Connectivity und Cybersecurity bei Medizinprodukten (Teil 1)

 

Download dieses Whitepapers als PDF

Dieser dreiteilige Praxisbericht zeigt die Bedeutung der Connectivity und Cybersecurity bei der Entwicklung und Vermarktung zukunftsweisender Medizintechnischer Geräte und Verbrauchsmaterialien. Dabei beleuchten wir die praktische Umsetzung im Lichte der MDR/IVDR, der ISO 14971:2019 und der europäischen Datenschutzgrundverordnung.

 

In diesem ersten Teil skizzieren wir die Use- und Business Cases der Connectivity von zukunftsfähigen Medizinprodukten und Verbrauchsmaterialien.  

Business Development-, Produkt Manager und Entwicklungsingenieure finden in diesem Whitepaper eine Übersicht über die Use Cases und Business Cases zur Digitalisierung von Medizinprodukten.

 

Damit kann dieser Erfahrungsbericht als Checkliste dienen, um die Vollständigkeit der Stakeholder Anforderungen / des Lastenheftes für die Neu- oder Weiterentwicklung von Medizinprodukten und Verbrauchsmaterialien zu überprüfen.

 

An Ende dieses Beitrages finden Sie unsere Checkliste „Connectivity und Cybersecurity“ zum schnellen Self-Assessment Ihrer Medizinprodukte.

 

Im zweiten Teil berichten wir über unsere Best Practices zur Analyse und dem Nachweis der Cybersecurity basierend auf dem Risikomanagement für Medizinprodukte (ISO 14971:2019), dem Risikomanagement für medizinische IT-Netzwerke (IEC 80001-1:2010) und der Guidance on Cybersecurity for medical devices (MDCG 2019-16). 

 

Dem dritten und letzten Teil widmen wir den beiden Themen Internet-of-Medical-Things (IoMT) und der Medical Cloud. Wir zeigen an einem Projektbeispiel, wie sich basierend auf einer smarten Risikoanalyse skalierbare Cloud Lösungen in der MedTec, BioTec und Pharmazie realisieren lassen.

 

Wir würden uns freuen, wenn Sie durch die Beantwortung von nur fünf Fragen an unserer Branchenumfrage (Link) teilnehmen würden.

 

Im zweiten Teil dieses Whitepapers werden wir über die Ergebnisse berichten.

 

Wir freuen uns über Ihr Feedback zu diesem Whitepaper zu dem hochaktuellen Thema der Cybersecurity von Medizinprodukten an Bernd.Schleimer@Gruenewald-GmbH.de

Links:

  1. Anonymisierte Branchenumfrage zur Connectivity und Cybersecurity von Medical Devices

  2. Anmeldung zum kostenlosen Grünewald Newsletter

  3. EU Datenschutz-Grundverordnung (PDF)

  4. BfArM: Cybersicherheit von Medizinprodukten

  5. BSI: Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte (PDF)

Connectivity – der unterschätze Erfolgsfaktor

Die historische Lösung die Kundenanforderung an eine IT-Schnittstelle bei Medizinprodukten zu erfüllen war und ist, Statusänderungen der Geräte einfach auf eine serielle Schnittstelle zu legen. In der Regel wurden das mangels herstellerunabhängiger Standards durch proprietäre Protokolle realisiert.

 

Irgendwann waren dann keine single-board Computer mit RS-232 Schnittstelle mehr verfügbar und der RJ-45 Ethernet Port wurde zum Stand der Technik und möglicherweise zur Sicherheitslücke.

 

Praxisbeispiel: Änderung von Geräteeinstellungen bei Insulinpumpen und Sterilisatoren durch nicht authentifizierten Fernzugriff über das Netzwerk.

 

Der Aufwand der Implementierung von herstellerspezifischen Protokollen, das Problem der sicheren Patientenidentifikation und die geringe Fehlertoleranz unidirektionaler Geräteschnittstellen hat dazu geführt, dass ein sehr geringer Anteil der heute in Krankenhäusern genutzten medizintechnischen Geräte in die Krankenhaus-IT-Infrastruktur eingebunden ist.

 

Das etablierte Modell, um den Digitalisierungsgrad innerhalb eines Krankenhauses zu messen, ist das Electronic Medical Record Adoption Model (kurz EMRAM). Hier werden Krankenhäuser anhand einer Skala von 0 (keine Digitalisierung) bis 7 (papierloses Krankenhaus) bewertet. Krankenhäuser in Deutschland erreichen im Durchschnitt einen Wert von 2,3 (n=~400). Damit liegt Deutschland unter dem europäischen Mittelwert von 3,7.  Kein Krankenhaus in Deutschland erreichte 2019 die Stufe 7.

 

Der Krankenhaus-Report 2019 „Das digitale Krankenhaus“, kommt zu dem Fazit, dass der Anteil der Krankenhäuser in Deutschland, die im klinischen Bereich noch gar nicht beziehungsweise kaum digital arbeiten (Stufe 0 EMRAM) bei etwa 40 Prozent liegt.

