Welke wetgeving is er van toepassing op algoritmes die voor intern gebruik worden ontwikkeld? In 2019 is er op verzoek van het Ministerie van VWS een overzicht opgesteld, waarvan er hier een aantal worden uitgelicht.[1] De regels slaan hoofdzakelijk op twee onderwerpen:

  • De toepassing van het algoritme en de processen daar omheen,
  • het gebruik van persoonsgegevens.
Toepassing van het algoritme

Bij software die intern wordt ontwikkeld en gebruikt kan de Medical Device Regulation (MDR) van toepassing zijn.[2] Software die een medisch hulpmiddel ondersteunt kan een medisch hulpmiddel zijn. Er is voor zorginstellingen een verlicht regime binnen de MDR voor intern ontwikkelde medische hulpmiddelen.[3] Een zorginstelling is hier gedefinieerd als een organisatie met als hoofddoel het verzorgen van patiënten of het bevorderen van de volksgezondheid. Hieronder vallen ook laboratoria. Zorginstellingen hoeven dan geen certificering aan te vragen voor hun medisch hulpmiddel zolang deze intern blijft. Wel moet er aan een aantal eisen worden voldaan die opgesomd zijn in Artikel 5 lid 5 van de MDR. Zo moet de zorginstelling kunnen beargumenteren waarom er een nieuwe toepassing nodig is en waarom er geen bestaande toepassing gebruikt kan worden.

Naast de MDR zijn er ook nationale regels voor de toepassing van medische technologie zoals de wet kwaliteit, klachten en geschillen zorg en bijbehorende besluiten en regelingen. Ook is er het Convenant Medische Technologie wat van toepassing is als een zorgverlener een hulpmiddel gebruikt.

Persoonsgegevens

Bij het ontwikkelen van algoritmes in een zorgomgeving is het bijna onvermijdelijk dat er bijzondere persoonsgegevens worden verwerkt. De gegevens van een patiënt moeten goed beschermd worden en hierbij is een scala aan algemene en specifieke wetgeving van toepassing. Ten eerste zijn de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG) van toepassing. De verwerking van persoonsgegevens moet altijd rechtmatig, behoorlijk en transparant zijn.

Bij bijzondere persoonsgegevens zoals gegevens over iemands gezondheid gelden nog strengere eisen dan normaal. Zo moet er toestemming worden gevraagd aan patiënten voor het gebruiken van hun persoonsgegevens om een algoritme te ontwikkelen[4] of er moeten maatregelen worden genomen om het risico voor patiënten te minimaliseren als het niet mogelijk is om toestemming te vragen.[5]

Ook kan het, afhankelijk van het doel van het algoritme, nodig zijn om een Data Protection Impact Assessment (DPIA) te doen voordat men begint met het ontwikkelen van het algoritme. Een DPIA is verplicht als een verwerking van persoonsgegevens een hoog privacyrisico oplevert voor de betrokkenen. Of er sprake is van een hoog risico moet u zelf beoordelen, op basis van de aanwijzingen van de AVG en de Autoriteit Persoonsgegevens (AP).[6] Grootschalige verwerking van gezondheidsdata staat bijvoorbeeld op de lijst verwerkingen waarvoor een DPIA nodig is van de AP.[7]

Naast de algemene regels van de AVG zijn er ook nog specifieke regels voor de zorg, zoals het Besluit elektronische gegevensverwerking door zorgaanbieders en een aantal NEN en ISO standaarden die in dat besluit of in de MDR als geharmoniseerde norm zijn meegenomen.

AI Verordening

De EU is bezig met een verordening specifiek gericht op AI toepassingen.[8] Bij de ontwikkeling van algoritmes die in de gezondheidszorg gebruikt gaan worden kunnen de regels van de AI verordening van belang worden. Als een bepaald algoritme onder de MDR valt is de kans vrij hoog dat er sprake is van een Hoog-risico AI toepassing.[9] Dit betekent dat de ontwikkelaar van de toepassing zal moeten voldoen aan een aantal eisen op het gebied van documentatie, controle en ontwikkelingsmethodiek.[10]

Naast dat ontwikkelaars van AI systemen zich aan de AI verordening moeten houden zijn er ook eisen aan de gebruikers van systemen die onder de verordening vallen. Onderzoekers die bijvoorbeeld een toepassing onderzoeken maar niet zelf ontwikkelen vallen hieronder.

Conclusie

Op dit moment zijn er eigenlijk geen specifieke extra regels als men een AI toepassing ontwikkelt tegenover gewone software. Wel wordt de verwerking van persoonsgegevens belangrijker en daarmee de rol van de AVG groter. Als de nieuwe AI Verordening eenmaal in werking is getreden zullen er wel grotere verschillen gaan ontstaan tussen de regels voor gewone software en AI toepassingen.

 

[1] Ministerie van VWS (2019) Hand-out wettelijke en normatieve kaders rondom AI in de zorg.

[2] M.F. van der Mersch (2022) Handreiking AI in de zorg.

[3] Artikel 5 lid 5 MDR.

[4] Artikel 9 AVG.

[5] Artikel 24 UAVG.

[6] https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/data-protection-impact-assessment-dpia

[7] https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/stcrt-2019-64418.pdf

[8] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52021PC0206

[9] Artikel 6(1)(a) AI Verordening

[10] Artikelen 8 t/m 15 AI Verordening

Details