AI & Privacy in de zorg, een gelukkig huwelijk?

30 sep 2020

AI & Privacy in de zorg, een gelukkig huwelijk? Eerder schreef mijn collega Jos van der Wijst over de verantwoordelijkheid voor de analyse door een algoritme. Hoewel de wet zoals hij aangeeft op dit moment inderdaad niets specifieks met betrekking tot Artificial Intelligence [AI], (product)aansprakelijkheid van (makers van) AI modellen, leveranciers van datasets, etc. regelt, moet bij het toepassen van AI wel rekening worden gehouden met de privacywetgeving. Voor de goede werking van AI is namelijk data nodig. Deze data zal, bijvoorbeeld en met name in geval van toepassingen in de zorg, bestaan uit persoonsgegevens van patiënten. Op de verwerking van deze persoonsgegevens is de Algemene Verordening Gegevensbescherming [AVG] en de Uitvoeringswet AVG [UAVG] van toepassing. Dit brengt een aantal aandachtspunten met zich mee.

Bijzondere persoonsgegevens

Bij het toepassen van AI in de zorg moet er rekening mee worden gehouden dat de AVG gegevens van patiënten die iets zeggen over zijn of haar gezondheid als bijzondere persoonsgegevens kwalificeert. Verwerking van bijzondere persoonsgegevens is in beginsel verboden [art. 9 lid 1 AVG], specifieke uitzonderingen daargelaten. Zo mag een dergelijke verwerking worden gebaseerd op de uitdrukkelijke toestemming van de patiënt, maar de UAVG maakt ook uitzonderingen voor onder andere wetenschappelijk onderzoek [art. 24 UAVG] en de goede behandeling of verzorging van patiënten [art. 30 lid 3 UAVG].

privacy zorg
Besluitvorming op basis van AI

Op basis van art. 22 lid 1 AVG heeft een betrokkene [in de zorg de patiënt] ook het recht om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking van persoonsgegevens gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem op andere wijze in aanmerkelijke mate treft. Een uitzondering hierop is opnieuw de uitdrukkelijke toestemming van de betrokkene. Met dit recht van betrokkenen moet ook in de zorg rekening worden gehouden.

Een medische keuze voor een bepaalde behandeling kan namelijk worden gezien als een besluit wat de patiënt in aanmerkelijke mate treft. Het inzetten van AI voor het verwerken en analyseren van persoonsgegevens valt onder het begrip geautomatiseerde verwerking van persoonsgegevens. Wanneer een behandelkeuze uitsluitend wordt gebaseerd op door AI gegenereerde aanbevelingen of analyse, wordt daarmee  in strijd gehandeld met dit recht van de patiënt. Het bij de keuze in behandeling betrekken van aanbevelingen gegenereerd door AI is dit in principe niet, omdat de keus dan niet uitsluitend wordt gebaseerd op geautomatiseerde verwerking.

Samenwerking tussen zorgverleners en AI bedrijven

Met het gebruik van AI in de zorg zullen de persoonsgegevens van patiënten vaak worden gedeeld met de AI dienstverlener. Privacyrechtelijk is daarbij belangrijk om vast te stellen wat de AI dienstverlener precies met de persoonsgegevens gaat doen. Als deze enkel ten behoeve van de zorgverlener worden verwerkt, om bijvoorbeeld de voornoemde aanbevelingen voor behandelkeuzes te doen, wordt de AI dienstverlener gekwalificeerd als verwerker en moet er een verwerkersovereenkomst worden gesloten.

Gaat de AI dienstverlener de persoonsgegevens ook voor eigen doeleinden verwerken, dan wordt deze zelf aangemerkt als verwerkingsverantwoordelijke en is een verwerkersovereenkomst onvoldoende om de uitwisseling van persoonsgegevens vast te leggen. Van gebruik voor eigen doeleinden door de AI dienstverlener zal snel sprake zijn, omdat de ontvangen data vaak ook zal worden gebruikt om het AI model te verbeteren. Ook in dat geval is het verstandig om afspraken omtrent privacy schriftelijk vast te leggen.

Medisch beroepsgeheim

Naast het bovenstaande privacyrechtelijke aspect, is tevens het medisch beroepsgeheim van belang bij de samenwerking tussen zorgverleners en AI bedrijven. De Wet op de Geneeskundige Behandelovereenkomst [WGBO, opgenomen in het Burgerlijk Wetboek] bepaalt namelijk dat de hulpverlener aan anderen dan de patiënt geen inlichtingen over de patiënt mag verstrekken, tenzij de patiënt hiervoor toestemming heeft gegeven [art. 7:457 lid 1 BW]. Dit kan in de weg staan aan het gebruik van AI in de zorg.

Rechtstreeks bij de uitvoering van de behandelingsovereenkomst betrokken partijen vallen echter niet onder de definitie ‘anderen dan de patiënt’ [art. 7:457 lid 2 BW]. Met hen kunnen inlichtingen over de patiënt dus wel worden gedeeld. Hoewel het voor de hand ligt dat bijvoorbeeld verpleegkundigen onder deze uitzondering vallen, heeft de Autoriteit Persoonsgegevens aangegeven dat ook een cloudprovider hieronder valt.

