Ontwikkelen van AI in de zorg

Aan welke voorwaarden moet u op grond van de AVG voldoen? 24 september 2021

Hoe voldoet een onderzoeker en/of zorginstelling aan de verplichtingen uit de AVG bij de ontwikkeling en gebruik van algoritmes in de zorg?

Op het gebruik van algoritmes is de Algemene Verordening Gegevensbescherming (AVG) van toepassing wanneer algoritmes gebruik maken van persoonsgegevens. Dit zal veelal het geval zijn, dit geldt met name voor algoritmes die worden toegepast in de zorg. Dit betekent dat onderzoekers, zorginstellingen en overige partijen die betrokken zijn bij de ontwikkeling (en het gebruik) van algoritmes moeten voldoen aan de bepalingen van de AVG. Naast de AVG kan ook de WGBO van toepassing zijn wanneer data wordt gebruikt afkomstig uit een behandelrelatie. Deze bijdrage is alleen gericht op de AVG en laat ik de WGBO buiten beschouwing.

Geautomatiseerde besluitvorming

1. Stel vast of sprake is van geautomatiseerde besluitvorming waarbij persoonsgegevens worden gebruikt.

Toelichting: Er is sprake van geautomatiseerde besluitvorming wanneer het nemen van besluiten zonder menselijke tussenkomst plaatsvindt door middel van technologische middelen. Wanneer bij die geautomatiseerde besluitvorming ook persoonsgegevens worden verwerkt, dan zijn alle bepalingen uit de AVG van toepassing.

Verwerkingsverantwoordelijke

2. Stel vast wie naar verwachting verwerkingsverantwoordelijke zal zijn op grond van de AVG.

Toelichting: Op de verwerkingsverantwoordelijke rust de plicht tot naleving van de AVG. Kort gezegd is de verwerkingsverantwoordelijke die partij, die doel en middelen vaststelt van de verwerking. Wanneer een algoritme gezamenlijk wordt ontwikkeld ligt het in de lijn der verwachting dat zowel de onderzoeker als de zorginstelling ieder zelfstandig als verwerkingsverantwoordelijke worden gekwalificeerd (gezamenlijke verwerkingsverantwoordelijken). Deze bijdrage richt zich tot de verwerkingsverantwoordelijken onder de algoritmen ontwikkelaars.

DPIA

3. Zorg voor een uitgewerkte DPIA.

Toelichting: een Data Protection Impact Assessment (DPIA) is verplicht wanneer de gegevensverwerking waarschijnlijk een hoog risico oplevert voor betrokkenen. Van een hoog risico is sprake wanneer een verwerkingsverantwoordelijke systematisch en uitvoerig persoonsgegevens verwerkt. Bij de ontwikkeling en het gebruik van een algoritme zal dit snel het geval zijn. In een DPIA moet de verwerkingsverantwoordelijke onder meer beschrijven welke categorie persoonsgegevens verwerkt zullen gaan worden en ten behoeve van welke doeleinden. Ook moet de DPIA zijn voorzien van een beoordeling van de noodzaak en evenredigheid van het gebruik van dit specifieke algoritme. In de DPIA moet ook nadrukkelijk de risico’s worden beschreven voor de rechten en vrijheden van betrokkenen, op welke wijze die risico’s worden verlicht of weggenomen en welke maatregelen daarvoor door de verwerkingsverantwoordelijke worden getroffen. Het is mogelijk dat de resultaten uit de DPIA verplicht moeten worden voorgelegd aan de AP. Dat is het geval als uit de DPIA wordt geconcludeerd dat sprake zal zijn of dat sprake is van een hoog risico en het de verwerkingsverantwoordelijke niet lukt om die risico’s te beperken.

Voorkom bias en ongewenste resultaten

4. Zorg ervoor dat de verwerking eerlijk, transparant en rechtmatig is.

Toelichting: Dit zijn de kernbeginselen van de AVG waaraan elke verwerking moet voldoen. De verwerkingsverantwoordelijke moet zelf actief nagaan, motiveren en openlijk verantwoorden dat én ook waarom een algoritme “fair” is en het gebruik van het algoritme niet leidt tot oneerlijke, bevooroordeelde of discriminatoire uitkomsten. De verwerkingsverantwoordelijke moet zich ervan vergewissen dat een algoritme niet bias en ongewenste resultaten levert.

Passende maatregelen compliance met AVG

5. Zorg voor passende technische en organisatorische maatregelen om te waarborgen dat de AVG wordt nageleefd.

Toelichting: De verwerkingsverantwoordelijke is gebonden aan het principe ‘data-protection-by-design’. Dit houdt onder meer in dat zo min mogelijk persoonsgegevens worden verwerkt en dat alleen de noodzakelijk relevante data wordt gebruikt (‘dataminimalisatie’) en dat de persoonsgegevens in beginsel alleen worden verwerkt voor de gestelde doelen of tenminste voldoende verenigbaar zijn met het primaire verzameldoel (‘doelbinding’). Ook dient de data zoveel als mogelijk gepseudonimiseerd of geanonimiseerd te worden, tenzij herleiding van de gegevens naar een betrokkene noodzakelijk is voor de doeleinden. In het laatste geval is verwerking alleen mogelijk met nadrukkelijke toestemming van de betrokkene.

Verwerkingsregister

6. Zorg voor een verwerkingsregister en houd deze actief bij.

Toelichting: Een verwerkingsverantwoordelijke is verplicht om een register bij te houden waarin alle verwerkingsactiviteiten worden gelogd, inclusief een beschrijving van de gebruikte categorie persoonsgegevens en doeleinden van de verwerkingen.

Uitzonderingsgronden verbod geautomatiseerde besluitvorming

7. Zorg ervoor dat het algoritme geen volledig geautomatiseerde individuele besluiten neemt die een betrokkene in aanmerkelijke mate kunnen treffen, tenzij je kunt voldoen aan de uitzonderingsgronden.

Toelichting: Op grond van de AVG is het verboden om een betrokkene te onderwerpen aan een besluit dat uitsluitend is gebaseerd op geautomatiseerde verwerking en dat de betrokkene in ‘aanmerkelijke mate’ kan treffen. Dit verbod geldt niet indien wordt voldaan aan tenminste één van de uitzonderingsgronden, waarvan de AVG een drietal kent: (i) het besluit is noodzakelijk voor de totstandkoming of uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke; (ii) het besluit is toegestaan bij Unierechtelijk of lidstatelijk recht, of; (iii) het besluit berust op de uitdrukkelijke toestemming van de betrokkene. In het geval van profilering moet de betrokkene door de verwerkingsverantwoordelijke altijd de mogelijkheid worden geboden om daartegen bezwaar te maken.

Tot slot

De toepassing van AI in de zorg is breed en zal zich steeds verder inbedden in de zorgverlening en het doen van onderzoek. Van groot belang is dat bij de ontwikkeling en het gebruik van AI persoonsgegevens worden verwerkt op een wijze die compliant is met wet- en regelgeving. TK helpt zorginstellingen, onderzoekers en ontwikkelaars onder meer bij governance en compliance vraagstukken op het gebied van het gebruik van AI in de zorg. Ook verzorgen wij het noodzakelijke contractenwerk.