Nieuwsbrief week 46 2024

AI in Nederlandse ziekenhuizen: focus op verlaging van werkdruk

In Nederland zetten ziekenhuizen steeds meer in op kunstmatige intelligentie (AI) om de werkdruk te verlagen. Volgens de zesde editie van de AI Monitor Ziekenhuizen van M&I/Partners is AI nu aanwezig in 93% van de ziekenhuizen, wat een aanzienlijke stijging van 26 procentpunt betekent ten opzichte van 2023. Dit markeert een versnelde adoptie, al blijft het aantal ziekenhuizen met grootschalige AI-implementaties beperkt; momenteel heeft slechts één ziekenhuis dit niveau bereikt.

De focus op AI verschuift van het verbeteren van zorgkwaliteit naar het verlichten van de werkdruk voor zorgprofessionals, met 89% van de ziekenhuizen die dit als prioriteit aangeeft. AI-toepassingen zijn vooral kleinschalig en gericht op specifieke afdelingen, met radiologie als koploper. Daarnaast verwacht 93% van de ziekenhuizen dat AI de werkervaring positief zal beïnvloeden, met een meerderheid die ook verbeteringen in de gezondheidsuitkomsten voor patiënten voorziet.

Ondanks de groei zijn er uitdagingen, zoals de integratie van AI binnen bestaande zorgprocessen en zorgen over privacy en veiligheid. De opkomst van generatieve AI, zoals ChatGPT, en embedded AI in zorgproducten biedt nieuwe mogelijkheden, maar brengt ook juridische verplichtingen met zich mee, zoals de naleving van de EU AI Act. 

AP: “Fraudeaanpak DUO discriminerend en illegaal”

De Dienst Uitvoering Onderwijs (DUO) heeft inbreuk gemaakt op de Algemene Verordening Gegevensbescherming (AVG), het Europees Verdrag voor de Rechten van de Mens en de Grondwet. Dit blijkt uit een oordeel van de Autoriteit Persoonsgegevens (AP) over een algoritme dat was ontworpen om fraude onder studenten op te sporen. Als gevolg hiervan zal het kabinet een bedrag van 61 miljoen euro reserveren om boetes en teruggevorderde studiefinanciering terug te betalen aan tienduizend (oud-)studenten die de uitwonendenbeurs ontvingen.

Het algoritme, dat gebaseerd was op criteria zoals onderwijssoort, afstand tussen adressen en leeftijd, kende een ‘risicoscore’ toe aan studenten. De AP concludeert dat de selectiecriteria niet objectief waren onderbouwd en dat DUO de werking van het algoritme nooit heeft geëvalueerd. Hierdoor kregen sommige studenten onterecht een hogere risicoscore, wat leidde tot frequente controles en huisbezoeken.

AP-voorzitter Aleid Wolfsen benadrukt het belang van zorgvuldig onderbouwen van selectiecriteria bij algoritmes. De overtredingen van DUO waren zo duidelijk dat de AP de minister onmiddellijk op de hoogte heeft gesteld, nog voor de afronding van het rapport. Minister Bruins bevestigde dat de getroffen studenten hun boetes en terugvorderingen terugkrijgen. Daarnaast zullen studenten wiens uitwonendenbeurs is ingetrokken, het verschil met de thuiswonendenbeurs vergoed krijgen, mits zij ingeschreven zijn gebleven op hun gecontroleerde adres. Verdere details over de uitbetaling worden nog uitgewerkt.

Pinterest aangeklaagd wegens onrechtmatig tracken van gebruikers

Privacyorganisatie noyb heeft een klacht ingediend tegen het sociale mediaplatform Pinterest wegens het schenden van de Europese privacywetgeving (AVG). Ondanks een recent verbod van het Europese Hof van Justitie, volgt Pinterest de persoonlijke gegevens van gebruikers zonder toestemming te vragen. Het bedrijf beweert, volgens noyb ten onrechte, een “gerechtvaardigd belang” te hebben en zet standaard tracking aan.

Meer dan 130 miljoen mensen in de EU gebruiken Pinterest, dat deels gefinancierd wordt door gepersonaliseerde advertenties. Om dit te doen volgt Pinterest gebruikers, zonder om toestemming te vragen zoals wettelijk vereist is.

De klager ontdekte de advertentietracking van Pinterest per toeval en diende een verzoek in om toegang te krijgen tot haar gegevens. Hoewel ze een kopie van haar gegevens ontving, ontbrak informatie over de ontvangers van haar gegevens. Pinterest slaagde er niet in om details te verstrekken over de categorieën gegevens die met derden werden gedeeld.

Noyb heeft nu een klacht ingediend bij de Franse gegevensbeschermingsautoriteit (CNIL). De organisatie eist dat Pinterest de gegevens voor gepersonaliseerde advertenties wist, de ontvangers hiervan op de hoogte stelt en voldoet aan het verzoek om toegang van de klager. Tot slot stelt noyb voor dat de CNIL een boete oplegt om toekomstige overtredingen te voorkomen.

