AI Act
Transparantieverklaring.

Hysio is provider in de zin van AI Act art. 3 lid 3. Hysio ontwikkelt het Hysio Platform, brengt het onder eigen merk in de handel via app.hysio.nl en biedt het via abonnementen aan. Hysio draagt de provider-verplichtingen die voortvloeien uit de classificatie waarin Hysio's AI-systemen vallen (zie hoofdstuk 3).

De fysiotherapeut of de praktijk is deployer (gebruiksverantwoordelijke) in de zin van AI Act art. 3 lid 4. De deployer gebruikt het AI-systeem onder eigen verantwoordelijkheid binnen de behandelrelatie en blijft eindverantwoordelijk voor de klinische beslissingen die op basis van AI-output worden genomen. Omdat Hysio niet high-risk is, gelden de formele art. 26-verplichtingen niet als rechtstreeks bindend, maar Hysio volgt de beginselen ervan als contractueel verankerde gedragsnorm. Een deployer-handvat met de best-practice-aanbevelingen die Hysio als principe hanteert voor verantwoorde inzet van het Platform door de fysio-Verantwoordelijke staat verspreid in deze verklaring opgenomen, conform Algemene Voorwaarden v3.6 art. 8.4.

Hysio is downstream provider, geen GPAI-provider in de zin van AI Act art. 3 lid 63. Google LLC levert het GPAI tekstgeneratie-model; Groq Inc. exploiteert het GPAI spraak-naar-tekst-model. Specifieke modelversies en endpoints staan in Verwerkersovereenkomst Bijlage 3. Hysio integreert deze modellen via API zonder fine-tuning of substantiële modificatie. OpenAI Inc. is technisch aanwezig in de codebase als configureerbare per-workflow-fallback. Per 4 mei 2026 wordt OpenAI niet gebruikt voor productie-verwerking; alleen Google's tekstgeneratie-model wordt productioneel ingezet voor tekstgeneratie. Activatie van OpenAI voor een live klant-workflow vereist sub-verwerker-disclosure conform Verwerkersovereenkomst v3.6 art. 11 lid 7, een TIA-update en notificatie aan de Verantwoordelijke met dertig (30) dagen bezwaarmogelijkheid. Importeur en distributeur (AI Act art. 3 leden 6 en 7) zijn niet aan de orde: Hysio brengt het Platform direct in de Europese Unie in de handel onder eigen naam vanuit Nederland. De rolverdeling is contractueel verankerd in de Algemene Voorwaarden v3.6 en de Verwerkersovereenkomst v3.6.

Het Hysio Platform bestaat uit een Next.js 16-frontend, een Laravel 12-backend en API-integraties met externe AI-modellen. De inventaris hieronder beschrijft de hoofdcategorieën van live workflows met AI-component, met expliciete Annex III-toetsing per workflow én een risk-tier ten behoeve van klant-DPIA's.

Productie-modelversies en API-eindpunten. Voor tekstgeneratie integreert Hysio een AI-tekstgeneratiemodel van Google LLC via de Google AI Studio API; voor audio-transcriptie integreert Hysio een spraak-naar-tekst-model van Groq Inc. De actuele modelversies, API-eindpunten en account-tiers staan in Bijlage 3 van de Verwerkersovereenkomst v3.6 én in het Subprocessor Register v1.0. Het Subprocessor Register vormt de evidence-anchor: bij elke wijziging van model-versie of account-tier wordt het Register binnen veertien (14) dagen geactualiseerd, zonder dat een doc-bump van deze verklaring vereist is mits de wijziging niet als materieel kwalificeert. Deze categorische presentatie volgt AVG art. 13 lid 1 sub e en AI Act art. 50 lid 1.

Datum activering live workflows: 18 februari 2026. De Klinimetrie-module zit in archief en is niet live, niet op de productroadmap. Een Pre-Intake-functionaliteit (patiënt zelf-invoer met AI-triage) staat eveneens niet op de roadmap. Componenten zonder AI (gebruikersbeheer, abonnementen, factuurgeneratie, deterministische formulier-logica) vallen buiten de definitie van AI Act art. 3 lid 1 en zijn niet opgenomen.

