7. Informatiebeveiliging, monitoring en onderhoud
7.1 Informatiebeveiliging
Binnen het project AI ondersteund coderen wordt gewerkt met gevoelige, persoonsgebonden gegevens die te allen tijde eigendom blijven van het ziekenhuis. De beveiliging van dergelijke gegevens heeft een topprioriteit. Hiervoor stelt DHD eisen aan de ziekenhuizen alvorens zij toe kunnen treden tot AI ondersteund coderen. Om de veiligheid van de gebruikte gegevens en de toegang hiertoe te kunnen garanderen heeft DHD verschillende maatregelen getroffen die worden toegelicht in de bijsluiter informatiebeveiliging AI-ondersteund coderen (Bijlage A).
DHD verwerkt allereerst de gegevens van het ziekenhuis enkel binnen de beschermde ICT-omgeving van het ziekenhuis. Alleen het op de data getrainde AI-model (en dus niet de patiëntgegevens) wordt door DHD opgehaald en verwerkt binnen de omgeving van DHD. Zie ook Figuur 1 in paragraaf 2.2 voor meer toelichting op federatief leren. In sommige gevallen hebben medewerkers van DHD binnen de beschermde ICT-omgeving van het ziekenhuis toegang nodig tot de gegevens die worden gebruikt bij het trainen of het toepassen van het model. Deze toegang is nodig om te kunnen valideren of de verwerking van de gegevens door het model goed verloopt en te kunnen troubleshooten wanneer dit niet zo is.
Er zijn verschillende maatregelen genomen om deze toegang op een veilige manier mogelijk te maken:
Allereerst, alle gebruikte gegevensbronnen worden volledig door het ziekenhuis gepseudonimiseerd alvorens DHD deze gegevens kan benaderen. Alle informatie die mogelijk herleidbaar is naar de patiënt worden hierbij verwijderd. Er worden binnen het project dus enkel gepseudonimiseerde gegevens verwerkt. Waar dit persoonsgegevens betreft zijn deze dus niet herleidbaar naar personen.
Ten tweede, toegang tot de server is afgeschermd met een persoonlijke gebruikersnaam en een wachtwoord en vindt alleen plaats via een beveiligde verbinding met specifieke IP-adressen van DHD (deze dienen te worden gewhitelist). Op deze manier kan ongewenst verkeer van buitenaf worden geweerd.
Ten derde, DHD is NEN7510 en ISO/IEC 27001 gecertificeerd en de medewerkers van DHD werken in overeenstemming met de normen die deze certificeringen met zich meebrengen. Om aan AI ondersteund coderen mee te kunnen werken dienen alle medewerkers van DHD bovendien een geheimhoudingsverklaring te ondertekenen.
In de bijsluiter informatiebeveiliging AI-ondersteund coderen (Bijlage A) vindt u meer informatie over onze werkwijze en de stappen die zijn gezet om binnen het project AI-ondersteund coderen op een veilige manier met de ziekenhuizen te kunnen samenwerken.
7.2 Monitoring en onderhoud
Sinds begin 2024 is het AI-model voor dagopnamen in productie en wordt het toegepast in meer dan 20 ziekenhuizen. Het model is gevalideerd en door het CBS akkoord bevonden voor gebruik, het wordt actief onderhouden en doorontwikkeld door DHD.