SBO Blog Het blog van Studiecentrum voor Bedrijf en Overheid
Zorgtechnologie zet je alleen verantwoord in als je wet- en regelgeving als uitgangspunt neemt, zo stelt Rob Peters, CFO bij Minddistrict. Binnen deze organisatie speelt hij een leidende rol in het compliant maken en houden van processen en systemen. “Patiëntgegevens moet je beschermen, daar moeten patiënten én organisaties op kunnen vertrouwen”.
Wet- en regelgeving als basis
Om gevoelige patiëntgegevens te beveiligen, gelden duidelijke wetten en regels voor leveranciers van digitale zorgtoepassingen. Die regelgeving is volgens Rob belangrijk voor de organisatie, en het biedt houvast voor klanten. “Voor iedereen die ons product gebruikt, is het een geruststellende gedachte dat we aan de gestelde eisen voldoen”. In 2024 voltooide Minddistrict verschillende grote compliance-projecten: de transitie naar de nieuwe informatiebeveiligingsnorm ISO 27001-2022, een traject rondom de Duitse DiGA-wetgeving, en de voorbereiding op de Medical Device Regulation (MDR). Deze laatste speelt een steeds grotere rol binnen de digitale zorg.
Wat houdt de MDR in?
De MDR is een aangescherpt Europees kader voor medische hulpmiddelen. Het doel is medische technologie veiliger maken voor cliënten en patiënten. “Het is een omvangrijk pakket aan eisen, en veel daarvan liggen bij de leveranciers”, vertelt Rob. “En terecht”. Nieuw is dat software nadrukkelijk wordt gezien als mogelijk medisch hulpmiddel. Daarmee zijn de eisen voor leveranciers van zorgtechnologie concreter én strenger geworden.
Van voorbereiding naar certificering
Binnen Minddistrict is het kwaliteitsmanagementsysteem dat de MDR vereist inmiddels volledig geïmplementeerd. “We zitten in de transitiefase tussen de oude en nieuwe wetgeving. Documentatie is ingediend, maar het hele certificeringsproces bestaat uit meerdere fases. Die zullen we in de loop van 2025 doorlopen”. Hoewel er formeel tot 2028 ruimte is om de MDR-certificering rond te krijgen, kiest Minddistrict bewust voor een eerdere aanpak. “Fabrikanten mogen alleen gebruikmaken van die transitieperiode als hun product in de tussentijd niet significant verandert”, legt Rob uit. “Zodra je grote updates wil doorvoeren, moet je MDR-gecertificeerd zijn. Als je te lang wacht, kan dat innovatie belemmeren”. Maar er speelt meer dan alleen een deadline. “Ik wil niet denken: ‘de tijd ligt nog ver voor ons’. We willen laten zien dat we zulke grote veranderingen in wet- en regelgeving serieus nemen. Dat we vooruitkijken”.
Compliance maakt innovatie mogelijk
Informatiebeveiliging en compliance zijn volgens Rob randvoorwaarden om zorgtechnologie aan te kunnen bieden. “Onze visie is: ‘comply or explain’. We zijn óf aantoonbaar compliant, óf we kunnen onderbouwd uitleggen hoe we binnen kaders opereren. En dat doen we uiteraard volgens onze eigen compliance-werkwijze”. Daarbij ziet Rob compliance nadrukkelijk niet als een blok aan het been van innovatie. Integendeel. “Je hebt het nodig om een veilig product te kunnen leveren. En dus ook om te kunnen innoveren. Want je maakt geen vernieuwing als die niet veilig genoeg is om toe te passen”. Bij elke productontwikkeling stelt Minddistrict de vraag: waarom willen we dit realiseren? “Waarom willen we iets met data-uitwisseling? Waarom voegen we een nieuwe feature toe? Wat levert het op voor onze klanten en patiënten? Dat gesprek voeren we intern én extern”. Daarna volgt de analyse: hoe past dit binnen de bestaande kaders? “We zoeken uit wie verantwoordelijk is, en leggen vast hoe we het aan klanten en patiënten kunnen uitleggen. Als je dat goed regelt, kan er verrassend veel”.
Zichtbare documentatie als sleutel
Die laatste zin is voor Rob essentieel. “Je kunt als organisatie vinden dat je niet onder bepaalde regels valt. Maar als je dat niet kunt onderbouwen, ben je niet klaar. Je moet voor elk kader kunnen laten zien hoe je ermee omgaat, en waarom dat correct is. Dat is waar het vaak misgaat: er ontbreekt documentatie die aantoont hoe regels zijn geïmplementeerd”.
Open zijn over wat nog niet af is
Naarmate de MDR-deadline dichterbij komt, worden de vragen van zorgorganisaties inhoudelijker. Dat merkt het compliance-team dagelijks. “En dat is positief. Wij nodigen klanten juist uit om bij ons in de keuken te kijken. Want transparantie en eerlijkheid brengen je verder”. Ook als bepaalde onderdelen nog niet volledig uitgewerkt zijn, is openheid het uitgangspunt. “Soms krijgen we vragen over iets wat nog niet helemaal staat. Dan zijn we daar gewoon eerlijk over. Ook wij kunnen niet alles tegelijk. Die houding zorgt voor vertrouwen bij onze klanten en levert duurzame werkrelaties op. En daardoor kunnen wij ons focussen op waar het om draait: het gebruik van digitale zorg in de praktijk, en verdere opschaling”.
Compliance kost wat – maar levert ook veel op
Dat compliance tijd en geld kost, is volgens Rob duidelijk. “Het is een flinke investering. Naast een goed functionerend informatiebeveiligings- en privacybeleid, moet je een volledig kwaliteitsmanagementsysteem implementeren. Dat wordt vervolgens getoetst in verschillende audits. Elke stap brengt kosten met zich mee. Uiteindelijk is het een externe partij die het certificaat afgeeft”. Die investering raakt niet alleen het compliance-team, maar de hele organisatie. “Je moet dit samen doen. Als alleen compliance verantwoordelijk is voor het implementeren van wet- en regelgeving, werkt het niet. Iedereen moet snappen waarom het nodig is en hoe we het doen”.
Zorgtechnologie vraagt om visie én verantwoordelijkheid
Is het het allemaal waard? Rob is duidelijk: “Absoluut. Digitale zorg is en blijft de toekomst. En als je je compliance goed organiseert, neem je onzekerheid weg bij organisaties. Dan ontstaat er ruimte om e-health echt in te zetten voor persoonlijke en efficiënte zorg. Dán kun je de belofte van zorgtechnologie waarmaken”.
Praat mee over zorgtechnologie
Hoe je technologie verantwoord inzet, binnen wettelijke kaders én met oog voor de gebruiker staat centraal tijdens het Mobile Healthcare Festival. Tijdens dit jaarlijkse event delen professionals uit zorg, beleid en technologie inzichten over hoe je digitale zorgoplossingen veilig, schaalbaar en effectief inzet. Wil je op de hoogte blijven van het programma? Vul dan dit formulier in!
