Die Bedeutung der zukünftigen IEC 80001 aus Sicht der Medizintechnik PDF Drucken E-Mail
Geschrieben von: Dipl.-Ing. Armin Gärtner   

Im Krankenhaus werden immer mehr Medizinprodukte in Netzwerke eingebunden, um Daten (z. B. radiologische Bilddaten) klinikweit intern dem Nutzer zur Verfügung zu stellen und/oder zentral zu speichern. Zusätzlich werden vermehrt telemedizinische Vernetzungen zwischen räumlich entfernten Krankenhäusern eingerichtet, um die Qualität der Patientenversorgung mittels Teleradiologie und/oder Tele-neurologie auch in kleineren Häusern zu verbessern, die keine Radiologie oder Neurologie haben. Mit dieser zunehmenden Vernetzung von Medizinprodukten nehmen auch Risiken und Zwischenfälle zu, sodass ein Normenprojekt (E IEC 80001) initiiert wurde, um vernetzte medizinische Systeme sicherer zu gestalten und Risiken zu beherrschen, die sich bei der Vernetzung ergeben. Nach-folgend wird ein erster kurzer Überblick über Inhalte und Umsetzung der zukünftigen Norm in der ersten Fassung aus Sicht der Medizintechnik dargestellt.

Ausgangssituation: Risiken vernetzter Medizinprodukte

Folgende Beispiele, Erfahrungen, Überlegungen und Risiken [2] stellten die Basis für das Normenprojekt dar, mit dem die Risiken des Betriebes von Medizinprodukten in Netzwerken beherrscht werden sollen.

● Jedes Krankenhaus weist unterschiedliche gewachsene Netzwerk-strukturen auf (Ausnahme: Neubauten). Netzwerke sind in der Regel historisch gewachsen und nicht aus „einem Guss“ installiert. Die Netz-werke (Netze) waren auch primär nicht für die Vernetzung von Medizin-produkten und den Datentransfer vorgesehen.

● Netze unterliegen einem permanenten Wandel, werden verändert, erweitert, erneuert usw. Die Funktionalität und Belastung eines Netzes ändert sich.

● Netze wurden bisher nicht für die Bedürfnisse und Anforderungen der zunehmenden medizinischen Daten und den Anschluss von Geräten ent-wickelt. Die Betreuung von Medizinprodukten und Netz-werken liegt historisch bedingt in unterschiedlichen Organi-sationsstrukturen der klassischen Abteilungen Medizintechnik und IT.

● Immer mehr Modalitäten, d. h. bildgebende Medizinprodukte werden an ein Netzwerk angeschlossen. Der Betreiber führt die Vernetzung von Medizinprodukten technisch und organisatorisch häufig ohne Berück-sichtigung der sich daraus ergebenden Konsequenzen und Komplikationen durch (Netzwerkbelastung, Bandbreite, Applikationen, Priorisierung von Notfalldaten, Einsatz von WLAN, Datensicherheit, Netzausfallsche-rung usw.).

● Durch das Aufkommen der Telemedizin werden nicht nur interne Pro-zesse und Abteilungen/Geräte eines Betreibers vernetzt, sondern zunehmend auch externe Anbindungen und Vernetzungen zwischen Krankenhäusern und anderen Anbietern im Gesundheitswesen durchgeführt, aus denen sich bisher nicht gekannte Probleme, Risiken und Gefährdungspotenziale ergeben.

● Häufig fehlt die notwendige organisatorische Zusammenarbeit von Medizintechnik und IT für die gemeinsame An- und Einbindung von Medizinprodukten in Netzwerke.

● Hersteller haben bisher die Vernetzung ihrer Produkte in einem Netzwerk des Betreibers wenig berücksichtigt und dem Betreiber keine Informationen über eine sichere und zuverlässige Integration zur Verfügung gestellt.

● Modalitäten wie CT, MR usw. erfordern mittlerweile grundsätzlich einen Remote-Service-Anschluss. Dies bedeutet für den Betreiber, die Siche-rheit externer Zugriffe zu prüfen.

● Schadsoftware (Malware) wie Viren, Trojaner usw. befallen mittlerweile (ohne entsprechenden Schutz) auch softwaregesteuerte Medizinproduk-te.

● usw.

 

iec80001_1


Bild 1: Vernetzte programmierbare medizinische Systeme (PEMS)


Aus den genannten Beispielen und Erfahrungen können sich folgende Probleme ergeben, die den medizinischen Datentransfer beinträchtigen, stören oder sogar unterbrechen können:

● heterogene IT-Netzwerktopologien und Änderungen

● Netzwerküberlastung durch sogenannte Flaschenhälse

● doppelte IP-Adressenvergabe

● Fehlerhafte aktive Komponenten

● Übertragungsfehler durch Störeinkopplung

● Zugriffsschutz (Update, Upgrade, Release)

● Inkompatibilitäten von Protokollen und Treibern

● Mangelnde Netzverfügbarkeit

● Fehlende Redundanz der aktiven Netzwerkkomponenten

● Keine Hochverfügbarkeitskonzepte für medizinische Daten

● Unterschiedliche Betriebssysteme

● Mangelnde Kompatibilität bzw. fehlende Anschlussmöglichkeit von Modalitäten an Lichtleiterkabel (nur über Umsetzer mit Verzögerungen)

● usw.

