door Shirin Slabbers | advocaat gezondheidsrecht VvAA Legal

lees meer

Aansprakelijkheid en regelgeving rond artificiële intelligentie in de zorg

Kennisdeling

Het is verstandig per
AI-systeem in kaart te brengen welke rol wordt ingenomen (meestal gebruiker, soms ook producent) en wanneer aansprakelijkheid ontstaat als die AI-toepassing gebrekkig is.

Shirin Slabbers

| advocaat gezondheidsrecht
bij VvAA Legal

Aanbieders en gebruikers van AI-systemen moeten zo goed mogelijk voor een toereikend niveau van AI-geletterdheid zorgen. Wanneer dat niveau precies is bereikt, is nog onduidelijk.

Voor zorgverleners die zelf AI ontwikkelen of laten ontwikkelen, kunnen productaansprakelijkheidsregels gelden, wat een verzwaring van de aansprakelijkheid ten opzichte van patiënten betekent.

Met AI kunnen we de kwaliteit van de zorg verbeteren en de werkdruk verlichten. Daarbij is het momenteel een hoofdregel dat AI de besluitvorming over een behandeling mag ondersteunen, maar niet mag overnemen.

terug

Kennisdeling

Artificiële intelligentie (AI) in de zorg staat niet op zichzelf zoals een MRI-scanner, een pacemaker of een prothese. Het is een systeemtechnologie, waarbij software data ontvangt, die data verwerkt en erop reageert. Door vorige acties te analyseren, is AI in staat zich te verbeteren. De toepassingsmogelijkheden zijn legio: een chatbot die taal verwerft om vragen te begrijpen en passend te beantwoorden, een systeem dat medische beelden analyseert, diagnosticeert en daarvan leert, een robot die operaties uitvoert, systemen die data en beelden analyseren om ziektes op te sporen, een robot die patiënten vraagt hoe zij zich voelen en hun symptomen in kaart brengt enzovoort.

Met AI kunnen we de kwaliteit van de zorg verbeteren en de werkdruk verlichten. Daarbij is het momenteel een hoofdregel dat AI de besluitvorming over een behandeling mag ondersteunen, maar niet mag overnemen. Bovendien zijn er twee juridische aandachtspunten. Het eerste is dat AI tot het uitblijven van goede zorg kan leiden, bijvoorbeeld door een gebrekkig algoritme of een menselijke fout bij het gebruik daarvan. Wie is dan voor dat gebrek aansprakelijk? De ontwikkelaar, de producent of de gebruiker? Het tweede aandachtspunt is dat die ontwikkelaar, producent en gebruiker zich aan regels moeten houden. Doen zij dat niet, dan kan dat tot klachten, claims en boetes leiden.

In dit artikel beschrijf ik eerst de aansprakelijkheid bij gebruik van AI, volgens Nederlands recht en Europese regelgeving, en vervolgens welke verplichtingen voortvloeien uit de Europese AI-verordening, de privacyregelgeving, de Wkkgz en de regelgeving rond medische hulpmiddelen.

Aansprakelijkheid bij gebruik van AI

Zorgaanbieders die AI kopen, zijn als gebruikers aan te merken. Voor zorgverleners die zelf AI ontwikkelen of laten ontwikkelen, kunnen productaansprakelijkheidsregels gelden, wat een verzwaring van de aansprakelijkheid ten opzichte van patiënten betekent. Wanneer een zorgaanbieder AI verkoopt, gelden de gebruikelijke regels omtrent koop en verkoop.

De gebruiker, volgens Nederlands recht

Heeft een patiënt door het gebruik van AI schade geleden, dan is het de eerste vraag of de zorgverlener zelf iets niet goed heeft gedaan. Dit is bijvoorbeeld zo wanneer AI niet conform een professionele norm wordt ingezet, wanneer een onjuiste waarde wordt ingevoerd, de patiënt inadequaat wordt geïnformeerd, het werk van AI onvoldoende wordt gecontroleerd, AI wordt ingezet die niet aan Europese veiligheidseisen voldoet of wanneer op de werking van AI onvoldoende toezicht is gehouden. In zulke gevallen ligt aansprakelijkheid voor de hand. De juridische grondslag is dan een toerekenbare tekortkoming (wanprestatie) bij de uitvoering van de geneeskundige behandelingsovereenkomst. Voor de civielrechtelijke aansprakelijkheid moet vervolgens worden bepaald wie de contractspartij van de patiënt is. Die is immers aansprakelijk jegens de patiënt. Daarnaast geldt in de zorg de zogenoemde centrale aansprakelijkheid, bijvoorbeeld voor ziekenhuizen (artikel 7:462 BW). Deze houdt in dat een instelling aansprakelijk kan worden gesteld voor alle fouten die binnen haar muren worden gemaakt, ook al heeft de patiënt een geneeskundige behandelingsovereenkomst met een vrijgevestigde zorgverlener gesloten. Ook een zorgverlener die geen contractspartij is, kan (op grond van een onrechtmatige daad) zelf aansprakelijk worden gehouden. Is er sprake van een persoonlijk verwijt, dan kan tuchtrechtelijke aansprakelijkheid aan de orde zijn, bijvoorbeeld wanneer een zorgverlener de tekst van een spraakgestuurde rapportage niet heeft gecontroleerd of ondervonden problemen bij het gebruik van AI, tegen Europese regelgeving in, niet aan de ontwikkelaar heeft gemeld.

Heeft een patiënt door het gebruik van AI schade geleden terwijl de zorgverlener niets fout heeft gedaan, dan kan de AI-toepassing gebrekkig zijn geweest. Het is dan de vraag of de zorgverlener daarvoor aansprakelijk is. Nu is het de regel dat het gebruik van AI niet als een tekortkoming moet worden aangemerkt wanneer die ten tijde van de zorgverlening ‘state of the art’ was en pas naderhand op grond van nieuwe inzichten niet meer geschikt werd bevonden of niet meer als ‘state of the art’ werd aangemerkt. Bij de door de hulpverlener in acht te nemen zorg past geen andere rechtsregel.

De aansprakelijkheid van de gebruikers van een hulpmiddel, verschilt wezenlijk van de aansprakelijkheid van de producenten ervan. Er is wel een overlap tussen de vraag of een producent een gebrekkig product in het verkeer heeft gebracht en de vraag of een hulpverlener een gebrekkig product heeft gebruikt, maar het gaat om een ander normatief kader. Een zorgverlener is op grond van artikel 6:77 BW immers (slechts) aansprakelijk wanneer hij bij de uitvoering van de behandeling een ongeschikte hulpzaak gebruikt, tenzij dit onredelijk zou zijn, gelet op de inhoud en strekking van de rechtshandeling waaruit de verbintenis voortvloeit, de in het verkeer geldende opvattingen en de overige omstandigheden van het geval. De Hoge Raad heeft hierin duidelijkheid gebracht met het Miragel-arrest van 19 juni 20201 en de beantwoording van de prejudiciële vragen inzake de aansprakelijkheid van artsen voor het gebruik van borstimplantaten van het merk PIP op dezelfde datum.2 Wanneer dus het overeenkomstig de professionele standaard ex artikel 7:453 BW is om AI te gebruiken zoals het is gebruikt, is er geen sprake van een tekortkoming van de zorgverlener, ook niet als de AI-toepassing later toch gebrekkig blijkt te zijn. Let wel, in de relatie tot een patiënt mag aansprakelijkheid volgens de Wet op de geneeskundige behandelingsovereenkomst (Wgbo) niet worden beperkt of uitgesloten (artikel 7:463 BW). De zorgaanbieder kan evenwel met de verkoper van de AI-toepassing afspraken maken over aansprakelijkheid, het nemen van regres of zelfs het oproepen van de verkoper in vrijwaring. Zorgaanbieders doen er goed aan dit zo veel mogelijk te doen. Voor de juridische verhouding tot de patiënt heeft dit geen gevolgen.

