Steeds meer zorgaanbieders maken gebruik van verschillende vormen van kunstmatige intelligentie (ook wel: artificiële intelligentie of ‘AI’). Digitale assistenten zoals ChatGPT en Copilot kunnen bijvoorbeeld helpen bij het stellen van diagnoses, het beantwoorden van vragen over een behandeling, het maken van verwijsbrieven, het samenvatten van grote hoeveelheden informatie of het meer toegankelijk maken van informatie voor patiënten. Zeker in de zorg, waar de administratieve last veelal hoog is, kan dit veel kostbare tijd besparen en zorgen voor meer efficiëntie. Tegelijkertijd gaat het gebruik van digitale assistenten gepaard met risico’s waar niet iedereen zich van bewust is. Een van die risico’s is een grotere kans op het ontstaan datalekken. Zo vond recentelijk een datalek bij een huisartsenpraktijk plaats nadat een medewerker medische gegevens van patiënten had ingevoerd in een AI-chatbot. In dit blog meer over het gebruik van AI-chatbots door zorgaanbieders, de gevolgen van een datalek en hoe datalekken bij het gebruik van AI-chatbots te voorkomen.
De Autoriteit Persoonsgegevens (AP) ontving vorig jaar veruit de meeste datalekmeldingen van organisaties in de sector gezondheid, bijna 9.000. In toenemende mate ontvangt de AP daarbij meldingen van datalekken doordat medewerkers persoonsgegevens deelden met een AI-chatbot, zoals ChatGPT.
De meeste partijen achter de software van een AI-chatbot zullen alle inhoud die door gebruikers wordt ingevoerd opslaan voor verdere ontwikkeling en verbetering van de chatbot. De ingevoerde gegevens komen daardoor terecht op de servers van die techbedrijven, vaak zonder dat duidelijk is wat die bedrijven precies met deze gegevens gaan doen. Degene die de data invoert in de chatbot is zich hier vaak niet voldoende bewust van. Bovendien zal in deze situatie de persoon op wie de gegevens betrekking hebben niet op de hoogte zijn dat zijn/haar gegevens worden gedeeld met andere gebruikers. Voor een dergelijk geval bestaat zelfs al een eigen term: conversational AI leak.
Als het gaat om informatie over patiënten die op deze wijze zonder toestemming met een derde wordt gedeeld die niet rechtstreeks betrokken is bij de uitvoering van de behandelingsovereenkomst, veroorzaakt dat niet alleen een inbreuk op de Algemene verordening gegevensbescherming (AVG), maar ook op het medisch beroepsgeheim uit de Wet op de geneeskundige behandelingsovereenkomst (WGBO), de Jeugdwet of de Wet maatschappelijke ondersteuning 2015. Het veroorzaken van een datalek kan ook tuchtrechtelijk verwijtbaar zijn, zie bijvoorbeeld deze uitspraak van het Centraal Tuchtcollege voor de Gezondheidszorg Den Haag. De AP waarschuwt dan ook voor de inzet van AI-chatbots en het daarin invoeren van gevoelige informatie zoals persoonsgegevens.
Een datalek kan grote gevolgen hebben. Dit geldt des te meer als het om medische gegevens van patiënten gaat. Deze informatie kan op straat terecht komen en bijvoorbeeld gebruikt worden voor naming and shaming of door cybercriminelen voor oplichting, identiteitsfraude of een phishingaanval. Organisaties hebben dan ook niet voor niets een meldplicht bij datalekken. Een datalek moet binnen 72 uur na kennisneming ervan gemeld worden bij de AP. De zorgaanbieder moet zelf beoordelen of het in de specifieke situatie daarnaast ook verplicht is om de slachtoffers van het datalek direct te informeren. Die verplichting bestaat wanneer het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen. In geval er medische gegevens betrokken zijn bij het datalek, is dat vrijwel altijd het geval.
