APPS ALS MEDICAL DEVICE NVvIR Apps en meer! 18 juni 2015 Erik Vollebregt www.axonlawyers.com
Regels voor mhealth Regels zijn vaak vaag, niet bijzonder duidelijk en soms mhealth vijandig Iedereen zegt er iets anders over 2
What s the diagnosis for Europe?
Regulering van apps is internationale business EU reguleert Medische hulpmiddelen en companion diagnostica Veiligheid en werkzaamheid van de medische app Bescherming van persoonsgegevens Privacy compliance en veiligheid, big data eidentificatie
Regulering van apps is internationale business IMDRF discussies over software as a medical device Standardisatie in IEC (bijv. IEC 62304), ISO (bijv. ISO 62366), HL7 Productaansprakelijkheid voor software Grensoverschrijdend gebruik van ehealth diensten
Regulering van apps is geen internationale business Er wordt ook heel veel niet bepaald op internationaal niveau: Aansprakelijkheid van artsen voor medisch handelen Vereisten aan uitwisseling van gegevens en compatibiliteit Uitoefening van de geneeskunst (mag een arts een app voorschrijven, en onder welke voorwaarden, wat voor dingen mag je testen met een app?)
Apps kunnen medisch hulpmiddel zijn Medical device is any [article including software] whether used alone or in combination with device including the software intended by its manufacturer to be used specifically for diagnostic and/or therapeutic purposes and necessary for its proper application, intended by the manufacturer to be used for human beings for the purpose of diagnosis, prevention, monitoring, treatment or alleviation/ compensation of disease or handicap investigation, replacement or modification of the anatomy or of a physiological process control of conception General purpose software used in healthcare setting is not medical device (recital 6 Directive 2007/47) Accessories to devices are regulated as devices in their own right
MEDDEV beslisboom
Regulatory slippery slope Regulatory continuum towards medical device regulation Wellness search transfer move store display count trend alter highlight amplify alleviates analysis interpret alarms calculates can benefit those who suffer from controls converts detects measures Medical: Diagnostic Therapeutic diagnoses treats monitors 9
Regulatory rubble Geen eifu for patienten apps compliance catch 22 10
EN 62304 5.2.2 Software requirements content re security Typical cybersecurity points, but only with respect to standalone software
EN 62304 content re security Risk management: Moet meegenomen worden in het algemene EN 14971 risk management process voor het hulpmiddel.
Are we doing anything in the EU? Biggest EVAH! About public utilities and communications infrastructure What are the medical devices companies and healthcare institutions doing?
Draft NIS Directive Article 14 provides for market operator security requirements and incident notification duty ERGO: all (medical)devices that run software, that interconnect and process / transmit data
NIS Directive Duty to implement measures Notification duty Public disclosure of incidents Delegated acts
FDA approach to cybersecurity measures Based on US National Institute of Standards and Technology (NIST) cybersecurity framework: identification of assets, threats and vulnerabilities; assessment of the impact of threats and vulnerabilities on device functionality and end users / patients; assessment of the likelihood of a threat and of a vulnerability being exploited; determination of risk levels and suitable mitigation strategies; assessment of residual risk and risk acceptance criteria;
Future EU Medical Devices law nothing specifically new in the field of cybersecurity; MDR Proposal, Annex I, point 14 does not addresses cybersecurity specificallu: point 14.2 repeats point 12.1a of the MDD, which will remain linked to EN 62304 so future cybersecurity for the moment is more of the same Any cybersecurity measure will need to come from harmonised standard
General EU security regulations and standards IEC 80001 Application of risk management for IT-networks incorporating medical devices Plays important role in Swedish competent authority Läkemedelsverket in 2009 in the first version of their guidance Proposal for guidelines regarding classification of software based information systems used in health care. This is not a harmonised standard under the medical devices directives, because it is directed at clinical institutions and not to medical device manufacturers.
Arts & app Arts / ziekenhuis houdt altijd eigen (klinische) verantwoordelijkheid WBP, NEN 7510 WGBO (7:453 goed hulpverlener, 7:454 e.v. dossier) EGiZ Code Wet Medische Hulpmiddelen Kwaliteitswet Zorginstellingen Beroepsaansprakelijkheid (6:77 BW)
Privacy & security moeilijk?
Doe een PIA, het is geen rocket science Een Privacy Impact Assessment helpt met het identificeren van privacy punten die in het design en implementatie aan de orde komen.
Privacy and security
CBP doet er wat mee
Privacy by design obligations for medical devices WP 202: apps on smart devices WP 223: Controller has responsibility for security of IoT devices Parties purchasing OEM devices and solutions will want privacy by design compliance warranties
Privacy by design obligations for medical devices WP 223 on end of life devices and remote monitoring / measuring devices
Data protection: security case study CASE STUDY
Background
Green Paper next steps
Next steps voor de Commissie Privacy and security Commission initiative on drawing up an industry-led Code of Conduct on mobile health apps, covering the topics of privacy and security Safety and transparency lack of clinical evidence, misleading claims on the purpose and function Web entrepreneurs' access to the market Unclear and fragmented legal framework, lack of interoperability and open platforms
Wat blijven de grote vragen? Borderline gezond / medisch? Afweging bescherming privacy / noodzaak te zoeken naar (un)known unknown? Naar welke standaarden moet alles en iedereen werken voor publieke gezondheidszorg?
Wat blijft het grote probleem? Wat willen we met mhealth? Regels volgen ethiek Maar we hebben vaak geen ethiek voor disruptieve medische technologie Big changes especially big technological changes usually outpace ethical reflection, but basic ethical sensibilities gradually catch up.
Compliance nog niet top of mind in de branche Sector moet zich niet teveel blindstaren en laten afleiden door kwesties als certificering Een bedrijf als Google trekt zich weinig van dat soort discussies aan. Apple en Google investeren momenteel enorm in compliance van hun medische software en gaan zeker geen ruzie zoeken met toezichthouders over compliance vraagstukken
Toezichthouder bijt nu
THANKS FOR YOUR ATTENTION Erik Vollebregt Axon Lawyers Piet Heinkade 183 1019 HC Amsterdam T +31 88 650 6500 F +31 88 650 6555 M +31 6 47 180 683 E erik.vollebregt@axonlawyers.com @meddevlegal B http://medicaldeviceslegal.com READ MY BLOG: http://medicaldeviceslegal.com www.axonlawyers.com