AIS Protocol
Preambule
- Het Nederlandse Medicijnen Verificatie Systeem (NMVS) maakt deel uit van een Europees systeem dat is ontworpen om vervalsing van geneesmiddelen te helpen voorkomen. Elke medicijnverpakking moet via dit systeem worden geverifieerd. Dit maakt het NMVS en de bijbehorende systemen in heel Europa van vitaal belang in de reguliere geneesmiddelenketen, van marketing tot het moment dat geneesmiddelen aan de patiënt worden verstrekt. De werking van het NMVS, beheerd door de Nederlandse Organisatie voor Geneesmiddelenverificatie (NMVS), moet voldoen aan de hoogste standaarden en het is essentieel dat dit strikt voldoet aan alle geldende regels.
- Fabrikanten, groothandels en apotheken (“eindgebruikers”) die in Nederland actief zijn, zijn verplicht zich aan te sluiten op het NMVS.
- De basis van deze verplichting is de Gedelegeerde Verordening van de Europese Commissie 2016/161 en de onderliggende richtlijnen. Volgens deze wetgeving is elke apotheek en groothandel verplicht om elke medicijnverpakking te scannen zodat het NMVS kan controleren op mogelijke medicijnvervalsingen. NMVO heeft met elke eindgebruiker een overeenkomst waarin aanvullende regels zijn vastgelegd met betrekking tot het NMVS en het werken met NMVO.
- In de meeste gevallen wijzen eindgebruikers het technische deel van deze verplichte taken toe aan aanbieders van informatiesystemen (“Service Providers”). De Service Providers zorgen voor het tot stand brengen en onderhouden van de verbinding met het NMVS en zorgen ervoor dat de betreffende gegevens conform de wetgeving aan het NMVS worden doorgegeven.
- Het is het beleid van NMVO om Service Providers toe te staan verbinding te maken met het NMVS om ervoor te zorgen dat eindgebruikers voldoen aan hun verplichtingen onder de relevante wetgeving.
- NMVO heeft dit protocol opgesteld om een duidelijk kader te creëren voor het werken met Service Providers.
Protocol
Scans, identiteit
1. De gegevens van elke scan van medicijnverpakkingen door een eindgebruiker moeten zonder enige wijziging aan de NMVO worden doorgegeven.
2. Elke scan moet de gegevens van de betrokken eindgebruiker bevatten. Pseudoniemen, anders dan verstrekt door NMVO, of ID’s en records die de eindgebruikersgegevens niet bevatten, zijn niet voldoende.
Certificaten
3. Elke eindgebruiker heeft een eigen certificaat geïmplementeerd tussen het NMVS en de eindgebruiker. De eindgebruiker mag daartoe een Service Provider inzetten. Één en ander dient zodanig te worden uitgevoerd, dat de NMVO er te allen tijde, zonder tussenkomst of afhankelijkheid van de service provider of andere derden kan zien (a) welke eindgebruiker de afzender van elk datapakket is en (b) en kan zorgen dat het antwoord van het NMVS naar de juiste eindgebruiker wordt gestuurd. Het is niet voldoende dat NMVO afhankelijk is van schema’s of andere soorten input van Service Providers of andere derden voor het matchen van pseudoniemen of andere codes met daadwerkelijke eindgebruikers en hun locaties.
(Voor Service Providers die via één of een beperkt aantal certificaten met zogenaamde Sub Users werken, wordt een verbeterplan opgesteld om de in de eerste zin van deze clausule uiteengezette norm te bereiken, rekening houdend met de inspanningen die nodig zijn om dit doel te bereiken.)
Softwareontwikkeling
4. NMVO beheert de ontwikkeling en het onderhoud van de NMVS-software.
5. NMVO zal eventuele ontwikkelings- en onderhoudskwesties met de Service Providers delen indien dit relevant wordt geacht voor de Service Provider.
