Het Joint Research Centrum van de Europese Commissie publiceerde op 13 juni 2025 haar ‘2025 GenAI Outlook Report’ over de transformatieve rol van Generatieve AI (GenAI) met betrekking tot de Europese Unie.[1] Het rapport bevat onder andere een sectorspecifieke ‘deep dive’ in de gezondheidszorg, waarin er geanalyseerd wordt hoe GenAI veel positieve sociaaleconomische effecten kan hebben in de sector van de gezondheidszorg als AI-ontwikkelaars, clinici, onderzoekers en regelgevers in staat zouden zijn om de vele kansen en mogelijkheden van GenAI af te wegen tegen de valkuilen en risico's ervan. We zetten hieronder de belangrijkste zaken uiteen.
Van traditionele AI naar GenAI: toepassingen in de gezondheidszorg
GenAI biedt volgens het rapport aanzienlijke kansen voor innovatie binnen het domein van de gezondheidszorg. Daar waar traditionele AI in de zorg voorspelt of classificeert op basis van bestaande data, zoals het herkennen van ziektes op scans of het analyseren van patiëntendossiers, gaat GenAI verder: het leert de onderliggende structuur van gezondheidsdata aan en kan nieuwe, realistische data genereren, zoals bijvoorbeeld synthetische, anatomisch plausibele medische beelden van verschillende typologieën. De (mogelijke) toepassingen van GenAI in de gezondheidszorg zijn derhalve veelzijdig. Ten eerste kan GenAI differentiële diagnoses ondersteunen en diagnostische tests of behandelprotocollen voorstellen. Zo kan GenAI de cognitieve overbelasting van zorgprofessionals verminderen en het menselijk oordeel versterken door inzichten te verzamelen op basis van miljoenen patiëntendossiers en literatuurgegevens. Mogelijks kunnen diagnosevertragingen of -fouten hiermee gereduceerd worden. Ten tweede kan GenAI de interpretatie van medische beelden (zoals MRI’s en CT-scans) verbeteren en vroegtijdige detectie van aandoeningen zoals kanker of neurologische ziekten ondersteunen. Ten derde kan GenAI bijdragen aan een meer gepersonaliseerde vorm van geneeskunde: door patiëntgegevens te combineren met medische kennis kan GenAI individuele behandelplannen voorstellen, afgestemd op genetische, sociale en gedragsfactoren. Ten vierde beschouwt het rapport GenAI als een mogelijke verbetering van gezondheidszorgonderzoek, met betrekking tot zowel de ontwikkeling van geneesmiddelen als clinical trials die gesimuleerd kunnen worden door een synthetische populatie (de zogenaamde “in silico trials”).
De risico’s en valkuilen van GenAI in de gezondheidszorg
Tegelijkertijd waarschuwt het rapport voor de risico’s met betrekking tot patiëntveiligheid, verantwoordelijkheid, transparantie en heeft het oog voor de volgende specifieke uitdagingen.
Ten eerste kunnen GenAI-modellen bestaande ongelijkheden in de zorg in stand houden of zelfs versterken ingeval dat ze getraind zijn op bevooroordeelde of gelimiteerde datasets of ingeval dat ze geëvalueerd worden op taken waarmee hun praktische bruikbaarheid voor gezondheidszorgsystemen kan worden gemeten. In dat opzicht onderstreept men het belang van de Verordening inzake de Europese Ruimte voor Gezondheidsgegevens. Door problemen op het gebied van gegevensfragmentatie en interoperabiliteit aan te pakken, zou de Europese Health Data Space bredere en potentieel meer representatieve datasets beschikbaar kunnen stellen, wat een noodzakelijke stap is – maar op zichzelf niet voldoende – voor het trainen van minder bevooroordeelde GenAI-modellen. Bovendien kan dit kader ook helpen bij het aanpakken van GDPR-gerelateerde complexiteiten met betrekking tot het secundaire gebruik van gezondheidsgegevens. Ten tweede zouden GenAI-modellen zaken kunnen genereren die prima facie plausibel lijken doch in de werkelijkheid niet op epistemische data gebaseerd zijn. Ten derde omvat het feit dat GenAI inhoud op basis van probabilistische patronen uit trainingsdata genereert een potentieel risico, namelijk dat de output vooral een geavanceerde herhaling is van bestaande informatie, wat menselijke medische expertise en creativiteit kan ondermijnen. Het is daarom essentieel om onzekerheid in de gegenereerde output systematisch te meten in gezondheidstoepassingen.
Data en privacy-uitdagingen van GenAI
Verder stelt het rapport dat er ook uitdagingen bestaan m.b.t. data en privacy: GenAI-modellen vereisen grote, diverse en kwalitatieve datasets, maar medische data zijn vaak versnipperd en niet gestandaardiseerd. Vooral voor zeldzame ziekten en ondervertegenwoordigde groepen vormen dataproblemen een knelpunt. Hoewel synthetische data datasets kunnen aanvullen, bestaan risico’s op bias, overfitting en re-identificatie. Er is nood aan meer privacybeschermende technieken.
Wat met infrastructuur, interoperabiliteit en cyberveiligheid?
