MedTech-apparatuur en connectiviteit – interessante kansen, aanscherpen van voorschriften

Tegenwoordig wordt een toenemend aantal MedTech-apparaten op ziekenhuisnetwerken of direct op het internet voor gebruik thuis aangesloten. De apparaten zijn gemaakt voor het thuis nauwkeurig en betrouwbaar bijhouden van, bijvoorbeeld, bloeddruk of bloedsuiker. De apparaten kunnen worden gecategoriseerd als het Internet of Medical Things (IoMT). De MedTech-markt groeit en nieuwe innovatieve startende bedrijven doen hun intrede.

"Vroeger, toen de functionaliteiten van apparaten niet afhankelijk waren van de software en er geen connectiviteit was, konden apparaten met een kleiner team worden ontwikkeld. Tegenwoordig hebben we grote groepen specialisten nodig voor iedere fase van de productontwikkeling", aldus Antti Tolvanen, Sales Director for Software & Embedded bij Etteplan.

Aangesloten MedTech-apparaten verbeteren de zorg voor patiënten, maar tegelijkertijd maakt connectiviteit apparaten kwetsbaarder voor cyberveiligheidsincidenten die een risico kunnen vormen voor patiënten en consumenten. MedTech-bedrijven moeten de cyberveiligheidsrisico's van producten beheersen.

Terwijl de wettelijke eisen toenemen, maken van AI en connectiviteit afhankelijk functionaliteiten medisch-technologische apparaten complexer.

De toenemende behoefte aan kennis kan een probleem worden voor bedrijven die alles binnenshuis willen ontwikkelen. Een groeiend aantal MedTech/IOMT-apparaten worden binnen een partnerschapsmodel ontwikkeld. Op deze manier kunnen MedTech-bedrijven hun interne kennis aanvullen met alle specifieke competenties die nodig zijn voor het met succes op de markt brengen van producten en het oplossen van toekomstige uitdagingen met betrekking tot EOL en veranderende eisen in de markt.

Hoe complexer een aangesloten apparaat is, des te belangrijker de cyberveiligheid wordt. De eisen met betrekking tot cyberveiligheid zijn zelfs nog hoger als het om AI gaat. Organisaties die verantwoordelijk zijn voor het beoordelen van de apparaten, zoals bevoegde instanties binnen de EU, nemen het technische bestand door, inclusief documenten betreffende het beveiligen van de productontwikkelingscyclus voorafgaande aan de CE-markering. In de VS verraste de FDA de MedTech- industrie door praktisch van de ene op de andere dag documentatie betreffende het beveiligen van de productontwikkelingscyclus voor het indienen van nieuwe medische apparaten verplicht te stellen.

Het is ook verstandig om rekening te houden met het feit dat de cyberveiligheid van apparaten voor gezondheid en welzijn via de onlangs aangenomen Radio Equipment Directive Delegated Act en de binnenkort aan te nemen voorstellen voor de Verordening Algemene Productveiligheid en Cyber Resilience Act zullen worden geregeld. Binnenkort verplichte veiligheidseisen betreffende technische producten, zoals software-updates, kunnen uitsluitend met een ondersteunende beveiligingsinfrastructuur worden geïmplementeerd.

"Medische apparaten hebben lange levenscycli, terwijl commerciële systemen voor levenscyclusbeheer voor apparaten onvoorspelbare, korte levenscycli kunnen hebben. Met het oog op de verplichte uitgebreide veiligheidsvoorzieningen die met betrekking tot medische apparaten moeten worden geïmplementeerd, kan het voor fabrikanten van medische apparatuur ook lonend zijn om een eigen oplossing voor een veiligheidsinfrastructuur te ontwikkelen. De hierbij behorende beslissing over ‘maken of kopen’ is cruciaal", zegt Antti Tolvanen van Etteplan.

Medische apparaten en hun fabrikanten moeten tegenwoordig aan strenge voorschriften voldoen. De EU reguleert praktisch alles met betrekking tot digitalisering om de risico's op het gebied van veiligheid, privacy en grondrechten voor mensen en entiteiten te beperken. De lasten door de regelgeving voor MedTech-bedrijven zullen via, onder andere, de NIS2 en Data Act toenemen.

Op 18 oktober 2024 worden als gevolg van de NIS2 middelgrote en grote fabrikanten van medische apparatuur 'Essentiële of Belangrijke Entiteiten' die verplicht een geschikt informatieveiligheidsbeheersysteem moeten hebben. De EU Data Act stelt op zijn beurt nieuwe eisen aan aangesloten producten en de bijbehorende digitale diensten en medische apparaten worden hiervan niet vrijgesteld. Gebruikers van producten worden eigenaar van de door de apparaten gegenereerde gegevens en moeten dus bijvoorbeeld vrije toegang tot alle gebruiksgegevens krijgen.

“Deze nieuwe regelgeving zal fabrikanten van medische apparaten en zorgverleners zeker voor extra uitdagingen stellen. Het zal zeker de moeite waard zijn de eisen van de Data Act vandaag al te bestuderen,” spoort regelgevingsspecialist Antti Tolvanen van Etteplan aan.