6. NMVO zal alle gegevens, procedures, testomgevingen die nodig zijn voor de Service Providers om noodzakelijke wijzigingen door te voeren, delen en beschikbaar houden.
7. Indien een wijziging dringend is, zal NMVO de Service Providers hiervan op de hoogte stellen en zullen de Service Providers met NMVO samenwerken aan een snelle aanpassing van software en systemen.
Interface versies
8. Van tijd tot tijd worden nieuwe versies van interfaces gemaakt om de goede werking van het NMVS verder te waarborgen en te ontwikkelen. Service Providers zijn verplicht om deze nieuwe versies binnen de door NMVO gestelde termijn te implementeren. In de meeste gevallen zal dit tijdsbestek voldoende zijn voor Service Providers om de nodige wijzigingen aan te brengen. Voor gevallen waarin dit niet lukt zal NMVO tot op zekere hoogte de mogelijkheid bieden om met een eerdere versie van de interface te werken, terwijl een nieuwe versie live is. De implementatie van nieuwe versies kan echter dringend noodzakelijk zijn. In dat geval zal NMVO de Service Providers hiervan op de hoogte stellen en zullen de Service Providers met NMVO samenwerken aan een snelle aanpassing aan de nieuwe versies.
9. NMVO organiseert op gezette tijden (online, hybride of live) bijeenkomsten met de Service Providers om informatie uit te wisselen over de ontwikkeling van de software, nieuwe versies, prestaties, issues enzovoort.
Kwaliteitsbewaking
10. Voor het het NMVS, dat van cruciaal belang is voor de veiligheid van geneesmiddelen en de gehele farmaceutische handelskolom, is het vereist om de hoogste kwaliteitsnormen te handhaven. Van Service Providers wordt verwacht dat zij aan deze eisen voldoen voor zover relevant voor hun verbinding met het NMVS en binnen de grenzen van redelijkheid en proportionaliteit.
11. NMVO voert regelmatig kwaliteitsborgingsprocedures uit met betrekking tot software en systemen van de Service Providers die relevant zijn voor het NMVS, inclusief maar niet beperkt tot base line tests. Medewerking van de Softwareleveranciers is essentieel voor een goede uitvoering van de kwaliteitsborgingsprocedures.
12. In het geval dat verbeterpunten worden gevonden, overlegt NMVO met de Service Provider om te goeder trouw een verbeterplan op te stellen. Bij gebreke van overeenstemming over een verbeterplan is NMVO bevoegd instructies te geven om te komen tot een situatie die voldoet aan de geldende wet- en regelgeving, afspraken en dit protocol.
13. Service Providers moeten meewerken aan kwaliteitsborgingsprocedures.
14. Vertrouwelijke informatie die in het kader van kwaliteitsborgingsactiviteiten wordt uitgewisseld, wordt door NMVO als zodanig behandeld en niet met derden gedeeld, tenzij dit wettelijk verplicht is.
Goede werking van het NMVS, softwareprestaties
15. Het is de wettelijke plicht van NMVO om de goede werking van het NMVS in lijn met de regelgeving te handhaven.
16. De eindgebruikers, zijnde de klanten van de Service Providers, zijn verplicht om met het NMVS te werken in overeenstemming met de regelgeving.
17. NMVO zet zich in om het NMVS zo te onderhouden dat eindgebruikers verbinding kunnen maken met het NMVS en dat ze dit kunnen doen met behulp van Service Providers.
18. NMVO zal de verbinding van het NMVS met eventuele verbindende partijen veilig houden en zorgen voor gegevensbescherming en bescherming van commercieel gevoelige informatie, alles in overeenstemming met de wet. Hetzelfde is vereist voor elke partij die verbonden is met het NMVS, inclusief de eindgebruikers en de Service Providers.
19. NMVO onderhoudt het systeem zodanig, dat alle gegevens die de eindgebruikers verplicht zijn uit te wisselen met het NMVS, daadwerkelijk kunnen worden overgedragen aan het NMVS op een wijze die in overeenstemming is met de wetgeving.
