Governing Trust in Health AI: A Qualitative Study of Cybersecurity Professionals Perspectives

Deze kwalitatieve studie toont aan dat het vertrouwen in gezondheidszorg-AI niet alleen afhangt van technische prestaties, maar vooral wordt gevormd door de governance-praktijken en het toezicht van cybersecurityprofessionals die deze systemen als kritieke klinische infrastructuur beschouwen.

De kern

De Kern: Vertrouwen in Medische AI is geen Technisch Probleem, maar een Verantwoordelijkheidsprobleem

Stel je voor dat een ziekenhuis een nieuwe, super-snelle robotarts inhuurt. Deze robot kan röntgenfoto's sneller lezen dan welke dokter ook en medicijnen perfect verdelen. Maar wie zorgt ervoor dat deze robot niet wordt gehackt? En wie is er verantwoordelijk als de robot een fout maakt?

Dit onderzoek kijkt niet naar de patiënten of de dokters, maar naar de cybersecurity-experts. Dit zijn de mensen die de digitale sloten en deuren van het ziekenhuis bewaken. Zij vertellen ons dat vertrouwen in medische AI niet gaat over hoe slim de computer is, maar over hoe goed het ziekenhuis zijn huiswerk doet.

Hier zijn de vier belangrijkste lessen uit het onderzoek, vertaald naar alledaagse beelden:

1. De AI is een "Super-Assistent", geen Baas

De experts zien AI niet als een robot die de dokter vervangt. Ze zien het meer als een ultra-snelle calculator of een bijl die een timmerman gebruikt.

• De analogie: Stel je voor dat je een zeer ervaren timmerman bent. Je krijgt een nieuwe, elektrische zaag die 10 keer zo snel werkt. Je bent blij met de snelheid, maar je laat de zaag nooit alleen in de kamer achter terwijl je gaat slapen. Je houdt de zaag vast en beslist waar hij snijdt.
• De les: AI helpt bij het sneller lezen van foto's of het vinden van medicijnen, maar een menselijke dokter moet altijd de eindcontrole doen. Vertrouwen bestaat alleen als er een menselijke "hoofd" is die de AI controleert.

2. Het Huis is al Broos, en AI maakt het nog kwetsbaarder

De cybersecurity-experts zeggen dat de digitale systemen in ziekenhuizen vaak al op een wankel fundament staan. Het is alsof je een oude, houten schuur hebt met veel losse planken, en je probeert daar een zware, dure safe in te zetten.

• De analogie: Ziekenhuissystemen zijn vaak versnipperd (zoals losse legoblokken van verschillende merken die niet goed op elkaar passen). Als je AI toevoegt, moet die AI door al die losse blokken heen werken. Als één blokje los zit (een zwakke plek in de beveiliging), kan een hacker het hele huis binnenkomen.
• De les: Experts verwachten dat er altijd wel ergens een lek is. Het gaat er niet om dat je nooit wordt gehackt, maar om hoe snel en goed je reageert als dat gebeurt. Als een ziekenhuis zegt: "Wij hebben geen lekken," is dat onrealistisch. Als ze zeggen: "Wij weten dat er lekken kunnen zijn en hebben een plan om het schade te beperken," dat is pas vertrouwenwekkend.

3. Vertrouwen is als een Vriendschap, geen Lichte Schakelaar

Je kunt niet zomaar op een knop drukken en zeggen: "Ik vertrouw deze AI." Vertrouwen moet worden opgebouwd, net als een vriendschap.

• De analogie: Stel je voor dat je een nieuwe buurman ontmoet. Je vertrouwt hem niet direct met je huis sleutel. Eerst ziet je hem even de post bezorgen, dan helpt hij je met je tuin. Na maanden van betrouwbare daden begin je hem te vertrouwen.
• De les: Patiënten en dokters vertrouwen AI alleen als ze zien dat het systeem eerlijk werkt, dat fouten worden toegegeven en dat er transparantie is. Als een ziekenhuis geheimzinnig doet over hoe hun AI werkt, is dat als een buurman die zijn raam altijd dicht houdt: je vertrouwt hem niet.

4. De "Slotenmaker" is de Hoeder van het Vertrouwen

De cybersecurity-experts zien zichzelf niet alleen als technici die code schrijven, maar als hoeders van het vertrouwen.

• De analogie: In een groot kasteel zijn de slotenmakers niet alleen daar om de deuren dicht te houden. Ze zijn er ook om de bewoners te leren hoe ze de deuren moeten sluiten, om te controleren of de muren sterk genoeg zijn, en om te zorgen dat er een noodplan is als er toch ingebroken wordt.
• De les: Als een ziekenhuis investeert in goede beveiliging, opleidt en eerlijk is over risico's, zeggen ze eigenlijk: "Wij nemen jullie veiligheid serieus." Dat is wat vertrouwen creëert. Als ze beveiliging zien als een dure last die ze liever niet betalen, verliezen ze het vertrouwen van de patiënten.

Conclusie in één zin

Deze studie zegt dat medische AI pas echt werkt als het ziekenhuis laat zien dat ze verantwoordelijkheid nemen. Het gaat niet om de slimheid van de computer, maar om de wijsheid en eerlijkheid van de mensen die erachter staan. Als het ziekenhuis zijn "digitale sloten" goed onderhoudt en eerlijk is over de risico's, dan durven patiënten en dokters de AI te gebruiken.

Technische samenvatting

Titel: Het Beheren van Vertrouwen in Gezondheids-AI: Een Kwalitatieve Studie naar de Perspectieven van Cybersecurity-professionals

1. Het Probleem en de Context

Artificial Intelligence (AI) wordt steeds meer geïntegreerd in de gezondheidszorg, waarbij de focus vaak ligt op technische prestaties en efficiëntie. Echter, de legitimiteit en het vertrouwen in deze systemen hangen niet alleen af van hun technische vermogen, maar vooral van institutionele governance.

• Gaten in de literatuur: Bestaand onderzoek richt zich voornamelijk op clinicians (artsen) en patiënten. Er is weinig aandacht voor de cybersecurity-professionals die de digitale infrastructuur onderhouden die AI-systemen mogelijk maakt.
• De uitdaging: Gezondheidszorgsystemen zijn vaak gefragmenteerd en kwetsbaar voor datalekken en ransomware-aanvallen. AI-systemen, die afhankelijk zijn van grote datasets, erven deze onderliggende zwaktes over. Bovendien speelt medisch wantrouwen, vaak voortkomend uit structureel racisme en historische onrechtvaardigheden, een cruciale rol in hoe technologie wordt geaccepteerd.
• Kernvraag: Hoe conceptualiseren cybersecurity-professionals AI als klinische infrastructuur en hoe beïnvloeden hun interpretaties het begrip van vertrouwen, risico en toezicht?

2. Methodologie

De studie is een kwalitatief onderzoek gebaseerd op semi-gestructureerde diepte-interviews.

• Theoretisch Kader: Het onderzoek is gebaseerd op Sociotechnical Systems Theory (sociotechnische systeemtheorie) en wetenschappelijke literatuur over institutioneel vertrouwen. Dit kader stelt dat technologie autoriteit verkrijgt door institutionele inbedding en niet alleen door technische prestaties.
• Deelnemers: Er werden 20 cybersecurity-professionals geïnterviewd die werken in domeinen relevant voor de gezondheidszorg, AI, datasystemen of digitale infrastructuur.
  • Demografie: Deelnemers waren voornamelijk jong (65% tussen 25-34 jaar), overwegend Black of African American (80%), en hadden een hoog opleidingsniveau (75% met een master- of professionele graad).
  • Expertise: Ze werkten in diverse gebieden zoals netwerkbeveiliging, cloud security, health informatics en AI/ML.
• Datacollectie: Interviews vonden plaats tussen mei en augustus 2025 via beveiligde videoconferentieplatforms. De interviews duurden 45-60 minuten.
• Analyse: De data werden geanalyseerd met kwalitatieve contentanalyse en constante vergelijking. Twee onderzoekers codeerden de transcripties onafhankelijk in Dedoose, met iteratieve discussies om thema's te verfijnen.

3. Belangrijkste Resultaten (Vier Kernthema's)

De analyse leverde vier onderling verbonden thema's op die het inzicht van cybersecurity-professionals in AI en vertrouwen beschrijven:

Thema 1: AI als versterkte klinische infrastructuur, niet als autonome autoriteit

• Deelnemers zien AI niet als een vervanging voor menselijk oordeel, maar als een hulpmiddel dat klinische capaciteit uitbreidt (bijv. snellere analyse van röntgenfoto's, medicijndistributie).
• Kerninzicht: AI moet functioneren binnen mens-gestuurde systemen. Vertrouwen is afhankelijk van de aanwezigheid van verantwoordelijke menselijke besluitvormers die de output van algoritmen interpreteren. AI wordt gezien als "steigers" (scaffolding) voor klinisch oordeel, niet als de architect.

Thema 2: Fragiele data-ecologieën versterken bestaande kwetsbaarheden

• Gezondheidszorgdata-systemen worden beschreven als gefragmenteerd en kwetsbaar. AI versterkt deze zwaktes omdat het grote hoeveelheden data uit verschillende bronnen integreert.
• Risico's: De-identificatie van data is technisch complex in heterogene systemen. Deelnemers benadrukken dat lekken niet als uitzonderlijke gebeurtenissen worden gezien, maar als verwachte gebeurtenissen.
• Gevolg: Vertrouwen hangt minder af van het volledig elimineren van risico's, maar meer van hoe instellingen schade beperken en verantwoordelijk handelen binnen deze kwetsbare omgevingen.

Thema 3: Voorwaardelijk vertrouwen (Contingent Trust)

• Vertrouwen in AI wordt gezien als gedeeltelijk, voorwaardelijk en afhankelijk van menselijk oordeel over relevantie en betrouwbaarheid.
• Beperkingen: Deelnemers wijzen op risico's zoals "hallucinaties" (foutieve output), over- en onderdiagnose, en het gebrek aan training op nieuwe ziektebeelden.
• Conclusie: Vertrouwen is relationeel en cumulatief; het wordt opgebouwd over tijd door transparantie en consistente prestaties, niet automatisch bij implementatie.

Thema 4: Governance van AI-risico's door cybersecurity-stewardship

• Cybersecurity-professionals zien hun rol niet alleen als technisch handhaver, maar als institutionele stewardship (toezicht).
• Strategieën:
  • Security by Design: Beveiliging moet vanaf het begin in het systeemontwerp worden geïntegreerd.
  • Continue monitoring: Penetratietests en herbeoordeling moeten continu plaatsvinden, niet eenmalig.
  • Opleiding: Het bewust maken van klinisch personeel en bestuurders over digitale risico's is essentieel.
  • Gelaagde beveiliging: Encryptie en toegangscodes dienen als laatste verdedigingslinie om schade te beperken bij een lek.

4. Kernbijdragen

• Verschuiving in perspectief: Het onderzoek verlegt de focus van technische prestaties van AI naar de institutionele governance en de rol van cybersecurity-professionals bij het bouwen van vertrouwen.
• Conceptueel Model: De auteurs presenteren een model (Fig 1.2) dat laat zien hoe institutionele governance, risicobeheer en responsiviteit de vorming van vertrouwen in gezondheids-AI bepalen.
• Definitie van Stewardship: Het definieert cybersecurity in de gezondheidszorg als een fundamentele infrastructuur die direct bijdraagt aan institutioneel vertrouwen, in plaats van een optionele kostenpost.

5. Betekenis en Implicaties

• Institutioneel Verantwoordelijkheid: De geloofwaardigheid van AI-systemen is onlosmakelijk verbonden met de reputatie en het vermogen van de instelling om risico's te beheren. In een context van historisch wantrouwen (bijv. door raciale ongelijkheid) is zichtbare accountability cruciaal.
• Beleid en Praktijk: Organisaties moeten cybersecurity niet als reactief zien, maar als proactief onderdeel van het ontwerp (Responsible Innovation). Governance moet worden ingebed in het systeemontwerp in plaats van achteraf worden opgelegd.
• Toekomstig Onderzoek: Er is behoefte aan longitudinaal onderzoek om te zien hoe deze governance-praktijken het daadwerkelijke vertrouwen van patiënten beïnvloeden, aangezien dit onderzoek zich beperkt tot de perspectieven van professionals.

Conclusie:
De studie concludeert dat vertrouwen in gezondheids-AI niet ontstaat door technische perfectie, maar door institutionele governance die verantwoordelijkheid, transparantie en het vermogen om met kwetsbaarheden om te gaan, demonstreert. Cybersecurity-professionals spelen hierin een centrale rol als hoeders van dit vertrouwen.