AI & Privacy in de zorg, een gelukkig huwelijk?

30 sep 2020

AI & Privacy in de zorg, een gelukkig huwelijk? Eerder schreef mijn collega Jos van der Wijst over de verantwoordelijkheid voor de analyse door een algoritme. Hoewel de wet zoals hij aangeeft op dit moment inderdaad niets specifieks met betrekking tot Artificial Intelligence [AI], (product)aansprakelijkheid van (makers van) AI modellen, leveranciers van datasets, etc. regelt, moet bij het toepassen van AI wel rekening worden gehouden met de privacywetgeving. Voor de goede werking van AI is namelijk data nodig. Deze data zal, bijvoorbeeld en met name in geval van toepassingen in de zorg, bestaan uit persoonsgegevens van patiënten. Op de verwerking van deze persoonsgegevens is de Algemene Verordening Gegevensbescherming [AVG] en de Uitvoeringswet AVG [UAVG] van toepassing. Dit brengt een aantal aandachtspunten met zich mee.

Bijzondere persoonsgegevens

Bij het toepassen van AI in de zorg moet er rekening mee worden gehouden dat de AVG gegevens van patiënten die iets zeggen over zijn of haar gezondheid als bijzondere persoonsgegevens kwalificeert. Verwerking van bijzondere persoonsgegevens is in beginsel verboden [art. 9 lid 1 AVG], specifieke uitzonderingen daargelaten. Zo mag een dergelijke verwerking worden gebaseerd op de uitdrukkelijke toestemming van de patiënt, maar de UAVG maakt ook uitzonderingen voor onder andere wetenschappelijk onderzoek [art. 24 UAVG] en de goede behandeling of verzorging van patiënten [art. 30 lid 3 UAVG].

privacy zorg
Besluitvorming op basis van AI

Op basis van art. 22 lid 1 AVG heeft een betrokkene [in de zorg de patiënt] ook het recht om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking van persoonsgegevens gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem op andere wijze in aanmerkelijke mate treft. Een uitzondering hierop is opnieuw de uitdrukkelijke toestemming van de betrokkene. Met dit recht van betrokkenen moet ook in de zorg rekening worden gehouden.

Een medische keuze voor een bepaalde behandeling kan namelijk worden gezien als een besluit wat de patiënt in aanmerkelijke mate treft. Het inzetten van AI voor het verwerken en analyseren van persoonsgegevens valt onder het begrip geautomatiseerde verwerking van persoonsgegevens. Wanneer een behandelkeuze uitsluitend wordt gebaseerd op door AI gegenereerde aanbevelingen of analyse, wordt daarmee  in strijd gehandeld met dit recht van de patiënt. Het bij de keuze in behandeling betrekken van aanbevelingen gegenereerd door AI is dit in principe niet, omdat de keus dan niet uitsluitend wordt gebaseerd op geautomatiseerde verwerking.

Samenwerking tussen zorgverleners en AI bedrijven

Met het gebruik van AI in de zorg zullen de persoonsgegevens van patiënten vaak worden gedeeld met de AI dienstverlener. Privacyrechtelijk is daarbij belangrijk om vast te stellen wat de AI dienstverlener precies met de persoonsgegevens gaat doen. Als deze enkel ten behoeve van de zorgverlener worden verwerkt, om bijvoorbeeld de voornoemde aanbevelingen voor behandelkeuzes te doen, wordt de AI dienstverlener gekwalificeerd als verwerker en moet er een verwerkersovereenkomst worden gesloten.

Gaat de AI dienstverlener de persoonsgegevens ook voor eigen doeleinden verwerken, dan wordt deze zelf aangemerkt als verwerkingsverantwoordelijke en is een verwerkersovereenkomst onvoldoende om de uitwisseling van persoonsgegevens vast te leggen. Van gebruik voor eigen doeleinden door de AI dienstverlener zal snel sprake zijn, omdat de ontvangen data vaak ook zal worden gebruikt om het AI model te verbeteren. Ook in dat geval is het verstandig om afspraken omtrent privacy schriftelijk vast te leggen.

