Datalek

Een datalek is een inbreuk die plaatsvindt op de beveiliging van persoonsgegevens binnen een organisatie. Hierbij is bijvoorbeeld sprake van ongeoorloofde toegang, vernietiging of verandering van persoonsgegevens.

Het gebruik van AI-chatbots door zorgaanbieders: hoe datalekken te voorkomen?

Steeds meer zorgaanbieders maken gebruik van verschillende vormen van kunstmatige intelligentie (ook wel: artificiële intelligentie of ‘AI’). Digitale assistenten zoals ChatGPT en Copilot kunnen bijvoorbeeld helpen bij het stellen van diagnoses, het beantwoorden van vragen over een behandeling, het maken van verwijsbrieven, het samenvatten van grote hoeveelheden informatie of het meer toegankelijk maken van informatie voor patiënten. In dit blog meer over het gebruik van AI-chatbots door zorgaanbieders, de gevolgen van een datalek en hoe datalekken bij het gebruik van AI-chatbots te voorkomen.

Lisa Machgeels

Marlou Jannink

30 oktober 2024

Artikelen

Zeker in de zorg, waar de administratieve last veelal hoog is, kunnen chatbots kostbare tijd besparen en zorgen voor meer efficiëntie. Tegelijkertijd gaat het gebruik van digitale assistenten gepaard met risico’s waar niet iedereen zich van bewust is. Een van die risico’s is een grotere kans op het ontstaan datalekken. Zo vond recentelijk een datalek bij een huisartsenpraktijk plaats nadat een medewerker medische gegevens van patiënten had ingevoerd in een AI-chatbot.

Gebruik AI-chatbot

De Autoriteit Persoonsgegevens (AP) ontving vorig jaar veruit de meeste datalekmeldingen van organisaties in de sector gezondheid, bijna 9.000. In toenemende mate ontvangt de AP daarbij meldingen van datalekken doordat medewerkers persoonsgegevens deelden met een AI-chatbot, zoals ChatGPT. De meeste partijen achter de software van een AI-chatbot zullen alle inhoud die door gebruikers wordt ingevoerd opslaan voor verdere ontwikkeling en verbetering van de chatbot. De ingevoerde gegevens komen daardoor terecht op de servers van die techbedrijven, vaak zonder dat duidelijk is wat die bedrijven precies met deze gegevens gaan doen. Degene die de data invoert in de chatbot is zich hier vaak niet voldoende bewust van. Bovendien zal in deze situatie de persoon op wie de gegevens betrekking hebben niet op de hoogte zijn dat zijn/haar gegevens worden gedeeld met andere gebruikers. Voor een dergelijk geval bestaat zelfs al een eigen term: conversational AI leak. Als het gaat om informatie over patiënten die op deze wijze zonder toestemming met een derde wordt gedeeld die niet rechtstreeks betrokken is bij de uitvoering van de behandelingsovereenkomst, veroorzaakt dat niet alleen een inbreuk op de Algemene verordening gegevensbescherming (AVG), maar ook op het medisch beroepsgeheim uit de Wet op de geneeskundige behandelingsovereenkomst (WGBO), de Jeugdwet of de Wet maatschappelijke ondersteuning 2015. Het veroorzaken van een datalek kan ook tuchtrechtelijk verwijtbaar zijn, zie bijvoorbeeld deze uitspraak van het Centraal Tuchtcollege voor de Gezondheidszorg Den Haag. De AP waarschuwt dan ook voor de inzet van AI-chatbots en het daarin invoeren van gevoelige informatie zoals persoonsgegevens.