6.1 Definitie

AI Act art. 3 lid 63 definieert een general-purpose AI-model (GPAI) als een AI-model dat aanzienlijke algemeenheid vertoont en in staat is een breed scala aan taken competent uit te voeren, ongeacht de wijze waarop het in de handel wordt gebracht. Foundation-modellen zoals Gemini en Whisper voldoen aan deze definitie.

6.2 GPAI-modellen die Hysio integreert

• GPAI tekstgeneratie van Google LLC. Hysio integreert een Large Language Model van Google LLC voor alle tekstgeneratie-workflows in productie. Hysio gebruikt een betaalde tier van Google AI Studio waarin Google modeltraining op klantdata contractueel uitsluit. Het API-eindpunt en de account-tier-evidence (Google AI Studio billing-bevestiging, no-training-instelling) staan in Bijlage 3 van de Verwerkersovereenkomst v3.6 én in het Subprocessor Register v1.0. Bij een materiële wijziging van model-versie of account-tier wordt het Register geactualiseerd en, indien materieel, deze verklaring binnen 30 dagen gebumpt.
• GPAI spraakherkenning van Groq Inc. Hysio integreert een spraak-naar-tekst-model gehost door Groq Inc., uitsluitend voor transcriptie van consult-audio in de Medical Scribe-workflow. Hysio heeft op het Groq-account Global Zero Data Retention geactiveerd; Groq bewaart inputs en outputs niet na verwerking. De Groq Console-evidence (organisatie-instelling ZDR-activatie) staat in Bijlage 3 van de Verwerkersovereenkomst v3.6.
• GPAI tekstgeneratie van OpenAI Inc. (configureerbaar in codebase, niet voor productie-verwerking per 4 mei 2026). OpenAI is technisch aanwezig in de codebase als configureerbare per-workflow-fallback. Per 4 mei 2026 wordt OpenAI niet gebruikt voor productie-verwerking; alleen Google's tekstgeneratie-model wordt productioneel ingezet voor tekstgeneratie. Activatie van OpenAI voor een live klant-workflow vereist sub-verwerker-disclosure conform Verwerkersovereenkomst v3.6 art. 11 lid 7, een TIA-update, OpenAI Data Processing Addendum-verificatie en notificatie aan de Verantwoordelijke met dertig (30) dagen bezwaarmogelijkheid. Hysio publiceert binnen tien (10) werkdagen na elke activatie van OpenAI voor een live klant-workflow een addendum bij deze verklaring met de getroffen workflow(s), de relevante OpenAI-modelversie en de doorgifte-grondslag (DPF-status verifieerbaar via dataprivacyframework.gov/list, met SCCs Module 3 als subsidiaire grondslag).

6.3 Provider versus downstream provider

Volgens AI Act art. 25 blijft een downstream provider downstream zolang deze het GPAI niet substantieel modificeert of onder eigen merk in de handel brengt zonder duidelijke attributie van het onderliggende model. Hysio doet geen fine-tuning, geen aanvullende training, en gebruikt de modellen via API met system-prompts die het toepassingsdomein afbakenen. Hysio attribueert in deze verklaring expliciet aan Google en Groq als GPAI-providers en beschrijft de modelversies in Bijlage 3 van de Verwerkersovereenkomst v3.6.

De Hysio system-prompt voorkomt dat het model zelf-attributies geeft, omdat foundation-modellen bekend staan om onbetrouwbare zelf-identificatie: een Gemini-model kan in output ten onrechte zichzelf als "GPT" of "Claude" aanduiden, of een verouderde modelversie noemen die niet de feitelijk aangeroepen versie is. Deze beperking dient datakwaliteit en accuraatheid, niet commerciële verhulling. Transparantie naar de gebruiker over de daadwerkelijke modelkeuze geschiedt via deze verklaring, de Privacyverklaring v3.6 §7, Bijlage 3 van de Verwerkersovereenkomst v3.6 en interface-cues in het Platform. Modelversies en provider-identiteit zijn op elk moment opvraagbaar via legal@hysio.nl.

