Hoewel er al een behoorlijk aantal verplichtingen komen kijken bij het ontwikkelen van medische software op grond van de Medical Device Regulation (MDR), die vanaf mei 2021 van toepassing is, zijn dit niet de enige verplichtingen die de fabrikant in acht moet nemen. Het overgrote deel van alle softwareoplossingen in de zorg maakt gebruik van persoonsgegevens en zullen dus moeten voldoen aan de regels die worden voorgeschreven vanuit de Algemene verordening gegevensbescherming (AVG). Maar wat betekent dit nu concreet voor een ontwikkelaar van software als medisch hulpmiddel? In deze blog geven we u een aantal aandachtspunten uit de MDR en AVG waarmee u rekening moet houden bij de ontwikkeling en instandhouding van medische software.
Eisen op grond van de MDR
Fabrikanten, maar ook zorginstellingen kunnen medische software ontwikkelen en op de markt brengen. Het belang van een CE-markering voor medische software is duidelijk: niet CE-gemarkeerde medische software mag door zorgaanbieders niet worden gebruikt. De MDR beschrijft waaraan ontwikkelde medische hulpmiddelen moeten voldoen. Een aantal van deze eisen zijn:
- De eerste algemene eis is dat het medische hulpmiddel correct en veilig functioneert en onder normale omstandigheden geschikt is voor het beoogde doel.
- De fabrikant moet de software ontwikkelen in overeenstemming met de stand van de techniek, rekening houdend met de ontwikkelprocessen van software en risicomanagement.
- De fabrikant moet een klinische evaluatie uitvoeren bij de ontwikkeling van medische software en de bijbehorende documenten de gehele lifecycle van de software up-to-date houden.
- De fabrikant moet gedurende de gehele lifecycle van de software risicomanagement bijhouden.
- Dit risicomanagement kan worden bijgehouden in het verplichte kwaliteitsmanagementsysteem wat de fabrikant moet opzetten en in stand houden gedurende de gehele lifecycle van de software.
Als een fabrikant medische software op de markt wil brengen, moet hij bewijzen dat hij aan al deze eisen voldoet. Het post-market surveillance plan bevat een aantal activiteiten die de fabrikant moet uitvoeren om ervoor te zorgen dat hij aan alle eisen blijft voldoen. Het belang van het monitoren van de kwaliteit van medische software is van groot belang, aangezien een garantie op foutloze software (haast) niet bestaat.
Een praktische invulling
Om invulling te geven aan bovenstaande verplichtingen zijn er geharmoniseerde normen ontwikkeld. Dat wil zoveel zeggen dat wanneer deze norm geïmplementeerd is, er wordt verondersteld dat er aan de eisen voor dat specifieke onderwerp is voldaan. Een voorbeeld: voor de ontwikkeling van medische software is de IEC 62304 (in Nederland bekend onder de noemer: NEN-EN-IEC 62304/A1) van belang. De norm bevat regels voor de ontwikkeling en het onderhoud van medische software. De norm volgt het watervalmodel, maar ook andere ontwikkelmethoden zoals Agile kunnen toegepast worden. Door het volgen van deze norm kunnen fouten in het ontwikkelproces tijdig gedetecteerd worden wat leidt tot minder fouten in de software.
Zo zijn er meer normen en handreikingen die een meer praktische invulling geven aan de eisen uit de MDR. Zoals de ISO13485 welke ziet op de inrichting en het bijhouden van een kwaliteitsmanagementsysteem.
Eisen op grond van de AVG
Naast de CE-markering speelt de beveiliging van medische data een belangrijke rol. Als fabrikant zal je ook rekening moeten houden met de vereisten uit de AVG. Uit de AVG volgt dat persoonsgegevens met passende organisatorische en technische maatregelen beveiligd moeten worden. Binnen de zorgsector beschouwt de Nederlandse privacytoezichthouder Autoriteit Persoonsgegevens de NEN7510 en NEN7513 als ‘passend’, dat wil zeggen als algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging in de zorg. Het is belangrijk dat de fabrikant in de ontwikkelfase maatregelen heeft genomen om een juist niveau van beveiliging te realiseren. Zo moet er rekening worden gehouden met het beginsel dataminimalisatie; er mogen niet meer persoonsgegevens worden verwerkt dan noodzakelijk voor het doel van de software en er dienen securitypatches en audits uitgevoerd te worden die ongewilde toegang van derden voorkomen.
Leg vast in de verwerkersovereenkomst!
Wanneer de software eenmaal op de markt wordt gebracht, zal met afnemers ook een verwerkersovereenkomst gesloten moeten worden. De praktijk leert dat zorginstellingen er de voorkeur aan geven om het model verwerkersovereenkomst van de Brancheorganisaties Zorg te gebruiken. Fabrikanten dienen er rekening mee te houden dat zij alle waarborgen kunnen bieden die de zorginstelling van hen eist in deze verwerkersovereenkomst. Certificeringen, waaronder een NEN7510, -7512 of 7513 of een ISAE3402-verklaring zijn dan welkom.
Fabrikanten moeten zich realiseren dat de software die zij ontwikkelen invloed kan hebben op de behandeling van een patiënt en dat daarvoor een CE-markering nodig is. Een CE-markering biedt geen garantie op foutloze software, maar zegt wel iets over het gevolgde ontwikkelproces en de aanwezige bewijsvoering.
Wenst u advies over hoe u software als een medisch hulpmiddel kunt ontwikkelen, in lijn met de nieuwe wetgeving? Neem dan contact op via info@ictrecht.nl.
Op de website stellen we een gratis factsheet beschikbaar over software als een medisch hulpmiddel. Ontvangt u de factsheet liever als PDF? Vraag deze aan via info@ictrecht.nl.