De producent, volgens Nederlands recht

Op grond van artikel 6:185 BW e.v. is een producent risicoaansprakelijk voor schade die door een gebrek in zijn product wordt veroorzaakt (productaansprakelijkheid). Dit geldt voor schade door dood of lichamelijk letsel en voor schade, boven een bepaalde franchise, toegebracht aan een andere zaak die gewoonlijk voor gebruik in de privésfeer is bestemd en ook in de privésfeer is gebruikt. Deze hoofdregel kent zes uitzonderingen. De producent - dat wil zeggen de fabrikant van het eindproduct, de fabrikant van een onderdeel, degene die zich als producent presenteert door bijvoorbeeld zijn naam of merk op een product te zetten en verder iedereen die een product in de Europese Economische Ruimte invoert om dit te verkopen, te verhuren, te leasen of anderszins te verstrekken in het kader van zijn commerciële activiteiten - is niet risicoaansprakelijk:

  • wanneer hij het product niet in het verkeer heeft gebracht (een zorgaanbieder die een AI-toepassing bedenkt, ontwikkelt en door patiënten laat gebruiken, heeft het echter wel degelijk in het verkeer gebracht);

  • wanneer het aannemelijk is dat het schadeveroorzakende gebrek niet bestond toen hij het product in het verkeer bracht, maar later is ontstaan;

  • wanneer het gebrek een gevolg is van het feit dat het product in overeenstemming is met dwingende overheidsvoorschriften;

  • wanneer het op grond van wetenschappelijke en technische kennis onmogelijk was het gebrek te ontdekken toen hij het product in het verkeer bracht;

  • wanneer het een onderdeel betreft, terwijl het gebrek aan het ontwerp van het product zelf is te wijten of aan de instructies die door de fabrikant van het product zijn verstrekt;

  • (minder waarschijnlijk in de zorg) wanneer hij het product niet met een economisch doel heeft gemaakt of niet heeft gemaakt of verspreid in het kader van de uitoefening van zijn beroep of bedrijf.

Een producent kan productaansprakelijk zijn wanneer een product gebrekkig wordt geacht. Dit is zo als het niet de veiligheid biedt die je mag verwachten als het op de markt komt (artikel 6:186 BW). Wat je van een product mag verwachten, hangt af van de presentatie van het product, bijvoorbeeld via reclame of de gebruiksaanwijzing. De gebrekkigheid moet worden beoordeeld aan de hand van de normen die bestonden toen het product op de markt werd gebracht. Soms is discussie mogelijk omdat het product niet helemaal goed is gebruikt. Enerzijds is de producent dan niet aansprakelijk voor onjuist of onvoorzichtig gebruik. Anderzijds mag hij er niet op rekenen dat gebruikers altijd alle voorzorgsmaatregelen in acht nemen.

Producenten kunnen ook op andere rechtsgronden aansprakelijk worden gesteld. Daarmee kunnen slachtoffers geholpen zijn, omdat de risicoaansprakelijkheidsregels van artikel 6:185 ev. BW om allerlei redenen niet van toepassing zijn. Mogelijk is er geen sprake van de voor deze aansprakelijkheid specifieke personen- en zaakschade of zijn er meer dan tien jaren verstreken (de wettelijke vervaltermijn) nadat het product op de markt werd gebracht. Dan kan de producent wel nog op grond van de onrechtmatige daad aansprakelijk worden gesteld. Dit is een schuldaansprakelijkheid, waarbij sprake moet zijn van een fout of nalatigheid. Die schuldaansprakelijkheid is ook de rechtsgrond als de zorgaanbieder als gebruiker wordt aangesproken omdat de patiënt door een AI-toepassing schade heeft geleden.

De producent, volgens Europese regelgeving

Op 8 december 2024 trad de herziene Europese Richtlijn Productaansprakelijkheid in werking. De nieuwe regels gelden ook voor AI-systemen. Belangrijke punten zijn de volgende:

  • Ook AI valt onder de noemer ‘product’. Fabrikanten van AI kunnen dus verantwoordelijk worden voor schade die hun producten veroorzaken.

  • Het begrip ‘gebrekkigheid’ is verruimd. Ook het zelflerend vermogen van een product kan in de beoordeling van gebrekkigheid worden meegenomen; daarom kan een product ook nog na de marktintroductie gebrekkig worden, met mogelijk een schadeclaim tot gevolg.

  • Ook verlies en beschadiging van gegevens valt onder de definitie van schade.

  • De franchise verdwijnt.

  • De absolute termijn voor letselschadeclaims is verlengd van 10 tot 15 jaar als een slachtoffer een latent persoonlijk letsel had en geen vordering kon instellen in de periode van 10 jaar.

  • Ook wie een al in de handel gebracht of in gebruik gesteld product buiten de fabrikant om ingrijpend wijzigt, bijvoorbeeld met een software-update, wordt als fabrikant beschouwd.

  • De drempel voor het leveren van bewijs door de benadeelde is verder verlaagd.

  • Bij schuldaansprakelijkheid moeten ook het oorzakelijk verband, de normoverschrijding en de toerekenbaarheid worden aangetoond.

  • Productaansprakelijkheid kan ontstaan als de schade duidelijk is veroorzaakt door het kennelijk gebrekkig functioneren van een product bij normaal gebruik onder normale omstandigheden. Het oorzakelijk verband wordt daarmee eerder aangenomen dan voorheen.

  • De rechtbank kan op verzoek van de benadeelde de verweerder opdragen relevant bewijsmateriaal te openbaren. Doet hij dit niet, dan ontstaat het bewijsvermoeden van een gebrekkig product.

De gebruiker, volgens Europese regelgeving

Momenteel wordt ook aan een Europese richtlijn voor schuldaansprakelijkheid bij het gebruik van AI gewerkt. Belangrijke punten zijn de volgende:

  • Het wordt makkelijker om op grond van een onrechtmatige daad schadevergoeding te vorderen voor schade die door AI is ontstaan. Nu is dat lastig. Patiënten en zorgaanbieders sluiten meestal een geneeskundige behandelingsovereenkomst en de patiënt kan de aanbieder aansprakelijk stellen op grond van een toerekenbare tekortkoming bij het nakomen van die overeenkomst. De patiënt kan wel voor een vordering op grond van een onrechtmatige daad kiezen.

  • Bij AI met een hoog risico zal de rechtbank een verweerder kunnen verplichten relevante technologische kennis en informatie over het systeem over te dragen. Weigert de verweerder dit, dan ontstaat het (weerlegbare) vermoeden dat hij onvoldoende zorgvuldig is geweest, wat een schadevergoeding kan rechtvaardigen.

  • De rechter kan in bepaalde gevallen een verband veronderstellen tussen de geleden schade, de schuld van de gedaagde en het AI-systeem. Dan is er dus een vermoeden van causaliteit tussen de fout van de aansprakelijkgestelde en de output van het AI-systeem of het falen van het AI-systeem om dergelijke output te produceren. De eiser moet wel aantonen: 1) dat de verweerder een fout heeft gemaakt, 2) dat het redelijkerwijs aannemelijk is dat de fout is beïnvloed door de output van het AI-systeem en 3) dat er een causaal verband is tussen de output of niet-output van het AI-systeem en de schade. Dit vermoeden van causaliteit is bedoeld om een persoon die letsel heeft opgelopen een vergelijkbare bescherming te bieden als in situaties zonder AI. De aansprakelijkgestelde persoon kan dit vermoeden vervolgens wel weerleggen, bijvoorbeeld door aan te tonen dat de schade door iets anders is veroorzaakt.