6.4 GPAI-providerverplichtingen (Google en Groq) en monitoring-cadans

Op grond van AI Act art. 53 dragen Google en Groq als GPAI-providers verplichtingen ten aanzien van technische documentatie (Annex XI), informatie aan downstream providers (Annex XII), respect voor tekst- en data-mining-rechten en publieke samenvatting van trainingsdata-categorieën.

Voor GPAI-modellen die een aanzienlijk systemic-risk-niveau bereiken (vermoeden bij cumulatieve trainings-compute boven 10^25 FLOP) gelden aanvullende verplichtingen op grond van AI Act art. 55: modelevaluaties, red-teaming, systemic-risk-beoordeling, incident-rapportage, cybersecurity. Aanwijzing geschiedt door het AI Office. Vanaf 2 augustus 2025 zijn deze GPAI-verplichtingen operationeel.

Operationele monitoring-cadans (kwartaal-cyclus). De compliance-rol toetst kwartaalmatig vier dimensies:

1. Provider-versie-updates: wijzigingen aan onze AI-tekstgeneratie en spraak-naar-tekst sub-verwerkers via provider-developer-changelogs (Google AI en Groq) en bijbehorende model-cards/system-cards.
2. DPF-status: verificatie via dataprivacyframework.gov/list of Google nog gecertificeerd is onder het EU-US Data Privacy Framework; bij Groq nagaan of de SCCs Module 3-grondslag ongewijzigd is.
3. GPAI Code of Practice updates: publicaties van het AI Office over de definitieve General-Purpose AI Code of Practice (10 juli 2025) en eventuele addenda, alsmede de Code of Practice on marking and labelling (eerste draft 17 december 2025, finalisatie gepland juni 2026).
4. AI Office guidance: publicaties van het AI Office, de Europese Commissie, AP, RDI en IGJ die de classificatie of het GPAI-regime raken.

Materiële divergentie leidt tot een entry in het AI Risk Register v1.0 binnen 14 werkdagen en, indien gepasseerd door de risk-treshold-tabel, tot een doc-bump van deze verklaring binnen 30 dagen. Bijlage 3 van de Verwerkersovereenkomst v3.6 wordt onafhankelijk van de doc-bump geactualiseerd zodra nieuwe documentatie beschikbaar komt.

Materiële versie- en tier-drempeltabel. Onderstaande tabel geeft welke wijziging welke notificatie-route triggert.

6.5 Code of Practice (AI Act art. 56) en vrijwillige register-declaratie

De Europese Commissie heeft op 10 juli 2025 de definitieve General-Purpose AI Code of Practice gepubliceerd; op 18 juli 2025 zijn de Guidelines for providers of general-purpose AI models gepubliceerd. Deze Code en Guidelines vergemakkelijken conformiteit met AI Act art. 53 tot en met 55 voor GPAI-providers. Handhaving voor nieuwe GPAI-modellen geldt vanaf 2 augustus 2026; voor bestaande modellen vanaf 2 augustus 2027.

Hysio is downstream provider en geen GPAI-provider zelf. De Code of Practice richt zich primair op Google en Groq; Hysio's rol is via AI Act art. 25 (verplichtingen van downstream providers van AI-systemen die op een GPAI worden gebaseerd) en art. 53 lid 1 (informatie-eisen die GPAI-providers naar downstream moeten leveren). Hysio monitort actief of Google en Groq de Code of Practice volgen en passende downstream-informatie leveren via Annex XI/XII en de uit de Guidelines voortvloeiende model-cards en system-cards.

