AI-systemen voor medische doeleinden? Dit zegt de wet
Artificial Intelligence (AI) heeft de potentie om de kwaliteit van de gezondheidszorg te verbeteren en de werkdruk te verlichten. In dit tweede artikel van onze serie over AI in de zorg onderzoeken we daarom welke regelgeving relevant is, naast de aansprakelijkheidskwesties waar we eerder over schreven. We bespreken de belangrijkste Europese verordeningen en nationale wetgeving, en hoe deze de ontwikkeling, toepassing en monitoring van AI in de medische sector beïnvloeden.
Belangrijke regels voor AI-implementatie
Relevante regelgeving voor de implementatie van AI-toepassingen is divers en omvat onder andere:
- Europese AI-verordening
- privacyregelgeving
- de Wet kwaliteit, klachten en geschillen zorg (Wkkgz)
- regelgeving met betrekking tot medische hulpmiddelen
Bij het gebruik van AI-toepassingen moet u zich als zorgprofessional bewust zijn van deze regelgeving om compliant te blijven en de beste zorg te bieden.
1. Europese AI-verordening
De Europese AI-verordening stelt specifieke regels vast voor aanbieders en gebruikers van AI, met het doel risico's te beheren en betrouwbaarheid te waarborgen. Aanbieders, zoals ontwikkelaars van medische screeningtools, moeten ervoor zorgen dat hun AI-systemen voldoen aan conformiteitsbeoordelingen. Bij AI-systemen die voor medische doeleinden worden gebruikt, is het hierbij belangrijk om te bepalen in welke risicoklasse het systeem wordt ingedeeld. Vervolgens moet een technisch dossier worden opgesteld om aan te tonen dat het aan de essentiële eisen voldoet. Dit dossier omvat onder andere een productbeschrijving, technische specificaties, risicobeheerrapporten en de benodigde documentatie voor gebruikers. Door te voldoen aan deze conformiteitsbeoordelingen kan een CE-markering worden verkregen waarmee wordt aangetoond dat het product:
- veilig en effectief is voor het beoogde gebruik
- voldoet aan de technische- en prestatie-eisen
- correct is geïnstalleerd, onderhouden en gebruikt volgens de bijgeleverde instructies
Risicogebaseerde aanpak
De verordening deelt AI-systemen in op basis van risico (I, IIa, IIb, III) waarbij klasse I de laagste risicoklasse vertegenwoordigt en klasse III de hoogste. Voor de systemen met een hoog risico zijn strengere eisen van toepassing. Aanbieders moeten kwaliteits- en risicobeheersystemen toepassen en regelmatig conformiteitsbeoordelingen uitvoeren. Zo’n beoordeling moet sowieso worden herhaald als het systeem of het doel ervan ingrijpend wordt gewijzigd. In sommige gevallen worden AI-systemen geregistreerd in een openbare EU-databank, waarbij markttoezichtautoriteiten de monitoring na het in de handel brengen ondersteunen door middel van audits. Daarnaast krijgen aanbieders de mogelijkheid om ernstige incidenten of schendingen van verplichtingen inzake grondrechten te rapporteren.
Gebruikers van AI-systemen met een hoog risico hebben ook verplichtingen, zoals het monitoren van de werking van het systeem en het bijhouden van logs.
Voor AI-systemen met een beperkt risico zijn transparantieverplichtingen van toepassing, zowel voor aanbieders als gebruikers. Dit betekent bijvoorbeeld dat zij duidelijk moeten communiceren naar de eindgebruikers hoe het AI-systeem bepaalde beslissingen neemt of aanbevelingen doet.
Let op: Het is ook belangrijk voor u als gebruiker om op te letten of u niet per ongeluk wordt beschouwd als aanbieder volgens de verordening. Dit kan bijvoorbeeld gebeuren als gebruikers een AI-systeem met een hoog risico onder hun eigen naam of merknaam op de markt brengen, of als ze het systeem onder hun eigen naam of merknaam in gebruik nemen In dergelijke gevallen kunnen de verplichtingen en regels die gelden voor aanbieders ook op de gebruiker van toepassing zijn.
2. Privacyregelgeving
Als u persoonsgegevens verwerkt door het toepassen van een algoritme, dan moet u voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Dit betekent dat persoonsgegevens moeten worden beveiligd met passende organisatorische en technische maatregelen, zoals vastgelegd door de Autoriteit Persoonsgegevens. Binnen de zorgsector worden specifieke NEN-normen beschouwd als 'passend', wat neerkomt op algemeen aanvaarde beveiligingsstandaarden. Belangrijke aspecten zijn bijvoorbeeld rechtmatigheid, transparantie en beveiliging.
Noodzaak voor verwerkingsregister
Een ander aspect van de AVG is de verplichting voor zorgaanbieders om een verwerkingsregister bij te houden. Hierin wordt gedetailleerd beschreven welke gegevens op welke manier worden verwerkt. Daarnaast moeten organisaties een privacybeleid opstellen dat gebruikers informeert over hoe persoonsgegevens worden verwerkt en hoelang ze worden bewaard. Bij het gebruik van AI-systemen kan het noodzakelijk zijn om deze documenten aan te passen om te voldoen aan de specifieke eisen die AI-implementatie met zich meebrengt.
Naast de AVG zijn er ook andere wetten die de privacy van patiënten waarborgen, zoals de Wet op de Geneeskundige Behandelingsovereenkomst. In situaties waarbij AI-data worden gebruikt voor wetenschappelijk onderzoek, zijn specifieke regels van toepassing. Deze regels kunnen vereisen dat betrokken patiënten expliciet toestemming geven voor het gebruik van hun gegevens, zoals voorgeschreven door de relevante wetgeving.
3. De Wkkgz
De Wkkgz regelt aspecten van medische technologie. AI-systemen die worden beschouwd als medische technologie vallen onder de regelgeving van de Wkkgz wanneer ze dienen als "toepassing van georganiseerde kennis en vaardigheden in de vorm van apparaten, medicijnen, vaccins, procedures en systemen die zijn ontwikkeld om gezondheidsproblemen op te lossen en de kwaliteit van leven te verbeteren". In deze situaties moet de zorgaanbieder ervoor zorgen dat er schriftelijke vastlegging is van taken, bevoegdheden, verantwoordelijkheden en bekwaamheidseisen voor de betrokkenen, evenals de gegevens waaruit blijkt dat aan deze bekwaamheidseisen wordt voldaan.
Verder moet per AI-systeem worden onderzocht of nog andere regelgeving van toepassing is die gericht is op het waarborgen van de kwaliteit van de zorg, zoals het Convenant Veilige Toepassing van Medische Technologie in de medisch specialistische zorg.
4. Regelgeving medische hulpmiddelen
Medische hulpmiddelen, inclusief software, worden gereguleerd door zowel Europese als Nederlandse wetgeving. De definitie van een medisch hulpmiddel omvat een breed scala aan instrumenten, apparaten, software en materialen die zijn bedoeld voor medische doeleinden, zoals diagnose, behandeling en monitoring. Het CE-markeringssysteem wordt gebruikt om de conformiteit van medische hulpmiddelen aan te tonen, maar biedt geen volledige garantie op foutloze werking. Met de komst van de Europese AI-verordening zal er een specifieke conformiteitsbeoordelingsprocedure van kracht worden voor AI-systemen, los van het bestaande CE-markeringssysteem.
Gelijke regels voor zorgaanbieders en fabrikanten
De Europese verordening inzake medische hulpmiddelen is ook van toepassing op intern geproduceerde hulpmiddelen door zorgaanbieders. Om aan de regelgeving te voldoen, moeten zorgaanbieders voldoen aan verschillende voorwaarden, waaronder het gebruik van een passend kwaliteitsmanagementsysteem, het verstrekken van informatie aan bevoegde autoriteiten en het evalueren van ervaringen met het klinische gebruik van de hulpmiddelen. Indien niet aan de gestelde voorwaarden wordt voldaan, worden zorgaanbieders onderworpen aan dezelfde zware regels als fabrikanten van medische hulpmiddelen. Dit geldt ook voor zorgaanbieders die software ontwikkelen, zoals medische apps.
Conclusie
Gaat AI ervoor zorgen dat de werkdruk afneemt en de zorg toegankelijk blijft voor toekomstige generaties? Het juridisch perspectief laat zien dat zorgprofessionals goed geïnformeerd moeten zijn over de relevante regelgeving om deze technologie verantwoord te kunnen implementeren. Door te voldoen aan de regels en voorschriften, processen vast te leggen en deze in de praktijk te volgen, wordt er alles aan gedaan om AI-systemen veilig en effectief in te zetten. Lees ook het artikel over AI in de zorg waarin we aansprakelijkheidskwesties belichten.
Meer lezen?
Gids Tuchtrecht in de zorg geeft professionals houvast
De gids Tuchtrecht in de zorg legt in infographics en bondige teksten uit hoe het tuchtrecht in de zorg werkt.
2025: samenwerken aan de zorg van morgen
2025 staat voor ons, net als de afgelopen 100 jaar, in het teken van samenwerking.
Al een verplicht verzuimprotocol in uw praktijk?
Volgens het Arbeidsomstandighedenbesluit moet elke werkgever een verzuimbeleid met verzuimprotocol hebben.
Handhaving wet DBA en toekomst huisartsenzorg
Huisarts Isabel van Hövell-Ullman over de aangescherpte handhaving wet DBA