← STARTPAGINA
Leeromgeving · Zorg-ICT · Wet- en regelgeving

Het gezondheids­informatiestelsel

Luisteren · verbinden · borgen

Negen modules over de kaders die de digitale zorg in Nederland vormgeven: van Europese verordening tot NEN-norm, met per kader de behaalde mijlpalen, de doelstellingen en de addenda die na vaststelling zijn toegevoegd.

Peildatum inhoud gecontroleerd tot en met 11 juli 2026
Stelselkaart · hoe de kaders samenhangen
EUROPEES · VIER KADERS NATIONAAL · WETGEVING NATIONAAL · BELEID & AKKOORDEN NORM & UITVOERINGSPRAKTIJK EHDS NIS2 AI Act MDR Wegiz → Wet GIS Cyberbeveiligingswet verordeningen · rechtstreekse werking, geen omzettingswet NVS · IZA · AZWA VISIE, STRATEGIE EN AKKOORDEN GEVEN RICHTING EN TEMPO LSP · Mitz · Twiin · PGO NEN 7510 · 7512 · 7513 Zorg-AI · SaMD
Jouw voortgang
0 / 9 modules afgerond
Modules

Elke module sluit af met een toets van zes tot tien vragen; bij zeventig procent of meer geldt de module als afgerond. De modules zijn los te volgen, maar de volgorde loopt bewust van het Nederlandse fundament naar de Europese kaders en terug naar de uitvoeringspraktijk.

000°

Het stelsel & de NVS

Nationale visie en strategie op het gezondheidsinformatiestelsel: acht doelstellingen, drie plateaus en de weg naar databeschikbaarheid in 2035.

± 20 min · 6 toetsvragenOpen
040°

IZA & AZWA

Van het Integraal Zorgakkoord (2022) naar het Aanvullend Zorg- en Welzijnsakkoord (2025), met afspraak A5: de landelijke GIS-implementatiestrategie.

± 18 min · 6 toetsvragenOpen
080°

Wegiz

De kaderwet voor verplichte elektronische gegevensuitwisseling: sporen, AMvB’s, de Meerjarenagenda en de overgang naar het EHDS-tijdperk.

± 22 min · 6 toetsvragenOpen
120°

EHDS

Verordening (EU) 2025/327: primair en secundair gebruik, MyHealth@EU, de Gezondheidsdata-autoriteit en de Nederlandse Wet GIS.

± 24 min · 6 toetsvragenOpen
160°

Cyberbeveiligingswet

Volledige leerlijn over de Nederlandse implementatie van NIS2, van kracht per 15 augustus 2026: reikwijdte, de tien zorgplichtmaatregelen, meldplicht, toezicht, bestuurdersverantwoordelijkheid en een stappenplan.

± 35 min · 10 toetsvragenOpen
200°

EU AI Act

Volledige leerlijn over Verordening (EU) 2024/1689: risicopiramide, rollen, verboden praktijken, hoogrisico-eisen, GPAI en de Digital Omnibus van juni 2026, toegespitst op de zorg.

± 40 min · 10 toetsvragenOpen
240°

MDR

De verordening medische hulpmiddelen: risicoklassen, software als medisch hulpmiddel, de verlengde overgangstermijnen en de samenloop met de AI Act.

± 20 min · 6 toetsvragenOpen
280°

NEN 7510

Informatiebeveiliging in de zorg: de herziening van december 2024, de transitie naar 20 februari 2027 en de relatie met de Cyberbeveiligingswet.

± 18 min · 6 toetsvragenOpen
320°

Gegevensuitwisseling in de praktijk

LSP, Mitz, Twiin, Nuts en de generieke functies: hoe landelijke en regionale infrastructuren samen het landelijk dekkend netwerk vormen.

± 22 min · 6 toetsvragenOpen
Module 1 · 000°

Het gezondheidsinformatiestelsel & de NVS

Alles in deze leeromgeving hangt aan één kapstok: de Nationale visie en strategie op het gezondheidsinformatiestelsel. Wie de NVS begrijpt, ziet waarom Wegiz, EHDS, generieke functies en het landelijk dekkend netwerk geen losse initiatieven zijn, maar één beweging van gegevensuitwisseling naar databeschikbaarheid.

Leerdoelen
  • Je kunt de kernbeweging van de Nationale visie (2023) benoemen en toelichten waarom die nodig is.
  • Je kent de acht doelstellingen van de Nationale Strategie (december 2024) en de drie plateaus tot 2035.
  • Je kunt de bouwstenen van het stelsel uitleggen met de wegennet-metafoor van VWS.
  • Je weet wat er volgens het portfoliohuis eind 2026 in de basis gerealiseerd moet zijn.

Waarom een nationale visie nodig was

De coronacrisis maakte pijnlijk zichtbaar wat versnipperde zorgdata kost: er was onvoldoende zicht op de verdeling van IC-bedden, vaccinatiegegevens lagen verspreid over praktijken en instellingen, en oversterfte was moeilijk in kaart te brengen. Tegelijk groeit de zorgvraag, neemt netwerkzorg toe en blijft het personeelstekort oplopen. Het antwoord van VWS kwam in twee stappen. In april 2023 stuurde minister Kuipers de Nationale visie op het gezondheidsinformatiestelsel naar de Tweede Kamer, met een horizon tot 2035. In december 2024 volgde onder minister Agema de Nationale Strategie, die de visie vertaalt naar acht doelstellingen met subdoelen en actiepunten.

De kernbeweging is compact samen te vatten: van gegevensuitwisseling naar databeschikbaarheid. Nu sturen zorgverleners gegevens actief van A naar B, per uitwisseling en per bericht. In het doelbeeld van 2035 zijn de juiste gegevens op het juiste moment op de juiste plek beschikbaar, waarbij data zoveel mogelijk bij de bron blijft en systemen die data situationeel kunnen ophalen. Dat ondersteunt passende, hybride zorg: digitaal als het kan, fysiek als het moet.

De acht doelstellingen van de Nationale Strategie

De strategie beschrijft wat er geregeld moet zijn om in 2035 één integraal georganiseerd stelsel te hebben. De acht overkoepelende doelstellingen:

1 · Databeschikbaarheid
Gezondheidsgegevens zijn beschikbaar voor zorg, gezondheid en preventie, voor primair én secundair gebruik.
2 · Efficiënte vastlegging
Gegevens worden eenmalig en eenduidig vastgelegd, met een minimale administratieve last voor zorgverleners.
3 · Landelijk dekkend netwerk
Data zijn situationeel beschikbaar via een breed gebruikt landelijk dekkend netwerk van infrastructuren en generieke functies.
4 · Datasolidariteit
Burgers zijn bereid gegevens beschikbaar te stellen voor het publieke belang; vertrouwen is daarvoor de basis.
5 · Volwaardige deelname
Burgers en zorgverleners kunnen volwaardig aan het stelsel deelnemen, met aandacht voor digivaardigheid en inclusie.
6 · Governance
De sturing op het stelsel is georganiseerd en voldoet aan de eisen die onder meer de EHDS-verordening stelt.
7 · Drie domeinen
Het stelsel strekt zich uit over het zorgdomein, het sociaal domein en de publieke gezondheid.
8 · Open systemen
Openheid van systemen is gegarandeerd en er is een gelijk speelveld in de zorg-ICT-markt.

Drie plateaus tot 2035

De realisatie verloopt trapsgewijs. Plateau 1 (2023 tot en met 2026) brengt de basis op orde voor gegevensuitwisseling. Plateau 2 (2027 tot en met 2030) realiseert databeschikbaarheid binnen het zorgnetwerk rond de patiënt. Plateau 3 (2031 tot en met 2035) maakt databeschikbaarheid integraal, ook tussen netwerken en domeinen. De plateaus staan niet los van elkaar: keuzes van vandaag werken door op de lange termijn, en doelen van plateau 3 vragen nu al om voorbereidende actie.

VWS gebruikt een treffende metafoor: het stelsel is een wegennet. Het landelijk dekkend netwerk van gekoppelde infrastructuren is het asfalt. Het landelijk vertrouwensstelsel levert de verkeersregels. De generieke functies (identificatie, authenticatie, toestemming, autorisatie, lokalisatie en adressering) zijn de bewegwijzering en de verkeerslichten. En eenheid van taal en techniek bepaalt de breedte van de wegen en de afslagen, zodat elk voertuig overal terechtkan. Samen met de PGO’s en Mijn Gezondheidsoverzicht vormen deze onderdelen het portfoliohuis van plateau 1, dat eind 2026 in de basis gerealiseerd moet zijn.

Basiselementen uit de strategie. Naast de doelstellingen benoemt de strategie acht zaken die minimaal geregeld moeten zijn, waaronder: betere aansluiting van primair op secundair gebruik, vaststelling van open (inter)nationale standaarden, scheiding van inhoud en transport, eenheid van taal, een keuze voor het landelijk dekkend netwerk, aanwijzing van gemeenschappelijke voorzieningen voor non-concurrentiële generieke functies, samenhang in de aanpak en naleving van de leidende privacy- en beveiligingsnormen.

