Leveranciers & Contracten

Grip op Kwaliteit in de Huisartsenpraktijk

Voor overzicht in een steeds complexer leverancierslandschap

Als praktijkmanager ben jij de spil tussen de zorgverlening en de externe partijen die die zorg mede mogelijk maken. Van het HIS dat elke dag draait tot de bloeddrukmeter op de behandeltafel: leveranciers bepalen mede de kwaliteit en veiligheid van jouw praktijk. En de lat ligt hoog, zowel vanuit wet- en regelgeving als vanuit de verwachtingen van patiënten en toezichthouders.

Toch is leveranciersbeheer in veel praktijken nog ad hoc geregeld. Contracten worden getekend zonder grondige beoordeling, en bestaande leveranciers worden zelden kritisch geëvalueerd. Dat moet anders, zeker nu wetgeving als de MDR en de AI Act steeds meer eisen stellen, niet alleen aan fabrikanten, maar ook aan jou als gebruiker.

In deze blog lees je hoe je leveranciers systematisch selecteert en beoordeelt, welke wet- en regelgeving daarbij speelt, en je vindt aan het einde een praktische checklist die je direct kunt gebruiken.

Download de checklist

Wet- en regelgeving: wat moet je weten?

Dit is het terrein waar veel praktijkmanagers tegen aan lopen: de regelgeving is complex, omvangrijk en verandert snel. Hieronder de meest relevante kaders op een rij, want alleen als je weet welke eisen gelden, kun je leveranciers daar ook op beoordelen.

De MDR — Medical Device Regulation (EU 2017/745)

De MDR is de Europese verordening voor medische hulpmiddelen en geldt sinds mei 2021. De wet stelt strengere eisen aan de markttoelating van medische hulpmiddelen en heeft ook gevolgen voor zorginstellingen die deze hulpmiddelen gebruiken. De MDR vervangt de vroegere MDD (Medical Device Directive), de Europese richtlijn die tot de invoering van de MDR van kracht was. Afhankelijk van de risicoklasse van een hulpmiddel gelden verlengde overgangstermijnen: voor hulpmiddelen uit klasse III en implanteerbare klasse IIb-hulpmiddelen geldt een overgangsperiode tot en met 31 december 2027.

Wat betekent dit voor jouw praktijk?

  • Arrow icon
    Geldige CE-markering Controleer of medische hulpmiddelen die je aanschaft voorzien zijn van een geldige CE-markering onder de MDR (of nog geldig onder de oude MDD met verlengde overgang).
  • Arrow icon
    RisicoklasseWeet welke risicoklasse een hulpmiddel heeft, dit bepaalt hoeveel onafhankelijk toezicht er is geweest op het product.
  • Arrow icon
    SoftwareBelangrijk: software kan ook een medisch hulpmiddel zijn. Diagnostische software (bijv. ECG-interpretatie, risicomodellen) valt vaak onder de MDR, met alle bijbehorende verplichtingen.
  • Arrow icon
    Verplicht voor registratieHoud bij welke hulpmiddelen je gebruikt. EUDAMED (European Database on Medical Devices), de Europese database voor medische hulpmiddelen, wordt vanaf mei 2026 verplicht voor registratie van apparaten en economische operators.
  • Arrow icon
    Calamiteiten meldenMeld calamiteiten met medische hulpmiddelen. Als een hulpmiddel letsel veroorzaakt of dreigt te veroorzaken, moet dit gemeld worden bij de Inspectie Gezondheidszorg en Jeugd (IGJ).

De AI Act (EU 2024/1689)

De AI Act is op 1 augustus 2024 in werking getreden en wordt stapsgewijs van kracht. Dit is de eerste Europese wet die specifiek AI reguleert. De wet hanteert een risicogebaseerde aanpak: hoe hoger het risico, hoe zwaarder de eisen.

  • 2 februari

    2025

    Verbod op onaanvaardbare AI-praktijken van kracht

    Medewerkers die met AI werken moeten voldoende opgeleid zijn (AI-geletterdheid).

  • 2 augustus

    2025

    Regels voor algemene AI-modellen van kracht.

  • 2 augustus

    2026

    Verplichtingen voor hoog-risico AI-systeme

    Verplichtingen voor hoog-risico AI-systemen die nieuw op de markt komen.

  • 2 augustus

    2027

    Verplichtingen voor hoog-risico AI

    Verplichtingen voor hoog-risico AI in medische hulpmiddelen (bijlage I van de verordening).

Wat valt onder hoog risico?

AI-systemen die worden ingezet bij diagnose of behandelbeslissingen worden vrijwel zeker als hoog-risico geclassificeerd. Dit geldt voor AI-gestuurde triagetools, beslisondersteuning, en diagnostische software. Voor dergelijke systemen gelden strenge eisen aan datakwaliteit, transparantie, menselijk toezicht en documentatie.

Jouw rol als gebruiker:

Als huisartsenpraktijk ben je in de meeste gevallen de gebruiker van een AI-systeem. Dit betekent dat je verplicht bent om:

  1. Het AI-systeem te gebruiken conform de gebruiksaanwijzing van de leverancier
  2. Menselijk toezicht toe te passen, een arts of zorgverlener blijft altijd eindverantwoordelijk
  3. Incidenten te rapporteren
  4. Patiënten transparant te informeren wanneer AI wordt ingezet
  5. Een DPIA (Data Protection Impact Assessment, een gegevensbeschermingseffectbeoordeling) uit te voeren vóór ingebruikname

Praktische actie

Inventariseer welke AI-systemen jij al gebruikt of overweegt aan te schaffen. Vraag leveranciers naar hun plannen voor naleving van de AI Act en of hun product CE-gecertificeerd is of zal worden.

