1. Wet kwaliteitsregistraties zorg treedt 1 januari 2026 in werking
In november schreven we al dat de Wet kwaliteitsregistraties zorg op 18 november 2025 is aangenomen en daarmee de wijziging van de Wkkgz definitief is. Bij besluit van 26 november 2025 is intussen vastgelegd dat de wet in werking treedt op 1 januari 2026. De gehele wet treedt in werking met uitzondering van artikel I, onderdeel Ab, en artikel IA. Artikel IA regelt de opt-outregeling; deze treeft pas op 1 januari 2027 in werking. Vanaf dat moment moeten patiënten vooraf geïnformeerd worden over de mogelijkheid tot bezwaar maken tegen het delen van hun gegevens voor kwaliteitsregistraties en mogen gegevens alleen worden verstrekt als er geen bezwaar is gemaakt.
2. Gebruik van gezondheidsgegevens in AI-datasets in uitzonderlijke gevallen mogelijk.
Afgelopen maand presenteerde de Europese Commissie de Digitale Omnibus. Dit voorstel wijzigt verschillende Europese regels op het gebied van technologie, digitalisering en privacy. Eén van de onderdelen gaat over het trainen van AI-systemen met bijzondere persoonsgegevens, zoals gezondheidsgegevens. Het uitgangspunt blijft dat het gebruik van dit soort gegevens zoveel mogelijk moet worden vermeden. Als ze toch terechtkomen in trainings-, test- of validatiedata én verwijdering niet goed mogelijk is, biedt het voorstel onder strikte voorwaarden ruimte om die persoonsgegevens te verwerken. Toestemming van betrokkenen is dan niet nodig, maar de persoonsgegevens mogen niet worden gebruikt om output van het AI-systeem te genereren en mogen ook niet openbaar worden gemaakt. Kortom: het gebruik van bijzondere persoonsgegevens in datasets van AI-systemen blijft in principe niet toegestaan, maar in uitzonderlijke situaties ontstaat er nu iets meer ruimte. Terughoudendheid blijft daarbij het uitgangspunt.
3. MDR komt met een update: wat betekent dit voor medische software?
De Europese Commissie heeft op 16 december een wetsvoorstel gepresenteerd om de Medical Device Regulation (MDR) te vereenvoudigen. Daarmee wil zij tegemoetkomen aan de kritiek dat de huidige regels in de praktijk vaak complex en belastend zijn, vooral voor ontwikkelaars van medische software, beslisondersteunende systemen en AI-toepassingen in de zorg. Het uitgangspunt van het voorstel is om de regelgeving beter te laten aansluiten op de manier waarop medische hulpmiddelen tegenwoordig worden ontwikkeld en gebruikt, zonder concessies te doen aan de veiligheid van patiënten.
Een belangrijk onderdeel van het voorstel is dat de vaste geldigheidsduur van het CE-certificaat komt te vervallen. In plaats daarvan zullen notified bodies periodiek en op basis van risico’s beoordelen of een hulpmiddel nog aan de eisen voldoet. Tegelijkertijd worden verschillende verplichtingen minder rigide vormgegeven. Zo zijn PSUR’s, incidentmeldingen en klinische evaluaties alleen nog vereist wanneer er daadwerkelijk nieuwe of relevante informatie beschikbaar is. Ook krijgt EUDAMED een centralere rol als platform voor registratie en meldingen, waaronder voortaan ook cyberincidenten vallen. Daarnaast wordt de definitie van klinische data verruimd, zodat niet alleen peer-reviewed studies, maar ook data uit post-market surveillance kunnen worden gebruikt.
Tot slot zet het voorstel in op betere afstemming tussen de MDR, de IVDR en de AI Act. Daarmee moet overlap in verplichtingen worden verminderd en ontstaan duidelijkere certificeringstrajecten voor AI-software, bijvoorbeeld door het mogelijk maken van gecombineerde audits. Ook enkele praktische knelpunten worden aangepakt, zoals de eisen rond het aanstellen van een PRRC en het hergebruik van persoonsgegevens voor onderzoeksdoeleinden. Het voorstel sluit aan bij de recente inzet van de Europese Commissie om regelgeving voor bedrijven toegankelijker, eenvoudiger en praktischer toepasbaar te maken.
Update Cyberbeveiligingswet - zorgsector
De internetconsultatie over de Cyberbeveiligingsregeling voor de zorg is gesloten. In de periode van 10 november tot en met 21 december 2025 konden zorgorganisaties en andere belanghebbenden reageren op de concepttekst. De consultatiereacties zijn openbaar en worden door het ministerie van VWS beoordeeld. Na beoordeling worden de consultatiereacties verwerkt in de regeling.
Om de digitale weerbaarheid van vitale sectoren, waaronder de zorg, binnen de Europese Unie te vergoten, is de NIS2-richtlijn vastgesteld. In Nederland wordt deze richtlijn vertaald naar nationale regels via de Cyberbeveiligingswet (Cbw) en het Cyberbeveiligingsbesluit, een algemene maatregel van bestuur (AMvB). Voor de zorgsector (maar ook voor andere sectoren) wordt dit kader verder uitgewerkt in een ministeriële regeling. De betreffende regeling werkt uit wanneer zorgorganisaties verplicht zijn om een cyberincident te melden, welke drempelwaarden daarbij gelden en wie de toezichthouder en het CSIRT (Computer Security Incident Response Team) voor de zorgsector wordt.
Parallel aan dit traject is ook het concept van het Cyberbeveiligingsbesluit op 5 december 2025 ter advisering voorgelegd aan de afdeling Advisering van de Raad van State.
Het is de verwachting dat de Cyberbeveiligingswet, inclusief de bijbehorende AMvB en ministeriële regelingen in het tweede kwartaal van 2026 in werking treedt.
