„Lieber Ehevertrag als Rosenkrieg“

Herr Christ, sind die demnächst geltenden Vorgaben zu medizinischen IT-Netzwerken heute schon ein Aufreger?

Nein. Bisher ist lediglich eine internationale Version der Norm IEC 80001-1 in Genf verfügbar, die im Herbst 2010 erschienen ist. Die Kosten für den Kauf dieser Norm haben die meisten Krankenhäuser noch gescheut. Daher wissen heute nur wenige über die Inhalte der Norm Bescheid.

Und worum geht es in der Norm konkret?

Sie soll einen gefährlichen Zustand verändern, der sich weltweit an Kliniken eingestellt hat: Dort werden IT-Netzwerke betrieben, in die Medizingeräte eingebunden sind, aber auch Anwendungen der Verwaltung oder ganz anderer Abteilungen. Ein definiertes Risikomanagement gibt es dafür in der Regel nicht. So kann niemand vorhersagen, was passiert, wenn Komponenten ergänzt oder entfernt werden oder gar ein Computervirus in das Netzwerk gelangt. Funktionieren die Geräte dann noch? Sind die Patientendaten sicher? Mit der neuen Norm soll nun sichergestellt werden, dass sich die Betreiber in der Klinik, die Hersteller der Medizingeräte und die IT-Provider schon im Vorfeld an einen Tisch setzen, um zu klären, welche Geräte wie miteinander vernetzt werden dürfen. Formal gesprochen, sind in der Norm drei Sicherheitsziele definiert: die Sicherheit der Patienten und Anwender, die Sicherheit der Daten und des Systems – und ein effizienter Workflow, den eine Klinik auch bewältigen kann.

Wie stark sind die Hersteller durch die Norm in die Pflicht genommen?

Rund 85 Prozent der beschriebenen Anforderungen richten sich an die Betreiber der Netzwerke, die restlichen betreffen auch die Hersteller der Geräte und die IT-Provider. Diesen fällt aber eine wichtige Aufgabe zu: Sie sollen den Betreibern die für das Risikomanagement relevanten Informationen über ihre Produkte zur Verfügung stellen.

Wie soll das praktisch und technisch aussehen?

Die technischen Detailfragen werden in der Norm IEC 80001-1 bewusst nicht beantwortet. Die Norm an sich ist die erste einer geplanten Normenfamilie. Sie benennt zunächst die Beteiligten, verteilt Rollen und steckt Ziele. Heute denkt zum Beispiel jeder nur bis zu seiner Schnittstelle. Wir müssen aber dahinkommen, dass jeder überlegt, was über diese Schnittstelle hinaus mit seinen Daten passiert und welche äußeren Einflüsse über die Schnittstelle auf das eigene Produkt wirken. Die Norm schlägt daher vor, zukünftig mit Responsibility Agreements zu arbeiten: Schon beim Kauf schließen Betreiber und Medizingerätehersteller einen Vertrag ab, in dem sie festlegen, was der Hersteller alles für die Integration ins Netzwerk offenlegen muss, welche Infos er für die Lebensdauer seines Gerätes liefern wird, wer die Verantwortung für einzelne Aufgaben des Risikomanagements übernimmt und so weiter.Selbstverständlich darf jede Leistung auch ihren Preis haben. Darüber äußert sich die Norm nicht.

Die Kliniken wären bereit, für zusätzlichen Aufwand zu bezahlen?

Das ist die Chance, die in der neuen Norm steckt: Sie kann und wird den Markt revolutionieren, weil sie ein ganz neues Betätigungs- und Geschäftsfeld schafft – Dienstleistungen und Service im IT-Bereich rund um ein Medizinprodukt. Der Betreiber muss zum Beispiel einen Medical IT Network Manager benennen, bei dem alle Informationen zu seinem Netzwerk zusammenfließen. Er muss sich mit IT-Themen ebenso auskennen wie mit der Medizintechnik und der relevanten Gesetzgebung. Dahinter steht also ein neues Berufsbild. Diese Funktion kann aber auch an einen Dienstleister ausgelagert sein – zum Beispiel an ein Unternehmen aus der Medizintechnik-Industrie.