 

Wer daraus das Fazit zieht, dass die IT-Integration von Medizinprodukten nur eine untergeordnete Rolle spielt, nimmt sich die Chance

 

(a) sein Produkt durch Value-Added Funktionen für die (potentiellen) Kunden aufzuwerten und sich in der Healthcare 2.0 zu positionieren sowie

 

(b), das Internet-of-Things nicht nur als Hebelarm der Effizienzsteigerung und Kostensenkung, sondern als Wettbewerbsfaktor zu nutzen.

 

Schlimmer noch:  Durch Zögern gewinnt der Wettbewerb wertvolle Zeit, seine durchgängigen IT-Plattformen in Kliniken auszubauen, seine Produkte in den klinischen Workflows und der IT-Infrastruktur der Krankenhäuser zu verwurzeln, und so Wettbewerb von zukünftigen Aufträgen auszuschließen.

Regulatorische und normative Anforderungen

 

 

Im Gegensatz zur MDD Richtlinie aus dem Jahr 1993 geben die aktuelle Medical Device Regulation (MDR) und auch die In-vitro-Diagnostic Device Regulation (IVDR) Herstellern von Medizinprodukten seit 2017 konkrete Vorgaben zur Cybersecurity vor, z.B.:

  • MDR Anhang I, # 14.2 bzw. IVDR Anhang 1, #13.2: Die Produkte werden so ausgelegt und hergestellt, dass folgende Risiken ausgeschlossen oder so weit wie möglich reduziert werden: (…) d) Risiken minimieren im Zusammenhang mit der möglichen negativen Wechselwirkung zwischen Software und IT-Umgebung, in der sie eingesetzt wird und mit der sie in Wechselwirkung steht.

  • MDR Anhang 1, # 16.4 / 17.4 bzw. IVDR Anhang 1 # 16.4: Die Hersteller legen Mindestanforderungen bezüglich Hardware, Eigenschaften von IT-Netzen und IT- Sicherheitsmaßnahmen einschließlich des Schutzes vor unbefugtem Zugriff fest, die für den bestimmungsgemäßen Einsatz der Software erforderlich sind.

Auch die 3rd Edition der ISO 14971:2019-12 zur Anwendung des Risikomanagements auf Medizinprodukte nimmt das Thema Cybersecurity (risks related to data and systems security) in den Scope. Die 3rd Edition ist zwar bisher noch nicht harmonisiert, empfiehlt sich jedoch schon jetzt. Nach dem 25. Dezember 2022 wird die FDA auf die Erfüllung der Anforderungen aus der 3rd Edition bestehen.

 

Ebenso finden sich in der IEC 60601-1:2005+A1:2012 (Medizinische elektrische Geräte) bzw. der DIN EN 61010-1:2020 (Elektrische Laborgeräte) und IEC 62304 (Software) die Forderung, Risiken im Zusammenhang mit Cybersecurity zu beherrschen.

 

Zwar gesetzlich nicht bindend aber spannend wie aktuell ist das Medical Device Coordination Group Document (MDCG 2019-16) „Guidance on Cybersecurity for medical devices“ z.B. für Audits durch Benannte Stellen.  Das FDA Guidance Dokument „Cybersecurity in Medical Devices“ gilt als Voraussetzung für Zulassung z.B. nach 510(k).

 

In QM Systemen nach ISO 13485:2016 wird im Abschnitt 4.2.5 der „Schutz von vertraulichen Angaben zur Gesundheit“ gefordert.

 

Die Neu- und Weiterentwicklung von Medizinprodukten unterliegt klaren regulatorischen und normativen Vorgaben zur Cybersecurity. Das Thema ist hochaktuell und nicht nur im Fokus der FDA. Best Practices zur effizienten Umsetzung der Vorgaben finden Sie im Teil 2 dieses Whitepapers.

Patienten-Identifikation und EU Datenschutzgrundverordnung (DSGVO)

 

Die eindeutige Patientenidentifikation ist die Grundvoraussetzung zur Erfüllung der ärztlichen Dokumentationspflicht und der Patientensicherheit, wie z.B. aus der gemeinsamen Initiative der The-Joint-Commission und der WHO hervorgeht.

 

Auch wenn ein Großteil der medizinischen Geräte auch heute noch keine Patientenidentifikationsdaten z.B. über eine HL7 Patient Demographics Query von Mastersystemen abrufen, bieten viele Geräte die Eingabe von Patienten-Informationen an.

Seit dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO), die Gesundheitsdaten als besonders schutzwürdig einstuft.

 

Die DSGVO betrifft die Hersteller von Medizinprodukten nicht nur direkt, wenn sie in Europa personenbezogene Daten oder Daten von Europäern z.B. in IoT Kundenportalen oder Apps verwalten, sondern auch als Kundenanforderung an Medizinprodukte.

 

Die Anforderung, mit einem Medizinprodukt datenschutz-konform arbeiten zu können wird zunehmend zum grundlegenden Beschaffungskriterium von Krankenhäusern, Arztpraxen und Pflegeeinrichtungen.

