Verbesserung der PatientInnensicherheit durch ein Risikomanagement für medizinische IT-Netzwerke

Größe: px

Ab Seite anzeigen:

Download "Verbesserung der PatientInnensicherheit durch ein Risikomanagement für medizinische IT-Netzwerke"

Dennis Gerber
vor 5 Jahren
Abrufe

UMIT Private Universität für Gesundheitswissenschaften, Medizinische Informatik und Technik Institut für Medizinische Informatik Verbesserung der

1 UMIT Private Universität für Gesundheitswissenschaften, Medizinische Informatik und Technik Institut für Medizinische Informatik Verbesserung der PatientInnensicherheit durch ein Risikomanagement für medizinische IT-Netzwerke Kurzvortrag zu einer Delphi-Studie von Dr. Stefan Leber 04. Mai 2018 Berlin

2 Vernetzte Medizintechnik Intraoperative Navigation Monitoring-Zentrale auf einer Intensivstation 2

3 Relevanz vernetzter Medizintechnik Zunehmende Bedeutung für Krankenhäuser [Quelle d. Abb.] Ahlbrandt, Janko; et.al.: Risikomanagement für medizinische Netzwerke in der Intensiv-und Notfallmedizin. Gemeinsames Positionspapier zur Norm IEC In: GMSMedizinische Informatik, Biometrie und Epidemiologie9 (2013), Nr. 3 Anzahl an Netzwerkknoten Computerarbeitsplätze % Medizintechnik 3 50% 20%

4 Gefahren vernetzter Medizintechnik Schadsoftware Ausfall der intraoperative Navigation Technischer Defekt Verlust der automatischen Überwachung und Alarmierung PatientInnensicherheit gefährdet! 4

Risikomanagement unklar ZIELE Z1: Entwicklung eines Maßnahmenkatalogs Z2: Entwicklung eines

5 Problemstellung & Zielsetzung PROBLEME P1: Konkrete Maßnahmen fehlen P2: Konkrete Kennzahlen fehlen P3: Zusammenhang zwischen Maßnahmen und Kennzahlen unbekannt P4: Wirkweise des medizinisches IT- Risikomanagement unklar ZIELE Z1: Entwicklung eines Maßnahmenkatalogs Z2: Entwicklung eines Kennzahlenkatalogs Z3: Identifikation von Zusammenhängen zwischen Maßnahmen und Kennzahlen Z4: Validierung des Maßnahmenund Kennzahlenkatalogs 5

6 Forschungsdesign FORSCHUNGS- SCHRITT 1 Quantitative ExpertInnenbefragung FORSCHUNGS- SCHRITT 2 FORSCHUNGS- SCHRITT 3 ZIEL Entwicklung eines praxisrelevanten Maßnahmenkatalogs Entwicklung eines praxisrelevanten Kennzahlenkatalogs Bestätigung der Maßnahmen & Kennzahlen sowie Identifikation von Zusammenhängen Validierung des entwickelten Maßnahmen- und Kennzahlenkatalogs METHODE Qualitative ExpertInnenbefragung & Dokumentenanalyse Delphi Befragung Qual./Quant. Einzelfallstudie 6

Die qualitative ExpertInnenbefragung EXPERTEN DATEN- ERHEBUNG

Mayring SCHRITT 2 13 Personen 13 quantitative Fragebögen

7 Die qualitative ExpertInnenbefragung EXPERTEN DATEN- ERHEBUNG DATEN- AUSWERTUNG SCHRITT 1 22 Personen 2 qual. mündliche + 20 qual. schriftliche Befragungen Qualitative Inhaltsanalysen nach Mayring SCHRITT 2 13 Personen 13 quantitative Fragebögen Deskriptive Statistik (Häufigkeitsanalysen) SCHRITT 3 3 Personen Quant./Qual. Fragebogen Qualitative Inhaltsanalysen und Häufigkeitsanalysen 7

8 Maßnahmen & Kennzahlen 49 Maßnahmen zur Umsetzung eines Risikomanagements für medizinische IT- Netzwerke 25 Kennzahlen zur Messung der Auswirkungen von Maßnahmen 8

9 Maßnahmen- und Kennzahlenkategorien Maßnahmenkategorien Organisation (19) Risikoerfassung (7) Risikoanalyse (7) Risikominimierung (11) Restrisiken (3) Konfigurations- Managment (4) Kennzahlenkategorien Effektivität (5) Vorsätzliche Handlungen (6) Patientenschaden (1) Technische Infrastruktur (3) Service & Support (2) Leistungsfähigkeit (4) Wirtschaftlicher Erfolg (5) 9

10 Zusammenhänge zw. Maßnahmen & Kennzahlen Maßnahmen Organisation Maßnahmen Risikoerfassung Kennzahl Leistungsfähigkeit Maßnahmen Restrisiken Maßnahmen Risikoanalyse Kennzahl Effektivität Maßnahmen Risikominimierung Kennzahl Vorsätzliche Handlungen Kennzahl Technische Infrastruktur Maßnahmen Konfigurationsmanagement 10

11 Beispiel Maßnahmen zur Risikoerfassung ERF7: Gefährdungskatalog erstellen (2) ERF1: HerstellerInnenbefragung durchführen (72) ERF6: Daten- und Informationsflüsse vollständig skizzieren (5) ERF5: Kritische klinische Bereiche und Vernetzungen erfassen (3) Kategorie 2: Risikoerfassung (ERF) ERF4: Identifizieren vernetzter MT und des Verwendungszwecks (22) ERF2: Risiken laut Anwender- Innen systematisch erfassen (1) ERF3: Grundlegendes IT-Risikomanagement der IT integrieren (1) 11

12 Der Maßnahmen- und Kennzahlenkatalog Aufbau Name der Maßnahme / Kennzahl Priorität & Schwierigkeit Zweck Umsetzungsempfehlung & Beispiel Kritische Erfolgsfaktoren Rollen Output Zugehörige Kennzahl 12

13 Beispiel: Herstellerbefragung Beispiel: 13

14 Beispiel: Herstellerbefragung Beispiel: 14

15 Umsetzbarkeit und Zufriedenheit Maßnahmen Kennzahlen Umsetzbarkeit Zufriedenheit Umsetzbarkeit Zufriedenheit 78% 96% 22%* 100% *78% wurden nicht versucht umzusetzen 15

16 Aufwände in der Umsetzung/Anwendung 55% Gering. 6% Hoch Maßnahmen 16% Nicht gemessen 23% Moderat 22% Hoch Kennzahlen 22% Gering 78% Nicht gemessen 16

17 Bedeutung der Ergebnisse Hersteller und Anwender haben bei der Risikoerfassung und analyse eine hohe Bedeutung IT-Sicherheit als einer der Grundlagen für PatientInnensicherheit: PATIENTEN- SICHERHEIT INFORMATIONS- SICHERHEIT PROZESS- EFFEKTIVITÄT Ausreichend viele Notfallkonzepte müssen entwickelt werden IT Routineprozesse und IT-SOPs erhöhen die IT-Sicherheit Dokumentation als wesentliche Maßnahme zur rechtlichen Absicherung 17

18 Bedeutung der Ergebnisse Kennzahlen für die Effektivität des IT-Risikomanagements am bedeutsamsten Verfügbarkeit (z.b. K16 - Anzahl an Vorfällen, bei denen Patienten- und Untersuchungsdaten nicht zur Verfügung standen) Integrität (z.b. K26 Anzahl an unbefugten Datenänderungen) Vertraulichkeit (z.b. K09 Anzahl an Hackerangriffen) Klassische Kennzahlen (z.b. ROSI) haben weniger Bedeutung als Leistungskennzahlen (z.b. Anzahl identifizierter Risiken) 18

19 Unbeantwortete und neue Fragestellungen Ausreichend Wissen bei Herstellern und Betreibern über möglich zukünftige Bedrohungsszenarien (z.b. vorsätzliche Handlungen, Ausbau des Home-Care-Bereich, etc)? Unklare Verantwortlichkeiten zwischen Herstellern und Betreibern (z.b. Verantwortung für Betriebssystempatches) Unklare Lösungen 19

20 Fazit PATIENTINNENSICHERHEIT erhöht abhängig MODERNE MEDIZIN abhängig IT MEDIZINTECHNIK abhängig IT-SICHERHEIT abhängig 20

21 Vielen Dank für Ihre Aufmerksamkeit!

Ähnliche Dokumente

Medizintechnik und IT

Medizintechnik und IT Risikomanagement DIN EN 80001-1 Bedeutung Vorgehensweise St.-Marien-Hospital Lünen 10.12.2013 1 Arzt im Hintergrunddienst - Bereitschaftsdienst Entscheidung über Kaiserschnitt Arzt