20. NMVO onderhoudt het systeem zodanig dat de prestaties in lijn zijn met de regelgeving op het gebied van responsetijden, uptime enzovoort.
21. Service Providers voeren testactiviteiten uitsluitend uit in een specifieke testomgeving.
Juridisch & Compliance
22. De Service Provider dient zich ervan bewust te zijn dat hij op de hoogte is van alle verplichtingen van zijn klanten (voor zover dit eindgebruikers zijn) onder de relevante wetgeving en overeenkomsten tussen die klant en NMVO. De Service Provider dient met deze verplichtingen rekening te houden bij de uitvoering van zijn opdracht van de klant.
23. Service Provider wordt beschouwd als de gevolmachtigde van de eindgebruiker voor het omgaan met het NMVS in overeenstemming met de relevante wetgeving. Onder omstandigheden kan dit betekenen dat elke niet-naleving door de Service Provider van wetgeving, dit protocol, andere overeenkomsten of instructies, best practice en aanwijzingen van autoriteiten, ook wordt beschouwd als een niet-naleving door de eindgebruiker.
24. NMVO is te allen tijde bevoegd om rechtstreeks met de eindgebruiker te overleggen over haar prestaties met betrekking tot het NMVS, ongeacht of de eindgebruiker via een Service Provider op het NMVS is aangesloten.
25. In geval van een niet-naleving die door de Service Provider kan worden opgelost (al dan niet in opdracht van de eindgebruiker(s) verbonden aan de Service Provider), overlegt NMVO met de Service Provider om te goeder trouw een verbeterplan op te stellen. Bij gebreke van overeenstemming over een verbeterplan is NMVO bevoegd instructies te geven om te komen tot een situatie die voldoet aan de geldende wet- en regelgeving, afspraken en dit protocol.
26. Onderkend wordt dat de nationale autoriteit (Inspectie Gezondheidszorg en Jeugd) beschikt over de bevoegdheden waarin de wet voorziet. Het uitbuiten van deze autohorities kan van invloed zijn op de relatie tussen NMVO en de Servide Provider en de manier waarop het NMVS wordt geconfigureerd en beheerd. Instructies van de nationale autoriteit hebben te allen tijde voorrang op dit protocol.
27. Hoewel dit protocol rekening houdt met alle toepasselijke regelgeving, kan er een conflict ontstaan tussen dit protocol en regelgeving. Te allen tijde prevaleert de regelgeving.
Opschorting, escalatie, time-out
28. NMVO kan de aansluiting van het NMVS op de Service Provider onmiddellijk opschorten in geval van acuut gevaar voor het NMVS, de beveiliging van de verbinding, de beveiliging van persoonsgegevens, bedrijfsgegevens of andere acute situaties. Dit kan ook leiden tot een melding aan de Inspectie Gezondheidszorg en Jeugd.
29. In geval van een niet-acute situatie die de goede werking van het NMVS hindert of bedreigt, of enige niet-naleving van regelgeving, overeenkomsten of dit protocol, zal NMVO een zogenaamde escalatieprocedure gebruiken om de ongunstige situatie of de niet-naleving te verhelpen. De escalatieprocedure moet zorgvuldig en proportioneel worden gebruikt.
30. Bij gebreke van het verhelpen van een acute situatie, een niet-acute situatie en/of het niet naleven van regelgeving, overeenkomsten of dit protocol, kan NMVO de aansluiting van het NMVS met de Service Provider (“time-out”) onderbreken totdat afdoende maatregelen zijn genomen. Één en ander kan ook leiden tot een melding aan de Inspectie Gezondheidszorg en Jeugd.
Dit protocol is aangenomen door het NMVO-bestuur op 21 maart 2023.
Dit protocol kan van tijd tot tijd worden aangepast aan ontwikkelingen in regelgeving, afspraken, gezichtspunten en instructies van toezichthouders, best practice regels en aanpassing van het beleid van NMVO.