ikbenlit logo
Voor Zorg, Overheid & Onderwijs ICT

EU AI Act compliance voor Zorg, Overheid & Onderwijs

Van AP audit tot aanbesteding: alles wat je nodig hebt om AI in de publieke sector, zorg en onderwijs compliant te krijgen. Zonder je team te overbelasten.

Privacy-first methodologiesISO 27001 aligned300+ zorginstellingen, gemeenten & onderwijsinstellingen
EPD Dashboard - AI Modules
AI Studieadvies Module - Risk Assessment compleet
AI Diagnostiek - AI Act compliance check
Planning AI - AP audit voorbereiding
Logging pipeline - Vendor assessment

Herkenbaar? Deze zorgen hoor ik vaak van ICT-managers in de publieke sector, zorg en onderwijs

"De AP komt auditen - zijn we auditproof?"

De Autoriteit Persoonsgegevens (AP) houdt toezicht op AI. De EU AI Act voegt een nieuwe, complexe laag van compliance toe. Persoonlijke bestuurdersaansprakelijkheid bij incident.

"Onze EPD/SIS/LMS leverancier heeft AI modules - wie is verantwoordelijk?"

EPD, SIS of LMS leveranciers rollen AI uit (denk aan studievoortgang-analyse, plagiaatdetectie of GPT-integraties). "Provider" vs "Deployer" rol onduidelijk. Vendor zegt "wij zijn compliant" - maar ben ík dat ook?

"Aanbesteding EPD/SIS/LMS met AI - wat in bestek opnemen?"

EU aanbestedingsrichtlijnen + AI Act eisen. Hoe specificeer ik compliance in tender? Vendor selection criteria voor AI? Contractvoorwaarden: incident verantwoordelijkheid?

"Legacy systemen 15 jaar oud - hoe compliant maken?"

Bestaand EPD/SIS/LMS = black box (geen API, logging). Vendor support beperkt. Geen budget voor grote migratie. Pragmatische "wrapper" oplossingen?

Goed nieuws: EU AI Act compliance hoeft je team niet te blokkeren. Met de juiste aanpak bouw je op je bestaande werk.

Wat je krijgt: Praktische compliance tools

Geen 60-pagina rapporten. Geen vage frameworks. Praktische tools voor de publieke sector, zorg en het onderwijs.

📊

Excel matrix ISO 27001 ↔ EU AI Act mapping

NEW!

ISO 27001 + EU AI Act Crosswalk Matrix

Excel matrix mapping ISO 27001 controls ↔ EU AI Act requirements. Veel overlap geïdentificeerd. Gap analysis wat nieuw is.

  • Integrated checklist (niet 2x werk)
  • Auditor-approved format
  • Pre-built gap analysis formulas
NEW!

AP Audit Preparation Checklist

15 documenten die de AP vraagt bij een AI-audit. Template voor elk document included.

  • Aantoonbare waarborgen voor gebruikers
  • Incident response plan (AP-proof)
  • Risk assessment format (High-Risk AI)
📋

AP audit checklist

📄

Word bestek template

NEW!

Aanbestedingstekst Template EU AI Act

Ready-to-use bestek paragrafen voor EPD/SIS/LMS aanbesteding. Vendor selection criteria + contractvoorwaarden.

  • EU aanbestedingsrichtlijnen compliant
  • AI compliance = gunningscriterium clausule
  • Verantwoordelijkheidsverdeling provider/deployer
NEW!

Vendor Assessment Scorecard

Beoordeling van leveranciers zoals ChipSoft, SAP, Topicus of Microsoft. Provider vs Deployer rol-verdeling check.

  • Contractuele compliance garanties review
  • Incident verantwoordelijkheid matrix
  • SLA compliance monitoring eisen
📊

Vendor scorecard

🏗️

Architecture diagram

Legacy System Compliance Wrapper Guide

Pragmatische aanpak voor 15+ jaar oude EPD/SIS/LMS systemen. Logging/monitoring zonder big bang migratie.

  • API-wrapper patterns voor black-box systems
  • "Good enough" compliance strategie
  • Vendor pressure templates (contractual eisen)
NEW!

WOO-proof AI Documentation Framework

Wet Open Overheid: wat mag je delen? Privacy balans guidance + B1-taal templates.

  • Burger/student-begrijpelijke AI uitleg templates
  • Privacy redactie guidelines
  • Proactieve transparantie formats
📚

Documentation template

Onderwijs Case Study

Universiteit: AI-gedreven studievoortgang-monitoring compliant in 10 weken

Grote universiteit (20.000+ studenten) gebruikt AI om studievoortgang te monitoren en risico op uitval te voorspellen. AP heeft vragen gesteld over de rechtmatigheid en transparantie van het systeem.

