Softwaretoepassingen in de zorg worden steeds meer blootgesteld aan risico’s op het gebied van cyberveiligheid. Dit komt door het toenemende gebruik van medische software en de steeds meer geavanceerde technologieën, zoals big data analytics en Artificiële Intelligentie (AI). De noodzaak om medische gegevens en medische hulpmiddelen te beschermen tegen risico’s op dit vlak, bijvoorbeeld ransomware, is groot. Na een aantal grote incidenten in de zorg, wordt het belang van cybersecurity bij medische software steeds duidelijker.
Medische software kan ook een medisch hulpmiddel zijn. In deze blog wordt ingegaan op de uitdagingen op het gebied van cyberveiligheid van medische hulpmiddelen waarmee de zorgsector wordt geconfronteerd. Op grond van de Verordening medische hulpmiddelen (MDR) moet namelijk voldaan worden aan verschillende eisen op het gebied van veiligheid, één daarvan is cybersecurity. Bovendien duiden we een mogelijke overlap met andere wetgeving en standaarden. Dit kan ervoor zorgen dat er minder werk op de plank hoeft te liggen dan verwacht om MDR-compliant te worden.
De zorgaanbieder is verantwoordelijk voor het leveren van goede zorg. Onderdeel daarvan is dat de zorgaanbieder alleen gebruik maakt van medische hulpmiddelen waarvan de veiligheid en juiste werking gegarandeerd kan worden. Om de conformiteit van een medisch hulpmiddel aan te tonen kan er gekeken worden naar de CE-markering. De CE-markering kan door de fabrikant van het medisch hulpmiddel worden aangebracht als hij de juiste conformiteitsprocedure uit de MDR heeft doorlopen.
Onderdeel van die veiligheidsvereisten uit de MDR zijn verschillende eisen op het gebied van cybersecurity en informatiebeveiliging. Dit begint allemaal bij het “state-of the-art” ontwikkelen van medische software. Een begrip welke naar onze mening nogal een brede reikwijdte heeft. Welke maatregelen moet de fabrikant van een medisch hulpmiddel nu echt treffen om “state-of-the-art” te ontwikkelen? Beveiligingsregels op basis van “state-of-the-art” is ook een bekend begrip onder de AVG. Maar betekent de invulling van dit principe hetzelfde?
De “state-of-the-art” dient afgeleid te worden uit professionele expertise en de daarmee samenhangende lange historie van ontwikkelingen. Om te voldoen aan de eisen zal nagegaan moeten worden wat de best practices zijn binnen het vakgebied. Indien er sprake is van consensus van professionele meningen, bijvoorbeeld over welke maatregel voldoende mitigerend werkt, dan kan daaruit afgeleid worden dat hiermee aan het “state-of-the-art” vereiste voldaan wordt.
Om op Europees niveau richtsnoeren vast te leggen, heeft de Medical Device Coordination Group (MDCG) een richtsnoerdocument ontwikkeld om fabrikanten te ondersteunen bij hun inspanningen om te voldoen aan de “state-of-the-art” MDR-eisen op het gebied van cybersecurity. In het document wordt onder andere uitgelegd dat beveiligingseisen moeten worden ontwikkeld, gedocumenteerd, geverifieerd, gevalideerd en getest. Zo kunnen risico’s bijvoorbeeld gemitigeerd worden volgens een risicomanagementsysteem die conform de ISO 14971 standaard is opgezet en fabrikanten kunnen er voor kiezen om hun information security managementsystem (ISMS) in te richten volgens de ISO 27001 standaard (in Nederland ook een verplichting op grond van de NEN 7510). Verder sluit de guidance nauw aan bij de processen die zijn neergelegd in de geharmoniseerde norm over het software lifecycle managementsysteem (ISO 62304) en de norm voor het kwaliteitsmanagementsysteem (ISO 13485).