Medizinische Diagnostik und Therapie sind heute auf die rechtzeitige und jederzeitige Verfügbarkeit von Bildern, Befunden und sonstigen Daten angewiesen. Es können sich daher erhebliche Probleme und Risiken für die Diagnose und Therapie von Patienten ergeben, wenn

● Daten nicht oder nur unvollständig zur Verfügung stehen,

● Daten nicht rechtzeitig zur Verfügung stehen,

● Daten wie Bilder während einer Operation plötzlich nicht mehr zur Verfügung stehen,

● der Transfer von Vitalparametern und/oder Alarmen nicht möglich ist oder unterbrochen wird

● usw.

Beispiel:

Telemedizin wie Teleneurologie stellt beim akuten Schlaganfall Notfallmedizin dar. Bandbreiteneinschränkungen der Übertra-gungsstrecken durch andere Applikationen bzw. starke Netzbelastungen können die Videoübertragung erheblich verlang-samen und dadurch die akute, notfall- medizinische Versorgung eines Patienten gravierend beeinträchtigen.

Bisher gab es keine Regel der Technik (Norm), die Anforderungen an Sicherheit (safety), Wirksamkeit (effectiveness) und Datenschutz (data security) von Medizinprodukten in IT-Netzwerken festgelegt hat, sodass die An- und Einbindung von Medizinprodukten in Netzwerke häufig dem Zufallsprinzip überlassen war. Weder die EU-Richtlinie MDD 93/42/EWG noch das auf dieser Richtlinie basie-rende Medizinprodukt regeln die Vernetzung von Medizinprodukten.



2 Richtlinie Medical Devices Directive (MDD) 93/42/EWG und Normen

Die Richtlinie MDD 93/42/EWG fordert Sicherheit für Patient, Anwender und Dritte beim Einsatz von Medizinprodukten. Doch weder die Richtlinie noch ihre nationale Umsetzung in Form des Medizinproduktegesetzes (MPG) beschäftigen sich mit der Problematik der vernetzten Medizin-produkte. Die technischen Details finden sich ansatzweise in der Norm DIN EN 60601-1 (3. Ausgabe 2007).

Die Entwicklung und Fertigung von Medizinprodukten erfolgt nach europäischen Richtlinien und harmonisierten Normen. Medizinprodukte können nur in Verkehr gebracht werden, wenn ein Konformitätsbewer-tungsverfahren erfolgreich abgeschlossen wurde, mit dem die Konformität mit der zutreffenden Richtlinie nachgewiesen wurde. Dieses Verfahren ist die Grundlage und Voraussetzung für die CE-Kennzeichnung. Die Anwendung von Medizinprodukten ist durch die Medizinproduktebetreiberverordnung geregelt. Die Einbindung von Medizinprodukten in ein IT-Netzwerk eines Betreibers (Krankenhaus, Arztpraxis) ist bisher weitgehend nicht geregelt. Zwar behandeln entsprechende Normen für die IT allgemeine Themen wie Planung, Entwurf, Wartung u. a. eines Netz-werkes, aber bisher definierte keine Norm, wie Medizinprodukte mit den für allgemeine Daten und Zwecke gedachten IT-Netzwerken verbunden werden können und sollen.

Erst die 3. Ausgabe der DIN EN 60601-1:2007 beschäftigt sich initial mit der Vernetzung von medizinischen elektrischen Geräten und Systemen. Der Betreiber wird als „verantwortliche Institution“ definiert; es wird unterstellt, dass Betreiber und Hersteller von netzwerkfähigen, medizinischen elektrischen Systemen gemeinsam die Sicherheit eines Systems aus Netzwerk und medizinischen elektrischen Geräten sicherstellen.

Dies funktioniert [2] in der Praxis häufig nicht. Die DIN EN 60601-1 enthält in der 3. Ausgabe (gültig seit Juli 2007) zwar wesentlich mehr betreiber-bezogene Aspekte und Regelungen bezüglich des Anschlusses von Medizinprodukten an Netzwerke als die frühere 2. Ausgabe, geht aber nicht auf die Beherrschung der daraus entstehenden Risiken ein. Die Norm definiert vernetzte medizinische technische Geräte (Medizinprodukte) als „Programmierbare medizinische elektrische Geräte“, abgekürzt PEMS. Dieser Begriff wird auch im Entwurf der IEC 80001 verwendet


3 IEC 80001

Die IEC 80001 richtet sich an die Betreiber und Hersteller, welche die Aufgaben, Zuständigkeiten und Verantwortlichkeiten definieren müssen. Sie schlägt vor, das Verfahren des Risikomanagements einzusetzen, bevor die Einbindung eines Medizinproduktes in das IT-Netzwerk (Bild 2) erfolgt. Das Risikomanagement muss über die gesamte Lebensdauer/ Nutzung eines Medizinproduktes betrieben werden, um unerwünschte Auswirkungen bei der Einbindung und im Betrieb zu verhindern, die möglicherweise zu einem Schaden für Patienten (und Anwender sowie Dritte) führen können.

