Moet ik een scribe melden bij de Autoriteit Persoonsgegevens?

De inzet hoeft niet gemeld te worden, maar mogelijk is een DPIA vereist. Raadpleeg je Functionaris Gegevensbescherming of een AVG-adviseur.

Kan ik een scribe inzetten zonder toestemming van de patiënt?

Informeren is verplicht. Vraag altijd of er bezwaar is en respecteer dat. Patiënten hebben het recht om bezwaar te maken, en dat recht kan niet worden weggecontracteerd.

Is een scribe een medisch hulpmiddel onder de MDR?

Waarschijnlijk niet als het uitsluitend documenteert zonder klinische aanbevelingen. De grens is niet scherp en afhankelijk van de specifieke functionaliteit.

Welke contracten moet ik afsluiten met een scribeprovider?

Minimaal een verwerkersovereenkomst conform AVG artikel 28, met daarin vastgelegd welke data worden verwerkt, waar, hoe lang, en wat er bij een incident gebeurt.

Wat als de AI een fout maakt die ik niet heb opgemerkt?

Dan ben jij als behandelend arts verantwoordelijk, als een redelijk handelend arts de fout had kunnen signaleren. Consistent met hoe medische aansprakelijkheid altijd heeft gewerkt.

Wet- en regelgeving AI in de huisartsenpraktijk

Dit is geen juridisch advies. Ik ben arts, geen advocaat. Maar ik werk dagelijks met medische software, ik heb een NEN 7510-gecertificeerd systeem gebouwd, en ik heb me door de relevante wet- en regelgeving heen gewerkt. Wat ik hier schrijf is mijn praktische interpretatie. Voor formeel juridisch advies raadpleeg je een specialist.

De AI-verordening: wat verandert er voor de huisartsenpraktijk

De Europese AI-verordening, ook wel AI Act genoemd, is in 2024 in werking getreden en wordt gefaseerd van kracht. De verordening introduceert een risicogebaseerde aanpak: hoe hoger het risico van een AI-systeem, hoe strenger de eisen.

Voor de huisartsenpraktijk is de kernvraag: in welke risicocategorie valt een scribe? Systemen die worden gebruikt voor medische doeleinden en die invloed hebben op beslissingen die gevolgen hebben voor gezondheid, worden in principe aangemerkt als hoog-risico AI. Een scribe die een dossiernotitie genereert die de basis vormt voor diagnose en behandeling, bevindt zich in een grijs gebied. Is het een hulpmiddel voor de arts, of neemt het een beslissing?

Mijn interpretatie: een scribe die uitsluitend transcribeert en structureert, zonder klinische aanbevelingen te doen, en waarbij de arts expliciet de notitie goedkeurt voor committering, valt waarschijnlijk buiten de hoog-risico-categorie. Maar dit is nog niet definitief uitgekristalliseerd in Europese guidance.

Praktisch gevolg: transparantie is verplicht. Patiënten moeten weten dat AI wordt ingezet. Systemen moeten menselijk toezicht borgen. Dat zijn geen nieuwe principes voor wie goed nadenkt over implementatie, maar ze zijn nu wettelijk verankerd.

MDR: wanneer is een scribe een medisch hulpmiddel

De Medical Device Regulation, van kracht sinds 2021, bepaalt wanneer software als medisch hulpmiddel wordt aangemerkt. Dat heeft grote gevolgen: een medisch hulpmiddel vereist CE-markering, klinische evaluatie en registratie.

De afbakening is niet eenvoudig. Software die wordt ingezet voor preventie, diagnose, bewaking, behandeling of verlichting van een ziekte of letsel valt onder de MDR. Software die uitsluitend ondersteunend is voor zorgprocessen, zoals planning of documentatie, valt er in beginsel buiten.

Een scribe die uitsluitend documenteert en geen klinische interpretatie doet, valt naar verwachting buiten de MDR als medisch hulpmiddel. Zodra een systeem ICPC-codes suggereert, NHG-richtlijnen aanbeveelt of afwijkingen signaleert, verschuift de balans. De grens is niet scherp en hangt af van de specifieke functionaliteit.

Spreekuur.ai houdt dit onderscheid bewust in het oog. Functionaliteit die buiten de documentatielaag treedt, vraagt om een andere juridische analyse.

AVG: bijzondere persoonsgegevens en de verwerkingsgrondslag

Een consult opnemen voor AI-transcriptie betekent het verwerken van bijzondere persoonsgegevens in de zin van artikel 9 van de AVG. Gezondheidsgegevens vallen in de zwaarste beschermingscategorie.

De verwerkingsgrondslag voor het gebruik van een scribe is niet automatisch gedekt door de behandelovereenkomst. De AVG vereist dat de patiënt wordt geïnformeerd over de verwerking, inclusief welke systemen worden ingezet, waar de data worden verwerkt en hoe lang ze worden bewaard.

In de praktijk betekent dit: een informatieblad of mondelinge toelichting vóór het consult, een mogelijkheid om bezwaar te maken, en vastlegging van het informeren in het dossier.

Patiënten hebben het recht om bezwaar te maken tegen de inzet van de scribe. Dat recht kan niet worden weggecontracteerd in de praktijkvoorwaarden. Als een patiënt bezwaar maakt, gebruik je het systeem niet voor dat consult.

Verder geldt: verwerking buiten de EU vereist aanvullende waarborgen. Audio naar servers in de VS sturen zonder adequate safeguards is in strijd met de AVG. Dit is geen theoretisch risico: de meeste Engelstalige scribeproducten verwerken standaard buiten de EU. Meer over hoe spreekuur.ai hier mee omgaat: Beveiliging en privacy.

WGBO: dossierplicht en de rol van de AI-notitie

De Wet op de geneeskundige behandelingsovereenkomst verplicht de arts tot het bijhouden van een medisch dossier. De arts is verantwoordelijk voor de inhoud van dat dossier, ongeacht hoe de notitie tot stand is gekomen.

Een AI-gegenereerde notitie die door de arts is goedgekeurd en vastgelegd, is juridisch gezien de notitie van de arts. Als die notitie fouten bevat die de arts had kunnen en moeten signaleren bij zorgvuldige review, is de arts aansprakelijk.

Dat is geen reden om scribes te vermijden. Het is een reden om de reviewstap serieus te nemen. Wie de conceptnotitie vluchtiger leest dan een zelf getypte notitie, vergroot het risico op juridische kwetsbaarheid, niet het systeem. En gegeven de foutpercentages uit de literatuur (zie onderzoek) is dat geen theoretisch risico.

NEN 7510 en informatiebeveiliging

NEN 7510:2024 is de Nederlandse norm voor informatiebeveiliging in de zorg, gebaseerd op ISO 27001 met zorgsectorspecifieke aanvullingen. Als verwerkingsverantwoordelijke voor medische data ben je als huisarts of praktijk verplicht om aantoonbaar aan deze norm te voldoen, ook zonder dat je gecertificeerd bent.

Dat betekent: een verwerkersregister bijhouden, subverwerkers contractueel borgen via verwerkersovereenkomsten, beveiligingsmaatregelen treffen die proportioneel zijn aan het risico, en incidenten kunnen melden en registreren.

Een scribe voegt subverwerkers toe aan die keten. Elk systeem dat audio of transcripties verwerkt, is een subverwerker die via een verwerkersovereenkomst moet zijn geborgd. De locatie van verwerking moet zijn vastgelegd. De bewaartermijnen moeten zijn gedefinieerd.

De infrastructuur van spreekuur.ai is gecertificeerd onder NEN 7510:2024 (zie Beveiliging). Voor praktijken die het systeem gaan gebruiken, is een verwerkersovereenkomst beschikbaar.

Aansprakelijkheid: wie is verantwoordelijk als het fout gaat

Dit is de vraag die veel artsen terecht stellen, en waarop het antwoord ongemakkelijk eenduidig is: de behandelend arts.

De arts is verwerkingsverantwoordelijke voor het medisch dossier. Als een AI-gegenereerde notitie een fout bevat die heeft bijgedragen aan een verkeerde behandelbeslissing, en de arts heeft die notitie goedgekeurd, dan ligt de aansprakelijkheid bij de arts. De softwareleverancier heeft een eigen aansprakelijkheid voor productveiligheid, maar dat ontslaat de arts niet.

Dit verandert niets aan hoe artsen nu al werken: wie een dictaat laat uittypen en ondertekent zonder te lezen, draagt dezelfde verantwoordelijkheid. De scribe verschuift de aansprakelijkheid niet, hij verplaatst de foutbron.

Het enige wat telt: lees de notitie, corrigeer wat fout is, keur goed wat klopt.

Onoverzichtelijk, maar te navigeren.