Een middelgrote zorginstelling wilde door met AI, maar het bestuur kon niet overzien wat er al draaide, en de EU AI Act kwam dichterbij. Binnen drie weken stond er een compleet, geclassificeerd register, en kreeg het team juist méér ruimte in plaats van minder.
Op verschillende afdelingen was men zelfstandig met AI begonnen: een intake-assistent op de poli, een triage-hulp op de spoedeisende hulp, een zoekfunctie op de kennisbank. Stuk voor stuk nuttig, maar niemand had het totaaloverzicht. Het bestuur maakte zich zorgen over patiëntdata, aansprakelijkheid en de naderende regelgeving, en wilde tegelijk niet op de rem trappen bij iets dat duidelijk waarde opleverde.
De klassieke spagaat. Medewerkers liepen voorop, het bestuur liep achter de feiten aan. Niemand kon de simpele vragen beantwoorden: wat draait er precies, met welke data, wie is verantwoordelijk, en valt het onder de hoog-risico-categorie van de EU AI Act? Zo werd elke nieuwe toepassing een discussie, en bleef de angst voor een misstap hangen.
Verspreide initiatieven, geen overzicht. Onduidelijkheid over data en verantwoordelijkheid. Het bestuur kon niets aantonen en durfde daarom weinig vrij te geven.
Eén register met eigenaar, model, risicoklasse en kosten per toepassing. Het bestuur weet wat er draait en kan het uitleggen, en geeft de teams juist meer ruimte.
Vigil uitgerold in de eigen, NEN 7510-conforme omgeving. Alle AI in kaart gebracht, inclusief de schaduw-AI op de afdelingen.
Per toepassing een eigenaar, model, risicoklasse (EU AI Act) en kosten vastgelegd. Hoog-risico apart gemarkeerd.
Transparantie-informatie en extra menselijk toezicht voor de hoog-risico-toepassingen. Register klaar om aan te tonen.
"We dachten dat governance ons zou vertragen. Het deed het tegenovergestelde: nu het bestuur weet wat er draait, durven we sneller ja te zeggen."
14 toepassingen in beeld, schaduw-AI inbegrepen, met een eigenaar per stuk.
Een geclassificeerd register, klaar om aan te tonen aan toezicht en accountant.
Bestuur en functionaris gegevensbescherming hebben grip, en daarmee vertrouwen.
Met duidelijke kaders durft de organisatie nieuwe toepassingen sneller toe te laten.
Niet door alles op slot te zetten, maar door zichtbaar te maken wat er draait en er granulair beleid op te zetten: streng bij patiëntdata, ruimte bij laag-risico. Soeverein in de eigen omgeving, zodat patiëntgegevens het pand niet verlaten. Zo werd verantwoord werken de snelste route.
In een strategiegesprek laten we zien hoe je in enkele weken van verspreide initiatieven naar een compleet, geclassificeerd register gaat. Soeverein, in je eigen omgeving.