 

iec80001_3

Bild 2: Vernetzte Medizinprodukte im Krankenhaus (Quelle: G. Weller, Siemens)



Die zukünftige Norm strebt folgende Ziele an:

● Sicherheit im Netzwerk

● Effektives Netzwerk

● Daten- und Systemsicherheit

● Vertraulichkeit

● Integrität der Daten

● Verfügbarkeit der Daten

● Interoperabilität

● Sicheres Zusammenschalten von Medizinprodukten und Geräten, die keine Medizinprodukte sind, in demselben Netzwerk.

Diese Ziele sollen erreicht werden, indem wesentliche Leistungsmerkmale eines IT-Netzwerkes mit vernetzten Medizinprodukten definiert werden. Weiterhin muss der Hersteller im Rahmen von Vereinbarungen die erforderlichen Informationen und Angaben zur Verfügung stellen, die der vom Betreiber zu benennende Risikomanager benötigt, um das geforderte Risikomanagement und die sichere Integration von Medizinprodukten in ein Netzwerk durchführen zu können. Der Risikomanager wird auch als Netzwerkintegrator bezeichnet.

Die Norm fordert daher von Herstellern und Betreibern:

● Hersteller müssen bei Design und Entwicklung die Einbindung ihrer Medizinprodukte in Netzwerke des Betreibers berücksichtigen.

● Der Betreiber muss die Einbindung von Medizinprodukten in Netzwerke durch ein Risikomanagement begleiten.

● Die Einbindung von Medizinprodukten in ein ITNetzwerk ist eine Aufgabe, die eine Einbindungsgestaltung erforderlich macht, die unabhängig vom Hersteller sein kann und eine Veränderung des Medizinproduktes einschließen darf.

● Der Betreiber muss Personen bestimmen, die die in dieser Norm festgelegten Aufgaben und Verantwortlichkeiten übernehmen. Entscheidend ist die Bestellung des Risikomanagers für die medizinische IT-Einbindung.

● Hersteller sind dafür verantwortlich, Informationen und Anweisungen als Begleitpapiere für ein Medizinprodukt zur Verfügung zu stellen, mit denen der Risikomanager des Betreibers ein Medizinprodukt sicher in ein IT-Netzwerk einbinden kann.

● Die Begleitpapiere müssen Informationen enthalten, wie ein Medizinprodukt eingebunden und wie der Datenaustausch mit diesem Medizinprodukt ablaufen soll. Die Begleitpapiere sollten auch die Leistungsmerkmale festlegen, die das IT-Netzwerk und daran angeschlossene Geräte mindestens erfüllen müssen. Als weitere Informationen müssen die Begleitpapiere auch auf Gefährdungen durch missbräuchliche Anwendung der Netzwerkverbindungen oder der übertragenen Daten hinweisen.

● Der Risikomanager für die medizinische IT-Einbindung muss verant-wortlich ein Verfahren sicherstellen, das

● das Konfigurationsmanagement und die Änderungssteuerung des IT-Netzwerkes beinhaltet,

● die Planung und Einbindung neuer Medizinprodukte berücksichtigt,

● das Risikomanagement für die Eingliederung und die Anwendung der übertragenen Informationen vornimmt.

Insbesondere der Betreiber eines Netzwerkes, d. h. normalerweise die Geschäftsführung, muss ein dauerhaftes Risikomanagement einführen, das nicht nur den initialen Status eines Netzwerkes umfasst und beinhaltet, sondern auch alle Änderungen in der Konfiguration des Netzwerkes einschließt.

Beispiel: Netzwerkgestützte EKG- und EEG-Analyse

Der Hersteller eines solchen netzwerkgestützten Systems übernimmt bzw. kann keine Verantwortung für das Netzwerk beim Betreiber übernehmen.

