Artikel

AI in de zorg: wat doet u met patiënt­gegevens?

2 oktober 2024
Leestijd 5 min

Artificial Intelligence (AI) biedt grote voordelen in de zorg, maar roept ook belangrijke vragen op over veiligheid en wetgeving. Na onze eerdere artikelen over dit onderwerp ontvingen we veel reacties, waaronder de vraag: hoe waarborg ik de anonimiteit van patiëntgegevens wanneer AI wordt ingezet bij consulten? Dit is een cruciaal punt, omdat veel bedrijven achter AI-chatbots standaard alle ingevoerde gegevens opslaan. Die data belanden vaak op servers van techbedrijven, zonder dat gebruikers weten wat ermee gebeurt. Zorgorganisaties moeten daarom heldere afspraken maken over AI-gebruik, inclusief dataopslag, beveiliging en toegang, zodat de privacy van patiënten volgens de Algemene Verordening Gegevensbescherming (AVG) gewaarborgd blijft.

Zorgen om patiëntgegevens

Na het publiceren van de eerste 2 artikelen over AI in de zorg, ontvingen we een interessante lezersvraag:  
“Er zijn verschillende manieren om software, waaronder AI, te gebruiken bij consulten. Bijvoorbeeld door middel van een microfoon die meeluistert tijdens het gesprek en de informatie automatisch vastlegt. Soms wordt deze informatie direct opgeslagen in het elektronisch patiëntendossier, terwijl in andere gevallen de informatie tijdelijk (anoniem) wordt opgeslagen. Moet ik mij zorgen maken over die tijdelijke opslag?” 
Dit is een belangrijke kwestie die vast meer zorgverleners bezighoudt. Hoe weet u zeker dat patiëntgegevens veilig blijven, vooral wanneer u niet altijd weet wie er toegang heeft tot die opgeslagen data? Hieronder leest u ons antwoord, toegespitst op de praktijk van huisartsen en zorgorganisaties.

Wanneer is software écht AI?

Het is belangrijk om eerst duidelijk te maken wanneer we daadwerkelijk over AI praten. Niet alle software die data verwerkt of opslaat, valt onder de definitie van AI. AI verwijst specifiek naar technologie die autonoom leert en reageert op input, en daarbij beslissingen kan nemen of voorspellingen kan doen. Als er bijvoorbeeld tekst uit het consult in het elektronisch patiëntendossier wordt opgeslagen zonder verdere verwerking, is dat geen AI. Maar wanneer de software actief de tekst analyseert of conclusies trekt, spreken we wel van AI. Dit onderscheid is belangrijk omdat voor AI specifieke Europese regelgeving van kracht is, zoals de AI Act. Deze wetgeving legt eisen op aan iedereen die AI ontwikkelt, aanbiedt of gebruikt in de zorg. De verordening gaat gefaseerd in werking en zal op 2 augustus 2027 geheel van kracht zijn.

De Europese AI Act: wat betekent dit voor u?

De AI Act stelt strenge eisen aan het gebruik van AI, vooral in sectoren met een hoog risico, zoals de zorg. AI-systemen worden ingedeeld in 4 risicocategorieën, waarvan systemen met een 'onaanvaardbaar risico' verboden zijn. AI-toepassingen die een ‘hoog risico’ vormen voor de gezondheid of grondrechten, moeten aan strenge eisen voldoen, waaronder een conformiteitsbeoordeling en CE-markering. Zorgorganisaties zijn verplicht om transparant te zijn over het gebruik van AI. Dat betekent dat patiënten en zorgverleners geïnformeerd moeten worden wanneer AI wordt ingezet. Daarnaast zijn zorgorganisaties verplicht om incidenten te rapporteren en toezicht te houden op de toepassing van AI binnen hun processen.

Shirin Slabbers
De Autoriteit Persoonsgegevens (AP) ontving meerdere meldingen van datalekken waarbij persoonsgegevens van patiënten waren gedeeld met een AI-gestuurde chatbot

Regels die blijven gelden

De AI Act laat bestaande regelgeving, zoals die in de Algemene Verordening Gegevensbescherming (AVG) en de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) in tact. Dat betekent dat zorgverleners alert moeten zijn op hun verplichting passende (veiligheids)maatregelen te (laten) nemen bij de verwerking van persoonsgegevens (AVG). En moeten zorgen dat zij hun beroepsgeheim niet schenden (WGBO). Zelfs als een AI-systeem de gegevens anoniem maakt, blijft het risico bestaan dat de informatie herleidbaar is tot een specifieke patiënt. Een naam verwijderen is niet altijd genoeg, want soms kan een functie, zoals CEO van een specifiek bedrijf, al voldoende zijn om iemand te identificeren. U moet er als zorgverlener dus altijd alert op blijven en ervoor zorgen dat patiëntgegevens niet bij onbevoegden terechtkomen. Datalekken, zoals het delen van patiëntinformatie via een AI-chatbot, kunnen ernstige gevolgen hebben en leiden tot meldingen bij de Autoriteit Persoonsgegevens (AP).

