Tijdig voorbereiden op MDR-certificering cruciaal voor ontwikkelaars medische software

wo 16 februari 2022
Tijdig voorbereiden op MDR-certificering cruciaal voor ontwikkelaars medische software
Premium

Software kan een medisch hulpmiddel zijn, bijvoorbeeld als een toepassing monitoring van patiënten, diagnostiek of medicatievoorschrijving ondersteunt. Dan is een CE-markering noodzakelijk. Sinds mei 2021 moet dergelijke software ook voldoen aan nieuwe Europese wetgeving. Deze Medical Devices Regulation (MDR) is op veel fronten een stuk strenger dan eerdere wetgeving (MDD). De Inspectie Gezondheidszorg en Jeugd (IGJ) merkt dat de MDR nog erg onbekend is bij softwareontwikkelaars. Daar moet verandering in komen, want voor je het weet is de overgangsperiode voorbij. Een tijdige start van een certificeringstraject is noodzakelijk om de software op de markt te kunnen blijven brengen.

De MDR moet – net als de IVDR voor in-vitro diagnostica - bijdragen aan veilige softwaretoepassingen in de zorg. Zodra software bedoeld is als medisch hulpmiddel, is minimaal een CE-markering nodig. Maar onder de MDR wordt meer software ingeschaald in een hogere risicoklasse. En dat betekent dat er een CE-certificaat nodig is dat wordt uitgegeven door een notified body.

Voor zo’n certificering moet aantoonbaar worden voldaan aan allerlei eisen over kwaliteits- en risicomanagement en het klinisch bewijs van de software. Een gebruiker van de software moet er immers op kunnen vertrouwen dat software doet wat de ontwikkelaar belooft en dat de risico’s voor patiëntveiligheid geminimaliseerd zijn. Momenteel geldt een overgangsregeling waarbij software tijdelijk nog (deels) onder het oude regime op de markt mag worden gebracht.

Handhaving waar nodig

Een deel van de wetgeving is niet nieuw. Tot 26 mei 2021 gold de Medical Device Directive (MDD). De IGJ houdt inmiddels bijna tien jaar toezicht op medische software die onder de MDD en nu MDR valt. Op eigen initiatief of naar aanleiding van meldingen toetst de IGJ de veiligheid van software bij de ontwikkelaars ervan. Als er aanleiding toe is, treedt de IGJ op. Bijvoorbeeld door een herstelactie te eisen of in enkele gevallen een boete of last onder dwangsom op te leggen.

In aanloop naar de MDR heeft het ministerie van VWS met hulp van de IGJ veldbijeenkomsten georganiseerd waar de wetgeving en beschikbare handvatten onder de aandacht zijn gebracht van koepelorganisaties1. Ook publiceert de Europese Commissie regelmatig relevante informatie2 en ontwikkelen verschillende koepels en marktpartijen handreikingen ter ondersteuning.

Met de komst van de MDR heeft de IGJ het toezicht ook aangepast. De inspectie toetst medische software onder andere op de beoordeling of het mogelijk medische hulpmiddelen zijn en of ze in de juiste risicoklasse ingedeeld zijn. Ook bezoekt de inspectie de bij haar bekende softwareontwikkelaars. Daarbij is in de eerste helft van 2021 de nadruk gelegd op thuismonitoring, in de tweede helft zijn oplossingen gericht op medicatiebewaking doorgelicht.

Overgangsregeling

Bij deze bezoeken lag de focus op de overgangsregeling die sinds de invoering van de MDR geldt. In deze regeling kunnen softwareproducten onder de oude eisen op de markt worden gebracht, met enkele extra voorwaarden. Zo mag er vanaf 26 mei 2021 geen significante wijziging worden aangebracht in het product, denk aan een aanpassing van het softwareontwerp. Ook gelden strengere eisen voor post-market surveillance, het systeem waarmee een ontwikkelaar prestaties en veiligheid monitort.

Als meer softwarefabrikanten voldoen aan de MDR, betekent dat ook dat er bij de IGJ meer informatie binnen zal komen over medische software waarbij iets niet heeft gefunctioneerd als gepland. Nu worden dit soort gebeurtenissen nog in beperkte mate gemeld. De IGJ kijkt bij de meldingen naar trends (bijvoorbeeld structurele uitval van systemen) en volgt individuele meldingen op als er mogelijk sprake is van grote patiëntrisico’s.

Ook zal de inspectie in de toekomst meer aandacht besteden aan de ontwikkeling en gebruik van medische software door zorginstellingen, oftewel in-huis ontwikkeling. Hierbij vervalt de certificeringsplicht van de ontwikkelaars, maar moet nog wel worden voldaan aan de veiligheidseisen uit de MDR. Ook geldt de voorwaarde dat de software niet buiten de zorginstelling wordt ingezet.

