. Dit weerspiegelt een voorzichtige regelgevende houding ten opzichte van opkomende technologieën.
In alle rechtsgebieden bepaalt de classificatie het niveau van toezicht. Apparaten met een hoger risico vereisen uitgebreide documentatie, waaronder veiligheids- en prestatiegegevens, klinische validatie, softwareverificatie en kwaliteitsmanagementsystemen.
Deze convergentie naar risicogebaseerde classificatie weerspiegelt een gedeeld regelgevingsprincipe: het niveau van toezicht moet overeenkomen met de potentiële impact op de gezondheid van de patiënt.
Goedkeuring en beheer
Goedkeuringsprocedures voor medische AI-apparaten zijn gebaseerd op bestaande regelgevingsprocessen, waarbij steeds meer nadruk wordt gelegd op levenscyclusbeheer.
In de Verenigde Staten is de 510(k)-procedure de belangrijkste route voor AI-apparaten, met beoordelingstijden van doorgaans ongeveer zes maanden. Voor apparaten met een hoog risico waarvoor premarket approval vereist is, kan dit één tot twee jaar duren. De FDA bevordert ook levenscycluscontrole via PCCP's, waardoor gecontroleerde updates van algoritmen mogelijk zijn zonder dat volledige hergoedkeuring vereist is.
Canada hanteert vergelijkbare termijnen, met beoordelingsperioden van ongeveer 75 tot 120 dagen voor hulpmiddelen van klasse II–IV. De richtlijn van Health Canada uit 2026 over medische hulpmiddelen met machine learning benadrukt levenscyclusbeheer, inclusief hoe algoritmen in de loop van de tijd worden bijgewerkt, gevalideerd en gemonitord.
Japan heeft in 2020 het Post-Approval Change Management Protocol (PACMP) geïntroduceerd, waarmee het een van de eerste rechtsgebieden is die adaptieve AI formeel aanpakt. PACMP maakt vooraf gedefinieerde updates binnen een gecontroleerd kader mogelijk, waardoor de regelgevingslast wordt verminderd terwijl de veiligheid behouden blijft.
In de Europese Unie moeten hulpmiddelen een CE-markering verkrijgen onder de MDR. Voor hulpmiddelen van klasse II en III houdt dit een beoordeling door aangemelde instanties in. AI-systemen moeten ook voldoen aan de vereisten van de AI-wet, waaronder risicobeheersystemen, transparantieverplichtingen en mechanismen voor menselijk toezicht. De combinatie van de MDR en de AI-wet creëert een dubbele regelgevingslaag.
Australië vereist opname in het Australian Register of Therapeutic Goods (ARTG). De goedkeuringstermijnen variëren per risicoklasse, waarbij hulpmiddelen met een lager risico vaak binnen 30 tot 60 dagen worden verwerkt. Hulpmiddelen met een hoger risico vereisen een externe conformiteitsbeoordeling.
China vereist registratie voor hulpmiddelen van klasse II en III via de NMPA, waarbij de beoordelingstermijnen doorgaans variëren van 8 tot 12 maanden. Regelgevende richtsnoeren die tussen 2019 en 2022 zijn uitgegeven, bevatten specifieke vereisten voor algoritmevalidatie, gegevenskwaliteit en levenscyclusbeheer.
India schrijft vergunningverlening voor voor hulpmiddelen met een hoger risico (klasse C en D), waarbij de goedkeuringstermijnen doorgaans tussen 90 en 120 dagen liggen. Recente initiatieven, zoals de Strategy for AI in Healthcare (SAHI) en het BODH-benchmarkingplatform, ondersteunen de validatie en implementatie van AI-systemen.
In alle regio's wordt levenscyclusbeheer een centraal aandachtspunt voor regelgevers. Mechanismen zoals PCCP en PACMP pakken de uitdaging van adaptieve AI aan, waarbij systemen evolueren op basis van nieuwe gegevens. Regelgevers eisen in toenemende mate vooraf gedefinieerde updateprotocollen, continue validatie en monitoring van prestaties in de praktijk.
Databeheer, monitoring en handhaving
Databeheer is een fundamenteel onderdeel van AI-regelgeving in de gezondheidszorg, aangezien AI-systemen voor training en werking afhankelijk zijn van grootschalige gegevens.
In de Europese Unie stelt de Algemene Verordening Gegevensbescherming (AVG) strikte regels vast voor de verwerking van persoonsgegevens, waaronder gezondheidsgegevens. De European Health Data Space (EHDS) heeft tot doel grensoverschrijdende gegevensuitwisseling voor onderzoek en AI-ontwikkeling mogelijk te maken, met behoud van waarborgen voor privacy en veiligheid.
De Verenigde Staten passen de Health Insurance Portability and Accountability Act (HIPAA) toe, die het gebruik en de openbaarmaking van gezondheidsinformatie in klinische omgevingen regelt. Canada hanteert de Personal Information Protection and Electronic Documents Act (PIPEDA), aangevuld met provinciale wetten.
Japan handhaaft de Wet op de bescherming van persoonsgegevens (APPI), die het gebruik van gegevens, toestemming en grensoverschrijdende overdrachten reguleert. China past de Wet op de bescherming van persoonsgegevens (PIPL) en de Wet op de gegevensbeveiliging toe, die beide strenge eisen stellen aan de verwerking en opslag van gegevens.
India baseert zich momenteel op bepalingen uit de Wet op de informatietechnologie en ontwikkelt een uitgebreid kader voor gegevensbescherming. De National Digital Health Mission ondersteunt interoperabiliteit en digitale infrastructuur.
Monitoring na het in de handel brengen is in alle rechtsgebieden verplicht. Fabrikanten moeten ongewenste voorvallen melden en kwaliteitsmanagementsystemen onderhouden. Regelgevende instanties zoals de FDA, NMPA, PMDA, TGA en Europese nationale instanties voeren inspecties uit en zien toe op de naleving.
Monitoringsystemen omvatten databases voor het melden van ongewenste voorvallen, vereisten voor periodieke herbeoordeling en audits van kwaliteitssystemen. In Japan moeten apparaten met een hoger risico binnen drie tot vijf jaar na goedkeuring opnieuw worden onderzocht. In de Verenigde Staten worden ongewenste voorvallen gemeld via de MAUDE-database.
Aansprakelijkheidskaders zijn over het algemeen gebaseerd op bestaande wetgeving inzake productaansprakelijkheid en nalatigheid. Fabrikanten zijn verantwoordelijk voor het waarborgen van veiligheid en prestaties. In de Europese Unie versterkt de bijgewerkte richtlijn inzake productaansprakelijkheid de aansprakelijkheid voor defecte producten, waaronder AI-systemen.
Schaalbaarheid of veiligheid?
Het huidige landschap van AI-governance in de gezondheidszorg is uitgebreid gedocumenteerd in recente internationale analyses, waaronder het rapport AI Governance in Health: Global Landscape van HealthAI en het OESO-rapport “Scaling Artificial Intelligence in Health.” Deze bieden een gedetailleerde vergelijking van regelgevingsbenaderingen en belichten belangrijke structurele trends.
Ze laten zien dat AI al op grote schaal wordt gebruikt in gezondheidszorgsystemen, met name in administratieve functies en specifieke klinische toepassingen zoals beeldvorming. Tegelijkertijd blijft grootschalige implementatie beperkt. Volgens gegevens van de OESO wordt AI weliswaar in alle lidstaten gebruikt in administratieve processen, maar blijft de acceptatie op nationaal niveau voor klinische toepassingen, zoals medische beeldvorming, laag.
De rapporten identificeren governance als een primaire beperkende factor. Versnipperde regelgevingskaders, onvoldoende data-infrastructuur en hiaten in het toezicht op de levenscyclus beperken de schaalbaarheid. Ze benadrukken ook het belang van gecoördineerde beleidsbenaderingen, waaronder afstemming tussen regelgevers, zorgverleners en belanghebbenden uit de sector.
In alle geanalyseerde regio's is er een convergentie naar risicogebaseerde regelgeving, het gebruik van gevestigde kaders voor medische hulpmiddelen en een toenemende nadruk op levenscyclusbeheer. Er blijven verschillen bestaan in de strengheid van de regelgeving, goedkeuringstermijnen, modellen voor gegevensbeheer en strategische prioriteiten. Deze variaties weerspiegelen bredere economische, juridische en politieke contexten die bepalen hoe AI in gezondheidszorgsystemen wordt geïntegreerd.
Tegelijkertijd richt de regelgeving zich grotendeels op officieel goedgekeurde medische AI-tools, ook al maakt de snelheid van de AI-ontwikkeling continu toezicht steeds uitdagender. Een groeiend deel van het AI-gebruik in de gezondheidszorg vindt plaats buiten deze kaders, via consumententools zoals chatbots en algemene AI-systemen die rechtstreeks door patiënten en, in toenemende mate, door zorgprofessionals worden gebruikt. Deze “schaduw-AI” opereert buiten de formele regelgevingsgrenzen en beïnvloedt gezondheidsbeslissingen, triage en klinische workflows zonder dezelfde validatie of toezicht te ondergaan. Vanwege de schaal, toegankelijkheid en snelle evolutie blijft dit segment moeilijk te monitoren en te reguleren binnen bestaande structuren.
