Viele Arbeitsabläufe lassen sich mit vernetzten Medizinprodukten beschleunigen. Der Normenentwurf IEC 80001 will sicherstellen, dass Wechselwirkungen im IT-Netzwerk kein Zufall sind und Risiken vorab vermeiden.
„Möglicherweise entsteht mit dem Medical-IT-Integration-Risk-Manager ein neues Berufsbild“, sagte anlässlich eines Vortrags auf der Medconf 2008 in München Günter Schmid, Director Hardware Development bei der B. Braun Melsungen AG in Puchheim. Hintergrund ist, dass ab 2010 die Norm IEC 80001 für die Vernetzung von Medizinprodukten in Kraft tritt. „Gegenüber der Stand-alone-Anwendung eines Medizinproduktes muss davon ausgegangen werden, dass sich aus der Vernetzung zusätzliche Risiken ergeben.“ Welche Anforderungen an eine solche Vernetzung zu stellen sind, definieren Normen bislang nur unzureichend.
„Neu ist, dass der Betreiber – etwa ein Krankenhaus – durch die kommende Norm in die Pflicht genommen wird“, fuhr Günter Schmid fort. Denn mehr und mehr würden Netzwerke in medizinischen Bereichen nicht nur für kommerzielle Inhalte genutzt, etwa Abrechnungen, sondern auch für medizinische Daten hinsichtlich Diagnostik und Therapie. „Da durch die Vernetzung von einer Gefährdung ausgegangen werden muss, ist die Frage zu stellen, wer dafür die Verantwortung trägt.“ Die neue Norm fordert deshalb, für die Vernetzung von Medizinprodukten einen systematischen Risikomanagement-Prozess hinsichtlich der Punkte
- Sicherheit,
- Leistungsfähigkeit,
- Daten- und Systemschutz sowie
- Kompatibilität
durchzuführen. Auch wenn Netzwerke modifiziert oder Software-Updates aufgespielt werden, muss der Betreiber sich überlegen, welche Auswirkungen das auf die oben genannten Punkte haben könnte.
„Wichtig ist, dass dadurch an die Hersteller von Medizinprodukten neue Forderungen gestellt werden“, fuhr der B.-Braun-Mitarbeiter fort. „Um zu beurteilen, wie sich ein medizinisches Gerät im Netzwerk verhält, benötigt der Betreiber Informationen, die ihm nur der Hersteller zur Verfügung stellen kann.“ Vor allem dürften dies vernetzungsrelevante Ergebnisse der Risiko-Analysen zu seinen Geräten sein, aber auch technische Details zu Schnittstellen und andere Spezifikationen. Nur so lasse sich beurteilen, zu welchen Wechselwirkungen es beim Netzwerkbetrieb kommt. Bereits jetzt sollten sich die Anbieter deswegen Gedanken machen, welche Daten abgefragt würden, wenn ein Gerät in ein Netzwerk integriert werde, und in welcher Form man diese den Betreibern zur Verfügung stelle. „Nur wenn alle Beteiligten zusammenarbeiten, lässt sich das Risiko aus der Vernetzung vernünftig beurteilen und beherrschen.“
Insbesondere bei größeren Betreiber-Unternehmen wird ab 2010 wohl die Stelle des Medical-IT-Integration-Risk-Managers zu besetzen sein, fuhr Schmid fort. Dieser Medical-IT-Integration-Risk-Manager müsse natürlich das Risiko-Management als Grundlage beherrschen, darüber hinaus aber auch das Projekt-Management – denn die Integration in Netzwerke sei immer ein Projekt mit mehreren Beteiligten. Kenntnisse der Biomedizin, um die Zusammenhänge zu verstehen, sowie der Normen und Regeln, die die gesetzlichen Grundlagen für seine Tätigkeit lieferten, gehörten ebenso dazu wie Basiswissen aus der IT- und Netzwerktechnik. „Bei kleineren Unternehmen ist deshalb auch denkbar, dass diese Aufgabe ein externer Dienstleister übernimmt.“
Michael Corban Fachjournalist in Nufringen
Ihr Stichwort
- Betreiberhaftung
- Netzwerke
- IEC 80001
- Risikomanagement
- Herstellerhaftung
- Risikomanagement-Strategie Sie beschreibt, wie er das Risiko des IT-Netzwerks mit Medizinprodukten über den Lebenszyklus handhaben wird.
- Projektplan Aufzustellen ist er bei der Integration eines neuen Medizinproduktes in ein IT-Netzwerk, Änderungen am IT-Netzwerk oder am Medizinprodukt sowie jeder anderen Tätigkeit, die ein neues Risiko herbeiführen kann.
- Zuständigkeitsvereinbarung Gibt unter anderem Auskunft über den Namen des Medical-IT-Integration-Risk-Managers.
- IT-Netzwerk-Risikomanagementakte Gibt Auskunft zur Risikoanalyse, Risikobewertung, Implementierung und Verifikation der Maßnahmen zur Risikobeherrschung und schließlich zur Bewertung der Akzeptanz jedes Restrisikos, sobald die Akte genehmigt ist.
Kurzprofil: IEC 80001 im Überblick
Titel:
Anwendung des Risikomanagements für IT-Netzwerke mit Medizinprodukten
Anwendungsbereich:
Dieser Entwurf für eine internationale Norm ist eine Norm über einen Prozess, der Maßnahmen und besonders das Risikomanagement umfasst, welches von der verantwortlichen Organisation (dem Betreiber) und dem Hersteller gefordert werden, wenn Medizinprodukte in ein Netzwerk eingebunden oder derartige Einbindungen verändert werden.
Was der Betreiber tun muss:
Der Betreiber muss folgende Dokumente erstellen (Auswahl):
Was der Hersteller liefern muss:
Der Medizinprodukte-Hersteller muss eine Zusammenfassung der Angaben seines Risikomanagements übermitteln, die von der verantwortlichen Organisation benötigt wird, um den eigenen Risikomanagement-Prozess durchzuführen. Die Zusammenfassung der Informationen muss Angaben zu jedem Restrisiko einschließen, mit dem die verantwortliche Organisation fertig werden muss.
Teilen:
