AIRecht Editor

Welke wetgeving is eigenlijk al van toepassing op kunstmatige intelligentie, en waar zitten de echte lacunes? Met die vraag droeg AIRecht-oprichter Mauritz Kop bij aan het werk van het Rathenau Instituut, het onafhankelijke Nederlandse instituut voor technologie-assessment dat het parlement en de samenleving adviseert over de impact van wetenschap en technologie. Die bijdrage sluit nauw aan op zijn bredere analyse in Shaping the Law of AI: Transatlantic Perspectives.

Concreet leverde Kop in 2020, op verzoek van een onderzoeker van het Rathenau Instituut, een inventarisatie van de Europeesrechtelijke aanknopingspunten voor AI — toegespitst op de zorg. Die inventarisatie vormt de ruggengraat van deze bijdrage. Zij sluit aan op het bredere werk van het Instituut zelf, dat eerder — in maart 2018 — een eigen bijdrage leverde aan een parlementair rondetafelgesprek over artificiële intelligentie en recht.

Geen juridisch vacuüm

De belangrijkste boodschap is geruststellend en ontnuchterend tegelijk: AI ontwikkelt zich níet in een juridisch vacuüm. Op vrijwel elke toepassing rust al een dicht web van bestaande regels. Een AI-systeem in de zorg moet voldoen aan productveiligheidsregels, aan gegevensbeschermingsrecht, aan consumenten- en patiëntenrechten, en aan sectorspecifieke kwaliteitsnormen — lang voordat er een woord "AI-wet" aan te pas komt. De juiste vraag is dus niet of er regels zijn, maar welke regels samenkomen en waar zij tekortschieten.

Door alle aanknopingspunten heen loopt bovendien één rode draad: het Europese voorzorgsbeginsel. Waar onzekerheid bestaat over ernstige of onomkeerbare risico's, mag het ontbreken van volledige wetenschappelijke zekerheid geen reden zijn om beschermende maatregelen uit te stellen.

Wat de zorg bijzonder maakt, is de stapeling van rechtsgebieden. Eén toepassing van artificiële intelligentie — bijvoorbeeld een algoritme dat scans beoordeelt — raakt tegelijk aan medisch recht, gegevensbescherming, productveiligheid, aansprakelijkheidsrecht en intellectueel eigendom. Een jurist die alleen naar "de AI-regels" kijkt, mist het grootste deel van het speelveld. De inventarisatie voor het Rathenau Instituut was er juist op gericht die volle breedte zichtbaar te maken, zodat beleidsmakers de echte lacunes konden onderscheiden van vraagstukken die al lang geregeld zijn.

Productveiligheid en medische hulpmiddelen

Een eerste cluster betreft productveiligheid. Zorg-AI die kwalificeert als medisch hulpmiddel valt onder de Europese Medical Devices Regulation (MDR), met CE-markering en onderliggende ISO- en NEN-normen. Veel eHealth-toepassingen — apps, wearables, zorgrobots — dragen daarnaast hightech-, data-, robotica- en softwarekenmerken, zodat ook de algemene productveiligheidsrichtlijn in beeld komt.

Daarbovenop gelden de regels van toezichthoudende instanties zoals de EMA (European Medicines Agency) en, in Nederland, Farmatec, en de beginselen van Eudralex met Good Manufacturing Practices en Good Distribution Practices — inclusief verpakkings- en traceerbaarheidsvoorschriften. Voor AI die raakt aan genetisch gemodificeerde organismen (denk aan CRISPR-toepassingen) komt zelfs GGO-wetgeving zoals het Cartagena-protocol in zicht.

Data, privacy en grondrechten

Een tweede cluster draait om data. De Algemene verordening gegevensbescherming (AVG) staat centraal, met name de verplichte Data Protection Impact Assessment bij "serious risks". Daarnaast spelen de verordening over niet-persoonsgebonden, machine-gegenereerde data, de ePrivacy-richtlijn en de richtlijn gegevensbescherming bij rechtshandhaving. Kop wees er destijds op dat data sharing op de Europese agenda zelfs hoger stond dan AI-regulering zelf — een observatie die we verder uitwerken in We hebben dringend een recht op dataprocessing nodig.

