Stel dat uw ziekenhuis wordt benaderd door een leverancier gespecialiseerd in softwaretools voor beeldanalyse. De leverancier zou graag toegang willen krijgen tot scans van patiënten waarbij huidkanker is vastgesteld, om op die manier een softwaretool te ontwikkelen die huidkanker in een vroeg stadium kan herkennen. U krijgt vervolgens een flinke korting op de aanschafkosten daarvan. Herkenbaar? Zorg dan dat u de onderstaande tips doorleest vóórdat u met de leverancier in onderhandeling treedt.
Deze blog gaat specifiek over privacy. In deel 1 van deze blog zijn de cruciale voorvragen, het juridisch kader en een aantal contractuele tips besproken.
Bij het toepassen van AI in de zorg moet rekening worden gehouden met de privacy van patiënten. Een AI tool heeft voor een goede werking data nodig. Alle informatie over patiënten wordt aangemerkt als ‘persoonsgegevens’. Op de verwerking van persoonsgegevens zijn de AVG en de UAVG van toepassing. Daarnaast geldt voor hulpverleners het medisch beroepsgeheim. Dat levert de nodige uitdagingen op. Let in ieder geval op de volgende aandachtspunten.
Gegevens die iets zeggen over iemands gezondheid kwalificeren als ‘bijzondere persoonsgegevens’. Scans van patiënten waarbij huidkanker is vastgesteld zijn hier een voorbeeld van. Vanwege de gevoelige aard van bijzondere persoonsgegevens geldt in beginsel een verbod op de verwerking daarvan. Het verwerken van bijzondere persoonsgegevens is slechts toegestaan wanneer dit kan worden gebaseerd op een van de specifieke uitzonderingen die in de AVG of de UAVG zijn opgenomen. Uitdrukkelijke toestemming van de patiënt is een mogelijkheid, maar er zijn alternatieven. In de UAVG zijn bijvoorbeeld uitzonderingen opgenomen voor wetenschappelijk onderzoek, goede behandeling van patiënten en het waarborgen van de kwaliteit van de verleende zorg.
Naast de regels over gezondheidsgegevens in de AVG en UAVG is in de WGBO opgenomen dat de hulpverlener aan anderen dan de patiënt geen inlichtingen over de patiënt mag verstrekken zonder toestemming. Het medisch beroepsgeheim kan in de weg staan aan het toepassen van AI in de zorg. Onder anderen dan de patiënt worden echter niet begrepen degenen die ‘rechtstreeks betrokken’ zijn bij de uitvoering van de behandelingsovereenkomst. De KNMG noemt bijvoorbeeld verpleegkundigen, doktersassistenten en diëtisten. De Autoriteit Persoonsgegevens (AP) stelt zich verder op het standpunt dat voor de opslag van patiëntgegevens in de cloud geen toestemming nodig is omdat (ook) de cloudprovider kan worden beschouwd als ‘rechtstreeks betrokken’ bij de uitvoering van de behandelingsovereenkomst. Gelet op het voorbeeld van de AP is het niet ondenkbaar dat een AI leverancier kan worden aangemerkt als ‘rechtstreeks betrokken’, maar dat is nog geen algemeen geaccepteerd standpunt.
Mogelijk stelt de AI leverancier voor om een verwerkersovereenkomst te sluiten met het ziekenhuis, waarin de AI leverancier wordt aangemerkt als verwerker. Vraag in dat geval goed door wat de AI leverancier precies gaat doen met de persoonsgegevens en voor welke doeleinden. Een AI leverancier die persoonsgegevens voor eigen doeleinden verwerkt kan namelijk niet worden aangemerkt als verwerker en dat betekent dat er geen verwerkersovereenkomst moet worden gesloten. Aangezien data bij AI doorgaans niet alleen wordt gebruikt om intelligente voorspellingen te doen maar (juist) ook om de AI tool voortdurend te verbeteren, kan al snel sprake zijn van verwerking door de AI leverancier voor eigen doeleinden. In de zin van de AVG is de AI leverancier dan geen verwerker, maar een verwerkingsverantwoordelijke. Ook dan is het verstandig om een contract te sluiten met duidelijke privacy afspraken, maar geen verwerkersovereenkomst.
De AVG bevat een verbod om besluiten te nemen die de patiënt in aanmerkelijke mate treffen en die uitsluitend zijn gebaseerd op een geautomatiseerde verwerking van persoonsgegevens. Wanneer aan de hand van AI een behandelkeuze wordt gemaakt dan moet rekening worden gehouden met dit verbod. Een medische behandelkeuze kan immers bij uitstek een besluit zijn dat de patiënt in aanmerkelijke mate treft. Het betrekken van automatisch gegenereerde aanbevelingen bij een behandelkeuze is niet in strijd met dit verbod, want het besluit is dan niet ‘uitsluitend’ gebaseerd op geautomatiseerde verwerking. Maar als een hulpverlener automatisch gegenereerde aanbevelingen altijd opvolgt dan gaat deze vlieger niet op. Er zijn overigens enkele uitzonderingen op dit verbod, waaronder uitdrukkelijke toestemming van de patiënt.
De AP houdt toezicht op het gebruik van persoonsgegevens. AI & algoritmes is tot en met 2023 één van de drie focusgebieden van de AP. In de zorgsector heeft de AP reeds met enige regelmaat handhavend opgetreden. In 2019 heeft de AP een boete van EUR 460.000 opgelegd aan het HagaZiekenhuis en in 2021 een boete van EUR 440.000 aan het OLVG ziekenhuis, vanwege onvoldoende beveiliging van patiëntendossiers.
Op 21 april 2021 heeft de Europese Commissie (EC) een concept AI-Verordening gepubliceerd. Deze concept verordening geeft regels over de ontwikkeling, commodificatie en het gebruik van AI gedreven producten, diensten en systemen binnen de EU.
De verordening heeft een risicogebaseerde aanpak waarbij een onderscheid wordt gemaakt tussen AI-toepassingen met verschillende risico’s (onaanvaardbaar, hoog, laag of minimaal). Indien een AI-systeem voor de zorg als medisch hulpmiddel wordt gekwalificeerd op grond van de Medical Device Regulation (2017/745/EU), geldend per 26 mei 2020, zal dit systeem waarschijnlijk onder de categorie “hoog risico” vallen. Wanneer een AI-systeem in de categorie “hoog risico” valt, zijn er heel wat voorschriften waaraan moet worden voldaan, waaronder risicobeheer, gegevensbeheer, technische documentatie, registratieplicht, transparantie en informatieverstrekking aan gebruikers, menselijk toezicht, nauwkeurigheid, robuustheid en cyberbeveiliging.
Als uw organisatie bijdraagt aan de ontwikkeling van een AI-systeem of aan het onderhoud ervan, is het verstandig nu al rekening te houden met de voorschriften uit de verordening en uw organisatie alvast daarop in te richten.