De ontwikkeling en validatie van software in de gezondheidszorg is een complex proces dat steeds belangrijker wordt, vooral met de invoering van de MDR (Medical Device Regulation) en het ‘Convenant voor de veilige toepassing van medische technologie’. Onlangs is de ‘Richtlijn voor de validatie van software als medisch hulpmiddel’ gepubliceerd om artsen te helpen bij het valideren van software, van aankoop tot implementatie. Samen met Paul, mijn collega uit de werkgroep die deze richtlijn heeft opgesteld, kijk ik terug op het proces en waar we nu staan.
Destijds heb ik een panel van artsen samengesteld en samen met hen heb ik me verdiept in het onderwerp aan de hand van literatuur en input van experts op het gebied van digitale strategie. Dit leverde niet alleen waardevolle inzichten op voor de werkgroep, maar riep ook open vragen op. Bijvoorbeeld: hoe belangrijk is klinische expertise bij de ontwikkeling van software?
Onze verouderde digitale infrastructuren slagen er vaak niet in om duurzame, veilige of betrouwbare gegevens voor validatie te leveren, waardoor gegevensbeheer intensief en kostbaar wordt. Hoe zorgen we voor continue updates van voorspellingsmodellen met behulp van prospectief verzamelde gegevens? Hoe waarborgen we de belangen in de samenwerking tussen artsen en ontwikkelaars? En hoe houden we toezicht op klinische risico's? Er valt nog veel te onderzoeken buiten het bereik van deze richtlijn.
‘Validatievakantie’ voor artsen?
Volgens Paul zal het klinische werk steeds vaker moeten worden onderbroken voor softwarevalidatie – een ‘validatievakantie’. De richtlijn helpt hierbij, maar het tempo van nieuwe software en updates maakt het complexer. Zelfs kleine wijzigingen in het EPD kunnen uren duren om te valideren.
We verwachten van de ontwikkelaar dat hij degelijke en veilige producten garandeert. Hetzelfde geldt voor artsen: zij moeten vaststellen waar de risico's liggen en wanneer waarschuwingen nodig zijn.
Verkennen buiten het toepassingsgebied is onvermijdelijk!
De richtlijn benadrukt het belang van een breder perspectief op de gehele levenscyclus van software. Artsen moeten integraal betrokken worden om hun expertise in te brengen – iets wat ontwikkelaars, beleidsmakers, juristen en andere domeinexperts niet kunnen bieden! Artsen moeten er ook voor zorgen dat wetgeving, kaders, standaarden of normen waarde blijven toevoegen aan de gezondheidszorg.
Artsen zullen zich steeds meer verdiepen in relevante domeinen zoals ICT, recht en beleid om cruciale input te leveren. Zie het als een LLM-prompt: hoe specifieker de formulering, hoe nuttiger het antwoord. Maar ook weten wanneer je de LLM moet vrijgeven: een kunst, want het levert inzichten op die je zelf nooit zou hebben ontdekt! En dat zou een fluitje van een cent moeten zijn, want het leggen van die verbinding met de patiënt is de kerntaak van de arts!
Paul herinnert zich hoe hij vroeger elk stukje code zelf programmeerde, zodat hij precies wist hoe alles werkte. Tegenwoordig is dat anders. In plaats van urenlang te zwoegen, halen we nu tools uit digitale bibliotheken. Je roept die tools op en laat ze het werk doen totdat het aan je behoeften voldoet. Deze ‘vibe-coding’ biedt gemak: de AI-agent lost problemen snel op met toegang tot wereldwijde oplossingen. Maar dit gemak roept vragen op over controle en betrouwbaarheid.
Validatie van ‘crank-software’?
Paul vergelijkt vertrouwen in software met een ‘complottheorie’: het lijkt logisch, maar ergens zit er een fout in de redenering. Bij software is het moeilijk om zo'n verborgen fout te vinden. Validatie controleert of software werkt zoals verwacht, maar nog belangrijker is of de software je waarschuwt met een foutmelding wanneer er iets misgaat. Paul ontdekte bijvoorbeeld eens een fout in de dosering van cytostatica die de software niet had gedetecteerd. Tools uit online bibliotheken roepen extra vragen op: zijn ze gevalideerd, door wie en onder welke voorwaarden?
Vals gevoel van controle
De richtlijn suggereert controle over softwarevalidatie, maar in werkelijkheid zijn risico's, structuur en gebreken vaak onbekend. Dit kan leiden tot gezondheidsrisico's zonder dat artsen zich daarvan bewust zijn. Of erger nog: opzettelijk ingezet software-risico's in het belang van een kwaadwillende persoon of groep!
Volgens Paul is het niet anders dan voorheen: je moet nog steeds verwachten dat de ontwikkelaar degelijke en veilige producten garandeert. En hetzelfde geldt voor artsen: zij moeten aangeven waar de risico's liggen en wanneer waarschuwingen nodig zijn.
Paul de Wolf is ziekenhuisapotheker en Chief Pharmacy Information Officer bij het Haga Ziekenhuis in Den Haag, Nederland.
