Artificial intelligence in de zorg: 6 juridische aandachtspunten voor veilige inzet

AI-toepassingen in de zorg

AI-toepassingen bieden door hun zelflerende vermogen veel mogelijkheden die andere software niet kan bieden. Programma’s als ChatGPT hebben bijvoorbeeld zo veel teksten geanalyseerd, dat zij in staat zijn om zelf teksten te schrijven over allerlei onderwerpen.

Ook in ziekenhuizen, psychologiepraktijken, revalidatieklinieken en andere zorginstellingen kan AI erg nuttig zijn. Zo zijn er AI-modellen die getraind zijn om het verschil tussen gezond en ziek weefsel te herkennen, waardoor zij tumoren kunnen detecteren, kunnen chatbots zorgen voor een stroomlijning van de intake van nieuwe patiënten en kunnen slimme computers automatisch gespreksverslagen schrijven, zodat de administratieve last voor de zorgverlener wordt verminderd. AI-geïntegreerde robots kunnen mensen met een beperking begeleiden en ondersteunen, en in de bedrijfsvoering helpen AI-modellen bij het verwerken van facturen en het inroosteren van personeel.

Deze toepassingen lijken praktisch, maar vragen om kritische reflectie en juridische toetsing. Want met het gebruik van AI in de zorg worden ook medische gegevens verwerkt, besluiten voorbereid of zelfs genomen, en ontstaat er interactie tussen technologie en mens. 

Aandachtspunten bij de inzet van AI in de zorg 

Als zorginstelling kunt u AI-modellen inkopen, of zelf een model ontwikkelen. In beide gevallen zijn er belangrijke juridische aandachtspunten, zoals privacy, data, patiëntenrechten en het medisch beroepsgeheim. Deze aandachtspunten zijn essentieel voor een verantwoorde en juridisch correcte inzet van AI in de zorg. 

1. Voer een DPIA uit bij artificial intelligence in de zorg

Zodra AI in de zorg wordt ingezet, is er vrijwel altijd sprake van het verwerken van persoonsgegevens, vaak ook van gevoelige medische aard. In dat geval verplicht de AVG de uitvoering van een Data Protection Impact Assessment (DPIA) als sprake is van een verhoogd privacyrisico. Dat moet in het bijzonder wanneer er nieuwe technologie wordt gebruikt en wanneer gevoelige gegevens op grote schaal worden verwerkt. Bij het gebruik van AI in de zorg is dat al snel het geval. 

De DPIA brengt de risico’s van een geplande verwerking in kaart, toetst de noodzaak en evenredigheid, en beschrijft mitigerende maatregelen. Dit is zeer relevant bij AI, omdat de werking vaak complex en niet volledig transparant is. Let op: de DPIA moet altijd voorafgaand aan het gebruik van de AI worden uitgevoerd. Wordt dit nagelaten terwijl het wél verplicht is? Dan loopt de zorginstelling risico op handhaving of boetes door de Autoriteit Persoonsgegevens. 

2. Vraag toestemming van de patient bij AI-toepassingen in de zorg

Medische gegevens mogen niet zomaar verwerkt worden. Voor verwerking is een grondslag nodig én een uitzondering op het verbod op verwerking van bijzondere gegevens. Vaak biedt de behandelrelatie een grondslag (uitvoering van de overeenkomst), maar niet altijd. Wanneer die ontbreekt, is toestemming van de patiënt vereist. 

De 4 voorwaarden voor geldige toestemming 

Als er dan toestemming vereist is, moet die toestemming ook op de juiste manier worden gegeven. Deze toestemming moet aan vier cumulatieve voorwaarden voldoen: 

• Toestemming moet geïnformeerd zijn, dus patiënten moeten weten waar ze “ja” tegen zeggen. De patiënt moet op een duidelijke wijze worden ingelicht, passend bij zijn bevattingsvermogen.
• Toestemming moet specifiek zijn, dus patiënten moeten toestemming geven voor een duidelijk, concreet en goed omschreven doel.
• Toestemming moet ondubbelzinnig zijn.
• Toestemming moet vrij zijn, dus patiënten moeten een daadwerkelijke keuze hebben, zonder negatieve gevolgen als ze geen toestemming geven.

Daarnaast moet de toestemming uitdrukkelijk zijn: dit betekent meestal schriftelijk. Als door de inzet van AI het medisch beroepsgeheim wordt doorbroken ,bijvoorbeeld omdat een derde partij toegang krijgt tot gegevens, is ook daarvoor toestemming nodig, tenzij een andere doorbrekingsgrond van toepassing is. 

3. Toets de betrouwbaarheid van AI-systemen zorgvuldig 

De betrouwbaarheid van AI is geen gegeven. Een AI-systeem kan verkeerde of misleidende conclusies trekken, vooral als de input onjuist of niet representatief is. Een zorginstelling moet daarom kritisch kijken naar de vraag: Wat doet het systeem precies, en kan ik op de uitkomst vertrouwen?

Afspraken over betrouwbaarheid en aansprakelijkheid

Houd rekening met deze belangrijke aandachtspunten:

• De gebruiker – vaak een zorgverlener – moet begrijpen welke input nodig is en wat de output betekent.
• AI mag nooit ‘blind’ worden gevolgd. De zorgverlener blijft (juridisch) verantwoordelijk voor behandelbeslissingen.
• Fouten in het gebruik van AI, of het inzetten van een ondeugdelijk AI-systeem, kunnen leiden tot aansprakelijkheid.

