E-health staat voor het gebruik van hedendaagse informatie- en communicatietechnologie om gezondheid en gezondheidszorg te ondersteunen of te verbeteren. Vooral internettechnologie speelt een belangrijke rol.

Er zijn veel uiteenlopende voorbeelden van e-health. Allereerst zijn er veel toepassingen voor patiënten. Denk aan patiëntportalen, meetapparaten, online behandelprogramma’s en dergelijke. Vanouds valt ook de ondersteuning van het werk van zorgverleners onder e-health. Zoals het elektronisch patiëntendossier en elektronisch delen van gegevens. Maar ook allerlei medische apps en systemen die helpen bij medische beslissingen.

De vele mogelijkheden kunnen tal van voordelen bieden in de zorg. Maar e-health kan ook risico’s met zich mee brengen. Voor de inspectie is het van belang dat de voordelen en de risico’s in de juiste verhouding staan. Het gaat daarbij om twee zaken: een veilig product en een veilig gebruik van dat product in de zorg.

Een veilig product

Sommige e-health-producten hebben een plaats in de diagnose of behandeling van en ziekte of handicap. In dat geval kunnen ze onder de wet op de medische hulpmiddelen (Wmh) vallen. De fabrikant van het product staat dan onder toezicht van IGJ. IGJ handhaaft op de Wmh. Als een fabrikant niet voldoet aan de wettelijke eisen, kan dit leiden tot een boete. Dat is in de afgelopen jaren enkele keren voorgekomen. Maar niet elke app of ander voorbeeld van e-health is een medisch hulpmiddel. Stappentellers en andere gezondheids-apps voor recreatieve doeleinden zijn dit bijvoorbeeld niet. Ze vallen dan ook niet onder het toezicht van de IGJ.

Veilig gebruik

Zorginstellingen die met e-health aan de slag gaan hebben daarnaast een eigen verantwoordelijkheid. Ze moeten zorgen dat de inzet van e-health leidt tot goede en veilige zorg. Als wettelijk kader gelden daarbij vooral de Wet kwaliteit klachten en geschillen in de zorg (Wkkgz) en de Wet beroepen in de individuele gezonheidszorg (Wet BIG). Dit vraagt om een goede inschatting van de risico’s vooraf. Maar ook om voldoende training en tijdig onderhoud. De benadering van de inspectie voor het toezicht op e-health sluit aan op die van het Convenant Medische Technologie.

 Op deze pagina gaan we dieper in op een aantal onderwerpen op het gebied van e-health.

Software als medisch hulpmiddel

Een softwareproduct kan een medisch hulpmiddel zijn als het een diagnostische of therapeutische functie heeft. Voor software die onderdeel uitmaakt van een medisch apparaat is dat vaak duidelijk.

Zo bevat een MRI-scanner, een medisch hulpmiddel voor beeldvorming van het inwendige lichaam, software voor de juiste werking van dit apparaat. Maar zogenaamde ‘standalone software’ die géén onderdeel uitmaakt van een medisch apparaat, kan ook een medisch hulpmiddel zijn. Bijvoorbeeld een softwareproduct om de MRI-beelden voor een zorgverlener weer te geven. Ook een product dat de  medische gegevens van een patiënt gebruikt om een aandoeningen te ontdekken is een medisch hulpmiddelen.

Wanneer is software volgens de wet een medisch hulpmiddel? Hoe houdt de inspectie hierop toezicht? In onderstaand artikel ‘Medische software doorgelicht’, leest u over de ontwikkeling van software als medisch hulpmiddel en het toezicht hierop. Het artikel gaat in op het wettelijk kader en gerelateerde normen, zoals IEC 62304 en ISO 27001. Ook staat er meer over de belangrijkste bevindingen van de inspectie tot nu toe.

Sinds 2014 treedt de IGJ handhavend op bij overtreding van de Wmh door fabrikanten van software. In de praktijk blijken risicoanalyses en klinische evaluatie vaak zwakke punten bij de bezochte fabrikanten.

Lees het artikel 'Medische software doorgelicht'.

De wetgeving die hierover gaat:

Veilig gebruik van eHealth

Er zijn meerdere incidenten in de zorg bekend waar software een belangrijke rol had. Uit een recent onderzoek in opdracht van de Nederlandse Vereniging voor Klinische Fysica  blijkt dat ICT-gerelateerde problematiek op de vierde plaats komt in een landelijke inventarisatie van VIM-meldingen. In een recente analyse van het Emergency Care Research Institute komen ICT-risico’s op de zesde plaats. Ook de bedreigingen van ransomware zijn recentelijk in het nieuws geweest. Bij de aanschaf en ingebruikname van software wordt niet altijd zorgvuldig gehandeld. Het gaat dan bijvoorbeeld om het specificeren van een programma van eisen, het valideren, het formeel accepteren en vervolgens implementeren van software. Ook het aanbrengen van veiligheidsupdates gebeurt soms te laat.

Tegelijkertijd ontwikkelen de wetgeving en normering zich verder, denk aan de wet ‘aanvullende bepalingen verwerking persoonsgegevens in de zorg’, die in juli 2017 is ingegaan. Voor het verantwoord ontwikkelen en veilige toepassen van telemedicine, een onderdeel van eHealth, is al enkele jaren geleden de norm NEN 8028 ontwikkeld; deze vormde de basis voor het internationale equivalent daarvan, de ISO 13131. Deze normen zijn verkrijgbaar bij de NEN.

Vanaf 2018 besteedt de inspectie structureel aandacht aan het thema e-health bij zorginstellingen. In aanloop daar naartoe heeft de inspectie zich georiënteerd op de huidige stand van zaken in verschillende zorginstellingen. In het najaar van 2017 is de inspectie daarom begonnen met een reeks verkennende bezoeken. De inspectie bezocht ziekenhuizen, ggz-instellingen en instellingen voor gehandicaptenzorg. Het ging om zorginstellingen gespreid over het land, waarvan de inspectie op basis van openbare bronnen wist dat deze actief e-health-producten of diensten inzetten. Dit hoefde niet per se op grote schaal te gebeuren. Deze eerste inspectiebezoeken waren nog niet in eerste instantie gericht op handhaving.

De bevindingen van deze bezoeken gebruikt de inspectie om haar toezicht op e-health verder in te richten en het toetsingskader verder vorm te geven. De resultaten van de eerste tien bezoeken zijn opgenomen in een factsheet.

Veilige overdracht van informatie

Er gaat veel mis gaat in de communicatie tussen zorgverleners. Inzet van ICT kan de communicatie makkelijker maken. Als partijen voor de communicatie geautomatiseerde systemen inzetten, moeten er afspraken zijn over de terminologie en technische standaarden. Ook moeten er afspraken zijn over een minimale kernset van gegevens waarmee de gezondheidstoestand van patiënten is samengevat. Over de juiste randvoorwaarden voor elektronische communicatie worden afspraken gemaakt op bestuurlijk niveau in het informatieberaad zorg. Een voorbeeld hiervan is de basisgegevensset zorg. De inspectie ziet de daadwerkelijke invoering van dergelijke initiatieven als een belangrijke randvoorwaarde voor de veilige overdracht van informatie in de zorg.

Het RIVM deed in 2017 onderzoek naar de vraag: ‘Wat kunnen zorginstellingen zélf vanuit doen om de elektronische uitwisseling van zorggegevens te regelen die nodig is voor goede en veilige zorg over de grenzen van de eigen instelling heen?’ In een internetsearch vond het RIVM een grote diversiteit aan initiatieven die zich richten op gegevensuitwisseling over de grenzen van de zorginstelling heen. Ook nam het RIVM interviews af. De resultaten van de internetsearch en de interviews laten zien dat er goede mogelijkheden zijn. Wel blijft het ontwikkelen en implementeren van systemen voor elektronische uitwisseling van zorggegevens een kwestie van lange adem.

Informatiebeveiliging

Het veilig afschermen van vertrouwelijke medische patiëntinformatie tegen onbevoegde inzage is een verantwoordelijkheid van het zorgveld. De onderstaande normen gaan over informatiebeveiliging in de zorg. Ze geven methoden voor het waarborgen van beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Het gaat dan om alle informatie die nodig is om patiënten verantwoorde zorg te kunnen bieden.

  • NEN 7510 – Informatiebeveiliging in de zorg
  • NEN 7512 – Informatiebeveiliging in de zorg – Vertrouwensbasis voor gegevensuitwisseling.
  • NEN 7513 – Medische informatica – Logging – Vastleggen van acties op elektronische patiëntdossiers. 

De normen zijn opgenomen in het 'Besluit elektronische gegevensverwerking door zorgaanbieders'. De autoriteit persoonsgegevens ziet toe op de naleving. Ook IGJ hanteert deze normen wanneer de kwaliteit van zorg in het geding is als gevolg van het onveilig omgaan met medische persoonsgegevens.

Elektronisch Voorschrijf Systeem (EVS)

De inspectie vindt de inzet van EVS-systemen belangrijk omdat het bijdraagt aan de verbetering van de medicatieveiligheid. EVS biedt tijdens het voorschrijven ondersteuning bij complexe medicatiebeslissingen. Ook voorkomt inzet van EVS fouten die het gevolg zijn van onleesbare recepten. Zie ook meer informatie over het toezicht op elektronisch voorschrijven en medicatieveiligheid.