Wet- en regelgeving, en de naleving daarvan, zijn randvoorwaardelijk voor het kunnen aanbieden van solide en veilige technologieën - zeker in de zorg. Zorgverleners en -organisaties hebben namelijk toegang tot gevoelige patiëntgegevens, die goed beschermd moeten worden. Om die veiligheid te garanderen, zijn wetten en regels opgesteld waar leveranciers aan moeten voldoen. Rob Peters heeft als CFO bij Minddistrict een leidende rol bij het compliant maken en houden van de organisatie. Dat is niet alleen belangrijk voor Minddistrict zelf, maar ook een hele geruststelling voor de zorgorganisaties en patiënten die met Minddistrict werken.
Afgelopen jaar heeft Minddistrict een aantal grote compliance-projecten afgerond. Daaronder de transitie naar de nieuwe informatie-beveiligingsstandaard ISO 27001-2022; het compliance-project rondom de Duitse Digital Health Applications (DiGA)-wetgeving voor een nieuwe applicatie; het afronden van de Medical Device Regulation (MDR) Readiness-project voor de organisatie en het technisch dossier van het Minddistrict-platform.
“Veel leerzaam en interessant werk op het gebied van compliance dus het afgelopen jaar”, vertelt Peters. “De MDR is een regelgevend kader waarin de EU-regelgeving omtrent medische hulpmiddelen is aangescherpt. Momenteel is het kwaliteitsmanagementsysteem waar de MDR om vraagt volledig geïmplementeerd binnen Minddistrict. Onze documenten zijn ingediend bij de relevante notified body (door EU aangewezen beoordelingsorgaan, red.), maar het zal nog even duren voordat de certificering is afgerond. De audit, van start tot finish, kent verschillende fases die we gedurende 2025 zullen doorlopen.”
Belang naleving MDR
Het doel van de MDR is om medische hulpmiddelen die worden ingezet in het zorglandschap zo veilig mogelijk te maken voor cliënten en patiënten. Peters hierover: “De MDR beslaat omvangrijke wet- en regelgeving, waarbij veel vereisten – terecht - worden neergelegd bij de leveranciers van medische hulpmiddelen. Er is onder andere meer specifieke aandacht gekomen voor software als medisch hulpmiddel, zoals van toepassing voor Minddistrict. We bevinden ons momenteel in de transitiefase tussen de oude en nieuwe wetgeving en starten in 2025 met de auditfase. Vernieuwing van de MDR was nodig om een sprong in de tijd te maken wat betreft de regelgeving. Daarbij zijn de vereisten waaraan fabrikanten van medische hulpmiddelen moeten voldoen ook verder verduidelijkt.”
Hoewel de transitieperiode voor Minddistrict mag duren tot 2028, kan het belangrijk zijn om al eerder MDR-gecertificeerd te zijn, legt Peters uit. “Fabrikanten mogen alleen van de transitieperiode gebruikmaken wanneer ze hun product in die tijd niet significant aanpassen. Wanneer je wel grote veranderingen wil doorvoeren in je product, moet je het MDR-certificaat namelijk al wel aan de muur hebben hangen.”
Oftewel: als een producent te lang wacht met het updaten en laten auditen van het kwaliteitsmanagementsysteem en technisch dossier, gaat het op een gegeven moment vastlopen bij de productontwikkeling. Peters: “Maar het is wat mij betreft een stuk belangrijker dat je als fabrikant aan de afnemers van je product kunt laten zien dat je dit soort omvangrijke veranderingen in de wet- en regelgeving niet te ver voor je uitschuift.”
Comply or explain
Informatiebeveiliging en compliance zijn belangrijke randvoorwaarden voor het aanbieden van medische hulpmiddelen, vertelt Peters. Eén van de visies van Minddistrict op dit vlak is comply or explain.
“Dus óf we zijn aantoonbaar compliant óf we kunnen uitleggen aan klanten en regulerende instanties hoe wij met kaders zijn omgegaan en hoe die zijn geïmplementeerd bij Minddistrict. Op het moment dat een organisatie denkt niet aan bepaalde regelgeving te hoeven voldoen, is het naar mijn mening niet genoeg om niks te doen. Je moet voor ieder kader kunnen uitleggen hoe je hier mee om bent gegaan en waarom dat, volgens jou, op een juiste wijze gaat. Maar daar gaat het vaak mis: documentatie over kaders die niet zichtbaar zijn geïmplementeerd, ontbreken vaak.”
Peters benadrukt ook geen ‘department of no’ te willen zijn. “We gaan daarom zowel intern als extern graag het gesprek aan, bijvoorbeeld over waarom we iets voor elkaar willen krijgen met data-uitwisseling of waarom er een nieuwe feature in ontwikkeling moet gaan. Wanneer we ons product verder ontwikkelen, is ons uitgangspunt altijd om na te denken over waarom we iets voor elkaar willen krijgen. Waarom is dit zo belangrijk en wat voegt het toe voor onze klanten en patiënten? De vervolgstap is dat we gaan kijken hoe die ontwikkeling past binnen de kaders van wet- en regelgeving. We gaan de verantwoordelijkheden na, en documenteren hoe we de ontwikkeling uit kunnen leggen aan klanten en patiënten wanneer er vragen gesteld worden. In onze optiek kan bijna alles, zolang je het maar goed regelt.”
