Die IEC 80001 ist die Basis für die sichere Integration von Medizinprodukten in IT-Netzwerke. Ein Best-Practise-Ansatz soll den Aufwand für die Klinik reduzieren und durch Software teilweise automatisieren. Die Hersteller sind zur Mitarbeit aufgefordert.
Die Norm IEC 80001 ist ein Rahmenwerk für das Risikomanagement von IT-Netzwerken, an die Medizinprodukte angeschlossen werden. Zielgruppe sind dabei vor allem die Betreiber der Medizinprodukte, also die Kliniken. Mit einem Risikomanagement sollen sie Gefahren, die aus dem Betrieb von Medizinprodukten in IT-Netzwerken resultieren, frühzeitig identifizieren und – wo möglich – reduzieren. Dennoch sind an der einen oder anderen Stelle auch die Hersteller betroffen: zum Beispiel dann, wenn nur sie bestimmte Informationen liefern können.
Die Gefahren, die es generell und eben auch im Hinblick auf die IEC 80001-1 im Netzwerk abzuwenden gilt, können unterschiedliche Ursachen haben: Ausfälle oder Fehlfunktionen könnten die Schutzziele „Safety“ und „Effectiveness“ verletzen. Personen könnten auch absichtlich einen Schaden verursachen – weshalb „Security“ ein Schutzziel ist.
Doch wie kann die Norm IEC 80001-1 in der Praxis umgesetzt werden? Muss jede Klinik das Rad neu erfinden? Wie können die unterschiedlichen Beteiligten am Prozess (vom Hersteller über den Risikomanager und die IT bis hin zum Anwender des Medizinprodukts) unter einen Hut gebracht werden? Und wie ist dieser Aufwand zu bewältigen? Diesen Fragen ist die Secaron AG, ein Beratungsunternehmen aus Hallbergmoos, nachgegangen. Ihre Erkenntnis: Auch wenn es den einen, für alle Kliniken gültigen Prozess nicht geben kann, liefern Best-Practise-Ansätze eine Orientierung.
So fordert die Norm unter anderem die Analyse, Bewertung und aktive Steuerung von Risiken. Wird dies für jedes Medizinprodukt einer Klinik individuell durchgeführt, bedeutet es erheblichen Aufwand. Daher sieht der Best-Practise-Ansatz zunächst eine standardisierte Erstrisikobewertung vor, um Prioritäten zuzuweisen. Hierfür hat Secaron drei Fragebögen entwickelt, die vom Hersteller oder dem Projektleiter der Klinik ausgefüllt werden. So wird erkennbar, ob von einem Medizinprodukt überhaupt ein erhöhtes Risiko ausgehen kann oder Standardmaßnahmen für den sicheren Betrieb ausreichen. Die Kriterien für diese Entscheidung sind beispielsweise:
- Wurden beim Hersteller sicherheitsrelevante Normen wie die IEC 61010 eingehalten (Fragebogen „Hersteller“)?
- Welche Schnittstellen hat das Medizinprodukt, und wie wichtig sind die Informationen beispielsweise für die Behandlung eines Patienten (Fragebogen „Komplexität der Umgebung“)?
- Wird das Betriebssystem regelmäßig aktualisiert (Fragebogen „Netzwerksicherheit“)?
Für den Fall, dass nirgends ein erhöhtes Risiko zu erwarten ist, muss der Projektleiter lediglich bestätigen, dass Standardmaßnahmen für den sicheren Betrieb umgesetzt wurden. Das wäre ein schlanker Prozess.
Werden aber schon im ersten Schritt Risiken erkennbar, müssen diese in Workshops identifiziert und bewertet werden. Dann lassen sich Maßnahmen erarbeiten, um die Risiken zu verringern – erst hier also steigt man in den detaillierten Prozess ein.
Aber selbst wenn man so differenziert vorgeht, fallen viele Routinetätigkeiten an, wie beispielsweise der Versand und das Auswerten der Fragebögen, das Nachhalten von Terminen für deren Abgabe oder das Umsetzen von Maßnahmen. Das Reporting aus den einzelnen Prozessen verursacht ebenfalls Aufwand, der sich mit einem Software-Tool begrenzen lässt.
Für die Abbildung der Best-Practise-Ansätze fiel die Wahl auf die flexible Plattform Archer eGRC Solutions des US-amerikanischen Anbieters RSA. Damit können individuell Daten erfasst und Workflows abgebildet werden. Eine Reihe von Lösungen aus den Bereichen Risikomanagement, Policymanagement oder Incident Management waren die Basis, um auch die Best-Practise-Ansätze für die IEC 80001-1 abzubilden. So lassen sich die Stammdaten zu Medizinprodukten verwalten. Bei Bedarf können Daten aus anderen Systemen importiert oder regelmäßig abgeglichen werden. Darüber hinaus kann RSA Archer auch als Medizinproduktebuch im Sinne der Medizinprodukte-Betreiberverordnung (MPBetreibV) genutzt werden.
Projekte zur Einführung eines Medizinprodukts lassen sich damit steuern: Durch das Abbilden von Workflows können viele Schritte automatisiert und damit der Aufwand reduziert werden. Darüber hinaus behalten die Verantwortlichen den Überblick über alle laufenden Projekte und deren Ergebnisse.
Hersteller und Projektleiter können die Fragebögen direkt in RSA Archer ausfüllen. Ausgewertet werden sie automatisch. Darüber hinaus können automatisiert E-Mail-Benachrichtigungen versandt werden, um Ansprechpartner über ihre Aufgaben zu informieren. Identifizierte Risiken und die Maßnahmen zu ihrer Reduktion können erfasst werden. Berichte entstehen automatisiert, wie zum Beispiel die abschließende Stellungnahme des Projektleiters oder eine Dokumentation des Medizinprodukts im Projektblatt.
Lars Rudolff Management Consultant, Secaron, Hallbergmoos
Weitere Informationen Über Secaron: www.secaron.de Über Archer: www.archer.com
Ihr Stichwort
- Medizinprodukte und IT-Sicherheit
- IEC 80001-1
- Softwareunterstützung im Prozess
- Best-Practise-Lösung
- Einbindung der Hersteller
Unsere Webinar-Empfehlung
Erfahren Sie, was sich in der Medizintechnik-Branche derzeit im Bereich 3D-Druck, Digitalisierung & Automatisierung sowie beim Thema Nachhaltigkeit tut.
Teilen:
