Kwaliteitsmanagementsysteem

52. Voor de MDR is een kwaliteitsmanagementsysteem verplicht, maar hoeft geen ISO 13485 te zijn. Stelt de notified body wel de eis om te voldoen aan de ISO 13485?

De wetgeving verwijst naar een passend kwaliteitssysteem en voldoen aan geharmoniseerde standaarden. De ISO 13485 is een geharmoniseerde norm. De ontwikkelaar moet procedures opstellen om ervoor te zorgen dat aan de vereisten van de MDR/IVDR wordt voldaan. Dit wordt beoordeeld door de notified body. In de procedures moeten de werkwijzen uit de IEC 62304 geïmplementeerd worden. Dat is belangrijker dan de ISO 13485.

53. Ik sta aan het begin van een gesubsidieerd softwareproject en zou graag advies krijgen in de opzet om tot een pakket te komen dat later MDR-proof kan worden gecommercialiseerd. Bij wie kan ik voor advies terecht in het Amsterdam UMC?

Neem contact op met de voorzitter van uw lokale implementatieteam (voor umc’s). U vindt de namen in de sheets van het webinar.

54. Kunnen jullie iets vertellen over de eisen van het kwaliteitssysteem waaraan een software ontwikkelaar moet voldoen in het kader van CE-markering aanvraag via notified body? Is het essentieel dat deze partij een ISO 13485 heeft?

De MDR vraagt om een “passend kwaliteitssysteem”. Als alleen de ontwikkeling wordt uitbesteed, is het voldoende dat de ontwikkelaar ontwikkelt volgens de IEC-62304 en dat ook kan aantonen. Dit kunt u in een overeenkomst met de ontwikkelaar afspreken. U dient wel periodiek te verifiëren of de ontwikkelaar zijn afspraken nakomt. Als de software voor in-huis gebruik ingezet wordt, volgt u de door het ziekenhuis voorgeschreven afspraken voor een kwaliteitssysteem. Een ISO 13485 is aan te raden, maar niet noodzakelijk.

55. Software is nu als klasse I onder MDD geregistreerd, maar valt onder de MDR in een hogere risicoklasse (IIa). Voor kleine organisaties (en artsen die in samenwerking met softwareontwikkelaars medische app’s ontwikkelen) is het lastig om aan de eisen die de MDR stelt te voldoen, vooral ten aanzien van het optuigen van benodigde QMS-systeem. Kosten voor compliant MDR systeem zijn aanzienlijk (> €200.000, kosten voor registratie door notified body alleen al zijn initieel €30.000 en daarna jaarlijks ook herbeoordelingskosten). Hoe uitgebreid moet een QMS zijn?

De minimale eisen voor een kwaliteitssysteem staan beschreven in Artikel 10.9 van de MDR en 10.8 van de IVDR. Indien de life cycle van software ingericht is conform de IEC 62304 en de klinische validatie en post-market surveillance op orde zijn, staat er al een heel aardig kwaliteitssysteem. Voor conformiteitsbeoordeling dient de notified body dan wel over alle benodigde procedures en bewijsvoering te kunnen beschikken (MDR/IVDR Bijlage IX).

56. Programmeur in 2022: 30% documentatie lezen, 60% documentatie maken, 10% programmeren.

Het is aan de fabrikanten of organisaties waarin de ontwikkelaars werken om methoden te verzinnen die logisch aansluiten op het ontwikkelproces. Het gaat om een product dat ingezet wordt in de patiëntenzorg en daarvoor moet het gevalideerd worden. Er mogen ook geen verrassingen in de software zitten. Het lijkt makkelijk om te stellen dat er teveel gedocumenteerd wordt, maar de gebruiker verwacht dat de software 100% werkt en voldoet aan de MDR/IVDR.

Het meeste werk zit in alles initieel up-to-date maken. Daarna is het bijhouden en gaat het voornamelijk nog om documentatie rondom een release van een nieuwe versie. Ervan uitgaande dat (zelfgemaakte) software tot nu toe al gevalideerd werd, betekent dit slechts een kleine toename in documentatie (zodra alles up-to-date is).

57. Is er, vooraf aan het V-model, advies voor het conceptuele voortraject?

Start met de intended use en software requirements. Wat wilt u met de software bereiken? Wat is de claim: Wat kan je software straks? Welke klinische onderbouwing is nodig, en wat is nodig om daar te komen? Wat zijn de risico's van de software en het ontwerptraject? Hoe gaat u die risico’s ondervangen?

De IEC-62304 loodst u door dit proces heen.