Home / Nieuws & Blogs / De Medical Device Regulation & privacy #1: hoe zat het ook alweer?

De Medical Device Regulation & privacy #1: hoe zat het ook alweer?

| 11 september 2020

Van corona-app tot smartwatches die hartproblemen kunnen herkennen: bij het stellen van diagnoses en het behandelen van patiënten wordt steeds vaker software gebruikt. En waar software wordt gebruikt, worden (vaak) persoonsgegevens verwerkt en zal de fabrikant dus moeten voldoen aan de regels die worden voorgeschreven vanuit de Algemene verordening gegevensbescherming (AVG). Wanneer de fabrikant de software heeft gemaakt om medisch te worden gebruikt, dient deze als ‘medisch hulpmiddel’ ook te voldoen aan andere Europese wetgeving. Dit betekent onder andere dat de fabrikant een traject moet doorlopen om het hulpmiddel CE te markeren. In deze blogserie gaan we in op de veranderingen die de Verordening medische hulpmiddelen teweegbrengt, de verhouding met privacy en hoe beide op hun eigen manier bijdragen aan de patiëntveiligheid.

Steeds strengere wetgeving

De zorgsector is gebonden aan strenge en complexe wetgeving. Eén onderdeel daarvan is dat medische hulpmiddelen moeten voldoen aan de Wet op de medische hulpmiddelen, de implementatie van de Europese Richtlijn medische hulpmiddelen. Deze is inmiddels, net als de Gegevensbeschermingsrichtlijn, vervangen door een verordening. Zodoende zou per 26 mei 2020 de Verordening medische hulpmiddelen (Medical Device Regulation of MDR) van toepassing zijn. Vanwege de coronacrisis is deze ingangsdatum echter één jaar opgeschoven, waardoor men meer tijd heeft om zich voor te bereiden.

De MDR verscherpt de bestaande regels voor fabrikanten van medische hulpmiddelen, voor zorginstellingen en voor importeurs en distributeurs. Een aantal veranderingen:

  • De definitie van ‘medisch hulpmiddel’ wordt aangescherpt. Hierdoor zal een breder scala aan software voortaan als medisch hulpmiddel worden aangemerkt. Software die een ziekte of beperking kan voorspellen of een diagnose kan stellen is aan de definitie toegevoegd.
  • De MDR voegt een classificatieregel toe voor actieve medische hulpmiddelen. Software wordt als actief hulpmiddel beschouwd. Hierdoor zal software sneller in een hogere risicoklasse vallen, waardoor een beoordeling door een externe partij, een zogenaamde notified body noodzakelijk is.
  • De verordening breidt de registratieverplichting en het uitvoeren van een klinische evaluatie uit. Alle medische hulpmiddelen krijgen voortaan een unieke identificatiecode en zullen worden opgenomen in een database.
  • Voor zorginstellingen, importeurs en distributeurs geldt dat zij moeten controleren of een medisch hulpmiddel aan alle toepasselijke vereisten voldoet.

Ook de regels omtrent het verkrijgen van een CE-markering worden verscherpt. Alle soorten medische hulpmiddelen moeten aan veiligheids- en kwaliteitseisen voldoen. Zonder CE-markering mag een medisch hulpmiddel niet worden aangeboden op de Europese markt. Om deze eisen te borgen, zal (veel) meer getest moeten worden en zal van fabrikanten worden verlangd dat zij bijvoorbeeld een post market surveillance plan schrijven. Voor certificaten die zijn uitgegeven onder de richtlijn is een overgangsregime vastgesteld, met zes verschillende verloopdata voor verschillende hulpmiddelen.

Fabrikanten van medische hulpmiddelen kunnen aantoonbaar aan de (nieuwe) wetgeving voldoen middels een ISO 134850-certificering. In Nederland beter bekend als de NEN-EN-ISO13485:2016. Dit wordt door een notified body uitgevoerd voordat een CE-markering mag worden aangebracht. De norm ziet op de wijze waarop kwaliteitsmanagementsystemen van medische hulpmiddelen moeten worden ingericht en bijgehouden. Hoewel hiervoor meer inspanning is vereist dan voor diens niet-medische broertje ISO 9001, is het voordeel dat hiermee de betrouwbaarheid van het medisch hulpmiddel wordt verhoogd en dat patiëntveiligheid wordt geborgd. Ook wordt hiermee de volledige Europese markt opengesteld.

Inventariseren, afspraken maken en verantwoording afleggen

Zorginstellingen moeten zich ervan kunnen blijven verzekeren dat de medische hulpmiddelen die zij hebben ingekocht, veilig blijven. Het kan zijn dat huidige CE-certificaten verlopen, en dat ingekochte medische hulpmiddelen niet meer beschikbaar zullen zijn. Is het hulpmiddel door de zorginstelling ‘in huis’ vervaardigd, dan gelden deze regels niet, enkel als zij op de markt zijn of worden gebracht. Software zal sneller als medisch hulpmiddel worden gekwalificeerd. Om te voorkomen dat deze (tijdelijk) van de markt wordt gehaald, is het voor fabrikanten aan te raden om zo snel mogelijk de certificeringsprocedure te starten.

Nu de definitie van ‘medisch hulpmiddel’ wordt verbreed, is een eerste logische stap om te inventariseren welke medische hulpmiddelen binnen de organisatie worden gebruikt, en wanneer het CE-certificaat afloopt. Daarnaast is de kans groot dat meer software onder de nieuwe definitie gaat vallen en verplicht wordt om aan de veiligheids- en kwaliteitseisen van de MDR dient te voldoen. Zodra de software informatie levert die een medische beslissing ondersteunt, is de verordening van toepassing. Systemen die louter gebruikt worden voor communicatieve doeleinden, zoals een veilig mailen tool, vallen niet onder de MDR, maar wel onder de AVG, aangezien daarin ook (bijzondere) persoonsgegevens worden verwerkt. Partijen zullen in beide gevallen ook moeten voldoen aan de regels die worden voorgeschreven vanuit de AVG. Hierbij is het verwerkingsregister een goed startpunt. Een volledig verwerkingsregister bevat een overzicht van waarvoor de software wordt gebruikt, welke persoonsgegevens erin worden verwerkt, wat de verwerkingslocatie is, en of er al een verwerkersovereenkomst is gesloten. Naar buiten toe dient hierover te worden geïnformeerd in bijvoorbeeld een privacyverklaring. Worden er op grote schaal bijzondere, namelijk medische persoonsgegevens verwerkt? Dan is het verplicht om een Functionaris Gegevensbescherming aan te stellen. Dit geldt zowel voor een zorginstelling als verwerkingsverantwoordelijke, als voor een fabrikant of softwareontwikkelaar als verwerker. Behoefte aan een uitgebreide AVG compliance check? Neem dan contact op met één van onze specialisten.


 Op de website stellen we een gratis factsheet beschikbaar over software als een medisch hulpmiddel. Ontvangt u de factsheet liever als PDF? Vraag deze aan via info@ictrecht.nl