Software als medisch hulpmiddel in het licht van de nieuwe MDR: 12 aandachtspunten voor ontwikkelaars (deel 2 van 3)

Op 26 mei 2021 is de Verordening betreffende medische hulpmiddelen (EU 2017/745), beter bekend als de Medical Devices Regulation (‘MDR’), van toepassing geworden. De MDR bouwt voort op de oude regels over medische hulpmiddelen, maar is tegelijkertijd veel meer dan het resultaat van het oppoetsen van die oude regels. De MDR brengt verandering. Zeker voor ontwikkelaars van medische software (waaronder ook apps). In een serie van drie verdiepende blogs zetten wij 12 belangrijke aandachtspunten op een rij.

Opzet blogserie

In het eerste blog stonden wij stil bij twee aandachtspunten: de kwalificatie van software als medisch hulpmiddel en het vaststellen van de risicoklasse.

In dit tweede blog bespreken wij zes aandachtspunten: verplichtingen voor fabrikanten (de term voor softwareontwikkelaars die in de MDR wordt gebruikt), de EU-conformiteitsverklaring en CE-conformiteitsmarkering, algemene veiligheids- en prestatie-eisen, technische documentatie, klinische evaluatie, UDI en Eudamed.

In het derde blog bespreken wij de laatste vier aandachtspunten: post-market verplichtingen, vigilantie (het opvolgen van incidenten en calamiteiten), de zogenaamde Person Responsible for Regulatory Compliance (‘PRRC’) en overgangsbepalingen.

Verplichtingen voor fabrikanten

Op fabrikanten rusten tal van verplichtingen op grond van de MDR. Eén van de verplichtingen is het zorgen voor voldoende financiële dekking bij aansprakelijkheid als het medisch hulpmiddel defect blijkt te zijn. In de praktijk kan de fabrikant dit doen door een verzekering af te sluiten, waarbij dan rekening moet worden gehouden met de risicoklasse waartoe het medisch hulpmiddel behoort.

Een andere belangrijke verplichting is het opzetten van een kwaliteitsmanagementsysteem waarmee zo effectief mogelijk en op een wijze die evenredig is met de risicoklasse waar de software in valt, aan de bepalingen uit de MDR kan worden voldaan. Het kwaliteitsmanagementsysteem moet worden toegepast, onderhouden, geactualiseerd en continue verbeterd. In de MDR is bovendien vastgelegd welke aspecten ten minste onderdeel uit moeten maken van het kwaliteitsmanagementsysteem. Het gaat onder andere om:

  • een strategie voor de naleving van de wet- en regelgeving;
  • het identificeren aan welke algemene veiligheids- en prestatie-eisen moet worden voldaan en in hoeverre daaraan kan worden voldaan;
  • het risicomanagementsysteem;
  • klinische evaluatie;
  • product realisatie;
  • technische documentatie;
  • het systeem voor post-market surveillance; en
  • procedures voor het opvolgen en melden van incidenten en calamiteiten en processen voor productverbetering.

In dit tweede en het derde blog gaan wij op een groot deel van deze verplichtingen in.

Voor het in de handel brengen van een medisch hulpmiddel is een conformiteitsverklaring vereist. Uit de conformiteitsverklaring blijkt dat een fabrikant van een medisch hulpmiddel voldoet aan de verplichtingen uit de MDR. Om te bepalen of dat het geval is, wordt in de basis gekeken naar het kwaliteitsmanagementsysteem en de technische documentatie. Zonder een deugdelijk kwaliteitsmanagementsysteem geen conformiteitsverklaring, en zonder conformiteitsverklaring geen medisch hulpmiddel dat in de handel kan worden gebracht. Een deugdelijk kwaliteitsmanagementsysteem is dus van essentieel belang.

EU-Conformiteitsverklaring en CE-conformiteitsmarkering

Voordat een medisch hulpmiddel in de handel mag worden gebracht, dient een conformiteitsbeoordeling uitgevoerd te worden. Er moet worden vastgesteld of het medisch hulpmiddel voldoet aan de eisen die volgen uit de MDR. De conformiteitsbeoordeling – er zijn meerdere manieren, die zijn vastgelegd in bijlagen IX tot en met XI bij de MDR – vindt (onder andere) plaats op basis van analyse van het kwaliteitsmanagementsysteem en de technische documentatie. Afhankelijk van de risicoklasse waarin het medisch hulpmiddel valt, kan de fabrikant zelfstandig een EU-conformiteitsverklaring opstellen (risicoklasse I) of moet een zogenaamde aangemelde instantie (in het Engels: ‘notified body’) betrokken worden (risicoklasse IIa, IIb en III). In Nederland zijn er drie aangemelde instanties.

Op de conformiteitsbeoordeling volgt de EU-conformiteitsverklaring. Daarin wordt aangegeven dat is voldaan aan de MDR (uiteraard alleen als die uit de conformiteitsbeoordeling volgt). De EU-conformiteitsverklaring moet de informatie bevatten die is opgenomen in bijlage IV bij de MDR. Het gaat dan bijvoorbeeld om de naam van de fabrikant, de handelsnaam of geregistreerde merken, de product- en handelsnaam en de risicoklasse van het medisch hulpmiddel.

Een EU-conformiteitsverklaring blijft maximaal vijf jaar geldig. Daarna dient standaard een herbeoordeling plaats te vinden. Overigens dient de EU-conformiteitsverklaring voortdurend te worden bijgewerkt. Als de software wordt uitgebreid met nieuwe functionaliteiten, is het dus belangrijk om te bepalen of de wijzigingen in de software gevolgen hebben voor de verplichtingen waaraan op grond van de MDR moet worden voldaan. Zo kan een doorontwikkeling van software tot gevolg hebben dat de software in een andere risicoklasse komt te vallen.

Het medisch hulpmiddel dient vervolgens, voor zover dat mogelijk is, voorzien te worden van een CE-conformiteitsmarkering. Deze welbekende CE-markering geeft aan dat het medisch hulpmiddel in overeenstemming is met de eisen uit de MDR. In principe staat de CE-markering op het medisch hulpmiddel zelf, maar als dat niet mogelijk is op de verpakking. Is sprake van een Software-as-a-Service (‘SaaS’) oplossing, dan kan de EU-conformiteitsverklaring en de CE-markering via een informatiepagina in de SaaS-oplossing worden getoond.

Algemene veiligheids- en prestatie-eisen

Een medisch hulpmiddel mag alleen in de handel worden gebracht als het aan de algemene veiligheids- en prestatie-eisen uit bijlage I bij de MDR voldoet. Om aan te tonen dat aan deze eisen wordt voldaan, is het verplicht om een klinische evaluatie (zie hierna) uit te voeren. De algemene veiligheids- en prestatie-eisen uit bijlage I bij de MDR gelden voor alle medische hulpmiddelen, ongeacht de risicoklasse.

Uit de eisen volgt onder andere dat het medisch hulpmiddel de door de ontwikkelaar beoogde prestaties moet leveren en zo ontworpen moet zijn dat het onder normale omstandigheden geschikt is voor het beoogde doel. Voor software in het bijzonder geldt dat deze zo moet zijn ontworpen dat herhaalbaarheid, betrouwbaarheid en prestatievermogen, conform het beoogd gebruik, gewaarborgd zijn. De software moet veilig en doeltreffend zijn en mag geen gevaar vormen voor de veiligheid en gezondheid van patiënten en gebruikers. Als er risico’s aan het gebruik van de software verbonden zijn, moeten de risico’s (nadelen) in verhouding staan tot de voordelen voor de patiënt. De software moet state-of-the-art zijn en rekening houden met informatiebeveiliging, verificatie en validering. Specifiek moet de software zo zijn ontworpen en vervaardigd dat het risico op een mogelijke negatieve wisselwerking tussen de software en de IT-omgeving waarin de software komt te werken of mee in wisselwerking komt te staan, zoveel mogelijk wordt weggenomen of beperkt. Fabrikanten zijn dan ook verplicht om minimumeisen aan hardware, eigenschappen van IT-netwerken en IT-beveiligingsmaatregelen  te stellen en deze op te nemen in de gebruiksaanwijzing. Verder moet de software zo zijn ontworpen dat ongeoorloofde toegang die de werking van de software zou kunnen belemmeren, wordt voorkomen (security by design).

De fabrikant is verder in principe verplicht een gebruiksaanwijzing mee te leveren bij de software, bijvoorbeeld als onderdeel van de gebruiksvoorwaarden of via een informatiepagina in de software (bij SaaS-oplossingen). In de gebruiksaanwijzing moeten onder andere worden opgenomen het beoogd doel van de software, patiëntdoelgroep(en) en gebruikers, prestatie-eigenschappen, (contra-)indicaties, risico’s voor patiënten en de informatie die aan patiënten moet worden medegedeeld, eventueel vereiste specifieke kennis of deskundigheid van c.q. bij gebruikers en waarschuwingen en eventueel te nemen voorzorgsmaatregelen voor patiënten en gebruikers. Ook inlichtingen die zorgverleners in staat stellen om de juiste software te kiezen moeten in de gebruiksaanwijzing worden opgenomen.

Technische documentatie

Uit bijlage II bij de MDR volgt aan welke vereisten de technische informatie die fabrikant verplicht moet opstellen, moet voldoen. De technische informatie vormt de basis voor de gebruiksaanwijzing. De informatie die verplicht in de gebruiksaanwijzing moet zijn opgenomen, moet in ieder geval dus ook uit de technische informatie blijken. Wel is het zo dat de technische informatie nog een slag dieper gaat dan de informatie in de gebruiksaanwijzing en een uitgebreide(re) beschrijving moet bevatten van (onder andere) het ontwerp en technische specificaties van functionaliteiten, het risicomanagementsysteem en de uitkomsten van verificatie- en valideringstests (zowel in-house als in een gesimuleerde of feitelijke gebruikersomgeving).

Klinische evaluatie

Om aan te tonen dat software aan de algemene veiligheids- en prestaties voldoet, moet voortdurend een klinische evaluatie worden uitgevoerd. Daartoe dient een klinisch evaluatieplan opgesteld te worden. Bijlage XIV (deel a) bij de MDR specificeert waaraan een klinische evaluatieplan ten minste moet voldoen.

Klinische evaluatie is het systematische en geplande proces om voortdurend klinische gegevens te genereren, te verzamelen, te analyseren en te beoordelen om zo de veiligheid en de prestaties van de software, met inbegrip van de klinische voordelen, te verifiëren wanneer de software wordt gebruikt zoals beoogd door de fabrikant. Er bestaat, met andere woorden, de verplichting om doorlopend – gedurende de gehele life cycle van het medisch hulpmiddel – de werking en veiligheid van de software en het voldoen aan de veiligheids- en prestatie-eisen met resultaten uit klinisch onderzoek te onderbouwen. Onderdeel van de klinische evaluatie zijn de klinische gegevens die in het kader van de eveneens verplichte post-market surveillance en post-market clinical follow-up worden verzameld. Deze verplichting gaat (veel) verder dan onder de oude regels, die de fabrikant ‘slechts’ verplichtten om gemelde incidenten te registreren.

UDI en Eudamed

De MDR verplicht verder tot het aanbrengen van een Unique Device Identification (‘UDI’) code op medische hulpmiddelen, met als doel medische hulpmiddelen beter te kunnen identificeren en traceren. Het UDI-systeem is beschreven in bijlage VI, deel C, bij de MDR. Daaruit volgt bijvoorbeeld dat de UDI wordt toegekend op systeemniveau van de software en alleen bij stand-alone software.

Wanneer de UDI uiterlijk op het medisch hulpmiddel moet zijn aangebracht, is afhankelijk van de risicoklasse:

  • Risicoklasse III: 26 mei 2021
  • Risicoklasse IIa en IIb: 26 mei 2023
  • Risicoklasse I: 26 mei 2025.

Er wordt ook een UDI-databank opgezet, die onderdeel zal zijn van de nieuwe European database on medical devices (‘Eudamed’). Aan de hand van de UDI-code kunnen medische hulpmiddelen straks in Eudamed worden opgezocht. Fabrikanten worden verplicht om in de toekomst in Eudamed onder andere de resultaten van klinisch onderzoek en klinische evaluaties te vermelden.

Het wordt voor distributeurs van software en gebruikers (zoals zorginstellingen) verplicht om te controleren of software in Eudamed is opgenomen en een CE-markering heeft. Is het hulpmiddel niet in Eudamed opgenomen, dan mag het niet worden gebruikt.

Eudamed is op dit moment nog in ontwikkeling en gaat naar verwachting in 2022 live.

Tot slot

De verplichtingen voor fabrikanten zijn onder de MDR talrijker en verregaander dan onder de oude regelgeving. Zo bespraken wij in dit blog de verplichting van de fabrikant om:

  • te zorgen voor voldoende financiële dekking bij aansprakelijkheid als het medisch hulpmiddel defect blijkt te zijn;
  • een kwaliteitsmanagementsysteem op te zetten;
  • een EU-conformiteitsverklaring op te stellen en een CE-conformiteitsmarkering aan te brengen;
  • ervoor te zorgen dat de software voldoet aan de algemene veiligheids- en prestatie-eisen;
  • technische documentatie op te stellen;
  • klinische evaluatie uit te voeren op basis van een klinisch evaluatieplan;
  • een UDI aan te brengen en te registreren in Eudamed.

Voor softwareontwikkelaars die op dit moment medische software ontwikkelen, is het belangrijk om al in het ontwerpproces rekening te houden met de verplichtingen uit de MDR. Fabrikanten van medische hulpmiddelen die voldeden aan de oude regels, moeten in actie komen om ervoor te zorgen dat hun medische hulpmiddel ook voldoet aan de nieuwe regels. Vanaf wanneer daaraan voldaan moet worden, bespreken wij in het derde blog (overgangsregels). Verder geldt voor alle fabrikanten van medische hulpmiddelen vanaf nu de verplichting om gedurende de hele life cycle van de software continue de veiligheid en kwaliteit ervan te monitoren en te bewaken (zie in het derde blog het onderdeel post-market verplichtingen).

Meer weten?

Wilt u meer weten over de MDR, of advies over wat de MDR nu concreet voor u of uw organisatie betekent? Neem dan contact op met Huub de Jong of Marijn Rooke.