Mogelijke gevolgen en schending informatieplicht bij datalekken

Een datalek kan grote gevolgen hebben. Dit geldt des te meer als het om medische gegevens van patiënten gaat. Deze informatie kan op straat terecht komen en bijvoorbeeld gebruikt worden voor naming and shaming of door cybercriminelen voor oplichting, identiteitsfraude of een phishingaanval. Organisaties hebben dan ook niet voor niets een meldplicht bij datalekken. Een datalek moet binnen 72 uur na kennisneming ervan gemeld worden bij de AP. De zorgaanbieder moet zelf beoordelen of het in de specifieke situatie daarnaast ook verplicht is om de slachtoffers van het datalek direct te informeren. Die verplichting bestaat wanneer het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen. In geval er medische gegevens betrokken zijn bij het datalek, is dat vrijwel altijd het geval. In de praktijk ziet de AP echter regelmatig – en met name in de zorg – dat gedupeerden niet op de hoogte worden gebracht van het feit dat hun persoonsgegevens zijn gelekt, omdat de risico’s van een datalek vaak te laag worden ingeschat. Volgens sommige zorgaanbieders is het niet in het belang van patiënten om ze te informeren over een datalek. De redenatie daarachter is dat wanneer bepaalde patiënten worden ingelicht dat ze slachtoffer zijn van een datalek, de gezondheidstoestand verder achteruit zou kunnen gaan. Waar de Wet op de geneeskundige behandelingsovereenkomst een uitzondering bevat op de informatieplicht van de hulpverlener als dat kennelijk ernstig nadeel voor de patiënt zou opleveren (ook wel de therapeutische exceptie genoemd), geldt een dergelijke uitzondering niet bij het informeren over een datalek. De wet biedt dus geen mogelijkheid om af te wijken van de meldplicht op basis van de gemoedstoestand van betrokkenen. Net als bij elk ander slachtoffer moeten ook gedupeerde patiënten bericht krijgen van een datalek als aannemelijk is dat er sprake is van een hoog risico.

Voorkomen van risico’s bij AI-chatbots

Het gebruik van AI-chatbots in de zorg hoeft zeker niet uitgesloten te worden, maar zorgaanbieders moeten er wel voor zorgen dat werknemers op een verantwoorde manier gebruik maken van dergelijke digitale assistenten. Een AI-beleid kan daarbij helpen. In een AI-beleid kan een zorgaanbieder haar werknemers wijzen op de kansen en risico’s van het gebruik van kunstmatige intelligentie en ook gedragsregels vastleggen voor de manier waarop de inzet van AI-tools is toegestaan. In een beleid dat ziet op AI-chatbots, kan de zorgaanbieder bijvoorbeeld de volgende elementen een plaats geven:

Benadrukken dat medewerkers AI-chatbots ondersteunend mogen inzetten, maar dat medewerkers niet zomaar mogen afgaan op de juistheid van de AI-output en altijd zelf eindverantwoordelijk blijven.
Benadrukken dat het niet is toegestaan om medische gegevens in een AI-chatbot in te voeren, tenzij het gaat om anonieme, niet naar de patiënt herleidbare informatie.
Een duidelijke omschrijving van de doeleinden waarvoor AI-chatbots wel en niet gebruikt mogen worden, bijvoorbeeld met betrekking tot het stellen van diagnoses, het samenvatten van medische artikelen, bij het maken van planningen voor afspraken met patiënten en administratieve ondersteuning.
Een interne meldingsprocedure voor wanneer er sprake is van een mogelijk datalek als gevolg van het gebruik van een AI-chatbot. Zo’n procedure stelt medewerkers in staat om snel en adequaat te handelen, zodat ernstige gevolgen voor de betrokken patiënten zoveel mogelijk voorkomen kunnen worden.

Naast het stellen van heldere regels en richtlijnen in een AI-beleid, kan bijvoorbeeld gedacht worden aan het expliciet in geheimhoudingsverklaringen opnemen van AI-gerelateerde clausules. Tot slot benoemen wij dat de AI-Verordening vanaf augustus 2024 gefaseerd in werking treedt. De AI-Verordening is Europese wetgeving over het gebruik van AI-systemen en geldt voor zowel ontwikkelaars als gebruikers van AI- systemen. Ten aanzien van chatbots geldt vanaf augustus 2026 een transparantieverplichting. Deze transparantieverplichting houdt voor een zorgaanbieder in dat wanneer zij bijvoorbeeld gebruik maakt van een chatbot waarmee de patiënten zelf contact kunnen leggen – bijvoorbeeld voor het plannen van een afspraak – de zorgaanbieder dan kenbaar moet maken dat gebruik wordt gemaakt van een AI-chatbot en dat er geen contact plaatsvindt met een echt persoon.

Conclusie

AI-chatbots kunnen in de zorg vele mogelijkheden bieden als het gaat om innovatie en efficiëntie, maar vragen tegelijkertijd ook een bepaalde mate van aanpassingsvermogen en waakzaamheid van zorgaanbieders. Als zorgaanbieders hier tijdig op voorbereid zijn en een juiste balans weten te vinden tussen enerzijds het profiteren van alle mogelijkheden die AI-tools zoals AI-chatbots met zich meebrengen en anderzijds het beschermen van (medische) gegevens, dan kan het zonder meer een waardevolle toevoeging zijn voor de gezondheidszorg.

