Medische hulpmiddelen (ook software!): bestaande wetgeving (AVG), nieuwe wetgeving per vandaag (MDR & Wmh) en alvast een voorzichtige vooruitblik op toekomstige AI-wetgeving

26/05/'21 - Sinds vandaag geldt nieuwe Europese wetgeving voor medische hulpmiddelen (Medical Devices Regulation (MDR)). Door Corona treedt de MDR een jaar later dan gepland in werking. De MDR vervangt de Medical Devices Directive (MDD). Ook verandert per vandaag de Wet medische hulpmiddelen (Wmh), omdat de MDR daarin doorwerkt.  

De MDR ziet op medische hulpmiddelen: van rolstoelen tot MRI-scanners, van heupimplantaten tot rimpelvullers. Maar ook software, gezondheidsgerelateerde apps en het elektronisch patiëntendossier vallen (mogelijk) onder deze nieuwe wetgeving. Software is namelijk een medisch hulpmiddel als de fabrikant de software heeft gemaakt om medisch te worden gebruikt. Het woord ‘fabrikant’ moet overigens niet letterlijk worden genomen; ook een ontwikkelaar van een softwaresysteem kan fabrikant zijn.   

Voor software brengt de MDR een aantal belangrijke wijzigingen met zich mee. Ten eerste verandert de definitie van medisch hulpmiddelen. Bepaalde medische software die eerst niet onder de MDD en de Wmh viel, valt nu wel onder de MDR en de nieuwe Wmh. Zo sprak de definitie medische hulpmiddelen in de MDD niet over het voorspellen van een ziekte of een beperking of het stellen van een diagnose. Dat staat nu wel in de MDR. Ten tweede zijn de classificatiecriteria van de risicoklassen aangepast. In het eerdere wettelijke regime viel software in de laagste risicoklasse (klasse I), maar onder de nieuwe wetgeving kan dezelfde software in een hogere risicoklasse vallen. Dat geldt bijvoorbeeld voor beslissingsondersteunende software voor diagnostische of therapeutische doelen. Het gevolg van een hogere classificatie is dat de software moet worden beoordeeld door een aangemelde instantie (notified body). Die instantie geeft vervolgens het benodigde CE-certificaat af. Een CE-markering geeft aan of een product aan de wettelijke eisen voldoet. Krijgt het product geen CE-markering, dan mag het niet op de markt verschijnen. Door de aangepaste wetgeving dienen veel medische hulpmiddelen opnieuw te worden gecertificeerd. Ten derde moeten ontwikkelaars van software ook rekening houden met nieuwe bijzondere eisen zoals: (i) software moet goed en betrouwbaar zijn als het samen met andere hulpmiddelen of producten wordt gebruikt; (ii) software moet ontwikkeld zijn volgens ‘state of the art’ (de ontwikkelaar moet rekening houden met risico’s en informatiebeveiliging) en (iii) er moet gedetailleerde informatie komen over het ontwerp en methode waarop gegevens worden geanalyseerd. Als laatste gelden strengere minimumeisen voor de gegevens in de gebruiksaanwijzing. Voor software ziet dit op informatie die nodig is om de software overeenkomstig het beoogde doeleinde te gebruiken, zoals informatie over hardware, eigenschappen van IT-netwerken en IT-beveiligingsmaatregelen, waaronder bescherming tegen ongeoorloofde toegang.  

De nieuwe wetgeving raakt overigens niet alleen de fabrikanten. Voor zorginstellingen, importeurs en distributeurs geldt dat zij moeten controleren of een medisch hulpmiddel aan de veiligheids- en kwaliteitseisen voldoet. Daarnaast moeten importeurs en distributeurs de bevoegde autoriteit – in Nederland de Inspectie Gezondheidszorg en Jeugd (IGJ) – gaan informeren als zij denken dat een hulpmiddel niet aan de regels voldoet. Zorginstellingen (zoals ziekenhuizen) moeten er ook voor zorgen dat hun keten aan medische apparaten niet wordt verstoord indien een van de ketens geen CE-certificaat krijgt. Voor zorgverzekeraars gelden strengere eisen voor medische hulpmiddelen die zij intern maken. En voor patiënten brengt de nieuwe wetgeving juist een positieve verandering met zich mee. Zij krijgen net als zorgprofessionals toegang tot een Europese databank (EUDAMED) waardoor zij informatie kunnen vinden over medische hulpmiddelen op de Europese markt. Met als gevolg dat zij een betere keuze kunnen maken voor een medisch hulpmiddel.  

AVG

Als het over medische hulpmiddelen gaat, zijn niet enkel de MDR en de Wmh relevant. Ook de Algemene Verordening Gegevensbescherming (AVG) is van belang. Waar de MDR en Wmh zorgen voor extra fysieke en procesmatige veiligheid, zorgt de AVG voor de veiligheid van persoonsgegevens. Het overgrote deel van medische hulpmiddelen (zeker als het gaat om software) maakt gebruik van persoonsgegevens en moeten dus voldoen aan de AVG. Uit de AVG volgt onder andere dat persoonsgegevens met passende organisatorische en technische maatregelen moeten worden beveiligd. Voor de zorgsector heeft de Autoriteit Persoonsgegevens (AP) bepaald wat de beveiligingsstandaarden zijn. Er mogen bijvoorbeeld niet meer persoonsgegevens worden verwerkt dan noodzakelijk is voor het doel van de software en er moet worden gezorgd dat derden niet zomaar bij de gegevens kunnen. Fabrikanten en dus ook ontwikkelaars van software moeten ervoor zorgen dat die beveiliging kan worden gerealiseerd.  

 AI Regulation

Tot slot zal het geen verrassing zijn, maar veel medische hulpmiddelen maken gebruik van kunstmatige intelligentie (AI). Gedacht kan worden aan apparatuur met algoritmes voor beeldherkenning bij hartdiagnostiek en aan tools die worden gebruikt voor prognoses bij longontsteking en besluitvorming over ic-opname. Ook wordt AI gebruikt bij analyse van gegevens uit bevolkingsonderzoek en kennisbanken evenals bij het voorspellen van postoperatieve complicaties bij operaties. De vogelvlucht die AI heeft genomen in de medische wereld gaat gepaard met belangrijke vraagstukken over (gebruik van) data, (bias van) algoritmes, privacy(recht) en ethische onderwerpen. De nieuwe MDR en de nieuwe Wmh geven echter onvoldoende aanknopingspunten om die vraagstukken te kunnen beantwoorden. De toekomstige wetgeving over AI zal eerder uitkomst bieden.  

Op woensdag 21 april 2021 publiceerde de Europese Commissie het voorstel voor de regulering van AI. Deze wetgeving kan van grote impact zijn op ontwikkelaars en gebruikers van 'hoog-risico' systemen. Die moeten namelijk aan veel strengere regels voldoen rond risicobeoordelingen, datakwaliteit, documentatie, transparantie, menselijke tussenkomst en eisen rond veiligheid en accuraatheid. Medische apparaten vallen in dat 'hoog-risico' systeem. Ook sommige eHealth-applicaties zullen in de hoogste categorie vallen, omdat bepaalde software van die applicaties kwalificeren als medisch apparaat.  

Voordat deze AI-wetgeving inwerking treedt, zijn we jaren verder. Desalniettemin is het nu het moment om voorbereidingen te treffen voor uw product en/of organisatie. Voor het treffen van voorbereidingen met betrekking tot de MDR en de nieuwe Wmh bent u echter al te laat. Voor een check aan het voldoen aan de juiste wet- en regelgeving (dus ook nog aan de AVG), is het alleen nooit te laat.