AI doet zijn intrede in de zorgsector in hoog tempo. Niet als een bewuste strategische keuze van de directie, maar vaak via de werkvloer. Twee experts die dit dagelijks meemaken delen hun perspectief. Een gesprek met Erik Yzermans (CISO & CAICO, GGZ Mondriaan) en Mirjam Kaijser (IT-adviseur bij verschillende zorginstellingen / DeKaware)
Erik Yzermans houdt zich al meer dan 25 jaar bezig met informatiebeveiliging in de zorg. Als CISO én CAICO bij GGZ Mondriaan adviseert hij de Raad van Bestuur over zowel informatiebeveiliging als de governance rondom kunstmatige intelligentie. Daarnaast is hij gastdocent aan de Technische Universiteit Eindhoven (TU/e) met als specialisatie informatiebeveiliging en privacy.
Mirjam Kaijser, werkt al meer dan twintig jaar met publieke organisaties aan het in control komen op IT. Ze is adviseur van de Zeeuwse CISO-kring en heeft brede ervaring in de zorg, momenteel als leidinggevende van een applicatiebeheerteam in een ziekenhuis in Zeeuws-Vlaanderen. Bij gemeenten, provincies en zorginstellingen ziet ze keer op keer hetzelfde patroon: de technologie is er al, maar de organisatie is er nog niet klaar voor. Met AI is dat niet anders. Sterker: het gaat sneller en de gevolgen zijn groter.
Erik ziet de ontwikkelingen van dichtbij. Vroegtijdige signalering op basis van patroonherkenning in dossiers. Ondersteuning bij casus-regie in het Elektronisch Patiëntendossier, waarbij AI automatisch samenvattingen maakt van behandelgesprekken. Spraak-naar-tekst tools die meeluisteren in de spreekkamer. Virtuele assistenten die patiënten begeleiden bij rouwverwerking of zelfmanagement.
“Deze toepassingen zijn er niet over vijf jaar. Ze zijn er nu,” stelt Erik.
Mirjam herkent dat. Onlangs sprak ze met een zorginstelling over hun IT-landschap. Terloops vertelde iemand dat ze al een tijdje werken met een spraak-naar-tekst tool in de spreekkamer. De medewerkers waren er enthousiast over. Maar toen Mirjam doorvroeg, bleek dat de IT-afdeling er niets van wist. De privacy officer had het systeem niet getoetst. Er was geen verwerkersovereenkomst. En de patiënten waren niet geïnformeerd.
“Dit is geen uitzondering. Dit is de realiteit in veel zorginstellingen,” constateert Mirjam.
Medewerkers in de zorg zijn pragmatisch. Ze zoeken oplossingen die werken. Als de organisatie AI-tools niet faciliteert, zoeken ze zelf een oplossing. Gratis versies van bekende AI-assistenten, tools die ze thuis al gebruiken. En zo worden gevoelige patiëntgegevens ingevoerd in systemen die nooit zijn getoetst op privacy, beveiliging of AVG-compliance.
Bij Mondriaan proberen ze dit te ondervangen door medewerkers juist wél toegang te geven tot goede, beveiligde AI-toepassingen. “Als je de behoefte wegneemt om buiten de organisatie te zoeken, beperk je het risico aanzienlijk,” legt Erik uit. “Maar dat vraagt ook om beleid, bewustwording en governance, en dat is precies waar het bij veel instellingen nog ontbreekt.”
Zowel Erik als Mirjam wijzen op hetzelfde pijnpunt: onduidelijk eigenaarschap. De reflex is snel — dat is de CISO, of IT. Maar dat klopt niet.
“De CISO kan kaders stellen en adviseren, maar het eigenaarschap van een risico ligt bij degene die het proces of systeem beheert,” legt Erik uit. “Bij de bestuurder, de proceseigenaar, de afdeling die de tool inzet.”
Mirjam vult aan: “De neiging is om dit bij de CISO of IT-afdeling neer te leggen, maar dat is een misvatting. Het eigenaarschap hoort bij degene die het proces beheert. Zolang dat niet helder is belegd, heeft niemand het gevoel dat het zijn of haar probleem is. En dan blijft het risico zweven.”
Mirjam ziet keer op keer dat beleid, uitvoering en techniek langs elkaar heen werken. Het bestuur stelt kaders die de werkvloer niet bereiken. IT implementeert systemen zonder draagvlak. Medewerkers zoeken zelf oplossingen.
“De sleutel zit in verbinding. Niet in meer regels of meer controle, maar in het bij elkaar brengen van die drie werelden. Zodat beleid begrijpelijk is voor de werkvloer. Zodat techniek aansluit op de werkpraktijk. Zodat de bestuurder begrijpt wat er op de werkvloer speelt.”
Je hoeft niet te wachten op perfecte regelgeving of een uitgewerkte AI-strategie. Beide experts zijn het eens over de eerste stappen:
Breng in kaart welke AI-tools er al worden gebruikt, ook buiten de officieel goedgekeurde lijst. Beleg het eigenaarschap expliciet, ook al is het nog niet perfect georganiseerd. Informeer medewerkers over wat wel en niet mag en waarom. En houd een AI-register bij als basis voor aantoonbaarheid richting toezichthouders.
“Het is geen gemakkelijk traject,” geeft Erik toe. “Maar wel een noodzakelijke.”
Erik en Mirjam liever in een video?
Erik Yzermans en Mirjam Kaijser spraken over dit onderwerp tijdens het webinar AI & Privacy in de zorg, georganiseerd door Fully In Control.
