Je kunt alleen zorgtechnologie aanbieden als je de naleving van wet- en regelgeving vooropstelt. Althans, dat vindt Rob Peters, CFO bij Minddistrict met een leidende rol bij het compliant maken en houden van de organisatie. “Patiëntgevens moet je beschermen. Dat is waar het om gaat. En daar moeten patiënten en organisaties op kunnen vertrouwen.”
Rob Peters
Om de veiligheid van gevoelige patiëntgegevens zo goed mogelijk te beschermen, zijn wetten en regels opgesteld waar leveranciers aan moeten voldoen. “Dat is niet alleen belangrijk voor Minddistrict zelf, maar ook een geruststelling voor iedereen die ons product gebruikt.”
Rob en zijn team rondden in 2024 een aantal grote compliance-projecten af: de transitie naar de nieuwe informatiebeveiligingsstandaard ISO 27001-2022; een compliance-project rondom de Duitse wetgeving voor DiGA (digitale gezondheidsapplicaties); en een project om de organisatie en technisch dossier van het Minddistrictplatform klaar te stomen voor de Medical Device Regulation (MDR).
Wat is de Medical Device Regulation?
De MDR is een regelgevend kader waarin de EU-regelgeving voor medische hulpmiddelen is aangescherpt. Het doel van de MDR is om medische hulpmiddelen zo veilig mogelijk te maken voor cliënten en patiënten. “Het bestaat uit omvangrijke wet- en regelgeving. Veel vereisten daaruit worden neergelegd bij de leveranciers van medische hulpmiddelen. En terecht.”
Een verschil met de regelgeving hiervoor, is dat er specifiekere aandacht is gekomen voor software als medisch hulpmiddel. De vereisten waaraan fabrikanten moeten voldoen zijn verduidelijkt en verscherpt.
Transitiefase MDR
“Op dit moment is het kwaliteitsmanagementsysteem waar in de MDR om wordt gevraagd volledig geïmplementeerd binnen Minddistrict. We bevinden ons in de transitiefase tussen de oude en nieuwe wetgeving. Onze documenten zijn ingediend, maar het zal nog even duren voordat de certificering is afgerond. De audit, van begin tot eind, kent verschillende fases. In de loop van 2025 zullen we die gaan doorlopen.”
Hoewel de transitieperiode voor Minddistrict mag duren tot 2028, kan het belangrijk zijn om al eerder MDR-gecertificeerd te zijn, legt Rob uit. “Fabrikanten mogen alleen van de transitieperiode gebruikmaken wanneer ze hun product in die tijd niet significant aanpassen. Wanneer je wel grote veranderingen wil doorvoeren in je product, moet je het MDR-certificaat al wel aan de muur hebben hangen. Oftewel: als een producent te lang wacht met het updaten en laten auditen van hun kwaliteitsmanagementsysteem en technisch dossier, gaat het op een gegeven moment vastlopen bij de productontwikkeling.”
Tegelijkertijd is dat voor Rob niet de enige overweging. “Nee, ik denk niet ‘oh, de deadline ligt nog ver weg’. Ik wil graag aan onze partners en gebruikers laten zien dat we dit soort omvangrijke veranderingen in wet- en regelgeving niet ver voor ons uitschuiven.”
Compliance en innovatie: op gespannen voet?
“Informatiebeveiliging en compliance zijn belangrijke randvoorwaarden voor het aanbieden van medische hulpmiddelen,” vertelt Peters. “Eén van onze visies is daarom ‘comply or explain’. Dus we zijn óf aantoonbaar compliant, óf we kunnen uitleggen aan klanten en regulerende instanties hoe we met kaders omgaan en hoe die zijn geïmplementeerd bij Minddistrict. Natuurlijk volgens de compliance-werkwijze.”
‘Wij werken volgens de visie ‘comply or explain’’
Compliance is binnen Minddistrict dan ook geen ‘department of no’, benadrukt Rob. “Je hebt compliance nodig om een veilig en solide product aan te bieden. Je hebt het daarom óók nodig om te kunnen innoveren. Want je innoveert niet om een product te maken dat vervolgens niet veilig genoeg is om te gebruiken.”