Behaald en gepland

april 2023 behaald
Nationale visie naar de Tweede Kamer
Kamerbrief van minister Kuipers met het doelbeeld databeschikbaarheid 2035 en de leidende principes.
januari 2024 behaald
IZA-uitvoeringsakkoord gegevensuitwisseling
Veldpartijen committeren zich aan de landelijke keuzes voor databeschikbaarheid, om desinvesteringen te voorkomen.
18 december 2024 behaald
Nationale Strategie gepubliceerd
Acht doelstellingen, subdoelen en actiepunten, plus de transitieaanpak met monitoring en sturing.
2025 behaald
GIS-implementatiestrategie opgeleverd (AZWA-afspraak A5)
De landelijke implementatiestrategie voor het gezondheidsinformatiestelsel, met focus op netwerkzorg en regionale samenwerking.
eind 2026 doelstelling
Portfoliohuis plateau 1 in de basis gereed
Landelijk dekkend netwerk, generieke functies, vertrouwensstelsel en eenheid van taal en techniek operationeel als fundament.
2027 – 2030 doelstelling
Plateau 2: databeschikbaarheid in het zorgnetwerk
Parallel aan de eerste EHDS-verplichtingen; nationale en Europese sporen worden ingevlochten.
2031 – 2035 doelstelling
Plateau 3: integrale databeschikbaarheid
Gegevens bewegen met waarborgen vrij tussen domeinen; het stelsel voldoet volledig aan de EHDS.
Module 2 · 040°

IZA & AZWA

Zorgakkoorden zijn geen wetgeving, maar bestuurlijke afspraken met grote doorwerking: ze bepalen de prioriteiten, de financiering en het tempo van de digitale transitie. Het IZA zette in 2022 de koers, het AZWA versnelt die sinds september 2025.

Leerdoelen
  • Je kent het doel en de digitaliseringsafspraken van het Integraal Zorgakkoord (2022).
  • Je kunt uitleggen hoe het AZWA (2025) het IZA versnelt, verbreedt en verdiept.
  • Je kent afspraak A5 en de rol van de landelijke GIS-implementatiestrategie.
  • Je weet welke afspraken over AI en arbeidsbesparing in het AZWA zijn vastgelegd.

Het Integraal Zorgakkoord (2022)

In september 2022 sloten het kabinet en een brede coalitie van zorgpartijen het Integraal Zorgakkoord, met als doel de zorg ook op termijn goed, toegankelijk en betaalbaar te houden. Het IZA rust op passende zorg, regionale samenwerking en een stevige digitaliseringsparagraaf. De centrale digitale afspraak luidt: elektronische gegevensuitwisseling is de standaard in de zorg. Om te borgen dat regionale keuzes sporen met de landelijke lijn, ondertekenden partijen in januari 2024 het uitvoeringsakkoord gegevensuitwisseling. Naast het IZA staat het Gezond en Actief Leven Akkoord (GALA, februari 2023) voor preventie en gezondheid in het sociaal domein, en is voor de ouderenzorg het Hoofdlijnenakkoord Ouderenzorg (HLO) gesloten.

Om de afspraken uit te voeren zijn thematafels ingericht waarin de ondertekenaars vertegenwoordigd zijn. Voor dit vakgebied is de thematafel Databeschikbaarheid & AI de belangrijkste: daar worden de afspraken over gegevensuitwisseling en databeschikbaarheid omgezet in concrete doelen en acties, die faciliterend zijn voor vrijwel alle andere tafels.

Het Aanvullend Zorg- en Welzijnsakkoord (2025)

Op 8 september 2025 ondertekenden achttien zorg- en welzijnsorganisaties en VWS het Aanvullend Zorg- en Welzijnsakkoord in Gezondheidscentrum de Rubenshoek in Den Haag (de VNG tekende onder voorbehoud van ledenraadpleging). Het AZWA wil de koers van het IZA versnellen, verbreden en verdiepen: verbreden naar het sociaal domein en welzijn, verdiepen op uitvoerbaarheid. Kenmerkend is de vereenvoudiging van circa vierhonderd IZA-afspraken naar ongeveer dertig heldere lijnen.

De cijfers erachter zijn fors. De zorgvraag verdubbelt de komende jaren terwijl het personeelsaanbod achterblijft; het AZWA committeert zich daarom aan een potentiële arbeidsbesparing van minimaal 40.000 personen, als onderdeel van het bredere transitiedoel om het oplopende arbeidsmarkttekort met 100.000 personen te verlagen. Er wordt bijna 400 miljoen euro structureel geïnvesteerd in voorzieningen op het snijvlak van het sociaal, verpleegkundig en medisch domein, zoals Integrale Gezinspoli’s en laagdrempelige steunpunten. De grootste besparingen worden verwacht van passende zorg, beter wachtlijstinzicht, minder administratieve lasten en het versnellen van gegevensuitwisseling en de inzet van kunstmatige intelligentie.

Digitalisering in het AZWA: A5, D5, D6 en AI

Voor digitalisering en gegevensuitwisseling bevat het AZWA drie afspraken die je moet kennen. Afspraak A5 versnelt de IZA-doelstelling dat elektronische gegevensuitwisseling de standaard is, via een landelijke implementatiestrategie voor het gezondheidsinformatiestelsel. Die strategie is inmiddels opgeleverd en beschrijft hoe implementaties worden ingezet en opgeschaald, met focus op netwerkzorg en regionale samenwerking: implementeren vóór en dóór het zorgveld. Daarmee legt A5 het fundament onder de verdere ontwikkeling van het stelsel uit module 1.

De afspraken D5 (een landelijk dekkend aanbod van basisfunctionaliteiten) en D6 (een gezonde en sociale basisinfrastructuur) verbinden het zorgdomein met het sociaal domein, uitgewerkt in regionale werkagenda’s en ondersteund met handreikingen voor gemeenten, verzekeraars en aanbieders. Op het gebied van AI is afgesproken de administratie- en diagnostiektijd te verminderen door versnelde en verantwoorde inzet van generatieve en diagnostische AI; de AZWA-partijen stelden daartoe binnen drie maanden na ondertekening de uitwerking vast in een Aanpak AI in de Zorg. In het Bestuurlijk Overleg IZA-AZWA van 30 maart 2026 is bovendien besloten de zogenoemde doorbraakmiddelen te investeren in landelijke opschaling van arbeidsbesparende AI, digitale en hybride zorg en medische technologie.

Status en karakter. IZA, GALA, HLO en AZWA zijn bestuurlijke akkoorden, geen wetten. Nakoming loopt via commitment, bekostigingsafspraken, transformatiemiddelen en monitoring, niet via handhaving door een toezichthouder. Juist daarom is de koppeling met wettelijke sporen (Wegiz, EHDS, Cyberbeveiligingswet) zo belangrijk: het akkoord organiseert het tempo, de wet borgt de ondergrens.

Behaald en gepland

september 2022 behaald
Integraal Zorgakkoord ondertekend
Elektronische gegevensuitwisseling wordt de standaard in de zorg.
februari 2023 behaald
GALA gesloten
Gezond en Actief Leven Akkoord: preventie en gezondheid in het sociaal domein.
januari 2024 behaald
IZA-uitvoeringsakkoord gegevensuitwisseling
Regionale en sectorale keuzes in lijn met de landelijke keuzes voor databeschikbaarheid.
8 september 2025 behaald
AZWA ondertekend
Versnellen, verbreden en verdiepen van het IZA; arbeidsbesparingsambitie van minimaal 40.000 personen.
eind 2025 behaald
Aanpak AI in de Zorg vastgesteld
Uitwerking van de AZWA-afspraak over versnelde en verantwoorde inzet van generatieve en diagnostische AI.
30 maart 2026 behaald
BO IZA-AZWA over doorbraakmiddelen
Investering in landelijke opschaling van arbeidsbesparende AI, digitale en hybride zorg en medische technologie.
2026 – 2027 doelstelling
Uitvoering regionale werkagenda’s en basisfunctionaliteiten
D5 en D6 landen in elke regio; gordelroosvaccinatie voor zestigplussers start vanaf 2027 als preventieafspraak.
Module 3 · 080°

Wegiz

De Wet elektronische gegevensuitwisseling in de zorg maakte in 2023 een einde aan de vrijblijvendheid: bij algemene maatregel van bestuur kan de minister gegevensuitwisselingen aanwijzen die verplicht elektronisch en gestandaardiseerd moeten verlopen. Sinds de komst van de EHDS verandert de wet zelf van gedaante.

Leerdoelen
  • Je kunt het kaderwetkarakter van de Wegiz uitleggen, inclusief spoor 1 en spoor 2.
  • Je kent de samenhang tussen AMvB’s, kwaliteitsstandaarden, NEN-normen en informatiestandaarden.
  • Je kent de geprioriteerde gegevensuitwisselingen op de Meerjarenagenda en hun actuele planning.
  • Je kunt beschrijven hoe de EHDS de Wegiz wijzigt: van derdencertificering naar zelfbeoordeling.

Een kaderwet met twee sporen

De Wegiz trad op 1 juli 2023 in werking en geldt voor zorgaanbieders in de zin van de Wkkgz, van ziekenhuis tot apotheekhoudende huisarts. Het is een kaderwet: de wet zelf verplicht niets concreets, maar biedt de grondslag om per gegevensuitwisseling bij algemene maatregel van bestuur (AMvB) verplichtingen op te leggen. Daarbij gelden twee sporen. Een spoor 1-aanwijzing verplicht dat een uitwisseling ten minste elektronisch plaatsvindt, dus geen fax of papier meer. Een spoor 2-aanwijzing gaat verder en stelt eisen aan taal en techniek: de uitwisseling moet verlopen volgens een NEN-norm, oorspronkelijk met gecertificeerde informatietechnologieproducten of -diensten.

