Overwegingen bij het opstellen van een AI-bestuurs- en waarborgkader.
Gedurende 2025 en begin 2026 werkte een team van AI-gespecialiseerde beveiligingsprofessionals binnen de Health-ISAC Artificial Intelligence Working Group samen aan een whitepaper met richtlijnen voor het ontwikkelen van AI-governancekaders. Deze whitepaper bevat een voorbeeld van een beleid voor aanvaardbaar gebruik van AI en gedetailleerde richtlijnen voor het beheersen van AI-risico's. Het document definieert duidelijk verantwoord gebruik van generatieve AI en LLM's, verbiedt het blootstellen van patiëntgegevens, persoonsgegevens en vertrouwelijke data aan openbare tools, en vereist autorisatie, toezicht en menselijke beoordeling van AI-output in klinische, HR-, juridische en financiële contexten.
Enkele kenmerken van het document zijn:
- Formele AI-bestuursstructuur. Het document schetst een concreet model voor een AI-governancecommissie met vertegenwoordiging vanuit verschillende disciplines (juridisch, privacy, beveiliging, technologie, datawetenschap, bedrijfsvoering, ethiek) die rapporteert aan het senior management of de raad van bestuur. Het definieert verantwoordelijkheden, geeft voorbeelden van meetbare criteria en benadrukt dat governance een absolute noodzaak is, geen optie.
- Een op pijlers gebaseerd raamwerk voor AI-governance. Het document beschrijft een raamwerk met zeven pijlers: wetgeving/regelgeving/beleid, privacy en ethiek rondom AI, beheer van gebruiksscenario's, beheer van de levenscyclus van modellen, contractering en onboarding van derden, respons op AI-incidenten en beheer van datalekken, en training en onderwijs op het gebied van AI. Elke pijler heeft specifieke doelstellingen en verantwoordelijken.
- Praktisch stappenplan voor de implementatie. Een implementatieplan verdeelt het werk in vier fasen: Initiatie (commissie, principes, inventarisatie), Risico- en impactbeoordeling (DPIA's, bias-audits, beveiligingsbeoordelingen), Implementatie van het raamwerk (beleid, registratie van use cases, levenscyclusbeheer) en Monitoring en evaluatie (periodieke evaluaties, bijscholing, audits).
- Gedetailleerd, herbruikbaar beleid voor aanvaardbaar gebruik van AI. Het document bevat een volledig voorbeeldbeleid met doel en reikwijdte, leidende principes, transparantie en ethiek, verantwoording en toezicht, gegevensprivacy en -beveiliging, vertrouwelijkheid, aanvaardbaar en verboden gebruik, handhaving en definities, plus een tabel met 'toegestaan versus niet toegestaan' voor publieke AI-tools.
- Aan acht risicocategorieën voor kunstmatige intelligentie zijn specifieke beveiligingsmaatregelen gekoppeld. Het behandelt systematisch gegevensprivacy en -beveiliging, risico's in de toeleveringsketen en bij derden, model- en outputrisico's, vooringenomenheid en eerlijkheid, regelgeving en compliance, beveiligingslekken, governance- en toezichtsrisico's en schaduw-AI, en koppelt elk daarvan aan concrete waarborgen zoals dataminimalisatie, SBOM's, due diligence van leveranciers, red teaming, contractuele controles en detectie van schaduw-AI.
Auteurs: Cohen, Luda (AbbVie); Mourad, Carole (Bio Bridge Global); Naik, Shrikanth (Abbott); Streelman, Jeff (SpendMend)
Bijdragers aan de inhoud: Murphy, Bill (LeanTaaS), Gosnell, Joe (Tucson Medical Center)
TLP:WHITE Dit rapport mag zonder beperkingen worden gedeeld.
- Gerelateerde bronnen en nieuws
- De toename van CalPhishing-aanvallen in de gezondheidszorg
- Best practices voor het beheren van identiteits- en toegangsbeheer door derden
- Wat zorgleiders moeten weten over cyberbeveiliging in 2026-2027
- Wat betekent Trumps uitvoeringsbesluit over AI voor de gezondheidszorgsector?
- Rapport over het bedreigingslandschap in de gezondheidszorg en sociale bijstand
- Agentische AI in de gezondheidszorg is een riskante onderneming.
- Live@eXchange Dag 2 – Health-ISAC Medisch Apparaat Beveiligingsanalist
- Gezondheid-ISAC Hacking Healthcare 6-3-2026
- Nieuwe kwetsbaarheden gericht op de gezondheidszorgsector
- Maandelijkse nieuwsbrief – juni 2026