Przegląd regulacji dot. urządzeń medycznych w Unii Europejskiej

Przegląd regulacji dot. urządzeń medycznych w Unii Europejskiej

Rynek urządzeń medycznych – choć nadal mniejszy niż rynek farmaceutyczny – w 2022 roku był warty 640.3 mld USD[1]. Dziś z pomocą zegarka użytkownik może wykonać EKG, a w przypadku wykrycia nieprawidłowości – zegarek wyśle powiadomienie do najbliższych. A to dopiero początek – technologia niesie za sobą o wiele większe i bardziej ekscytujące możliwości. Jesteśmy świadkami rewolucji na rynku urządzeń medycznych.

Urządzenia medyczne, które dotychczas kojarzyły nam się głównie ze sprzętem medycznym w szpitalach, przybierają dziś różnoraką formę – od sprzętu połączonego z oprogramowaniem (hardware i software), po oprogramowanie jako urządzenie medyczne[2] - i są znacznie szerzej dostępne, także dla pacjentów jako użytkowników końcowych. Decydując się na korzystanie z urządzeń przenośnych – tzw. wearables (np. smartwatch), samodzielnie możemy dostarczyć dodatkowych danych, które dadzą szerszy kontekst niezbędny przy interpretacji wyników.

Wzrost popularności urządzeń medycznych dedykowanych dla użytkowników indywidualnych a także potencjał wynikający z połączenia danych z placówek medycznych z danymi z urządzeń przenośnych to wiele szans, ale także wiele wyzwań. Kwestie te nie umknęły uwadze ustawodawcy europejskiego.


Główne regulacje

Jako główne regulacje odnoszące się lub potencjalnie w przyszłości mające wpływ na urządzenia medyczne w Europie należy wskazać:

  • RODO (Ogólne Rozporządzenie o Ochronie Danych) – które wymaga m.in., aby przetwarzanie danych było bezpieczne z organizacyjnego i technicznego punktu widzenia, ale także oparte na odpowiedniej podstawie prawnej przetwarzania;
  • Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych i uchylająca dyrektywę Rady 2008/114/WE (CER),
  • projektowany Akt o Sztucznej Inteligencji – w którym uregulowane zostaną m.in. systemy sztucznej inteligencji będące elementem urządzeń medycznych, a które w niektórych przypadkach mogą okazać się systemami sztucznej inteligencji wysokiego ryzyka;
  • projektowane rozporządzenie Parlamentu Europejskiego i Rady w sprawie horyzontalnych wymogów cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi i zmieniające rozporządzenie (UE) 2019/1020 (CRA);
  • Rozporządzenie (UE) 2017/745 (Medical Devices Regulation, MDR) i Rozporządzenie (UE) 2017/746 (In Vitro Diagnostics Medical Devices Regulation, IVDR) – które ustanawiają przepisy dotyczące wprowadzania do obrotu wyrobów medycznych i wyrobów do diagnostyki in vitro (IVD) oraz powiązanych badań klinicznych;
  • projektowane Rozporządzenie Parlamentu Europejskiego i Rady w sprawie europejskiej przestrzeni danych dotyczących zdrowia (EHDS). O EHDS szczegółowo piszemy tutaj

Na co warto zwrócić uwagę?

Jak widać, Unia Europejska obarcza podmioty wytwarzające i obracające urządzeniami medycznymi znaczącym wysiłkiem związanym z dostosowaniem się do regulacji. W tym względnie na szczególną uwagę będą zasługiwały następujące kwestie, które będą przekładać się na faktyczne obciążenie obowiązkami związanymi z określonym urządzeniem:

  • odpowiednia klasyfikacja ryzyka związanego z danym urządzeniem. Jest to kwestia o kluczowym znaczeniu, gdyż ma wpływ na klasyfikację pod wymogami MDR i IVMDR, ale potencjalnie także na adekwatny dobór sposobów ochrony danych ze względu na wymogi RODO oraz wymagane środki cyberbezpieczeństwa,
  • powiązana, odpowiednia analiza i klasyfikacja danego urządzenia jako systemu sztucznej inteligencji, w tym systemu wysokiego ryzyka.