Er muss aber im Rahmen seines Konformitätsbewertungsverfahrens die sichere Funktionsfähigkeit der Datenübertragung mit einem anderen Netzwerk (Netzwerk X) überprüfen und validieren, d. h., er muss die Schnittstellen und das Systemverhalten testen sowie sicherstellen, dass bei einem Ausfall der Netzwerkübertragung Daten nicht verloren gehen. Dies bedeutet, dass ein netzwerkgestütztes System prüfen muss, ob Daten vollständig übertragen wurden, bzw. sicherstellen muss, dass im Fall einer Unterbrechung eine Wiederholung des Datentransfers an einen Server so lange erfolgt, bis der Server bzw. die Datenbank auf dem Server den vollständigen Abschluss der Übertragung an den sendenden PC im Netzwerk übermittelt. Dies bedeutet, dass der Hersteller dem Betreiber Informationen über den bestimmungsgemäßen und sicheren Betrieb seines Produktes in einer vernetzten Umgebung zur Verfügung stellen muss.

Ein Teil der Risikobetrachtung bei netzwerkgestützten Systemen muss eine weitere, unvermeidliche Prozessauswirkung berück-sichtigen, nämlich die Belegung von Ressourcen in IT-Systemen. Durch ungünstige Wechselwirkungen zwischen den Ressour-cenbedürfnissen unterschiedlicher Prozesse, etwa Bandbrei-tenbedarf in einem Netzsegment, kann zufällig oder vorsätzlich ein „weniger sicherheitskritischer“ Prozess einen sehr sicher-heitsbedürftigen Prozess mit den entsprechenden Folgen beein-trächtigen. (siehe Beispiel akuter Schlaganfall)

Telemedizin
Die gleichen Überlegungen und Maßnahmen gelten auch für telemedizinische Verbindungen. Der Betreiber muss ein Risikoma-nagementverfahren auch für telemedizinische Anbindungen und Verbindungen aufbauen. Dies bedeutet, zu analysieren und zu prüfen, ob Gefährdungen eines Patienten durch eine gestörte oder ausgefallene telemedizinische Verbindung entstehen und wie die möglichen Auswirkungen der erkannten Gefährdungen reduziert werden können.

Der Hersteller telemedizinischer Komponenten muss dem Betreiber die beispielhaft genannten Informationen für die telemedizinischen Netzwerkanbindungen zur Verfügung stellen.

Dies kann (in Konsequenz) bedeuten, für telemedizinische Anwendungen ein eigenes Netzwerk aufzubauen oder spezialisierte Netzwerke von spezialisierten Dienstleistern zu nutzen, die eine entsprechende Hochverfügbarkeit liefern.


4 Mögliche Umsetzung in der Praxis

Die IEC 80001 definiert:

1. die Aufgaben des Betreibers (verantwortliche Organisation),

2. die Aufgaben und Pflichten der Hersteller von Medizinprodukten,

3. die Aufgaben und Pflichten der Hersteller von ITKomponenten und beschreibt darüber hinaus das Risikomanagement.



4.1 Aufgaben des Betreibers

Die oberste Leitung des Betreibers (in der Regel die Geschäftsführung eines Krankenhauses) muss folgende Aufgaben übernehmen:

● eine Strategie für die Bestimmung der Risiko-Akzeptanzkriterien aufstellen

● einen Prozess für die Anwendung des Risikomanagements über die gesamte Lebensdauer einführen

● Personen mit entsprechenden Befugnissen beauftragen, den Risikomanagementprozess auszuführen

● die notwendigen Ressourcen zur Verfügung stellen

● die Risikomanagementakte für das IT-Netzwerk bestätigen

● die Wirksamkeit der Maßnahmen zur Risikobeherrschung und die System- und Technologieänderungen überwachen und

● in regelmäßigen Abständen den Risikomanagementprozess einer Eignungsprüfung unterziehen.


Für diese Aufgaben muss die oberste Leitung folgende Funktionen definieren und Personen benennen:

● die Personen der Leitung, die die Informationserfassung, Auswertung und Bewertung durchführen und die gesamte Bereitstellung des Prozesses der Risikobewertung übernehmen,

● den ausführenden Entscheidungsträger, der verantwortlich ist für die endgültige Anbindungsfreigabe von Medizinprodukten, die in ein IT-Netzwerk eingebunden sind, und

● den Eigentümer der Dokumentation hinsichtlich des Risikomanagementprozesses für das IT-Netzwerk mit Medizin-produkten, einschließlich der zugehörigen Zuständigkeitsve-reinbarungen (Verträge) und der Risiko-managementakte für das IT-Netzwerk.

 

iec80001_3

Bild 3: Risikomanagement-Verknüpfungen


Die Geschäftsführung eines Krankenhauses kann die personelle Verantwortung und Haftung nicht auf den Risikomanager für die medizinische IT-Einbindung übertragen, d. h., die Verantwortung für das Risikomanagement liegt grundsätzlich bei der Geschäftsführung (Bild 3). Ihre Aufgabe besteht darin, die erforderlichen   Aufgaben zu delegieren und dafür zu sorgen, dass alle mit den genannten Funktionen in dieser Norm beauftragten Mitarbeiter zusam-menwirken, um einen einwandfreien Betrieb vernetzter Medizin-produkte über den gesamten Lebenszyklus zu gewährleisten. Der Risikomanager übernimmt folgende Aufgaben:

● Sammeln aller Informationen über Medizinprodukte

● Planung der Einbindung der Medizinprodukte entsprechend den von den verschiedenen Herstellern bereitgestellten Anweisungen

● Anwendung des Risikomanagements für IT-Netzwerke mit Medizin-produkten bei jeder Änderung, Ergänzung oder Erweiterung

● Information an die verantwortliche Organisation, d. h. an den Betreiber über das IT-Netzwerk mit Medizinprodukten und die mög-lichen Gefährdungen infolge von Änderungen in der Konfiguration.