Deze normen geven invulling aan het begrip “state-of-the-art”. Zich conformeren aan een deel van deze normen kan zowel vanuit de MDR als de AVG inhouden dat de “state-of-the-art” wordt gevolgd. Dit is uiteindelijk uiteraard afhankelijk van de daadwerkelijk genomen maatregelen binnen de organisatie, maar de normen bieden op zijn minst een goede basis om te voldoen.
Wat betreft informatiebeveiliging is de implementatie van de NEN 7510, 7512 en 7513 al bekend terrein op grond van de AVG. Als onderdeel van de NEN 7510 wordt ook het ISMS voorgeschreven. Dit kan voor u wellicht betekenen dat vanuit best practices die gevolgd worden om te voldoen aan de NEN er al veel werk is verzet, welke niet nogmaals gedaan hoeft te worden om ook MDR-compliant te worden.
Om het proces om MDR-compliant te worden te vergemakkelijken is het daarom van belang om een goed overzicht te hebben van welke maatregelen er al genomen zijn om risico’s te mitigeren die geïdentificeerd zijn om te voldoen aan andere regelgeving of standaarden (zoals de AVG of ISO- of NEN-normen). Nadat er een goed overzicht is van de genomen maatregelen kunnen deze gekoppeld worden aan de geidentificeerde risico’s die verband houden met de MDR.
Stap 1: inventariseer
Een eerste logische stap is om te inventariseren welke medische hulpmiddelen worden ontwikkeld of binnen de zorginstelling worden gebruikt. Het kan zijn dat huidige CE-certificaten verlopen, en dat ingekochte medische hulpmiddelen niet meer beschikbaar zullen zijn. Vervolgens kan er geïnventariseerd worden welke beveiligingsmaatregelen binnen de organisatie er al genomen zijn om dubbel werk te voorkomen voor wat betreft de implementatie van maatregelen op grond van de MDR.
Stap 2: constateer overlap en maak afspraken
Als u het medische hulpmiddel gaat leveren of u gaat als zorginstelling zelf een medisch hulpmiddel op de markt brengen, weet dan dat u moet voldoen aan de MDR-verplichtingen. Inventariseer de al geïmplementeerde normen en constateer overlap. Als er bijvoorbeeld al een ISMS is opgezet, er een bepaalde software development lifecycle wordt gevolgd, het nodige wordt gedaan op het gebied van toegangsbeveiliging en wachtwoordgebruik en het patchmanagement goed is ingeregeld, dan is deze horde al genomen.
Wilt u als zorginstelling een medisch hulpmiddel aanschaffen, weet dan dat u moet controleren of de normen geïmplementeerd zijn. Maak deze controle onderdeel van het inkoopproces, maar vergeet niet om ook uw al aangeschafte medische hulpmiddelen te controleren!
Stap 3: implementeer overige normen
Vervolgens is ook duidelijk welke normen nog geïmplementeerd moeten of welke aanvullende maatregelen nog genomen moeten worden voordat compliance met de MDR bereikt is.
Stap 4: einddoel - MDR-compliance en verantwoording afleggen
Nu is het tijd voor de beoordeling door een notified body. Naast de maatregelen op het gebied van cybersecurity, schrijft de MDR nog tal van andere maatregelen voor. Een greep uit de belangrijkste maatregelen voor medische software voor zorgaanbieders vindt u in onze factsheet.
Zodra je geïnventariseerd hebt welke beveiligingsmaatregelen er al worden getroffen om cybersecurity binnen de organisatie te waarborgen is de stap naar MDR-compliance al een stuk kleiner geworden. De kans is groot dat na de inventarisatie blijkt dat aan veel vereisten uit de MDR al wordt voldaan, bijvoorbeeld omdat er al een goed werkend ISMS is opgezet en een goed risico management al onderdeel uitmaakt van de organisatieprocessen. Het is dan voornamelijk van belang om de reeds genomen maatregelen te koppelen aan de geïdentificeerde risico’s in verband met de MDR, na te gaan waar de leemtes zitten en eventueel aanvullende maatregelen te nemen om uiteindelijk MDR-compliant te worden.
Deze blog is in samenwerking geschreven met Alexander Freund.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.