Relevante regelgeving

Europese AI-verordening

De Europese AI-verordening (AI Act) is sinds 1 augustus 2024 van kracht. De voorschriften hierin zijn op veiligheid gericht en bedoeld om risico's te reduceren en schade te voorkomen. De werking wordt gefaseerd ingevoerd, zodat organisaties de tijd krijgen om alles op orde te krijgen.3 Sinds 2 februari 2025 zijn twee hoofdstukken van toepassing. Hoofdstuk I gaat over algemene bepalingen, inclusief de verplichting tot AI-geletterdheid, en hoofdstuk II gaat over verboden AI-praktijken.

AI-geletterdheid

In de algemene bepalingen is een verplichting opgenomen ten aanzien van AI-geletterdheid: de vaardigheden, de kennis en het begrip waarmee aanbieders, gebruikers en overige betrokkenen geïnformeerd AI-systemen kunnen inzetten en weten welke kansen en risico’s AI heeft. Bijvoorbeeld tijdens de ontwikkeling van een AI-toepassing weet een AI-geletterde hoe technische elementen correct moeten worden toegepast. Of bijvoorbeeld tijdens het gebruik ervan weet een AI-geletterde hoe de output van het AI-systeem moet worden geïnterpreteerd. Aanbieders en gebruikers van AI-systemen moeten zo goed mogelijk voor een toereikend niveau van AI-geletterdheid zorgen. Wanneer dat niveau precies is bereikt, is nog onduidelijk. Mogelijk zullen gedragscodes en richtsnoeren nog handvatten geven om AI-geletterdheid te bevorderen. Ook in het kader van aansprakelijkheid is het van belang dat zorgaanbieders aan deze regel voldoen.

Risicocategorieën

De AI-verordening onderscheidt vier categorieën op grond van risico’s voor mensen.

  • Voor AI met een onacceptabel risico geldt een verbod.

  • Voor AI met een hoog risico gelden strenge voorwaarden. Hiervan is sprake wanneer de AI de gezondheid, veiligheid of grondrechten van mensen kan bedreigen. Denk bijvoorbeeld aan systemen voor het evalueren en classificeren van noodoproepen van personen of systemen voor de triage van patiënten bij dringende medische zorg. Dergelijke AI-systemen moeten aan strikte eisen voldoen voordat ze in de EU mogen worden gebruikt.

  • Voor AI met een beperkt risico geldt een transparantieverplichting. Een chatbot is daar een voorbeeld van. Mensen moeten weten dat ze contact hebben met een AI-systeem met een beperkt risico en hoe het werkt.

  • Voor AI met minimaal of geen risico geldt dat die vrij is toegestaan. Spamfilters en zoekmachines zijn daar voorbeelden van. Zulke systemen kunnen volgens bestaande wetgeving worden ontwikkeld en gebruikt.

Verboden AI-praktijken

Sinds 2 februari 2025 geldt een verbod voor alle AI-systemen die worden gebruikt voor:

  • het manipuleren van het gedrag van mensen, zodat zij een besluit nemen dat zij anders niet hadden genomen, waardoor zij schade oplopen of waarschijnlijk zullen oplopen;

  • het uitbuiten van kwetsbaarheden van mensen (zoals leeftijd of handicap), waardoor hun gedrag wezenlijk wordt verstoord en zij schade oplopen of waarschijnlijk zullen oplopen;

  • ‘social scoring’ op basis van gedrag of persoonlijke kenmerken met nadelige of ongunstige gevolgen;

  • het niet-gericht ‘scrapen’ van gezichtsopnamen voor databanken;

  • op individuen gericht voorspellend politiewerk;

  • emotieherkenning op de werkplek of in het onderwijs;

  • biometrische categorisering op basis van gevoelige kenmerken (zoals ras of geloof);

  • ‘real-time’ biometrische identificatie op afstand in openbare ruimten.

Voor de laatste vier categorieën kunnen uitzonderingen van toepassing zijn. De Europese Commissie zal jaarlijks beoordelen of de lijst van verboden AI-praktijken moet worden gewijzigd. De werking van de verordening wordt hierna nog verruimd op 2 augustus 2025 (ten aanzien van aanmeldende autoriteiten en aangemelde instanties, AI-modellen voor algemene doeleinden, governance en sancties), op 2 augustus 2026 (dan is de hele verordening van toepassing, met uitzondering van artikel 6 lid 1 en de overeenkomstige verplichtingen) en op 2 augustus 2027 (dan zijn ook artikel 6 lid 1 en de overeenkomstige verplichtingen van toepassing). Op 2 augustus 2030 en 31 december 2030 moeten ook systemen die voor 2 augustus 2026 of 2 augustus 2027 in de handel zijn gebracht aan alle verplichtingen voldoen.

CE-markering

Voor AI-systemen met een hoog risico schrijft de AI-verordening een CE-markering voor. Daarmee wordt aangegeven dat het product aan Europese regels op het gebied van gezondheid, veiligheid en milieubescherming voldoet. Het vraagt van degene die een AI-systeem met een hoog risico ontwikkelt en op de markt brengt een kwaliteits- en risicomanagementsysteem, technische documentatie, registratie van het AI-systeem, een conformiteitsbeoordeling (waarbij moet worden aangetoond dat de voorschriften van hoofdstuk III, afdeling 2 worden nageleefd; let op: de conformiteitsbeoordeling van AI-systemen wijkt af van het CE-markeringssysteem voor andere producten), de CE-markering zelf en het toezicht na het in de handel brengen. In de zorg hebben de gebruikers van AI met een hoog risico de verplichting patiënten en medewerkers die met AI in aanraking komen daarover te informeren. Ook moeten zij voor een veilig gebruik volgens gebruiksaanwijzingen zorgen, voor een goede input zorgen, monitoren gebruiken volgens gebruiksaanwijzingen, logs bewaren4, ernstige incidenten bij de leverancier melden, menselijk toezicht toepassen en bestaande wettelijke verplichtingen blijven naleven, zoals de AVG.5 Voor het menselijk toezicht geldt dat de zorgaanbieder protocollen moet hebben voor de evaluatie van de output van het AI-systeem en beleid moet hebben met betrekking tot periodieke controles op de juistheid van die output. Het menselijk toezicht moet de risico’s tot een minimum beperken.

Privacyregelgeving

In elk AI-systeem moet alle privacyregelgeving in acht worden genomen. De AVG verplicht onder meer persoonsgegevens met organisatorische en technische maatregelen te beveiligen en verplicht zorgaanbieders een verwerkingsregister te hebben waarin staat welke gegevens zij op welke manier verwerken. Daarnaast moet een privacyverklaring gebruikers informeren over de verwerking en het bewaren van persoonsgegevens. Bij het gebruik van AI moeten het verwerkingsregister en de privacyverklaring mogelijk worden aangepast en moet per AI-systeem worden nagegaan of de AVG overige acties vraagt. Nog andere regels gelden voor wie met AI-data wetenschappelijk onderzoek doet.6 Denk aan de Wgbo.7 Deze schrijft voor dat patiënten onder bepaalde omstandigheden voor het delen van gegevens toestemming moeten geven. Ze mogen geen bezwaar hebben tegen de verstrekking van gegevens en het onderzoek waarvoor die gegevens nodig zijn, moet een algemeen belang dienen en zonder de desbetreffende gegevens niet mogelijk zijn. Oordeelt de zorgverlener dat hieraan is voldaan en verstrekt hij de gegevens aan een derde, dan moet hij dat in het medisch dossier aantekenen.8 Tegen een zorgaanbieder die niet aan de privacyregelgeving voldoet, kan een klacht worden ingediend bij de Autoriteit Persoonsgegevens of een geschilleninstantie. Een en ander kan leiden tot civiele aansprakelijkheid of een tuchtklacht tegen de zorgverlener.