De vraag of een AI-bedrijf ook onder deze uitzondering kan worden geschaard is tot nu toe niet beantwoord. Verschillende partijen zijn al wel bezig met de ontwikkeling van manieren om informatie over de patiënt bijeen te kunnen brengen zonder dat er persoonsgegevens worden uitgewisseld, bijvoorbeeld door het toepassen van Multi-Party Computation waarbij de data onleesbaar vercijferd wordt. Voor een verdere toelichting hierover verwijs ik graag naar het webinar AI, Healthcare & Law.

Al met al kan de samenwerking tussen AI bedrijven en zorginstellingen, ook privacyrechtelijk gezien, een gelukkig huwelijk zijn. Voorwaarde daarbij is wel dat aan verschillende punten de nodige aandacht wordt besteed, zowel voorafgaand als tijdens de samenwerking. Begin 2020 heeft de Autoriteit Persoonsgegevens al aangegeven te gaan toezien op het gebruik van AI waarbij persoonsgegeven worden gebruikt.  Reden te meer om deze aandachtspunten goed in het oog te houden, zeker nu de toezichthouder er niet voor terugschrikt om ook in de zorgsector handhavend op te treden.

Tom Oerlemans

Contact

Wie betaalt het loon bij thuis-quarantaine?
Lees meer
Liegen op je cv leidt niet altijd tot ontslag!
Lees meer
Is een registratiedossier beschermd door auteursrecht?
Lees meer
Analyse kwaliteitsvraag in vervoersaanbestedingen
Lees meer
Een nieuwe golf? Maar dan claims van niet-corona patiënten?
Lees meer
Beleid zorgkantoren inkoop langdurige zorg onrechtmatig
Lees meer
Werkgeversaansprakelijkheid Covid-19
Lees meer
Wie is verantwoordelijk voor de analyse door een algoritme?
Lees meer
Hoe om te gaan met de inkoopvoorwaarden AI van gemeenten?
Lees meer
Mag ik een zelftest voor corona verkopen?
Lees meer
Gaia-X biedt Europese landen oplossing voor beheer en gebruik van data
Lees meer
Een proeftijdbeding ná een stage? Volgens de kantonrechter is dat mogelijk.
Lees meer
Dierenarts gewond bij noodslachting stier. Veehouder aansprakelijk?
Lees meer
Gepubliceerde boetes of berispingen zorgpersoneel zijn openbaar
Lees meer
Geen recht op transitievergoeding bij ontslag
Lees meer
Verzekeraars mogen geen standaard vergoeding hanteren bij een restitutiepolis
Lees meer
Hoge Raad: arts niet aansprakelijk voor gebruik ongeschikte medische hulpzaak
Lees meer
Rapport Aeternus: Trends en ontwikkelingen in de GGZ
Lees meer
Goed bestuur in de zorg: vernieuwd kader
Lees meer
Gevolgen letselschadeuitkering na beëindiging huwelijk.
Lees meer
Update zorg: juridische Factsheet Wabvpz
Lees meer
Eerste toewijzing cumulatiegrond voor ontbinding arbeidsovereenkomst
Lees meer
Strafregels of knielen, je kunt kiezen...
Lees meer
Overwerken door corona, moet ik daarmee instemmen?
Lees meer
Verlaagde transitievergoeding bij brede inzetbaarheid
Lees meer
Aansprakelijkheid ziekenhuis bij plaatsing schouderprothese?
Lees meer
Verwerking medische persoonsgegevens verduidelijkt in nieuwe UAVG
Lees meer
Het delen van data in de zorg: nieuwe mogelijkheden door blockchain?
Lees meer
Software / data overeenkomsten
Lees meer
Mondeling aanzeggen niet voortzetten tijdelijk arbeidscontract volstaat soms
Lees meer
NVM is niet verplicht om VBO-leden toegang tot data te geven
Lees meer
Een toelichting op de ‘visie op datadeling tussen bedrijven’
Lees meer
Zorgupdate: NZa wil meer regie van zorgverzekeraars
Lees meer
Nieuw wetsartikel verplicht tot gratis inzage in elektronisch patiëntendossier
Lees meer
Inkoopprocedures in de zorg in coronatijd
Lees meer
De Wet Geneeskundige Behandelovereenkomst [WGBO] in een notendop
Lees meer
De roep om het vrijgeven van voertuigdata
Lees meer
Europese perspectieven op AI medische hulpmiddelen
Lees meer
Databankenrecht
Lees meer
Checklist data sharing agreement
Lees meer
De verkoop en verpanding van data
Lees meer
Data en ethiek
Lees meer
Het delen van data
Lees meer
De bescherming van data
Lees meer
Het eigendom van data
Lees meer
Data
Lees meer
Update: meer aanbestedingen in de zorg
Lees meer
De meedenkende, betalende Overheid: Werkgevers doe er uw voordeel mee!
Lees meer
Glaasje op? Laat je rijden. En stap niet in bij een chauffeur die ook gedronken heeft.
Lees meer
Overzicht nieuwe regels voor oproepkrachten per 1 januari 2020
Lees meer
Privacyrecht
Lees meer
BG.legal participeert in onderzoek naar gebruik van big data en AI door zorginstellingen
Lees meer
BG.tech
Lees meer
BG.zorg
Lees meer