AI in de zorg (deel 2): privacy

Stel dat uw ziekenhuis wordt benaderd door een leverancier gespecialiseerd in softwaretools voor beeldanalyse. De leverancier zou graag toegang willen krijgen tot scans van patiënten waarbij huidkanker is vastgesteld, om op die manier een softwaretool te ontwikkelen die huidkanker in een vroeg stadium kan herkennen. U krijgt vervolgens een flinke korting op de aanschafkosten daarvan. Herkenbaar? Zorg dan dat u de onderstaande tips doorleest vóórdat u met de leverancier in onderhandeling treedt.

Deze blog gaat specifiek over privacy. In deel 1 van deze blog zijn de cruciale voorvragen, het juridisch kader en een aantal contractuele tips besproken: [AI in de zorg (deel 1 )].

Privacyrecht

Bij het toepassen van AI in de zorg moet rekening worden gehouden met de privacy van patiënten. Een AI tool heeft voor een goede werking data nodig. Alle informatie over patiënten wordt aangemerkt als ‘persoonsgegevens’. Op de verwerking van persoonsgegevens zijn de AVG en de UAVG van toepassing. Daarnaast geldt voor hulpverleners het medisch beroepsgeheim. Dat levert de nodige uitdagingen op. Let in ieder geval op de volgende aandachtspunten.

Gezondheidsgegevens

Gegevens die iets zeggen over iemands gezondheid kwalificeren als ‘bijzondere persoonsgegevens’. Scans van patiënten waarbij huidkanker is vastgesteld zijn hier een voorbeeld van. Vanwege de gevoelige aard van bijzondere persoonsgegevens geldt in beginsel een verbod op de verwerking daarvan. Het verwerken van bijzondere persoonsgegevens is slechts toegestaan wanneer dit kan worden gebaseerd op een van de specifieke uitzonderingen die in de AVG of de UAVG zijn opgenomen. Uitdrukkelijke toestemming van de patiënt is een mogelijkheid, maar er zijn alternatieven. In de UAVG zijn bijvoorbeeld uitzonderingen opgenomen voor wetenschappelijk onderzoek, goede behandeling van patiënten en het waarborgen van de kwaliteit van de verleende zorg.

Medisch beroepsgeheim

Naast de regels over gezondheidsgegevens in de AVG en UAVG is in de WGBO opgenomen dat de hulpverlener aan anderen dan de patiënt geen inlichtingen over de patiënt mag verstrekken zonder toestemming. Het medisch beroepsgeheim kan in de weg staan aan het toepassen van AI in de zorg. Onder anderen dan de patiënt worden echter niet begrepen degenen die ‘rechtstreeks betrokken’ zijn bij de uitvoering van de behandelingsovereenkomst. De KNMG noemt bijvoorbeeld verpleegkundigen, doktersassistenten en diëtisten. De Autoriteit Persoonsgegevens (AP) stelt zich verder op het standpunt dat voor de opslag van patiëntgegevens in de cloud geen toestemming nodig is omdat (ook) de cloudprovider kan worden beschouwd als ‘rechtstreeks betrokken’ bij de uitvoering van de behandelingsovereenkomst. Gelet op het voorbeeld van de AP is het niet ondenkbaar dat een AI leverancier kan worden aangemerkt als ‘rechtstreeks betrokken’, maar dat is nog geen algemeen geaccepteerd standpunt.

Verwerkersovereenkomst

Mogelijk stelt de AI leverancier voor om een verwerkersovereenkomst te sluiten met het ziekenhuis, waarin de AI leverancier wordt aangemerkt als verwerker. Vraag in dat geval goed door wat de AI leverancier precies gaat doen met de persoonsgegevens en voor welke doeleinden. Een AI leverancier die persoonsgegevens voor eigen doeleinden verwerkt kan namelijk niet worden aangemerkt als verwerker en dat betekent dat er geen verwerkersovereenkomst moet worden gesloten. Aangezien data bij AI doorgaans niet alleen wordt gebruikt om intelligente voorspellingen te doen maar (juist) ook om de AI tool voortdurend te verbeteren, kan al snel sprake zijn van verwerking door de AI leverancier voor eigen doeleinden. In de zin van de AVG is de AI leverancier dan geen verwerker, maar een verwerkingsverantwoordelijke. Ook dan is het verstandig om een contract te sluiten met duidelijke privacy afspraken, maar geen verwerkersovereenkomst.

Geautomatiseerde besluitvorming

De AVG bevat een verbod om besluiten te nemen die de patiënt in aanmerkelijke mate treffen en die uitsluitend zijn gebaseerd op een geautomatiseerde verwerking van persoonsgegevens. Wanneer aan de hand van AI een behandelkeuze wordt gemaakt dan moet rekening worden gehouden met dit verbod. Een medische behandelkeuze kan immers bij uitstek een besluit zijn dat de patiënt in aanmerkelijke mate treft. Het betrekken van automatisch gegenereerde aanbevelingen bij een behandelkeuze is niet in strijd met dit verbod, want het besluit is dan niet ‘uitsluitend’ gebaseerd op geautomatiseerde verwerking. Maar als een hulpverlener automatisch gegenereerde aanbevelingen altijd opvolgt dan gaat deze vlieger niet op. Er zijn overigens enkele uitzonderingen op dit verbod, waaronder uitdrukkelijke toestemming van de patiënt.

‘AI & algoritmes’ focusgebied van de AP

De AP houdt toezicht op het gebruik van persoonsgegevens. AI & algoritmes is tot en met 2023 een van de drie focusgebieden van de AP. In de zorgsector heeft de AP reeds met enige regelmaat handhavend opgetreden. In 2019 heeft de AP een boete van EUR 460.000 opgelegd aan het HagaZiekenhuis vanwege onvoldoende beveiliging van patiëntendossiers.

Kortom: Denk voorafgaand aan het toepassen van AI in de zorg aan de privacy van patiënten. Belangrijke aandachtspunten zijn de regels over gezondheidsgegevens, het medisch beroepsgeheim, de verwerkersovereenkomst en geautomatiseerde besluitvorming. Wilt u meer weten? Ons gespecialiseerde team van privacy advocaten helpt u graag op weg!

Comments are closed.