Belangrijk om scherp te hebben: de minister bepaalt niet wat zorgverleners inhoudelijk uitwisselen. Dat staat in de kwaliteitsstandaarden van het zorgveld zelf. De keten werkt zo: de AMvB wijst de uitwisseling aan en verwijst naar een kwaliteitsstandaard (wat is goede zorg) en een NEN-norm (eenheid van taal en techniek), en die norm verwijst op zijn beurt naar een informatiestandaard zoals die van Nictiz. Randvoorwaardelijk voor alle uitwisselingen zijn de generieke functies en het landelijk dekkend netwerk uit module 1: normen alleen bleken niet genoeg om landelijk uit te wisselen.

De Meerjarenagenda en de eerste verplichting

Op de Meerjarenagenda Wegiz staan de geprioriteerde gegevensuitwisselingen. Vijf daarvan worden met voorrang uitgewerkt: medicatieoverdracht (waaronder digitaal receptenverkeer), de Basisgegevensset Zorg (BgZ) tussen instellingen voor medisch-specialistische zorg, beeldbeschikbaarheid, de verpleegkundige overdracht (eOverdracht) en, toegevoegd vanuit het IZA, acute zorg conform de richtlijn gegevensuitwisseling in het spoedzorgproces.

De eerste concrete verplichting is een feit sinds 1 januari 2024: de spoor 1-aanwijzing voor het versturen van een recept door de huisarts aan de terhandsteller. Huisartsen moeten recepten elektronisch naar de apotheek of apotheekhoudende huisarts sturen, en sinds 1 juli 2024 moet het medicatievoorschrift ook zichtbaar zijn in de persoonlijke gezondheidsomgeving van patiënten die dat willen. Er blijven uitzonderingen mogelijk bij overmacht (zoals een storing in het HIS) en voor bijzondere situaties of groepen, zoals toeristen of het uitgestelde recept; het patiëntbelang gaat altijd voor, maar afwijken moet verantwoord kunnen worden.

Addendum: de EHDS herschrijft de spelregels

De komst van de EHDS-verordening (module 4) betekent dat de Wegiz niet in zijn huidige vorm kan blijven bestaan. De meest zichtbare wijziging betreft de conformiteitsbeoordeling. De Wegiz schreef derdencertificering van EPD-systemen voor; de EHDS gaat uit van zelfbeoordeling door de fabrikant in een Europese digitale testomgeving, en een nationale eis mag niet strenger zijn dan de verordening. Certificering wordt daarom geschrapt via een wijziging van de Wegiz die meeloopt in het wetsvoorstel Wet GIS. Praktisch gevolg: nieuwe AMvB’s onder de Wegiz kunnen pas worden vastgesteld nadat die wetswijziging is aangenomen, met als planning inwerkingtreding begin 2028.

De actuele fasering per uitwisseling, volgens de Kamerbrieven van 20 januari 2026 en 18 mei 2026: eOverdracht wordt nationaal verplicht in het eerste kwartaal van 2028, drie jaar eerder dan de vergelijkbare EHDS-categorie Discharge Reports. Beeldbeschikbaarheid volgt in het eerste kwartaal van 2029, twee jaar vóór de EHDS-categorie Medical Imaging, op voorwaarde dat er eind 2026 overeenstemming is over de verplichte normen en de technische oplossing. De verplichtingen voor BgZ, medicatieoverdracht en acute zorg gaan als nationale aanvulling gelijktijdig in met de EHDS-verplichtingen in het eerste kwartaal van 2029. Voor radiologische beelden is er een tijdelijke landelijke oplossing waarvan de uitrol medio 2026 is gestart; die wordt afgebouwd zodra de wettelijke oplossing beschikbaar is.

Onthoud het mechanisme. Nederland gebruikt de Wegiz als opstap naar de EHDS: waar een nationale verplichting eerder haalbaar is dan de Europese, loopt Nederland bewust vooruit. Waar de tijdlijnen elkaar raken, sluiten de nationale verplichtingen aan op de EHDS-momenten, zodat het zorgveld zich één keer goed kan voorbereiden. Op termijn gaat de Wegiz op in de Stelselwet gegevensverwerking in de zorg, waarvan de Wet GIS de eerste tranche is.

Behaald en gepland

1 juli 2023 behaald
Wegiz in werking
Kaderwet voor verplichte elektronische gegevensuitwisseling; elektronisch wordt de norm.
1 januari 2024 behaald
Eerste AMvB: digitaal recept verplicht
Spoor 1-aanwijzing voor het versturen van een recept door de huisarts aan de terhandsteller.
1 juli 2024 behaald
Medicatievoorschrift zichtbaar in de PGO
Patiënten die dat willen, kunnen hun voorschrift inzien in hun persoonlijke gezondheidsomgeving.
medio 2026 behaald
Start uitrol tijdelijke oplossing radiologiebeelden
Landelijk opvragen en uitwisselen van radiologische beelden, vooruitlopend op de wettelijke oplossing.
eind 2026 doelstelling
Overeenstemming normen beeldbeschikbaarheid
Voorwaarde om de verplichting in het eerste kwartaal van 2029 te halen, twee jaar vóór de EHDS.
begin 2028 doelstelling
Wegiz-wijziging via Wet GIS in werking
Derdencertificering vervangen door zelfbeoordeling; daarna kunnen nieuwe AMvB’s worden vastgesteld.
Q1 2028 doelstelling
eOverdracht nationaal verplicht
Drie jaar vóór de vergelijkbare EHDS-verplichting voor Discharge Reports.
Q1 2029 doelstelling
BgZ, medicatieoverdracht, acute zorg en beeldbeschikbaarheid verplicht
Nationale verplichtingen gelijktijdig met (of vooruitlopend op) de eerste EHDS-tranche.
Module 4 · 120°

EHDS

De European Health Data Space is de eerste sectorspecifieke Europese dataruimte en het zwaartepunt van alles wat de komende jaren in de zorg-ICT gebeurt. De verordening werkt rechtstreeks, maar wordt gefaseerd van toepassing: 2027, 2029 en 2031.

Leerdoelen
  • Je kent het doel en de twee gebruiksvormen van de EHDS: primair en secundair gebruik.
  • Je kunt de gefaseerde toepassing (2027, 2029, 2031) en de geprioriteerde gegevenscategorieën benoemen.
  • Je kent de Nederlandse implementatiekeuzes: de Gezondheidsdata-autoriteit, de opt-out en de Wet GIS.
  • Je kunt de verhouding tussen EHDS en Wegiz uitleggen, inclusief de overgang naar zelfbeoordeling.

Wat de verordening regelt

Verordening (EU) 2025/327 trad op 26 maart 2025 in werking. De EHDS heeft twee doelen: burgers meer regie geven over hun elektronische gezondheidsgegevens, en die gegevens beter en veiliger beschikbaar maken voor onderzoek, innovatie en beleid. Het eerste heet primair gebruik: gegevens in de directe zorgverlening. Burgers krijgen het recht op elektronische, vaak onmiddellijke toegang tot hun gegevens via een toegangsdienst, het recht op rectificatie en het recht op overdracht, ook grensoverschrijdend. De technische ruggengraat is MyHealth@EU, waarop alle lidstaten aansluiten; in Nederland is NCPeH-NL het nationale contactpunt voor grensoverschrijdende uitwisseling.

Het tweede doel heet secundair gebruik: hergebruik van gezondheidsdata voor onderzoek, beleid en innovatie. Datahoudende organisaties moeten relevante datasets beschikbaar stellen via een Health Data Access Body, die toegangsverzoeken beoordeelt; toegang vindt uitsluitend plaats in beveiligde verwerkingsomgevingen, en de grensoverschrijdende infrastructuur heet HealthData@EU. Daarnaast harmoniseert de EHDS de markt voor EPD-systemen: die moeten geharmoniseerde softwarecomponenten bevatten die aan Europese technische eisen voldoen, waarbij de fabrikant dit via zelfbeoordeling aantoont in een Europese digitale testomgeving.

Fundamenteel voor Nederland is de systeemwissel in het toestemmingsdenken. Het huidige regime is opt-in: uitwisselen mag pas na uitdrukkelijke toestemming. De EHDS gaat uit van databeschikbaarheid, tenzij de burger een beperking oplegt. Lidstaten mogen een opt-out regelen voor primair gebruik; Nederland kiest daarvoor (een besluit van toenmalig minister Agema, bevestigd door haar opvolgers) en onderzoekt een doorbrekingsmechanisme voor spoedsituaties. Voor secundair gebruik volgt het opt-outrecht rechtstreeks uit de verordening, met nationale ruimte voor extra bescherming van bijzonder gevoelige gegevens zoals genetische data.

De fasering: 2027, 2029, 2031

26 maart 2027
Deadline voor de Europese Commissie om de belangrijkste uitvoeringshandelingen vast te stellen: de gedetailleerde technische regels, waaronder uitwisselformaten en de zelfbeoordelingsmethodiek. Ook worden de eerste institutionele bepalingen van toepassing.
26 maart 2029
Eerste geprioriteerde categorieën primair gebruik verplicht uitwisselbaar in alle lidstaten: de patiëntsamenvatting (EU Patient Summary) en digitale recepten en verstrekkingen (ePrescription en eDispensation). De regels voor secundair gebruik gaan grotendeels gelden.
26 maart 2031
Tweede tranche primair gebruik: medisch beeldmateriaal en verslagen, medische testresultaten en verslagen, en ontslagbrieven. Nederland moet uiterlijk op deze datum volledig gereed zijn voor de EHDS.

Let op de valkuil in deze tijdlijn: de eerste verplichtingen voor het veld gaan pas in 2029 in, maar de uitvoeringshandelingen die bepalen waaraan je moet voldoen, worden al in 2027 vastgesteld. Wie in 2027 verrast wordt, is te laat begonnen. De geprioriteerde EHDS-categorieën overlappen bovendien grotendeels met de Meerjarenagenda Wegiz, en Nederland vult de Europese categorieën aan met nationale verplichtingen (module 3).

De Nederlandse implementatie: GDA en Wet GIS

Elke lidstaat moet twee instanties aanwijzen: een Autoriteit voor Digitale Gezondheid (ADG) voor primair gebruik en een Health Data Access Body (HDAB) voor secundair gebruik. Nederland kiest ervoor beide taken onder te brengen in één nieuw zelfstandig bestuursorgaan: de Gezondheidsdata-autoriteit (GDA), zodat primair en secundair datagebruik naar één ecosysteem toegroeien. De technische voorbereiding voor de HDAB-taken loopt in het programma HDAB-NL, met Europese subsidie, gericht op een operationele start in 2029. Voor de nationale datasetcatalogus wordt een NCPSD ingericht, zodat Nederlandse datasets op Europees niveau vindbaar zijn.

De wettelijke verankering verloopt in tranches, die samen de Stelselwet gegevensverwerking in de zorg gaan vormen. De eerste tranche is het wetsvoorstel Wet op het gezondheidsinformatiestelsel (Wet GIS). Die regelt wat per 26 maart 2027 geregeld moet zijn: de aanwijzing van de uitvoerende en toezichthoudende instanties, het toezicht- en handhavingskader, en de wijziging van de Wegiz waarmee derdencertificering wordt vervangen door zelfbeoordeling. De internetconsultatie liep van 28 mei tot en met 8 juli 2026; het voorstel gaat naar verwachting in het eerste kwartaal van 2027 naar de Tweede Kamer, met beoogde inwerkingtreding begin 2028. In Europees verband draait Nederland mee in de Joint Actions xt-EHR (primair gebruik, met Nictiz en NEN) en TEHDAS 2 (secundair gebruik, met RIVM en Nictiz).

Addendum-karakter van de EHDS zelf. De verordening is vastgesteld, maar de technische invulling ontstaat nog: een comité van lidstaten werkt tot maart 2027 aan de uitvoeringshandelingen, en pas daarna liggen de definitieve eisen voor leveranciers vast. Wie EHDS-gereedheid plant, plant dus op twee sporen: de vaststaande verplichtingen uit de verordening en de bewegende technische uitwerking.

Behaald en gepland

26 maart 2025 behaald
EHDS-verordening in werking
Verordening (EU) 2025/327; start van de overgangsperiode.
20 januari 2026 behaald
Kamerbrief implementatiekeuzes
Hoofdlijnen: opt-out primair gebruik, overgang naar zelfbeoordeling, tranchegewijze wetgeving.
18 mei 2026 behaald
Kamerbrief stand van zaken: GDA aangekondigd
Eén zbo voor ADG- en HDAB-taken; concretisering van de Wegiz-EHDS-invlechting.
28 mei – 8 juli 2026 behaald
Internetconsultatie Wet GIS
Eerste tranche van de implementatiewetgeving, inclusief memorie van toelichting.
Q1 2027 doelstelling
Wetsvoorstel Wet GIS naar de Tweede Kamer
Aanwijzing autoriteiten, toezichtkader en Wegiz-wijziging.
26 maart 2027 doelstelling
Uitvoeringshandelingen vastgesteld
Technische eisen, uitwisselformaten en zelfbeoordelingsmethodiek liggen vast.
26 maart 2029 doelstelling
Eerste tranche verplichtingen van toepassing
Patiëntsamenvatting en eRecept uitwisselbaar; secundair gebruik grotendeels operationeel; GDA/HDAB-NL werkend.
26 maart 2031 doelstelling
Tweede tranche en volledige gereedheid
Beelden, testresultaten en ontslagbrieven; Nederland volledig EHDS-gereed.
Module 5 · 160° · volledige leerlijn

Cyberbeveiligingswet (NIS2)

Na jaren uitstel is het zover: de Eerste Kamer nam de Cyberbeveiligingswet op 7 juli 2026 aan en de wet treedt op 15 augustus 2026 in werking, zonder overgangstermijn. Deze leerlijn behandelt de wet volledig: herkomst, reikwijdte, de tien zorgplichtmaatregelen, de meldplicht, toezicht en sancties, bestuurdersverantwoordelijkheid en een stappenplan om in control te komen.

Leerdoelen
  • Je kent de herkomst (NIS2-richtlijn) en de totstandkoming van de Cyberbeveiligingswet.
  • Je kunt bepalen of een zorgorganisatie onder de wet valt en of zij essentieel of belangrijk is.
  • Je kunt de tien zorgplichtmaatregelen van artikel 21 benoemen en toepassen.
  • Je kent het meldritme, de rolverdeling bij melden en de samenloop met de AVG-datalekmelding.
  • Je kent het toezicht- en sanctiekader en de bestuurdersverantwoordelijkheid.
  • Je kunt een stappenplan opstellen om een zorgorganisatie in control te brengen.

Van Europese richtlijn naar Nederlandse wet

De NIS2-richtlijn (EU) 2022/2555 verplicht lidstaten de digitale weerbaarheid van essentiële en belangrijke sectoren te versterken. Zij vervangt de eerste NIS-richtlijn uit 2016 en verbreedt die fors: van enkele vitale sectoren naar achttien sectoren, met de zorg als een van de grootste nieuwkomers, en met geharmoniseerde eisen zodat lidstaten niet ieder een eigen invulling kiezen. De omzettingsdeadline was 17 oktober 2024; Nederland haalde die niet, net als vrijwel alle lidstaten (alleen België was op tijd volledig). In de tussenperiode hadden organisaties wel rechten uit de richtlijn, zoals vrijwillige registratie en aansluiting op ondersteuning, maar nog geen afdwingbare verplichtingen.

Na een reeks verschoven streefdata nam de Tweede Kamer het wetsvoorstel op 15 april 2026 aan en stemde de Eerste Kamer op 7 juli 2026 in. De Cyberbeveiligingswet (Cbw) treedt op 15 augustus 2026 in werking en vervangt de Wet beveiliging netwerk- en informatiesystemen (Wbni). Er geldt géén overgangstermijn: wie onder de wet valt, moet vanaf dag één aantoonbaar aan de slag zijn. Tegelijk treedt de Wet weerbaarheid kritieke entiteiten (Wwke) in werking, de implementatie van de CER-richtlijn, gericht op fysieke en organisatorische weerbaarheid tegen dreigingen zoals sabotage en natuurrampen. De nadere uitwerking van de Cbw staat in het Cyberbeveiligingsbesluit (AMvB) en in ministeriële regelingen per departement; VWS consulteerde zijn regeling voor de zorgsector van 10 november tot 21 december 2025, en besluit en regelingen treden gelijktijdig met de wet in werking.

Val je eronder, en in welke categorie?

De Cbw geldt voor organisaties in achttien sectoren die essentiële of belangrijke diensten leveren, waaronder gezondheidszorg, energie, drinkwater, digitale infrastructuur, overheid en vervoer. Organisaties moeten zelf toetsen of ze onder de wet vallen; de regelhulp van de rijksoverheid ondersteunt die zelfevaluatie. Voor de zorg gelden twee cumulatieve voorwaarden: de organisatie behoort tot een aangewezen deelsector (zorgaanbieders, organisaties die geneesmiddelenonderzoek doen, farmaceutische bedrijven of fabrikanten van medische hulpmiddelen) én zij heeft minimaal 50 fte in dienst, of anders een jaaromzet én balanstotaal van meer dan 10 miljoen euro.

De wet onderscheidt essentiële en belangrijke entiteiten; in de zorg bepaalt vooral de omvang het onderscheid. De verplichtingen zijn grotendeels gelijk, maar het onderscheid bepaalt de intensiteit van het toezicht en de sanctiemaxima (volgende secties). Onderschat ten slotte de ketenwerking niet: de zorgplicht omvat expliciet leveranciersrisico, waardoor tienduizenden leveranciers die zelf niet onder de wet vallen, via hun klanten alsnog moeten aantonen dat zij veilig werken. Voor een teamleider of programmamanager betekent dit dat inkoop- en contractvoorwaarden net zo hard onderdeel van compliance zijn als de eigen techniek.

De zorgplicht uitgediept: tien maatregelen

De kern van de wet is de zorgplicht van artikel 21 van de richtlijn: passende en evenredige technische, operationele en organisatorische maatregelen, gebaseerd op een all-hazards-benadering en proportioneel aan het risico, de omvang en de maatschappelijke impact van de dienst. De richtlijn benoemt tien maatregelen die elke entiteit minimaal moet afdekken:

1 · Risicobeleid
Beleid voor risicoanalyse en beveiliging van informatiesystemen: het fundament waarop alle andere maatregelen rusten.
2 · Incidentbehandeling
Een ingericht proces voor het detecteren, analyseren, beheersen en afhandelen van incidenten.
3 · Continuïteit
Bedrijfscontinuïteit: back-upbeheer, noodvoorzieningenplannen en crisisbeheer, zodat de zorg doorgaat als systemen uitvallen.
4 · Ketenbeveiliging
Beveiliging van de toeleveringsketen, inclusief de relatie met directe leveranciers en dienstverleners.
5 · Veilig ontwikkelen en inkopen
Beveiliging bij verwerving, ontwikkeling en onderhoud van systemen, inclusief de omgang met en bekendmaking van kwetsbaarheden.
6 · Effectiviteitsmeting
Beleid en procedures om te beoordelen of de maatregelen daadwerkelijk werken: audits, tests en evaluaties.
7 · Cyberhygiëne en opleiding
Basispraktijken zoals patching en wachtwoordbeleid, plus training in cyberbeveiliging voor medewerkers én bestuur.
8 · Cryptografie
Beleid over het gebruik van cryptografie en, waar passend, encryptie van gegevens in rust en in transport.
9 · Mens en toegang
Personeelsbeveiliging, toegangsbeleid en beheer van assets: wie mag waarbij, en wat hebben we eigenlijk in beheer.
10 · Sterke authenticatie
Multifactorauthenticatie of continue authenticatie en beveiligde spraak-, video- en tekstcommunicatie, ook in noodsituaties.
Relatie met NEN 7510. De Cbw schrijft geen specifieke norm voor, maar in de zorg is NEN 7510 de logische invulling van de zorgplicht: de herziening van 2024 bevat in bijlage E van deel 2 expliciet de aansluiting op de NIS2-verplichtingen. Wie NEN 7510:2024 aantoonbaar heeft geïmplementeerd, dekt de tien maatregelen vrijwel volledig af en heeft het fundament voor Cbw-compliance staan (module 8).

