Menu

Filter op
content
PONT Data&Privacy
  • PONT home
    • molen

    0

    Datalek
    Een datalek is een inbreuk die plaatsvindt op de beveiliging van persoonsgegevens binnen een organisatie. Hierbij is bijvoorbeeld sprake van ongeoorloofde toegang, vernietiging of verandering van persoonsgegevens.

    Het gebruik van AI-chatbots door zorgaanbieders: hoe datalekken te voorkomen?

    Steeds meer zorgaanbieders maken gebruik van verschillende vormen van kunstmatige intelligentie (ook wel: artificiële intelligentie of ‘AI’). Digitale assistenten zoals ChatGPT en Copilot kunnen bijvoorbeeld helpen bij het stellen van diagnoses, het beantwoorden van vragen over een behandeling, het maken van verwijsbrieven, het samenvatten van grote hoeveelheden informatie of het meer toegankelijk maken van informatie voor patiënten. In dit blog meer over het gebruik van AI-chatbots door zorgaanbieders, de gevolgen van een datalek en hoe datalekken bij het gebruik van AI-chatbots te voorkomen.

    Lisa Machgeels
    Lisa Machgeels
    Marlou Jannink

    30 oktober 2024

    Artikelen

    Artikelen
     

    Zeker in de zorg, waar de administratieve last veelal hoog is, kunnen chatbots kostbare tijd besparen en zorgen voor meer efficiëntie. Tegelijkertijd gaat het gebruik van digitale assistenten gepaard met risico’s waar niet iedereen zich van bewust is. Een van die risico’s is een grotere kans op het ontstaan datalekken. Zo vond recentelijk een datalek bij een huisartsenpraktijk plaats nadat een medewerker medische gegevens van patiënten had ingevoerd in een AI-chatbot.

    Gebruik AI-chatbot

    De Autoriteit Persoonsgegevens (AP) ontving vorig jaar veruit de meeste datalekmeldingen van organisaties in de sector gezondheid, bijna 9.000. In toenemende mate ontvangt de AP daarbij meldingen van datalekken doordat medewerkers persoonsgegevens deelden met een AI-chatbot, zoals ChatGPT. De meeste partijen achter de software van een AI-chatbot zullen alle inhoud die door gebruikers wordt ingevoerd opslaan voor verdere ontwikkeling en verbetering van de chatbot. De ingevoerde gegevens komen daardoor terecht op de servers van die techbedrijven, vaak zonder dat duidelijk is wat die bedrijven precies met deze gegevens gaan doen. Degene die de data invoert in de chatbot is zich hier vaak niet voldoende bewust van. Bovendien zal in deze situatie de persoon op wie de gegevens betrekking hebben niet op de hoogte zijn dat zijn/haar gegevens worden gedeeld met andere gebruikers. Voor een dergelijk geval bestaat zelfs al een eigen term: conversational AI leak. Als het gaat om informatie over patiënten die op deze wijze zonder toestemming met een derde wordt gedeeld die niet rechtstreeks betrokken is bij de uitvoering van de behandelingsovereenkomst, veroorzaakt dat niet alleen een inbreuk op de Algemene verordening gegevensbescherming (AVG), maar ook op het medisch beroepsgeheim uit de Wet op de geneeskundige behandelingsovereenkomst (WGBO), de Jeugdwet of de Wet maatschappelijke ondersteuning 2015. Het veroorzaken van een datalek kan ook tuchtrechtelijk verwijtbaar zijn, zie bijvoorbeeld deze uitspraak van het Centraal Tuchtcollege voor de Gezondheidszorg Den Haag. De AP waarschuwt dan ook voor de inzet van AI-chatbots en het daarin invoeren van gevoelige informatie zoals persoonsgegevens.