Voor vrijwillige declaratie als downstream provider en deployer monitort Hysio of het AI Office, de Europese Commissie of de Nederlandse coördinerende toezichthouder een register opent waarin niet-GPAI-providers zich vrijwillig kunnen aanmelden. Hysio zal zich aanmelden zodra een dergelijk kanaal wordt geopend, omdat een vrijwillige registratie het transparantie-signaal richting gebruiksverantwoordelijken, patiënten en toezichthouders ondersteunt en downstream-onderbouwing van compliance vergemakkelijkt.

Voor copyright-respect onder GPAI Code of Practice §II.1 (Copyright Compliance): Hysio gebruikt geen klant-content of patiëntdata voor training van eigen of externe modellen; Hysio verwerkt geen GPAI-output op een wijze die copyright-claims van derden zou schenden. De volledige copyright-policy en licentie-positie ten aanzien van KNGF-richtlijnteksten en DCSPH-codes staat in het IP/License Memo v1.0.

Hysio beheert de keten met GPAI-providers actief.

Google LLC (Mountain View, VS). Levert het tekstgeneratie-model via de AI Studio API, betaalde Tier 1, geen modeltraining op klantdata. Specifieke modelversie en endpoint zie DPA Bijlage 3. Doorgifte rust op het EU-US Data Privacy Framework (Uitvoeringsbesluit (EU) 2023/1795); Google is op dataprivacyframework.gov/list gecertificeerd. Subsidiair gelden de SCCs 2021/914 Module 3 in Google's Cloud Data Processing Addendum.

Groq Inc. (Mountain View, VS). Exploiteert het spraak-naar-tekst-model. Specifieke modelversie en endpoint zie DPA Bijlage 3. Groq is op datum publicatie niet DPF-gecertificeerd. Doorgifte rust op de SCCs 2021/914 Module 3 in de Groq Customer Data Processing Addendum, plus Transfer Impact Assessment v1.0 conform EDPB Recommendations 01/2020. Global Zero Data Retention is op het Groq-account geactiveerd.

OpenAI Inc. (San Francisco, VS, configureerbaar in codebase, per 4 mei 2026 niet voor productie-verwerking). OpenAI is technisch aanwezig in de codebase als configureerbare per-workflow-fallback. Per 4 mei 2026 wordt OpenAI niet gebruikt voor productie-verwerking; alleen Google's tekstgeneratie-model wordt productioneel ingezet voor tekstgeneratie. Activatie vereist sub-verwerker-disclosure-procedure conform Verwerkersovereenkomst v3.6 art. 11 lid 7, OpenAI Data Processing Addendum-verificatie, TIA-update en notificatie aan de Verantwoordelijke met dertig (30) dagen bezwaarmogelijkheid.

Specifieke modelversies en endpoints staan in Verwerkersovereenkomst Bijlage 3.

Voor alle providers inventariseert Hysio kwartaalmatig de GPAI-compliance onder art. 53-55, voert bij elke nieuwe modelversie een impact-analyse op kwaliteit, hallucinatie-risico, bias en veiligheid uit (gedocumenteerd in het AI Risk Register v1.0), en communiceert wijzigingen in sub-verwerker-locatie of retentie-praktijk via de changelogs van Privacyverklaring v3.6 en Verwerkersovereenkomst v3.6.

AI Act art. 9 stelt eisen aan een AI risk management system voor high-risk-systemen. Hysio is niet high-risk en is daarmee niet verplicht een formeel AI risk management system te onderhouden. In de praktijk hanteert Hysio het zelfstandige AI Risk Register v1.0 als gestructureerde uitwerking van de geïdentificeerde risico's (transcriptiefouten, hallucinaties, omissions, verkeerde medische terminologie, prompt-injection, privacy-leakage, verkeerde toon, bias bij accenten en dialecten, meersprekersproblemen, modelwijzigingen) met mitigerende maatregelen en eigenaars. Het Register is intern beheerd en op aanvraag beschikbaar voor enterprise-klanten via legal@hysio.nl onder geheimhoudingsplicht. Het Register is opgesteld in lijn met ISO/IEC 23894 (AI risk management) en het NIST AI Risk Management Framework.

