Artikel

AI in de zorg: wat doet u met patiënt­gegevens?

2 oktober 2024
Leestijd 5 min

Artificial Intelligence (AI) biedt grote voordelen in de zorg, maar roept ook belangrijke vragen op over veiligheid en wetgeving. Na onze eerdere artikelen over dit onderwerp ontvingen we veel reacties, waaronder de vraag: hoe waarborg ik de anonimiteit van patiëntgegevens wanneer AI wordt ingezet bij consulten? 

Zorgen om patiëntgegevens

Na het publiceren van de eerste 2 artikelen over AI in de zorg, ontvingen we een interessante lezersvraag:  
“Er zijn verschillende manieren om software, waaronder AI, te gebruiken bij consulten. Bijvoorbeeld door middel van een microfoon die meeluistert tijdens het gesprek en de informatie automatisch vastlegt. Soms wordt deze informatie direct opgeslagen in het elektronisch patiëntendossier, terwijl in andere gevallen de informatie tijdelijk (anoniem) wordt opgeslagen. Moet ik mij zorgen maken over die tijdelijke opslag?” 
Dit is een belangrijke kwestie die vast meer zorgverleners bezighoudt. Hoe weet u zeker dat patiëntgegevens veilig blijven, vooral wanneer u niet altijd weet wie er toegang heeft tot die opgeslagen data? Hieronder leest u ons antwoord, toegespitst op de praktijk van huisartsen en zorgorganisaties.

Wanneer is software écht AI?

Het is belangrijk om eerst duidelijk te maken wanneer we daadwerkelijk over AI praten. Niet alle software die data verwerkt of opslaat, valt onder de definitie van AI. AI verwijst specifiek naar technologie die autonoom leert en reageert op input, en daarbij beslissingen kan nemen of voorspellingen kan doen. Als er bijvoorbeeld tekst uit het consult in het elektronisch patiëntendossier wordt opgeslagen zonder verdere verwerking, is dat geen AI. Maar wanneer de software actief de tekst analyseert of conclusies trekt, spreken we wel van AI. Dit onderscheid is belangrijk omdat voor AI specifieke Europese regelgeving van kracht is, zoals de AI Act. Deze wetgeving legt eisen op aan iedereen die AI ontwikkelt, aanbiedt of gebruikt in de zorg. De verordening gaat gefaseerd in werking en zal op 2 augustus 2027 geheel van kracht zijn.

De Europese AI Act: wat betekent dit voor u?

De AI Act stelt strenge eisen aan het gebruik van AI, vooral in sectoren met een hoog risico, zoals de zorg. AI-systemen worden ingedeeld in 4 risicocategorieën, waarvan systemen met een 'onaanvaardbaar risico' verboden zijn. AI-toepassingen die een ‘hoog risico’ vormen voor de gezondheid of grondrechten, moeten aan strenge eisen voldoen, waaronder een conformiteitsbeoordeling en CE-markering. Zorgorganisaties zijn verplicht om transparant te zijn over het gebruik van AI. Dat betekent dat patiënten en zorgverleners geïnformeerd moeten worden wanneer AI wordt ingezet. Daarnaast zijn zorgorganisaties verplicht om incidenten te rapporteren en toezicht te houden op de toepassing van AI binnen hun processen.

Shirin Slabbers
Shirin Slabbers
De Autoriteit Persoonsgegevens (AP) ontving meerdere meldingen van datalekken waarbij persoonsgegevens van patiënten waren gedeeld met een AI-gestuurde chatbot

Regels die blijven gelden

De AI Act laat bestaande regelgeving, zoals die in de Algemene Verordening Gegevensbescherming (AVG) en de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) in tact. Dat betekent dat zorgverleners alert moeten zijn op hun verplichting passende (veiligheids)maatregelen te (laten) nemen bij de verwerking van persoonsgegevens (AVG). En moeten zorgen dat zij hun beroepsgeheim niet schenden (WGBO). Zelfs als een AI-systeem de gegevens anoniem maakt, blijft het risico bestaan dat de informatie herleidbaar is tot een specifieke patiënt. Een naam verwijderen is niet altijd genoeg, want soms kan een functie, zoals CEO van een specifiek bedrijf, al voldoende zijn om iemand te identificeren. U moet er als zorgverlener dus altijd alert op blijven en ervoor zorgen dat patiëntgegevens niet bij onbevoegden terechtkomen. Datalekken, zoals het delen van patiëntinformatie via een AI-chatbot, kunnen ernstige gevolgen hebben en leiden tot meldingen bij de Autoriteit Persoonsgegevens (AP).

Zo waarborgt u de veiligheid van patiëntgegevens:

  1. Duidelijke afspraken - maak expliciete afspraken met AI-leveranciers over het veilig opslaan en verwerken van gegevens, conform de AVG.
  2. Interne richtlijnen en schooling - stel heldere protocollen op en train medewerkers in veilig gebruik van AI-tools.
  3. Technische beveiliging - gebruik versleuteling en andere technologieën om gegevens te beschermen tijdens opslag en overdracht.
  4. Beperkte toegang - zorg dat alleen bevoegde medewerkers toegang hebben tot patiëntgegevens, met controles op wie de data inzien.