Challenge:

  • ❌ Bestaand SIS-systeem (Osiris) met nieuwe AI-module
  • ❌ Onduidelijkheid over "high-risk" classificatie onder de EU AI Act
  • ❌ AP vraagt: "Hoe waarborgen jullie de rechten van studenten?"
  • ❌ IT-team kent de AVG, maar EU AI Act is nieuw
10 weken
€75K total cost
AP: geen opmerkingen
"De ISO 27001 crosswalk was cruciaal. We voldeden al aan veel, maar de AI-specifieke eisen hadden we gemist. De AP was tevreden, en we kunnen nu aantonen dat we de rechten van studenten waarborgen."

— IT Manager, Universiteit (20.000+ studenten)

Solution Timeline:

Week 1-2: ISO 27001 crosswalk → gap analysis (4 nieuwe eisen)
Week 3-5: Vendor assessment → contractuele compliance garantie
Week 6-8: Logging pipeline (wrapper om SIS)
Week 9-10: AP audit prep → documentatie compleet

Outcome:

  • ✅ AP audit: geen opmerkingen
  • ✅ AVG + EU AI Act beide compliant
  • ✅ €75K total cost (vs €250K consultants quote)
  • ✅ Vendor verantwoordelijkheid contractueel helder

Typische implementaties voor ICT teams

Compliance in CI/CD

Pre-commit hooks voor AI model checks, automated compliance tests in pipeline, geen deploy zonder checks.

Real-time monitoring

ELK stack setup voor AI logging, alerting op bias detection, Grafana dashboards voor leadership.

Data governance

Training data versioning, lineage tracking, automated PII detection in datasets.

Veelgestelde vragen van ICT-managers

Hoe combineer ik ISO 27001 en EU AI Act compliance?

De ISO 27001 Crosswalk Matrix toont exact welke controls overlappen en wat nieuw is in de EU AI Act. De meeste organisaties implementeren beide met 1 geïntegreerde checklist.

Onze leverancier heeft AI modules - wie is verantwoordelijk bij een incident?

Jij bent de "deployer", zij zijn de "provider" onder de EU AI Act. De provider moet een systeem compliant leveren, jij moet het correct gebruiken én monitoren. De Vendor Assessment Scorecard in de kit helpt om verantwoordelijkheden contractueel vast te leggen.

De AP komt ons auditen - welke documenten moeten klaar zijn?

De AP Audit Prep Checklist bevat de exacte lijst (15 docs). Essentieel: (1) Risk assessment, (2) Waarborgen voor gebruikers, (3) Incident logging, (4) Monitoring dashboards, (5) Escalatie procedures. Template voor elk document in de kit.

We hebben een aanbesteding voor een nieuw systeem met AI - wat moet in het bestek?

De Template Aanbestedingstekst bevat ready-to-use paragrafen. Minimaal: (1) EU AI Act compliance eis, (2) Vendor rol (provider/deployer), (3) Incident verantwoordelijkheid, (4) Logging/monitoring eisen, (5) Audit rights. Compliance = gunningscriterium.

Budget is beperkt (publiek geld, geen dure consultants) - wat is minimaal nodig?

Gefaseerde aanpak: Quick wins €0 (templates), Basic compliance €30-50K (self-service met onze templates + 5 dagen hands-on hulp), Volledig €100-150K (complexe legacy systemen). Business case template voor management/bestuur included.

Ons legacy systeem is 15+ jaar oud - hoe maak ik dat compliant zonder migratie?

De Legacy Wrapper Guide toont pragmatische approaches: (1) Logging via API-wrapper, (2) Monitoring add-on, (3) Documentatie (als source unavailable), (4) Vendor pressure (contractuele compliance eisen). "Good enough" compliance voor oude systemen. Migratie is plan B.

Wat kost jullie hands-on implementatie hulp (als nodig)?

€1.200/dag (publieke sector tarief) of fixed-price per AI-systeem (€3-8K afhankelijk complexiteit). ISO 27001 + EU AI Act integrated approach (niet 2x betalen). Eerste 30-min consult gratis. Verantwoording support voor management/bestuur included.

Klaar om compliance in je sprint te krijgen?

Bespreek jouw situatie voor hands-on hulp.

✓ Geen verplichtingen • ✓ Reactie binnen 24 uur