Der Risikomanager hat eine Schnittstellenfunktion und muss daher mit internen und externen Beteiligten kommunizieren, am Risiko-managementprozess mitarbeiten und letztendlich an die Geschäftsführung berichten.

Hersteller von Medizinprodukten übernehmen dabei folgende Aufgaben:

● Abschluss eines Kooperationsvertrages (Zuständigkeitsver-einbarung) mit der verantwortlichen Organisation

● Bereitstellung von Information und Dokumentation über:

● den beabsichtigten Gebrauch des medizinischen, vernetzten Gerätes

● die erforderlichen Eigenschaften des IT-Netzwerkes

● die erforderliche Konfiguration des IT-Netzwerkes

● die Beschränkung der Erweiterungsmöglichkeit des IT-Netzwerkes

● die Spezifikation des medizinischen Gerätes, einschließlich funktionale Sicherheitskonfiguration

● den Informationsfluss in und um das IT-Netzwerk

● die Zusammenfassung des Hersteller-Risikomanagements für das medizinische Gerät, soweit für die Vernetzung erforderlich

● weitere, für die Vernetzung hilfreiche Informationen.



4.2 Aufgaben und Pflichten der Hersteller von Medizinprodukten: Zuständigkeitsvereinbarung

Wenn ein Krankenhaus ein Medizinprodukt beschaffen will, das in ein IT-Netzwerk eingebunden werden soll, muss es mit dem Her-steller/Lieferanten eine sogenannte Zuständigkeitsvereinbarung abschließen.

Diese Vereinbarung kann in Form eines Vertrages geschehen, in dem die Verantwortlichkeiten der Beteiligten (Krankenhaus, IT-Abteilung, Medizintechnik, Herstellerservice usw.) definiert und genannt werden.

Diese Forderung ist nicht nur bei der Neu- oder Ersatzbeschaffung eines Medizinproduktes wie einer Modalität (z. B. Computer-tomograph) einzuhalten, sondern auch dann, wenn die Konfiguration einer Verbindung/ Einbindung verändert wird.

Eine solche vertragliche Vereinbarung kann folgende Inhalte umfassen:

● die Einbindung mehrerer Modalitäten,

● die Instandhaltung von einem oder mehreren ITNetzwerken (bei Fremdvergabe),

● die Regelung der Verantwortlichkeiten für alle Belange des Risikomanagements über den Lebenszyklus der Modalität und alle Tätigkeiten, die einen Teil dieses Lebenszyklus darstellen, berücksichtigen und abdecken.

4.3 Aufgaben und Pflichten der Hersteller von IT-Komponenten

Hersteller von IT-Technologie (z. B. PC, Netzwerkkomponenten, Server usw.) übernehmen ebenfalls wichtige Aufgaben: Sie müssen die verantwortliche Organisation mit allen notwendigen Dokumen-tationen über die im Netzwerk eingesetzten Geräte und Software versorgen, wie es in dem abzuschließenden Kooperationsvertrag vereinbart werden muss.

Der Dokumentationsumfang muss mindestens folgende Aspekte umfassen:

● Technische Produktbeschreibungen

● Empfohlene Produktkonfigurationen

● Produktänderungen und Rückrufe

● Schutz gegen Internet-Risiken (Schutz vor Malware und Angriffen unbefugter Personen)

● Testbeschreibungen und Testergebnisse.

Das Lebenszyklus-Risikomanagement für in IT-Netzwerke eingebun-dene Medizinprodukte umfasst u. a. folgende Aufgaben und Themen:

● Netzwerkplanung für medizinische Aufgaben

● Katalogisierung aller Modalitäten, Software, Versionszustände, Sammeln aller Informationen der Hersteller bezüglich der Einbindung der Produkte in Netzwerke

● Durchführung des Risikomanagementprozesses für alle Maßnah-men gemäß Bild 4.