Meer MDR-vragen
Informatiebeveiliging is een belangrijk onderwerp voor zorgorganisaties, merkt Peters. Minddistrict krijgt geregeld vragen over privacy, maar ook informatiebeveiliging is een onderwerp dat enorm speelt bij zorgorganisaties.
“De MDR is steeds meer in opkomst, dus ook daar krijgen we allerlei vragen over. Die vragen verschillen van ‘Is Minddistrict een medisch hulpmiddel?’ tot ‘Hoe is de klinische evaluatie van het platform geregeld?’. De vragen van zorgorganisaties lijken zich steeds meer te verschuiven van brede vragen over wat wij met de MDR doen, tot specifieke vragen over hoe we de compliance precies geregeld hebben.”
Doordat de MDR-deadline dichterbij komt, worden de vragen van zorgorganisaties steeds inhoudelijker, merkt Peters. Ze willen weten of ze erop kunnen vertrouwen dat Minddistrict een kwalitatief goed product levert. “Dat is een goede ontwikkeling, want transparantie en eerlijkheid brengt je uiteindelijk het verst. Daarom verstrekken wij bijvoorbeeld altijd een document over onze MDR-strategie aan klanten die hier vragen over hebben. Klanten die vergaande interesse hebben, worden zelfs uitgenodigd om een kijkje in onze keuken te nemen.”
Eerlijkheid en transparantie
Peters vervolgt: “En als we bepaalde aspecten van een wet of richtlijn nog niet helemaal hebben uitgewerkt, zijn we daar gewoon open over. We kunnen nu eenmaal niet alles tegelijk doen. We merken dat die eerlijkheid en transparantie goed is voor het vertrouwen van klanten in ons. Door met onze documentatie aan te tonen dat we compliance hoog in het vaandel hebben staan, creëren we een goede werkrelatie met onze klanten. Daardoor kunnen we ons vervolgens richten op de kernvraag in plaats van de randvoorwaarden, het gebruik van e-health in de praktijk en verdere opschaling bijvoorbeeld.”
Vragen over compliance zijn volgens de CFO zeer terecht en moeten vooral gesteld worden. Maar ze nemen vaak een te groot gedeelte van het implementatietraject in beslag, terwijl die gesprekken eigenlijk moeten gaan over hoe men succesvol de implementatiedoelen gaat halen. “En hoe we vervolgens kunnen opschalen. Uiteindelijk is het de verantwoordelijkheid van de leverancier om aan een zorginstelling te laten zien dat het onnodig is om al die vragen tot op de letter te stellen.”
Investering
Bij compliance komen flinke kosten kijken, maar daar kun je als leverancier van een medisch hulpmiddel niet omheen, legt Peters uit. “Het vergt een behoorlijke investering om MDR-compliant te kunnen handelen. Er moet naast je informatiebeveiligings- en privacy-managementsystemen namelijk onder andere een volledig kwaliteitsmanagementsysteem geïmplementeerd worden binnen de gehele organisatie. Vervolgens moet de nieuwe werkwijze en het technisch dossier getoetst worden in audits. Bij al die stappen komen kosten kijken. Tot slot zal een externe partij de organisatie van een certificaat moeten voorzien, dat aan de muur kan worden gehangen.”
Er mogen dan externe partijen betrokken zijn bij compliance, de implementatie van nieuwe wet- en regelgeving moet toch echt intern gebeuren, concludeert Peters. “Implementatie kan haast niet extern gedaan worden. Voor een succesvolle implementatie van een nieuwe werkwijze zal de organisatie echt zelf aan de slag moeten. Daarvoor is flink wat mankracht nodig binnen een organisatie, bestaande uit meerdere werknemers die zich voltijd met compliance bezighouden. Uiteindelijk is naleving van de relevante wet- en regelgeving een randvoorwaarde voor het neerzetten van een product in de zorgmarkt. Daar kan je nu eenmaal niet omheen.”
Opschalen
Ondanks de benodigde investering, blijft digitale zorg de toekomst, gelooft Peters. “Zodra aan deze randvoorwaarde is voldaan, zal de belofte van e-health de investering waard maken. Vanuit het oogpunt van compliance zijn organisaties soms angstig om een digitale zorgoplossing te implementeren of op te schalen, puur omdat er onzekerheid bestaat over wet- en regelgeving. Wanneer we dat met elkaar opgelost hebben, is die onzekerheid geen barrière meer om verder op te schalen. En dan ontstaat er ruimte om e-health in te zetten om de zorg efficiënter en persoonlijker te maken, waarmee de belofte van digitale zorg eindelijk wordt ingelost.”
CV
Rob Peters werkt sinds februari 2021 bij Minddistrict en is CFO. Daarvoor werkte hij bij Deloitte: eerst bij de afdeling Accountancy en daarna bij Deloitte Legal. Daar werkte hij onder andere aan het opzetten van nieuwe compliance-dienstverlening voor de digitale zorgmarkt.