Ten slotte maakt het rapport zich de bedenking dat veel zorginstellingen vandaag de dag de nodige IT-infrastructuur voor GenAI missen, die zware rekenkracht, opslag en netwerkcapaciteit vraagt. Meer bepaald bestaat er een spanning tussen centralisatie van infrastructuur en de noodzaak van “federated learning”[2] om privacy te beschermen. Interoperabiliteit blijft moeilijk, omdat zorgdata verspreid zitten in verschillende, vaak verouderde of proprietaire systemen. Daarnaast brengt GenAI ook cyberrisico’s met zich mee, zoals onder andere “model inversion”[3], “data poisoning”[4] en “prompt injection”[5], die zowel privacy als patiëntveiligheid in gevaar kunnen brengen.
De juridische GDPR-uitdagingen van GenAI in het gezondheidsrecht
Het rapport belicht uitdrukkelijk een aantal problemen die de verwerking van persoonlijke gezondheids-data onder het GDPR kader opwerpen in een GenAI omgeving.
Ten eerste is er steeds een rechtsgrond nodig om persoonsgegevens op rechtmatige wijze te verwerken. Voor AI-modellen kan dat het “gerechtvaardigd belang” zijn, maar dit vereist een belangentest tussen de belangen van de verwerkingsverantwoordelijke en de rechten van betrokkenen.[6] Bij grote en diverse datasets is dit erg moeilijk uit te voeren. Het Europees Comité voor Gegevensbescherming erkent daarbij de risico’s van AI voor fundamentele rechten en benadrukt dat elke situatie afzonderlijk beoordeeld moet worden. Als gerechtvaardigd belang niet toepasbaar is, moet men andere gronden zoals toestemming overwegen, al is dit in de praktijk bijna onhaalbaar bij de schaal van GPAI-training.
Ten tweede is ingevolge de GDPR de verwerkingsverantwoordelijke (degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt) aansprakelijk.[7] Tijdens de ontwikkelingsfase (zoals data-verzameling en training) is het nog vrij eenvoudig te bepalen hoe deze verwerkingsverantwoordelijke gedefinieerd moet worden, maar na de uitrol van een model wordt dit veel complexer. Dit werpt ook de vraag op of modellen die zijn getraind met onrechtmatig verwerkte gegevens (“fruit of the poisonous tree”) de rechtmatigheid van de verdere persoonsgegevens aantasten en als resultaat de aansprakelijkheid van verwerkingsverantwoordelijke die zich op dit model baseert voor hun GenAI systemen inhoudt.
Ten derde is er de vraag of de reeks rechten[8] waarover de personen van wie de persoonsgegevens worden verwerkt in het kader van een bepaalde activiteit beschikken überhaupt geïmplementeerd zullen kunnen worden wanneer het gaat om GenAI. Zo lijkt bijvoorbeeld het recht om niet te worden onderworpen aan geautomatiseerde individuele besluitvormingsprocessen, met daarbij behorende waarborgen zoals menselijke tussenkomst moeilijk verenigbaar met de manier waarop GenAI-systemen functioneren, aangezien hun output vaak het resultaat is van complexe, niet-transparante algoritmische processen waarbij menselijke tussenkomst niet vanzelfsprekend is.[9]
Dalia Van Damme
[1] K. ABENDROTH DIAS et al., Generative AI Outlook Report - Exploring the Intersection of Technology, Society and Policy, Publications Office of the European Union, Luxemburg, 2025, https://data.europa.eu/doi/10.2760/1109679 , JRC142598.
[2] ‘Federated Learning’ is een gedecentraliseerde machine learning-techniek die meerdere databeheerders in staat stelt gezamenlijk een gedeeld AI-model te trainen zonder hun ruwe gegevens uit te wisselen. Het maakt iteratieve updates mogelijk: cliënten trainen het model lokaal op hun eigen data, delen modelupdates met een centrale coördinator en ontvangen een verbeterd globaal model. Deze aanpak waarborgt de privacy en veiligheid van gegevens en wordt toegepast in uiteenlopende contexten, van mobiele apparaten tot gevoelige domeinen zoals de gezondheidszorg, waarbij modellen op patiëntgegevens kunnen worden getraind zonder vertrouwelijke informatie te delen. European Commission, Joint Research Centre. M. Bacco, S. Kanellopoulos, M. Di Leo, A. Kotsev, A. Friis- Christensen, Technology Safeguards for the Re-Use of Confidential Data, European Commission, Ispra, 2025, JRC141298.
[3] ‘Model inversion’ is een type AI-aanval waarbij een aanvaller de output (bijv. welke indicators wijzen op een specifieke hartziekte) van een machine learning-model gebruikt om een apart ‘inversiemodel’ te trainen dat probeert de oorspronkelijke inputgegevens (bijv. de medische gegevens van de persoon met de specifieke hartziekte) te reconstrueren, waardoor persoonlijke of vertrouwelijke informatie van de data subjecten kan worden afgeleid zonder directe toegang tot de originele dataset te hebben.
[4] Bij ‘data poisoning’ gaat men de trainingsgegevens van een AI-model manipuleren, met als doel dat het model tijdens gebruik bevooroordeelde of gevaarlijke uitkomsten genereert.
[5] ‘Prompt injection’ is een beveiligingsrisico waarbij een gebruiker malafide input toevoegt aan een prompt, waardoor een model de originele instructies van de ontwikkelaar negeert en het gedrag van het model kan worden gemanipuleerd.
[6] Art. 6(1)(f) GDPR.
[7] Artikel 5(2) GDPR.
[8] Artikels 15 tot en met 22 GDPR.
[9] Artikel 22 GDPR.