 

iec80001_4

Bild 4: Grundsätzliche Inhalte des Risikomanagementprozess für IT-Netzwerke


Die Verfahrensschritte des Risikomanagementprozesses orientieren sich an der DIN EN 14971. Bild 4 zeigt den anzuwendenden Prozess des Risikomanagements, der für alle Tätigkeiten durchgeführt werden muss, um ein Gerät oder eine Software in IT-Netzwerke (mit Medizinprodukten) mit angemessenem Aufwand einzubinden. Es ist Aufgabe der verantwortlichen Organisation, diesen Prozess zu veranlassen, d. h., die Geschäftsführung eines Krankenhauses muss die Aufgabe auf die benannten Mitarbeiter delegieren und ihre Umsetzung/Arbeit überwachen.

 

5 Bezug des Normungsprojektes zur MDD 93/ 42/EWG und zur DIN EN 60601-1 3rd

Die europäische Richtlinie Medical Devices Directive (MDD) 93/42/EWG fordert in Anhang I (Grundlegende Anforderungen) für Medizinprodukte und somit auch für Medizinprodukte, die zur Vernetzung mit einem IT-Netzwerk bestimmungsgemäß vorgesehen sind, folgende Nachweise und Informationen:

● (Abs. 3.) Die Produkte müssen die vom Hersteller vorgegebenen Leis-tungen erbringen.

● (Abs. 9.1) Wenn ein Produkt zur Verwendung in Kombination mit ande-ren Produkten oder Ausrüstungen bestimmt ist, muss die Kombination einschließlich der Anschlüsse sicher sein und sie darf die vorgesehene Leistung der Produkte nicht beeinträchtigen. Jede Einschränkung der Anwendung muss auf der Kennzeichnung oder in der Gebrauchsan-weisung angegeben werden.

● (Abs. 13.1) Jedem Produkt sind Informationen beizufügen, die – unter Berücksichtigung des Ausbildungs- und Kenntnisstandes des vorgesehe-nen Anwenderkreises – die sichere und ordnungsge-mäße¹ Anwendung des Produktes (…) möglich machen.

Neben den Anforderungen der MDD stellt auch die DIN EN 60601-1 3rd Anforderungen an den Hersteller,im Rahmen des Risiko-managementprozesses bekannte und vorhersehbare Gefährdungen zu betrachten, die beim bestimmungsgemäßen Anschluss eines Medizinproduktes an ein IT-Netzwerk entstehen können.

 

14.6 Risikomanagement-Prozess

14.6.1 Ermittlung von bekannten und vorhersehbaren GEFÄHR-DUNGEN

Wenn die Liste der bekannten oder vorhersehbaren GEFÄHRDUNGEN zusammengestellt wird, muss der HERSTELLER diejenigen GEFÄHRDUNGEN betrachten, die mit Software- und Hardware-Aspekten des PEMS verbunden sind, einschließlich derjenigen, die mit einem NETZ-WERK/DATEN-VERBUND, mit Komponenten Dritter und Subsystemen verbunden sind, die bereits früher in Betrieb waren.

Anmerkung zu Abschnitt 14.6.1

Zusätzlich zu den Angaben in ISO 14971, Anhang D sollte die Liste der möglichen Ursachen von GEFÄHRDUNGEN in Zusammenhang mit PEMS folgendes enthalten:

● Das NETZWERK/der DATENVERBUND ist nicht in der Lage, die notwendigen Merkmale für das PEMS zu liefern, damit dieses seine BASISSICHERHEIT oder seine WESENTLICHEN LEISTUNGS-MERKMALE erzielen kann;

● unerwünschte Rückwirkung [physikalisch und datentechnisch] (zu den Möglichkeiten gehören: unverlangt eingehende Daten, Eingangsdaten außerhalb des Bereiches oder widersprüchliche Eingangsdaten..)

14.13 Verbindung von PEMS mit anderen Geräten durch ein NETZWERK / einen DATENVERBUND Wenn das PEMS durch ein NETZWERK/bzw. in einem DATENVERBUND mit anderen Geräten, die außerhalb der Verantwortung des PEMS-HERSTELLERS liegen, verbunden werden muss, muss die technische Beschreibung folgende Informationen enthalten:

● die Merkmale des NETZWERKS/DATENVERBUNDS festlegen, die erforderlich sind, damit das PEMS seinen BESTIM-MUNGSGEMÄSSEN GEBRAUCH erzielen kann;

● die möglichen GEFÄHRDUNGSSITUATIONEN auflisten, die sich daraus ergeben, dass das NETZWERK/ der DATENVERBUND nicht in der Lage ist, die festgelegten Merkmale zu liefern;

● die VERANTWORTLICHE ORGANISATION darauf hinweisen, dass:

● die Verbindung des PEMS zu einem NETZWERK/

DATENVERBUND, das/der andere Geräte enthält, zu vorher unbekannten RISIKEN für den PATIENTEN, BEDIENER oder Dritte führen könnte;

● die VERANTWORTLICHE ORGANISATION diese RISIKEN bestimmen, analysieren, bewerten und beherrschen sollte;

● nachfolgende Änderungen am NETZWERK/DATENVERBUND zu neuen RISIKEN führen und daher zusätzliche Analysen erfordern könnten;

● Änderungen am NETZWERK/DATENVERBUND folgendes einschlie-ßen:

● Änderungen an der NETZWERK/DATENVERBUNDKonfiguration;

● Anschließen zusätzlicher Elemente an das NETZWERK/ den DATENVERBUND;

● Entfernen von Elementen aus dem NETZWERK/ DATENVERBUND;

● „Update“ von Geräten, die mit dem NETZWERK/ DATENVERBUND verbunden sind;

Anhang H.7 der Norm DIN EN 60601-1 3rd enthält eine Tabelle, die Beispiele von Medizinprodukten in vernetzter Anwendung aufführt.