De Wkkgz

De Wet kwaliteit, klachten en geschillen zorg (Wkkgz) verplicht zorgverleners zorg te verlenen die veilig, doeltreffend, doelmatig en patiëntgericht is. Voor elk AI-systeem moet worden bepaald of er sprake is van ‘medische technologie’ (volgens de Wkkgz: de toepassing van georganiseerde kennis en vaardigheden in de vorm van apparaten, medicijnen, vaccins, procedures en systemen die ontwikkeld zijn om gezondheidsproblemen op te lossen en de kwaliteit van leven te verbeteren). Is dat het geval, dan moet de zorgaanbieder ervoor zorgen dat naast taken, bevoegdheden en verantwoordelijkheden ook de bekwaamheidseisen voor betrokkenen schriftelijk worden vastgelegd, evenals de gegevens waaruit blijkt dat aan die eisen wordt voldaan. Voor elk AI-systeem moet daarnaast worden bepaald of nog andere kwaliteitgerichte regelgeving van toepassing is, zoals het Convenant Veilige Toepassing van Medische Technologie in de medisch specialistische zorg. Voldoet een zorgaanbieder niet aan de regels, dan kan de Inspectie Gezondheidszorg en Jeugd een aanwijzing geven of een sanctie opleggen.

Medische hulpmiddelen

De Europese Verordening 2017/745 bevat voorschriften voor het in de handel brengen, het op de markt aanbieden en het in gebruik nemen van medische hulpmiddelen voor menselijk gebruik en toebehoren van die hulpmiddelen in de EU. De verordening is ook op klinisch onderzoek met dergelijke middelen van toepassing. Aanvullend zijn zaken geregeld in de Wet medische hulpmiddelen, het Besluit medische hulpmiddelen en de Regeling medische hulpmiddelen. In de Europese verordening en ook in de Wet medische hulpmiddelen wordt ‘medisch hulpmiddel’ gedefinieerd als een instrument, toestel of apparaat, software, implantaat, reagens, materiaal of een ander artikel om bij de mens te gebruiken voor:

  • diagnose, preventie, monitoring, voorspelling, prognose, behandeling of verlichting van ziekte,

  • diagnose, monitoring, behandeling, verlichting of compensatie van een letsel of beperking,

  • onderzoek naar of vervanging of wijziging van de anatomie of van een fysiologisch of pathologisch proces of een fysiologische of pathologische toestand,

  • informatieverstrekking via in vitro-onderzoek van specimens afkomstig van het menselijk lichaam, waaronder orgaan-, bloed- en weefseldonaties.

Software die specifiek voor een of meer van deze medische doeleinden is gemaakt, wordt als medisch hulpmiddel beschouwd. Software voor algemene doeleinden of bijvoorbeeld lifestyle- en welzijnsdoeleinden is geen medisch hulpmiddel, ook niet wanneer die in de gezondheidszorg wordt gebruikt. Een verkregen CE-markering biedt geen garantie op foutloze software. Het predicaat zegt enkel iets over het gevolgde ontwikkelproces en de aanwezige bewijsvoering. Dit kan helpen de conformiteit van het hulpmiddel of het voldoen aan de zorgplicht van de zorgorganisatie aan te tonen, maar biedt geen vrijwaring voor aansprakelijkheid.

De Europese verordening geldt ook voor hulpmiddelen, waaronder software, die zorgaanbieders intern maken en gebruiken. Zorgaanbieders moeten daarbij aan een aantal voorwaarden voldoen. Doen ze dat niet, dan krijgen ze te maken met de zwaardere regels voor fabrikanten van medische hulpmiddelen. De voorwaarden zijn:

  • de zorgaanbieder draagt het intern gemaakte hulpmiddel niet aan een andere rechtspersoon over;

  • de zorgaanbieder gebruikt bij de fabricage en het gebruik van het hulpmiddel een passend kwaliteitsmanagementsysteem;

  • de zorgaanbieder toont aan dat voor de specifieke patiëntbehoeften niet een vergelijkbaar hulpmiddel in de handel beschikbaar is;

  • de zorgaanbieder geeft op verzoek van bevoegde autoriteiten informatie over het gebruik van het hulpmiddel;

  • er wordt een openbare verklaring opgesteld waaruit onder andere blijkt dat het hulpmiddel aan veiligheids- en prestatie-eisen voldoet;

  • er is een beschrijving van de productie en het productieproces en de zorgaanbieder neemt maatregelen om er zeker van te zijn dat alle hulpmiddelen zo worden gemaakt;

  • de ervaringen met het klinisch gebruik van het hulpmiddel worden geëvalueerd om het te kunnen verbeteren.

Conclusie

De regelgeving rond AI in de zorg is ingewikkeld en nog in ontwikkeling. Ook de aansprakelijkheid voor falende AI is juridisch nog niet uitgekristalliseerd. Daarvoor zijn gerechtelijke uitspraken nodig. Ondertussen mogen zorgaanbieders en zorgverleners potentiële aansprakelijkheden niet negeren. Het is verstandig per AI-systeem in kaart te brengen welke rol wordt ingenomen (meestal gebruiker, soms ook producent) en wanneer aansprakelijkheid ontstaat als die AI-toepassing gebrekkig is. Daarnaast moeten zorgaanbieders en zorgverleners natuurlijk de regels in acht nemen die in dit artikel zijn beschreven. Adviseurs van patiënten doen er goed aan kennis te hebben van de aansprakelijkheidsverdeling en de verplichtingen die de gebruikers en producenten van AI-systemen hebben. Wordt zo’n verplichting niet nagekomen, dan kunnen zij mogelijk met succes op die grond aansprakelijk worden gesteld voor de schade die een patiënt door het AI-systeem lijdt.

dicht

Voetnoten

  • HR 19 juni 2020, ECLI:NL:HR:2020:1082.

  • HR 19 juni 2020, ECLI:NL:HR:2020:1090.

  • Deze verordening is niet van toepassing op AI louter voor wetenschappelijk onderzoek (artikel 2 lid 6) en ook niet op natuurlijke personen die AI-systemen gebruiken in het kader van een louter persoonlijke niet-professionele activiteit (artikel 2 lid 10).

  • Voor de ontwikkelaar (aanbieder) geldt de verplichting het AI-systeem te loggen om achteraf te kunnen traceren en controleren wat er precies is gebeurd om tot de response te komen. Zorgorganisaties doen er goed aan tijdens het inkoopproces goed na te gaan of dit inderdaad is ingericht, hoe het is ingericht en of het ook makkelijk te raadplegen is.

  • Een gebruiker moet opletten of hij in de zin van de verordening niet als aanbieder wordt beschouwd. Dat is bijvoorbeeld het geval als de gebruiker een AI-systeem met een hoog risico onder zijn naam of merknaam in de handel brengt of dit onder zijn naam of merknaam in gebruik stelt.

  • De AI Act is niet van toepassing op wetenschappelijk onderzoek (artikel 2 lid 6).

  • Artikel 7:458 BW.

