AI-auditing in de praktijk bij Erasmus MC
Artificial Intelligence (AI) is in 2025 hét thema binnen de auditwereld. De inzet van AI transformeert niet alleen de manier waarop organisaties werken, maar stelt ook nieuwe eisen aan governance, compliance en risicobeheersing. De opkomst van strengere regelgeving, zoals de EU AI Act, en de roep om transparantie en ethiek, maken AI-audits tot een strategisch speerpunt voor organisaties wereldwijd.
Tom Verharen en Lino Pasquale spraken namens de Professional Practice Group Artifical Intelligence (PPGAI) van IIA Nederland met Nathalie de Wit en Reinier Roest van het Erasmus MC. In dit artikel delen zij hun ervaringen, aanpak en visie op de toekomst van AI-auditing.
De Interne Audit Functie (IAF) van Erasmus MC
Het Erasmus Medisch Centrum (Erasmus MC) in Rotterdam is één van de grootste en meest toonaangevende universitaire medische centra van Nederland.
De interne auditafdeling bestaat uit zeven auditors met specialisaties in IT, operationele processen en financial audits. Zij ondersteunt het ziekenhuis bij het beheersen van risico’s binnen de bedrijfsvoering.
Reinier Roest werkt bijna drie jaar als operational auditor bij Erasmus MC en is betrokken geweest bij het vooronderzoek naar AI. Vanuit zijn rol voert hij samen met IT-auditors gesprekken met betrokkenen over AI binnen de organisatie en is ook in een toehoordersrol betrokken binnen de AI Accelerator. Reinier is tevens lid van de IIA Nederland – AI Professional Practice Group.
Nathalie de Wit-Timmer is sinds begin 2024 IT-auditor bij Erasmus MC, met eerdere IT-audit ervaring bij de Nationale Politie en de Rijksoverheid. Zij volgt AI-ontwikkelingen nauwgezet. Samen brengen ze operationele en technische perspectieven samen in het AI-onderzoek.
De aanleiding: toenemende inzet van AI in de zorg
Door personeelstekorten en hoge administratieve lasten zoekt Erasmus MC actief naar manieren om efficiënter te werken. AI wordt hierbij gezien als een veelbelovende technologie voor onder meer diagnostiek, administratieve processen en onderzoek.
Vanuit de strategische koers ‘Koers 28’ en de daaruit afgeleide digitale koers, besloot de interne auditafdeling om AI als auditobject op te nemen in haar auditplanning voor 2024. Het doel: inzicht krijgen in hoe AI binnen de organisatie wordt toegepast en geborgd.
De aanpak: van normenkaders naar governance
In 2024 is Internal Audit gestart met een eerste audit met kunstmatige intelligentie (AI) als auditobject. De scope van het onderzoek was de ontwikkeling en inzet van AI binnen het Erasmus MC, met AI-governance als basis.
Aanvankelijk werd ingezet op het toetsen van AI-toepassingen aan externe normenkaders, zoals de Leidraad AI in de zorg, ISACA AI Audit Toolkit, ISO42001 (ontwikkeling AI) en ISO23894 (bias in AI). Al snel bleek echter dat de volwassenheid van de interne beheersing bij de ontwikkeling en inzet van AI binnen de organisatie nog volop in ontwikkeling was, waardoor de toetsing aan externe kaders niet opportuun was.
Gedurende het vooronderzoek voerde de auditafdeling gesprekken met diverse stakeholders vanuit de organisatie, zoals medewerkers van de afdeling Radiologie (voorlopers op het gebied van inzet van AI), betrokkenen op het gebied van data en informatica vanuit IT (zij hebben een rol in de coördinatie) en meer toezichthoudende afdelingen zoals Medische Technologie, Functionaris Gegevensbescherming, Risk & Compliance en Juridische Zaken.
Terwijl het vooronderzoek liep werd ook de ‘AI accelerator’ opgericht, een organisatiebreed expertisecentrum voor AI, gericht op versnelling en verbinding van de ontwikkeling en inzet van AI binnen het Erasmus MC.
Het resultaat van het vooronderzoek was helder. Er bestond onduidelijkheid over de organisatorische afspraken rondom de beheersing van AI-systemen. Initiatieven waren versnipperd over verschillende afdelingen en er ontbrak centrale regie. “Er was veel enthousiasme en aan initiatieven geen gebrek, maar er was ook veel versnippering en onduidelijkheid."
Het resultaat: advies in plaats van assurance
In plaats van een traditionele audit met een oordeel of assurance, resulteerde het vooronderzoek in een adviesmemo, met concrete aanbevelingen voor beleid, governance en coördinatie. Daarbij is de afspraak gemaakt om in de nabije toekomst, als het fundament stevig staat, alsnog een audit uit te voeren. De uitkomsten van het vooronderzoek zijn onderkend door de stuurgroep van de ‘AI accelerator’ en er wordt proactief opvolging gegeven aan de aanbevelingen.
Geleerde lessen
- Start bij de basis: Zorg eerst voor centrale regie, duidelijke rollen en beleid voordat je AI-toepassingen gaat toetsen.
