Het inzetten van digitale technologie om de naleving van wet- en regelgeving (LegalTech) in de gezondheidszorg te vereenvoudigen, kan paradoxaal lijken. Deloitte en UMC Utrecht zijn dit echter in samenwerking aan het realiseren. Chatbot DEX is straks hét centrale aanspreekpunt voor medewerkers van UMC Utrecht met vragen over privacy en gegevensuitwisseling. Dit betekent voor de medewerkers: direct antwoord op vragen of direct een doorverwijzing naar de juiste persoon binnen de organisatie. Voor juridische professionals: verminderde werkdruk en meer tijd voor complexe vraagstukken. Voor het management: een duidelijk overzicht van de compliance-volwassenheid van de organisatie en per divisie inzicht in onderwerpen die extra aandacht verdienen.
Mede door het inzetten van technologische innovaties, verzamelen zorginstellingen steeds meer gegevens. Gegevens zijn immers zeer waardevol en kunnen op verschillende manieren worden ingezet om de gezondheidszorg te verbeteren. Om deze reden is de behoefte groot om gegevens in huis, alsook extern te delen en te (her)gebruiken.
De verzamelde gegevens bevatten echter ook vaak gevoelige, medische informatie over patiënten. Deze informatie moet in sommige gevallen worden uitgewisseld in het kader van een behandeling van de patiënt, maar kan ook op andere manieren worden ingezet. Gegevens kunnen bijvoorbeeld waardevol zijn in het kader van onderzoek naar de effectiviteit van behandelingen of onderzoek naar bepaalde aandoeningen.
Tegelijkertijd neemt de hoeveelheid wet- en regelgeving op het gebied van gegevensbescherming toe. De Algemene Verordening Gegevensbescherming (AVG) stelt strikte eisen aan de bescherming van gevoelige gegevens zoals informatie over de gezondheidstoestand van personen. Bovendien kent de gezondheidszorg nog specifieke wetten en voorschriften over onder andere de elektronische uitwisseling van medische gegevens.
Steeds meer vragen
Door de toename van zowel het aantal gegevens, als de complexiteit van wet- en regelgeving, neemt ook het aantal vragen over de verwerking van persoonsgegevens exponentieel toe. De meeste medewerkers van zorginstellingen zijn zich ervan bewust dat er strikte regels gelden voor het uitwisselen van (medische) gegevens, maar kennen de inhoud van de wet- en regelgeving logischerwijs niet voldoende om te begrijpen wat zij wel of niet met de gegevens mogen doen.
Hierdoor wordt de druk op de juridische professionals in de zorginstellingen steeds zwaarder. Terwijl de vraag naar juridische professionals in zorginstellingen toeneemt, neemt het aantal beschikbare mensen af. Het aanbod is beperkt en de inzet van (juridisch) personeel is duur. Een belangrijk gevolg is dat de doorlooptijd van de beantwoording automatisch langer aan het worden is.
Kortom: het voldoen aan toepasselijke wet- en regelgeving en tegelijk efficiënt gebruikmaken van de aanwezige gegevens is een uitdaging voor de hele organisatie. Dit is een probleem, zeker gelet op het feit dat de bescherming van persoonsgegevens van patiënten een belangrijk onderdeel is van het continu leveren van betrouwbare en kwalitatief goede zorg.
Digitaliseren van compliance
Met dit probleem als uitgangspunt hebben Deloitte en UMC Utrecht gewerkt aan een oplossing: Chatbot DEX.
Chatbot DEX is een computerprogramma waarmee een menselijke conversatie gesimuleerd wordt. Een gesprek met DEX lijkt daarom op een gesprek met een medewerker van een juridische afdeling. In werkelijkheid is DEX geautomatiseerd voor, een deel van, de op dit moment privacy-compliance gerelateerde vragen die een medewerker van de zorginstelling kan hebben.
Chatbot DEX heeft drie eenvoudige functionaliteiten:
• Vraag-antwoord.
• Verwijzingen.
• Management-rapportage.
We gaan hieronder kort op iedere functionaliteit in.
Vraag-antwoord
De chatbot geeft een direct antwoord op veel privacy-vragen die leven binnen de organisatie. De vragen die geautomatiseerd worden beantwoord zijn samen met de (juridische) medewerkers bepaald. Het gaat hier vooral om vragen die veel worden gesteld binnen de organisatie maar vooral ook vragen die zich lenen om direct geautomatiseerd beantwoord te worden.
Samen met de juridische professionals van UMC Utrecht is bijvoorbeeld bepaald tot op welk niveau directe, geautomatiseerde, beantwoording mag plaatsvinden. Het komt namelijk voor dat vragen sowieso langs een professional moeten voordat overgegaan kan worden tot beantwoording. Deze vragen zullen daarom via de tweede functionaliteit bij de betreffende medewerker terechtkomen.
De set aan antwoorden die DEX zelf heeft, biedt een medewerker direct antwoord. Hij/zij kan zo verder. De juridische of privacy medewerker hoeft dergelijke vragen niet meer te beantwoorden en kan zich richten op meer complexe zaken.
Voorbeelden van geautomatiseerde beantwoording zijn definitievragen zoals: “wat is een verwerkersovereenkomst?”, maar ook vragen als “is een patiëntnummer een persoonsgegeven?” en “welke privacy-rechten zijn er?” of “Mag ik patiëntgegevens delen via email?” Behalve directe beantwoording van vragen, zijn er ook dialogen verwerkt in Chatbot DEX. Dit zijn vragen waarvoor meer context nodig is om een juist antwoord te kunnen geven.
Een voorbeeld van zo’n vraag kan zijn: “heb ik een verwerkersovereenkomst nodig?” Deze vraag kan pas beantwoord worden wanneer de omstandigheden van de situatie duidelijk zijn, bijvoorbeeld met welke partij persoonsgegevens worden uitgewisseld. Ook vragen die een bepaalde (interne) procedure volgen, zoals het melden van datalekken, zouden via DEX beantwoord kunnen worden. De medewerker die een datalek wil melden, kan via de chatbot door de procedure geleid worden.
Verwijzingen
Binnen grotere organisaties speelt het probleem dat medewerkers vaak niet goed weten bij wie ze terecht kunnen met hun vragen. Veel vragen landen daarom in de mailbox van mensen die ze eigenlijk niet hoeven te beantwoorden. Chatbot DEX heeft een functionaliteit die het onderwerp van de vragen herkent en op basis van dit onderwerp de vraagstelling kan koppelen aan de juiste contactpersoon. Heb je bijvoorbeeld een vraag over een verdachte email (phishing) dan herkent Chatbot DEX dat dit over phishing of over security gaat en wordt je gekoppeld aan de juiste contactgegevens van iemand binnen de organisatie.
Om te voorkomen dat de medewerker twee keer (of vaker) hetzelfde verhaal moet vertellen, kan via DEX een afschrift worden gedownload van de vragen die aan de chatbot gesteld zijn. Dit afschrift kan vervolgens worden gestuurd aan de persoon naar wie is doorverwezen, zodat hij of zij de juiste informatie op gestructureerde wijze ontvangt.