10.1 Per-workflow-risicoanalyse

Voor elke workflow is in samenhang gedocumenteerd: (i) inputbeschrijving via interne backend-documentatie, (ii) AI-modeloutput-structuur in workflow-templates, (iii) bekende foutmodi en hun impact in het MDR Positiedocument v3.6 hoofdstuk 7 (function-creep-tabel) en in het AI Risk Register v1.0, en (iv) menselijke review-stap via de Platform-UI. Een formeel FMEA-document (Failure Mode and Effects Analysis volgens ISO/IEC 23894) per workflow is gepland voor Q4 2026 tot Q1 2027 als onderdeel van het ISO 27001-traject; tot die formalisering geldt de combinatie van AI Risk Register v1.0, system-prompt-restricties, Prompt/Version-Control Policy v1.0 en MDR Positiedocument v3.6 §7.2-tabel als gedocumenteerde risicoanalyse.

10.2 Model-keuze

Hysio kiest voor modellen met een sterke documentatie- en governance-track-record (Gemini, Whisper) en vermijdt experimentele modellen in productie. Bij modelwisseling wordt vooraf een impact-analyse uitgevoerd op kwaliteit, hallucinatie-risico, bias en veiligheid, conform de Prompt/Version-Control Policy v1.0 en de drempeltabel uit hoofdstuk 6.

10.3 System-prompt-design en governance

System-prompts beperken het model expliciet tot het rapporteren van wat in de input is gezegd en sluiten klinische advisering of diagnose uit. De system-prompts worden bij elke materiële wijziging opnieuw beoordeeld op overeenstemming met het beoogd doeleinde van administratieve assistentie zonder klinische functie. De zelfstandige Prompt/Version-Control Policy v1.0 legt formeel vast: wie prompts mag wijzigen, review-procedure door compliance-rol, testset, rollback, changelog, MDR/AI Act-triggercheck per wijziging, output-validation en release notes.

10.4 Gebruikersinterface-controle

Het Platform forceert menselijke review (zie hoofdstuk 12) en biedt feedbackknoppen voor onjuiste transcriptie of ongewenste output. AI-output blijft concept totdat de fysiotherapeut deze accepteert, bewerkt of verwerpt.

10.5 Incident-procedure en serious-incident-pathway

Incidenten worden geregistreerd en geanalyseerd; persoonsgegevens-incidenten worden gemeld aan de Autoriteit Persoonsgegevens conform AVG art. 33. AI-incidenten zonder persoonsgegevens-component (bijvoorbeeld systematische output-fouten) worden behandeld via een corrigerende-maatregel-procedure beschreven in het Security Policy Pack v1.0.

Serious-incident-pathway (art. 73-analoog). AI Act art. 73 verplicht providers van high-risk-systemen tot incident-rapportage; voor niet-high-risk is er geen wettelijke verplichting, maar Hysio implementeert een art. 73-analoge procedure als best-practice voor zorggerelateerde AI:

• AI-malfunctions met aantoonbare patiënt-impact (verkeerde patient-identifier, omissie van klinisch relevante input, systematische hallucinatie met klinische gevolgen) worden binnen vierentwintig (24) uur na detectie aan de getroffen Verantwoordelijke gemeld via support@hysio.nl en in het AI Risk Register v1.0 gedocumenteerd.
• Significante incidenten (in de zin van art. 73 lid 1 voor high-risk: dood, ernstig letsel, ernstige schending grondrechten) worden, ongeacht de niet-high-risk-classificatie van Hysio, binnen vijftien (15) dagen aan de Nederlandse coördinerende AI-toezichthouder gemeld zodra deze formeel is aangewezen (per mei 2026: AP voor algoritme- en transparantie-aspecten, RDI voor markttoezicht, IGJ voor zorg-aspecten).
• Indien GPAI-systemic-risk-relevant wordt het incident doorgeleid naar de GPAI-provider conform AI Act art. 55 + GPAI Code of Practice §I.4 als feedback-route. Hysio onderhoudt voor Google en Groq een vendor-incident-contactpath in het AI Risk Register v1.0.
• Alle serious-incident-meldingen leiden tot een corrigerende-maatregel-procedure conform §10.5 en, indien materieel, tot een herziening van deze verklaring conform hoofdstuk 15.