- Betrek alle relevante stakeholders: Denk aan ontwikkelaars, privacy officers, medisch technologie, risk & compliance en juridische zaken.
- Houd het praktisch: Normenkaders zijn nuttig, maar alleen effectief als de basis op orde is.
- Positioneer internal audit als sparringpartner: Denk mee vanuit risicobeheersing en strategie, niet alleen vanuit controle.
- Integreer disciplines: De combinatie van IT- en operational auditors bleek van grote meerwaarde.
Voordat we vooruitkijken met Nathalie en Reinier op de toekomst van AI en auditing, leggen we ze ook wat stellingen voor.
Reflecties op stellingen
Stelling 1: "De IAF moet zich bij AI-audits alleen richten op processen, compliance en procedures, niet op de algoritmen zelf."
In principe zijn we het hier mee eens. Ons audit team is niet zo groot en dan is het kiezen waar we onze prioriteiten op gaan zetten.
Wij richten ons in deze eerste fase primair op processen en governance, met momenteel beperkte aandacht voor de technische werking van algoritmen. De benodigde (technische) capaciteit voor het auditen van de algoritmen zelf, is nu niet voorhanden.
Het interne toezicht op het AI (beleid) wordt ingericht volgens het 3 lijnen model, waarbij ieder vanuit zijn rol invulling geeft aan het toezicht op AI.
- Zo dragen ontwikkelaars samen met AI Accelerator zorg voor het naleven van het Erasmus MC AI beleid relevant voor het ontwikkelen en gebruik van AI-systemen in de zorg.
- Geeft Risk & Compliance in samenwerking met Medische Technologie invulling aan de toets op interne AI beleid en vigerende wet- en regelgeving.
- En kijkt IAF vanuit zijn rol in de derde lijn of beleid en procedures worden nageleefd en beheersmaatregelen effectief zijn om vast te kunnen stellen of sprake is van beheerste ontwikkeling en inzet van AI.
Stelling 2: "De IAF moet toetsen dat AI-systemen ethisch verantwoord zijn en voldoen aan de nieuwe regelgeving."
Hiermee oneens.
De borging van (ethisch verantwoord en compliance aan wetgeving) moet in de 2de lijn liggen, bijv. de afdelingen Risk & Compliance, Juridische Zaken en Medische Technologie zouden hier invulling aan kunnen geven.
Binnen het ziekenhuis ligt het risico vooral bij de inzet van AI in de patiëntenzorg en dat is anders dan bij bedrijfsvoering processen waarin in het ingezet wordt.
De Commissie Medische Technologie speelt een cruciale rol in het bewaken, bepalen en adviseren van beleid voor de uniforme implementatie en borging van procedures en processen met betrekking tot medische hulpmiddelen binnen het ziekenhuis, volgens bestaande en toekomstige wet- en regelgeving.
Wij willen als IAF vooral toezien dat ethische kwesties zijn geborgd en worden getoetst bij ontwikkeling en gebruik van AI. Bijvoorbeeld in hoeverre heeft AI een besluitvormend karakter in de diagnostiek en op welke wijze heeft het een adviserend karakter bijv. in de thuismonitoring van zorg.
Stelling 3: "De IAF moet toetsen dat een AI systeem juist toegepast wordt c.q. juist geborgd zijn in de digitale processen van de organisatie"
Hiermee eens.
Het lijkt ons goed als we als IAF gaan kijken naar AI systemen-/toepassingen, waarbij we vooral kijken naar hoe die in bedrijfsprocessen zijn verankerd/ ingebed zijn. We richten ons minder op algoritmes maar meer op de borging in de organisatie.
Vooruitblik
Op korte termijn staat een (vervolg)onderzoek gepland als het fundament staat. Hier zal het accent ligt op het toetsen van het vernieuwde AI-beleid en de governance en de effectieve werking in de praktijk .
De auditafdeling hoopt op (lange) termijn periodiek assurance te kunnen geven over het AI-beheersingssysteem, vergelijkbaar met generieke IT-controls.
Ook wordt gekeken naar de rol van AI binnen de audit zelf, bijvoorbeeld bij documentanalyse, normenkadervergelijking en het schrijven van een auditrapportage.
Erasmus MC laat zien dat het auditen van AI begint met het versterken van de fundamenten. Alleen dan kan AI verantwoord, veilig en toekomstgericht worden ingezet binnen een complexe zorgomgeving.
Over
Lino Pasquale (Renewi plc) en Tom Verharen (CZ) zijn beiden actief in de Professional Practice Group Artificial Intelligence (PPGAI) van IIA Nederland. Vanuit dit netwerk brengen zij interne auditors, dataspecialisten en beleidsmakers samen om de rol van internal audit in het AI-tijdperk te verkennen en te versterken. Door het delen van praktijkervaringen, zoals in deze interviewreeks, geven zij samen met de leden van de PPGAI richting aan een vakgebied in transitie.
![]() |
![]() |
Lino Pasquale Renewi plc Group Internal Audit Manager Lid van de PPGAI |
Tom Verharen CZ Manager Internal Audit Lid van de PPGAI |