Eindadvies ‘Toezicht op AI’

Op 7 november 2024 hebben de Rijksinspectie Digitale Infrastructuur (RDI) en de Autoriteit Persoonsgegevens (AP) hun eindadvies ‘Toezicht op AI’ gepresenteerd. Dit advies richt zich op de coördinatie van toezicht rondom kunstmatige intelligentie (AI) in combinatie met de Algemene Verordening Gegevensbescherming (AVG). 

AI ontwikkelt zich snel en biedt tal van mogelijkheden, maar brengt ook risico’s met zich mee. Het advies benadrukt het belang van een geïntegreerde aanpak voor effectief toezicht. Aangezien AI in verschillende sectoren uiteenlopende toepassingen kent, is het cruciaal dat toezichthouders hun expertise delen en samenwerken om risico’s te identificeren en op te volgen. De RDI en AP pleiten voor een sectorale benadering, waarbij het toezicht aansluit bij bestaande regelgeving en toezichthouders hun mandaten behouden.

Producten die AI bevatten, moeten voldoen aan de AI-verordening naast andere Europese veiligheidsregels, wat de herkenbaarheid voor consumenten vergroot. Het advies benadrukt de noodzaak van gezamenlijke betrokkenheid en samenwerking tussen toezichthouders, zodat er een uniforme aanpak ontstaat die het vertrouwen van de consument waarborgt. RDI-inspecteur-generaal Angeline van Dijk en AP-voorzitter Aleid Wolfsen onderstrepen de verantwoordelijkheid om AI veilig en eerlijk te integreren in de samenleving en benadrukken het belang van een gezamenlijke aanpak voor een toekomstbestendig AI-landschap.

LinkedIn krijgt boete van 310 miljoen euro 

De Ierse Data Protection Commission (DPC) heeft Microsoft-dochter LinkedIn een boete van 310 miljoen euro opgelegd vanwege verschillende overtredingen van de Algemene Verordening Gegevensbescherming (AVG). De autoriteit concludeert dat LinkedIn zonder geldige rechtvaardiging persoonsgegevens heeft verzameld voor gedragsanalyses en gerichte advertenties. De DPC stelt dat LinkedIn geen ‘gerechtvaardigd belang’ had om deze gegevens te verzamelen, een argument dat het bedrijf gebruikte om zijn praktijken te onderbouwen.

Bovendien heeft LinkedIn niet voldoende duidelijkheid verschaft over de redenen voor het verzamelen van gebruikersgegevens. De DPC benadrukt dat gebruikers geen ‘vrije toestemming’ konden geven, aangezien zij niet adequaat geïnformeerd werden. Het verwerken van persoonsgegevens zonder een legitieme basis wordt beschouwd als een ernstige schending van fundamentele gegevensbeschermingsrechten.

Met deze boete is LinkedIn nu verantwoordelijk voor de vijfde hoogste AVG-boete tot nu toe. Naast de geldelijke sanctie wordt het bedrijf ook opgedragen om zijn gegevensverwerkingspraktijken aan te passen aan de Europese privacyregelgeving. Het  onderzoek van de DPC naar LinkedIn begon in 2018, en het bedrijf had eerder al 396 miljoen euro gereserveerd voor een mogelijke boete. Het is onduidelijk of Microsoft nog steeds van plan is bezwaar aan te tekenen.

Samenwerking tussen zorgaanbieders en ICT-leveranciers voor efficiënte gegevensuitwisseling 

De nieuwe Europese verordening EHDS (European Health Data Space) zal naar verwachting in januari 2025 definitief worden ondertekend, waarna de wet 20 dagen later in werking treedt. Vanaf dat moment zijn ICT-leveranciers verantwoordelijk voor het aanpassen van hun software aan de nieuwe eisen die de EHDS met zich meebrengt. Dit houdt in dat leveranciers moeten voldoen aan specifieke vereisten omtrent interoperabiliteit, waarbij het European EHR exchange format (EEHRxF) centraal staat. Daarnaast dienen zij te voldoen aan voorschriften op het gebied van beveiliging en logging, die ook aansluiten bij andere Europese richtlijnen, zoals de GDPR (AVG) en NIS2.

De Nederlandse wet Wegiz, die in 2023 is aangenomen, blijft van belang voor de nationale gegevensuitwisseling en zal ook helpen bij het voldoen aan de EHDS-eisen. 

Het is cruciaal dat de implementatie van de Wegiz en de EHDS op elkaar worden afgestemd om dubbele werkzaamheden voor ICT-leveranciers te voorkomen. In dit kader werken zorgaanbieders en ICT-leveranciers samen binnen het Twiin-initiatief, dat zich richt op de harmonisatie van vertrouwensafspraken en de ontwikkeling van een landelijk data-integratieplatform. Dit platform zal het National Contact Point eHealth (NCPeH) integreren, wat de gegevensuitwisseling zowel nationaal als Europees zal verbeteren. Een concreet project, PIEZO genaamd, is al gestart en faciliteert de uitwisseling van patiëntgegevens tussen Nederland en andere Europese landen.

Delen: