1. EHDS is bijna een feit!
Goed nieuws: de tekst van de European Health Data Space (EHDS) is gepubliceerd! Nu is het aan het Europees Parlement en daarna de Raad van de Europese Unie om de EHDS te behandelen. Als alles volgens planning verloopt, wordt de wet officieel bekrachtigd in het eerste kwartaal van 2025.
De EHDS moet ervoor zorgen dat gezondheidsgegevens makkelijker en veiliger binnen Europa gedeeld kunnen worden. Dit is niet alleen handig voor onderzoek en innovatie, maar ook om de kwaliteit van zorg te verbeteren.
2. Cyber Resilience Act (CRA) Live: Wat betekent dit voor de zorg?
De Cyber Resilience Act (CRA) is vorige week gepubliceerd in het Publicatieblad van de EU en treedt op 11 december 2024 in werking. Vanaf 11 december 2027 moeten fabrikanten van apparaten met digitale elementen voldoen aan uitgebreide en strengere cybersecurity-eisen. Denk hierbij aan risicobeoordelingen, het onderhouden van beveiligingsupdates gedurende de levensduur van het product, en maatregelen voor het melden van kwetsbaarheden.
Hoewel producten die vallen onder de MDR en IVDR zijn uitgezonderd, geldt de CRA wél voor andere producten die niet onder deze regelgeving vallen.
Daarnaast zullen ook de eisen van de NIS2 invloed hebben op de zorg. Ter aanvulling heeft de Europese Commissie aangekondigd dat er uiterlijk in maart 2025 een cybersecurityactieplan voor zorgverleners en ziekenhuizen wordt gepresenteerd.
Bekijk hier de gezamenlijke visie van COCIR en MedTech Europe over het actieplan.
3. Vertraging Wetgeving NIS2 en CER in Nederland
De NIS2- en CER-richtlijnen zijn sinds 17 oktober 2024 van kracht in de EU, maar Nederland heeft de wetgeving nog niet op tijd omgezet. De nieuwe wetten, de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten, worden pas verwacht in het derde kwartaal van 2025.
Tussen de huidige datum en de invoering van de wetten hoeven organisaties zich nog niet aan de verplichtingen te houden, maar kunnen ze wel rechten uitoefenen, zoals bijstand bij cyberincidenten onder de NIS2-richtlijn. Zodra de wetten in werking treden, gelden de verplichtingen voor essentiële en kritieke entiteiten. In bijbehorende factsheet lees je meer over de gevolgen van de niet-tijdige implementatie van de NIS2.
4. Vernieuwde handreiking betrouwhbaarheidsniveau’s
Forum Standaardisatie heeft een vernieuwde versie van de Handreiking Betrouwbaarheidsniveaus gepubliceerd. Deze helpt overheden en organisaties bij het kiezen van het juiste betrouwbaarheidsniveau voor digitale overheidsdiensten.
De nieuwe handreiking houdt rekening met belangrijke wijzigingen in wet- en regelgeving, zoals de WDO en de Regeling Betrouwbaarheidsniveaus Authenticatie Elektronische Dienstverlening. Deze wetten bepalen het betrouwbaarheidsniveau dat nodig is voor overheidsdiensten. De handreiking vult deze wetgeving aan en biedt aanvullende informatie over onderwerpen die buiten de wetgeving vallen, zoals machtigingen, applicatie-applicatieverkeer, retourstromen, gebruikservaring en digitale ondertekening.
5. Nieuwste versie AIVG Module ICT is live!
De vernieuwde versie van de AIVG Module ICT is live. De module is aangepast om beter te ondersteunen in het beheer van ICT-diensten in de zorg, met nadruk op duurzame afspraken en het waarborgen van de continuïteit van zorg, vooral in het licht van de NIS2-richtlijn en nieuwe normen op het gebied van software en beveiliging.
Belangrijke wijzigingen zijn onder meer de extra afspraken over ondersteuning en onderhoud, richtlijnen over het gebruik van maatwerksoftware en escrow, aangepaste afspraken over intellectuele eigendomsrechten en naleving van de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni), die nu wordt uitgebreid naar de zorgsector volgens de NIS2-richtlijn.
Wij hadden echter meer toevoegingen verwacht met betrekking tot het gebruik van medische software. Gezien de impact van deze wetgevingen op de zorgsector, zou het logisch zijn om in de module ook expliciete aandacht te besteden aan het gebruik medische software. Het gebruik van medische software vereist specifieke afspraken over bijvoorbeeld de veiligheid, transparantie en risico’s van AI-systemen in medische toepassingen.
Dit betekent dat zorginstellingen zelf nog aanvullende afspraken moeten maken over de naleving van de MDR en de AI Act.
6. Gen purpose AI Code of Practise
De eerste conceptversie van de General-Purpose AI Code of Practice is gepubliceerd om richtlijnen te bieden voor de ontwikkeling en toepassing van veilige, betrouwbare AI-modellen. De code is gericht op transparantie, copyrightregels, risicobeheersing en verantwoorde implementatie. Dit is relevant voor de zorgsector omdat AI steeds meer wordt gebruikt bij bijvoorbeeld klinische beslissingen en patiëntzorg. De richtlijn helpt om vertrouwen op te bouwen, systemische risico's te beperken en borgt de naleving van de AI Act en MDR/IVDR.
7. Belangrijke inzichten van de IGJ over PMS
De IGJ heeft laten weten wat zij verwacht bij inspecties van post-market surveillance (PMS)-systemen. Opvallend is dat geen van de 13 fabrikanten die de IGJ in 2023 en 2024 bezocht, volledig voldeed aan de PMS-eisen volgens de MDR en IVDR. Hoewel dit een kleine groep is, ziet de IGJ hierin reden om de hele sector aan te spreken: "Het feit dat geen enkele fabrikant volledig voldeed, heeft ons ertoe gebracht de sector als geheel op dit punt te benaderen."
8. Informatieplicht bij medische hulpmiddelen
Fabrikanten van medische hulpmiddleen moeten bevoegde autoriteiten en klanten (zoals zorginstellingen en distributeurs) minimaal zes maanden van tevoren informeren over geplande onderbrekingen of stopzettingen van de levering van hun hulpmiddelen. De meldplicht geldt vanaf 10 januari 2025 en is van toepassing op producten waarvan een onderbreking aanzienlijke schade aan de volksgezondheid kan veroorzaken.
Waarom is dit belangrijk?
Deze maatregelen zijn bedoeld om continuïteit van kritische medische hulpmiddelen te waarborgen.Meer informatie en praktische handvatten zijn beschikbaar in de Q&A-documenten van de Europese Commissie.
9. Kwaliteitsstandaard Basisgegevensset Zorg ingeschreven in het Register
De kwaliteitsstandaard ‘Uitwisseling Basisgegevensset Zorg (BgZ) tussen instellingen voor medisch-specialistische zorg’ is officieel opgenomen in het Register van Zorginstituut Nederland. Deze stap is essentieel voor het bevorderen van veilige overdracht van patiëntgegevens tussen zorginstellingen.
De BgZ bevat de belangrijkste medische gegevens van een patiënt en vormt de basis voor de elektronische en gestandaardiseerde gegevensuitwisseling in de zorg.
Met de Wet elektronische gegevensuitwisseling in de zorg (Wegiz) wordt het verplicht voor zorgaanbieders om bepaalde gegevens elektronisch uit te wisselen. De BgZ is een van de eerste gegevenssets die in dit kader gestandaardiseerd en elektronisch uitgewisseld moeten worden.