Uiteenlopende voorbereiding

Softwareontwikkelaars zijn zeer uiteenlopend voorbereid op de eisen uit de MDR, zag de IGJ bij inspectiebezoeken. Dit blijkt uit de planning om tot certificering te komen. Een aantal bezochte bedrijven heeft al een aanvraag voor certificering gedaan bij een certificerende instantie (notified bodies), terwijl bij anderen een planning geheel ontbreekt. Omdat er een overgangsregeling geldt voor de meeste software, hebben de meeste bedrijven tot 26 mei 2024 de tijd om de certificering rond te krijgen - onder voorwaarden. Dat klinkt ver weg, maar het traject tot certificering van een product door een notified body kan meer dan een jaar in beslag nemen.

Bij bezoeken van de IGJ bleek dat softwareontwikkelaars het ingewikkeld vinden om te bepalen of de software een medisch hulpmiddel is, en zo ja, in welke risicoklasse deze ingedeeld dient te worden. Er zijn verschillende guidances3 opgesteld die hierbij kunnen helpen. Het is in elk geval belangrijk de argumentatie en onderbouwing hiervoor helder vast te leggen zodat deze logisch te volgen is voor de inspectie en een notified body.

Niemand voldeed volledig

Ook hebben de bezochte bedrijven moeite met de invulling van de eisen die de MDR stelt aan ontwikkeling van medische software. Zo zag de inspectie bij elk bezoek minstens één onderwerp waarbij het bedrijf niet voldeed aan de eisen. Het ging hier onder andere over het goed uitvoeren van risicomanagement en de klinische evaluatie. Daarbij is het goed om te beseffen dat er nu nog wordt getoetst aan de overgangsregeling, waarbij zowel delen van de MDD als de MDR gelden.

Zo staan bedrijven bij het opstellen van de risicoanalyse niet altijd goed stil bij het onderwerp cybersecurity en beschrijven ze maatregelen om beveiligingsrisico’s te minimaliseren niet met voldoende onderbouwing. Denk aan het risico dat criminelen malware installeren op een smartphone waar een medische app op wordt gebruikt. Eén manier om risicomanagement goed uit te voeren, is de ISO-norm 14971.

Voor de klinische evaluatie moet de ontwikkelaar voldoende gegevens te verzamelen uit bronnen als wetenschappelijke literatuur, tests en klinische onderzoeken en deze up-to-date houden. Uit deze gegevens moet objectief geconcludeerd kunnen worden of de software een aanvaardbare baten-risicoverhouding heeft. In de praktijk is de klinische evaluatie vaak niet volledig genoeg om deze conclusie te kunnen trekken. Een voorbeeld is dat een ontwikkelaar concludeert dat de gebruikersinterface past bij de beoogde gebruiker, bijvoorbeeld een arts of een patiënt, terwijl daar geen onderbouwing van te vinden is in de vorm van testen voor gebruiksvriendelijkheid.

Gebrek oplossen

Op het moment dat de inspectie deze of andere punten tegenkomt bij de bezoeken, wijst de inspectie de softwareontwikkelaar hierop en stelt mogelijk een eis tot beëindigen non-conformiteit. Hierbij krijgt de ontwikkelaar een bij de overtreding passende termijn om het gebrek op te lossen. Na het verstrijken van die termijn wordt een follow-up bezoek uitgevoerd om te toetsen of dit het geval is.

Ook is het belangrijk om dergelijke gebreken op te lossen en het technisch dossier op orde te krijgen vóórdat de eerste stappen naar certificering worden gezet. Dit versnelt en vergemakkelijkt het certificeringstraject aanzienlijk en voorkomt dat de software niet meer op de markt mag worden gebracht na aflopen van de overgangsregeling. Wel is voldoende kennis en expertise van de MDR noodzakelijk om dit op de juiste manier te kunnen doen.

Blijf ontwikkelingen volgen

Na het aflopen van de overgangsperiode op 26 mei 2024 moet alle medische software die een risicoklasse IIa of hoger kent gecertificeerd zijn voordat deze in de handel wordt gebracht. Hiermee wordt de rol van de notified bodies groter en wordt voortaan vooraf getoetst op de eisen uit de MDR. De inspectie zal ook in deze periode medische software blijven beoordelen, softwareontwikkelaars bezoeken en meldingen opvolgen.

Ook houdt de inspectie aandacht voor medische software die onterecht zonder certificering in de handel wordt gebracht. Dit kunnen consumentenapps, diagnostische software of andere toepassingen die door een zorgprofessional worden ingezet zijn, mits de software een medisch doel heeft zoals gedefinieerd in de MDR.

Relevante wetgeving, normen en guidances zijn continu in ontwikkeling. Zo ligt er nu een voorstel van de Europese Commissie om de markttoelating van AI-toepassingen te reguleren (de Artificial Intelligence Act). Deze wetgeving zal naar verwachting ook gelden voor medische software. De IGJ benadrukt dat softwareontwikkelaars er goed aan doen om voldoende kennis van relevante wetgeving op te bouwen, deze goed bij te houden en tijdig stappen te zetten om producten te certificeren.

Referenties