Vragen van de leden Dijkstra en Hachchi (beiden D66) aan de ministers van Volksgezondheid, Welzijn en Sport en van Veiligheid en Justitie over onveilige software in pacemakers (ingezonden 3 april 2012).

Antwoord van minister Schippers (Volksgezondheid, Welzijn en Sport) (ontvangen 12 april 2012).

Vraag 1

Bent u bekend met de publicatie over onveilige software in pacemakers?1

Antwoord 1

Ja.

Vraag 2

Bent u bekend met het gebruik van Supervisory Control and Data Acquisition (SCADA) in medische technologie zoals pacemakers en insulinepompen in Nederland?

Antwoord 2

Ja.

Vraag 3

Hoeveel human SCADA-apparaten zijn er geïmplanteerd in patiënten in

Nederlandse ziekenhuizen en klinieken? Wat zijn de gezondheidsrisico’s hiervan?

Antwoord 3

Er is geen centrale registratie van medische technologie met SCADA (Supervisory Control And Data Acquisition). In Nederland is dan ook niet bekend hoeveel medische hulpmiddelen – waaronder implantaten – gebruik maken van een dergelijk systeem. In mijn brief aan de Kamer d.d. 27 maart 2012, heb ik u geïnformeerd over het voornemen van een centrale registratie in Europa van implantaten en mogelijke complicaties. (Kamerstuk 32 805, nr. 7)

Bij navraag geeft Medtronic – één van de in de publicaties genoemde bedrijven – aan dat Medtronic tot op heden wereldwijd van patiënten of zorgverleners nog nooit meldingen heeft ontvangen over ongewenste draadloze manipulaties van insulinepompen en pacemakers.

Vraag 4

Welke veiligheidseisen worden er gesteld aan de toepassing van human SCADA? Hoe beoordeelt u deze?

Antwoord 4

Voor medische hulpmiddelen die software in zich hebben of die medische software

op zichzelf zijn, moet de software worden gevalideerd volgens de actuele stand van kennis en wetenschap rekening houdend met de beginselen van ontwikkelings- en levenscyclus, risico beheer, validatie en verificatie (Annex I MDD, 12.1 a).

De noodzaak om alert te zijn en in te spelen op veiligheidskwesties is aldus impliciet deel van de verplichting van de fabrikant van een medisch hulpmiddel.

Vraag 5

Moet er melding worden gemaakt van human SCADA-producten waarvan is aangetoond dat deze zwakheden/kwetsbaarheden in de beveiligingssoftware bevatten die tot gezondheidsrisico's voor de drager kunnen leiden? Zo ja, bij wie? Wordt deze melding openbaar gemaakt? Wordt er ook toezicht gehouden op de kwaliteit van human SCADA?

Antwoord 5

Ja, na markttoelating van een medisch hulpmiddel is het van groot belang om te vervolgen hoe het hulpmiddel functioneert in de praktijk (Post Market Surveillance). Daartoe moet de fabrikant blijven nagaan of het hulpmiddel doet wat het beoogt te doen en welke complicaties en bijwerkingen optreden bij langer gebruik en bij grotere groepen gebruikers. Zo geeft Medtronic aan dat het continu de veiligheid van haar devices blijft beoordelen.

Als er kwetsbaarheden aan het licht komen, zal Medtronic direct bekijken of additionele veiligheidsmaatregelen geïmplementeerd moeten worden, zonder de therapie van patiënten te beïnvloeden. Voor de hoogrisicoklassen medische hulpmiddelen (bijvoorbeeld implantaten) moeten afwijkende bevindingen worden gemeld aan de certificerende Aangemelde Instantie of ten algemene bij de bevoegde autoriteit in Nederland: de Inspectie voor de Gezondheidszorg (IGZ).

Meldingen bij een aangemelde instantie zijn niet openbaar. De certificerende aangemelde instantie moet (blijven) nagaan of een medisch hulpmiddel waarvoor een certificaat is afgegeven nog voldoet aan de essentiële eisen.

Vraag 6

Bent u van mening dat er op het moment voldoende wettelijke waarborgen zijn om te voorkomen dat producenten gezondheidsrisico's voor hun klanten creëren door het blijven verkopen en niet terugroepen van human SCADA-apparaten waar niet-gepubliceerde kwetsbaarheden in aanwezig zijn?

Antwoord 6

In mijn brief d.d. 27 maart 2012, heb ik mijn voornemens voor aanscherpingen binnen het huidige wettelijke regime aan u kenbaar gemaakt. (Kamerstuk 32 805, nr. 7)

Vraag 7

Deelt u de mening dat wettelijk afgedwongen dient te worden dat human SCADA-producten pas na een nader te bepalen certificeringstraject voor hun beveiligingssoftware verkocht mogen worden op de Nederlandse markt en gebruikt mogen worden in medische toepassingen in Nederland?

Antwoord 7

Voor medische hulpmiddelen uit de hoogrisicoklassen is al sprake van een certificeringstraject door de aangemelde instanties aan de hand van de essentiële eisen uit de Europese richtlijn voor medische hulpmiddelen.

Naar boven