De meldplicht in de praktijk

Significante incidenten moeten worden gemeld volgens een vast ritme: een vroegtijdige waarschuwing binnen 24 uur nadat het incident bekend is, een incidentmelding binnen 72 uur met een eerste beoordeling van ernst en gevolgen, en een eindrapport binnen een maand. Een incident is significant wanneer het een ernstige operationele verstoring of financiële verliezen kan veroorzaken voor de entiteit zelf, of aanzienlijke materiële of immateriële schade voor anderen, zoals patiënten. Gemeld wordt bij het CSIRT en de bevoegde toezichthouder; het NCSC vervult de CSIRT-rol en biedt daarvoor één meldvoorziening. In de zorg blijft Z-CERT als sectoraal expertisecentrum een centrale rol spelen in dreigingsinformatie en incidentondersteuning.

Let op de samenloop met andere meldplichten. Een ransomware-aanval waarbij patiëntgegevens zijn geraakt, is vaak zowel een significant incident onder de Cbw als een datalek onder de AVG, dat binnen 72 uur bij de Autoriteit Persoonsgegevens gemeld moet worden. De meldingen vervangen elkaar niet: het zijn aparte sporen met eigen loketten, criteria en termijnen. Slimme organisaties beleggen beide in één incidentproces met één beslisboom, samen met de vigilantiemeldingen voor medische hulpmiddelen (module 7). Naast de verplichte meldingen blijft vrijwillig melden van bijna-incidenten en dreigingen mogelijk en nuttig: het versterkt het gezamenlijke dreigingsbeeld.

Toezicht, sancties en bestuurdersverantwoordelijkheid

Er zijn tien bevoegde toezichthouders, per sector belegd. Bij essentiële entiteiten is het toezicht proactief: de toezichthouder kan audits, inspecties en informatievorderingen inzetten zonder dat er iets is misgegaan. Bij belangrijke entiteiten is het toezicht reactief en komt het in beeld na signalen of incidenten. De sanctiemaxima verschillen mee: tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet voor essentiële entiteiten, en tot 7 miljoen euro of 1,4 procent voor belangrijke. Naast boetes kan de toezichthouder bindende aanwijzingen geven en, bij essentiële entiteiten in het uiterste geval, een tijdelijk verbod op het uitoefenen van leidinggevende taken vorderen.

De wet legt de verantwoordelijkheid nadrukkelijk bij het bestuur: dat moet de beveiligingsmaatregelen goedkeuren, toezien op de uitvoering en zelf opleiding volgen, zodat het risico’s kan beoordelen in plaats van ze te delegeren. Bij ernstige nalatigheid kunnen bestuurders persoonlijk worden aangesproken. Cyberweerbaarheid verschuift daarmee definitief van de IT-afdeling naar de bestuurstafel, en dat is precies de bedoeling van de richtlijn.

In control komen: een stappenplan

Voor een zorgorganisatie die per 15 augustus 2026 aan de wet moet voldoen, ziet een werkbare aanpak er zo uit. Eén: stel met de zelfevaluatie vast óf en in welke categorie de organisatie onder de wet valt, en leg die conclusie bestuurlijk vast. Twee: registreer de entiteit in het entiteitenregister via mijn.ncsc.nl en sluit aan op de CSIRT-dienstverlening. Drie: voer een gap-analyse uit van de tien zorgplichtmaatregelen tegen de bestaande situatie, met NEN 7510:2024 en bijlage E als meetlat, en prioriteer op risico. Vier: breng het bestuur in positie: laat het de maatregelen en het plan formeel goedkeuren en organiseer de opleidingsplicht. Vijf: richt het meldproces in met één beslisboom voor Cbw, AVG en vigilantie, en oefen het met een realistische casus. Zes: maak de keten aantoonbaar: inventariseer kritieke leveranciers en veranker beveiligingseisen in contracten en inkoopvoorwaarden. Zeven: borg het geheel in de PDCA-cyclus van het ISMS, zodat compliance geen eenmalig project is maar blijvend werkt. Wie deze stappen volgt, voldoet niet alleen aan de wet maar wordt er ook operationeel beter van, en dat is de volgorde waarin je het aan een bestuur verkoopt.

Behaald en gepland

december 2022 behaald
NIS2-richtlijn aangenomen
Richtlijn (EU) 2022/2555 vervangt de eerste NIS-richtlijn en verbreedt de reikwijdte fors.
17 oktober 2024 deadline gemist
Europese omzettingsdeadline verstrijkt
Nederland haalt de deadline niet; rechten gelden, verplichtingen nog niet.
feb – dec 2025 behaald
Consultaties Cyberbeveiligingsbesluit en ministeriële regelingen
Besluit geconsulteerd in het voorjaar; de VWS-regeling voor de zorg van 10 november tot 21 december 2025.
15 april 2026 behaald
Tweede Kamer neemt Cbw en Wwke aan
Daarmee start de behandeling in de Eerste Kamer.
7 juli 2026 behaald
Eerste Kamer stemt in
Na afronding van de schriftelijke behandeling; de eerdere streefdatum van 1 juli bleek onhaalbaar.
15 augustus 2026 doelstelling
Cbw en Wwke in werking
Registratie-, zorg- en meldplicht gelden direct; geen overgangstermijn. Registratie via mijn.ncsc.nl.
Module 6 · 200° · volledige leerlijn

EU AI Act

De eerste horizontale AI-wetgeving ter wereld, met een risicogebaseerde aanpak en een gefaseerde toepassing. Deze leerlijn behandelt de verordening volledig: de risicopiramide, de rollen, de verboden praktijken, de eisen aan hoogrisicosystemen, GPAI en de Digital Omnibus van juni 2026, steeds toegespitst op de zorg.

Leerdoelen
  • Je kent de risicopiramide en de twee routes naar de kwalificatie hoog risico.
  • Je kunt de rollen onderscheiden (aanbieder, gebruiksverantwoordelijke, importeur, distributeur) en weet wanneer een rol wisselt.
  • Je kent de verboden praktijken van artikel 5, inclusief het nieuwe verbod uit de omnibus.
  • Je kent de eisen aan hoogrisicosystemen en de plichten van de gebruiksverantwoordelijke.
  • Je kent de GPAI-regels en de gewijzigde tijdlijn na de Digital Omnibus.
  • Je kunt voor een zorgorganisatie een aanpak formuleren om aantoonbaar te voldoen.

De risicopiramide

Verordening (EU) 2024/1689 trad op 1 augustus 2024 in werking en deelt AI-systemen in naar risico. Bovenaan staan de verboden praktijken (artikel 5). Daaronder de categorie hoog risico, met twee routes: via Annex I voor AI die als veiligheidscomponent is ingebed in al gereguleerde producten (zoals medische hulpmiddelen onder de MDR met een conformiteitsbeoordeling door een notified body), en via Annex III voor zelfstandige AI-systemen in gevoelige domeinen, waaronder onderwijs, werving en selectie, kredietbeoordeling, kritieke infrastructuur en rechtshandhaving. De onderste lagen zijn beperkt risico (transparantieplichten van artikel 50, zoals melden dat iemand met een chatbot praat en het labelen van synthetische content) en minimaal risico, waarvoor geen aanvullende eisen gelden. Dwars daardoorheen lopen de regels voor general-purpose AI: modellen voor algemene doeleinden, met extra verplichtingen bij systeemrisico.

Rollen: wie is wat in de keten

De verordening verdeelt de verplichtingen over rollen. De aanbieder (provider) ontwikkelt een AI-systeem of laat het ontwikkelen en brengt het onder eigen naam op de markt; op de aanbieder rusten de zwaarste eisen. De gebruiksverantwoordelijke (deployer) zet een AI-systeem onder eigen verantwoordelijkheid in binnen een professionele context. Daarnaast kennen de regels de importeur en de distributeur in de handelsketen. De meeste zorgorganisaties zijn gebruiksverantwoordelijke: zij kopen AI in en zetten die in binnen het zorgproces.

Cruciaal is de rolwissel: een gebruiksverantwoordelijke wordt zelf aanbieder wanneer hij een hoogrisicosysteem onder eigen naam of merk aanbiedt, er een substantiële wijziging in aanbrengt, of het beoogde doel zodanig wijzigt dat het systeem hoogrisico wordt. Een ziekenhuis dat een ingekocht model doortraint op eigen data en breed uitrolt, kan daarmee ongemerkt aanbiedersverplichtingen naar zich toe halen. Dit is een van de belangrijkste governancevragen bij elke AI-pilot: wie is hier juridisch de aanbieder, en blijft dat zo?