  • Wat betreft de data-uitwisseling in de zorg is nog van belang dat er Europese regelgeving in de maak is voor een European Health Data Space.

door Shirin Slabbers | advocaat gezondheidsrecht VvAA Legal

Aansprakelijkheid en regelgeving rond artificiële intelligentie in de zorg

Kennisdeling

Het is verstandig per
AI-systeem in kaart te brengen welke rol wordt ingenomen (meestal gebruiker, soms ook producent) en wanneer aansprakelijkheid ontstaat als die AI-toepassing gebrekkig is.

Shirin Slabbers

| advocaat gezondheidsrecht
bij VvAA Legal

Voor zorgverleners die
zelf AI ontwikkelen of laten ontwikkelen, kunnen productaansprakelijkheids- regels gelden, wat een verzwaring van de aansprakelijkheid ten opzichte van patiënten betekent.

Met AI kunnen we de kwaliteit van de zorg verbeteren en de werkdruk verlichten. Daarbij is het momenteel een hoofdregel dat AI de besluitvorming over een behandeling mag ondersteunen, maar niet mag overnemen.

terug

Aanbieders en gebruikers van AI-systemen moeten zo goed mogelijk voor een toereikend niveau van AI-geletterdheid zorgen. Wanneer dat niveau precies is bereikt, is nog onduidelijk.

Artificiële intelligentie (AI) in de zorg staat niet op zichzelf zoals een MRI-scanner, een pacemaker of een prothese. Het is een systeemtechnologie, waarbij software data ontvangt, die data verwerkt en erop reageert. Door vorige acties te analyseren, is AI in staat zich te verbeteren. De toepassingsmogelijkheden zijn legio: een chatbot die taal verwerft om vragen te begrijpen en passend te beantwoorden, een systeem dat medische beelden analyseert, diagnosticeert en daarvan leert, een robot die operaties uitvoert, systemen die data en beelden analyseren om ziektes op te sporen, een robot die patiënten vraagt hoe zij zich voelen en hun symptomen in kaart brengt enzovoort.

Met AI kunnen we de kwaliteit van de zorg verbeteren en de werkdruk verlichten. Daarbij is het momenteel een hoofdregel dat AI de besluitvorming over een behandeling mag ondersteunen, maar niet mag overnemen. Bovendien zijn er twee juridische aandachtspunten. Het eerste is dat AI tot het uitblijven van goede zorg kan leiden, bijvoorbeeld door een gebrekkig algoritme of een menselijke fout bij het gebruik daarvan. Wie is dan voor dat gebrek aansprakelijk? De ontwikkelaar, de producent of de gebruiker? Het tweede aandachtspunt is dat die ontwikkelaar, producent en gebruiker zich aan regels moeten houden. Doen zij dat niet, dan kan dat tot klachten, claims en boetes leiden.

In dit artikel beschrijf ik eerst de aansprakelijkheid bij gebruik van AI, volgens Nederlands recht en Europese regelgeving, en vervolgens welke verplichtingen voortvloeien uit de Europese AI-verordening, de privacyregelgeving, de Wkkgz en de regelgeving rond medische hulpmiddelen.

Aansprakelijkheid bij gebruik
van AI

Zorgaanbieders die AI kopen, zijn als gebruikers aan te merken. Voor zorgverleners die zelf AI ontwikkelen of laten ontwikkelen, kunnen productaansprakelijkheidsregels gelden, wat een verzwaring van de aansprakelijkheid ten opzichte van patiënten betekent. Wanneer een zorgaanbieder AI verkoopt, gelden de gebruikelijke regels omtrent koop en verkoop.

De gebruiker, volgens Nederlands recht

Heeft een patiënt door het gebruik van AI schade geleden, dan is het de eerste vraag of de zorgverlener zelf iets niet goed heeft gedaan. Dit is bijvoorbeeld zo wanneer AI niet conform een professionele norm wordt ingezet, wanneer een onjuiste waarde wordt ingevoerd, de patiënt inadequaat wordt geïnformeerd, het werk van AI onvoldoende wordt gecontroleerd, AI wordt ingezet die niet aan Europese veiligheidseisen voldoet of wanneer op de werking van AI onvoldoende toezicht is gehouden. In zulke gevallen ligt aansprakelijkheid voor de hand. De juridische grondslag is dan een toerekenbare tekortkoming (wanprestatie) bij de uitvoering van de geneeskundige behandelingsovereenkomst. Voor de civielrechtelijke aansprakelijkheid moet vervolgens worden bepaald wie de contractspartij van de patiënt is. Die is immers aansprakelijk jegens de patiënt. Daarnaast geldt in de zorg de zogenoemde centrale aansprakelijkheid, bijvoorbeeld voor ziekenhuizen (artikel 7:462 BW). Deze houdt in dat een instelling aansprakelijk kan worden gesteld voor alle fouten die binnen haar muren worden gemaakt, ook al heeft de patiënt een geneeskundige behandelingsovereenkomst met een vrijgevestigde zorgverlener gesloten. Ook een zorgverlener die geen contractspartij is, kan (op grond van een onrechtmatige daad) zelf aansprakelijk worden gehouden. Is er sprake van een persoonlijk verwijt, dan kan tuchtrechtelijke aansprakelijkheid aan de orde zijn, bijvoorbeeld wanneer een zorgverlener de tekst van een spraakgestuurde rapportage niet heeft gecontroleerd of ondervonden problemen bij het gebruik van AI, tegen Europese regelgeving in, niet aan de ontwikkelaar heeft gemeld.

Heeft een patiënt door het gebruik van AI schade geleden terwijl de zorgverlener niets fout heeft gedaan, dan kan de AI-toepassing gebrekkig zijn geweest. Het is dan de vraag of de zorgverlener daarvoor aansprakelijk is. Nu is het de regel dat het gebruik van AI niet als een tekortkoming moet worden aangemerkt wanneer die ten tijde van de zorgverlening ‘state of the art’ was en pas naderhand op grond van nieuwe inzichten niet meer geschikt werd bevonden of niet meer als ‘state of the art’ werd aangemerkt. Bij de door de hulpverlener in acht te nemen zorg past geen andere rechtsregel.

De aansprakelijkheid van de gebruikers van een hulpmiddel, verschilt wezenlijk van de aansprakelijkheid van de producenten ervan. Er is wel een overlap tussen de vraag of een producent een gebrekkig product in het verkeer heeft gebracht en de vraag of een hulpverlener een gebrekkig product heeft gebruikt, maar het gaat om een ander normatief kader. Een zorgverlener is op grond van artikel 6:77 BW immers (slechts) aansprakelijk wanneer hij bij de uitvoering van de behandeling een ongeschikte hulpzaak gebruikt, tenzij dit onredelijk zou zijn, gelet op de inhoud en strekking van de rechtshandeling waaruit de verbintenis voortvloeit, de in het verkeer geldende opvattingen en de overige omstandigheden van het geval. De Hoge Raad heeft hierin duidelijkheid gebracht met het Miragel-arrest van 19 juni 20201 en de beantwoording van de prejudiciële vragen inzake de aansprakelijkheid van artsen voor het gebruik van borstimplantaten van het merk PIP op dezelfde datum.2 Wanneer dus het overeenkomstig de professionele standaard ex artikel 7:453 BW is om AI te gebruiken zoals het is gebruikt, is er geen sprake van een tekortkoming van de zorgverlener, ook niet als de AI-toepassing later toch gebrekkig blijkt te zijn. Let wel, in de relatie tot een patiënt mag aansprakelijkheid volgens de Wet op de geneeskundige behandelingsovereenkomst (Wgbo) niet worden beperkt of uitgesloten (artikel 7:463 BW). De zorgaanbieder kan evenwel met de verkoper van de AI-toepassing afspraken maken over aansprakelijkheid, het nemen van regres of zelfs het oproepen van de verkoper in vrijwaring. Zorgaanbieders doen er goed aan dit zo veel mogelijk te doen. Voor de juridische verhouding tot de patiënt heeft dit geen gevolgen.

De producent, volgens Nederlands recht

Op grond van artikel 6:185 BW e.v. is een producent risicoaansprakelijk voor schade die door een gebrek in zijn product wordt veroorzaakt (productaansprakelijkheid). Dit geldt voor schade door dood of lichamelijk letsel en voor schade, boven een bepaalde franchise, toegebracht aan een andere zaak die gewoonlijk voor gebruik in de privésfeer is bestemd en ook in de privésfeer is gebruikt. Deze hoofdregel kent zes uitzonderingen. De producent - dat wil zeggen de fabrikant van het eindproduct, de fabrikant van een onderdeel, degene die zich als producent presenteert door bijvoorbeeld zijn naam of merk op een product te zetten en verder iedereen die een product in de Europese Economische Ruimte invoert om dit te verkopen, te verhuren, te leasen of anderszins te verstrekken in het kader van zijn commerciële activiteiten - is niet risicoaansprakelijk:

  • wanneer hij het product niet in het verkeer heeft gebracht (een zorgaanbieder die een AI-toepassing bedenkt, ontwikkelt en door patiënten laat gebruiken, heeft het echter wel degelijk in het verkeer gebracht);

  • wanneer het aannemelijk is dat het schadeveroorzakende gebrek niet bestond toen hij het product in het verkeer bracht, maar later is ontstaan;

  • wanneer het gebrek een gevolg is van het feit dat het product in overeenstemming is met dwingende overheidsvoorschriften;

  • wanneer het op grond van wetenschappelijke en technische kennis onmogelijk was het gebrek te ontdekken toen hij het product in het verkeer bracht;

  • wanneer het een onderdeel betreft, terwijl het gebrek aan het ontwerp van het product zelf is te wijten of aan de instructies die door de fabrikant van het product zijn verstrekt;

  • (minder waarschijnlijk in de zorg) wanneer hij het product niet met een economisch doel heeft gemaakt of niet heeft gemaakt of verspreid in het kader van de uitoefening van zijn beroep of bedrijf.

Een producent kan productaansprakelijk zijn wanneer een product gebrekkig wordt geacht. Dit is zo als het niet de veiligheid biedt die je mag verwachten als het op de markt komt (artikel 6:186 BW). Wat je van een product mag verwachten, hangt af van de presentatie van het product, bijvoorbeeld via reclame of de gebruiksaanwijzing. De gebrekkigheid moet worden beoordeeld aan de hand van de normen die bestonden toen het product op de markt werd gebracht. Soms is discussie mogelijk omdat het product niet helemaal goed is gebruikt. Enerzijds is de producent dan niet aansprakelijk voor onjuist of onvoorzichtig gebruik. Anderzijds mag hij er niet op rekenen dat gebruikers altijd alle voorzorgsmaatregelen in acht nemen.

Producenten kunnen ook op andere rechtsgronden aansprakelijk worden gesteld. Daarmee kunnen slachtoffers geholpen zijn, omdat de risicoaansprakelijkheidsregels van artikel 6:185 ev. BW om allerlei redenen niet van toepassing zijn. Mogelijk is er geen sprake van de voor deze aansprakelijkheid specifieke personen- en zaakschade of zijn er meer dan tien jaren verstreken (de wettelijke vervaltermijn) nadat het product op de markt werd gebracht. Dan kan de producent wel nog op grond van de onrechtmatige daad aansprakelijk worden gesteld. Dit is een schuldaansprakelijkheid, waarbij sprake moet zijn van een fout of nalatigheid. Die schuldaansprakelijkheid is ook de rechtsgrond als de zorgaanbieder als gebruiker wordt aangesproken omdat de patiënt door een AI-toepassing schade heeft geleden.

De producent, volgens Europese regelgeving

Op 8 december 2024 trad de herziene Europese Richtlijn Productaansprakelijkheid in werking. De nieuwe regels gelden ook voor AI-systemen. Belangrijke punten zijn de volgende:

  • Ook AI valt onder de noemer ‘product’. Fabrikanten van AI kunnen dus verantwoordelijk worden voor schade die hun producten veroorzaken.

  • Het begrip ‘gebrekkigheid’ is verruimd. Ook het zelflerend vermogen van een product kan in de beoordeling van gebrekkigheid worden meegenomen; daarom kan een product ook nog na de marktintroductie gebrekkig worden, met mogelijk een schadeclaim tot gevolg.

  • Ook verlies en beschadiging van gegevens valt onder de definitie van schade.

  • De franchise verdwijnt.

  • De absolute termijn voor letselschadeclaims is verlengd van 10 tot 15 jaar als een slachtoffer een latent persoonlijk letsel had en geen vordering kon instellen in de periode van 10 jaar.

  • Ook wie een al in de handel gebracht of in gebruik gesteld product buiten de fabrikant om ingrijpend wijzigt, bijvoorbeeld met een software-update, wordt als fabrikant beschouwd.

  • De drempel voor het leveren van bewijs door de benadeelde is verder verlaagd.

  • Bij schuldaansprakelijkheid moeten ook het oorzakelijk verband, de normoverschrijding en de toerekenbaarheid worden aangetoond.

  • Productaansprakelijkheid kan ontstaan als de schade duidelijk is veroorzaakt door het kennelijk gebrekkig functioneren van een product bij normaal gebruik onder normale omstandigheden. Het oorzakelijk verband wordt daarmee eerder aangenomen dan voorheen.

  • De rechtbank kan op verzoek van de benadeelde de verweerder opdragen relevant bewijsmateriaal te openbaren. Doet hij dit niet, dan ontstaat het bewijsvermoeden van een gebrekkig product.

De gebruiker, volgens Europese regelgeving

Momenteel wordt ook aan een Europese richtlijn voor schuldaansprakelijkheid bij het gebruik van AI gewerkt. Belangrijke punten zijn de volgende:

  • Het wordt makkelijker om op grond van een onrechtmatige daad schadevergoeding te vorderen voor schade die door AI is ontstaan. Nu is dat lastig. Patiënten en zorgaanbieders sluiten meestal een geneeskundige behandelingsovereenkomst en de patiënt kan de aanbieder aansprakelijk stellen op grond van een toerekenbare tekortkoming bij het nakomen van die overeenkomst. De patiënt kan wel voor een vordering op grond van een onrechtmatige daad kiezen.

  • Bij AI met een hoog risico zal de rechtbank een verweerder kunnen verplichten relevante technologische kennis en informatie over het systeem over te dragen. Weigert de verweerder dit, dan ontstaat het (weerlegbare) vermoeden dat hij onvoldoende zorgvuldig is geweest, wat een schadevergoeding kan rechtvaardigen.

  • De rechter kan in bepaalde gevallen een verband veronderstellen tussen de geleden schade, de schuld van de gedaagde en het AI-systeem. Dan is er dus een vermoeden van causaliteit tussen de fout van de aansprakelijkgestelde en de output van het AI-systeem of het falen van het AI-systeem om dergelijke output te produceren. De eiser moet wel aantonen: 1) dat de verweerder een fout heeft gemaakt, 2) dat het redelijkerwijs aannemelijk is dat de fout is beïnvloed door de output van het AI-systeem en 3) dat er een causaal verband is tussen de output of niet-output van het AI-systeem en de schade. Dit vermoeden van causaliteit is bedoeld om een persoon die letsel heeft opgelopen een vergelijkbare bescherming te bieden als in situaties zonder AI. De aansprakelijkgestelde persoon kan dit vermoeden vervolgens wel weerleggen, bijvoorbeeld door aan te tonen dat de schade door iets anders is veroorzaakt.