Bij het verder ontwikkelen van het product is het uitgangspunt daarom altijd om na te denken over waarom Minddistrict iets voor elkaar wil krijgen, legt hij uit. “Daar ga je het gesprek voor aan, intern en extern. Waarom wil je iets voor elkaar krijgen met data-uitwisselen? Waarom willen we deze nieuwe feature? Waarom is dit zo belangrijk en wat voegt het toe voor onze klanten en patiënten?”
‘Wij zijn niet het ‘Department of No’’
De vervolgstap is onderzoeken hoe de ontwikkeling past binnen de kaders van wet- en regelgeving. “We gaan de verantwoordelijken na en documenteren hoe we de ontwikkeling kunnen uitleggen aan klanten en patiënten. Zo kan bijna alles, zolang je het maar goed regelt.”
Vooral die laatste frase is belangrijk. “Je kunt vinden dat je organisatie niet aan bepaalde regelgeving hoeft te voldoen, maar wat mij betreft ben je dan niet klaar. Je moet voor ieder kader kunnen uitleggen hoe je ermee om gegaan bent, en waarom dat volgens jou op een juiste wijze gaat. Daar gaat het vaak mis: documentatie over kaders die niet zichtbaar zijn geïmplementeerd ontbreekt vaak.”
Je kunt niet alles tegelijkertijd
De vragen van zorgorganisaties worden met het dichterbij komen van de MDR-deadline steeds inhoudelijker, merkt team compliance. “Dat is een goede ontwikkeling. Kom maar een kijkje nemen in de keuken, want onderlinge transparantie en eerlijkheid brengt je het verst.”
Dat geldt ook als het team zaken nog níet op orde heeft: “soms komen er vragen over aspecten van een wet of richtlijn die we nog niet helemaal hebben uitgewerkt. Dan zijn we daar ook gewoon open over: ook wij kunnen niet alles tegelijk doen. Ik merk dat dit goed is voor het vertrouwen dat klanten in ons hebben: het creëert een goede werkrelatie met onze klanten. En daardoor kunnen we ons richting op de kernthema's: het gebruik van digitale zorg in de praktijk en verdere opschaling.”
Een flinke investering
Bij compliance komen flinke kosten kijken, maar daar kun je als ehealthleverancier niet omheen, legt Rob uit. “Het vergt een behoorlijke investering om MDR-compliant te kunnen handelen. Naast je informatiebeveiligings- en privacymanagementsysteem moet je o.a. een heel kwaliteitesmanagementsysteem implementeren in de hele organisatie. Vervolgens wordt dit getoetst in meerdere audits. Bij elke stap komen kosten kijken. Tot slot voorziet een externe partij de organisatie van een certificaat.”
Dit kost niet alleen tijd van het compliance-team, maar ook van de rest van Minddistrict. “Je moet het echt samen doen. Als alleen compliance wet- en regelgeving implementeert, dan werkt het niet. Om aantoonbaar compliant te zijn moet iedereen doordrongen zijn van het nut en van de werkwijze.”
De moeite waard
Is het nog de moeite waard, al dat werk om aan steeds meer regelgeving te voldoen? “Ja, digitale zorg blijft de toekomst”, zegt Rob zonder te aarzelen. “En door je compliance goed te organiseren kun je onzekerheid over wet- en regelgeving bij organisaties wegnemen. Dan ontstaat ruimte om ehealth vol in te zetten voor persoonlijke en efficiënte zorg. Dan kun je de belofte van digitale zorg eindelijk inlossen.”
Meer weten?
Heb jij ook vragen voor Rob en het complianceteam? Je kunt ze stellen via dit e-mailadres.
Dit is niet de eerste keer dat we schrijven over compliance bij Minddistrict. Eerder beantwoordde compliance officer Cristina op camera een aantal vragen en vooroordelen. Bekijk de video hier.