Onlosmakelijk daarmee verbonden zijn de grondrechten uit het EU-Handvest: privacy, het verbod op discriminatie en de menselijke waardigheid. De praktische vertaling daarvan is "ethics by design" — onze publieke waarden inbouwen in de technologie vanaf de eerste regel code, in plaats van ze er achteraf op te plakken. Een concreet hulpmiddel daarbij is het AI Impact Assessment, en op Europees niveau het concept van Trustworthy AI van de High-Level Expert Group.

Intellectueel eigendom en innovatie

Een derde cluster is het intellectueel eigendom. Wie is eigenaar van een AI-uitvinding of een door AI gegenereerd werk — bijvoorbeeld een nieuw vaccin of een diagnostisch algoritme — als er geen of nauwelijks menselijke interventie aan te pas komt? Ontstaan zulke rechten überhaupt? De Copyright Directive, het octrooirecht en het databankenrecht raken hier aan de prikkel om in zorginnovatie te blijven investeren. De juridische diepte van die eigendomsvraag bespreken we in Computer generated works: wie of wat is eigenaar?, en de datakant in The Right to Process Data for Machine Learning Purposes in the EU.

Aansprakelijkheid en kwaliteitsborging

Een vierde cluster betreft aansprakelijkheid. Wie draagt verantwoordelijkheid wanneer een diagnostisch algoritme een afwijking mist of een zorgrobot schade veroorzaakt — de arts, het ziekenhuis, de leverancier of de programmeur? Zolang specifieke wetgeving ontbreekt, wordt teruggegrepen op het algemene aansprakelijkheidsrecht, de productaansprakelijkheid en op zorgvuldigheidsnormen. Daar bovenop gelden sectorspecifieke eisen rond quality assurance en quality control (QAQC): een zorgsysteem moet niet alleen veilig zijn, maar dat ook aantoonbaar en herhaalbaar zijn.

Een verwant spoor is de Responsible Research and Innovation-benadering uit Europese onderzoeksprogramma's als Horizon, en het concept van Trustworthy AI van de High-Level Expert Group. Beide verankeren het idee dat kwaliteitsborging niet pas bij de markttoelating begint, maar al bij het ontwerp en het onderzoek — precies waar de juridische en de technische wereld elkaar moeten vinden.

AI-specifieke regels in de maak

Ten slotte het cluster AI-specifieke regelgeving. Al in 2020 tekenden de contouren zich af: het Europees Parlement had de Commissie gevraagd de juridische kwesties rond robots en AI voor de komende tien tot vijftien jaar te onderzoeken; de Raad van Europa werkte via CAHAI aan overkoepelende beginselen; en de Europese Commissie publiceerde in februari 2020 haar White Paper over AI. Die lijnen kwamen later samen in de EU AI Act — een risicogebaseerd kader dat bovenop, niet in plaats van, de bestaande sectorale regels komt te staan.

Waarom dit advies ertoe doet

De kern van de bijdrage aan het Rathenau Instituut was om beleidsmakers te behoeden voor een denkfout: het idee dat er één AI-wet moet komen die alles regelt. De werkelijkheid is multidisciplinair en cross-sectoraal. Een zorg-AI raakt tegelijk aan biotechnologie, neurowetenschap, nanotechnologie, gegevensbescherming en aansprakelijkheidsrecht; voor al die gebieden gelden al regels. De winst zit in het in kaart brengen van die overlap, het opsporen van de echte lacunes, en het verbinden van innovatie aan ons stelsel van publieke waarden. Wie het hele speelveld overziet, kan technologie ruimte geven zónder de waarborgen los te laten — precies de afweging die een instituut als het Rathenau aan het parlement helpt voorleggen. Meer over die governance-context staat op onze kennispagina over kunstmatige intelligentie.

Dat is ook precies de rol die het Rathenau Instituut in het Nederlandse bestel vervult: niet zelf wetgeven, maar de politiek en de samenleving van een helder, onafhankelijk overzicht voorzien zodat zij geïnformeerde keuzes kunnen maken. Een bijdrage die dat overzicht scherper maakt — door de overlap tussen rechtsgebieden in kaart te brengen en de echte leemtes te markeren — past naadloos binnen die opdracht.

De eigen bijdrage van het Rathenau Instituut aan het parlementaire rondetafelgesprek over artificiële intelligentie en recht (26 maart 2018) — de institutionele context van dit dossier:

Laatst bijgewerkt: 9 juni 2026