Zo waarborgt u de veiligheid van patiëntgegevens:

  1. Duidelijke afspraken - maak expliciete afspraken met AI-leveranciers over het veilig opslaan en verwerken van gegevens, conform de AVG.
  2. Interne richtlijnen en schooling - stel heldere protocollen op en train medewerkers in veilig gebruik van AI-tools.
  3. Technische beveiliging - gebruik versleuteling en andere technologieën om gegevens te beschermen tijdens opslag en overdracht.
  4. Beperkte toegang - zorg dat alleen bevoegde medewerkers toegang hebben tot patiëntgegevens, met controles op wie de data inzien.

De rol van zorgverleners bij AI-verslaglegging

Hoewel AI een ondersteunende rol kan spelen in het verbeteren van de zorg, blijft de verantwoordelijkheid voor de verslaglegging bij de zorgverlener. De huidige norm stelt dat AI het werk van een zorgverlener kan ondersteunen, maar niet volledig mag overnemen. Dit betekent dat zorgverleners moeten controleren of de informatie die door AI in het elektronisch patiëntendossier wordt geplaatst, correct is. Als de zorgverlener dit niet doet, kan hij tuchtrechtelijk of civielrechtelijk aansprakelijk worden gesteld. Een laatste aandachtspunt is de tijd die verstrijkt tussen het consult en de plaatsing van een verslag in het elektronisch patiëntendossier. Wanneer AI-verslaglegging leidt tot vertraging, kan dat in strijd zijn met de wettelijke eisen van ‘goede zorg’ in de zin van de Wet kwaliteit klachten en geschillen zorg (Wkkgz) en ‘goed hulpverlenerschap’ in de zin van de Wgbo.

Conclusie

Uit een poll van VvAA blijkt dat circa 60% van de zorgverleners al gebruik maakt van AI. Dat is positief nieuws. De inzet van AI kan immers de kwaliteit van de zorgverlening verbeteren (bijvoorbeeld door het stellen van diagnoses te verbeteren en besluitvorming te versnellen) en helpen om de werkdruk te verlichten. Een AI-toepassing die verslaglegging van consulten faciliteert, doet dat. Toch moeten zorgorganisaties en zorgverleners waakzaam blijven bij het gebruik van AI, vooral als het gaat om de bescherming van patiëntgegevens. De beveiliging van data, transparantie over het gebruik van AI, en naleving van zowel de AI Act als de AVG zijn van groot belang. VvAA biedt zorgverleners ondersteuning bij het veilig en verantwoord integreren van AI-toepassingen in hun praktijk. Heeft u vragen over AI in de zorg of de nieuwe wetgeving? Onze experts staan voor u klaar om u verder te helpen.

Lees de andere artikelen

Aansprakelijkheid bij AI-implementatie: risico's en verplichtingen

Houd hier rekening mee

De AI Act is 13 maart 2024 definitief aan­genomen in Europa. Als het gaat om een AI met een ‘hoog risico’ dan zijn zorg­organisaties verplicht om:

  • De eindgebruiker te informeren dat AI wordt gebruikt.
  • Medewerkers te informeren deze in de ‘hoog risico’-categorie valt.
  • Zorg te dragen voor een veilig gebruik volgens gebruiks­aanwijzingen.
  • Zorg te dragen voor goede input/invoer.
  • Gebruik te monitoren aan de hand van gebruiks­aanwijzingen.
  • Logs te bewaren.
  • Ernstige incidenten te melden bij de leverancier.
  • Menselijk toezicht toe te passen wanneer het AI-systeem geïmplementeerd is.
  • Bestaande wettelijke verplichtingen na te leven.

Over de auteur

Shirin Slabbers

Advocaat gezondheidsrecht

shirin.slabbers@vvaa.nl

Expertises

  • Conflicten met zorgverzekeraars
  • Gezondheidsrecht
  • Klacht- en tuchtrecht
  • Samenwerkingsgeschillen

Meer lezen?

Bart Janknegt
8 januari 2025
Leestijd 1 min

2025: samenwerken aan de zorg van morgen

2025 staat voor ons, net als de afgelopen 100 jaar, in het teken van samenwerking.

Begeleiding en ondersteuning van een zieke werknemer tijdens verzuim en re-integratie
6 januari 2025
Leestijd 3 min

Al een verplicht verzuim­protocol in uw prak­tijk?

Volgens het Arbeidsomstandighedenbesluit moet elke werkgever een verzuimbeleid met verzuimprotocol hebben.

30 december 2024
Leestijd 3 min

Handhaving wet DBA en toekomst huisartsen­zorg

Huisarts Isabel van Hövell-Ullman over de aangescherpte handhaving van wet DBA en de toekomst van huisartsenzorg

Verloskundige en zzp'er geeft uitleg aan toekomstige ouders
24 december 2024
Leestijd 4 min

Handhavingsplan 2025 geeft opdrachtgevers en zzp’ers nauwelijks extra ruimte

Het Handhavingsplan van de Belastingdienst houdt rekening met moties, maar biedt weinig extra ruimte.

PrivacyverklaringAlgemene voorwaardenDisclaimerCookiegebruikCookie instellingen