Warto wskazać, że wyżej wymienione regulacje wymagają wprowadzenia w organizacji szczegółowej i odpowiednio stosowanej dokumentacji w zakresie bezpieczeństwa (jak np. RODO czy NIS2), ale często także rozległej dokumentacji compliance dotyczącej samego urządzenia medycznego czy wearable (jak to ma miejsce na gruncie Aktu o Sztucznej Inteligencji, EHDS czy MDR i IVMDR), w tym obowiązki co do określonego czasu jej przechowywania i regularnego sprawdzania i aktualizacji. 

Odpowiednie rozpoznanie wiążących dla danego urządzenia i podmiotu obowiązków, a także ich prawidłowa interpretacja wymagają połączenia wiedzy prawniczej, specjalistycznej wiedzy na temat urządzenia medycznego oraz wiedzy z zakresu cyberbezpieczeństwa.

Niemniej jednak, dobrze działające, transparentne dla użytkowników i bezpieczne urządzenia medyczne będą z pewnością źródłem znaczącego postępu zarówno w dobrostanie użytkowników, a także w rozwoju medycyny i nauki związanej z samopoczuciem człowieka.

Ustawodawca europejski przewidział zachęty do interoperacyjności wearables z systemami elektronicznej dokumentacji medycznej w EHDS, a także możliwość wykorzystania tak zbieranych danych nie tylko do diagnostyki, ale także do badań naukowych (a to na postawie nie tylko EHDS, ale także RODO i Aktu o Danych, o którym piszemy tutaj).

Jeśli przewidziane mechanizmy zostaną skutecznie wprowadzone i będą wspomagane presją świadomych konsumentów wybierających urządzenia pozwalające im na przesyłanie swoich wyników bezpośrednio do dokumentacji medycznej, Unia Europejska będzie miała szansę być polem do znaczącego rozwoju w medycynie ze względu na wysoką dostępność danych. Do tej pory bowiem dostępność danych jest ograniczona obawami związanymi z wymogami RODO. Zanim jednak do takiego rozwoju i otwartości danych dojdzie, producenci, importerzy i dystrybutorzy urządzeń medycznych muszą pochylić się nad zagadnieniami ryzyka i odpowiednich zabezpieczeń swoich produktów, aby prawidłowo wprowadzać je na rynek europejski. 


Podsumowanie

Jesteśmy świadkami rewolucji na rynku urządzeń medycznych. Choć jest to rynek nadal mniejszy niż rynek farmaceutyczny – w 2022 roku był warty 640.3 mld USD. W artykule wskazujemy, na jakie regulacje prawne, odnoszące się lub potencjalnie w przyszłości mające wpływ na urządzenia medyczne w Europie, należy zwrócić uwagę.



Kontakt

Chcesz dowiedzieć się więcej? Skontaktuj się z nami.


Informacje

rozporządzenie dora Rozporządzenie DORA

Co to jest Digital Operational Resilience Act? Rozporządzenie DORA – wymagania z perspektywy dostawców ICT

Rozporządzenie DORA (Digital Operational Resilience Act) wprowadzono do porządku prawnego w styczniu 2023 r. Jakie zmiany wprowadza DORA, kiedy wchodzi w życie i jak się przygotować do nowych regulacji?

Bezpieczeństwo w Internecie. Nowa inicjatywa europejska – akt o usługach cyfrowych

Akt o usługach cyfrowych (dalej „DSA”) został przyjęty w ramach europejskiej strategii w sprawie danych, przedstawionej przez Komisję Europejską (dalej „KE”) w lutym 2020 roku. DSA ustanawia zharmonizowane zasady dla środowiska internetowego, zmierzające do zapewnienia bezpieczeństwa, przewidywalności i zaufania poprzez wprowadzenie mechanizmów dla ochrony praw podstawowych zapisanych w Karcie praw podstawowych Unii Europejskiej