De verboden praktijken uitgediept

Artikel 5 verbiedt AI-praktijken die onaanvaardbaar zijn, ongeacht waarborgen. De belangrijkste: subliminale of doelbewust manipulatieve technieken die gedrag wezenlijk verstoren en schade (kunnen) veroorzaken; het uitbuiten van kwetsbaarheden vanwege leeftijd, handicap of sociaaleconomische situatie; social scoring die tot onevenredige of contextvreemde benadeling leidt; het voorspellen van crimineel gedrag uitsluitend op basis van profilering of persoonlijkheidskenmerken; het ongericht scrapen van gezichtsafbeeldingen voor herkenningsdatabanken; emotieherkenning op de werkplek en in het onderwijs, behoudens medische of veiligheidsredenen; biometrische categorisering naar gevoelige kenmerken zoals ras of geloofsovertuiging; en realtime biometrische identificatie op afstand in de openbare ruimte door rechtshandhaving, behoudens limitatieve uitzonderingen. Deze verboden gelden al sinds 2 februari 2025.

De Digital Omnibus voegt daar per 2 december 2026 een verbod aan toe op AI-systemen voor het genereren van niet-consensueel intiem beeldmateriaal en materiaal van seksueel kindermisbruik, inclusief zogenoemde nudify-apps. Voor de zorg is vooral de uitzondering bij emotieherkenning relevant: inzet om medische redenen, zoals het monitoren van pijn of stress bij patiënten, valt buiten het verbod, maar inzet op de werkvloer richting eigen personeel niet.

Hoogrisico: eisen aan het systeem en plichten van de gebruiker

Voor hoogrisicosystemen stelt de verordening eisen aan het systeem zelf, te borgen door de aanbieder: een doorlopend risicomanagementsysteem; eisen aan data en datagovernance (relevant, representatief, zo foutvrij en volledig mogelijk); technische documentatie en automatische logging; transparantie richting de gebruiksverantwoordelijke via een gebruiksaanwijzing; effectief menselijk toezicht; en passende nauwkeurigheid, robuustheid en cyberbeveiliging. Daarbovenop komen een kwaliteitsmanagementsysteem, conformiteitsbeoordeling, CE-markering en registratie in de EU-databank.

De gebruiksverantwoordelijke heeft eigen plichten (artikel 26): het systeem gebruiken volgens de gebruiksaanwijzing, menselijk toezicht beleggen bij mensen met de juiste competentie en het mandaat om in te grijpen, borgen dat de eigen inputdata relevant en representatief zijn, de werking monitoren en de aanbieder informeren bij risico’s of incidenten, logbestanden bewaren en, waar werknemers geraakt worden, hen vooraf informeren. Overheidsorganisaties en aanbieders van publieke diensten moeten voor bepaalde hoogrisicosystemen bovendien een grondrechteneffectbeoordeling (FRIA, artikel 27) uitvoeren, die goed te combineren is met de DPIA uit de AVG.

General-purpose AI

Voor aanbieders van GPAI-modellen gelden sinds 2 augustus 2025 eigen verplichtingen: technische documentatie opstellen en delen met afnemers, een beleid voeren voor de naleving van het Europese auteursrecht en een voldoende gedetailleerde samenvatting publiceren van de trainingsdata. Modellen met systeemrisico (zeer grote modellen) krijgen aanvullende plichten: modelevaluaties, het beperken van systeemrisico’s, incidentrapportage en adequate cyberbeveiliging. Voor zorgorganisaties is dit vooral indirect relevant: wie generatieve AI inkoopt, mag van de modelaanbieder deze basis verwachten en doet er goed aan die in contracten te verankeren. De praktische gedragscode voor GPAI-aanbieders ondersteunt de naleving.

Wat al geldt, en wat de Digital Omnibus verschuift

De oorspronkelijke fasering: per 2 februari 2025 de verboden praktijken en de AI-geletterdheidsplicht (artikel 4); per 2 augustus 2025 de GPAI-regels, de governance en het sanctiekader; per 2 augustus 2026 de hoogrisicoverplichtingen voor Annex III en de transparantieplichten; per 2 augustus 2027 Annex I. Die planning bleek niet houdbaar: geharmoniseerde normen en nationale toezichtstructuren liepen achter. De Commissie publiceerde daarom in november 2025 de Digital Omnibus on AI. Na een mislukte eerste triloog op 28 april 2026 volgde op 6 en 7 mei 2026 een politiek akkoord, op 16 juni 2026 de instemming van het Europees Parlement en op 29 juni 2026 het definitieve groene licht van de Raad. Publicatie in het Publicatieblad wordt vóór 2 augustus 2026 verwacht.

Annex III · hoog risico
Van 2 augustus 2026 naar 2 december 2027. De FRIA-verplichting van artikel 27 schuift mee. De data zijn vast en niet langer gekoppeld aan het gereedkomen van normen.
Annex I · ingebedde AI
Van 2 augustus 2027 naar 2 augustus 2028. Dit raakt onder meer AI in medische hulpmiddelen. Producten onder de Machineverordening worden grotendeels uitgezonderd en de definitie van veiligheidscomponent is versmald.
Artikel 50 · transparantie
Blijft 2 augustus 2026. Alleen de watermerkplicht van artikel 50, lid 2, krijgt voor systemen die vóór die datum al op de markt zijn een korte verlenging tot 2 december 2026.
Nieuw verbod
Verbod op AI-systemen voor het genereren van niet-consensueel intiem beeldmateriaal en materiaal van seksueel kindermisbruik, van toepassing per 2 december 2026.
Overig
Nationale AI-sandboxes verschuiven naar 2 augustus 2027; de AI-geletterdheidsplicht wordt verzacht tot het bevorderen en stimuleren van geletterdheid met proportionele maatregelen; er komt meer ruimte voor het gebruik van gevoelige gegevens bij biasdetectie.
Wat niet verandert. De architectuur van de verordening blijft intact: de verboden praktijken en de GPAI-regels gelden onverkort sinds 2025, en de inhoudelijke eisen aan hoogrisicosystemen zijn niet afgezwakt. De verschuiving koopt tijd voor normontwikkeling, geen vrijstelling. Bestaande sectorwetgeving (AVG, MDR, productaansprakelijkheid) geldt intussen gewoon.

Betekenis voor de zorg, en hoe je het aanpakt

Voor de zorg lopen drie sporen door elkaar. AI in medische hulpmiddelen, zoals diagnostische beeldanalyse of beslisondersteuning die als medisch hulpmiddel kwalificeert, valt via Annex I onder hoog risico zodra een notified body de conformiteit beoordeelt; die verplichtingen gelden per 2 augustus 2028, naast de MDR-eisen die al gelden (module 7). De omnibus bevat een mechanisme om dubbele eisen tussen AI Act en sectorwetgeving te beperken. Zelfstandige AI in bijvoorbeeld triage en de toeleiding naar spoedeisende hulp valt onder Annex III, per 2 december 2027. En generatieve AI in de zorgadministratie, zoals gespreksamenvattingen en automatische verslaglegging, raakt vooral aan de transparantieplichten van artikel 50 (per 2 augustus 2026) en aan de AVG. Nationaal flankeert de Aanpak AI in de Zorg uit het AZWA (module 2) deze Europese kaders.

Een werkbare aanpak voor een zorgorganisatie: leg een AI-register aan van alle systemen in gebruik en in pilots, inclusief schaduwgebruik; classificeer elk systeem naar risicocategorie en bepaal per systeem de eigen rol (gebruiksverantwoordelijke of, na wijzigingen, aanbieder); regel de transparantieplichten vóór 2 augustus 2026, want die verschuiven niet; veranker eisen aan aanbieders in inkoop en contracten; combineer FRIA en DPIA waar dat kan; en volg de publicatie van de omnibus en de geharmoniseerde normen richting 2 december 2027. Wie dit koppelt aan het bestaande ISMS (NEN 7510) en het AVG-verwerkingsregister, bouwt geen apart compliancebouwwerk maar breidt een bestaand fundament uit.

Behaald en gepland

1 augustus 2024 behaald
AI Act in werking
Verordening (EU) 2024/1689; start van de gefaseerde toepassing.
2 februari 2025 behaald
Verboden praktijken en AI-geletterdheid van toepassing
Eerste materiële verplichtingen voor aanbieders en gebruiksverantwoordelijken.
2 augustus 2025 behaald
GPAI-regels en governance van toepassing
Verplichtingen voor modellen voor algemene doeleinden, AI Office en sanctiekader.
november 2025 behaald
Commissievoorstel Digital Omnibus on AI
Voorstel tot uitstel en vereenvoudiging, na achterblijvende normontwikkeling.
29 juni 2026 behaald
Raad geeft definitief akkoord op de omnibus
Na het politieke akkoord van 6 en 7 mei en de EP-stemming van 16 juni; publicatie in het Publicatieblad volgt.
2 augustus 2026 doelstelling
Transparantieplichten artikel 50 van toepassing
Chatbot-melding en labeling van AI-content; watermerken voor bestaande systemen per 2 december 2026.
2 december 2026 doelstelling
Nieuw verbod op NCII- en CSAM-generatie
Aanbieders van beeldgeneratie moeten aantoonbare waarborgen hebben.
2 december 2027 doelstelling
Hoogrisicoverplichtingen Annex III
Zelfstandige hoogrisicosystemen, inclusief FRIA.
2 augustus 2028 doelstelling
Hoogrisicoverplichtingen Annex I
AI ingebed in gereguleerde producten, waaronder medische hulpmiddelen.
Module 7 · 240°

MDR

De verordening medische hulpmiddelen bepaalt wanneer software een medisch hulpmiddel is en welke eisen daaraan hangen. Voor zorg-ICT is dat geen randonderwerp: beslisondersteuning, beeldanalyse en veel AI-toepassingen vallen eronder, en de overgangstermijnen zijn na vaststelling tweemaal per verordening bijgesteld.

