AI in de zorg: wat doet u met patiënt­gegevens?

Zorgen om patiëntgegevens

Na het publiceren van de eerste 2 artikelen over AI in de zorg, ontvingen we een interessante lezersvraag:  
“Er zijn verschillende manieren om software, waaronder AI, te gebruiken bij consulten. Bijvoorbeeld door middel van een microfoon die meeluistert tijdens het gesprek en de informatie automatisch vastlegt. Soms wordt deze informatie direct opgeslagen in het elektronisch patiëntendossier, terwijl in andere gevallen de informatie tijdelijk (anoniem) wordt opgeslagen. Moet ik mij zorgen maken over die tijdelijke opslag?” 
Dit is een belangrijke kwestie die vast meer zorgverleners bezighoudt. Hoe weet u zeker dat patiëntgegevens veilig blijven, vooral wanneer u niet altijd weet wie er toegang heeft tot die opgeslagen data? Hieronder leest u ons antwoord, toegespitst op de praktijk van huisartsen en zorgorganisaties.

Wanneer is software écht AI?

Het is belangrijk om eerst duidelijk te maken wanneer we daadwerkelijk over AI praten. Niet alle software die data verwerkt of opslaat, valt onder de definitie van AI. AI verwijst specifiek naar technologie die autonoom leert en reageert op input, en daarbij beslissingen kan nemen of voorspellingen kan doen. Als er bijvoorbeeld tekst uit het consult in het elektronisch patiëntendossier wordt opgeslagen zonder verdere verwerking, is dat geen AI. Maar wanneer de software actief de tekst analyseert of conclusies trekt, spreken we wel van AI. Dit onderscheid is belangrijk omdat voor AI specifieke Europese regelgeving van kracht is, zoals de AI Act. Deze wetgeving legt eisen op aan iedereen die AI ontwikkelt, aanbiedt of gebruikt in de zorg. De verordening gaat gefaseerd in werking en zal op 2 augustus 2027 geheel van kracht zijn.

De Europese AI Act: wat betekent dit voor u?

De AI Act stelt strenge eisen aan het gebruik van AI, vooral in sectoren met een hoog risico, zoals de zorg. AI-systemen worden ingedeeld in 4 risicocategorieën, waarvan systemen met een 'onaanvaardbaar risico' verboden zijn. AI-toepassingen die een ‘hoog risico’ vormen voor de gezondheid of grondrechten, moeten aan strenge eisen voldoen, waaronder een conformiteitsbeoordeling en CE-markering. Zorgorganisaties zijn verplicht om transparant te zijn over het gebruik van AI. Dat betekent dat patiënten en zorgverleners geïnformeerd moeten worden wanneer AI wordt ingezet. Daarnaast zijn zorgorganisaties verplicht om incidenten te rapporteren en toezicht te houden op de toepassing van AI binnen hun processen.

Regels die blijven gelden

De AI Act laat bestaande regelgeving, zoals die in de Algemene Verordening Gegevensbescherming (AVG) en de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) in tact. Dat betekent dat zorgverleners alert moeten zijn op hun verplichting passende (veiligheids)maatregelen te (laten) nemen bij de verwerking van persoonsgegevens (AVG). En moeten zorgen dat zij hun beroepsgeheim niet schenden (WGBO). Zelfs als een AI-systeem de gegevens anoniem maakt, blijft het risico bestaan dat de informatie herleidbaar is tot een specifieke patiënt. Een naam verwijderen is niet altijd genoeg, want soms kan een functie, zoals CEO van een specifiek bedrijf, al voldoende zijn om iemand te identificeren. U moet er als zorgverlener dus altijd alert op blijven en ervoor zorgen dat patiëntgegevens niet bij onbevoegden terechtkomen. Datalekken, zoals het delen van patiëntinformatie via een AI-chatbot, kunnen ernstige gevolgen hebben en leiden tot meldingen bij de Autoriteit Persoonsgegevens (AP).

Zo waarborgt u de veiligheid van patiëntgegevens:

1. Duidelijke afspraken - maak expliciete afspraken met AI-leveranciers over het veilig opslaan en verwerken van gegevens, conform de AVG.
2. Interne richtlijnen en schooling - stel heldere protocollen op en train medewerkers in veilig gebruik van AI-tools.
3. Technische beveiliging - gebruik versleuteling en andere technologieën om gegevens te beschermen tijdens opslag en overdracht.
4. Beperkte toegang - zorg dat alleen bevoegde medewerkers toegang hebben tot patiëntgegevens, met controles op wie de data inzien.

De rol van zorgverleners bij AI-verslaglegging

Hoewel AI een ondersteunende rol kan spelen in het verbeteren van de zorg, blijft de verantwoordelijkheid voor de verslaglegging bij de zorgverlener. De huidige norm stelt dat AI het werk van een zorgverlener kan ondersteunen, maar niet volledig mag overnemen. Dit betekent dat zorgverleners moeten controleren of de informatie die door AI in het elektronisch patiëntendossier wordt geplaatst, correct is. Als de zorgverlener dit niet doet, kan hij tuchtrechtelijk of civielrechtelijk aansprakelijk worden gesteld. Een laatste aandachtspunt is de tijd die verstrijkt tussen het consult en de plaatsing van een verslag in het elektronisch patiëntendossier. Wanneer AI-verslaglegging leidt tot vertraging, kan dat in strijd zijn met de wettelijke eisen van ‘goede zorg’ in de zin van de Wet kwaliteit klachten en geschillen zorg (Wkkgz) en ‘goed hulpverlenerschap’ in de zin van de Wgbo.

Conclusie

Uit een poll van VvAA blijkt dat circa 60% van de zorgverleners al gebruik maakt van AI. Dat is positief nieuws. De inzet van AI kan immers de kwaliteit van de zorgverlening verbeteren (bijvoorbeeld door het stellen van diagnoses te verbeteren en besluitvorming te versnellen) en helpen om de werkdruk te verlichten. Een AI-toepassing die verslaglegging van consulten faciliteert, doet dat. Toch moeten zorgorganisaties en zorgverleners waakzaam blijven bij het gebruik van AI, vooral als het gaat om de bescherming van patiëntgegevens. De beveiliging van data, transparantie over het gebruik van AI, en naleving van zowel de AI Act als de AVG zijn van groot belang. VvAA biedt zorgverleners ondersteuning bij het veilig en verantwoord integreren van AI-toepassingen in hun praktijk. Heeft u vragen over AI in de zorg of de nieuwe wetgeving? Onze experts staan voor u klaar om u verder te helpen.