AI belooft de zorg te ontlasten, met toepassingen variërend van administratieve ondersteuning tot klinische besluitvorming. Toch stokt de adoptie: bestuurders en IT-managers twijfelen of AI wel veilig genoeg is. Waar komen de data terecht? Worden die gebruikt om externe modellen te trainen? En hoe borg je compliance met AVG en NIS2? Het antwoord blijkt verrassend eenvoudig: veiligheid wordt bepaald door infrastructuur. Igor Brouwers, CEO van softwareontwikkelaar PAQT, legt uit waarom inzetten op lokale AI-infrastructuur essentieel is en waarschuwt dat zorgbestuurders vaak onnodig pessimistisch zijn.
“Er wordt veel gesproken en geschreven over de output van AI-toepassingen voor de zorg”, begint Brouwers. “Sommige output van AI is wel betrouwbaar, sommige output niet.” Dat kan reden zijn om geen gebruik te willen maken van AI, maar een deel van de toepassingen is volgens Brouwers al wel bruikbaar.
“In mijn optiek zijn er twee belangrijke maar onderbelichte aspecten van AI-output. Namelijk het trainen van een goed model en het trainen van mensen die het model goed kunnen gebruiken. Dit leidt samen tot goede output.” Een belangrijke uitdaging van AI, zeker in de zorg, is wat er gebeurt met de data. Brouwers hierover: “Ook dat is afhankelijk van twee dingen: de gebruiker en de infrastructuur. Gebruikers – mensen – doen wel eens domme dingen. Die component krijg je nooit helemaal veilig. Maar een veilige infrastructuur is wel haalbaar én essentieel voor veilig AI-gebruik.”
In de zorg maakt onbekend vaak onbemind, ziet Brouwers. “Bestuurders blijven hun zorgen uiten over AI, wat ook goed is, maar vaak zijn de oplossingen eenvoudiger dan gedacht. Alleen: daar heeft niemand het over, zodat men blijft zitten met die focus op de zorgen rondom AI. We kunnen ons beter richten op de voorwaarden die nodig zijn om AI-veilig te maken.”
Eigenlijk zijn zorgorganisaties en -bestuurders op dit moment onnodig pessimistisch over de veiligheid van AI, meent Brouwers. “Veilige infrastructuur is de basis voor veilige toepassing van AI.”
Houdt data dichtbij
AI-infrastructuur wordt aangeboden door veel verschillende partijen en op verschillende locaties wereldwijd. “Cloudsoevereiniteit is op dit moment ook een hot topic”, vertelt Brouwers. “De locatie van de partij die je hiervoor als zorgorganisatie kiest, is verregaand bepalend voor welke gegevens zij bij mogen houden en wat ze daarmee mogen doen. Zelfs een contract waarin staat dat de data niet gebruikt worden om het AI-model te trainen is risicovol als het AI-model buiten de EU wordt gehost. Als Amerikaanse wetgeving een bedrijf dwingt om data te delen met hun overheid, hebben ze daar weinig tegen in te brengen. Ongeacht wat er in het contract met de zorgorganisatie staat.”
Maar, vervolgt Brouwers: als het datacenter in Amsterdam staat, is het gebonden aan Nederlandse en Europese wetgeving. Het zal voldoen aan de AVG en alle andere relevante wet- en regelgeving. Wat betreft compliance en wet- en regelgeving is het daarbij dan nog een stukje makkelijker om in Nederland te blijven dan om naar een ander EU-land te gaan. Ook de auditability is dan eenvoudiger.
“Daarnaast maak je natuurlijk afspraken met die partij over hoe je data gebruikt worden, waarbij je de data het liefst binnen je eigen AI-infrastructuur of cloud houdt. Maar zo lang de data in Nederland of Europa blijven, is het veiligheidsprobleem eigenlijk grotendeels opgelost, omdat het binnen de compliance-regels blijft.”
Hybride AI-architectuur
Idealiter wordt AI-infrastructuur voor zorgorganisaties op een hybride manier ingericht. Daarbij blijft de infrastructuur voor kritische toepassingen in de organisatie zelf; infrastructuur voor niet-kritische toeppassingen wordt opgeslagen in de cloud.
Brouwers neemt een ziekenhuis als voorbeeld: “Stel, de kwaliteit van AI-output is in de toekomst goed genoeg om AI-toepassingen in te zetten op de intensive care. Dan moeten die toepassingen draaiende gehouden worden door de datacenters van het ziekenhuis, zodat ze ook in een crisissituatie gebruikt kunnen worden. AI-toepassingen die gebruikt worden door de HR-afdeling van het ziekenhuis hoeven in zo’n situatie niet direct beschikbaar te zijn en kunnen dus via een cloud lopen om kosten te besparen. Daarmee ontstaat een hybride model waarin een deel van de AI-infrastructuur in het ziekenhuis staat en een deel elders in Nederland of Europa.” Eenzelfde onderscheid tussen kritiek en niet-kritieke toepassingen is ook voor andere typen zorgorganisaties van belang. Om dit onderscheid te maken, kan slimme routering op basis van dataclassificatie ingezet worden.