Leerdoelen
  • Je kent het doel, de reikwijdte en de risicoklassen van de MDR.
  • Je kunt bepalen wanneer software als medisch hulpmiddel kwalificeert en wat regel 11 doet.
  • Je kent de addenda: de verlengde overgangstermijnen (2023/607) en de EUDAMED-fasering (2024/1860).
  • Je kunt de samenloop met de EU AI Act uitleggen.

Kern van de verordening

Verordening (EU) 2017/745 trad op 25 mei 2017 in werking en is sinds 26 mei 2021 van toepassing (een jaar later dan gepland, vanwege de coronapandemie). De MDR vervangt de oude richtlijnen MDD en AIMDD en verscherpt de eisen fors: strengere klinische evaluatie, post-market surveillance, unieke identificatie (UDI) en registratie in de Europese databank EUDAMED. Voor in-vitrodiagnostiek geldt de zusterverordening IVDR (EU) 2017/746, van toepassing sinds 26 mei 2022.

Hulpmiddelen worden ingedeeld in risicoklassen: I (laag, zoals een rollator), IIa en IIb (middelhoog, zoals infuuspompen) en III (hoog, zoals implantaten). Vanaf klasse IIa, en voor bepaalde klasse I-varianten, beoordeelt een notified body de conformiteit voordat de CE-markering mag worden gevoerd. De fabrikant blijft verantwoordelijk voor het hele levensduurtraject, van technische documentatie tot vigilantie.

Software als medisch hulpmiddel

Software kwalificeert als medisch hulpmiddel wanneer de fabrikant er een medisch doel aan toekent: diagnose, preventie, monitoring, voorspelling, prognose of behandeling. Een agenda-app is dus geen hulpmiddel, maar software die op basis van patiëntdata een doseeradvies genereert wél. De classificatie loopt via regel 11 van bijlage VIII, die specifiek voor software is geschreven: software die informatie levert voor beslissingen met diagnostische of therapeutische doeleinden valt minimaal in klasse IIa, en hoger naarmate de mogelijke gevolgen van een verkeerde beslissing ernstiger zijn. Het praktische effect is dat vrijwel alle serieuze klinische beslisondersteuning onder toezicht van een notified body valt. De richtsnoer MDCG 2019-11 helpt bij de kwalificatie- en classificatievragen; voor de Nederlandse handhaving is de IGJ de toezichthouder.

Addenda: tweemaal bijgestelde overgangstermijnen

De MDR is na vaststelling twee keer per wijzigingsverordening aangepast, beide keren vanwege uitvoeringsproblemen. Verordening (EU) 2023/607 (maart 2023) verlengde de overgangstermijnen voor bestaande hulpmiddelen met een certificaat onder de oude richtlijnen, omdat de capaciteit van notified bodies structureel tekortschoot en producten dreigden te verdwijnen. De nieuwe uiterste data: 31 december 2027 voor klasse III en implanteerbare klasse IIb-hulpmiddelen, en 31 december 2028 voor overige klasse IIb, klasse IIa en klasse I-hulpmiddelen die een beoordeling nodig hebben. De verlenging geldt niet automatisch: de fabrikant moet onder meer tijdig (uiterlijk 26 mei 2024) een aanvraag bij een notified body hebben ingediend, een kwaliteitsmanagementsysteem voeren en mag geen significante wijzigingen in ontwerp of beoogd doel doorvoeren. De sell-off-deadline, die verkoop van reeds geleverde voorraad zou afkappen, is geschrapt.

Verordening (EU) 2024/1860 (juli 2024) regelde twee zaken: de gefaseerde en verplichte uitrol van EUDAMED, waarvan de eerste modules vanaf 2026 verplicht gebruikt moeten worden, en een vooraankondigingsplicht bij leveringsonderbrekingen: wie de levering van bepaalde kritieke hulpmiddelen staakt of onderbreekt, moet dat zes maanden vooraf melden. Daarnaast heeft de Europese Commissie de MDR en IVDR geëvalueerd en een gerichte herziening aangekondigd; een wetgevingsvoorstel wordt in de loop van 2026 verwacht. Volg dat dossier actief, maar reken er niet op: de geldende termijnen zijn die van 2023/607.

Samenloop met de AI Act. AI die als veiligheidscomponent van een medisch hulpmiddel fungeert, of zelf een hulpmiddel is dat door een notified body wordt beoordeeld, is hoogrisico-AI via Annex I van de AI Act. Die verplichtingen gelden per 2 augustus 2028 (na de Digital Omnibus, module 6), bovenop de MDR-eisen die nu al gelden. De omnibus bevat voorzieningen om dubbele beoordelingen te beperken, maar de fabrikant blijft aan beide kaders gebonden.

Behaald en gepland

25 mei 2017 behaald
MDR in werking
Verordening (EU) 2017/745 vervangt de richtlijnen MDD en AIMDD.
26 mei 2021 behaald
MDR van toepassing
Na een jaar corona-uitstel; de IVDR volgt op 26 mei 2022.
maart 2023 behaald
Addendum: Verordening 2023/607
Verlengde overgangstermijnen en schrappen van de sell-off-deadline.
26 mei 2024 behaald
Uiterste datum NB-aanvraag voor legacy-hulpmiddelen
Voorwaarde om van de verlengde termijnen gebruik te mogen maken.
juli 2024 behaald
Addendum: Verordening 2024/1860
EUDAMED-fasering en vooraankondiging bij leveringsonderbrekingen.
2026 doelstelling
EUDAMED-modules verplicht in gebruik; herzieningsvoorstel verwacht
Gefaseerde verplichtstelling van de eerste modules; de Commissie werkt aan een gerichte MDR/IVDR-herziening.
31 december 2027 doelstelling
Einde overgangstermijn klasse III en implanteerbaar IIb
Legacy-certificaten voor de hoogste risicoklassen verlopen definitief.
31 december 2028 doelstelling
Einde overgangstermijn overige klassen
Ook klasse IIb (niet-implanteerbaar), IIa en de beoordelingsplichtige klasse I-varianten zijn dan volledig MDR-gecertificeerd.
Module 8 · 280°

NEN 7510

De Nederlandse norm voor informatiebeveiliging in de zorg is in december 2024 grondig herzien en volgt nu de structuur van ISO/IEC 27001:2022. Gecertificeerde organisaties hebben tot 20 februari 2027 om over te stappen, en de norm is de natuurlijke invulling van de Cbw-zorgplicht.

Leerdoelen
  • Je kent de opbouw van NEN 7510-1 en 7510-2 en de relatie met ISO/IEC 27001, 27002 en 27799.
  • Je kent de belangrijkste wijzigingen van de herziening 2024, waaronder de VvT-aanscherping.
  • Je kent de transitietermijnen uit het certificatieschema NCS 7510:2025.
  • Je kunt de wettelijke verankering en de relatie met de Cyberbeveiligingswet uitleggen.

Opbouw en herziening

NEN 7510 bestaat uit twee delen. Deel 1 stelt de eisen aan een managementsysteem voor informatiebeveiliging (ISMS) en is het certificeerbare deel; deel 2 bevat de beheersmaatregelen en de bijbehorende implementatierichtlijnen voor de zorg. Op 16 december 2024 publiceerde NEN de herziene versies NEN 7510-1:2024 en NEN 7510-2:2024, die de editie van 2017 vervangen. De herziening brengt de norm in lijn met ISO/IEC 27001:2022 en 27002:2022 en verwerkt de zorgspecifieke laag die internationaal in ISO 27799 is belegd. De maatregelen zijn herordend van veertien hoofdstukken naar vier thema’s: organisatorisch, mensgericht, fysiek en technologisch. Ten opzichte van de oude editie zijn elf nieuwe ISO-maatregelen toegevoegd (waaronder dreigingsinformatie, cloudbeveiliging, dataleakpreventie en veilige configuratie) plus vijf zorgspecifieke maatregelen, opgenomen in bijlage B.

Een aanscherping die in de praktijk veel gevolgen heeft, zit in de Verklaring van Toepasselijkheid: de implementatierichtlijn van deel 2 is niet langer vrijblijvend. Wie een maatregel anders of niet invult, moet dat expliciet motiveren en aantonen dat het alternatief hetzelfde beveiligingsniveau biedt. Nieuw is ook bijlage E van deel 2, die de aansluiting beschrijft tussen NEN 7510 en de verplichtingen uit NIS2, precies op tijd voor de Cyberbeveiligingswet (module 5). De norm is voor de zorg gratis online te raadplegen via NEN.

Transitie en certificering

Voor certificering geldt het certificatieschema NCS 7510:2025, gepubliceerd op 20 februari 2025. Vanaf die datum mogen certificerende instellingen tegen de 2024-editie certificeren, en vanaf die datum loopt ook de transitieperiode van twee jaar: certificaten op de oude norm verliezen hun geldigheid na 20 februari 2027. Gecertificeerde organisaties moesten de nieuwe norm bovendien binnen een jaar na publicatie van het schema in hun ISMS hebben verwerkt. Wie de transitie plant, combineert die in de praktijk met de reguliere her- of tussentijdse audit, en begint bij een delta-analyse tussen de oude en nieuwe maatregelenset en een herziene VvT.

Wettelijke verankering en de norm-familie

NEN 7510 is zelf geen wet, maar de plicht om er aantoonbaar aan te voldoen is wettelijk verankerd: het Besluit elektronische gegevensverwerking door zorgaanbieders verplicht zorgaanbieders en zorgserviceproviders te voldoen aan NEN 7510 en aan de verwante normen NEN 7512 (vertrouwensbasis voor elektronische gegevensuitwisseling tussen partijen) en NEN 7513 (logging van acties op het elektronisch patiëntdossier, zodat achteraf herleidbaar is wie wanneer toegang had). De IGJ en de Autoriteit Persoonsgegevens betrekken de normen in hun toezicht. Voor veilige e-mail en chat met patiënten bestaat aanvullend NEN 7516. Certificering is dus niet overal verplicht, maar aantoonbaarheid wel; in aanbestedingen, in het AORTA-afsprakenstelsel en bij leveranciersketens wordt certificering in de praktijk vaak geëist.

Eén ISMS voor meerdere plichten. De slimme route voor een zorgorganisatie in 2026: gebruik de NEN 7510:2024-transitie als vehikel om tegelijk de Cbw-zorgplicht in te richten. Bijlage E legt de koppeling, de bestuurdersverantwoordelijkheid uit de Cbw sluit aan op de directieverantwoordelijkheid uit het ISMS, en de meldprocessen (Cbw-meldplicht, AVG-datalekken, vigilantie) kunnen in één incidentproces worden belegd.

Behaald en gepland

2017 behaald
NEN 7510:2017 gepubliceerd
De editie die jarenlang de standaard was voor informatiebeveiliging in de zorg.
16 december 2024 behaald
NEN 7510-1:2024 en 7510-2:2024 gepubliceerd
Herziening in lijn met ISO/IEC 27001:2022 en 27002:2022, met bijlage E over NIS2.
20 februari 2025 behaald
Certificatieschema NCS 7510:2025 gepubliceerd
Start van de tweejarige transitieperiode; certificeren tegen de nieuwe norm mogelijk.
december 2025 behaald
Nieuwe norm verwerkt in het ISMS
Termijn van één jaar na het schema voor gecertificeerde organisaties.
20 februari 2027 doelstelling
Einde transitie: oude certificaten ongeldig
Certificaten op NEN 7510:2017 verliezen hun geldigheid; de 2024-editie is de enige basis.
Module 9 · 320°

Gegevensuitwisseling in de praktijk

Wetten en normen landen uiteindelijk in infrastructuren, afsprakenstelsels en voorzieningen. Deze module verbindt de kaders uit de eerdere modules met de uitvoeringspraktijk: het LSP, Mitz, Twiin, Nuts, de generieke functies en de standaarden die eenheid van taal en techniek dragen.

Leerdoelen
  • Je kunt het interoperabiliteitsmodel van Nictiz gebruiken om uitwisselvraagstukken te ontleden.
  • Je kent de belangrijkste landelijke infrastructuren en afsprakenstelsels en hun rolverdeling.
  • Je kunt de zes generieke functies benoemen en aan concrete voorzieningen koppelen.
  • Je kent de standaarden voor eenheid van taal en techniek: zibs, FHIR, SNOMED CT en LOINC.

Interoperabiliteit in vijf lagen

Het interoperabiliteitsmodel van Nictiz ontleedt elke uitwisseling in vijf lagen: organisatiebeleid (afspraken tussen organisaties, wet- en regelgeving), zorgproces (wie heeft wat wanneer nodig), informatie (eenheid van taal), applicatie (systemen en koppelvlakken) en IT-infrastructuur (netwerken en beveiliging). Het model is meer dan een plaatje: het verklaart waarom techniek alleen nooit volstaat. Een perfect werkende koppeling zonder afspraken op de bovenste lagen levert geen werkende uitwisseling op, en dat is precies de les die in de NVS is verwerkt met het samenspel van vertrouwensstelsel, generieke functies en standaarden.

Landelijke infrastructuren en afsprakenstelsels

LSP · AORTA
Het Landelijk Schakelpunt, beheerd door VZVZ binnen het AORTA-afsprakenstelsel, verbindt duizenden zorgaanbieders voor onder meer medicatiegegevens, huisartswaarneemgegevens en ketenzorg. Het LSP slaat zelf geen medische gegevens op maar schakelt opvragingen; uitwisseling vereist uitdrukkelijke toestemming van de patiënt (opt-in) en een behandelrelatie, met logging conform NEN 7513.
Mitz
De landelijke online toestemmingsvoorziening: burgers leggen op één plek vast welke categorieën zorgaanbieders hun gegevens beschikbaar mogen stellen, en raadplegende systemen toetsen daar de toestemming. Mitz is de voorziening voor de generieke functie toestemming en een bouwsteen voor de overgang naar het EHDS-regime.
Twiin
Afsprakenstelsel voor het landelijk delen van beelden en documenten, gebouwd op onder meer XDS-netwerken. Twiin verbindt regionale uitwisselnetwerken tot een landelijk geheel en vormt een belangrijke basis voor het landelijk vertrouwensstelsel. Het DUO-project van VZVZ en VWS werkt aan duurzame, uniforme ontsluiting zodat aanbieders één keer aansluiten voor meerdere toepassingen.
Nuts
Open-source initiatief dat decentrale technische bouwstenen levert voor vertrouwen tussen systemen, zoals autorisatie en adressering, veel gebruikt in onder meer de VVT-sector. Nuts laat zien dat het landelijk dekkend netwerk geen één centraal systeem hoeft te zijn, maar een stelsel van gekoppelde netwerken.
Cumuluz
Initiatief vanuit umc’s en regio’s gericht op databeschikbaarheid, waarbij gegevens bij de bron blijven en via een gemeenschappelijke laag beschikbaar komen. Illustratief voor de beweging van uitwisselen naar beschikbaar stellen.
MedMij · PGO
Het MedMij-afsprakenstelsel regelt de veilige uitwisseling tussen zorgaanbieders en persoonlijke gezondheidsomgevingen. Samen met Mijn Gezondheidsoverzicht is dit de burgerkant van het stelsel, en het kanaal waarlangs EHDS-toegangsrechten praktisch vorm krijgen.

Generieke functies en eenheid van taal en techniek

De generieke functies zijn de voorzieningen die elke uitwisseling nodig heeft, ongeacht de zorgsoort: identificatie en authenticatie van zorgverleners en burgers (onder meer via UZI-middelen en DigiD, met vernieuwing richting decentraal uitgegeven authenticatiemiddelen zoals ZORG-ID), toestemming (Mitz), autorisatie (wie mag wat, op basis van rol en behandelrelatie) en lokalisatie en adressering (waar staan gegevens en hoe bereik je een systeem, met het Zorgadresboek ZORG-AB als landelijke adresseringsvoorziening). VWS werkt aan wettelijke aanwijzing van gemeenschappelijke voorzieningen voor deze functies, zodat non-concurrentiële onderdelen niet per sector opnieuw worden uitgevonden.

Eenheid van taal en techniek steunt op een compacte set standaarden. Zorginformatiebouwstenen (zibs) definiëren de inhoud van klinische concepten, zoals bloeddruk of medicatieafspraak. Voor de terminologie zorgen SNOMED CT (klinische begrippen) en LOINC (laboratoriumbepalingen en observaties). Voor de technische uitwisseling is HL7 FHIR de dominante standaard, die ook onder MedMij, de BgZ en de Europese uitwisselformaten van de EHDS ligt. Nictiz beheert de Nederlandse informatiestandaarden die deze bouwstenen per zorgproces samenbrengen, en diezelfde standaarden komen terug in de NEN-normen onder de Wegiz (module 3).

De rode draad van deze leeromgeving. Volg één uitwisseling, bijvoorbeeld het spoedproces tussen huisartsenpost en spoedeisende hulp, en je ziet alle modules samenkomen: de richtlijn gegevensuitwisseling spoedzorgproces (kwaliteitsstandaard), de Wegiz-aanwijzing acute zorg (wet), de informatiestandaard en zibs (taal), het LSP en de generieke functies (infrastructuur), NEN 7510-7513 (beveiliging), de Cbw (weerbaarheid) en straks de EHDS (Europese laag). Wie deze samenhang kan uitleggen, begrijpt het stelsel.

Behaald en gepland

doorlopend behaald
LSP operationeel als landelijke uitwisselinfrastructuur
Medicatie-, waarneem- en ketenzorggegevens binnen het AORTA-afsprakenstelsel.
2023 – 2025 behaald
Opschaling Mitz en Twiin
Toestemmingsvoorziening en beeld- en documentuitwisseling groeien naar landelijke dekking; programma’s als Versneld Verbinden jagen aansluiting aan.
medio 2026 behaald
Start uitrol tijdelijke landelijke oplossing radiologiebeelden
Vooruitlopend op de verplichting beeldbeschikbaarheid (module 3).
eind 2026 doelstelling
Basis landelijk dekkend netwerk en generieke functies gereed
Portfoliohuis plateau 1 van de NVS (module 1), inclusief vertrouwensstelsel en eenheid van taal en techniek.
2027 – 2029 doelstelling
Invlechting in het EHDS-regime
Toestemmings- en toegangsvoorzieningen bewegen mee met de opt-outsystematiek en de Europese uitwisselformaten.