Relevante regelgeving

Europese AI-verordening

De Europese AI-verordening (AI Act) is sinds 1 augustus 2024 van kracht. De voorschriften hierin zijn op veiligheid gericht en bedoeld om risico's te reduceren en schade te voorkomen. De werking wordt gefaseerd ingevoerd, zodat organisaties de tijd krijgen om alles op orde te krijgen.3 Sinds 2 februari 2025 zijn twee hoofdstukken van toepassing. Hoofdstuk I gaat over algemene bepalingen, inclusief de verplichting tot AI-geletterdheid, en hoofdstuk II gaat over verboden AI-praktijken.

AI-geletterdheid

In de algemene bepalingen is een verplichting opgenomen ten aanzien van AI-geletterdheid: de vaardigheden, de kennis en het begrip waarmee aanbieders, gebruikers en overige betrokkenen geïnformeerd AI-systemen kunnen inzetten en weten welke kansen en risico’s AI heeft. Bijvoorbeeld tijdens de ontwikkeling van een AI-toepassing weet een AI-geletterde hoe technische elementen correct moeten worden toegepast. Of bijvoorbeeld tijdens het gebruik ervan weet een AI-geletterde hoe de output van het AI-systeem moet worden geïnterpreteerd. Aanbieders en gebruikers van AI-systemen moeten zo goed mogelijk voor een toereikend niveau van AI-geletterdheid zorgen. Wanneer dat niveau precies is bereikt, is nog onduidelijk. Mogelijk zullen gedragscodes en richtsnoeren nog handvatten geven om AI-geletterdheid te bevorderen. Ook in het kader van aansprakelijkheid is het van belang dat zorgaanbieders aan deze regel voldoen.

Risicocategorieën

De AI-verordening onderscheidt vier categorieën op grond van risico’s voor mensen.

  • Voor AI met een onacceptabel risico geldt een verbod.

  • Voor AI met een hoog risico gelden strenge voorwaarden. Hiervan is sprake wanneer de AI de gezondheid, veiligheid of grondrechten van mensen kan bedreigen. Denk bijvoorbeeld aan systemen voor het evalueren en classificeren van noodoproepen van personen of systemen voor de triage van patiënten bij dringende medische zorg. Dergelijke AI-systemen moeten aan strikte eisen voldoen voordat ze in de EU mogen worden gebruikt.

  • Voor AI met een beperkt risico geldt een transparantieverplichting. Een chatbot is daar een voorbeeld van. Mensen moeten weten dat ze contact hebben met een AI-systeem met een beperkt risico en hoe het werkt.

  • Voor AI met minimaal of geen risico geldt dat die vrij is toegestaan. Spamfilters en zoekmachines zijn daar voorbeelden van. Zulke systemen kunnen volgens bestaande wetgeving worden ontwikkeld en gebruikt.

Verboden AI-praktijken

Sinds 2 februari 2025 geldt een verbod voor alle AI-systemen die worden gebruikt voor:

  • het manipuleren van het gedrag van mensen, zodat zij een besluit nemen dat zij anders niet hadden genomen, waardoor zij schade oplopen of waarschijnlijk zullen oplopen;

  • het uitbuiten van kwetsbaarheden van mensen (zoals leeftijd of handicap), waardoor hun gedrag wezenlijk wordt verstoord en zij schade oplopen of waarschijnlijk zullen oplopen;

  • ‘social scoring’ op basis van gedrag of persoonlijke kenmerken met nadelige of ongunstige gevolgen;

  • het niet-gericht ‘scrapen’ van gezichtsopnamen voor databanken;

  • op individuen gericht voorspellend politiewerk;

  • emotieherkenning op de werkplek of in het onderwijs;

  • biometrische categorisering op basis van gevoelige kenmerken (zoals ras of geloof);

  • ‘real-time’ biometrische identificatie op afstand in openbare ruimten.

Voor de laatste vier categorieën kunnen uitzonderingen van toepassing zijn. De Europese Commissie zal jaarlijks beoordelen of de lijst van verboden AI-praktijken moet worden gewijzigd. De werking van de verordening wordt hierna nog verruimd op 2 augustus 2025 (ten aanzien van aanmeldende autoriteiten en aangemelde instanties, AI-modellen voor algemene doeleinden, governance en sancties), op 2 augustus 2026 (dan is de hele verordening van toepassing, met uitzondering van artikel 6 lid 1 en de overeenkomstige verplichtingen) en op 2 augustus 2027 (dan zijn ook artikel 6 lid 1 en de overeenkomstige verplichtingen van toepassing). Op 2 augustus 2030 en 31 december 2030 moeten ook systemen die voor 2 augustus 2026 of 2 augustus 2027 in de handel zijn gebracht aan alle verplichtingen voldoen.

CE-markering

Voor AI-systemen met een hoog risico schrijft de AI-verordening een CE-markering voor. Daarmee wordt aangegeven dat het product aan Europese regels op het gebied van gezondheid, veiligheid en milieubescherming voldoet. Het vraagt van degene die een AI-systeem met een hoog risico ontwikkelt en op de markt brengt een kwaliteits- en risicomanagementsysteem, technische documentatie, registratie van het AI-systeem, een conformiteitsbeoordeling (waarbij moet worden aangetoond dat de voorschriften van hoofdstuk III, afdeling 2 worden nageleefd; let op: de conformiteitsbeoordeling van AI-systemen wijkt af van het CE-markeringssysteem voor andere producten), de CE-markering zelf en het toezicht na het in de handel brengen. In de zorg hebben de gebruikers van AI met een hoog risico de verplichting patiënten en medewerkers die met AI in aanraking komen daarover te informeren. Ook moeten zij voor een veilig gebruik volgens gebruiksaanwijzingen zorgen, voor een goede input zorgen, monitoren gebruiken volgens gebruiksaanwijzingen, logs bewaren4, ernstige incidenten bij de leverancier melden, menselijk toezicht toepassen en bestaande wettelijke verplichtingen blijven naleven, zoals de AVG.5 Voor het menselijk toezicht geldt dat de zorgaanbieder protocollen moet hebben voor de evaluatie van de output van het AI-systeem en beleid moet hebben met betrekking tot periodieke controles op de juistheid van die output. Het menselijk toezicht moet de risico’s tot een minimum beperken.

Privacyregelgeving

In elk AI-systeem moet alle privacyregelgeving in acht worden genomen. De AVG verplicht onder meer persoonsgegevens met organisatorische en technische maatregelen te beveiligen en verplicht zorgaanbieders een verwerkingsregister te hebben waarin staat welke gegevens zij op welke manier verwerken. Daarnaast moet een privacyverklaring gebruikers informeren over de verwerking en het bewaren van persoonsgegevens. Bij het gebruik van AI moeten het verwerkingsregister en de privacyverklaring mogelijk worden aangepast en moet per AI-systeem worden nagegaan of de AVG overige acties vraagt. Nog andere regels gelden voor wie met AI-data wetenschappelijk onderzoek doet.6 Denk aan de Wgbo.7 Deze schrijft voor dat patiënten onder bepaalde omstandigheden voor het delen van gegevens toestemming moeten geven. Ze mogen geen bezwaar hebben tegen de verstrekking van gegevens en het onderzoek waarvoor die gegevens nodig zijn, moet een algemeen belang dienen en zonder de desbetreffende gegevens niet mogelijk zijn. Oordeelt de zorgverlener dat hieraan is voldaan en verstrekt hij de gegevens aan een derde, dan moet hij dat in het medisch dossier aantekenen.8 Tegen een zorgaanbieder die niet aan de privacyregelgeving voldoet, kan een klacht worden ingediend bij de Autoriteit Persoonsgegevens of een geschilleninstantie. Een en ander kan leiden tot civiele aansprakelijkheid of een tuchtklacht tegen de zorgverlener.

