Van de week heb ik nog eens The Terminator teruggekeken. Je weet wel, (*spoiler alert*) die film waarin Arnold Schwarzenegger als ‘Cyberdine Systems Model 101 Series 800 Terminator’ het personage Sarah Connor probeert uit te schakelen, omdat haar zoon de wereld in de toekomst redt van Skynet. In de film is Skynet een Artifilial Intelligence (AI) netwerk ontwikkeld door het leger, dat de wereld heeft overgenomen en mensen als de vijand ziet. Toppertje.
Zover zijn we gelukkig niet en komen we hopelijk ook nooit. Voorlopig zijn er een hele hoop goede ideeën, ook voor de zorg. Maar ik zou geen jurist zijn als ik geen risico’s zag. In deze blog licht ik enkele aspecten toe vanuit privacyperspectief.
Zowel de zorg voor de patiënt als medisch-wetenschappelijk onderzoek, geneeskundige opleidingen als administratief werk kunnen baat hebben bij AI-ontwikkelingen. Denk aan het vinden van trends in een enorme berg aan uitgevoerde onderzoeken, maar ook de virtuele (ChatGPT-achtige) assistent die afspraken kan inplannen met de patiënt en verzekeringsvragen kan afhandelen. Een AI zou ook kunnen voorspellen hoe een patiënt op een bepaald medicijn gaat reageren op basis van zijn specifieke kenmerken (personalized medicine). Dit kan zowel de patiënt als de behandelaar een (moeilijke) testperiode, administratief gedoe en geld besparen.
Om algoritmes te trainen, zijn gegevens nodig. Zodra dat gegevens uit medische dossiers zijn, is de kans vrij groot dat het dan om persoonsgegevens gaat. En waar persoonsgegevens worden verwerkt is de Algemene verordening gegevensbescherming (AVG) van toepassing. Bovendien hebben we het over medische dossiers, dus de Wet op de geneeskundige behandelingsovereenkomst (WGBO) is ook van toepassing. Hoewel er zeker mogelijkheden zijn om AI’s voor zorgtoepassingen te trainen met dergelijke gegevens, zijn er ook moeilijkheden. Daar schreven we eerder al over. Anonimiseren is zelden de oplossing, want de WGBO is nog steeds van toepassing. Daarnaast wordt met de anonimiseringsslag vaak zoveel verwijderd/gemanipuleerd dat de dataset feitelijk waardeloos is geworden.
Mogelijk biedt synthetische data een uitkomst. Een algoritme analyseert een dataset (bijv. alle medische dossiers binnen een kliniek) en maakt een kopie met dezelfde datavelden, maar met een ‘neppe’ invulling. Tests zouden moeten uitwijzen of hiermee dezelfde correlaties en relaties kunnen worden gevonden en of de kwaliteit hetzelfde is als het origineel. Hoewel er nog steeds persoonsgegevens worden verwerkt, wordt het dossier zelf niet meer verder verwerkt en worden privacyrisico’s dus sterk ingeperkt.
Bovenstaande ziet meer op de ‘klassieke’ behandeling van patiënten bij zorgaanbieders zoals de huisarts of het ziekenhuis. Maar ook de ontwikkeling in de commerciële sector moet niet vergeten worden. Je ziet meer mensen met een Fitbit, Apple Watch, Garmin, [vul in] dan zonder. Wearables meten niet alleen hoeveel stappen je zet, maar kunnen bijvoorbeeld ook je hartslag en zuurstofsaturatie vastleggen, of aangeven wanneer je welke medicijnen of supplementen moet innemen. Dergelijke commerciële partijen zijn niet gebonden aan de WGBO, maar natuurlijk wel aan de AVG. Toestemming zal dan de aangewezen grondslag zijn, waarbij transparantie voorop dient te staan. Ik heb de indruk dat de gemiddelde consument eerder geneigd is om een commerciële partij toestemming te geven dan een zorgaanbieder (want directe baten?). Het is aan de zorgaanbieder om ook de patiënt over de streep te trekken met laagdrempelige, begrijpelijke info met duidelijke voor- en nadelen.
Transparantie dient zowel in de toestemmingsvraag als in de privacyverklaring voorop te staan. Ook het Europees Parlement is hier voorstander van en heeft recentelijk ingestemd met een aangescherpte transparantieverplichting in de AI Act. Gaat het om automatische besluiten of profilering met zware gevolgen? Dan ook extra uitleg over hoe dit werkt en wat voor impact dit op de consument heeft.
Inmiddels zijn de eerste stappen richting AI-wetgeving en toezicht gezet. In Nederland is dit toezicht belegd bij de Autoriteit Persoonsgegevens (AP). Vorige week publiceerde de AP haar eerste rapportage over algoritmerisico’s in Nederland. De AP bestempelt innovaties zoals intelligente chatbots (en dan vooral de snelheid van dergelijke ontwikkelingen) en gebrekkig inzicht in bestaande algoritmes als belangrijkste algoritmerisico’s. In de aanloop naar de AI Act adviseert de AP om alvast rekening te houden met de (verwachte) classificatie van hoogrisico-systemen die hierin is opgenomen.
Eind dit jaar wordt een definitieve versie van de AI Act verwacht. Uiteraard houden we je op de hoogte van de impact en hoe je deze moet rijmen met de AVG, MDR en allerlei nationale zorgwetgeving.
Volg dan de Opleiding tot AI Compliance Officer (CAICO) van ICTRecht Academy, die start in januari 2024.
Meer weten over zorg en ICT? Lees dan hier verder:
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.