'Zorgen over dataveiligheid moeten nieuwsgierigheid en vragen oproepen'
Volgens Brouwers hoeven zorgorganisaties niet te wachten op de komst van Nederlandse of Europese AI-factories om aan de slag te gaan met AI. “Er zijn verschillende aanbieders die de inzet van AI nu al mogelijk maken. Wij adviseren al onze klanten om in deze fase vooral met AI aan de slag te gaan. Daarmee bedoel ik experimenteren, nog niet alle middelen in AI steken. Want ja, AI is nog volop in ontwikkeling en het is nog geen ‘prime time’. Maar ga er in elk geval mee aan de slag.”
Oftewel, het is eigenlijk zonde om te wachten tot de AI-factories operationeel zijn. “Heb je een interessante AI-toepassing op het oog, maar maak je je zorgen over beveiliging, compliancy en dergelijke?” vraagt Brouwers. “Dan zeggen wij: het verantwoord gebruik van AI kan ook nu al.”
Infrastructuur en implementatie
Zorgorganisaties die graag aan de slag willen met AI, kunnen vaak ondersteuning gebruiken bij het inrichten van de AI-infrastructuur en de implementatie. “Bij PAQT beginnen we met een in-house Rise-traject.” Deze methode omvat vier aandachtsgebieden, namelijk: het doorgronden van de vraag van de organisatie; het toetsen en aanscherpen van een oplossing; een actieplan opstellen; de implementatie van de oplossing.
“Het belangrijkste is waar de vraag van de organisatie naar moet gaan leiden. Dat zoeken we samen met de betreffende zorginstelling uit. Vervolgens wordt daar een advies aan gekoppeld. Dat advies kan zijn: je moet dit nu nog niet doen. Of het advies kan zijn: ja, dat kan al. Bijvoorbeeld omdat er een datacenter is die de oplossing mogelijk maakt.”
Daarbij staat compliancy hoog in het vaandel. “We zijn een ‘compliancy first’-organisatie” legt Brouwers uit. “Dat betekent dat we dit bij onszelf op orde hebben, maar ook dat we alleen samenwerken met partijen die hun compliancy goed geregeld hebben. Bij een nieuwe samenwerking kijken we samen of de compliancy van die organisatie voldoende is. Als er verbeteringen nodig zijn, helpen we daarbij. Dat gaat niet alleen om het volgen van de regels, maar ook om maatregelen die gewoon verstandig zijn. Sommige zorginstellingen hebben bijvoorbeeld een soort gebruikersovereenkomst: spelregels die hun zorgverleners moeten volgen als ze AI gebruiken. Ook bij dat soort uitdagingen kunnen we helpen.”
Gepersonaliseerd gezondheidsrapport
Een voorbeeld uit de praktijk betreft een Europese digital-health applicatie waarin laboratoriumuitslagen gekoppeld worden aan leefstijldata om vervolgens met generatieve AI een begrijpelijk en gepersonaliseerd gezondheidsrapport te produceren. Brouwers licht toe: “De kern bestaat uit LLM-agents per fysiologisch domein (onder andere metabolisme, cardiovasculair) die biomarkers interpreteren, een persoonlijk gezondheidsplan samenstellen en hun adviezen
automatisch van literatuurverwijzingen voorzien. Een 24/7 AI-coach beantwoordt gebruikersvragen contextueel en evidence based, terwijl een ‘doctor-in-the-loop’-portaal clinici laat valideren, corrigeren en accorderen – met volledig audit-trail. Het platform is web-gebaseerd, op basis van privacy-by-design (GDPR), en versleutelt medische data ‘at rest’ en ‘in transit’. Zo verbindt het project preventieve zorg en dagelijkse beslissingen met betrouwbare AI-ondersteuning, zonder de menselijke professional uit het proces te halen, precies op het snijvlak waar zorg en technologie elkaar versterken.”
Bestuurders die toch nog een beetje huiverig zijn om aan de slag te gaan met AI adviseert Brouwers het volgende: “Huiverig zijn is een goed vertrekpunt, maar het moet wel leiden tot actie en niet tot verlamd stil blijven staan. Zorgen over dataveiligheid moeten nieuwsgierigheid en vragen oproepen, want er is meer mogelijk dan men op het netvlies heeft. Doe jezelf een plezier, en begin nú met AI. Begin met iets kleins maar waardevols. Iets met toegevoegde waarde voor de organisatie, maar wat ook behapbaar is.”
Bij AI-gebruik hoort namelijk een leercurve en wel voor de hele organisatie. “Voor eindgebruikers, voor de mensen die verantwoordelijk zijn voor risico’s en compliancy, voor het IT-team en voor de bestuurders. Elk element van de zorgorganisatie gaat een leercurve hebben met betrekking tot AI.” Nu starten aan die leercurve maakt een organisatie wendbaarder in de toekomst, om zo optimaal voorbereid te zijn op de uitdagingen van dan, stelt Brouwers tot slot.