 

„Privacy by Design“ bedeutet, das bei der (Weiter-) Entwicklung von Medizinprodukten die Grundsätze des Datenschutzes umgesetzt werden:

  • Sobald ein Gerät die Eingabe der Patienten ID, Vor-/Nachnamen, des Patientengewichtes- oder der Körpergröße ermöglicht, gelten die Vorgaben des Datenschutzes.

  • Einmal eingegebene Patientendaten dürfen nicht für jedermann zu jederzeit im Gerätespeicher       oder den Geräte-Log Files sichtbar sein. Das gilt insbesondere auch für ortsveränderliche / mobile Medizinprodukte, die z.B. in Gerätepools eingesetzt werden.

  • Der Artikel 32 der DSGVO fordert die Pseudonymisierung und Verschlüsselung personenbezogener Daten, was damit zur Anforderung an die Datenbank auf Medizinprodukten wird.

  • Der U.S. Health Insurance Portability and Accountability Act (HIPAA) definiert konkrete Anforderungen an die Pseudonymisierung personenbezogener Daten. Er eignet sich für die Implementierung und Zertifizierung der Lösungen.

  • Die Löschung der Daten bzw. aller identifizierenden Merkmale (=Anonymisierung) auf (Software) Medizinprodukten muss regelbasiert erfolgen, um die Einhaltung der Datenschutz Vorgaben sicherstellen zu können. Regeln, wie das automatische Löschen nach Abschluss der Therapie, dem Ausschalten des Gerätes oder der erfolgreichen Datenübertragung an ein Mastersystem haben sich in unserer Beratungspraxis bewährt.

  • Über die im technischen Service beliebten Remote Desktop / Control Tools lassen sich die Anforderungen des Datenschutzes in der Regel nicht sicherstellen. Connected Services müssen transparent gestaltet sein.

  • Medizinprodukte sollten im „Privacy by Default“ Modus ausgeliefert werden, d.h. alle Funktionen des Datenschutzes müssen per Default aktiviert sein.

 

Beim Datenschutz gilt: Alles, was nicht explizit erlaubt ist, ist verboten! Allein durch den Artikel 82 der DSGVO „Haftung und Recht auf Schadensersatz“ wird „Privacy by Design“ zur wichtigen und vielleicht kaufentscheidenden Kundenanforderung.

 

Damit gehört „Privacy by Design“ als Stakeholder-Anforderung heute in jedes Lastenheft für die (Weiter-) Entwicklung von Medizintechnischen Geräten.

Use- & Business Cases der MedTec Industrie 4.0 für die Gegenwart und Zukunft

 

Die Digitalisierung in der Medizin ist einer der Schlüsseltechnologien zur Effizienzsteigerung und damit zur Kosteneinsparung in der medizinischen Versorgung.

 

Die Workflow- und IT-Integration von Medizinprodukten entlastet medizinisches Assistenz- & Fachpersonal bei administrativen und organisatorischen Prozessen und hilft sich auf die wertschöpfenden Kernprozesse der Versorgung von Patientinnen und Patienten zu fokussieren.

 

In der Vergangenheit stand deshalb die automatische Dokumentation, d.h. die Datenübergabe an Krankenhausinformationssysteme (KIS), Laborinformationssysteme (LIS), Patienten-Datenmanagement-Systeme (PDMS) und Radiologie- Informationssysteme (RIS) im Vordergrund.  HL7 und DICOM sind die Sprachen der HealthCare 1.0.

 

Heute sehen Medizinprodukte-Hersteller das zusätzliche Wachstumspotential in der Intraoperabilität, der Workflow Integration und der IoMT-Technologie.

 

Auf den folgenden Seiten berichten wir über vielleicht inspirierende Praxisbeispiele aus der Health-Care 2.0 und aus der MedTec-, BioTec- und Pharma- Industrie 4.0.

 

  • Professionalisierung und Profitabilitätssteigerung des Verbrauchsmaterial Geschäftes 

  • Umsatzsteigerung durch Kostendruck dank Modularität und Medical Apps         

  • Mehrwert und Kundenbindung durch Training, Simulation und Augmented Reality        

  • Wirtschaftlichkeit und zusätzliches Umsatzpotential durch Geräte Pool Management   

  • Alarm- / Echtzeitanwendungen & Personalruf  

  • Einzelprodukte durch Systemlösung schützen  

  • Effizienzsteigerungen in der medizinischen Versorgung durch Workflow Modellierung 

  • Digitalisierung als Schlüssel zur Evidenz basierten Medizin (EbM)            

  • Evidence-adaptive clinical decision support systems (CDSS) und Telemedizin Konsil        

  • Service Geschäft und Kundennähe professionalisieren 

  • Der gläserne Kunde oder Post-Market Surveillance (PMS)

 

Lesen Sie weiter im PDF dieses Whitepapers und abonnieren Sie unseren Newsletter, um den zweiten und dritten Teil dieses Praxisberichtes nicht zu verpassen.

 

Share on Facebook
Share on Twitter
Please reload

Schlagwörter
Please reload

Neueste Artikel
Please reload

Newsletter.
Relevante Informationen direkt in Ihr Postfach.​

Tel: +49 6252 67079-0

© 2020 Grünewald GmbH