ISO/IEC 42001 per sector

ISO/IEC 42001 voor zorg & medische AI

AI ondersteunt diagnose, triage, beeldvorming, klinische beslissingen en patiëntenadministratie — waar een fout een patiëntveiligheidsincident is, geen bugticket. ISO/IEC 42001 geeft zorgverleners en ontwikkelaars van medische AI een auditbaar governancesysteem dat aansluit op verplichtingen rond MDR/IVDR, patiëntveiligheid en gezondheidsgegevens.

Waarom dit hoog-risico is

EU AI Act — Annex I & Annex III, hoog-risico

Medische AI draagt de strengste compliancelast

AI die een veiligheidscomponent is van een medisch hulpmiddel of in-vitrodiagnosticum valt onder de productroute van de EU AI Act (Annex I), gekoppeld aan MDR/IVDR-conformiteit — deze verplichtingen gelden vanaf 2 augustus 2028. AI die spoedeisende zorg triageert of doorstuurt is hoog-risico onder Annex III. Bovenop de AI Act komen de technische documentatie en klinische evaluatie van MDR/IVDR, de verwachtingen van geneesmiddelenagentschappen en de FDA voor software als medisch hulpmiddel, plichten rond patiëntveiligheid, en de regels van GDPR voor gezondheidsgegevens van bijzondere categorie. ISO 42001 vult de hulpmiddelroute aan — het vervangt ze niet — door het AI-managementsysteem eromheen te sturen.

De risico's

Waar medische AI blootstelling creëert

In de zorg wordt de prijs van verkeerde AI-governance gemeten in schade aan patiënten:

Patiëntveiligheidsschade door modelfout

Een foute of gemiste voorspelling kan diagnose en behandeling rechtstreeks beïnvloeden — het faalscenario met de hoogste inzet van allemaal.

Demografische bias in klinische modellen

Datasets die groepen ondervertegenwoordigen leveren modellen op die voor hen slechter presteren, waardoor gezondheidsongelijkheid toeneemt.

Dataherkomst en -kwaliteit

Klinische trainingsdata met onduidelijke oorsprong, toestemmingsgrond of kwaliteit ondermijnt zowel veiligheid als rechtmatigheid.

Overmatig vertrouwen door clinici

Automation bias — clinici die zich zonder betekenisvolle controle naar AI schikken — holt het menselijk toezicht uit dat de wet vereist.

Post-market drift

Modelprestaties gaan achteruit naarmate populaties, apparaten en praktijk veranderen; zonder monitoring blijft dit onopgemerkt.

Uitlegbaarheid aan clinici en patiënten

Beslissingen die niet uit te leggen zijn, zijn moeilijk te vertrouwen, op te handelen of te verdedigen.

Hoe ISO/IEC 42001 dit dekt

De controls en sjablonen die hier het meest tellen

De toolkit koppelt elk risico aan een specifieke Annex A-control en een kant-en-klaar document:

Annex A controlToolkit documentWhy it matters
A.5 — ImpactbeoordelingAI Impact Assessment (RISK-TPL-01)Beoordeel effecten op patiënten en clinici vóór inzet — voedt rechtstreeks de klinische en risicodocumentatie van MDR.
A.6 — Levenscyclus & validatieV&V Plan and Report + Model Card + Technical Documentation Pack (VV-PLN-01 / VV-REC-01 / LIFE-TPL-05 / LIFE-TPL-04)Grondige validatie en documentatie die aansluit op de technische dossiers van het hulpmiddel.
A.7 — Datakwaliteit, herkomst & biasData Quality Assessment + Provenance Log + Bias and Fairness Record (DATA-TPL-03 / DATA-TPL-02 / DATA-TPL-05)Toon representatieve, goed onderbouwde, rechtmatige klinische data aan en gemonitorde eerlijkheid over groepen heen.
A.9.3 — Menselijk toezichtHuman Oversight Plan (USE-PLN-01)Houd een clinicus betekenisvol in de loop en waak tegen automation bias.
A.6.2 / Clausule 9 — MonitoringMonitoring Plan & KPI Register (MON-PLN-01)Post-market prestatiemonitoring en driftdetectie — verwacht door zowel de AI Act als de toezichthouders op hulpmiddelen.
A.8.4 — IncidentresponsAI Incident Response Procedure (INC-PRO-01)Een gedefinieerde ernst- en escalatieworkflow voor veiligheidsrelevante AI-incidenten, met bewaring van bewijs.

Hoe je daar komt

Van klinische AI naar een auditbaar, veilig systeem

  1. 1

    Registreer elk klinisch en administratief AI-systeem, met een eigenaar en een link naar een eventueel conformiteitsdossier van het hulpmiddel.

  2. 2

    Voer impact-, bias- en datakwaliteitsbeoordelingen uit; valideer en documenteer elk model.

  3. 3

    Veranker clinicustoezicht, transparantie en een incidentproces van veiligheidsgraad.

  4. 4

    Monitor post-market prestaties en drift, en stem het AIMS af op het MDR/IVDR-bewijs.

Vragen

Zorg & medische AI — snelle antwoorden

Vervangt ISO 42001 MDR/IVDR of een FDA-clearance?

Nee. Medische-hulpmiddel-AI heeft nog steeds haar regelgevende route nodig. ISO 42001 stuurt het AI-managementsysteem rond het hulpmiddel — impact- en biasbeoordeling, datagovernance, toezicht, monitoring en incidentrespons — en het bewijs ervan vult de technische documentatie aan die die routes vereisen.

Wanneer gelden de AI Act-verplichtingen voor medische AI?

AI die een veiligheidscomponent is van een hulpmiddel onder MDR/IVDR volgt de productroute met verplichtingen vanaf 2 augustus 2028; AI voor spoedtriage is Annex III met verplichtingen vanaf 2 december 2027. De inhoudelijke vereisten zijn onveranderd — de aanlooptijd is er om het systeem te bouwen.

We zijn een ziekenhuis dat aangekochte klinische AI gebruikt, geen fabrikant — geldt dit voor ons?

Ja. Als deployer ben je verantwoordelijk voor menselijk toezicht, monitoring en het gebruik van de AI binnen het beoogde doel. ISO 42001 geeft zorgverleners de deployer-zijde controls om dit verdedigbaar te doen.

Beheer medische AI volgens een patiëntveiligheidsstandaard

De toolkit levert de controls voor impact, validatie, datakwaliteit, toezicht, monitoring en incidenten die medische AI vereist — klaar om af te stemmen en naast je hulpmiddeldocumentatie te plaatsen.