Aansprakelijkheid van de zorginstelling bij medische software

Sinds de commotie rondom de PIP-implantaten is de aansprakelijkheid voor medische hulpmiddelen voor alle partijen in het zorgdomein een belangrijk aandachtspunt geworden. Door het toenemende gebruik van software in de zorgsector rijst al snel de vraag naar aansprakelijkheid voor medische software. Vanwege de grote risico’s, moet medische software aan aanzienlijk strengere wettelijke eisen voldoen dan software zonder medische scope. Denk hierbij aan de verplichte goedkeuring of certificering van medische software. Niet alleen fabrikanten lopen het risico op een hoge aansprakelijkheidsclaim, maar ook zorginstellingen die de software inzetten voor het leveren van de zorg lopen het risico om aansprakelijk gesteld te worden. In deze blog gaan we in op de verschillende gronden waarop er aansprakelijkheid voor zorginstellingen kan bestaan en welke maatregelen iedere zorginstelling zou moeten nemen om de verschillende aansprakelijkheidsrisico’s te beperken.

Het juridisch kader

De bepalingen over de verdeling aan aansprakelijkheid bij medische software zijn erg verdeeld. Om een juridisch kader omtrent aansprakelijkheid bij medische software te schetsen moet de zorginstelling in ieder geval rekening houden met:

  • de bepalingen over productaansprakelijkheid voor aansprakelijkheid wegens gebrekkige producten;
  • de wet op de geneeskundige behandelingsovereenkomst (WGBO) en de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) voor aansprakelijkheid als gevolg van een tekortkoming in de op de zorginstelling rustende zorgplicht;
  • de Algemene verordening gegevensbescherming (AVG) voor aansprakelijkheid als gevolg van datalekken en/of cyberaanvallen; en
  • de wetgeving over medische hulpmiddelen die als basis dient voor alle medische software.

Productaansprakelijkheid

Het aansprakelijkheidsrecht kent grofweg een scheiding tussen schuldaansprakelijkheid en risicoaansprakelijkheid. Productaansprakelijkheid is een categorie binnen de risicoaansprakelijkheid. Volgens de Europese regels over productaansprakelijkheid is de fabrikant aansprakelijk voor schade zonder dat de gebruiker van de gebrekkige software de schuld van de fabrikant hoeft aan te tonen (op grond van artikel 6:185 van het Burgerlijk Wetboek, de UsedSoft-uitspraak en het Beeldbrigade-arrest wordt in de literatuur geconcludeerd dat productaansprakelijkheid ook geldt voor softwarediensten). Wel moet de gebruiker aantonen dat de medische software gebrekkig is en dat er een causaal verband bestaat tussen het gebrek en de schade.

In drie situaties kan ook de zorginstelling worden aangesproken op grond van de regels voor productaansprakelijkheid. Ten eerste is de zorginstelling aansprakelijk voor het gebruik van een gebrekkig medisch hulpmiddel indien de hulpverlener niet de zorg van een goed hulpverlener in acht heeft genomen of wanneer hij de software buiten het beoogd doel van de software heeft gebruikt. Bij dit laatste is het zelfs mogelijk dat de zorginstelling wordt aangemerkt als de fabrikant van de software! Ten tweede wordt de zorginstelling als fabrikant aangemerkt als zij de software zelf ontwikkelen en vermarkten (lees voor meer informatie hierover deze blog en dit factsheet). Ten slotte kan de patiënt ook de zorgaanbieder aanspreken als niet bekend is wie de fabrikant van de software is.

WGBO & WKKGZ

In de WGBO en Wkkgz zijn bepalingen opgenomen over de kwaliteit van zorg verleend door zorginstellingen. De wet bevat verplichtingen voor de individuele hulpverlener om zich te gedragen als ‘goed hulpverlener’ en om ‘goede zorg’ te verlenen. Uit de verplichting om ‘goede zorg’ te leveren vloeit voort dat een zorginstelling de veilige toepassing van de medische software moet garanderen.

Het mag duidelijk zijn dat de hulpverlener als ‘goed hulpverlener’ en in het kader van het verlenen van ‘goede zorg’ geen hulpmiddel mag gebruiken zonder CE-markering. In dit kader wordt er van de zorginstelling een grote mate van zorgvuldigheid geëist. Praktisch gezien komt dit erop neer dat de zorginstelling niet alleen de aanwezigheid van een CE-markering moet controleren, maar ook inhoudelijk naar de stukken van de fabrikant moet kijken. Denk aan eerdere gebruikerservaringen, meldingen van incidenten en natuurlijk het controleren van de aanwezigheid van alle benodigde certificeringen.

AVG en cybersecurity

Tot nu toe hebben we het enkel gehad over gebrekkige software als oorzaak voor aansprakelijkheid. Maar er bestaan ook tal van andere oorzaken waardoor er aansprakelijkheid kan ontstaan. Bijvoorbeeld een aansprakelijkheid voor schade veroorzaakt door een cyberaanval of datalek (dat overigens ook kan liggen aan de gebrekkige software).

Uit de AVG volgt dat persoonsgegevens met passende organisatorische en technische maatregelen beveiligd moeten worden. Binnen de zorgsector beschouwt de Autoriteit Persoonsgegevens de NEN7510, NEN7212 en NEN7513 als ‘passend’, dat wil zeggen als algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging in de zorg. In deze NEN-normen zitten verschillende maatregelen verwerkt voor het nemen van de juiste cybersecuritymaatregelen die we ook terug zien komen in de verplichtingen uit de MDR, zoals het inrichten en instandhouden van een informatiebeveiligingsmanagementsysteem (ISMS).

Over deze overlap van cybersecuritymaatregelen neergelegd in verschillende wetten en certificeringen gaan we in een volgende blog dieper op in. Voor nu is het vermeldingswaardig dat de Europese Commissie uitleg geeft in een speciale “guidance” over cybersecurity bij medische software.

MDR

De MDR is het uitgangspunt als het gaat om veilig gebruik van medische hulpmiddelen. De MDR bevat maatregelen voor alle marktdeelnemers om een veilige toepassing van medische hulpmiddelen te garanderen. De onder de MDR verkregen CE-markering biedt echter geen garantie op foutloze software, maar zegt enkel iets over het gevolgde ontwikkelproces en de aanwezige bewijsvoering. Dit kan behulpzaam zijn om de conformiteit van het hulpmiddel of het voldoen aan de zorgplicht van de zorginstelling aan te tonen, maar biedt geen vrijwaring voor aansprakelijkheid voor enige partij.

Bovenstaande wetten vormen het juridische kader op grond waarvan er bij aansprakelijkheid kan ontstaan. Met behulp van dit juridische kader kan er een risicoschatting worden gemaakt van de risico’s die bij de aanschaf en toepassing van medische software door zorginstellingen een rol spelen. Uiteindelijk zullen de risico’s afgedekt moeten worden in de overeenkomst met de leverancier van de medische software.

 

Terug naar overzicht