Medische software moet aan regelgeving voldoen om veilige en goede zorg te waarborgen. Nu de uitwisseling en opslag van dossiers zo langzamerhand steeds meer (de facto) verplicht digitaal plaatsvindt, en men in tijden van een pandemie veel meer op afstand zorg is gaan verlenen, is de markt voor medische software enorm gegroeid. Wilt u ook gaan ontwikkelen voor deze markt, weet dan dat er veel te winnen is door vooraf te beoordelen waar de software aan moet gaan voldoen. Over de afgelopen jaren hebben wij veel geschreven over de vereisten die gelden voor de verschillende softwarepakketten. Hier vindt u een overzicht, als het ware een checklist om te beoordelen welke regelgeving relevant is voor uw medische software.
Wilt u een EPD, ECD, HIS of ander (online) softwarepakket waarmee patiëntdossiers kunnen worden bijgehouden gaan ontwikkelen, weet dan dat het systeem kwalificeert als een zorginformatiesysteem. Als u het systeem gaat leveren aan zorgaanbieders dan moet u weten dat de zorgaanbieder bij het gebruik van uw systeem moet kunnen voldoen aan NEN 7510, NEN 7512 en NEN 7513.
Kunnen met uw systeem door zorgaanbieders medische gegevens worden uitgewisseld tussen zorgaanbieders? En kunnen zorgaanbieders deze gegevens ophalen uit het systeem zonder dat een actie nodig is van een andere zorgaanbieder (pull-verkeer)? Dan kwalificeert uw systeem als elektronisch uitwisselingssysteem. Als u het systeem gaat leveren aan zorgaanbieders dan moet u weten dat u auditrapporten nodig heeft voor NEN 7510 en NEN 7512. U heeft een eigen verplichting om hieraan te voldoen.
De regels zoals die gelden voor zorginformatiesystemen en uitwisselingssystemen worden verder uitgewerkt in deze blog en blogserie.
Voor mailprogramma’s die gebruikt moeten worden in de zorg geldt het regiem van NTA 7516. Het gaat hier immers om gegevens waarvan de beschikbaarheid, integriteit en veiligheid moet kunnen worden gegarandeerd. Een daarvoor bedoeld mailsysteem moet dus logischerwijs aan aanvullende eisen voldoen.
Overweegt u een ‘PGO’ te gaan ontwikkelen? De meest voor de hand liggende weg is dan dat u zich conformeert aan het afsprakenstelsel van MedMij. De definitie van PGO vindt u niet in de wet. Wel komen de eisen uit het afsprakenstelsel u waarschijnlijk bekend voor, ze hebben veel overlap met de regels die in zijn algemeenheid gelden voor het verwerken van medische persoonsgegevens. Lees meer in onze blogserie over de PGO (deel 1, 2).
Biedt u of ontwikkelt u software-as-a-service, een app of een website waarmee medische persoonsgegevens kunnen worden verwerkt, dan gelden strenge regels om de privacy van de patiënt te beschermen. Toegang tot de gegevens wordt geregeerd door de Algemene verordening gegevensbescherming, en indien het gaat om patiëntdossiers of het online verlenen van zorg dan moet er rekening worden gehouden met de Wet op de geneeskundige behandelingsovereenkomst en de Wet aanvullende bepalingen verwerken persoonsgegevens in de zorg. Lees hier meer over medische websites en de privacyvereisten.
Hier is onlangs wetgeving bijgekomen, namelijk de Wet digitale overheid. Kort door de bocht moet op grond hiervan de toegang beter en op een standaard manier beveiligd worden. U heeft nog wel een jaar voor de implementatie. Lees hier meer over de ‘Wdo’ en de ToegangVerleningService.
Medische software kan ook kwalificeren als een medisch hulpmiddel. Heeft de software een medisch doel en is het bedoeld voor de toepassing bij individuele patiënten? Dan heeft u een goede kans dat het ook een medisch hulpmiddel is. Uitzonderingen zijn systemen voor enkel opslag, archivering en voor het uitvoeren van simpele zoekopdrachten. Het gevolg is, onder andere, dat er een CE-markering nodig is om de software op de markt te mogen brengen. Lees meer in onze factsheet over software als medische hulpmiddel.
Als u het niet zelf op de markt brengt - maar het bijvoorbeeld in opdracht van een zorginstelling ontwikkelt - dan kan het voorkomen dat de wetgeving niet direct op u van toepassing is, maar wel op de zorginstelling. Dan nog is het belangrijk om wel met de regels rekening te houden bij de ontwikkeling. Een zorginstelling heeft anders niets aan de software en mag hier eigenlijk geen gebruik van maken. Lees meer over de verplichtingen van de zorginstelling in onze factsheet.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.