10.6 Post-market monitoring

Post-market monitoring is voor niet-high-risk-systemen niet rechtstreeks vereist onder AI Act art. 72 of MDR art. 83-86, maar Hysio voert deze als best-practice voor zorggerelateerde AI uit. Per 4 mei 2026 bestaat de operationele monitoring uit:

• (a) feedback-knoppen voor transcriptie- en outputfouten in de Platform-UI, met automatische toewijzing aan de Hysio-supportlijn (operationeel);
• (b) incident-monitoring via de procedure beschreven in §10.5, waaronder ad-hoc-analyse bij door de fysiotherapeut gemelde output-fouten of inconsistenties (operationeel);
• (c) kwartaal-monitoring van Gemini- en Whisper-versie-updates door de provider, inclusief publiek beschikbare model-card-updates en bias- en evaluatie-metrics (operationeel sinds 4 mei 2026, kwartaal-cyclus per hoofdstuk 6);
• (d) jaarlijkse externe ICT-rechtelijke review op de MDR/AI Act-positie van Hysio, inclusief herijking van de niet-MDSW-classificatie en de niet-high-risk-classificatie tegen de actuele guidance (operationeel vanaf Q3 2026).

Roadmap (vanaf Q3 2026): kwartaal-steekproef-monitoring op output-kwaliteit, waarbij willekeurige (gepseudonimiseerde of onder geheimhoudingsplicht beoordeelde) outputs door de Hysio-compliance-functie worden gereviewd op feitelijkheid, hallucinatie-frequentie en consistentie met de input. Kwantitatieve WER-meetinfrastructuur per regio en accent-categorie wordt operationeel vanaf Q3 2026 (zie hoofdstuk 11). Tot livegang van deze meetinfrastructuur is post-market monitoring beperkt tot bovengenoemde feedback- en incidentmonitoring.

Significante kwaliteits- of veiligheidsbevindingen leiden tot een corrigerende-maatregel-procedure conform §10.5 en, indien materieel, tot een herziening van deze verklaring conform hoofdstuk 15. Bij elke materiële uitbreiding wordt opnieuw getoetst of een formele AI risk management system-implementatie wenselijk wordt.

10.7 AI-geletterdheid (art. 4)

AI Act art. 4 lid 1 verplicht aanbieders en gebruiksverantwoordelijken van AI-systemen om passende maatregelen te nemen voor een toereikend niveau van AI-geletterdheid bij hun personeel en andere personen die namens hen AI-systemen gebruiken en exploiteren. Op grond van AI Act art. 113 lid 3 sub a is deze verplichting operationeel sinds 2 februari 2025. De Autoriteit Persoonsgegevens heeft op 30 januari 2025 een AI-geletterdheid-publicatie uitgebracht.

AI-geletterdheidsprogramma Hysio (operationeel per 4 mei 2026). Hysio heeft per 4 mei 2026 een AI-geletterdheidsprogramma operationeel met de volgende componenten:

• (a) Interne baseline-training. De baseline-AI-geletterdheidstraining is per 4 mei 2026 afgerond voor alle medewerkers die het AI-systeem ontwikkelen, beheren of ondersteunen. Onderwerpen: model-limitaties, hallucinatie-risico, bias, prompt-injection, AVG art. 22, MDR-trigger-bewustzijn en AI Act-classificatie-architectuur. Deelname is intern gedocumenteerd.
• (b) Onboarding-content en helpcenter-artikelen voor Klanten. Hysio levert aan de fysio-Verantwoordelijke (deployer in de zin van AI Act art. 26) onboarding-materialen, in-product-disclaimer-tekst en helpcenter-artikelen die de werking van de AI-systemen, de model-limitaties en de validatie-eis uitleggen. Deze materialen ondersteunen de Verantwoordelijke bij eigen art. 26-compliance.
• (c) Jaarlijkse herziening. Het AI-geletterdheidsprogramma wordt jaarlijks herzien. Bij materiële wijziging van de AI-systemen, nieuwe guidance van het AI Office of de Autoriteit Persoonsgegevens, of nieuwe medewerkers met AI-betrokkenheid volgt een gerichte aanvulling.

