Auteurs : Marlou Jannink et Lisa Machgeels (AKD)
De plus en plus de prestataires de soins de santé utilisent diverses formes d’intelligence artificielle (également appelée intelligence artificielle ou « IA »). Par exemple, des assistants numériques tels que ChatGPT et Copilot peuvent aider à établir des diagnostics, à répondre à des questions sur le traitement, à créer des lettres de référence, à résumer de grandes quantités d’informations ou à rendre les informations plus accessibles aux patients. En particulier dans le domaine de la santé, où la charge administrative est souvent élevée, cela peut permettre de gagner un temps précieux et de garantir une plus grande efficacité. Dans le même temps, l’utilisation d’assistants numériques est associée à des risques dont tout le monde n’est pas conscient. L’un de ces risques est un risque accru de fuite de données. Un récemment trouvé violation de données dans un cabinet généraliste a eu lieu après qu’un employé ait saisi les données médicales d’un patient dans un chatbot IA.
Dans ce blog, vous en apprendrez davantage sur l’utilisation des chatbots IA par les prestataires de soins de santé, les conséquences d’une violation de données et comment éviter les fuites de données lors de l’utilisation de chatbots IA.
Utiliser le chatbot IA
L’Autorité néerlandaise de protection des données (AP) a reçu de loin l’année dernière la plupart des rapports de violation de données d’organisations du secteur de la santé, près de 9 000. L’AP reçoit de plus en plus de rapports faisant état de fuites de données parce que les employés ont partagé des données personnelles avec un chatbot IA, tel que ChatGPT.
La plupart des parties derrière le logiciel d’un chatbot IA stockeront tout le contenu saisi par les utilisateurs pour un développement et une amélioration ultérieurs du chatbot. Les données saisies se retrouvent donc sur les serveurs de ces entreprises technologiques, souvent sans que l’on sache exactement ce que ces entreprises feront exactement de ces données. La personne qui saisit les données dans le chatbot n’en est souvent pas suffisamment consciente. De plus, dans cette situation, la personne à laquelle se rapportent les données ne saura pas que ses données sont partagées avec d’autres utilisateurs. Il existe même un terme propre pour un tel cas : fuite de l’IA conversationnelle.
S’il s’agit d’informations sur des patients qui sont ainsi partagées sans consentement avec un tiers qui n’est pas directement impliqué dans l’exécution du contrat de traitement, cela viole non seulement le règlement général sur la protection des données (RGPD), mais également le secret professionnel médical. de la loi sur les accords de traitement médical (WGBO), de la loi sur la jeunesse ou de la loi sur le soutien social de 2015. Provoquer une violation de données peut également être coupable en vertu du droit disciplinaire, voir par exemple cette déclaration du Conseil central de discipline pour les soins de santé de La Haye. L’AP met donc en garde contre l’utilisation de chatbots IA et la saisie d’informations sensibles telles que des données personnelles.
Conséquences possibles et violation des obligations d’information en cas de fuite de données
Une violation de données peut avoir des conséquences majeures. Cela est encore plus vrai lorsqu’il s’agit des données médicales des patients. Ces informations peuvent se retrouver dans la rue et être utilisées, par exemple, à des fins de dénonciation ou par des cybercriminels à des fins de fraude, d’usurpation d’identité ou d’attaque de phishing. Ce n’est donc pas sans raison que les organisations ont une obligation de reporting en cas de fuite de données. Une violation de données doit être signalée à l’AP dans les 72 heures après en avoir pris connaissance. Le prestataire de soins doit évaluer lui-même s’il est également obligatoire, dans une situation spécifique, d’informer immédiatement les victimes de la violation de données. Cette obligation existe lorsque la violation de données est susceptible de présenter un risque élevé pour les droits et libertés des personnes concernées. Si des données médicales sont impliquées dans la violation de données, c’est presque toujours le cas.