Lässt sich das mit den heutigen Gepflogenheiten der Branche vereinbaren?

Es wird einen Entwicklungsprozess geben müssen, in dem jedes Unternehmen drei Phasen durchläuft. In der ersten wird Gesprächsfähigkeit hergestellt: Der Hersteller erklärt sich intern bereit, sich auf die Forderungen der IEC 80001-1 einzulassen. Er erkennt also an, dass es zum Beispiel Viren gibt, die sein Produkt beeinträchtigen können. Er sieht ein, dass er sein Gerät zwar auf der virusanfälligen Windows-Basis laufen lassen kann, es aber unrealistisch ist, den Betreiber zu zwingen, das Gerät nur im Schutz einer rigiden Firewall zu betreiben.

Diese Einsicht muss dann aber Konsequenzen haben…

Natürlich. Das würde ich dann als Phase zwei bezeichnen, in der auf die Einsicht die konkreten Grundlagen für die Servicepartnerschaft mit einer Klinik folgen. Es muss also zumBeispiel Fachleute beim Gerätehersteller geben, die im Notfall ein paar Tage lang rund um die Uhr arbeiten, um zu testen, ob ihr Gerät sich mit dem neuesten Patch von Microsoft verträgt und ob die Klinik diesen Patch also auch für ihr Netzwerk nutzen darf. Das schließt die erneute Validierungsprüfung für das Medizingerät ein, die man heute aus Kostengründen oft zu vermeiden sucht. Aber über das Responsibility Agreement wäre ja schon festgelegt, was zu tun ist und wie das vom Netzwerk-Betreiber honoriert wird. Verglichen mit der heutigen Situation, in der man sich wie bei einer Ehescheidung im Rosenkrieg streitet, wenn das Kind schon in den Brunnen gefallen ist, wäre das ein großer Fortschritt.

Und die Phase drei?

… wäre das Stadium der Dienstleistungskultur, in der ein externer Serviceanbieter auch herstellerübergreifend arbeitet und in der sich mit Vertraulichkeitsvereinbarungen vermeiden lässt, dass technische Informationen in die Hände des Wettbewerbers gelangen – selbst wenn Geräte verschiedener Hersteller im selben Netzwerk integriert sind.

Was bedeutet die neue Norm Ihrer Ansicht nach für die Gesundheitsbranche?

Sie bringt einen Impuls: Wer die neuen Möglichkeiten nutzt, bleibt im Spiel. Wer die Norm ignoriert – sie ist ja noch durch kein Gesetz verpflichtend – riskiert seine Position im Markt. Das gilt sowohl für die Kliniken, die sich keine Skandale und Vorkommnisse leisten können, wie auch für die Hersteller von Medizingeräten.

Fragen zu ergänzenden technischen Informationen und den Beziehungen zu anderen Normen hat Oliver P. Christ für unser Online-Magazin beantwortet: www.medizin-und-technik.de/onlineweiterlesen

Wie man das Risikomanagement für medizinische IT-Netzwerke in den Griff bekommen kann, beschreibt die neue Norm IEC 80001-1. Ihre internationale Version wurde im Herbst 2010 veröffentlicht, mit der europäischen rechnen Experten im April 2011. Die deutsche Version wird voraussichtlich im September verfügbar sein. Die Norm benennt zunächst die Verantwortlichen für das Funktionieren medizinischer IT-Netzwerke und formuliert die Wege der Zusammenarbeit dieser Beteiligten. Es gibt noch kein Gesetz, das zu ihrer Anwendung verpflichtet. Sie gilt aber im Schadensfall als Maß dafür, was als Stand der anerkannten Regeln der Technik anzusehen ist.