Het compliance-vraagstuk rondom AI blijft veel zorgorganisaties boven het hoofd hangen. Juridische en strategische uitdagingen kunnen onoverkoombaar lijken, maar er zijn genoeg partijen die al antwoorden hebben op veelgestelde AI-vragen. Daarbij is het verstandig om binnen onze landgrenzen te kijken, omdat internationale verschillen in wetgeving AI-gebruik onnodig complex kunnen maken, zelf in andere EU-landen. Arlon Antonius, Head of Tech Solutions bij softwarebedrijf PAQT, heeft een bemoedigende boodschap, namelijk dat er veel meer mogelijk is op het gebied van AI dan vaak wordt gedacht.
De Europese Commissie heeft een Cloud Sovereignty Framework opgesteld, een beoordelingskader dat onderdeel is van de brede Europese Datastrategie met als doel om de EU minder afhankelijk te maken van IT-aanbieders van buiten de EU. Binnen het beoordelingskader wordt de soevereiniteit van clouddiensten beoordeeld met een score van 0 tot en met 4. De score 0 betekent dat er geen sprake is van soevereiniteit, terwijl score 4 voor volledige digitale soevereiniteit in de EU staat.
IT-aanbieders krijgen daarnaast een Sovereignty Score, gebaseerd op acht verschillende dimensies, waaronder databeheer, juridische controle en ketentransparantie. “Eén van de objectives van het Cloud Sovereignty Framework gaat over data en AI, wat laat zien dat dit soort frameworks ook heel interessant zijn voor het AI-veld”, vertelt Antonius. “Het is behulpzaam om AI-toepassingen op deze manier over verschillende assen te beoordelen.”
Data lokaal, weinig risico
Wat betreft hoe bedrijven met data omgaan, zijn vooral de verschillen tussen leveranciers van binnen en buiten de EU groot. “Wat mag er met je data gebeuren? Op welke manieren mag het allemaal verwerkt worden?”, zijn voorbeelden van vragen die volgens Antonius belangrijk zijn om te stellen. “Daarnaast is het nog maar de vraag of je als Europese organisatie in staat bent om te controleren hoe een Amerikaanse AI-aanbieder écht met data omgaat. En als er daar een wet verandert, heeft dat ook invloed op jouw organisatie.” Op aanbieders in de EU – en al helemaal in Nederland – hebben zorgorganisaties waarschijnlijk meer zicht. “Als de wetgeving verandert, weet je daar meestal wel vanaf.”
Met data van patiënten moet zorgvuldig worden omgegaan, benadrukt Antonius. “Een zorgorganisatie levert uiteindelijk diensten aan patiënten. Om hun data veilig te houden, is het belangrijk om in de gaten te houden waar externe leveranciers deze gegevens gebruiken en opslaan.” Want wat als de regels over datagebruik daar opeens veranderen? Dan is het belangrijk om te anticiperen op het wisselen van leverancier, waarschuwt Antonius. “En het liefst heb je gezondheidsdata als zorgorganisatie ook lokaal beschikbaar, zodat je er hoe dan ook bij kunt.”
Verschillen binnen EU
Oftewel: om makkelijker en veiliger AI in te zetten, moeten zorgorganisaties op zoek naar een leverancier die een juridische match is. “Daarbij is het verstandig om een aanbieder uit eigen land te kiezen”, vertelt Antonius, “aangezien zij aan exact dezelfde wetgeving moeten voldoen.” Binnen de EU is veel wetgeving vergelijkbaar in de verschillende lidstaten, maar toch zijn er ook verschillen. “Vergelijk Nederland bijvoorbeeld met Duitsland. In beide landen moet natuurlijk aan de relevante EU-wetgeving worden voldaan. Maar met betrekking tot sommige aspecten is Duitsland nóg strenger dan Nederland. Terwijl de wetgeving in Frankrijk of Spanje misschien weer wat soepeler is.”
Als voorbeeld noemt Antonius de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG). “De AVG is gelijk aan de GDPR van de EU. Maar in de UAVG heeft Nederland wettelijk gezien de ruimte genomen om aanvullingen en uitzonderingen toe te voegen aan deze Europese wetgeving. Andere Europese landen hebben dat op een vergelijkbare manier gedaan, waardoor er toch verschillen zijn tussen lidstaten in GDPR-gerelateerde wetgeving.”
Human-in-the-loop
Huidige wetgeving schrijft bijvoorbeeld voor dat er bij veel AI-toepassingen voor de zorg sprake moet zijn van een human-in-the-loop. De AI mag niet volledig zelfstandig opereren, maar moet altijd gecontroleerd worden door een mens. Bijvoorbeeld een autoscribing-toepassing die een stukje verslaglegging overneemt.