Als AI speciaal wordt ontwikkeld voor een zorginstelling, moeten afspraken worden vastgelegd over betrouwbaarheid, kwaliteitscriteria en validatie. Bij standaardsoftware ligt die verantwoordelijkheid (mede) bij de leverancier. Zorg dat deze aansprakelijkheid en instructieverantwoordelijkheden duidelijk zijn vastgelegd in de overeenkomst.

Wanneer is geautomatiseerde besluitvorming met AI juridisch toegestaan?

Ook wanneer het systeem ogenschijnlijk betrouwbaar werkt, is de toepassing soms juridisch niet toegestaan. Denk aan geautomatiseerde besluitvorming of profilering: als een AI-systeem zelfstandig medische beslissingen neemt zonder tussenkomst van een zorgverlener, is dit onder de AVG niet, of slechts onder strikte voorwaarden toegestaan. Hetzelfde geldt wanneer AI persoonlijke kenmerken gebruikt om gedragingen of risico’s te voorspellen. 

4. Beveilig medische gegevens bij het gebruik van AI

Beveiliging is essentieel, zeker bij de verwerking van gezondheidsgegevens. Volgens de AVG moet de beveiliging ‘passend’ zijn. In de praktijk betekent dit: versleuteling, toegangsbeveiliging, logging, en procedures bij datalekken. 

Verwerking buiten de EU en het beroepsgeheim

Daarbij gelden aanvullende verplichtingen:

• De opslag van gegevens buiten de EU is slechts toegestaan als aan specifieke AVG-voorwaarden is voldaan. Gebruik van AI-diensten van Amerikaanse leveranciers vereist dus extra aandacht.
• Alleen verwerkers die aantoonbaar voldoen aan de beveiligingseisen mogen worden ingeschakeld.
• De aankomende NIS2-richtlijn en de Cyberbeveiligingswet stellen aanvullende cybersecurity-eisen aan zorgaanbieders.

Ook het medisch beroepsgeheim speelt een rol. Als AI-systemen gegevens toegankelijk maken voor anderen dan direct betrokken zorgverleners, kan sprake zijn van een schending van dat geheim met mogelijk tuchtrechtelijke gevolgen. 

5. Voorkom schaduwadministratie bij inzet van AI in de zorg

AI-systemen genereren vaak automatisch informatie: diagnoses, gespreksverslagen, facturen. Maar waar worden deze gegevens opgeslagen? En wie heeft toegang?

Beleid tegen dubbele opslag van patiëntgegevens

Alle informatie die relevant is voor de behandeling van een patiënt moet onderdeel zijn van het medisch dossier. Tegelijkertijd schrijft de AVG voor dat gegevens niet onnodig of dubbel mogen worden opgeslagen (dataminimalisatie). Het langdurig bewaren van dezelfde informatie in het systeem van de AI-tool is in strijd met dat principe.

Zorginstellingen moeten beleid opstellen dat voorkomt dat een tweede (‘schaduw’)dossier ontstaat. Na controle en overname in het medisch dossier, moeten gegevens uit het AI-systeem worden verwijderd. Zo wordt voldaan aan de privacywet én blijft de integriteit van het medisch beroepsgeheim gewaarborgd. 

6. Bereid u juridisch voor op nieuwe wetgeving over artificial intelligence in de zorg

Technologie, en dan met name technologie in de zorg, wordt de afgelopen jaren in hoog tempo gereguleerd door allerlei wetgeving. Zo moeten medische hulpmiddelen voldoen aan de Medical Devices Regulation (MDR), en wordt zoals hierboven beschreven de NIS2-richtlijn voor cybersecurity binnenkort van toepassing.

De Europese Unie zit ook niet stil en reguleert AI in toenemende mate. Wie artificial intelligence in de zorg wil inzetten, moet ook rekening houden met aankomende wetgeving die vergaande verplichtingen oplegt:

Vooruitblik: AI Act, NIS2 en de Cyber Resilience Act

• AI Act: classificatie van AI-systemen voor zorgtoepassingen als ‘hoog risico’. Dit brengt verplichtingen mee zoals:
  • Transparante werking en uitlegbaarheid
  • Risicobeheersystemen
  • Registratieverplichtingen
  • Beoordeling vooraf door een conformiteitsinstantie;
  • Toezicht door mensen (‘human oversight’). 
• Cyber Resilience Act (CRA): stelt aanvullende beveiligingsverplichtingen aan fabrikanten, importeurs en distributeurs van AI-gedreven zorgtechnologie.
• NIS2-richtlijn: verplicht zorginstellingen tot verbeterde cybersecurity-maatregelen, incidentrapportage en risicoanalyse.
  

Verantwoord gebruik begint bij bewustwording

Artificial intelligence in de zorg biedt onmiskenbaar kansen, maar ook risico’s. De inzet ervan raakt het hart van de zorgrelatie, het beroepsgeheim en de privacy van patiënten. Maar door voorafgaand goed op te letten wordt AI geen risico, maar een waardevolle ondersteuning.

Overweegt uw organisatie om AI in te zetten, of wilt u toetsen of uw beleid en processen toekomstbestendig zijn? Neem dan gerust contact op met een van onze specialisten. Wij helpen u graag met een gesprek, advies, of workshop op maat over AI in de zorg.