Inhoudsopgave

Wat is de geldende wet- en regelgeving bij medische informatietechnologie?

Praktijkvraag 13

Wat is de geldende wet- en regelgeving bij medische informatietechnologie?

De wet- en regelgeving van medische hulpmiddelen is Europees geregeld met het oog op de vrije handelszone binnen de Europese Unie. Deze wet- en regelgeving wordt door de lidstaten van de Europese Unie overgenomen in de nationale wet- en regelgeving. Medische hulpmiddelen die op de markt worden gebracht moeten, behoudens een tweetal in de wet vastgelegde uitzonderingen, zijn voorzien van een CE-markering.

Algemene wetgeving

Met deze CE-markering geeft een fabrikant aan dat het product aan de gestelde essentiële eisen in de wet- en regelgeving voldoet en dat de vereiste conformiteitsprocedures zijn gevolgd. Tevens worden er aan de fabrikant eisen gesteld over post market surveillance en vigilance. In Nederland kennen we de Wet op de medische hulpmiddelen, die is uitgewerkt in een drietal besluiten en daarop gebaseerde richtlijnen, te weten:

  • Richtlijn medische hulpmiddelen (93/42/ EEG)
  • Richtlijn actieve implanteerbare medische hulpmiddelen (90/385/EEG)
  • Richtlijn in vitro diagnostiek (98/79/EEG) In de Wet op de medische hulpmiddelen is vastgelegd dat het gebruik van medische hulpmiddelen die niet als zodanig op de markt zijn gebracht, is verboden. Een dergelijke situatie wordt beschouwd als een economisch delict.

Een zorginstelling die in eigen beheer een medisch hulpmiddel maakt, valt niet onder de Wet op de medische hulpmiddelen zolang het dat medische hulpmiddel niet op de markt brengt. Onder het op de markt brengen valt ook het zonder vergoeding ter beschikking stellen aan een andere partij (andere juridische entiteit).

Ook als een zorginstelling zelf een medisch hulpmiddel maakt moet uiteraard aan bepaalde kwaliteitseisen worden voldaan. Formeel zijn hier geen concrete eisen voor opgesteld maar een zorginstelling is wel gehouden aan de Wet kwaliteit, klachten en geschillen zorg (Wkkgz). Deze bepaalt dat een zorgaanbieder zich van zodanige middelen moet bedienen dat deze redelijkerwijs moeten leiden tot het verlenen van goede zorg. Bovendien wordt het ziekenhuis in het kader van de Richtlijn productaansprakelijkheid (Richtlijn 85/374/EEG) in een dergelijke situatie als fabrikant beschouwd en is zij aansprakelijk voor eventuele veiligheidsgebreken.

Het komt er in de praktijk dan ook feitelijk op neer dat een medisch hulpmiddel dat door een zorginstelling wordt gemaakt aan dezelfde essentiële eisen moet voldoen als een medisch hulpmiddel dat door een fabrikant op de markt gebracht wordt. Het medisch hulpmiddel moet dus CE-waardig zijn zonder dat het een CE-markering hoeft te hebben. De huidige MDD wordt vervangen door de MDR (Medical Device Regulation), er is momenteel sprake van een overgangssituatie.

Wat zijn de belangrijkste wijzigingen bij de overgang van MDD naar MDR?

In september 2012 is een voorstel gepubliceerd voor een nieuwe Europese Verordening Medische Hulpmiddelen (MDR) om de huidige Medical Device Directive (MDD) te vervangen.

In april 2017 heeft het Europese Parlement dit voorstel is aanvaard. Op 26 mei 2017 is de MDR van kracht geworden in alle lidstaten van de Europese Unie en deze MDR moet worden overgenomen in de nationale weten regelgeving. In de MDR worden de oude Richtlijn medische hulpmiddelen (93/42/EEG) en de Richtlijn actieve implanteerbare medische hulpmiddelen (90/385/EEG) samengevoegd.