Für diese Beispiele werden die möglichen Folgen von Störungen im IT-Netzwerk, Verlust von Daten usw. in der damit verbundenen Zeit (Reaktionszeit) für einen Patienten angegeben. So kann beispielsweise eine falsche Steuerung eines OP-Roboters innerhalb von Sekunden zu einer schweren Verletzung oder sogar Tod des betreffenden Patienten führen, während der Verlust einer Röntgenaufnahme situationsabhängig zu kleineren Verletzungen bzw. Schädigungen eines Patienten im Zeitraum von Minuten führen kann. Dies trifft vor allem bei Unfallpatienten zu, die chirurgisch versorgt werden sollen und deren Versorgung von einer Röntgenaufnahme abhängt.

 

iec80001_4

Tabelle 1: Beispiele für Reaktionszeiten und Folgen der Störungvon Medizinprodukten in IT Netzwerken


Anhang H7 enthält weiterhin eine Spalte mit den Angaben für die Klasseneinteilung von Netzwerken (A, B und C) in Einrichtungen des Gesundheitswesens, mit der eine mögliche Aufteilung eines IT-Netzwerkes mit angeschlossenen Medizinprodukten erfolgen kann. 

 

iec80001_5

Bild 5: Mögliche Einteilung eines IT-Netzwerkes im Krankenhaus


Bild 5 zeigt diese mögliche Einteilung in drei   Klassen A, B und C mit zunehmender Anforderung an die Sicherheit der damit kategorisierten Teilnetze. Während Teilnetz A das allgemeine Kliniknetzwerk mit administrativen Applikationen umfasst, beinhaltet das Teilnetz B Anwendungen wie ein Radiologienetz, zu dem aus Sicht der Norm nur ein eingeschränkter Zugang bestehen sollte.

Intensivmedizinische Netzwerke werden als Teilnetz C kategorisiert, das komplett vom allgemeinen Netz getrennt werden sollte, ohne dass ein Zugang bestehen kann. Diese Anforderungen müssen mit den für die IT-Netzwerke verantwortlichen Mitarbeitern in den Kranken-häusern diskutiert und umgesetzt werden. Die Forderung, Netzwerke für Intensivstationen komplett abzuschotten und keinen Zugang zu ermöglichen, lässt sich möglicherweise in der Praxis so nicht durchführen, da

1. immer mehr Remote-Service-Zugriffe von Herstellern auch auf inten-sivmedizinische Anlagen erfolgen,

2. immer mehr Anbieter derartiger intensivmedizinischer Netzwerke vorsehen, diese auch auf dem allgemeinen Kliniknetzwerk mit entsprechender Absicherung zu installieren, und

3. immer mehr intensivmedizinische Netzwerke u. a. über WLAN (Funktechnik) installiert werden, weil die Netze physikalisch und/oder logisch nicht mehr eindeutig voneinander zu trennen sind.

Für telemedizinische Anwendungen wird empfohlen, ein Teilnetzwerk der Kategorie B vorzusehen, da Telemedizin in Form der Teleradiologie und Teleneurologie Notfallmedizin darstellt, für die entsprechende Anforderungen an Verfügbarkeit und Bandbreite der Verbindungsleitungen zu stellen sind.

Der Betreiber von IT-Netzwerken sollte dennoch bereits damit beginnen, seine Netzwerke in die von der DIN EN 60601-1 vorgeschlagenen Kategorien so weit wie möglich einzuteilen.

 

6 Bedeutung des Normungsprojektes für die Medizintechnik

Die Norm stellt nicht nur zusätzliche Anforderungen an die Medizintechnik, sondern bietet vor allem auch eine Chance, den Prozess der An- und Einbindung von Medizinprodukten in IT-Netzwerke aktiv zu begleiten und auch zu gestalten. Dies setzt nicht nur eine intensive Beschäftigung mit den Zielen der Norm voraus, sondern auch die Kenntnis und Anwendung der klassischen Risikomanagementnorm DIN EN 14971.

Die Medizinproduktebetreiberverordnung, basierend auf dem MPG, fordert in § 2 Abs. 1 gemäß Bild 6

 

iec80001_6

Bild 6: Medizinproduktegesetz, Medizinproduktebetreiberverordnung und Normen


Medizinprodukte nach den Regeln der Technik (also den Normen) zu installieren und zu betreiben. Über die Verbindung von MPG und Betreiberverordnung ergibt sich für Betreiber also die Verpflichtung, Normen und somit auch die zukünftige Norm IEC 80001 umzusetzen.

Um die Anforderungen der Norm in Deutschland zu erfüllen, werden Betreiber Risikomanagementprozesse bei der Vernetzung einführen müssen, um die Risiken für den Patienten zu beherrschen. Die Norm wird also auch zu einer weiteren Integration und Zusammenarbeit der Bereiche IT und MT zu MIT führen.

 

7 Weitere Entwicklung des Normungsprojektes

Die als Entwurf beim Beuth- oder VDE-Verlag erhältliche erste Fassung der Norm wird zurzeit auf internationaler Ebene als 2. Committee-Draft überarbeitet. Diese zweite internationale Fassung wird aktuell an die nationalen Normen-Komitees verteilt. Da die Unterschiede zwischen der ersten und zweiten Fassung signifikant sind, wird es gegebenenfalls auch einen zweiten Entwurf in deutscher Sprache geben.

Dieser zweite Entwurf wird voraussichtlich erst im Herbst 2009 vorliegen; dies ist der Grund, weshalb es bisher auch noch keine Muster von Herstellervereinbarungen gibt. Diese werden erst dann erstellt, wenn der endgültige Normungstext feststeht.

Aus heutiger Sicht wird das Normenprojekt IEC 80001 nicht vor dem Jahr 2010 fertig werden. Die zukünftige Norm IEC 80001 kann möglicherweise die Basis- oder Grundnorm für eine Reihe von weiteren Normen sein, die sich ähnlich entwickeln können wie die DIN EN 60601-1 mit den Zusatznormen DIN EN 60601-1-X und den Normen mit besonderen Anforderungen der Reihe DIN EN 60601-2-X.

 

 


Literatur

[1] DIN IEC 80001; VDE 0756-1:2008-03 Norm-Entwurf, 2008-03 Anwendung des Risikomanagements für ITNetzwerke mit Medizinprodukten (IEC 62A/591/CD: 2007)

[2] Hüsken, V.; Erste Hilfe: IT-Sicherheit, EHEALTHCOMPASS aus EHEALTHCOM Nr. 5, September/Oktober 2007, S. 4–9

[3] Gärtner, A.; Band 3 Telemedizin und computerunterstützte Medizin, Reihe Medizintechnik und Informationstechnologie, TÜV Media Verlag Köln 2006, ISBN 978-3-8249-1004-7

[4] Kaiser, J.; Absicherung vernetzter Medizinprodukte, Vortrag Würzburger Medizintechnik Kongress 2008

[5] Maus, T.; Zur Inventarisierung und Bewertung von ITRisiken – MEDNET, Arbeitsbuch für die integrierte Gesundheitsversorgung 2005/5, Edition Timmen, ISBN 3-86108-056-7

[6] Pauli, N.; IEC 80001 – Eine Herausforderung für die Medizinprodukte- Industrie, 8. Würzburger Medizintechnik Kongress, Kongressband ISBN 978-3-937988-06-1, S. 141–142

[7] Rose, I.; Ross, P.; Erwartungen der Betreiber an die Norm 80001, 8. Würzburger Medizintechnik Kongress, Kongressband ISBN 978-3-937988-06-1, S. 139–140

[8] Sefkovicz, H.; IT-Praxis für Medizintechniker – Sicherheitsaspekte in der vernetzten IT-Welt, 8. Würzburger Medizintechnik Kongress, Kongressband ISBN 978-3- 937988-06-1, S. 143–145

[9] Stettin, J.; Hintergründe zur Norm IEC 80001, 8. Würzburger Medizintechnik Kongress, Kongressband ISBN 978-3-937988-06-1, S. 137–138

[10] Stettin, J.; IEC 80001: Risikomanagement im Krankenhaus, Vortrag Würzburger Medizintechnik Kongress 2008

[11] Weller, G.; Verantwortlichkeits-Vereinbarungen zwischen Herstellern und Betreibern zur IEC 8001, Vortrag Würzburger Medizintechnik Kongress 2008

 

 


 

Autor:
Armin Gärtner
Dipl.-Ing. Medizintechnik
ö. b. u. v. Sachverständiger für Medizintechnik und Telemedizin
der IHK Wuppertal Remscheid Solingen
Edith-Stein-Weg 8
40699 Erkrath
Tel.: 02104-35519
Diese E-Mail-Adresse ist gegen Spambots geschützt! JavaScript muss aktiviert werden, damit sie angezeigt werden kann.
gaertner2
 
 

Externe Links:

 

vicenna_akademie2
logo_kkc
dimdi
bfarm
osz
spl_elektronik
cemro
tuv logo