Software als medisch hulpmiddel in het licht van de nieuwe MDR: 12 aandachtspunten voor ontwikkelaars (deel 3 van 3)

Op 26 mei 2021 is de Verordening betreffende medische hulpmiddelen (EU 2017/745), beter bekend als de Medical Devices Regulation (‘MDR’), van toepassing geworden. De MDR bouwt voort op de oude regels over medische hulpmiddelen, maar is tegelijkertijd veel meer dan het resultaat van het oppoetsen van die oude regels. De MDR brengt verandering. Zeker voor ontwikkelaars van medische software (waaronder ook apps). In een serie van drie verdiepende blogs zetten wij 12 belangrijke aandachtspunten op een rij.

Opzet blogserie

In het eerste blog stonden wij stil bij twee aandachtspunten: de kwalificatie van software als medisch hulpmiddel en het vaststellen van de risicoklasse.

In het tweede blog bespraken wij zes aandachtspunten: verplichtingen voor fabrikanten (de term voor softwareontwikkelaars die in de MDR wordt gebruikt), de EU-conformiteitsverklaring en CE-markering, algemene veiligheids- en prestatie-eisen, technische documentatie, klinische evaluatie, UDI en Eudamed.

In dit derde en laatste blog uit de serie bespreken wij de laatste vier aandachtspunten: post-market verplichtingen, vigilantie (het opvolgen van incidenten en calamiteiten), de zogenaamde Person Responsible for Regulatory Compliance (‘PRRC’) en overgangsbepalingen.

Post-market verplichtingen

De MDR verplicht fabrikanten tot het hebben van een systeem voor post-market surveillance als het medisch hulpmiddel eenmaal in de handel is gebracht. Dit systeem moet zijn afgestemd op de risicoklasse waar het medisch hulpmiddel toe behoort en is onderdeel van het verplichte kwaliteitsmanagementsysteem. In bijlage III bij de MDR is uitgewerkt waar het systeem ten minste aan moet voldoen.

De achterliggende gedachte van post-market surveillance is dat fabrikanten door het stelselmatig en actief vergaren van informatie over ervaringen met hun medisch hulpmiddel, inzicht krijgen in de kwaliteit, prestaties en veiligheid van het hulpmiddel. Eén van de manieren om dergelijke informatie te verzamelen is via een voor de patiënt en gebruiker gemakkelijk toegankelijke feedback– en klachtenprocedure (denk aan een contactformulier op de website en in de software).

Wanneer op basis van verzamelde gegevens blijkt dat de software niet naar behoren functioneert, kunnen corrigerende en/of preventieve maatregelen ter voorkoming van ongewenste effecten op de veiligheid en gezondheid van patiënten worden genomen. Die maatregelen kunnen bestaan uit het uit de handel nemen van de software (als er een direct gevaar is dat niet op een andere manier kan worden weggenomen), het aanpassen van het ontwerp van de software (technische aanpassingen, door bijvoorbeeld functionaliteiten toe te voegen of te laten vervallen) en/of aanpassing van de gebruiksaanwijzing (bijvoorbeeld door specifieke(re) gebruiksinstructies te geven). Ook moet de informatie de fabrikant helpen bij het bepalen van mogelijkheden om de bruikbaarheid, prestaties en veiligheid van de software te verbeteren. Met de verzamelde informatie kan bovendien de technische documentatie, onder andere ten aanzien van risicobeoordelingen en klinische evaluaties, up-to-date worden gehouden. Er ontstaat daarnaast een duidelijk overzicht over ondernomen preventieve en/of corrigerende maatregelen. Dit alles bevordert transparantie en maakt toezicht op de naleving van de MDR gemakkelijker, zo is de gedachte.