    Mogelijke gevolgen en schending informatieplicht bij datalekken

    Een datalek kan grote gevolgen hebben. Dit geldt des te meer als het om medische gegevens van patiënten gaat. Deze informatie kan op straat terecht komen en bijvoorbeeld gebruikt worden voor naming and shaming of door cybercriminelen voor oplichting, identiteitsfraude of een phishingaanval. Organisaties hebben dan ook niet voor niets een meldplicht bij datalekken. Een datalek moet binnen 72 uur na kennisneming ervan gemeld worden bij de AP. De zorgaanbieder moet zelf beoordelen of het in de specifieke situatie daarnaast ook verplicht is om de slachtoffers van het datalek direct te informeren. Die verplichting bestaat wanneer het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen. In geval er medische gegevens betrokken zijn bij het datalek, is dat vrijwel altijd het geval. In de praktijk ziet de AP echter regelmatig – en met name in de zorg – dat gedupeerden niet op de hoogte worden gebracht van het feit dat hun persoonsgegevens zijn gelekt, omdat de risico’s van een datalek vaak te laag worden ingeschat. Volgens sommige zorgaanbieders is het niet in het belang van patiënten om ze te informeren over een datalek. De redenatie daarachter is dat wanneer bepaalde patiënten worden ingelicht dat ze slachtoffer zijn van een datalek, de gezondheidstoestand verder achteruit zou kunnen gaan. Waar de Wet op de geneeskundige behandelingsovereenkomst een uitzondering bevat op de informatieplicht van de hulpverlener als dat kennelijk ernstig nadeel voor de patiënt zou opleveren (ook wel de therapeutische exceptie genoemd), geldt een dergelijke uitzondering niet bij het informeren over een datalek. De wet biedt dus geen mogelijkheid om af te wijken van de meldplicht op basis van de gemoedstoestand van betrokkenen. Net als bij elk ander slachtoffer moeten ook gedupeerde patiënten bericht krijgen van een datalek als aannemelijk is dat er sprake is van een hoog risico.

    Voorkomen van risico’s bij AI-chatbots

    Het gebruik van AI-chatbots in de zorg hoeft zeker niet uitgesloten te worden, maar zorgaanbieders moeten er wel voor zorgen dat werknemers op een verantwoorde manier gebruik maken van dergelijke digitale assistenten. Een AI-beleid kan daarbij helpen. In een AI-beleid kan een zorgaanbieder haar werknemers wijzen op de kansen en risico’s van het gebruik van kunstmatige intelligentie en ook gedragsregels vastleggen voor de manier waarop de inzet van AI-tools is toegestaan. In een beleid dat ziet op AI-chatbots, kan de zorgaanbieder bijvoorbeeld de volgende elementen een plaats geven:
    1. Benadrukken dat medewerkers AI-chatbots ondersteunend mogen inzetten, maar dat medewerkers niet zomaar mogen afgaan op de juistheid van de AI-output en altijd zelf eindverantwoordelijk blijven.
    2. Benadrukken dat het niet is toegestaan om medische gegevens in een AI-chatbot in te voeren, tenzij het gaat om anonieme, niet naar de patiënt herleidbare informatie.
    3. Een duidelijke omschrijving van de doeleinden waarvoor AI-chatbots wel en niet gebruikt mogen worden, bijvoorbeeld met betrekking tot het stellen van diagnoses, het samenvatten van medische artikelen, bij het maken van planningen voor afspraken met patiënten en administratieve ondersteuning.
    4. Een interne meldingsprocedure voor wanneer er sprake is van een mogelijk datalek als gevolg van het gebruik van een AI-chatbot. Zo’n procedure stelt medewerkers in staat om snel en adequaat te handelen, zodat ernstige gevolgen voor de betrokken patiënten zoveel mogelijk voorkomen kunnen worden.
    Naast het stellen van heldere regels en richtlijnen in een AI-beleid, kan bijvoorbeeld gedacht worden aan het expliciet in geheimhoudingsverklaringen opnemen van AI-gerelateerde clausules. Tot slot benoemen wij dat de AI-Verordening vanaf augustus 2024 gefaseerd in werking treedt. De AI-Verordening is Europese wetgeving over het gebruik van AI-systemen en geldt voor zowel ontwikkelaars als gebruikers van AI- systemen. Ten aanzien van chatbots geldt vanaf augustus 2026 een transparantieverplichting. Deze transparantieverplichting houdt voor een zorgaanbieder in dat wanneer zij bijvoorbeeld gebruik maakt van een chatbot waarmee de patiënten zelf contact kunnen leggen – bijvoorbeeld voor het plannen van een afspraak – de zorgaanbieder dan kenbaar moet maken dat gebruik wordt gemaakt van een AI-chatbot en dat er geen contact plaatsvindt met een echt persoon.

