Sprache:
 

IEC 80001

Einführung

Im Healthcare-Bereich und in der stationären Versorgung von Patienten nimmt die Informationstechnologie einen immer größer werdenden und wachsenden Stellenwert ein. Erforderliche Systeme zur Datenerfassung, -Datenverwaltung und Datenaufbereitung werden mit den systemübergreifenden Prozessen immer komplexer. Gleichfalls steigt in Krankenhäuser und Kliniken die Tendenz stark an, Medizinprodukte in das vorhandene IT -Netzwerk einzubinden, um Daten den adäquaten Nutzern zur Verfügung zu stellen oder die Daten an zentraler Stelle zu speichern. Durch den Einsatz von medizinischen IT-Netzwerken für die Datenübertragung kann die Behandlungsqualität gesteigert werden und damit die Sicherheit der Patienten erhöht. Allerdings liegen genau hier die Chancen und Risiken der Informationstechnologie, denn der Ausfall auch nur eines kleines Bereichs kann den Stillstand des Betriebes bedeuten mit enormen Auswirkungen auf die Patientenversorgung.

 

Erfordernis

Aufgrund der immer größeren Bedeutung der Informationstechnologie in der Krankenversorgung werden immer leistungsfähigere Systeme benötigt um den Anforderungen Rechnung zu tragen. Hinzu kommt die Herausforderung den sicheren Austausch von medizinischen Informationen wie auch die Funktionsfähigkeit der medizinischen Geräte im IT-Netzwerk zu gewährleisten. Mit der Zunahme der Vernetzung von Medizinprodukte ergibt sich auch eine Steigerung von Incidents und Risiken innerhalb von vernetzten medizinischen Systemen. Diese gilt es durch die Normung IEC 80001-1- sicherer zu gestalten und die Risiken beherrschbar zu reduzieren.

Allerdings sind die Infrastrukturen und Netze bislang nur in geringem Ausmaß für die Bedürfnisse und Anforderungen des steigenden Umfangs an medizinischen Daten und der Verknüpfung von medizinischen Geräten entwickelt worden. Hinzukommt, dass nicht nur interne Prozesse und Abteilungen / Geräte des Betreibers vernetzt werden, sondern auch mit Anbindungen zwischen Krankenhäuser und anderen Einheiten im Healthcare-Bereiche externe Vernetzungen erfolgen, die Risiken und Gefährdungspotenziale bergen. Des Weiteren wird den Herstellern von Netzwerkprodukten abverlangt, dass sie die Integration und Vernetzung Ihrer Produkte in das Betreiber-Netzwerk stärker auf Sicherheit und Zuverlässigkeit prüfen müssen und dem Betreiber adäquate Informationen zu Verfügungen stellen müssen.

Die zu gestalteten IT Infrastrukturen finden in ihrer Nutzung und Anwendung selten einen endgültigen Status, da technische, medizintechnische und organisatorische Veränderungen ein durchgängiger Begleiter sind, um eine funktionierende medizinische IT Netzwerk-Struktur in ihrer wesentlichen Bedeutung umzusetzen. Fokus ist dabei mögliche Folgen und Risiken für die Patientengesundheit stets im Blick zu haben.

Betreiber von medizinischen IT Netzwerken (Krankenhäuser u. a) wenden für das Risikomanagement für IT-Netzwerke, in welchen Medizinprodukte integriert sind, die Norm IEC 80001-1 an. Diese Norm ist noch nicht verpflichtend, jedoch ist es empfehlenswert sie anzuwenden, um mögliche Haftungsrisiken der Betreiber von medizinischen IT-Netzwerken entgegenzuwirken. Die Norm ist in Deutschland als DIN-Norm DIN EN 80001-1 veröffentlicht. Die internationale Form der Norm ist die IEC 80001-1:2010 „Application of risk management for IT-networks incorporating medical devices“.

 

Risikomanagement, Verantwortung und Maßnahmen

Das Risikomanagement hat mit seinen entsprechend einzuführenden Maßnahmen für die folgenden Schutzziele (nach der Norm EN 80001-1:2011): zu erfolgen.

  • Sicherheit: Sicherheit von Patienten, Anwendern und Dritten. (Schutzziel Sicherheit wird auf Situationen analysiert, die im Hinblick auf die Patientensicherheit Gefährdungssituationen für ein Medizinprodukt darstellen. Zum Beispiel könnten dies defekte Hard- und Software des Medizinproduktes sein.)
  • Daten und Systemsicherheit: Sicherheit von Daten und datenverarbeitenden Systemen (Schutzziel Daten- und Systemsicherheit wird auf Situationen analysiert, in welchen es um die Sicherheit von Daten geht, wie der Verfügbarkeit und Vertraulichkeit dieser Daten. Zum Beispiel könnten dies Patientendaten aus dem Krankenhausinformationssystem (KIS) betreffen oder auch Schäden durch Manipulation der Daten, wie sie durch Hacker verursacht werden können)
  • Effektivität: Effektivität von vielfältigen Abläufen, zum Beispiel einer Behandlungsmaßnahme, Informationsweitergaben (Schutzziel Effektivität analysiert die Ergebnisse, die erreicht wurden in Hinblick auf die Durchführung von z.B. einer Gesundheitsmaßnahme oder klinischen Abläufen)

Die wesentlichen Maßnahmen bestehen in der Festlegung der Verantwortlichkeiten, der Ernennung eines Risikomanagers und der Einführung des Risikomanagement-Prozesses. Das Risikomanagement für medizinische IT-Netzwerke unterstützt im Wesentlichen dabei, mögliche Netzwerkausfälle frühzeitig zu erkennen und die aufgetretene Störung schnellstmöglich zu beseitigen. Hervorzuheben ist, dass das Risikomanagement über die gesamte Nutzungsdauer eine Medizinprodukts betrieben werden muss, um Gefahren und Schäden zu verhindern, dies beginnt mit der Einbindung des Medizinprodukts im IT Netzwerk und dauert über den Betrieb desselbigen fort. Mögliche Gefährdungen sollen minimiert oder ganz ausgeschlossen werden.

Die Gesamtverantwortung für das Risikomanagement liegt beim Krankenhausträger, der in der Norm als „Verantwortliche Organisation“ benannt wird. Dieser unterstellt ist eventuell ein benannter Risikomanager, die IT -Abteilung, die Medizintechnik, Haustechnik, Einkauf-Abteilung. Hinzukommen externe Partner wie die Hersteller der Medizinprodukte und mögliche Dienstleister. Das gemeinsame Agieren zur Sicherung der Schutzziele ist in der Verantwortlichkeitsvereinbarung geregelt.

Wichtige Gesetze und Begleitnormen, die in diesen Themen-Bereich mit einhergehen:

  • Medizinproduktegesetz (MPG)
  • Medizinprodukte-Betreiberverordnung (MPBetreibV)
  • EN 60601-1 „Medizinische elektrische Geräte“
  • DIN EN 60601-1-4: Medizinische elektrische Geräte – Teil 1-4: Allgemeine Festlegungen für die Sicherheit – Ergänzungsnorm: Programmierbare elektrische medizinische Systeme, europäische, harmonisierte Fassung der internationalen Norm IEC 60601-1-4.
  • EN 62304 „Medizingeräte-Software-Software-Lebenszyklus-Prozesse“
  • EN 61907 „Zuverlässigkeit von Kommunikationsnetzen“
  • EN 62366 „Medizinprodukte-Anwendung der Gebrauchstauglichkeit auf Medizinprodukte“
  • EN ISO 14971 „Anwendung des Risikomanagements auf Medizinprodukte“
  • DIN EN 13485: Medizinprodukte – Qualitätsmanagementsysteme – Anforderungen für regulatorische Zwecke

Ergänzungsnormen für das Risikomanagement IEC/TR 80001-2-1:

  • Technical Report TR 719 „Step by Step risk Management of medical IT-Networks“
  • (10-Punkte Plan zur Risikoanalyse)
  • Technical Report TR 720 „Guidance for the communication of medical device security needs, risks and controls“
  • Technical Report TR 721 „Guidance for wireless networks“

 

Erfüllung der Anforderungen an das Risikomanagement für medizinische IT-Netzwerke mit dem Qware® Riskmanager

Mit der marktführenden Lösung Qware® Riskmanager besteht die Möglichkeit, die Anforderungen an ein Risikomanagement für medizinische IT-Netzwerke abzubilden und als Betreiber die regulativen Anforderungen der IEC 80001-1 zu erfüllen. Mit dem Softwaremodul „Risikomanagement nach IEC 80001-1“ werden medizinische IT-Netzwerke über den gesamten Lebenszyklus hinweg geplant und dokumentiert. Anforderungen, Hersteller, Netzwerkkomponenten, Änderungen und Überwachungen werden nachvollziehbar dokumentiert.

Die strukturierte und praxiserprobte Umgebung des Qware® Riskmanager unterstützt effizient, indem Risiken frühzeitig im Entwicklungsprozess erkannt werden. Die Dokumentation der risikoanalytischen Betrachtung erfolgt unter Berücksichtigung der Schutzziele Sicherheit, Effektivität und Daten- und Systemsicherheit. Die Risikoanalyse und das Maßnahmenmanagement des Qware® Riskmanager tragen dazu bei, mögliche Gefährdungen, die die Vernetzung von IT-Netzwerken und Medizinprodukten hervorrufen, zu reduzieren. Darüber hinaus werden mit der zuverlässigen und sicheren Erfüllung der Anforderungen der FDA und der Benannten Stellen, Zulassungsprozesse beschleunigt und die Zeitspanne time-to-market reduziert.

 

Anmeldung

Passwort vergessen?

Wenn Sie Ihre Logindaten vergessen haben können Sie hier neue beantragen.