Fabrikanten zijn naast het opstellen van een plan voor post-market surveillance ook verplicht om een verslag op te stellen over de activiteiten die in het kader van de uitvoering van het plan plaatsvinden. Valt software in risicoklasse I, dan is het opstellen van een verslag over de post-market surveillance weliswaar verplicht, maar hoeft dit ‘slechts’ desgevraagd aan de toezichthouder beschikbaar te worden gesteld. Valt software in risicoklasse IIa, IIb of III, dan dient de fabrikant een zogenaamd periodiek veiligheidsverslag (periodic safety update report (‘PSUR’)) op te stellen. Voor software in risicoklasse IIb of III moet dat jaarlijks, voor software in risicoklasse IIa ten minste elke twee jaar. Het PSUR over software in risicoklasse III moet via Eudamed actief bekend gemaakt worden aan de aangemelde instantie. Het PSUR over software in risicoklasse IIa en IIb dient op verzoek van een aangemelde instantie of de toezichthouder beschikbaar te worden gesteld.

Onderdeel van de post-market verplichtingen is verder de zogenaamde post-market clinical follow-up (‘PMCF’). Het PMCF is het doorlopend proces om de klinische evaluatie van de software bij te werken. Het PMCF dient onderdeel te zijn van het plan voor post-market surveillance. Bijlage XIV deel b bij de MDR specificeert waaraan PMCF ten minste moet voldoen.

Samengevat is het voor fabrikanten dus verplicht om:

  • een systeem voor post-market surveillance op te zetten;
  • een verslag op te stellen over post-market surveillance activiteiten voor software in risicoklasse I;
  • een periodiek veiligheidsverslag (PSUR) op te stellen voor software in risicoklasse IIa, IIb en III; en
  • de klinische evaluatie up-to-date te houden door middel van PMCF.

Vigilantie

Als onderdeel van het verplichte kwaliteitsmanagementsysteem dienen fabrikanten te beschikken over een procedure voor het melden van ernstige incidenten en corrigerende acties (in het Engels: ‘field safety corrective actions’ ). De meldingen van ernstige incidenten en field safety corrective actions moeten intern worden vastgelegd en worden gedaan in Eudamed. Via Eudamed wordt de bevoegde autoriteit van de lidstaat waar het incident zich heeft voorgedaan c.q. waar de corrigerende actie wordt uitgevoerd, op de hoogte gesteld. Aangezien  Eudamed nog niet in gebruik is genomen (medio 2021), moet nu worden gemeld bij de bevoegde autoriteit. In Nederland is de bevoegde autoriteit de Inspectie Gezondheidszorg en Jeugd (‘IGJ’), die mede op basis van de meldingen in het kader van de vigilantie toezicht houdt op fabrikanten van medische hulpmiddelen (zoals software). De IGJ heeft op haar website specifieke informatie over het melden van ernstige incidenten en herstelacties, de geldende termijnen en de acties die de IGJ kan ondernemen. De IGJ is bevoegd om voor het niet voldoen aan de regels over het melden van ernstige incidenten een bestuurlijke boete op te leggen van € 870.000.- of, als dat hoger is, maximaal 10% van de omzet van de onderneming in het boekjaar voorafgaand aan het besluit een bestuurlijke boete op te leggen.

Maar wat is nu een ernstig incident in de zin van de MDR? Een ernstig incident is een incident dat direct of indirect heeft geleid, had kunnen leiden of kan leiden tot:

  • overlijden van de patiënt, een gebruiker van het medisch hulpmiddel of een andere persoon;
  • tijdelijke of blijvende ernstige verslechtering van de gezondheidstoestand van de patiënt, een gebruiker van het medisch hulpmiddel of een andere persoon; of
  • een ernstige bedreiging voor de volksgezondheid.

Als er een melding van een ernstig incident bij de fabrikant wordt gedaan, moet deze een onderzoek instellen naar het incident. De fabrikant van een medisch hulpmiddel is vervolgens verplicht om onmiddellijk nadat er een oorzakelijk verband is vastgesteld tussen een ernstig incident en het gebruik van het medisch hulpmiddel, en uiterlijk binnen 15 dagen nadat de fabrikant zich bewust is geworden van het ernstige incident, een melding via Eudamed te doen. Soms zijn de termijnen voor het doen van een melding in Eudamed nog korter, bijvoorbeeld in het geval van een ernstige bedreiging voor de volksgezondheid (uiterlijk binnen 2 dagen) of bij overlijden van een patiënt of een onverwachte ernstige verslechtering van de gezondheidstoestand van de patiënt (uiterlijk binnen 10 dagen). Wanneer de fabrikant een oorzakelijk verband tussen een incident en gebruik van het medisch hulpmiddel nog onderzoekt, kan het toch al verplicht zijn om een melding te doen. Dat kan in eerste instantie een onvolledige melding zijn, die later wordt aangevuld.

Indien er zich een ernstig incident heeft voorgedaan, moet (geregeld) een field safety corrective action  worden ondernomen om verdere incidenten te voorkomen. Uit het verplichte onderzoek blijkt meestal welke corrigerende actie noodzakelijk is. Met de field safety corrective action wordt dan beoogd om het risico van een ernstig incident in verband met een op de markt aangeboden hulpmiddel te voorkomen of te verminderen.

De fabrikant dient in Eudamed te melden welke correctieve maatregelen genomen gaan worden alvorens die maatregelen ook daadwerkelijk te nemen, tenzij dit gelet op de spoedeisendheid van het incident waarop de actie volgt, niet mogelijk is. Vervolgens dient de fabrikant de gebruikers van het medisch hulpmiddel via een zogenaamde ‘Field safety notice’ op de hoogte te brengen van het ernstige incident en de genomen corrigerende acties. Wederom pas na melding in Eudamed en in overleg met de IGJ, tenzij de spoedeisendheid direct handelen en informeren vereist.

Persoon verantwoordelijk voor naleving wet- en regelgeving

Nieuw onder de MDR is het verplicht aanstellen van een persoon die verantwoordelijk is voor de naleving van de MDR, de zogenaamde Person Responsible for Regulatory Compliance (‘PRRC’). De PRRC moet aan een aantal kwaliteitseisen voldoen, heeft verschillende verantwoordelijkheden en wordt door het recht beschermd in het kader van het uitvoeren van diens functie. Deze verplichting geldt overigens niet voor micro- en kleine ondernemingen (ondernemingen met maximaal 50 werkzame personen en met een jaarlijkse omzet of jaarlijks balanstotaal van maximaal € 10.000.000.-), al moeten die ondernemingen wel te allen tijde toegang hebben tot een dergelijke persoon.

Als gezegd dient de PRRC over de nodige expertise op het gebied van medische hulpmiddelen te beschikken. Het kunnen aantonen van die expertise is bovendien verplicht. Bijvoorbeeld door een diploma, certificaat of ander bewijs van een formele kwalificatie ter voltooiing van een universitaire (of daaraan gelijke) opleiding op het gebied van geneeskunde, farmacie, technologie, rechten of een andere relevante wetenschappelijke discipline. Daarnaast moet de PRRC ten minste één jaar beroepservaring hebben op het gebied van regelgeving of kwaliteitsmanagementsystemen voor medische hulpmiddelen. Ontbreekt de universitaire achtergrond, dan volstaat ten minste vier jaar beroepservaring op het gebied van regelgeving of kwaliteitsmanagementsystemen voor medische hulpmiddelen ook.

De PRRC is vervolgens, onder andere, verantwoordelijk voor:

  • het controleren van de conformiteit van een medisch hulpmiddel conform het kwaliteitsmanagementsysteem van de fabrikant voordat het op de markt wordt gebracht;
  • het opstellen van de technische documentatie en EU-conformiteitsverklaring en het actualiseren daarvan;
  • het nakomen van de post-market verplichtingen; en
  • het nakomen van de verplichtingen op het gebied van rapporteren over ernstige incidenten en field safety corrective actions.

Wanneer er binnen een fabrikant meerdere personen gezamenlijk verantwoordelijk zijn voor de naleving van de MDR, is het verplicht om de afzonderlijke terreinen van verantwoordelijkheid en de daarvoor verantwoordelijke personen schriftelijk vast te leggen.

Om ervoor te zorgen dat de PRRC daadwerkelijk haar of zijn werk uit kan voeren is bepaald dat de PRRC in de organisatie van de fabrikant geen nadeel mag ondervinden met betrekking tot de behoorlijke uitvoering van diens taken. Het maakt daarbij niet uit of de PRRC een werknemer van de fabrikant is of niet.