10.8 Art. 50 lid 1 en lid 2 marking-implementatie

AI Act art. 50 lid 1 (informatieplicht bij interactie met AI-systeem) en art. 50 lid 2 (markering van synthetische tekst, audio, afbeeldingen of video als AI-gegenereerd) zijn per art. 113 lid 3 sub b operationeel per 2 augustus 2026. De Code of Practice on marking and labelling of AI-generated content (eerste draft 17 december 2025) finaliseert naar verwachting in juni 2026.

Implementatie-status per 4 mei 2026:

• Art. 50 lid 1: De fysiotherapeut weet als gebruiker dat hij werkt met een AI-systeem; dat is inherent aan het Platform-gebruik. Interface-cues en in-product disclaimers bevestigen de AI-interactie expliciet ("AI-gegenereerd concept, controle vereist") bij elke workflow-output.
• Art. 50 lid 2: AI-output in het Platform-UI wordt zichtbaar gemarkeerd als "AI-gegenereerd concept, controle vereist". Pas na expliciete acceptatie of bewerking door de fysiotherapeut wordt de output vrijgegeven voor gebruik in dossier, brief, declaratie of communicatie.
• Bij export naar PDF, DOCX of TXT wordt waar technisch mogelijk een metadata-veld toegevoegd dat AI-ondersteuning indiceert.
• De volledige technische implementatie van de art. 50 lid 2-marking-vereisten (uniforme machine-readable tag) is gepland uiterlijk vóór 2 augustus 2026, in afstemming met de definitieve Code-tekst.

Fallback-protocol bij vertraging Code-finalisatie (juni 2026). Bij vertraging van de Code-finalisatie hanteert Hysio per uiterlijk 2 augustus 2026 een tussentijdse tekstuele inline-AI-disclaimer-fallback in elke export, conform AI Act art. 50 lid 2 + lid 5 (state-of-the-art-vluchtroute). De fallback-disclaimer in PDF/DOCX/TXT-export luidt: "AI-gegenereerde concepttekst; redactioneel gevalideerd door [naam fysiotherapeut, BIG-nummer X], op [datum]. Gegenereerd door Hysio Platform via de AI-tekstgeneratie sub-verwerker (Google)." Bij Code-finalisatie wordt de tekstuele fallback aangepast naar de uniforme machine-readable tag binnen dertig (30) dagen na publicatie van de Code.

AI Act art. 14 (menselijk toezicht) is bindend voor high-risk-systemen en niet rechtstreeks van toepassing op Hysio. Hysio realiseert wel een human-in-the-loop-ontwerp vanuit drie convergerende grondslagen:

1. Productontwerp. Het Platform forceert menselijke acceptatie van AI-output voor opname in het patiëntdossier of patiëntcommunicatie. De interface bewaart de oorspronkelijke AI-output naast de fysio-bewerkte versie, zodat menselijke controle traceerbaar is.
2. Professionele standaarden. Wet BIG, KNGF-Beroepsprofiel en zorgaansprakelijkheid leggen vast dat de fysiotherapeut verantwoordelijk blijft voor het klinisch oordeel, ongeacht administratieve hulpmiddelen.
3. AVG art. 22. Het verbod op uitsluitend geautomatiseerde besluitvorming met rechtsgevolgen of vergelijkbare significante impact wordt gerespecteerd. Het Platform biedt geen automatische besluitvorming.

