Umsetzung der neuen IEC kostengünstig und pragmatisch

Transkript

1 1 Umsetzung der neuen IEC kostengünstig und pragmatisch Risikomanagement für IT-Netze mit Medizinprodukten Prof. Dr. med. Dipl.-Phys. Jürgen Stettin University of Applied Sciences Hamburg

2 2

3 Hauptrisiken in deutschen Krankenhäusern 3 Kommunikationsprobleme Aufnahme Entlassung Verlegung innerhalb des Krankenhauses (z.b. vom OR zur ICU) Hygiene Medikationsprobleme Compliance Verwechslung von Medikamenten Verwechslung von Patienten, Proben und Diagnosen Chirurgische Fehler Diagnostische Fehler Medizinprodukte

4 Risikoverteilung in deutschen Krankenhäusern beds > 600 beds Total (all hospitals) Kommunikationsprobleme 50,7% 69,4% 46,5% Hygiene 37,0% 32,7% 32,2% Medikationsfehler 34,2% 28,6% 34,3% Verwechslung von Patienten, Proben, Diagnosen 13,0% 12,2% 11,0% Chirurgische Fehler 7,5% 6,1% 7,0% Diagnostische Fehler 2,7% 4,1% 6,6% Medizinprodukte 4,8% 2,0% 3,1% Kommunikationsprobleme steigen mit der Größe des Krankenhauses Source: Abschlußbericht: Befragung zum Einführungsstand von klinischem Risiko-Management in deutschen Krankenhäusern, Institut für Patientensicherheit der Universität Bonn, 2012

5 Risikoverteilung in deutschen Krankenhäusern beds > 600 beds Total (all hospitals) Kommunikationsprobleme 50,7% 69,4% 46,5% Hygiene 37,0% 32,7% 32,2% Medikationsfehler 34,2% 28,6% 34,3% Verwechslung von Patienten, Proben, Diagnosen 13,0% 12,2% 11,0% Chirurgische Fehler 7,5% 6,1% 7,0% Diagnostische Fehler 2,7% 4,1% 6,6% Medizinprodukte 4,8% 2,0% 3,1% Kommunikationsprobleme steigen mit der Größe des Krankenhauses Workflowprobleme verringern sich mit der Größe des Krankenhauses Source: Abschlußbericht: Befragung zum Einführungsstand von klinischem Risiko-Management in deutschen Krankenhäusern, Institut für Patientensicherheit der Universität Bonn, 2012

6 Risikoverteilung in deutschen Krankenhäusern beds > 600 beds Total (all hospitals) Kommunikationsprobleme 50,7% 69,4% 46,5% Hygiene 37,0% 32,7% 32,2% Medikationsfehler 34,2% 28,6% 34,3% Verwechslung von Patienten, Proben, Diagnosen 13,0% 12,2% 11,0% Chirurgische Fehler 7,5% 6,1% 7,0% Diagnostische Fehler 2,7% 4,1% 6,6% Medizinprodukte 4,8% 2,0% 3,1% An den meisten Risiken für Patienten im Krankenhaus hat die IT einen großen Anteil Source: Abschlußbericht: Befragung zum Einführungsstand von klinischem Risiko-Management in deutschen Krankenhäusern, Institut für Patientensicherheit der Universität Bonn, 2012

7 Electronic Health Records 7 Besonders im Bereich Electronic Health Records steigt die Zahl der Zwischenfälle ADVISORIES/AdvisoryLibrary/2012/ Dec;9%284%29/PublishingImages/1 13_fig1.JPG

8 8 Sozial Gesetz Buch V: Qualitätssicherung Mit Beschluss des Gemeinsame Bundesausschuss (GBA) Anfang 2014 wird ein klinisches Risikomanagement in Krankenhäusern verbindlich. Regelung des Informationsaustausches über Risiken Verantwortliche für das Risikomanagement benennen ein Fehlermeldesystem (z.b. ein CIRS) etablieren die eingegangenen Fehlermeldungen analysieren, um herauszufinden, welches Risiko für die Patienten bestand und um Maßnahmen zu ergreifen, um diese Fehler zu eliminieren und künftig zu vermeiden ein Beschwerdemanagement-System zu etablieren Lukas Vogler 8

9 9 Betreiberverordnung (MPBetreibV; Stand: ; I 2326) 2 Allgemeine Anforderungen, Absatz (1) Medizinprodukte dürfen nur ihrer Zweckbestimmung entsprechend und nach den Vorschriften dieser Verordnung, den allgemein anerkannten Regeln der Technik sowie den Arbeitsschutz- und Unfallverhütungsvorschriften errichtet, betrieben, angewendet und in Stand gehalten werden. Lukas Vogler 9

10 10 Betreiberverordnung (MPBetreibV; Stand: ; I 2326) 2 Allgemeine Anforderungen, Absatz (3) Miteinander verbundene Medizinprodukte sowie mit Zubehör einschließlich Software oder mit anderen Gegenständen verbundene Medizinprodukte dürfen nur betrieben und angewendet werden, wenn sie dazu unter Berücksichtigung der Zweckbestimmung und der Sicherheit der Patienten, Anwender, Beschäftigten oder Dritten geeignet sind. Lukas Vogler 10

11 11 Umsetzung der neuen IEC Risikomanagement für IT-Netze mit Medizinprodukten

12 Struktur der IEC Serie 12 IEC Part 1: Roles, Responsibilities and Activities IEC X References to other IT Standards / Spec IEC Y Technical Reports ISO/IEC :2011 IEC 62304:2006 IEEE ff HL7, DICOM oliver.christ@prosystem-ag.com Y = 1: Step-by Step Risk-Management Y = 2: Security (Checklist) Y = 3: Wireless Y = 4: HDO Guidance Y = 5: Distributed Alarm System Y = 6: Responsibility Agreement Y = 7: Self-Assessment for HDOs Y = 8: Application Guidance on Security related to IEC

13 13 Die Anforderungen der IEC Der Fokus der IEC liegt auf Medizinischen IT- Netzwerken 4.3 Dokumentation & Planung 4.4 Risikomanagement 4.5 Implementierung 4.6 Überwachung

14 14 Die Herausforderung der IEC Risiko-Akzeptanz Risikomanagement Der erste Schritt! IT-Netzwerk - Dokumentation Überwachungsmanagement Konfigurationsmanagement Ereignismanagement Änderungsmanagement Qualitätsmanagement System (z.b. ISO 9001)

15 15 Der erste Schritt zum IEC med. IT-Netzwerk Richtlinien Risikomanagement Prozess Akzeptanzkriterien Definition der Schutzziele Einführung einer Risiko-Politik Wegweiser für die Umsetzung Von der Obersten Leitung in Kraft gesetzt Risikomanagement-Plan Inhalt Risikomanagement-Plan Aufgabe und Zweck Anforderungen an das Risikomanagement Definition der Schutzziele Sicherheit Wirksamkeit Daten- und Systemsicherheit Risikoakzeptanzkriterien

16 Schutzziel: Wirksamkeit 16 Digital X-ray unit with high data load connected to the IT-network of an ICU Digital X-ray ICU IT-Network Patient Monitor Central Monitoring Station PACS - Server info@prosystem-ag.com 16

17 17 Schutzziel: Daten- und Systemsicherheit (security) with virus attached infected the Hospital IT-network Workstation Workstation HIS- Server Hospital IT-Network Diagnostic Workstation PACS - Server info@prosystem-ag.com 17

18 18 Schutzziel: Sicherheit (safety) Data changed during the transfer through the IT-network Digital X-ray PACS - Server Diagnostic Workstation info@prosystem-ag.com 18

19 19 Der erste Schritt zum IEC med. IT-Netzwerk Richtlinien Risikomanagement Prozess Akzeptanzkriterien Definition der Schutzziele Ressourcen Risiko-Manager Netzwerkdokumentation Zuständigkeitsvereinbarungen Ernennung des Risiko-Managers Moderator und Projektleiter Breites Wissen über Medizintechnik und IT Kenntnis der regulatorischen Anforderungen Zuständigkeitsvereinbarungen abschließen Gemeinsames Vorgehen Gleichberechtigung aller Parteien Ziel ist die sichere und zuverlässige Vernetzung Netzwerkdokumentation entwerfen Graphische Darstellung aller Komponenten Organisatorische Randbedingungen

20 20 Der erste Schritt zum IEC med. IT-Netzwerk Richtlinien Risikomanagement Prozess Akzeptanzkriterien Definition der Schutzziele Ressourcen Risiko-Manager Netzwerkdokumentation Zuständigkeitsvereinbarungen Risikomanagement Klare Schnittstellen Konstanz und Effektivität Reviews Risikomanagement - Prozess Einfaches und realitätsnahes Vorgehen Mit Liste der Gefährdungen beginnen Bezug auf die drei Schutzziele Benötigte Formblätter Risikomanagement Plan Risikobewertung und Kontrolle Risikomanagement - Report Zusammenfassung der Ergebnisse Freigabe durch Risikomanager IEC Kapitel

21 21 Der erste Schritt zum IEC med. IT-Netzwerk Die Vorteile dieser minimal Umsetzung der IEC : Ein Gefühl für die Vision der Norm bekommen ohne enttäuscht zu werden Erfahrung mit dem Risikomanagement gesammelt Gesprächsbereitschaft mit allen Parteien hergestellt Einführung in die Begrifflichkeiten der IEC Risiko-Akzeptanz Risikomanagement

22 22 Die Strategie für das Risikomanagement Sicherheit Zur Erinnerung: Die Schutzziele der IEC : Für Patienten, Anwender und Dritte Effektivität / Wirksamkeit Einer Gesundheitsmaßnahme / eines Workflows Daten und Systemsicherheit Schutz vor dem Verlust der Vertraulichkeit, der Vollständigkeit und der Verfügbarkeit der Daten und Systeme

23 23 1. Schritt: Bestimmen des Pilot-Netzwerkes Internet Firewall Allgemein- Station Radiologie ITS Funktionsdiagnostik KIS

24 24 1. Schritt: Bestimmen des Pilot-Netzwerkes Beispiel: Steuerung eines intelligenten Bettes 24