Reacties

MEER REACTIES

Laat een reactie achter Reactie annuleren

U moet ingelogd zijn om een reactie te plaatsen.

NIEUWS

Kun je plannen voor een Zero Day?

Blog

Geopolitieke spanningen en cyberrisico’s bedreigen financiële stabiliteit, waarschuwen Europese toezichthouders

Nieuws-persbericht

Bijgewerkte EU AI modelcontractbepalingen nu beschikbaar

Nieuws-persbericht

Onderzoek afhandeling van datalekken in de jeugdzorg

Nieuws-persbericht

De Autoriteit Persoonsgegevens (AP) onderzocht de afhandeling van datalekken in de jeugdzorg. Met het onderzoek vraagt de AP aandacht voor het belang van het zorgvuldig melden en registreren...

Vertrouwen krijgen in data en datakwaliteit door middel van data lineage

Nieuws-persbericht

Wetenschappelijk Onderzoek- en Datacentrum

Beleid e-mailarchivering een stap verder

Nieuws-persbericht

AI in Loyaltyprogramma’s: de holy grail voor iedere marketeer?

Nieuws-persbericht

Meerdere Nederlandse supermarkten gebruiken ‘AI-surveillance’

Nieuws-persbericht

OMRON bloeddrukmeter-app deelde locatiegegevens met derde partij

Nieuws-persbericht

Informatiebeveiliging Nederland

De juridische aspecten van AI

De recente overeenkomst over de AI Verordening maakt kennis over AI en de (on)mogelijkheden hiervan nog belangrijker. AI kent, naast veel mogelijkheden, ook risico’s en valkuilen op het gebied van intellectueel eigendom, privacy en vertrouwelijkheid en misleidende resultaten. Hoe kan op een verantwoorde manier van AI en LLM’s gebruik gemaakt kan worden zodat deze een hulpmiddel worden om beter en effectiever te werken? Bij deze cursus krijg je gratis het e-college AI/ChatGTP : de praktische en juridische aspecten. Dit e-college kun je waar en wanneer je wilt bekijke

Meer informatie

ChatGPT voor privacy professionals

AI speelt een steeds grotere rol in het werk van privacyprofessionals. Van het opstellen van teksten en analyseren van documenten tot het verkrijgen van nieuwe inzichten - AI-tools zoals ChatGPT en CoPilot kunnen veel werk uit handen nemen. Maar… alleen als je weet hoe je ze slim en veilig inzet. De kwaliteit van de output valt of staat met één ding: de vraag die je stelt. Wil je ChatGPT slimmer en effectiever inzetten in je dagelijkse werk? Leer hoe je met de juiste prompts tijd wint, betere resultaten behaalt en fouten voorkomt.

Meer informatie

Datalekken: voorbereiden, herkennen en reageren

Tijdens deze cursus wordt de huidige stand van zaken ten aanzien van de meldplicht datalekken behandeld. Wat precies kwalificeert een datalek en welke wettelijke verplichtingen gelden ten aanzien van een datalek? Ook de aanvullende verplichtingen die volgen uit de beleidsregels van de toezichthouders en de praktijk rondom het melden van een datalek bij de Autoriteit Persoonsgegevens zullen worden besproken. Verder komen andere relevante factoren, zoals het doen van aangifte, het te woord staan van de pers en de mogelijkheden om voor te bereiden op een datalek tijdens deze cursus uitgebreid aan bod.

Meer informatie

Expert lidmaatschap

Profiteer nu

Verdiepingscursus Privacy op de werkvloer

Het waarborgen van privacy op de werkvloer is een complexe uitdaging geworden. Werkgevers hebben steeds meer mogelijkheden tot het verzamelen en gebruiken van persoonlijke gegevens van werknemers. Vaak om efficiëntie te vergroten maar in sommige gevallen kunnen beslissingen worden genomen die grote gevolgen hebben voor betrokkenen. In deze cursus wordt, o.a. aan de hand van actuele jurisprudentie, ingegaan op de do’s en dont’s met betrekking tot privacy op de werkvloer. Mag je een werknemer ontslaan bij een datalek? En wat doe je als een werknemer gesprekken heeft opgenomen in verband met een arbeidsconflict? Wanneer weegt het belang van de werkgever zwaarder dan de privacy rechten van een werknemer? Hoe ga je om met AI in sollicitatieprocedures?

Meer informatie

Menu

FILTER OP CONTENT