Medisch beroepsgeheim

Naast het bovenstaande privacyrechtelijke aspect, is tevens het medisch beroepsgeheim van belang bij de samenwerking tussen zorgverleners en AI bedrijven. De Wet op de Geneeskundige Behandelovereenkomst [WGBO, opgenomen in het Burgerlijk Wetboek] bepaalt namelijk dat de hulpverlener aan anderen dan de patiënt geen inlichtingen over de patiënt mag verstrekken, tenzij de patiënt hiervoor toestemming heeft gegeven [art. 7:457 lid 1 BW]. Dit kan in de weg staan aan het gebruik van AI in de zorg.

Rechtstreeks bij de uitvoering van de behandelingsovereenkomst betrokken partijen vallen echter niet onder de definitie ‘anderen dan de patiënt’ [art. 7:457 lid 2 BW]. Met hen kunnen inlichtingen over de patiënt dus wel worden gedeeld. Hoewel het voor de hand ligt dat bijvoorbeeld verpleegkundigen onder deze uitzondering vallen, heeft de Autoriteit Persoonsgegevens aangegeven dat ook een cloudprovider hieronder valt.

De vraag of een AI-bedrijf ook onder deze uitzondering kan worden geschaard is tot nu toe niet beantwoord. Verschillende partijen zijn al wel bezig met de ontwikkeling van manieren om informatie over de patiënt bijeen te kunnen brengen zonder dat er persoonsgegevens worden uitgewisseld, bijvoorbeeld door het toepassen van Multi-Party Computation waarbij de data onleesbaar vercijferd wordt. Voor een verdere toelichting hierover verwijs ik graag naar het webinar AI, Healthcare & Law.

Al met al kan de samenwerking tussen AI bedrijven en zorginstellingen, ook privacyrechtelijk gezien, een gelukkig huwelijk zijn. Voorwaarde daarbij is wel dat aan verschillende punten de nodige aandacht wordt besteed, zowel voorafgaand als tijdens de samenwerking. Begin 2020 heeft de Autoriteit Persoonsgegevens al aangegeven te gaan toezien op het gebruik van AI waarbij persoonsgegeven worden gebruikt.  Reden te meer om deze aandachtspunten goed in het oog te houden, zeker nu de toezichthouder er niet voor terugschrikt om ook in de zorgsector handhavend op te treden.

Tom Oerlemans

    Contact

      Moet een werkgever in tijden van corona een veilige werkplek garanderen?
      Lees meer
      Beslag door schuldeisers op zorgbonus mogelijk.
      Lees meer
      Sterkere werkgeversrol RvC ter versterking intern toezicht zorginstellingen
      Lees meer
      Aandachtspunten voor zorgwerkgevers bij mediation
      Lees meer
      Werken met kennismigranten?
      Lees meer
      EU-detacheringsrichtlijn wegvervoersector
      Lees meer
      Mag je foto's van werknemers gebruiken?
      Lees meer
      Maatschappelijke BV voor maatschappelijke ondernemers
      Lees meer
      Dronken van desinfectiegel, is dat mogelijk?
      Lees meer
      Reële transparante tarieven vereist in zorgaanbesteding
      Lees meer
      Aanbevelingen aansprakelijkheid bij AI
      Lees meer
      Het nieuwe algoritmeregister van de gemeente Amsterdam
      Lees meer
      Moet verzekering van ouders de schade van een 3 jarig kind vergoeden?
      Lees meer
      Algoritme via Detachering
      Lees meer
      Algoritme als Software
      Lees meer
      Belemmeringsverbod Waadi ook bij uitzending zzp’er
      Lees meer
      Schizofrene patiënt maakt betalingen over aan ‘vriendinnen’ in het buitenland.
      Lees meer
      Auteursrechten & Artificial Intelligence
      Lees meer
      Is nieuwe wet- of regelgeving nodig voor AI?
      Lees meer
      Wet toetreding zorgaanbieders (Wtza)
      Lees meer
      Algoritme als een Dienst
      Lees meer
      Van wie is het model?
      Lees meer
      Who owns an algorithm? How do you share data? What are legal aspects of AI?
      Lees meer
      Wie betaalt het loon bij thuis-quarantaine?
      Lees meer
      Liegen op je cv leidt niet altijd tot ontslag!
      Lees meer
      Is een registratiedossier beschermd door auteursrecht?
      Lees meer
      Analyse kwaliteitsvraag in vervoersaanbestedingen
      Lees meer
      Een nieuwe golf? Maar dan claims van niet-corona patiënten?
      Lees meer
      Beleid zorgkantoren inkoop langdurige zorg onrechtmatig
      Lees meer
      Werkgeversaansprakelijkheid Covid-19
      Lees meer
      Wie is verantwoordelijk voor de analyse door een algoritme?
      Lees meer
      Hoe om te gaan met de inkoopvoorwaarden AI van gemeenten?
      Lees meer
      Mag ik een zelftest voor corona verkopen?
      Lees meer
      Gaia-X biedt Europese landen oplossing voor beheer en gebruik van data
      Lees meer
      Een proeftijdbeding ná een stage? Volgens de kantonrechter is dat mogelijk.
      Lees meer
      Dierenarts gewond bij noodslachting stier. Veehouder aansprakelijk?
      Lees meer
      Gepubliceerde boetes of berispingen zorgpersoneel zijn openbaar
      Lees meer
      Geen recht op transitievergoeding bij ontslag
      Lees meer
      Verzekeraars mogen geen standaard vergoeding hanteren bij een restitutiepolis
      Lees meer
      Hoge Raad: arts niet aansprakelijk voor gebruik ongeschikte medische hulpzaak
      Lees meer
      Rapport Aeternus: Trends en ontwikkelingen in de GGZ
      Lees meer
      Goed bestuur in de zorg: vernieuwd kader
      Lees meer
      Gevolgen letselschadeuitkering na beëindiging huwelijk.
      Lees meer
      Update zorg: juridische Factsheet Wabvpz
      Lees meer
      Eerste toewijzing cumulatiegrond voor ontbinding arbeidsovereenkomst
      Lees meer
      Strafregels of knielen, je kunt kiezen...
      Lees meer
      Overwerken door corona, moet ik daarmee instemmen?
      Lees meer
      Verlaagde transitievergoeding bij brede inzetbaarheid
      Lees meer
      Aansprakelijkheid ziekenhuis bij plaatsing schouderprothese?
      Lees meer
      Verwerking medische persoonsgegevens verduidelijkt in nieuwe UAVG
      Lees meer
      Het delen van data in de zorg: nieuwe mogelijkheden door blockchain?
      Lees meer
      Software / data overeenkomsten
      Lees meer
      Mondeling aanzeggen niet voortzetten tijdelijk arbeidscontract volstaat soms
      Lees meer
      NVM is niet verplicht om VBO-leden toegang tot data te geven
      Lees meer
      Een toelichting op de ‘visie op datadeling tussen bedrijven’
      Lees meer
      Zorgupdate: NZa wil meer regie van zorgverzekeraars
      Lees meer
      Nieuw wetsartikel verplicht tot gratis inzage in elektronisch patiëntendossier
      Lees meer
      Inkoopprocedures in de zorg in coronatijd
      Lees meer
      De Wet Geneeskundige Behandelovereenkomst [WGBO] in een notendop
      Lees meer
      De roep om het vrijgeven van voertuigdata
      Lees meer
      Europese perspectieven op AI medische hulpmiddelen
      Lees meer
      Databankenrecht
      Lees meer
      Checklist data sharing agreement
      Lees meer
      De verkoop en verpanding van data
      Lees meer
      Data en ethiek
      Lees meer
      Het delen van data
      Lees meer
      De bescherming van data
      Lees meer
      Het eigendom van data
      Lees meer
      Data
      Lees meer
      Update: meer aanbestedingen in de zorg
      Lees meer
      De meedenkende, betalende Overheid: Werkgevers doe er uw voordeel mee!
      Lees meer
      Glaasje op? Laat je rijden. En stap niet in bij een chauffeur die ook gedronken heeft.
      Lees meer
      Overzicht nieuwe regels voor oproepkrachten per 1 januari 2020
      Lees meer
      Privacyrecht
      Lees meer
      BG.legal participeert in onderzoek naar gebruik van big data en AI door zorginstellingen
      Lees meer
      BG.tech
      Lees meer
      BG.zorg
      Lees meer