Wat is AI?
Articifial Intelligence (AI) is een verzamelbegrip voor bepaalde soorten software. Kortgezegd is AI een programma dat kan “leren”. “Normale” software volgt eenvoudigweg regels en instructies die vooraf door een mens zijn geprogrammeerd, terwijl het bij AI gaat om een systeem dat data analyseert en hiervan leert, zonder tussenkomst van een mens. Zodoende “denkt” het systeem zelf na en kan het leren.
AI-toepassingen in de zorg
AI-toepassingen bieden door hun zelflerende vermogen veel mogelijkheden die andere software niet kan bieden. Programma’s als ChatGPT hebben bijvoorbeeld zo veel teksten geanalyseerd, dat zij in staat zijn om zelf teksten te schrijven over allerlei onderwerpen.
Ook in ziekenhuizen, psychologiepraktijken, revalidatieklinieken en andere zorginstellingen kan AI erg nuttig zijn. Zo kunnen chatbots zorgen voor een stroomlijning van de intake van nieuwe patiënten en kunnen slimme computers automatisch gespreksverslagen schrijven, zodat de administratieve last voor de zorgverlener wordt verminderd. In de bedrijfsvoering helpen AI-modellen bij het verwerken van facturen en het inroosteren van personeel.
Bij de zorgverlening zelf kan AI ook worden ingezet. Zo zijn er AI-modellen die getraind zijn om het verschil tussen gezond en ziek weefsel te herkennen, waardoor zij tumoren kunnen detecteren. Verder kan gedacht worden aan AI-geïntegreerde robots die worden ingezet om mensen met een beperking te begeleiden en een sociaal “maatje” te bieden.
Aandachtspunten
Als zorginstelling kan je AI-modellen inkopen, of kan je zelf een AI-model ontwikkelen. Bij beide opties komt veel kijken. Het aanschaffen van AI is niet altijd zo simpel als het inkopen van nieuwe notitieblokken of een nieuwe laptop. Je moet niet alleen rekening houden met de gebruikelijke zaken als kosten, levertijden en kwaliteit, maar ook met zaken zoals privacy, data, patiëntenrechten en het medisch beroepsgeheim. We zetten een aantal belangrijke aandachtspunten op een rij. Het signaleren van deze aandachtspunten is een goede eerste stap in de richting van compliance. In dit eerste blog bespreken wij twee aandachtspunten omtrent privacy die van belang zijn vóórdat met de inzet van AI wordt gestart: het verrichten van een DPIA en het – waar nodig – vragen van toestemming aan de patiënt. In het tweede blog bespreken wij aandachtspunten omtrent techniek en de rol van de zorgverlener.
Heb je een DPIA verricht?
Wie AI gebruikt, verwerkt vrijwel altijd persoonsgegevens. In de zorg gaat het hierbij vaak ook om medische persoonsgegevens. De Europese privacywet, de AVG, schrijft voor dat bedrijven bij risicovolle gegevensverwerkingen soms eerst een toets moeten verrichten. Zo’n privacy-toets heet een Data Protection Impact Assessment, oftewel een DPIA. Dat moet in het bijzonder wanneer er nieuwe technologie wordt gebruikt en wanneer gevoelige gegevens op grote schaal worden verwerkt. Bij het gebruik van AI in de zorg is dat al snel het geval.
In een DPIA worden de privacyrisico’s van een voorgenomen handeling onder de loep genomen. Zo moet er worden gekeken naar de betrokken belangen en rechten, moeten de noodzaak en de evenredigheid kritisch worden beoordeeld en moeten de risico’s en de veiligheidsmaatregelen in kaart worden gebracht. De DPIA moet altijd worden verricht vóórdat de AI in gebruik wordt genomen. Is een DPIA wel verplicht, maar verricht je deze niet? Dan loopt de zorginstelling het risico op een boete.
Heb je toestemming van je patiënt nodig en/of gekregen?
Medische gegevens van en over de patiënt mogen niet zomaar verwerkt worden, daar is een verwerkingsgrondslag voor nodig. Oók is een uitzondering nodig op het verwerkingsverbod dat geldt voor bijzondere persoonsgegevens zoals gezondheidsgegevens. De AVG kan een grondslag bieden voor de verwerking als het gaat om de uitvoering van de behandelingsovereenkomst of het verstrekken van gezondheidszorg. Als deze (of andere) grondslagen geen uitkomst bieden is toestemming vereist.
Als er dan toestemming vereist is, moet die toestemming ook op de juiste manier worden gegeven. Voor toestemming gelden 4 eisen:
- Toestemming moet geïnformeerd zijn, dus patiënten moeten weten waar ze “ja” tegen zeggen. De patiënt moet op een duidelijke wijze worden ingelicht, passend bij zijn bevattingsvermogen.
- Toestemming moet specifiek zijn, dus patiënten moeten toestemming geven voor een duidelijk, concreet en goed omschreven doel.
- Toestemming moet ondubbelzinnig zijn.
- Toestemming moet vrij zijn, dus patiënten moeten een daadwerkelijke keuze hebben, zonder negatieve gevolgen als ze geen toestemming geven.
Het gaat hierbij tevens om uitdrukkelijke toestemming. Je zal dus vrij snel schriftelijke toestemming nodig hebben.
Als bij de verwerking van de gegevens tevens het medisch beroepsgeheim wordt doorbroken, is naast een grondslag in de AVG ook een doorbrekingsgrond voor het medisch beroepsgeheim nodig. De doorbrekingsgrond die veelal een uitkomst kan bieden is ook in dit geval toestemming van de patiënt.
Overweegt jouw zorginstelling AI te ontwikkelen of in te kopen? Of ben je benieuwd welke mogelijkheden er eigenlijk zijn voor de inzet van AI? Neem dan gerust contact op met ons of met een van onze collega’s. Wij helpen je graag met een gesprek, advies of workshop op maat over AI in de zorg.
Rosanne Burm, advocaat gezondheidszorg
Thijmen van Hoorn, advocaat IT-recht