In de praktijk ziet de AP echter regelmatig – en met name in de zorg – dat gedupeerden niet op de hoogte worden gebracht van het feit dat hun persoonsgegevens zijn gelekt, omdat de risico’s van een datalek vaak te laag worden ingeschat. Volgens sommige zorgaanbieders is het niet in het belang van patiënten om ze te informeren over een datalek. De redenatie daarachter is dat wanneer bepaalde patiënten worden ingelicht dat ze slachtoffer zijn van een datalek, de gezondheidstoestand verder achteruit zou kunnen gaan. Waar de Wet op de geneeskundige behandelingsovereenkomst een uitzondering bevat op de informatieplicht van de hulpverlener als dat kennelijk ernstig nadeel voor de patiënt zou opleveren (ook wel de therapeutische exceptie genoemd), geldt een dergelijke uitzondering niet bij het informeren over een datalek. De wet biedt dus geen mogelijkheid om af te wijken van de meldplicht op basis van de gemoedstoestand van betrokkenen. Net als bij elk ander slachtoffer moeten ook gedupeerde patiënten bericht krijgen van een datalek als aannemelijk is dat er sprake is van een hoog risico.
Het gebruik van AI-chatbots in de zorg hoeft zeker niet uitgesloten te worden, maar zorgaanbieders moeten er wel voor zorgen dat werknemers op een verantwoorde manier gebruik maken van dergelijke digitale assistenten. Een AI-beleid kan daarbij helpen. In een AI-beleid kan een zorgaanbieder haar werknemers wijzen op de kansen en risico’s van het gebruik van kunstmatige intelligentie en ook gedragsregels vastleggen voor de manier waarop de inzet van AI-tools is toegestaan. In een beleid dat ziet op AI-chatbots, kan de zorgaanbieder bijvoorbeeld de volgende elementen een plaats geven:
Benadrukken dat medewerkers AI-chatbots ondersteunend mogen inzetten, maar dat medewerkers niet zomaar mogen afgaan op de juistheid van de AI-output en altijd zelf eindverantwoordelijk blijven.
Benadrukken dat het niet is toegestaan om medische gegevens in een AI-chatbot in te voeren, tenzij het gaat om anonieme, niet naar de patiënt herleidbare informatie.
Een duidelijke omschrijving van de doeleinden waarvoor AI-chatbots wel en niet gebruikt mogen worden, bijvoorbeeld met betrekking tot het stellen van diagnoses, het samenvatten van medische artikelen, bij het maken van planningen voor afspraken met patiënten en administratieve ondersteuning.
Een interne meldingsprocedure voor wanneer er sprake is van een mogelijk datalek als gevolg van het gebruik van een AI-chatbot. Zo’n procedure stelt medewerkers in staat om snel en adequaat te handelen, zodat ernstige gevolgen voor de betrokken patiënten zoveel mogelijk voorkomen kunnen worden.
Naast het stellen van heldere regels en richtlijnen in een AI-beleid, kan bijvoorbeeld gedacht worden aan het expliciet in geheimhoudingsverklaringen opnemen van AI-gerelateerde clausules.
Tot slot benoemen wij dat de AI-Verordening vanaf augustus 2024 gefaseerd in werking treedt. De AI-Verordening is Europese wetgeving over het gebruik van AI-systemen en geldt voor zowel ontwikkelaars als gebruikers van AI- systemen. Ten aanzien van chatbots geldt vanaf augustus 2026 een transparantieverplichting. Deze transparantieverplichting houdt voor een zorgaanbieder in dat wanneer zij bijvoorbeeld gebruik maakt van een chatbot waarmee de patiënten zelf contact kunnen leggen – bijvoorbeeld voor het plannen van een afspraak – de zorgaanbieder dan kenbaar moet maken dat gebruik wordt gemaakt van een AI-chatbot en dat er geen contact plaatsvindt met een echt persoon.
AI-chatbots kunnen in de zorg vele mogelijkheden bieden als het gaat om innovatie en efficiëntie, maar vragen tegelijkertijd ook een bepaalde mate van aanpassingsvermogen en waakzaamheid van zorgaanbieders. Als zorgaanbieders hier tijdig op voorbereid zijn en een juiste balans weten te vinden tussen enerzijds het profiteren van alle mogelijkheden die AI-tools zoals AI-chatbots met zich meebrengen en anderzijds het beschermen van (medische) gegevens, dan kan het zonder meer een waardevolle toevoeging zijn voor de gezondheidszorg.
