Als fabrikant van een Elektronisch Patiënten Dossier (EPD) moet je voldoen aan een uitgebreid web van Europese regels. Afhankelijk van de specifieke functies van het EPD moet je waarschijnlijk in het bezit zijn van één of meerdere CE-markeringen. Ook worden EPDs steeds slimmer en zijn er steeds meer Europese wetgevingsinitiatieven waarin slimme systemen (in de zorg) worden gereguleerd. In deze blog gaan wij nader in op de vraag welke CE-markeringen een EPD met slimme functionaliteiten (in de toekomst) allemaal moet hebben.
Denk bijvoorbeeld aan een EPD met een geïntegreerde beslismodule welke een arts ondersteunt bij het stellen van de juiste diagnose en het kiezen van de goede behandeling
Wanneer een EPD wordt ingezet in het kader van een behandeling of diagnostiek valt het EPD onder de MDR en is een CE-markering vereist. Niet ieder EPD kwalificeert echter als een medisch hulpmiddel. Als een EPD bijvoorbeeld alleen de papieren versie van een medisch dossier vervangt, valt het EPD niet onder de MDR.
Denk hierbij aan een EPD dat een onlinecomponent heeft zoals een persoonlijke gezondheidsomgeving waar de patiënt zijn/haar medische gegevens kan inzien.
EPDs met een digitaal component moeten in de toekomst voldoen aan de Cyber Resilience Act (CRA). De CRA zal namelijk gelden voor alle apparaten die (niet) rechtstreeks zijn verbonden met een ander apparaat of netwerk. Met de CRA worden verplichte cyberbeveiligingsvereisten ingevoerd voor fabrikanten.
Bij de inwerkingtreding van de CRA moeten software en met het internet verbonden producten voorzien zijn van een CE-markering om aan te tonen dat aan de nieuwe regels wordt voldaan. Het is nog niet duidelijk wanneer de CRA in werking treedt. Op dit moment onderhandelt de Europese Raad met het Europees Parlement over de definitieve tekst van de verordening.
Let op: wanneer het EPD in zijn geheel kwalificeert als een medisch hulpmiddel op grond van de MDR hoeft (in de toekomst) niet te worden voldaan aan de Cyber Resilience Act. Er is dan alleen een CE-markering op grond van de MDR vereist.
Alle EPDs moeten in de toekomst in het bezit zijn van een CE-markering om aan te tonen dat aan de European Health Data Space (EHDS) verordening is voldaan.
Op grond van de EHDS verordening moet je als fabrikant (in de toekomst) een CE-markering hebben waarmee je aangeeft dat het EPD aan de EHDS verordening voldoet. Een EPD moet voldoen aan de EHDS verordening wanneer het voldoet aan de definitie van een EPD-systeem: ‘’elk apparaat of elke software die door de fabrikant is bedoeld om te worden gebruikt voor het opslaan, bemiddelen, invoeren, uitvoeren, omzetten, bewerken of bekijken van elektronische medische dossiers’’. Dit betekent dat in principe alle EPDs, slim of niet, hieraan moeten voldoen.
Het idee achter deze verordening is het creëren van een Europese dataruimte waar natuurlijke personen gemakkelijk zeggenschap over hun elektronische gezondheidsgegevens kunnen uitoefenen. Daarnaast zal zij onderzoekers, innovatoren en beleidsmakers in staat moeten stellen deze elektronische data te gebruiken op een betrouwbare en veilige manier die de privacy van betrokkenen waarborgt. De EHDS verordening is nog niet aangenomen en ligt op dit moment bij het Europees parlement. De Data Governance Act, die de basis vormt voor de EHDS, is recent in werking getreden, zie onze eerdere blog.
Denk hierbij aan een EPD dat bijvoorbeeld kan voorspellen hoe een patiënt op een bepaald medicijn gaat reageren op basis van specifieke kenmerken van de patiënt (zoals beschikbaar in het EPD).
Wanneer in het EPD een AI-toepassing is geïntegreerd zal in de toekomst ook moeten worden voldaan aan de AI Act. De AI Act regelt het juridisch kader van AI-systemen en kent een risico gebaseerde aanpak. De verwachting is dat veel AI-systemen in de zorg, waaronder EPDs (met een AI-toepassing), in de risicocategorie hoog zullen vallen. Er dient in dit geval een conformiteitsbeoordeling uitgevoerd te worden door een externe instantie. Wanneer deze conformiteitsbeoordeling succesvol is doorlopen, brengt de fabrikant vervolgens een CE-markering aan.
Naar verwachting treedt de AI Act begin 2024 in werking en zal iedereen die met AI werkt vanaf 2026 moeten voldoen aan de eisen. Zie onze eerdere blog over meer uitgebreide informatie over de implicaties van de AI Act in de zorg.
Er zijn dus mogelijk één of meerdere CE-markeringen nodig om een EPD op de markt te mogen brengen. Heeft u vragen over welke CE-markeringen verplicht zijn voor het EPD dat u levert of gebruikt? Neem dan gerust contact op. Wij denken graag mee.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.