Overgangsbepalingen

De regels uit de MDR zijn talrijker en verregaander dan de oude regels. Voor fabrikanten van medische hulpmiddelen die al in de handel waren gebracht voor 26 mei 2021 (de datum waarop de MDR van toepassing is geworden), gelden een aantal overgangsregelingen. De overgangsregelingen zijn vrij complex en blinken (daardoor) niet uit in duidelijkheid. Wij bespreken hierna de belangrijkste overgangsbepalingen voor fabrikanten van software.

Voor software die onder de oude regels in risicoklasse I viel en onder de MDR (door de aangescherpte definitie van medisch hulpmiddel) in risicoklasse IIa of hoger valt, geldt dat pas vanaf 26 mei 2024 aan de regels van de MDR hoeft te worden voldaan. Voorwaarde is wel dat voor 26 mei 2021 (door middel van zelfcertificering) al een EU-conformiteitsverklaring was opgesteld.

Voor software die voor 26 mei 2021 al door een aangemelde instantie was beoordeeld (software die onder de ouder regels in risicoklasse IIa en hoger viel), geldt dat het door de aangemelde instantie afgegeven certificaat geldig blijft uiterlijk tot en met 26 mei 2024. Ten aanzien van de geldigheid van de afgegeven certificaten geldt verder:

  • Indien het certificaat vóór 25 mei 2017 is afgegeven, blijft de oorspronkelijke geldigheidsduur van kracht (tenzij er sprake was van een EG-keuring, dan verliest het certificaat uiterlijk op 27 mei 2022 geldigheid); en
  • Indien het certificaat na 25 mei 2017 is afgegeven, blijft het certificaat maximaal vijf jaar na afgifte geldig en uiterlijk tot 27 mei 2024.

In alle situaties geldt dat:

  • de software aan de oude regels met betrekking tot medische hulpmiddelen moet blijven voldoen;
  • er geen significante wijzigingen in het ontwerp en beoogde doel mogen worden aangebracht; en
  • al wel moet worden voldaan aan de eisen uit de MDR op het gebied van post-market verplichtingen, vigilantie en de vereiste UDI en registratie in Eudamed.

Voor software die in risicoklasse I viel onder de oude regels en in risicoklasse I blijft vallen onder de MDR, geldt geen overgangsregeling. Deze software moet per 26 mei 2021 dus voldoen aan de regels uit de MDR.

Tot slot

De verplichtingen voor fabrikanten zijn onder de MDR talrijker en verregaander dan onder de oude regelgeving. Zo bespraken wij in dit blog de verplichting van de fabrikant om:

  • een systeem voor post-market surveillance te implementeren (inclusief verplichte rapportages);
  • de klinische evaluatie up-to-date te houden door middel van PMCF;
  • als onderdeel van het verplichte kwaliteitsmanagementsysteem een procedure te implementeren voor het melden van ernstige incidenten en field safety corrective actions; en
  • een interne of externe Person Responsible for Regulatory Compliance aan te stellen c.q. daar toegang tot te hebben.

Met dit derde en laatste deel van de driedelige verdiepende blogserie over de MDR hebben wij 12 belangrijke aandachtspunten voor ontwikkelaars van medische software en apps besproken. Wij hebben met deze blogserie geprobeerd handvatten te bieden bij het beantwoorden van een aantal cruciale vragen die ontwikkelaars van medische software en apps zichzelf naar ons idee altijd moeten stellen:

  • Is de software of app die ik heb ontwikkeld een medisch hulpmiddel?

en als het antwoord op de eerste vraag ja is:

  • In welke risicoklasse valt de software of app?
  • Waar moet ik aan voldoen voordat ik de software of app op de markt breng?
  • Waar moet ik aan voldoen nadat ik de software of app op de markt heb gebracht?
  • Vanaf welke datum moet ik aan de regels uit de MDR voldoen?

Als u het antwoord op deze vragen voor uzelf scherp heeft, bent u in staat uw compliancy op orde te brengen. Zodat u vervolgens, met een gerust hart, uw software of app op de markt kunt (blijven) aanbieden.

Meer weten?

Wilt u meer weten over de MDR, of advies over wat de MDR nu concreet voor u of uw organisatie betekent? Neem dan contact op met Huub de Jong of Marijn Rooke.