Nog minder dan een maand tot invoering van de AVG en een krappe anderhalf jaar tot invoering van de MDR. Geen reden tot paniek, maar wél reden om snel orde op zaken te stellen. Want deze twee wetten hebben een flinke impact op de ICT-kant van de zorg.
Beide wetten spelen een belangrijke rol in de veiligheid van de patiënt en helpen daarmee de zorg vooruit. Veiligheid is immers prioriteit nummer één in de zorg. De MDR zorgt voor extra fysieke en procesmatige veiligheid als het gaat om het werken met medische apparatuur en systemen.
Maar veiligheid gaat verder dan directe veiligheidsaspecten zoals zorgvuldige procedures, hygiëne en adequate verpleegoproepsystemen. Patiëntveiligheid gaat namelijk ook om de veiligheid van de gegevens van de patiënt. En dát is precies waar de AVG over gaat; die waarborgt de bescherming van (patiënt)gegevens.
Algemene Verordening Gegevensbescherming
25 mei van dit jaar is de ‘deadline’ voor toepasselijkheid van de AVG (Algemene Verordening Gegevensbescherming), de Nederlandse vertaling van de Europese GDPR (General Data Protection Regulation). Het is de grootste verandering van wet- en regelgeving op het gebied van gegevensbescherming van de afgelopen 20 jaar, waarmee individuen meer controle krijgen over hun persoonlijke data. Bedrijven moeten (kort gezegd) alle privacygevoelige ‘Persoonlijk Herleidbare Informatie’ in kaart brengen. Het gros van de ICT-systemen en apparaten in de zorg maakt gebruik van persoonsgegevens en zullen dus moeten voldoen aan de regels die worden voorgeschreven vanuit de AVG.
Het implementeren van deze wet is met name voor de ICT-afdelingen van ziekenhuizen en zorginstellingen een flinke kluif. Wat moet er bijvoorbeeld allemaal gebeuren?
- Er zullen Privacy Impact Assessments moeten worden gedaan met betrekking tot risicovolle verwerkingen van persoonsgegevens. Dit geldt dus voor alle systemen die gebruik maken van persoonsgegevens.
- De rechten van betrokkenen zullen in het kader van de AVG opnieuw tegen het licht moeten worden gehouden: kunnen de rechten worden nagekomen? Denk hierbij bijvoorbeeld aan het recht op overdraagbaarheid van de gegevens.
- Ook het overkoepelende privacybeleid dient herschreven te worden om te voldoen aan deze nieuwe wet. Vervolgens is het van belang om te zorgen voor duidelijke procedures en training van het personeel, zodat zij op de juiste wijze omgaan met persoonsgegevens. De nieuwe wetgeving heeft dus niet alleen impact op de ICT-afdeling, maar heeft gevolgen voor de gehele organisatie.
Medical Device Regulation
Hoewel er al behoorlijk veel komt kijken bij het invoeren van de AVG-wetgeving, is dit niet de enige verandering waar zorginstellingen mee aan de slag moeten gaan. We staan namelijk ook aan de vooravond van de invoering van de Medical Device Regulation (MDR). In deze MDR, die vanaf 26 mei 2020 van toepassing is, worden de regels voor medische apparatuur en systemen verder aangescherpt. Onder deze nieuwe verordening vallen ook de medische alarmering en medische software.
De MDR schrijft voor dat alle apparatuur die na 26 mei 2020 wordt aangeschaft, vooraf wordt gekeurd en gecertificeerd. Het is daarom belangrijk om hier nu al rekening mee te houden bij de aanschaf van nieuwe medische apparatuur. Bovendien is het belangrijk dat ziekenhuizen en zorginstellingen zich realiseren dat deze apparatuur vaak deel uitmaakt van een keten. Dit kan betekenen dat een apparaat dat (nog) niet gecertificeerd is, en dus niet ingezet mag worden, de gehele keten kan stilleggen. Wanneer dit een medisch alarmeringssysteem betreft, kan dit direct grote gevolgen hebben.
ICT-medewerkers van ziekenhuizen en zorginstellingen zitten nu al niet stil. En met deze extra taken zullen ze nu moeten beslissen welke taken zij zelf oppakken en welke taken ze liever bij leveranciers neerleggen. Zo kun je bijvoorbeeld je medisch alarmeringssysteem als geintegreerde oplossing afnemen van een leverancier of integrator. Of je kiest voor losse componenten en/of software, die je vervolgens zelf samenbouwt tot een medisch alarmeringsysteem. Reserveer in het laatste geval wel voldoende tijd en aandacht voor de verplichtingen in de MDR zoals de Post Market Surveillance taken.
Aan de slag
Hoewel het bekend is dat deze nieuwe wetten eraan komen, blijkt dat veel ziekenhuizen en zorginstellingen de implementatie nog niet helemaal rond hebben. Dat is begrijpelijk, maar deze wetten dienen, ondanks alle uitdagingen, wel tijdig geïmplementeerd te worden. De boetes liegen er namelijk niet om. De ICT-afdeling zal in deze dynamiek het voortouw moeten nemen en dit vergt veel inspanning en expertise. Het is daarom zaak om nu aan de slag te gaan en waar nodig samenwerking te zoeken om ervoor te zorgen dat de organisatie tijdig is voorbereid op de nieuwe wet- en regelgeving. Het doel hierbij moet zijn dat de veiligheid van patiëntgegevens is gewaarborgd, zonder dat de organisatie bij de zorg voor de patiënten hier hinder van ondervindt. Deze ontwikkelingen zijn een prachtige kans voor ICT-afdeling om de zorg ook daadwerkelijk te verbeteren vanuit ICT-oogpunt. Want de veiligheid van de gegevens van patiënten is minstens zo belangrijk als de fysieke veiligheid van de patiënten zelf.
Mario de Lijster
Product Markt Manager Healthcare bij Ascom Benelux
