Risikomanagement im AAL-Umfeld

Transkript

1 Peter Knipp Risikomanagement im AAL-Umfeld TMF-Workshop AAL meets E-Health Berlin,

2 Zulassung Qualität Risiko Management Beratung Training 2014 qcmed GmbH by GmbH, Peter Knipp 2

3 E-Health Technik 3

4 Ein Virusbefall auf den Servern des Westfriesgasthuis im niederländischen Hoorn hat am Mittwoch die EDV-Systeme des Krankenhauses zum Erliegen gebracht. Bis auf Notfälle wurden die geplanten Operationen zunächst ausgesetzt. Bei dem Virus, dessen Namen das Krankenhaus noch nicht preisgeben wollte, soll es sich um eine Mutation eines bekannten Schädlings handeln. Mittlerweile soll der Normalbetrieb nach Angaben des Krankenhauses aber fast wieder hergestellt sein: "Die meisten der Systeme arbeiten wieder normal. Die Operationssäle und die Ambulanz sind wieder geöffnet; alle Termine und Operationen können ohne Risiko stattfinden." Vertrauliche Patientendaten soll der Virus nicht erbeutet haben. Der Virus sei aller Wahrscheinlichkeit nach kurz vor dem Wochenende in die Systeme eingedrungen, so ein Krankenhaussprecher. Wie das passieren konnte, sei noch nicht klar. Entdeckt wurde die Infektion am Dienstag. Der Virus sammelte Informationen zu Benutzerkonten und versuchte dann ein Login mit Hilfe willkürlich gewählter Kennwörter. Da die IT-Systeme des Krankenhauses Accounts nach fünf fehlerhaften Anmeldeversuchen automatisch sperren, hatten am Mittwoch viele Mitarbeiter plötzlich keinen Zugang mehr zum System. Außerdem wurden die Server durch den Angriff extrem langsam. (Alexandra Kleijn ) / (dab) 4

5 Access Denied Eine Gefährdung des Patienten? Und wer hat die Verantwortung? 5

6 GESETZE etc. Grundlage RL 93/42/EWG Medizinprodukte (MDD) RL 85/374/EWG Haftung für fehlerhafte Produkte Datenschutzrichtlinie Datenschutz-Verordnung MPG Medizinproduktegesetz MPBetreibV Medizinprodukte-Betreiberverordnung BDSG Bundesdatenschutzgesetz SGB Sozialgesetzbuch Konfessionelle Datenschutzgesetze Landesdatenschutzgesetze TMG TeleMedienGesetz Telekommunikationsgesetz Gesundheitsdatenschutz 6

7 MPBetreibV Grundlage (3) Miteinander verbundene Medizinprodukte sowie mit Zubehör einschließlich Software oder mit anderen Gegenständen verbundene Medizinprodukte dürfen nur betrieben und angewendet werden, wenn sie dazu unter Berücksichtigung der Zweckbestimmung und der Sicherheit der Patienten, Anwender, beschäftigten oder Dritten geeignet sind. 7

8 MPBetreibV Grundlage (1) Medizinprodukte dürfen nur zu ihrer Zweckbestimmung entsprechend und nach den Vorschriften dieser Verordnung, den allgemein anerkannten Regeln der Technik sowie den Arbeitsschutz- und Unfallverhütungsvorschriften errichtet, betrieben, angewendet und in Stand gehalten werden qcmed GmbH 2014 by qcmed GmbH, Peter Knipp 8

9 Stand der Technik 9

10 Sicherheit (Menschen) Wirksamkeit Sicherheit (Daten/System) Schutzziele IEC

11 ANALYSE Risiko Wahrscheinlichkeit Ausmaß % % % Gefährdende Gefährdung Funktion Situation Schaden Ursache Ursache Ursache RISIKO NEU, DURCH VERNETZUNG 11

12 PRINZIP DER RISIKOBEHERRSCHUNG Risiko Inhärent sicheres Design Schutzmaßnahmen Nein Information Nein Nein Risiko akzeptabel? Ja Nein Ja Nein Ja Ja Nein Wirksamkeit verifizieren Gesamtbewertung, Restrisiko STOP 12

13 STRATEGIE Risiko Accept Avoid Risk Reduce Transfer 2014 qcmed GmbH 2014 by qcmed GmbH, Peter Knipp 13

14 ZENTRALER PROZESS Risikomanagement Planungsphase Anwender, Patient, Ziel/Zweck, Kontext erfassen Systeme, Prozesse, Infrastruktur erfassen Verantwortlichkeitsvereinbarung mit allen Beteiligten Risiko-Analyse Risiko-Beherrschung, Systembetrieb, Änderungen 14

15 System und Prozess Analyse Behandlungsprozess Aufnahme Diagnostik Postinterventionsphase Präinterventionsphase Behandlung Therapie Rekon- Entlassungsmanagemenvaleszenzphase Medizinische Aufnahme Röntgen- Diagnostik Vorbereitung OP Intervention Monitoring Mobilisation Arztbrief Röntgenbildakquisition Laboruntersuchung Röntgenkontrolle OP-Planung Vitalparameter Verbandwechsel Diktat Labor- Gerät PACS KIS Pflegedokum. OP-Planung- System RIS C-Bogen EKG Monitor Diktiersystem Vernetzte, interoperable IT-Systeme, Informationsflüsse 15

16 Zusammen erfolgreich? Wie in einem großen Orchester braucht man: Fähigkeit, Architektur, Ablauf 16

17 DYNAMISCH UNBEKANNT System-Design Gerätepaarungen 17

18 RISIKOMANAGER Rollen 18

19 Hilfen? 19

20 DIN ISO/IEC 27001: Informationstechnik IT-Sicherheitsverfahren Informationssicherheits-Managementsysteme Anforderungen (ISO/IEC 27001:2005) 2014 qcmed GmbH 2014 by qcmed GmbH, Peter Knipp Quelle: 20

21 Erfahrungen & Hilfen? Arbeitshilfe der DKG Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten (DIN EN :2011) 21

22 Danke!