25 25 2. Schritt: Potentielle Partner bestimmen Medizinprodukte Hersteller A IT-Abteilung D Medizintechnik C Ultraschallgerät Befundungs-Workstation IT-Infrastruktur B PACS - System Risikomanager für med. IT-Netzwerke Externe Partner Interne Partner

26 26 3. Schritt: Abschließen von Zuständigkeitsvereinbarungen Medizinprodukte Hersteller A IT-Infrastruktur B Mitglied des RM-Teams Bereitstellen von Information Mitteilung über Ereignissen aus anderen Netzwerken Implementierung von techn. Schutzmaßnahmen Medizintechnik C IT-Abteilung D Mitglied des RM-Teams Organisatorische /technische Schutzmaßnahmen Überwachung Planung/Durchführung von Änderungen Risikomanager für med. IT-Netzwerke Leitung Risikomanagement Freigabe von Dokumenten Moderator zw. den Parteien

27 27 Die Folge: Neue Herausforderungen für Hersteller Betreiber Anforderungen der Betreiber an die MP Hersteller Sicherheit für die Vernetzung Strategien für Virenfreiheit Unterstützung beim Risikomanagement Gefährdungskategorien Fehlerzustände Kontinuierliche Gesprächsbereitschaft Weitergabe von Informationen Unterstützung für Updates / Patches Definierte Reaktionszeiten MP Hersteller IT-Dienstleister Ziel ist das gemeinsames Vorgehen zur Integration von Medizinprodukten in med. IT-Netzwerke

28 28 4. Schritt: Risikomanagement-Plan und Zweckbestimmung Festlegung der Risikoakzeptanzkriterien Essentiell für die objektive Risikoanalyse ACHTUNG: Akzeptanz von Risiken mit unklarer Aufretenswahrscheinlichkeit Bewertung der drei Schutzziele (Bsp.: OP, Radiologie, allg. Station) Festlegung der Priorität der Schutzziele Bewertung der zugehörige Risiko-Akzeptanzkriterien ACHTUNG: Schutzziele können sich gegenseitig beeinflussen. Beschreibung des Netzwerkes Anwender / Einsatzumgebung Zweckbestimmung Integrierte Medizinprodukte mit Aufgabenbereich Mediarch GmbH Lukas Vogler 28

29 29 5. Schritt: Risikoanalyse - Sicherheit Nur Ausgangsfunktionen des Netzwerkes können einen Schaden an einem Patienten hervorrufen. Ursache Gefährdung Ultraschallgerät PACS - System Befundungs-Workstation Amniozentese Gefährdungssituation

30 30 5. Schritt: Risikoanalyse - Wirksamkeit Beeinträchtigung klinische Workflows durch Störungen/Fehler des Netzwerkes Ursache Störung/Fehler Ultraschalluntersuchung Ultraschallgerät Übertragung der DICOM-Studien PACS - System Befundungs-Workstation Befundung Auswirkung

31 31 5. Schritt: Risikoanalyse Daten- und Systemsicherheit Daten und Systeme sind vor einer Beeinträchtigung ihrer Verfügbarkeit, Vertraulichkeit und Vollständigkeit zu schützen. Neuer Begriff: Asset s = schützenswertes Gut Beispiele: Worklist-Management Storage / Query (PACS) Patientendaten im KIS DICOM-Bilder im PACS Services (Dienste) Daten Ultraschallgerät Server Systeme

32 32 Systemanalyse am Beispiel Externe Einflüsse RISIKO Patient Gebrauchstauglichkeit Beeinflussung der Umgebung

33 34 5. Schritt: Dokumentation der Risikoanalyse (Bsp.: Sicherheit) Einheitliches Formblatt für die Dokumentation der Risikoanalyse Für jedes Schutzziel sollte ein Formblatt erstellt werden Dient der Rückverfolgbarkeit für: Alle Erkannte Risiken Die Bewertung der Einzelrisiken Alle implementierte Schutzmaßnahmen

34 35 7. Schritt: Abschluss Risikomanagement Report Zusammenfassung im Risikomanagement Report Implementierte Schutzmaßnahmen Begründungen für eine eventuelle Akzeptanz von Restrisiken Freigabe des Risikomanagers Finales Dokument: Die Risikoanalyse ist abgeschlossen!

35 36 Die Herausforderung der IEC Risiko-Akzeptanz Risikomanagement Der erste Schritt! IT-Netzwerk - Dokumentation Überwachungsmanagement Konfigurationsmanagement Ereignismanagement Änderungsmanagement Qualitätsmanagement System (z.b. ISO 9001)

36 37 Zusammenfassung Sicherheit: Patient/Anwender/Dritte wird geschützt Effektivität: Medizinische Workflows ohne Unterbrechung Daten- und Systemsicherheit: Zuverlässigkeit der IT Die internen Parteien sind sensibilisiert für eine sichere Vernetzung Externe Parteien wie Hersteller erhielten Informationen Welche Dokumentation fordert der Kunde Welche Schutzmaßnahmen können erforderlich sein Welche Dienstleistung können zukünftig mit angeboten werden Der erste Schritt zur Umsetzung der IEC ist getan!