Concreet kan de fysiotherapeut AI-output bewerken of verwerpen voordat deze wordt opgeslagen, elke sessie annuleren en het transcript of verslag wissen, en behoudt volledige redactionele controle over wat naar het patiëntdossier of naar de patiënt gaat. Het Platform biedt geen functionaliteit die de review-stap omzeilt, en geen automatische schrijfintegratie naar EPD-systemen die de menselijke validatie zou overslaan (zie ook Algemene Voorwaarden v3.6 art. 8.4 sub c).

Patiënten en gebruikers hebben rechten die in samenhang met AVG en AI Act worden geëffectueerd.

• Recht op informatie over AI-betrokkenheid. Via de Privacyverklaring v3.6, het Patiënt-informatieblad v1.0, deze transparantieverklaring, de Disclaimer v3.6 en in-product disclaimers wordt informatie verstrekt over aard, doel en werking van het AI-systeem.
• Recht op menselijk oordeel. AVG art. 22 lid 3 geeft de betrokkene recht op menselijke tussenkomst bij beslissingen die uitsluitend op geautomatiseerde verwerking zijn gebaseerd. Hysio's ontwerp realiseert dit recht standaard (zie hoofdstuk 12).
• Recht op bezwaar tegen AI-verwerking. Een patiënt kan bezwaar bij de fysiotherapeut kenbaar maken; de fysiotherapeut beslist als verwerkingsverantwoordelijke en kan kiezen voor een handmatige werkwijze zonder Medical Scribe.

14.1 Klacht-route (art. 85)

Voor AI-Act-specifieke klachten geldt AI Act art. 85. Per mei 2026 vervult de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) de sectorale toezichts-rol op AI-transparantie en algoritmes (AP-publicatie AI-geletterdheid 30 januari 2025), de Rijksinspectie Digitale Infrastructuur (rdi.nl) de markt-toezichts-rol AI Act-breed (in opbouw) en de Inspectie Gezondheidszorg en Jeugd (igj.nl) de sectorale rol voor zorg-AI. Klachten over AI-verwerking kunnen worden ingediend bij Hysio (compliance@hysio.nl of support@hysio.nl), bij de fysiotherapeut, bij een van de drie genoemde Nederlandse toezichthouders, of via het EU AI Office complaints-channel (digital-strategy.ec.europa.eu/en/policies/ai-office).

De gedetailleerde uitwerking van betrokkenenrechten (AVG art. 15 tot en met 22) staat in de Privacyverklaring v3.6 en de Verwerkersovereenkomst v3.6.

14.2 Standaard tekst-template Patiënt-informatieblad (uittreksel)

Hysio levert het volledige Patiënt-informatieblad v1.0 als zelfstandig document; onderstaand uittreksel is in formele u-/uw-aanspreking opgesteld en vormt de minimumvariant die de fysio-Verantwoordelijke in de praktijk zichtbaar dient te plaatsen:

"Uw fysiotherapeut maakt gebruik van het Hysio Platform voor administratieve ondersteuning bij het opstellen van uw behandelverslag, brief of declaratie. Dit platform gebruikt kunstmatige intelligentie (AI) om gespreksopnames automatisch om te zetten naar tekst en om verslagen te structureren. Uw fysiotherapeut controleert en bewerkt elke AI-output voordat deze in uw dossier komt; klinische beslissingen worden uitsluitend door uw fysiotherapeut genomen. Audio-opnamen worden tijdelijk verwerkt en uiterlijk binnen 14 dagen verwijderd. Uw gegevens worden binnen de Europese Economische Ruimte verwerkt; bepaalde AI-modellen draaien bij Amerikaanse leveranciers onder passende beveiligingsmaatregelen. U heeft recht op informatie, inzage en correctie van uw gegevens en kunt bezwaar maken tegen AI-ondersteunde verwerking; daarvoor kunt u terecht bij uw fysiotherapeut. Voor meer informatie: hysio.nl/patient of privacy@hysio.nl."

De gefaseerde inwerkingtreding van de AI Act (Verordening (EU) 2024/1689 art. 113) volgt onderstaand schema. Hysio's status per gebeurtenis: