AI & Privacy in de zorg, een gelukkig huwelijk?
AI & Privacy in de zorg, een gelukkig huwelijk? Eerder schreef mijn collega Jos van der Wijst over de verantwoordelijkheid voor de analyse door een algoritme. Hoewel de wet zoals hij aangeeft op dit moment inderdaad niets specifieks met betrekking tot Artificial Intelligence [AI], (product)aansprakelijkheid van (makers van) AI modellen, leveranciers van datasets, etc. regelt, moet bij het toepassen van AI wel rekening worden gehouden met de privacywetgeving. Voor de goede werking van AI is namelijk data nodig. Deze data zal, bijvoorbeeld en met name in geval van toepassingen in de zorg, bestaan uit persoonsgegevens van patiënten. Op de verwerking van deze persoonsgegevens is de Algemene Verordening Gegevensbescherming [AVG] en de Uitvoeringswet AVG [UAVG] van toepassing. Dit brengt een aantal aandachtspunten met zich mee.
Bijzondere persoonsgegevens
Bij het toepassen van AI in de zorg moet er rekening mee worden gehouden dat de AVG gegevens van patiënten die iets zeggen over zijn of haar gezondheid als bijzondere persoonsgegevens kwalificeert. Verwerking van bijzondere persoonsgegevens is in beginsel verboden [art. 9 lid 1 AVG], specifieke uitzonderingen daargelaten. Zo mag een dergelijke verwerking worden gebaseerd op de uitdrukkelijke toestemming van de patiënt, maar de UAVG maakt ook uitzonderingen voor onder andere wetenschappelijk onderzoek [art. 24 UAVG] en de goede behandeling of verzorging van patiënten [art. 30 lid 3 UAVG].
Besluitvorming op basis van AI
Op basis van art. 22 lid 1 AVG heeft een betrokkene [in de zorg de patiënt] ook het recht om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking van persoonsgegevens gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem op andere wijze in aanmerkelijke mate treft. Een uitzondering hierop is opnieuw de uitdrukkelijke toestemming van de betrokkene. Met dit recht van betrokkenen moet ook in de zorg rekening worden gehouden.
Een medische keuze voor een bepaalde behandeling kan namelijk worden gezien als een besluit wat de patiënt in aanmerkelijke mate treft. Het inzetten van AI voor het verwerken en analyseren van persoonsgegevens valt onder het begrip geautomatiseerde verwerking van persoonsgegevens. Wanneer een behandelkeuze uitsluitend wordt gebaseerd op door AI gegenereerde aanbevelingen of analyse, wordt daarmee in strijd gehandeld met dit recht van de patiënt. Het bij de keuze in behandeling betrekken van aanbevelingen gegenereerd door AI is dit in principe niet, omdat de keus dan niet uitsluitend wordt gebaseerd op geautomatiseerde verwerking.
Samenwerking tussen zorgverleners en AI bedrijven
Met het gebruik van AI in de zorg zullen de persoonsgegevens van patiënten vaak worden gedeeld met de AI dienstverlener. Privacyrechtelijk is daarbij belangrijk om vast te stellen wat de AI dienstverlener precies met de persoonsgegevens gaat doen. Als deze enkel ten behoeve van de zorgverlener worden verwerkt, om bijvoorbeeld de voornoemde aanbevelingen voor behandelkeuzes te doen, wordt de AI dienstverlener gekwalificeerd als verwerker en moet er een verwerkersovereenkomst worden gesloten.
Gaat de AI dienstverlener de persoonsgegevens ook voor eigen doeleinden verwerken, dan wordt deze zelf aangemerkt als verwerkingsverantwoordelijke en is een verwerkersovereenkomst onvoldoende om de uitwisseling van persoonsgegevens vast te leggen. Van gebruik voor eigen doeleinden door de AI dienstverlener zal snel sprake zijn, omdat de ontvangen data vaak ook zal worden gebruikt om het AI model te verbeteren. Ook in dat geval is het verstandig om afspraken omtrent privacy schriftelijk vast te leggen.
Medisch beroepsgeheim
Naast het bovenstaande privacyrechtelijke aspect, is tevens het medisch beroepsgeheim van belang bij de samenwerking tussen zorgverleners en AI bedrijven. De Wet op de Geneeskundige Behandelovereenkomst [WGBO, opgenomen in het Burgerlijk Wetboek] bepaalt namelijk dat de hulpverlener aan anderen dan de patiënt geen inlichtingen over de patiënt mag verstrekken, tenzij de patiënt hiervoor toestemming heeft gegeven [art. 7:457 lid 1 BW]. Dit kan in de weg staan aan het gebruik van AI in de zorg.
Rechtstreeks bij de uitvoering van de behandelingsovereenkomst betrokken partijen vallen echter niet onder de definitie ‘anderen dan de patiënt’ [art. 7:457 lid 2 BW]. Met hen kunnen inlichtingen over de patiënt dus wel worden gedeeld. Hoewel het voor de hand ligt dat bijvoorbeeld verpleegkundigen onder deze uitzondering vallen, heeft de Autoriteit Persoonsgegevens aangegeven dat ook een cloudprovider hieronder valt.
De vraag of een AI-bedrijf ook onder deze uitzondering kan worden geschaard is tot nu toe niet beantwoord. Verschillende partijen zijn al wel bezig met de ontwikkeling van manieren om informatie over de patiënt bijeen te kunnen brengen zonder dat er persoonsgegevens worden uitgewisseld, bijvoorbeeld door het toepassen van Multi-Party Computation waarbij de data onleesbaar vercijferd wordt. Voor een verdere toelichting hierover verwijs ik graag naar het webinar AI, Healthcare & Law.
Al met al kan de samenwerking tussen AI bedrijven en zorginstellingen, ook privacyrechtelijk gezien, een gelukkig huwelijk zijn. Voorwaarde daarbij is wel dat aan verschillende punten de nodige aandacht wordt besteed, zowel voorafgaand als tijdens de samenwerking. Begin 2020 heeft de Autoriteit Persoonsgegevens al aangegeven te gaan toezien op het gebruik van AI waarbij persoonsgegeven worden gebruikt. Reden te meer om deze aandachtspunten goed in het oog te houden, zeker nu de toezichthouder er niet voor terugschrikt om ook in de zorgsector handhavend op te treden.