De inzet van AI door zorgorganisaties neemt gestaag toe, en dat merken wij ook bij SenS juristen. Steeds vaker krijgen wij hieromtrent namelijk vragen over het privacyrecht en in het bijzonder over de verplichting om een Data Protection Impact Assessment (DPIA) uit te voeren. En hoewel zeker niet elke verwerking verplicht tot het uitvoeren van een DPIA, is dat bij het gebruik van AI in de zorg toch al snel het geval. In dit artikel bespreken onze privacy-juristen wanneer een DPIA verplicht is en wat dat precies betekent voor zorgorganisaties die AI willen gebruiken.
Waarom een DPIA bij AI in de zorg bijna altijd verplicht is
De AVG verplicht organisaties tot het uitvoeren een DPIA wanneer een verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen. Artikel 35 AVG noemt daarbij enkele concrete situaties, waaronder de grootschalige verwerking van bijzondere persoonsgegevens en de systematische beoordeling van personen op basis van geautomatiseerde verwerking. Bij de inzet van AI door een zorgorganisatie is al snel sprake van grootschalige verwerking van gevoelige gegevens en daarmee van een verhoogd privacyrisico. Een DPIA is dan ook meestal verplicht.
De wisselwerking tussen de AVG en de AI-verordening
Sinds de Europese AI-verordening van kracht is, gelden er nieuwe verplichtingen naast de AVG. AI-systemen in de zorg vallen vaak onder de categorie hoog risico AI, wat betekent dat zij aan (strikte) aanvullende eisen moeten voldoen. De AI-verordening vervangt de AVG overigens niet. Beide regimes zijn dus van toepassing en vullen elkaar aan.
Voor zorginstellingen die werken met medische hulpmiddelen geldt bovendien dat de MDR relevant kan zijn. Een AI-systeem dat namelijk als medisch hulpmiddel kwalificeert, moet onder meer CE-gemarkeerd zijn, en ook die beoordeling staat los van de DPIA. Het is in ieder geval van belang te onderkennen dat het toepasselijke regelgevingskader gelaagd is en dat een enkele beoordeling meestal niet volstaat.
Wanneer moet een DPIA zijn uitgevoerd?
Volgens de AVG moet een DPIA zijn uitgevoerd voordat de verwerking van persoonsgegevens begint. Zij hoort dan ook thuis in het inkooptraject (of het ontwikkeltraject), en niet achteraf wanneer het systeem al in gebruik is. In de praktijk gebeurt dat laatste echter regelmatig, met alle juridische risico’s van dien.
Voor het correct kunnen uitvoeren van een DPIA is de medewerking van de leverancier van het AI-systeem noodzakelijk. Zonder die medewerking is het vrijwel onmogelijk om concreet inzicht te krijgen in wat het systeem doet, welke gegevensstromen er zijn en welke beveiligingsmaatregelen er al zijn getroffen. Als een leverancier dat inzicht niet wil of niet kan bieden, is dat op zichzelf al een signaal. AI-systemen zijn vaak complex, maar dat rechtvaardigt niet dat basale documentatie ontbreekt. Maak hierover dan ook afspraken.
Wat een DPIA bij AI in de zorg moet bevatten
Een DPIA is geen standaardformulier dat je afvinkt. Het is een inhoudelijke analyse van de risicos en de maatregelen die je treft om die risicos te beperken. De AVG geeft in artikel 35 lid 7 de minimumeisen: een systematische beschrijving van de verwerking, een beoordeling van noodzaak en evenredigheid, een beoordeling van de risicos, en de maatregelen om die risicos aan te pakken.
Bij AI in de zorg komen daar specifieke aandachtspunten bij. Hoe transparant is het algoritme? Kunnen patiënten en zorgverleners begrijpen hoe een uitkomst tot stand komt? Wat gebeurt er bij een foutieve uitkomst? Is er menselijke tussenkomst mogelijk voordat een besluit effect heeft? Hoe voorkom je dat het systeem discrimineert op basis van kenmerken die correleren met gezondheid, etniciteit of sociaaleconomische status?
De Autoriteit Persoonsgegevens verwacht dat je ook kijkt naar de rechten van betrokkenen. Kunnen patiënten hun recht op inzage, correctie en bezwaar effectief uitoefenen? Bij geautomatiseerde besluitvorming met rechtsgevolgen geldt bovendien artikel 22 AVG. Betrokkenen hebben recht op menselijke tussenkomst, om hun standpunt kenbaar te maken en om het besluit aan te vechten. Die rechten moet je organisatorisch kunnen waarmaken.
Juridische ondersteuning nodig bij het uitvoeren van een DPIA?
De DPIA is bij de inzet van AI in de zorg in de meeste gevallen verplicht, en die verplichting begint eerder dan veel organisaties denken. Wie de DPIA meeneemt in het inkooptraject, de juiste informatie opvraagt bij de leverancier en rekening houdt met de gelaagdheid van de toepasselijke regelgeving, staat juridisch aanzienlijk sterker.
Heeft jouw organisatie vragen over de DPIA-verplichting of de inzet van AI binnen de organisatie? De privacy-juristen van SenS juristen denken graag met je mee.
