Juridisch: Rapporteren met AI - Beroepsgeheim

Beste Allemaal,

• Vraagje voor de juridisch onderlegden onder u.
• Om deze post niet heel lang te maken, ga ik soms wat 'kort door de bocht'.

Een vriend van mij, die wat minder technisch / juridisch onderlegd is, werkt als medisch specialist. Uiteraard rapporteert hij zijn werkzaamheden in de dossiers van de patiënten. Goed om te weten:

• Hij is arts, geen verkoper van medische handelingen, hij moet soms ook wel eens 'nee' verkopen aan een patiënt. Niet iedere patiënt is daar blij mee, sommige patiënten reageren geïrriteerd / boos, sommigen dreigen met het starten van een zaak bij het medisch tuchtcollege.
• Een arts is zélf aansprakelijk voor zijn handelen, dus ook voor de dossiervoering. Als dit niet in orde is, is de arts tuchtrechtelijk hierop aan te spreken, niet het ziekenhuis (extreme uitzonderingen daargelaten).

Om de 'administratieve lastendruk' te verlichten, is het ziekenhuis waar hij werkt het rapporteren met behulp van AI enorm aan het promoten. De bedoeling is dat hij de gesprekken tijdens zijn spreekuur opneemt, deze worden dan middels AI samengevat en, nadat hij de rapportage gelezen / gecorrigeerd heeft, aan het patiëntdossier toegevoegd. Uiteraard moet de patiënt instemmen met het maken van deze opnames.

Mijn vriend heeft daar wel wat problemen mee, want:

• De KNMG, de beroepsorganisatie van artsen, raadt af om persoonsgegevens via AI te verwerken. Alleen dit is voor hem al een reden om hier niet aan te beginnen.
• En daarnaast een technisch / juridische 'dingetje'. Zijn rapportage wordt verwerkt bij een grote Amerikaanse cloudprovider. Hiervoor maakt de leverancier gebruik van een datacenter in de EU, maar de cloudprovider heeft zich ook te houden aan de Patriot-Act. De belofte van de leverancier is dat de bestanden direct na verwerking gewist worden. Noch deze arts, noch het overgrote deel van zijn patiënten hebben de Amerikaanse nationaliteit, zij hebben dus niet de bescherming die de Patriot-act Amerikaanse staatburgers gunt. Onder de Patriot-act mogen ook medische gegevens verzameld worden, als dit in het belang is van de Amerikaanse 'national security'.

Nu is mijn vriend niet bang dat één van zijn patiënten in een Amerikaanse gevangenis gegooid wordt en dat zijn rapportages in het strafdossier verschijnen. Zijn zorg is meer dat een boze, Nederlandse, patiënt deze wijze van rapporteren meeneemt in een klacht- of tuchtzaak als (extra) stok om hem te slaan, want mét het laten verwerken van deze gegevens in de omgeving van een Amerikaanse bedrijf, heeft de Amerikaanse overheid, in principe, de juridische middelen om gegevens van zijn patiënten op te vragen. Ik weet wel iets van privacywetgeving in de zorg / medisch beroepsgeheim en deel zijn standpunt. Maar.....

Wat vinden jullie? Stel een patiënt dient een klacht in waarin de patiënt aangeeft dat deze arts onzorgvuldig is omgegaan met het patiëntdossier door het laten verwerken van de rapportages in een omgeving waarin het beroepsgeheim niet gegarandeerd kan worden? Heeft deze patiënt dan een punt?

_{Tot slot, uiteraard is de kans klein dat deze arts hiervoor naar het medisch tuchtcollege moet. Maar mócht dit wel gebeuren, de gang naar het tuchtcollege is niet prettig én levert tientallen, zo niet honderden, uren aan extra werk op. Dus, een kleine kans, maar met heel grote gevolgen.}

gambieter schreef op donderdag 19 maart 2026 @ 11:43:
Waarom de juridische weg opgaan? Hij kan toch gewoon weigeren de AI tools te gebruiken? Doe ik ook, mijn werkgever is er ook godsgruwelijk mee bezig.

Hij gaat er (voorlopig) ook niet mee aan de slag hoor... Hij (en ik) zijn vooral benieuwd naar jullie gedachten hierover.

cosmo_roel schreef op donderdag 19 maart 2026 @ 11:44:
> De KNMG, de beroepsorganisatie van artsen, raadt af om persoonsgegevens via AI te verwerken. Alleen dit is voor hem al een reden om hier niet aan te beginnen.

(Dat is een autoriteitsargument. Maar gelukkig is het volgende punt wel een goede.)
(...)
Ga de discussie hierover aan met management in het zkh zou ik zeggen. En leg vast dat je je zorgen geuit hebt en dat je "gedwongen" wordt dit te uiten. Misschien heb je dan in het geval van shit hits the fan voldoende om een "extreme uitzondering" te zijn. En misschien heeft het zkh hier ook al over nagedacht en juridisch onderbouwd dat het wel kan/mag.

• De richtlijnen / adviezen van de KNMG zijn voor een goede arts behoorlijk zwaarwegend. Hiervan afwijken mág, maar moet je héél goed onderbouwen, aangezien ze nog nét niet het gewicht van wet hebben.
• Ziekenhuis roept "Datacenter staat in de EU, dus EU wetgeving telt".

naitsoezn schreef op donderdag 19 maart 2026 @ 11:48:
In beginsel, en je verhaal maakt dat nog niet helemaal concreet, hoeft het gebruik van een AI / LLM nog niet te betekenen dat je de data ook automatisch laat verwerken bij een amerikaanse couldprovider. Er zijn inmiddels tal val oplossingen die de functies van bv ChatGPT (om er maar 1 te noemen) 'lokaal' draaien. Of het ziekenhuis in kwestie dit ook doet is me niet helemaal duidelijk.

Edit: Daar komt nog bij dat het risico van data bij een amerikaanse cloudprovider natuurlijk niet alleen een 'ding' is bij AI / LLM gebruik. Mag ik uit je verhaal opmaken dat de bevriende dokter voor de rest van alle digitale handelingen / toepassingen / dataverwerkingen volledig onafhankelijk is van de bekende amerikanen?

• Leverancier van de AI-rapportage oplossing noemt zelf dat deze verwerkt worden bij een Amerikaanse partij. Er draait geen 'lokaal' LLM.
• Overige applicaties worden niet bij Amerikaanse partijen gehost, maar in eigen datacenters van Nederlandse aanbieders.

Sissors schreef op donderdag 19 maart 2026 @ 11:50:
[...]

Dat kan, maar dan kan hij een stuk minder daadwerkelijke zorg verlenen. Ik heb van meerdere (huis)artsen gehoord dat die erg enthousiast zijn om op deze manier tijd te besparen, waardoor ze meer patienten kunnen helpen. Het schijnt er goed voor te werken.

Maar die vriend werkt dus gewoon in loondienst bij het ziekenhuis? Dat ziekenhuis heeft afspraken met een dienstverlener om dit te verwerken. Ook IANAL, maar mij lijkt het toch al snel onder de 'extreme' situaties vallen dat hij niet verantwoordelijk is voor het gebruik van systemen waarbij zijn werkgever verteld dat het goed geregeld is qua privacy en soortgelijken. Als zou blijken dat ergens een configuratiefoutje staat in het IT systeem van het ziekenhuis waardoor alle patientdossiers publiekelijk toegankelijk zijn, dan is de arts daar ook niet (tucht)rechtelijk voor aansprakelijk.

En dat zou je natuurlijk kunnen voorkomen door alles op papier te gaan bijhouden, maar dan kom je ook weer erop uit: Hoeveel efficientie wil je kwijtraken voor imo toch redelijk hypothetische problemen.

Edit_: voor de duidelijkheid, wat ik hiermee bedoel met hypothetische problemen is niet dat ik wil zeggen dat je allerlei gevoelige persoonsgegevens maar in je gratis ChatGPT moet duwen! Maar wat ik wel hypothetisch vind is dat de arts aangeklaagd zou worden voor het gebruik van de systemen waarvan zijn werkgever zegt dat ze goed hebben gecontroleerd dat ze aan de eisen voldoen.