 

Daarnaast is op dezelfde datum de IVDR voor in vitro diagnostiek medische hulpmiddelen van kracht geworden. Er is sprake van een overgangstermijn van drie jaar voor de MDR en van vijf jaar voor de IVDR. Producten die onder de MDD voor 26 mei 2020 op de markt worden gebracht, mogen nog tot 26 mei 2025 worden verkocht. Voor MDR IVD producten is dat 26 mei 2027. Klasse 1 medische hulpmiddelen moeten vanaf 26 mei 2020 (MDR) aan de nieuwe eisen voldoen. De MDR bevat aanvullende en nieuwe eisen voor fabrikanten en Notified Bodies maar ook nieuwe eisen voor zorginstellingen. Zo is in de MDR een bepaling opgenomen omtrent 'home brew medical devices’. Op grond van deze bepaling mogen zorginstellingen onder de MDR alleen nog zelf medische hulpmiddelen maken als deze hulpmiddelen met de vereiste prestatie niet op de markt verkrijgbaar zijn. De zelfgemaakte medische hulpmiddelen moeten voldoen aan general safety and performance requirements; afwijkingen daarvan moeten worden onderbouwd.

 

Daarnaast moet het ontwerp adequaat gedocumenteerd worden (technisch dossier) en moet de instelling over een passend kwaliteitssysteem beschikken.

Welke normen zijn relevant voor de onderwerpen in deze praktijkgids?

Een fabrikant van een medisch hulpmiddel moet conformiteit met de essentiële eisen uit de richtlijn, de zogenaamde general safety and performance requirements, kunnen aantonen.

Voor veel onderwerpen zijn er specifieke geharmoniseerde normen beschikbaar waarvoor geldt dat wanneer conformiteit met de betreffende norm wordt aangetoond, verondersteld wordt dat aan de gestelde essentiële eisen voor dat specifieke onderwerp wordt voldaan. Geharmoniseerde normen zijn normen die door de Europese Commissie zijn gemandateerd. Dergelijke normen krijgen dan de toevoeging EN (Europese Norm). De betreffende norm kent dan in Nederland de toevoeging NEN-EN. Veel geharmoniseerde normen vinden hun oorsprong bij de ISO of de IEC. Zo zijn er duizenden normen op allerlei gebieden voor onder andere medische apparatuur, IT-systemen, IT-netwerken, informatiebeveiliging, kwaliteitssystemen en risicomanagement. Hieronder geven we enkele voorbeelden, waarbij we opmerken dat normen regelmatig gereviseerd worden het dus raadzaam is om de site van de NEN te raadplegen voor de meest recente normen:

  • IEC 60601: normenreeks voor medischelektrische apparatuur;
  • IEC 62304: medical device software development lifecycle;
  • ISO 13485: kwaliteitsmanagementsysteem.

 

Eisen voor het ontwerp, fabricage, service en onderhoud van medische hulpmiddelen;

  • ISO 9001: kwaliteitsmanagementsysteem;
  • ISO 14971: 2012. Toepassing van risicomanagement bij medische hulpmiddelen.
  • IEC/TR 80001: Application of risk management for IT-networks incorporating medical devices - Part 1: Roles, responsibilities and activities;
  • IEC/TR 80002-1 Medical device software - Part 1: Guidance on the application of ISO 14971 to medical device software;
  • NEN 7510 Informatiebeveiliging in de zorg.

 

Naast eisen op het gebied van informatiebeveiliging gelden als, er gegevens worden uitgewisseld, de Wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg en de Wet gebruik burgerservicenummer in de zorg. Voor de basis van zorgverlening geldt de Wet op de geneeskundige behandel overeenkomst (WGBO) en ten aanzien van persoonsgegevens en privacy is met ingang van 25 mei 2018 de Algemene verordening gegevensbescherming (AVG) van toepassing. Vanaf die datum geldt dezelfde privacywetgeving in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp)

geldt dan niet meer. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR).

Wat verandert er onder meer voor organisaties:

 

Op de website van de Autoriteit Persoonsgegevens is meer informatie over de AVG te vinden. Verder kennen we nog diverse richtlijnen, veldnormen en praktische handvatten over de toepassing van medische technologie (in brede zin) die zijn opgesteld door bijvoorbeeld beroepsverenigingen of werkgeversorganisaties, zoals het WINT2.0 rapport van de Koepel Medische Technologie en het Convenant van NVZ, NFU en RN.

Wet- en regelgeving

Geintegreerde software in een apparaat

Software die geïntegreerd is in een apparaat en nodig is voor de werking ervan – de zogenaamde embedded software –, valt onder dezelfde Richtlijn medische hulpmiddelen als het betreffende apparaat. In een van de praktijkvoorbeelden in deze gids, het ECG-apparaat, fietsergometer en de software is dit de 93/42/EEG (met name relevant voor de fabrikant). Relevant voor de zorginstelling zijn:

ISO 14971 en de NEN 7510/ ISO 27001.

 

 

Standalone software
Software die valt onder de definitie van een medisch hulpmiddel moet voldoen aan de essentiële eisen uit de betreffende Richtlijn medische hulpmiddelen. Dergelijke software wordt beschouwd als een actief medisch hulpmiddel. Standalone software die gebruikt wordt in de gezondheidszorg kent zeer veel verschijningsvormen. Dit maakt het soms lastig om te beoordelen of bepaalde software al dan

niet onder de MDD valt. De Meddev 2.1.6 is een Europese richtlijn bedoeld als ondersteuning bij deze beoordeling. Het IMDRF-document Standalone Medical Device Software heeft een vergelijkbare functie. Heel algemeen gesteld en alleen ter indicatie kun je uit genoemde documenten afleiden dat software die alleen dient voor opslag en transport van data op zich geen medisch hulpmiddel is. Zodra er echter sprake is van een bewerking of interpretatie van data met als doel om daar bijvoorbeeld diagnostiek of therapie mee uit te voeren gaat het meestal om een medisch hulpmiddel. Het PACS uit het praktijkvoorbeeld valt onder de 93/42/EEG (met name relevant voor de fabrikant). Relevant voor de zorginstelling zijn: ISO 14971 en de NEN 7510/ISO 27001. Wanneer in eigen beheer de software wordt aangepast zijn ook de IEC 62304 en de IEC/TR 80002-1 relevant.

 

Medische systemen

Een medisch systeem is de combinatie van een medisch apparaat, niet-medisch apparaat en IT-infrastructuur die samen tot één functioneel geheel worden gevormd. Als een dergelijk systeem door een fabrikant als één geheel wordt geleverd dan valt dit vanuit de regelgeving onder geïntegreerde software in een medisch apparaat zoals hierboven reeds beschreven. Wanneer een zorginstelling zelf medische apparatuur, nietmedische apparatuur en IT-componenten aan elkaar koppelt, is de zorginstelling zelf verantwoordelijk voor het goed, betrouwbaar en veilig functioneren van het medische systeem.

Het medisch apparaat zelf moet voldoen aan de eisen uit de betreffende Richtlijn 93/42/EEG. Voor de IT-componenten gelden ook specifieke normen waaraan moet worden voldaan zoals de EMC-richtlijn 2014/30/EU.

Het IT-netwerk en het informatiesysteem moeten voldoen aan de NEN 7510/ ISO 27001 norm voor informatiebeveiliging. Om een goede, betrouwbare en veilige keten te realiseren is een gedegen risicoanalyse een vereiste, daarvoor zijn de ISO 14971 en de ISO 80001 reeks normen en richtlijnen relevant, als ook de IEC 60601-1-8.

 

Zelfbouw van software

Voor ontwikkeling van software zijn relevant de IEC 62304, de ISO 14971 en de IEC/TR 80002-1 en ten slotte ook weer de NEN 7510/ ISO 27001.