Dans le pratique Or, l’AP constate régulièrement – et notamment dans le domaine de la santé – que les victimes ne sont pas informées de la fuite de leurs données personnelles, car les risques de fuite de données sont souvent sous-estimés. Selon certains prestataires de soins de santé il n’est pas dans l’intérêt des patients de les informer d’une violation de données. La raison en est que si certains patients sont informés qu’ils sont victimes d’une violation de données, leur état de santé pourrait encore se détériorer. Lorsque la loi sur les contrats de traitement médical contient une exception à l’obligation du prestataire de soins de fournir des informations si cela semble causer un préjudice grave au patient (également appelée exception thérapeutique), une telle exception ne s’applique pas en cas d’information sur une violation de données. La loi n’offre donc pas la possibilité de déroger à l’obligation de déclaration en fonction de l’état d’esprit des personnes concernées. Comme toute autre victime, les patients concernés doivent également être informés d’une violation de données s’il est probable qu’il existe un risque élevé.
Prévenir les risques avec les chatbots IA
L’utilisation de chatbots IA dans le secteur de la santé ne doit certainement pas être exclue, mais les prestataires de soins de santé doivent veiller à ce que les collaborateurs utilisent ces assistants numériques de manière responsable. Une politique en matière d’IA peut y contribuer. Dans une politique d’IA, un prestataire de soins de santé peut informer ses collaborateurs des opportunités et des risques liés à l’utilisation de l’intelligence artificielle et également établir des règles de conduite sur la manière dont l’utilisation des outils d’IA est autorisée. Dans une politique qui s’applique aux chatbots IA, le prestataire de soins peut, par exemple, inclure les éléments suivants :
Insistez sur le fait que les employés peuvent utiliser des chatbots IA pour obtenir de l’aide, mais que les employés ne peuvent pas simplement se fier à l’exactitude des résultats de l’IA et toujours rester responsables en dernier ressort. Insistez sur le fait qu’il n’est pas permis de saisir des données médicales dans un chatbot IA, sauf s’il s’agit d’informations anonymes ne permettant pas de remonter jusqu’au patient. Une description claire des finalités pour lesquelles les chatbots IA peuvent ou non être utilisés, par exemple en ce qui concerne l’établissement de diagnostics, la synthèse d’articles médicaux, la planification des rendez-vous avec les patients et le soutien administratif. Une procédure de reporting interne en cas de possible violation de données suite à l’utilisation d’un chatbot IA. Une telle procédure permet aux collaborateurs d’agir rapidement et de manière adéquate, afin d’éviter autant que possible des conséquences graves pour les patients concernés.
En plus de fixer des règles et des lignes directrices claires dans une politique en matière d’IA, on pourrait, par exemple, envisager d’inclure explicitement des clauses liées à l’IA dans les accords de confidentialité.
Enfin, nous mentionnons que le Règlement IA entrera en vigueur par étapes à partir d’août 2024. Le Règlement IA est la législation européenne sur l’utilisation des systèmes d’IA et s’applique aussi bien aux développeurs qu’aux utilisateurs de systèmes d’IA. Une obligation de transparence s’appliquera aux chatbots à partir d’août 2026. Cette obligation de transparence signifie que pour un prestataire de soins, par exemple, s’il utilise un chatbot avec lequel les patients peuvent prendre contact eux-mêmes – par exemple pour planifier un rendez-vous – le prestataire de soins doit indiquer qu’un chatbot IA est utilisé et qu’aucun contact n’a lieu. lieu avec une vraie personne.
Conclusion
Les chatbots IA peuvent offrir de nombreuses possibilités dans le domaine de la santé en matière d’innovation et d’efficacité, mais ils nécessitent en même temps un certain degré d’adaptabilité et de vigilance de la part des prestataires de soins de santé. Si les prestataires de soins de santé s’y préparent à temps et sont capables de trouver le bon équilibre entre, d’une part, tirer parti de toutes les possibilités offertes par les outils d’IA tels que les chatbots IA, et, d’autre part, protéger les données (médicales), cela peut certainement être un ajout précieux pour les soins de santé.
Bron : AKD