De rol van zorgverleners bij AI-verslaglegging

Hoewel AI een ondersteunende rol kan spelen in het verbeteren van de zorg, blijft de verantwoordelijkheid voor de verslaglegging bij de zorgverlener. De huidige norm stelt dat AI het werk van een zorgverlener kan ondersteunen, maar niet volledig mag overnemen. Dit betekent dat zorgverleners moeten controleren of de informatie die door AI in het elektronisch patiëntendossier wordt geplaatst, correct is. Als de zorgverlener dit niet doet, kan hij tuchtrechtelijk of civielrechtelijk aansprakelijk worden gesteld. Een laatste aandachtspunt is de tijd die verstrijkt tussen het consult en de plaatsing van een verslag in het elektronisch patiëntendossier. Wanneer AI-verslaglegging leidt tot vertraging, kan dat in strijd zijn met de wettelijke eisen van ‘goede zorg’ in de zin van de Wet kwaliteit klachten en geschillen zorg (Wkkgz) en ‘goed hulpverlenerschap’ in de zin van de Wgbo.

Conclusie

Uit een poll van VvAA blijkt dat circa 60% van de zorgverleners al gebruik maakt van AI. Dat is positief nieuws. De inzet van AI kan immers de kwaliteit van de zorgverlening verbeteren (bijvoorbeeld door het stellen van diagnoses te verbeteren en besluitvorming te versnellen) en helpen om de werkdruk te verlichten. Een AI-toepassing die verslaglegging van consulten faciliteert, doet dat. Toch moeten zorgorganisaties en zorgverleners waakzaam blijven bij het gebruik van AI, vooral als het gaat om de bescherming van patiëntgegevens. De beveiliging van data, transparantie over het gebruik van AI, en naleving van zowel de AI Act als de AVG zijn van groot belang. VvAA biedt zorgverleners ondersteuning bij het veilig en verantwoord integreren van AI-toepassingen in hun praktijk. Heeft u vragen over AI in de zorg of de nieuwe wetgeving? Onze experts staan voor u klaar om u verder te helpen.

Lees de andere artikelen

Aansprakelijkheid bij AI-implementatie: risico's en verplichtingen

Houd hier rekening mee

De AI Act is 13 maart 2024 definitief aan­genomen in Europa. Als het gaat om een AI met een ‘hoog risico’ dan zijn zorg­organisaties verplicht om:

  • De eindgebruiker te informeren dat AI wordt gebruikt.
  • Medewerkers te informeren deze in de ‘hoog risico’-categorie valt.
  • Zorg te dragen voor een veilig gebruik volgens gebruiks­aanwijzingen.
  • Zorg te dragen voor goede input/invoer.
  • Gebruik te monitoren aan de hand van gebruiks­aanwijzingen.
  • Logs te bewaren.
  • Ernstige incidenten te melden bij de leverancier.
  • Menselijk toezicht toe te passen wanneer het AI-systeem geïmplementeerd is.
  • Bestaande wettelijke verplichtingen na te leven.

Over de auteur

Jurist Shirin Slabbers

Shirin Slabbers

Advocaat gezondheidsrecht

shirin.slabbers@vvaa.nl

Expertises

  • Conflicten met zorgverzekeraars
  • Gezondheidsrecht
  • Klacht- en tuchtrecht
  • Samenwerkingsgeschillen

Meer lezen?

Man en vrouw lopen over het strand en lachen
25 april 2025
Leestijd 3 min

Welke keuzes heeft u in het nieuwe pensioen?

Pensioenfondsen hebben bekendgemaakt hoe de nieuwe pensioenregeling er in grote lijnen uit komt te zien.

Collega's bespreken de vakantie
17 april 2025
Leestijd 2 min

Verval van vakantiedagen? Werkgever moet werknemer informeren

Voordat wettelijke vakantiedagen komen te vervallen, moet de werkgever de werknemer hier over informeren.

zzp'er doet administratie
16 april 2025
Leestijd 2 min

Nieuw zzp-wetsvoorstel: de Zelfstandigenwet

De Zelfstandigenwet biedt meer duidelijkheid voor zzp’ers als alternatief voor de Vbar.

Medische aansprakelijkheid: Het Oogziekenhuis kiest voor VvAA
2 april 2025
Leestijd 1 min

Medische aansprakelijkheid: Het Oogziekenhuis kiest voor VvAA

Het Oogziekenhuis Rotterdam heeft de medische aansprakelijkheidsverzekering ondergebracht bij VvAA.

PrivacyverklaringAlgemene voorwaardenDisclaimerCookiegebruikCookie instellingen