• Een oprechte fout van een derde partij zal een arts niet snel aangewreven worden. Als de postbode een brief van een arts verkeerd bezorgd, kan dat de arts niet aangerekend worden. Als de doktersassistente een vergissing maakt in het huisnummer, dan is de arts wél verantwoordelijk (de arts, dus niet het ziekenhuis). Ook in een ziekenhuis. Dus een configuratiefoutje zal niet op zijn bordje komen. Maar als hij weet dat gegevens, weliswaar kort, op een plek zijn waar het onduidelijk is wie er mee mogen kijken, dan kan het lastig worden.
• Het verschil tussen 'iemand' in loondienst en een arts in loondienst is dat een arts, ten allen tijde, ongeacht de arbeidsrechterlijke verhouding met het ziekenhuis, persoonlijk aansprakelijk is voor zijn handelen. Als een arts midden in een operatie is en de directeur van het ziekenhuis draagt hem op om de operatie af te breken, mág een arts dit niet zomaar doen. Als het in het belang van de patiënt is, moet hij deze opdracht naast zich neerleggen, ook al legt hij dan een dienstopdracht naast zich neer.
• Een boze patiënt die op zoek gaat naar 'stokken' om een arts te slaan is, helaas, niet iets hypothetisch. Meer en meer patiënten vinden zichzelf de 'klant' in een ziekenhuis en zijn van mening dat een arts maar heeft te doen wat zíj willen, ook al is er geen medische noodzaak.

TheodoorDG schreef op donderdag 19 maart 2026 @ 12:09:
[...]

De KNMG raadt alleen specifiek af om de publieke OpenAI ChatGPT te gebruiken met persoonsgegevens:
https://www.knmg.nl/actueel/dossiers/digitale-zorg-1/artificial-intelligence-ai Dit advies is gekomen in 2024 toen artsen de publieke ChatGPT gingen gebruiken met persoonsgegevens zonder ook maar enige check te doen naar privacyaspecten.

Helemaal als de werkgever een AI-tool aanbied en aangeeft dat de privacy is gewaarborgd mag je dat als arts overnemen en hoef je dat niet nog eens zelf te gaan verifiëren. Dit hoeft een arts ook niet te doen voor alle andere IT-systemen als het patiëntendossier zelf. Ik zou het juist aanpakken om te kijken of het de patiëntenzorg kan verbeteren en werkdruk kan verlichten.

En dat is het ingewikkelde, als je iets verder leest op de site van de KNMG kom je dit tegen:

Deel nooit persoonsgegevens of bedrijfsgevoelige informatie met ChatGPT.
OpenAI, het bedrijf achter ChatGPT, slaat veel gegevens op, inclusief gestelde vragen en verkregen antwoorden. OpenAI gebruikt die gegevens bijvoorbeeld om hun taalmodel te trainen. Hoewel je kunt aangeven dat jouw gegevens daar niet voor gebruikt mogen worden, sluit dit niet uit dat er gegevens op verkeerde plekken terecht kunnen komen. Daardoor kun je niet alleen een datalek veroorzaken, maar ook het beroepsgeheim schenden dat je jegens je patiënten hebt. Op dit moment is nog veel onbekend over de privacyrisico’s van ChatGPT. Deel daarom nooit gevoelige persoonsgegevens, en ook geen bedrijfsgevoelige gegevens (zoals financiële gegevens).

• Vervelende is dat de leverancier van deze oplossing de samenwerking met deze Amerikaanse partij actief uitdraagt in presentaties en brochures. Een daarmee weet deze arts dat in de cloudomgeving zowel de EU- als de Amerikaansen wet- en regelgeving gelden. En daar zit 'm de kneep. Als er gebruik gemaakt zou worden van een oplossing waar geen Amerikaanse partij bij betrokken zou zijn, er geen dilemma meer zijn.
• Overigens lijkt de tijdswinst, op dit moment, nog wel tegen te vallen, de door AI gegenereerde samenvattingen zijn behoorlijk lang, meer een transcript dan een samenvatting.

bregweb schreef op donderdag 19 maart 2026 @ 12:28:
Even een verheldering.
De genoemde AI tools verwerken geen persoonsgegevens, ze verwerken een gesprek. Van dat gesprek wordt een medisch relevante samenvatting gemaakt die door jouw vriend wordt nagekeken en pas na goedkeuring aan een dossier van een patiënt wordt toegevoegd.

Om de samenvatting te maken wordt het gesprek tijdelijk in de cloud opgeslagen, maar snel definitief verwijderd. Zo zou het moeten gaan, maar dit lijkt mij geen probleem voor jouw vriend, de tool wordt door het ziekenhuis aangeboden, die zijn hopelijk niet over 1 nacht ijs gegaan en hebben goed uitgezocht met wie ze zaken doen en wat er met hun data gebeurt.

• Laten we er geen semantische discussie van maken, in het gesprek worden persoonsgegevens gebruikt. Er worden dingen gezegd als: "Zo mevrouw Jansen, hoe is het nu met uw zweetvoeten?" en "Tja voor een zestienjarige is het wel bijzonder om zo'n last van zweetvoeten te hebben."
• En zoals ik ook al in de OP aangaf, het gaat niet zozeer om de praktische uitwerking, maar om de juridische aansprakelijkheid. Dus: 'Mag' een Nederlandse arts zijn rapportages, al is het maar even, onderbrengen bij een Amerikaans bedrijf?

Aanvulling:
Nog even voor de duidelijkheid, 'we' zijn vooral benieuwd naar de juridische / tuchtrechterlijke kant van dit verhaal. 'Mag' een arts, ook al is maar voor even, patiëntgegevens laten verwerken in een omgeving waar ook andere regels gelden dan de Europese / Nederlandse?

[ Voor 8% gewijzigd door Bernard0343 op 19-03-2026 13:11 ]

TheodoorDG schreef op donderdag 19 maart 2026 @ 13:27:
Je denkt echt veel te ver wat er verwacht kan worden van een arts, die hoeft zich niet te gaan verdiepen in Amerikaanse wetgeving die mogelijk van toepassing is op een toeleverancier van een leverancier van het ziekenhuis waar die werkt.

De Europese Unie, Nederlandse overheid, Autoriteit Persoonsgegevens hebben allemaal geen juridische bezwaren met het delen van persoonsgegevens naar de VS:


[...]

De afhankelijkheid en privacyaspecten van data in de VS is zeker een onderwerp van recente discussie, maar pas bij wetswijzigingen kan dit juridische gevolgen krijgen.

De KNMG geeft eigenlijk alleen aan: "Volg dus altijd het actuele beleid dat geldt binnen jouw zorginstelling. Zijn zulke afspraken jou niet bekend, of zijn deze binnen jouw organisatie nog niet opgesteld, vraag er dan om. "

Pas als de KNMG een specifiek advies zou geven aan artsen dat ze persoonlijk moeten zorgen dat er geen data mogen laten verwerken door Amerikaanse partijen zou het tuchtrechtelijk interessant kunnen worden. Echter zal de KNMG nooit zo'n standpunt nemen, als ze zich zorgen maken kloppen ze wel aan bij de overheid of AP om het in een keer goed te regelen in plaats van dat iedere arts zich moet gaan verdiepen in contracten en wetgeving van de IT-leveranciers.

Er zijn ziekenhuizen die hun hele EPD bij Amerikaanse leveranciers draaien, als er een richtlijn van KNMG zou komen artsen zich in de Amerikaanse wetgeving moeten verdiepen voordat ze die systemen gebruiken dan moeten die artsen hun werk bij die ziekenhuizen neerleggen.

Dank! Hier hebben we wat aan!

Alhoewel..... Zie dít artikel, kans dat de overeenkomst tussen de EU en de VS klapt, is aanwezig.

F_J_K schreef op donderdag 19 maart 2026 @ 15:09:
[...]

Als er geen persoonsgegevens worden verwerkt dan weet de arts niet over wie het verslag gaat. En weet de software ook niet dat de arts het resultaat moet krijgen. Per definitie.
Het betreft zeker wel -ook bijzondere- persoonsgegevens.

Dat gezegd hebbende: mits daadwerkelijk de output goed wordt gecontroleerd, kan ik er wel voordelen in zien als verder voldoende maatregelen zijn genomen. De gratis Chatgpt is 'nicht im frage'. Ook geen andere waar niet contractuele afspraken zijn over wat er mee gebeurt. Misschien is het ook technisch onmogelijk gemaakt dat de hoster er bij kan, weet ik niet. Dat zijn aspecten die het ziekenhuis zou moeten (kunnen) hebben geregeld. En getoetst.

offtopic:
De Patriot Act is al heel lang geleden uitgekleed en vervangen door de Freedom Act.

En je begrijpt het dilemma van de betrokken arts. Het valt hem op dat de expertise op het gebied van medisch-juridische zaken, ook bij de juridische afdeling van 'zijn' ziekenhuis, dun gezaaid is, zeker als het gaat om wet- en regelgeving die specifiek zijn beroepsgroep geldt.