De Wkkgz

De Wet kwaliteit, klachten en geschillen zorg (Wkkgz) verplicht zorgverleners zorg te verlenen die veilig, doeltreffend, doelmatig en patiëntgericht is. Voor elk AI-systeem moet worden bepaald of er sprake is van ‘medische technologie’ (volgens de Wkkgz: de toepassing van georganiseerde kennis en vaardigheden in de vorm van apparaten, medicijnen, vaccins, procedures en systemen die ontwikkeld zijn om gezondheidsproblemen op te lossen en de kwaliteit van leven te verbeteren). Is dat het geval, dan moet de zorgaanbieder ervoor zorgen dat naast taken, bevoegdheden en verantwoordelijkheden ook de bekwaamheidseisen voor betrokkenen schriftelijk worden vastgelegd, evenals de gegevens waaruit blijkt dat aan die eisen wordt voldaan. Voor elk AI-systeem moet daarnaast worden bepaald of nog andere kwaliteitgerichte regelgeving van toepassing is, zoals het Convenant Veilige Toepassing van Medische Technologie in de medisch specialistische zorg. Voldoet een zorgaanbieder niet aan de regels, dan kan de Inspectie Gezondheidszorg en Jeugd een aanwijzing geven of een sanctie opleggen.

Medische hulpmiddelen

De Europese Verordening 2017/745 bevat voorschriften voor het in de handel brengen, het op de markt aanbieden en het in gebruik nemen van medische hulpmiddelen voor menselijk gebruik en toebehoren van die hulpmiddelen in de EU. De verordening is ook op klinisch onderzoek met dergelijke middelen van toepassing. Aanvullend zijn zaken geregeld in de Wet medische hulpmiddelen, het Besluit medische hulpmiddelen en de Regeling medische hulpmiddelen. In de Europese verordening en ook in de Wet medische hulpmiddelen wordt ‘medisch hulpmiddel’ gedefinieerd als een instrument, toestel of apparaat, software, implantaat, reagens, materiaal of een ander artikel om bij de mens te gebruiken voor:

  • diagnose, preventie, monitoring, voorspelling, prognose, behandeling of verlichting van ziekte,

  • diagnose, monitoring, behandeling, verlichting of compensatie van een letsel of beperking,

  • onderzoek naar of vervanging of wijziging van de anatomie of van een fysiologisch of pathologisch proces of een fysiologische of pathologische toestand,

  • informatieverstrekking via in vitro-onderzoek van specimens afkomstig van het menselijk lichaam, waaronder orgaan-, bloed- en weefseldonaties.

Software die specifiek voor een of meer van deze medische doeleinden is gemaakt, wordt als medisch hulpmiddel beschouwd. Software voor algemene doeleinden of bijvoorbeeld lifestyle- en welzijnsdoeleinden is geen medisch hulpmiddel, ook niet wanneer die in de gezondheidszorg wordt gebruikt. Een verkregen CE-markering biedt geen garantie op foutloze software. Het predicaat zegt enkel iets over het gevolgde ontwikkelproces en de aanwezige bewijsvoering. Dit kan helpen de conformiteit van het hulpmiddel of het voldoen aan de zorgplicht van de zorgorganisatie aan te tonen, maar biedt geen vrijwaring voor aansprakelijkheid.

De Europese verordening geldt ook voor hulpmiddelen, waaronder software, die zorgaanbieders intern maken en gebruiken. Zorgaanbieders moeten daarbij aan een aantal voorwaarden voldoen. Doen ze dat niet, dan krijgen ze te maken met de zwaardere regels voor fabrikanten van medische hulpmiddelen. De voorwaarden zijn:

  • de zorgaanbieder draagt het intern gemaakte hulpmiddel niet aan een andere rechtspersoon over;

  • de zorgaanbieder gebruikt bij de fabricage en het gebruik van het hulpmiddel een passend kwaliteitsmanagementsysteem;

  • de zorgaanbieder toont aan dat voor de specifieke patiëntbehoeften niet een vergelijkbaar hulpmiddel in de handel beschikbaar is;

  • de zorgaanbieder geeft op verzoek van bevoegde autoriteiten informatie over het gebruik van het hulpmiddel;

  • er wordt een openbare verklaring opgesteld waaruit onder andere blijkt dat het hulpmiddel aan veiligheids- en prestatie-eisen voldoet;

  • er is een beschrijving van de productie en het productieproces en de zorgaanbieder neemt maatregelen om er zeker van te zijn dat alle hulpmiddelen zo worden gemaakt;

  • de ervaringen met het klinisch gebruik van het hulpmiddel worden geëvalueerd om het te kunnen verbeteren.

Conclusie

De regelgeving rond AI in de zorg is ingewikkeld en nog in ontwikkeling. Ook de aansprakelijkheid voor falende AI is juridisch nog niet uitgekristalliseerd. Daarvoor zijn gerechtelijke uitspraken nodig. Ondertussen mogen zorgaanbieders en zorgverleners potentiële aansprakelijkheden niet negeren. Het is verstandig per AI-systeem in kaart te brengen welke rol wordt ingenomen (meestal gebruiker, soms ook producent) en wanneer aansprakelijkheid ontstaat als die AI-toepassing gebrekkig is. Daarnaast moeten zorgaanbieders en zorgverleners natuurlijk de regels in acht nemen die in dit artikel zijn beschreven. Adviseurs van patiënten doen er goed aan kennis te hebben van de aansprakelijkheidsverdeling en de verplichtingen die de gebruikers en producenten van AI-systemen hebben. Wordt zo’n verplichting niet nagekomen, dan kunnen zij mogelijk met succes op die grond aansprakelijk worden gesteld voor de schade die een patiënt door het AI-systeem lijdt.

dicht

  • HR 19 juni 2020, ECLI:NL:HR:2020:1082.

  • HR 19 juni 2020, ECLI:NL:HR:2020:1090.

  • Deze verordening is niet van toepassing op AI louter voor wetenschappelijk onderzoek (artikel 2 lid 6) en ook niet op natuurlijke personen die AI-systemen gebruiken in het kader van een louter persoonlijke niet-professionele activiteit (artikel 2 lid 10).

  • Voor de ontwikkelaar (aanbieder) geldt de verplichting het AI-systeem te loggen om achteraf te kunnen traceren en controleren wat er precies is gebeurd om tot de response te komen. Zorgorganisaties doen er goed aan tijdens het inkoopproces goed na te gaan of dit inderdaad is ingericht, hoe het is ingericht en of het ook makkelijk te raadplegen is.

  • Een gebruiker moet opletten of hij in de zin van de verordening niet als aanbieder wordt beschouwd. Dat is bijvoorbeeld het geval als de gebruiker een AI-systeem met een hoog risico onder zijn naam of merknaam in de handel brengt of dit onder zijn naam of merknaam in gebruik stelt.

  • De AI Act is niet van toepassing op wetenschappelijk onderzoek (artikel 2 lid 6).

  • Artikel 7:458 BW.

  • Wat betreft de data-uitwisseling in de zorg is nog van belang dat er Europese regelgeving in de maak is voor een European Health Data Space.

Voetnoten