Waarom bestuurders dataveiligheid en AI echt zelf moeten snappen

AI voor Nederlandse Zorg: Innovatie in de GezondheidszorgBy 3L3C

Datadiefstal en AI in de zorg zijn onlosmakelijk verbonden. Waarom moeten bestuurders dataveiligheid zelf snappen, en wat kun je de komende 3 maanden concreet doen?

AI in de zorgdataveiligheidzorgbestuurpatiëntgegevensAVGziekenhuiszorginformatiebeveiliging
Share:

Waarom bestuurders dataveiligheid en AI zelf moeten snappen

Bij de datadiefstal bij Clinical Diagnostics zijn medische gegevens van tienduizenden Nederlanders buitgemaakt. Niet door een spectaculaire hack, maar via bekende kwetsbaarheden en gebrekkige beveiligingsafspraken. Dit is geen incident meer, maar een patroon. En juist nu de Nederlandse zorg steeds meer inzet op AI-toepassingen, wordt dat patroon ronduit gevaarlijk.

De kern van de boodschap van Monique Verdier (vicevoorzitter Autoriteit Persoonsgegevens en oud‑zorgbestuurder) is simpel en hard:

“Als het bestuur het niet snapt, wordt het hele systeem kwetsbaar.”

In deze blog, als onderdeel van de serie AI voor Nederlandse Zorg: Innovatie in de Gezondheidszorg, ga ik een stap verder dan het oorspronkelijke interview. Ik laat zien:

  • waarom dataveiligheid geen IT-dossier is maar een bestuurskwestie;
  • hoe AI in de zorg het risico én de verantwoordelijkheid vergroot;
  • wat raden van bestuur vandaag nog kunnen doen om hun organisatie weerbaar te maken;
  • en hoe je verantwoord van data naar AI-innovatie gaat, zonder de AP of IGJ op je dak.

1. Datadiefstal in de zorg: bestuur is het zwakste én sterkste punt

De belangrijkste les uit Clinical Diagnostics en andere datalekken: techniek is zelden het echte probleem, bestuur wel.

Wat gaat er mis op bestuursniveau?

In veel zorginstellingen zie je hetzelfde patroon:

  • Cybersecurity wordt weggezet als “een IT-ding”.
  • De CISO of privacy officer komt één keer per jaar in de RvB of RvT.
  • Er is wel een verwerkingsregister, maar geen levendige datavisie.
  • Externe leveranciers (zoals labdiensten, AI-start-ups of EPD-partners) krijgen toegang tot enorme hoeveelheden data, terwijl er nauwelijks kritisch naar hun beveiliging wordt gekeken.

Het gevolg: er zijn wél AVG-documenten, DPIA’s en beleid, maar geen echt doorleefde datacultuur. Iedereen gaat er stilzwijgend van uit dat “het wel goed geregeld is”. Tot het misgaat.

Waarom AI de druk opvoert

Met AI in de zorg scherpt dit alles zich nog verder aan. Denk aan:

  • AI-triagetools op de SEH die patiëntgegevens realtime verwerken.
  • Beslisondersteuning bij radiologie of pathologie op basis van grote hoeveelheden beelddata.
  • Predictive analytics om heropnames of IC-opnames te voorspellen.

Hoe meer AI, hoe meer datastromen, koppelingen, externe partijen en algoritmen erbij komen. Elk extra systeem is een potentiële ingang voor misbruik. Als bestuurders niet precies weten:

  • welke data waarheen stroomt,
  • wie er toegang toe heeft,
  • en onder welke voorwaarden,

dan wordt de hele organisatie één groot aanvalsoppervlak.

De realiteit: je kunt geen verantwoorde AI-strategie voeren als je databeveiliging niet op orde is.

2. Bestuurders en AI: van ‘black box’ naar expliciete verantwoordelijkheid

Zorgbestuurders hebben tegenwoordig AI in hun strategie staan, maar vaak met dezelfde fout: AI wordt gezien als een mooie innovatie, niet als een risicodrager die je zelf moet begrijpen.

Wat bestuurders minimaal moeten snappen over AI

Je hoeft geen data scientist te worden, maar als bestuurder in de zorg hóór je tenminste dit helder te hebben:

  1. Welke AI-toepassingen draaien er al in mijn organisatie?
    Niet alleen de grote projecten, maar ook kleine pilots, tools die artsen zelf hebben aangevraagd, en toepassingen in de backoffice (planning, inkoop, HR).

  2. Op welke data draaien deze systemen?
    Denk aan:

    • herkomst van de data (eigen EPD, landelijke registraties, commerciële datasets);
    • gevoeligheid (bijzondere persoonsgegevens, genetische data, psychiatrische dossiers);
    • bewaartermijnen en toegang.

  3. Wie is waarvoor verantwoordelijk?

    • medische inhoud (CMO / medisch specialisten);
    • datakwaliteit en privacy (FG, CISO, datasteward);
    • contracten en aansprakelijkheid (juridische afdeling, inkoop, bestuur).

  4. Wat gebeurt er als het systeem fout zit of lekt?

    • is er een incident- en responsplan specifiek voor AI en data?
    • wie besluit wanneer een AI-systeem (tijdelijk) wordt uitgezet?

Als je als bestuurder op deze vragen het antwoord niet scherp hebt, heb je in feite het stuur uit handen gegeven aan leveranciers en “enthousiaste interne trekkers”. En juist dát maakt je kwetsbaar voor datalekken, misbruik van AI en toezicht door AP of IGJ.

3. Van AVG-vinklijst naar dataveilig zorgbedrijf

Een van de grootste misverstanden in de Nederlandse zorg: compliance is geen veiligheid. Je kunt keurig een DPIA doen, verwerkersovereenkomsten tekenen, NEN 7510-certificaten ophangen en tóch enorm kwetsbaar zijn.

De cruciale rol van bestuur en toezichthouders

Een bestuur dat dataveiligheid en AI serieus neemt, doet minstens het volgende:

  • Stelt dataveiligheid en AI expliciet aan de orde in iedere RvB- en RvT-vergadering.
    Niet één keer per jaar, maar structureel.

  • Verankert digitale veiligheid als onderdeel van kwaliteits- én patiëntveiligheidsbeleid.
    Een datalek met labuitslagen of ggz-dossiers is net zo schadelijk als een medicatiefout.

  • Beoordeelt leveranciers niet alleen op prijs en functionaliteit, maar óók op informatiebeveiliging en AI-transparantie.
    Bijvoorbeeld: wie kan bij de data, welke landen zijn betrokken, wie traint zijn modellen op onze data?

  • Vraagt actief door bij CISO, FG, CIO en medisch leiders:

    • Waar zie jij onze grootste kwetsbaarheid?
    • Welke AI-initiatieven baren je zorgen?
    • Welke “quick wins” kunnen we morgen al oppakken?

Praktische eerste stappen (die je deze maand al kunt zetten)

  1. Laat een onafhankelijke digitale risicoanalyse uitvoeren
    Geen generiek rapport, maar specifiek op je zorgprocessen, leveranciersketen en AI-initiatieven.

  2. Maak één samenhangende datastrategie
    Met antwoorden op: welke data verzamelen we, waarom, hoe lang, met wie delen we ze, en onder welke voorwaarden zetten we ze in voor AI?

  3. Organiseer een bestuurlijke sessie over AI & dataveiligheid
    Met de CISO, FG, medisch specialisten én een externe expert. Doel: begrip, geen technisch college.

  4. Zorg dat je zelf de crisiskaart kent
    Als er morgen een groot datalek of AI-incident is:

    • wie leidt de crisisorganisatie?
    • welke stappen zet je in de eerste 24 uur?
    • wanneer informeer je AP, IGJ en eventueel patiënten?

4. Verantwoorde AI in de zorg: van datalek naar datatrust

Als je AI serieus wilt inzetten in de Nederlandse zorg, heb je één fundament nodig: vertrouwen van patiënten en professionals. Zonder datatrust geen duurzame AI-innovatie.

Wat betekent datatrust concreet?

Datatrust in een zorginstelling betekent onder andere:

  • Patiënten weten waarvoor hun gegevens worden gebruikt, inclusief secundair gebruik voor onderzoek of AI.
  • Er is een helder verhaal over wie niet bij die gegevens kan (verzekeraars, werkgevers, commerciële partijen zonder goede basis).
  • AI-systemen worden uitlegbaar en toetsbaar ingezet: wie behandelt, kan uitleggen waarom de AI iets “vond” en durft het ook te negeren.
  • De organisatie communiceert open over incidenten: geen verstopgedrag, maar eerlijkheid over wat er misging en welke verbeteringen zijn doorgevoerd.

AI-toepassingen die datatrust juist kunnen versterken

Goed ontworpen AI kan datatrust vergroten in plaats van ondermijnen. Voorbeelden:

  • AI als tweede lezer bij radiologie, mét duidelijke rapportage van onzekerheid, zodat de radioloog beter onderbouwde keuzes maakt.
  • AI-gestuurde monitoring thuis (bij chronische aandoeningen), waarbij patiënten zelf inzage hebben in de metingen én in welke signalen de AI afgeeft.
  • AI voor ziekenhuislogistiek en planning, zodat patiënten minder lang wachten en professionals minder worden overbelast, zonder dat er onnodige data buiten de organisatie gaat.

De rode draad: AI moet dienstbaar zijn aan passende zorg én aan de autonomie van patiënt en professional. Daar heb je een stevig ethisch en juridisch kader voor nodig, niet alleen een goede leverancier.

5. Hoe je als zorgbestuurder nu verder gaat

Wie nu verantwoordelijk is voor een ziekenhuis, VVT-organisatie, GGZ-instelling of eerstelijnsorganisatie, kan zich geen afwachtende houding meer permitteren. Datadiefstal en ondoorzichtige AI zijn geen randverschijnselen, maar raken direct aan kwaliteit, veiligheid en reputatie.

Wat kun je concreet doen in de komende 3 maanden?

  1. Maak digitale veiligheid en AI een vaste strategische pijler.
    Leg het niet alleen bij de CIO, maar neem als RvB en RvT expliciete verantwoordelijkheid.

  2. Inventariseer alle AI- en data-initiatieven in je organisatie.
    Groot én klein. Vraag per initiatief: doel, data, risico’s, eigenaarschap.

  3. Stel een duidelijke governance in voor data en AI.

    • Wie mag nieuwe AI-projecten starten?
    • Welke toets (privacy, security, ethiek, medisch) is verplicht?
    • Hoe wordt continu gemonitord op werking, bias en misbruik?

  4. Betrek patiënten en professionals expliciet.
    Laat cliëntenraden, VAR/PAR en medisch stafbestuur meedenken over wat acceptabel is – inhoudelijk én qua risico.

  5. Investeer in kennis van bestuur en topklinisch leiderschap.
    Volg een korte maar stevige opleiding over AI in de zorg, AVG, dataveiligheid en toezicht. Niet alleen de jurist, maar het hele bestuur.

Dit alles kost tijd en energie. Maar de keuze is helder: óf je bouwt nu aan een organisatie die veilig met data en AI kan werken, óf je loopt achter de feiten aan en reageert op het volgende incident.

De Nederlandse zorg staat aan het begin van een periode waarin AI-innovatie en dataveiligheid onlosmakelijk met elkaar verbonden zijn. Bestuurders die dat echt begrijpen, maken hun organisatie niet alleen veiliger, maar ook aantrekkelijker voor talent, innovatiepartners en patiënten.

De vraag is dus niet of je met AI aan de slag gaat, maar: durf je als bestuur zélf het stuur in handen te nemen?