NEN 7510, NEN 7512 en NEN 7513, informatiebeveiliging in de zorg

Deze drie normen vormen de ruggengraat van informatiebeveiliging voor huisartsenpraktijken. Op grond van de Wabvpz (Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg), de Nederlandse wet die extra regels stelt aan de omgang met medische persoonsgegevens, zijn zorgaanbieders wettelijk verplicht te voldoen aan NEN 7510, NEN 7512 en NEN 7513.

Wat regelt het?

NEN 7510
Informatiebeveiliging in de zorg, beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. Vereist een ISMS (Information Security Management System): een samenhangend stelsel van beleid, processen en maatregelen om informatiebeveiliging structureel te borgen. Nieuwe versie: NEN 7510:2024.

NEN 7512
Vertrouwensbasis voor gegevensuitwisseling, eisen voor veilige elektronische communicatie tussen zorgverleners en andere partijen.

NEN 7513
Logging, het vastleggen van acties op elektronische patiëntdossiers.

Checklist in/uit dienst

Belangrijk voor leveranciersbeheer

Elke leverancier die patiëntgegevens verwerkt, moet NEN 7510-gecertificeerd zijn. Dit geldt voor je HIS-leverancier, declaratiesoftware, apps en andere systemen. Je kunt het certificaat van een leverancier controleren via de NEN-website. Voldoet een leverancier niet? Dan is beëindigen van het contract de aangewezen stap.

Selectie en beoordeling van ICT/softwareleveranciers

Hierbij richten we ons met name op de meest kritische categorie vanuit kwaliteits- en compliance perspectief: ICT/softwareleveranciers.

Selectie van een leverancier
Een goede leveranciersselectie begint vóórdat er een offerte op tafel ligt. Het gaat om drie fasen: voorbereiding, beoordeling en contractering.

  • Fase 1: Voorbereiding, weet wat je nodig hebt

    Stel vooraf vast welke functionele eisen je stelt. Wat moet het product of de dienst kunnen? Welke integraties zijn nodig (bijv. koppeling HIS met andere systemen)? Welke continuïteitseisen gelden? En niet onbelangrijk: welke wettelijke eisen zijn van toepassing? Voor medische hulpmiddelen en AI-toepassingen zijn de eisen aanmerkelijk strenger dan voor een schoonmaakbedrijf.

  • Fase 2: Beoordeling van kandidaten

    Vraag meerdere partijen aan en beoordeel ze op minimaal de volgende criteria:

    • Certificeringen en conformiteit, indien het een medisch hulpmiddel betreft: is het product CE-gecertificeerd? Heeft de leverancier relevante certificeringen zoals NEN 7510, ISO 27001 (informatiebeveiliging) of ISO 13485 (kwaliteitsmanagementsystemen voor medische hulpmiddelen)?
    • Track record en referenties, werkt de leverancier al met andere huisartsenpraktijken? Vraag actief naar referenties.
    • Financiële stabiliteit, een leverancier die failliet gaat, neemt jouw HIS of ondersteuning mee. Controleer de inschrijving bij de KvK (Kamer van Koophandel) en eventueel de gepubliceerde jaarrekening.
    • Privacy en beveiliging, hoe gaat de leverancier om met patiëntgegevens? Is er een verwerkersovereenkomst beschikbaar?
    • Ondersteuning en service, wat zijn de beschikbaarheidsgaranties (SLA’s, Service Level Agreements)? Hoe snel wordt er gereageerd bij storingen?

  • Fase 3: Contractering

    Een contract is meer dan een formaliteit. Zorg dat minimaal het volgende is vastgelegd:

    • Een verwerkersovereenkomst (vereist onder de AVG, Algemene Verordening Gegevensbescherming, ook bekend als GDPR) als de leverancier persoonsgegevens verwerkt
    • SLA’s (Service Level Agreements) met heldere responsetijden
    • Afspraken over updates, patches en informatiebeveiliging
    • Beëindigingsclausules en wat er met data gebeurt bij contracteinde
    • Incidentmelding: hoe en wanneer informeert de leverancier jou bij datalekken of storingen?

Beoordeling van een bestaande leverancier

Leveranciersbeheer stopt niet bij het tekenen van het contract. Jaarlijkse evaluatie is voor kwaliteitsbewuste praktijken geen luxe, maar een vereiste, zeker voor kritische leveranciers.

Wanneer evalueer je?

  1. Jaarlijks, als vast onderdeel van de kwaliteitscyclus (PDCA: Plan-Do-Check-Act, een methode voor continue verbetering)
  2. Na incidenten, storingen of klachten
  3. Bij wijzigingen in wet- en regelgeving die de leverancier of diens producten raken
  4. Bij ingrijpende wijzigingen aan het product of de dienst (bijv. nieuwe softwareversie, overname van de leverancier)
  5. Bij het naderen van contractverlenging

Hoe evalueer je?

Gebruik een gestandaardiseerde beoordelingslijst (zie de checklist verderop in deze pagina). Bespreek de evaluatie met de leverancier zelf, een leverancier die niet open staat voor feedback is een risico. Documenteer de uitkomsten en verbeterafspraken. Leg vast wie verantwoordelijk is voor opvolging.

Grip op leveranciersbeheer in je praktijk

Grip op je leveranciers én voorbereid op audits?
Download de checklist en breng direct structuur aan in je selectie- en beoordelingsproces.

Download de checklist