    Conclusie

    AI-chatbots kunnen in de zorg vele mogelijkheden bieden als het gaat om innovatie en efficiëntie, maar vragen tegelijkertijd ook een bepaalde mate van aanpassingsvermogen en waakzaamheid van zorgaanbieders. Als zorgaanbieders hier tijdig op voorbereid zijn en een juiste balans weten te vinden tussen enerzijds het profiteren van alle mogelijkheden die AI-tools zoals AI-chatbots met zich meebrengen en anderzijds het beschermen van (medische) gegevens, dan kan het zonder meer een waardevolle toevoeging zijn voor de gezondheidszorg.
    AKD

    Artikel delen

    Reacties

    MEER REACTIES

    Laat een reactie achter

    U moet ingelogd zijn om een reactie te plaatsen.

    NIEUWS

    Overheid verruimt standpunt inzet generatieve AI

    Nieuws-persbericht

    79 miljoen slachtoffers datalek T-Mobile ontvangen compensatie

    Nieuws-persbericht

    Jaaroverzicht IT 2024

    Blog

    Richtlijn voor gebruik van AI-toepassingen door gerechtelijk deskundigen

    Nieuws-persbericht

    Deze richtlijn van het Landelijk Register van Gerechtelijk Deskundigen (LRGD) biedt handvatten voor het verantwoord gebruik van AI-toepassingen door gerechtelijk deskundigen. Ze beschrijft...

    The Current Status of the AI Act: Navigating the Future of AI Regulation in the EU

    Blog
    Frederiek Fernhout

    Kun je plannen voor een Zero Day?

    Blog

    Geopolitieke spanningen en cyberrisico’s bedreigen financiële stabiliteit, waarschuwen Europese toezichthouders

    Nieuws-persbericht

    Bijgewerkte EU AI modelcontractbepalingen nu beschikbaar

    Nieuws-persbericht

    Onderzoek afhandeling van datalekken in de jeugdzorg

    Nieuws-persbericht
    Autoriteit Persoonsgegevens

    KENNISPARTNER

    Rosalie Brand

    Contact

    Privacy in de Zorg; AI Act en EHDS praktisch besproken

    Deze eendaagse cursus biedt privacy professionals in de zorgsector een diepgaand inzicht in de twee cruciale complexe wetgevingen die de toekomst van privacy beheer in de zorg enorm zullen beïnvloeden: de AI Act en de European Health Data Space (EHDS). Tijdens de cursus krijg je de mogelijkheid om te leren hoe je deze wetgevingen in de praktijk kunt implementeren om de privacy van patiënten te waarborgen in een steeds meer data-gedreven omgeving. Deze cursus is een must voor elke privacy professional die werkzaam is in de zorgsector en meer wil leren over de opkomende regelgeving rondom AI en datagebruik.

    Meer informatie

    Expert lidmaatschap

    Expert lidmaatschap

    Profiteer nu

    Datalekken: voorbereiden, herkennen en reageren

    Tijdens deze cursus wordt de huidige stand van zaken ten aanzien van de meldplicht datalekken behandeld. Wat precies kwalificeert een datalek en welke wettelijke verplichtingen gelden ten aanzien van een datalek? Ook de aanvullende verplichtingen die volgen uit de beleidsregels van de toezichthouders en de praktijk rondom het melden van een datalek bij de Autoriteit Persoonsgegevens zullen worden besproken. Verder komen andere relevante factoren, zoals het doen van aangifte, het te woord staan van de pers en de mogelijkheden om voor te bereiden op een datalek tijdens deze cursus uitgebreid aan bod.

    Meer informatie

    IT contracten: verdieping en praktische tips

    In deze verdiepende tweedaagse cursus leer je alles over het opstellen en beheren van IT-contracten. Of je nu te maken hebt met hardware- en softwarelicenties, maatwerkprojecten of de uitdagingen van cloudcontracten en data transfers, deze cursus biedt je de kennis en tools om sterke, waterdichte overeenkomsten te creëren. Uiteraard is er ook aandacht voor de nieuwste cybersecurity eisen.

    Meer informatie

    AI Officer voor de Publieke Sector

    Meer informatie

    Word lid van PONT | Data & Privacy

  • Toegang tot Kennisbank
  • Lees e-books
  • Contact met vakgenoten
  • Eigen nieuwsoverzicht
    • WORD LID

    Algemeen

    Service

    Navigeer

    Berghauser Pont Mediagroep

    CONTACT

    𝕏

    Copyright 2025 Berghauser Pont | Website gemaakt door Buro Zero