Antonius: “De zorgverlener hoeft de tekst niet helemaal meer uit te schrijven, maar de output moet nog wel gecontroleerd worden. Toch is het gebruik van AI nog steeds de moeite waard, want de voordelen reiken verder dan alleen het maken van een transcript. AI kan de informatie ook samenvatten en snel de essentie van het verhaal bovenhalen.” Dat levert de zorgverlener veel tijdswinst op.
"Sluit een pact met een partner die dezelfde visie heeft op AI en compliance"
“Op dit moment is menselijke controle dus niet alleen belangrijk bij het besluiten welke AI-toepassing toegang krijgt tot gezondheidsgegevens, maar ook bij het beoordelen van de output én hoe deze output in de praktijk wordt gebruikt”, vervolgt Antonius. “Dat is niet alleen de meest verantwoorde manier om met medische gegevens om te gaan, maar is ook een vereiste in de AI-act van de EU.”
Te pessimistisch beeld
Zorgen over compliance hoeven toepassing van AI niet in de weg te staan. Zorgorganisaties hebben vaak een verkeerd, te pessimistisch beeld, meent Antonius: “Zorgorganisaties denken altijd dat minder kan dan daadwerkelijk mogelijk is. Daarnaast onderschatten ze vaak de toegevoegde waarde van AI. Of ze zijn bang dat AI hun zorgprocessen minder persoonlijk te maken.” Maar dat laatste is niet het geval volgens de Head of Tech Solutions. “AI kan zorgverleners juist weer meer ruimte geven voor persoonlijke aandacht voor de zorgvrager.”
Op veel van de vragen die zorgorganisaties hebben over AI zijn al lang antwoorden, vertelt Antonius. “Zorgorganisaties hebben vaak 101 compliance-vragen, die absoluut terecht zijn. Maar maak het jezelf niet onnodig moeilijk en vind een partner die de antwoorden op deze vragen al paraat heeft.”
Sluit een pact
Een goede partner maakt het verschil, benadrukt Antonius. “Sluit als zorgorganisatie een pact met een partner die dezelfde visie heeft op AI en compliance. Zo kan je samen echt overgaan tot actie, en AI ook in jouw organisatie gaan benutten.” Daarbij moet een vertrouwensband opgebouwd worden, vervolgt de Head of Tech Solutions. "Itereer. “Itereer samen over wat jullie neer willen zetten, en wees daar ook aan toegewijd. Door een gezamenlijk einddoel na te streven, ontstaat het wederzijds vertrouwen dat nodig is om AI-implementatie in de zorgorganisatie tot een succes te maken.”
Ook een strategische match is belangrijk, meent Antonius. “Ga met een partij in zee die processen op ongeveer dezelfde manier aanpakt. Het liefst zijn die processen ook inzichtelijk. Er zijn in Nederland veel verschillende partijen die kunnen helpen bij het inzetten van AI in zorgorganisaties. Vaak doen die partijen zelf onderzoek naar compliance, zodat zorgorganisaties bij binnenkomst meteen weten wat ze wel niet kunnen doen met AI.”
Het advies van Antonius: ga gewoon eens in gesprek met een potentiële partner, zodat je het kunt hebben over de processen die je graag zou optimaliseren met AI.
Gedeelde visie
Softwareontwikkelaar PAQT is zo’n partner die zorgorganisaties kan ondersteunen bij hun AI-wensen, stelt de Head of Tech Solutions. “We zijn expert op het gebied van customer fit, zowel op het vlak van momentum als productvisie en services.” Hierbij wordt het proces inzichtelijk gemaakt, zodat zorgorganisaties altijd kunnen zien waaraan gewerkt wordt en hoever het proces voltooid is. “Door onze ervaring weten we welke uitdagingen bij AI komen kijken, en welke acties ondernomen moeten worden. Gebruik maken van bestaande frameworks geeft zorgorganisaties een voorsprong, omdat een deel van de belangrijke compliance-vragen al aan de voorkant afgehandeld kunnen worden.”
“Veel zorgorganisaties vinden het moeilijk om te bepalen hoe te beginnen met het tackelen van een AI-vraagstuk”, merkt Antonius op. “Dat is vooral een praktische kwestie. Welke vakjes moeten we afvinken voordat we kunnen beginnen met AI?”
Voor zorgorganisaties die zich op dit punt begeven, heeft Antonius de volgende tip: “Begin met een kleine maar impactvolle AI-innovatie. Zo ga je niet meteen aan de slag met de meest kritische gegevens, maar kun je wel zichtbare resultaten behalen. Implementeer AI in een proces waarbij bepaald handwerk eigenlijk zonde is. Zoals het transcriberen van teksten.” Weinig risico, maar wel een verlichting van de werkdruk van zorgverleners.
