(2) Chancen und Risiken vernetzter Medizinprodukte und IT-Systeme Risikomanagement als Betreiberverantwortung am Beispiel PDMS Entscheider-Event, 11.02.2016, F. Katt & E. Horst
Bild H 9.4 cm x W 27.53 cm (2) Chancen und Risiken vernetzter Medizinprodukte und IT-Systeme Risikomanagement als Betreiberverantwortung am Beispiel PDMS Entscheider-Event, 11.02.2016, F. Katt & E. Horst
(2) Vernetzte Medizinprodukte und IT-Systeme 1 Herausforderungen / Problemstellungen 2 Aufgabenstellung / Ziele 3 Lösungsszenario 4 Lösung 5 Zusammenfassung und Fazit 6 Ausblick 3
(2) Vernetzte Medizinprodukte und IT-Systeme 1 Herausforderungen / Problemstellungen 2 Aufgabenstellung / Ziele 3 Lösungsszenario 4 Lösung 5 Zusammenfassung und Fazit 6 Ausblick 4
Ausgangssituation Unfallkrankenhaus Berlin (ukb) Das Unfallkrankenhaus Berlin (ukb) ist ein hoch spezialisiertes klinisches Zentrum zur Behandlung Schwerkranker und zur Rettung und Rehabilitation Schwerverletzter aus dem gesamten Bundesgebiet. Leistungskennziffern 2015 Ø 24.017 stationäre Patienten, davon 15.851 als Notaufnahme (66 %) Ø 190.435 Behandlungstage Ø 7,93 Tage Verweildauer Ø 25.389 operative Sitzungen Ø 96,14% Auslastung Ø 59.561 Leistungsfälle in der Rettungsstelle 5
Ausgangssituation ukb: Medizintechnik Das Unfallkrankenhaus Berlin (ukb) betreibt, wie viele andere Kliniken auch, eine moderne und komplex vernetzte Medizintechnik im Zusammenspiel mit einer ebenso komplexen IT-Infrastruktur und diversen klinischen Informationssystemen. Auszug Medizingeräte: Device Number Anesthesia Device 46 Ventilator 60 Patient Monitors 150 PM Central Station 7 Infusion Technology 220 MRT 2 CT 2 Radiology 8 Ultrasound 10 ECG 8 6
Ausgangssituation ukb: IT-Infrastruktur 7
Ausgangssituation ukb: Software PDMS als MP Mit der Einführung eines Patienten-Daten-Management-Systems (PDMS), welches nicht nur dem reinen Dokumentationszweck dienen soll, sondern Ärzten und Pflegekräften auch die diagnostische und therapeutische Auswertung für die Therapie- und Maßnahmenplanung zur Verfügung stellt, wird eine Software nicht nur in Verbindung mit Medizinprodukten, sondern die Software als Medizinprodukt eingesetzt. Zusätzlich werden zum Datenaustausch eine Vielzahl von Schnittstellen zu Medizinprodukten und Nicht-Medizinprodukten, insb. zu weiteren IT- Informationssystemen genutzt. 8
Ausgangssituation ukb: Vernetzung PDMS 9
Integration vorhandener MT- und IT-Systeme KIS PACS Archiv Labor PDMS Fluidmanagement Zusatzmonitoring BGA MP Intensivstation Monitoring Beatmungsgeräte 10
Teilnehmerumfrage: 1. Wer verlässt sich bei Therapieentscheidungen auf IT-Systeme und Anwendungen, ohne die Daten zu hinterfragen? 2. Wer hat schon mal Fehler in der Datenübertragung zwischen IT- und MT-Systemen identifiziert? 3. Wer hat die Verlässlichkeit der Daten schon analysiert bspw. in Form einer Risiko-Analyse nach DIN EN 80001-1? 11
Risikomanagement als Betreiberverantwortung? Wer ist verantwortlich? Durch die Anbindung eines Medizinproduktes an ein anderes Gerät oder an eine Gruppe unterschiedlicher Produkte über ein IT-Netzwerk übernimmt der Betreiber gewissermaßen wie ein Hersteller Verantwortung für den ordnungsgemäßen Betrieb des Gesamtsystems einschließlich der Medizinprodukte. Quelle: GMS Positionspapier Risikomanagement für medizinische Netzwerke in der Intensiv- und Notfallmedizin. Gemeinsames Positionspapier zur Norm IEC 80001-1 http://www.egms.de/static/de/journals/mibe/2013-9/mibe000137.shtml 12
Beispiele aus der Praxis 1. Ausfall Beatmungsgerät aufgrund fehlerhafter Implementierung des PDMS Schnittstellentreibers 2. Eingeschränkte Umsetzung der IT Security Policies aufgrund von Herstellervorgaben bei Medizinprodukten (bspw. Updates, Patches, Virenscanner etc.) führt nach Schädlingsbefall (Wurm) zum Ausfall der Überwachungszentrales des Patientenmonitorings 3. Sicherheitslücken im Fernzugang eines Medizinproduktes stellt Risiko für Cyber Attacken dar 4. Software Migration auf neueste XenApp-Version führt zu Ausfall der IT- Zugriffe bei Medizinprodukten aufgrund von Inkompatibilitäten 13
(2) Vernetzte Medizinprodukte und IT-Systeme 1 Herausforderungen / Problemstellungen 2 Aufgabenstellung / Ziele 3 Lösungsszenario 4 Lösung 5 Zusammenfassung und Fazit 6 Ausblick 14
Aufgabenstellung x Risikomanagement als Betreiberverantwortung verstehen und organisatorisch verankern x Chancen und Risiken der Vernetzung klären x Umsetzung DIN EN 80001-1 in der klinischen Praxis, exemplarisch für das PDMS und die damit vernetzten Medizinprodukte und IT-Systeme x Identifikation und Minimierung möglicher Risiken und Bewertung der Restrisiken (Risikobewertungsmatrix) x Handlungsempfehlungen bzw. anweisungen für Nutzer und alle beteiligten Abteilungen erarbeiten (Risikomanagement-Akte) x Konsequenzen bspw. für IT- und Beschaffungsprozesse darstellen 15
Ziele Verlässlichen Datenaustausch zwischen den existierenden Systemen sicherstellen Optimierungsmöglichkeiten im Therapieentscheidungsprozess identifizieren und realisieren Grundlage für weitere Ausbaustufen und zukünftige Tools (bspw. Therapieentscheidungsunterstützung) schaffen Vermeidung von IT-/Netzwerk-Insellösungen Grundlage für digitales Krankenhaus schaffen 16
(2) Vernetzte Medizinprodukte und IT-Systeme 1 Herausforderungen / Problemstellungen 2 Aufgabenstellung / Ziele 3 Lösungsszenario 4 Lösung 5 Zusammenfassung und Fazit 6 Ausblick 17
Anwendung der Normenreihe 80001? Reihe DIN EN 80001-1 bzw. IEC 80001-2-x (weitere Teile in Entwicklung) Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten Teil 1: 2011-11, Aufgaben, Verantwortlichkeiten und Aktivitäten (IEC 80001-1:2010) Teil 2-2 (IEC/TR): 2012-10, Leitfaden zur Angabe von Bedingungen für die Kommunikationssicherheit von Medizinprodukten, Risiken und Risikobeherrschung Teil 2-3 (IEC/TR): 2012-10, Leitfaden für drahtlose Netzwerke Teil 2-5 (DIN IEC/TR): 2012-10, Anleitung für verteilte Alarmsysteme (IEC 62A/816/NP: 2012) (noch Entwurf) Teil 2-6 (ISO/TR): Leitlinien für die Anwendung - Anleitung für Verantwortungsvereinbarungen Teil 2-7 (ISO/TR): Anleitung für Leistungserbringer-Organisationen der Gesundheitsversorgung (LEOs) zur Selbsteinschätzung ihrer Übereinstimmung mit IEC 80001-1 18
Projektorganisation und -definition 1. Bildung einer Projektorganisation bestehend aus ü Vertreter des Top-Managements als Projekt-Auftraggeber ü Vertreter der Klinikleitungen als Lenkungsausschuss ü Externer Berater der Entscheiderfabrik als Projektleitung ü Verantwortliche Klinikvertreter und Experten des Herstellers im Projektteam ü MIT-Risikomanager 2. Projektdefinition Betreiber & Anwender ü Beschreibung des Umfangs des Teilprojektes PDMS und damit vernetzte MT- und IT-Systeme ü Klärung des Bedarfs an Ressourcen Medizintechnik MIT- Risikomanager Krankenhaus IT ü Aufgaben und Verantwortlichkeiten Hersteller 19
Risikomanagement Prozess 3. Projektumsetzung ü Verankerung einer MIT-RM-Organisation in den Kliniken ü Bildung der Projektteams und eines Projektplans ü Analyse des IST-Zustandes ü Abgleich mit Zweckbestimmungen und Herstellervorgaben ü Identifikation der Risiken und Gefährdungspotentiale ü Bewertung der potentiellen Auswirkungen ü Ggf. Risikoreduktion und/oder Handlungsempfehlungen ü Dokumentation der RM Maßnahmen in einer RM-Akte ü Freigabe der Restrisiken 20
Risikomanagement Projektphasen Phasen des Risikomanagements Bestandsanalyse Anwenderinterviews Risikoanalyse Erstellung der Risikoakte Individuelle Entscheidungs- Beratung findung Gerätestammdaten aufnehmen Risiken aufzeigen Präsentation Arbeitsabläufe dokumentieren Benutzungs- bzw. Speicherartdokumentieren Ansprechpartner definieren Zusammenfassen von Herstellerangaben Anwenderinformation Information aus IT&FM Zusammenfassen der Risikoanalyse zur Dokumentation und Darstellung des Risikos im MIT Netzwerk Vorstellung der Risikoakte bei der Geschäftsführung zur Besprechung der weiteren Maßnahmen 21
(2) Vernetzte Medizinprodukte und IT-Systeme 1 Herausforderungen / Problemstellungen 2 Aufgabenstellung / Ziele 3 Lösungsszenario 4 Lösung 5 Zusammenfassung und Fazit 6 Ausblick 22
Analyse der Risikofelder (Beispiel) Patientenmonitor Überwachungszentrale Beatmungsgerät LAN Blau Infusionstechnik LAN Grau Szenario Stromausfall Application Hub LAN Rot Infusionszentrale LAN Gelb Alarmserver LED Flurdisplay LAN Violett Darstellung möglicher Einzelrisiken pro Risikofeld 23
Bewertungskriterien & Schadenausmaß Stufe Safety Security Effectiveness unbedeutend geringe und kurzzeitige Unannehmlichkeit Bekanntwerden hat vernachlässigbaren Einfluss kein oder sehr begrenzter Einfluss auf Prozeduren gering zeitlich begrenzte Unannehmlichkeit, reversibel ohne medizinische Intervention Offenlegung könnte nur geringe Folgen haben + geringer Aufwand zur Beseitigung sehr begrenzter belästigender Effekt auf Prozeduren spürbar zeitlich begrenzte Verletzung, medizinische Intervention erforderlich Offenlegung könnte negative Folgen haben + Aufwand zur Beseitigung belästigender bis unterbrechender Effekt auf Prozeduren kritisch dauerhafte Beeinträchtigung physischer Funktionen oder Strukturen signifikante Offenlegung sensibler Informationen geplante Prozeduren unterbrochen oder verzögert katastrophal Schwere Verletzung, Tod vollständige Offenlegung sensibler Informationen geplante Prozeduren nicht mehr durchführbar 24
Bewertungskriterien & Eintrittswahrscheinlichkeit Stufe Häufigkeit in Prozent häufig einmal pro Monat oder häufiger mehr als 50% bis 100% möglich einmal pro Quartal mehr als 25% bis 50% selten einmal pro Jahr mehr als 10% bis 25% sehr selten einmal in 3 Jahren mehr als 5% bis 10% unwahrscheinlich weniger als einmal in 3 Jahren mehr als 1% bis 5% grau weniger als einmal in 10 Jahren unter 1% 25
Ergebnis: Risikotabelle Bereich Patientenmonitoring GE Carescape 850 Überw achungszentrale Carescape CIC Beatmungsgerät Evita V500 HZV-Modul GE Picco Modul LAN Blau (Alarmnetz Monitoring) Nr. Safety Security Effectiveness Bezeichnung Risiko Auswirkung Schweregrad Wahrscheinlichkeit Risikowert Maßnahme 1 X X Def ekt Monitor - keine Überw achung der Vitaldaten kritisch selten Hoch 2 X X Def ekt Einschubmodul - keine Überw achung bestimmter Vitaldaten kritisch selten Hoch 3 X X Def ekt Sensoren & Kabel - keine Überw achung bestimmter Vitaldaten kritisch möglich Hoch 4 X Akustischer Alarm w ird nicht w ahrgenommen - Einleitung von Gegemaßnahmen erfolgt nicht bzw. nur verzögert spürbar häufig Hoch 5 X X X Malw arebef all durch USB-Sticks - keine Überw achung der Vitaldaten kritisch unw ahrscheinlich Moderat 6 X Bedienfehler - keine / eingeschränkte Überw achung der Vitaldaten kritisch selten Hoch 7 X X Def ekt Zentralerechner 8 X X Def ekt Anzeigebildschirm - keine zentrale Überw achung möglich - Alarme w erden nicht übertragen - zentrale Überw achung nicht sichtbar - ausschließlich akustische Alarmierung kritisch sehr selten Moderat spürbar sehr selten Moderat 9 X Zentrale nicht besetzt - Einleitung von Gegemaßnahmen erfolgt nicht bzw. nur verzögert kritisch häufig Hoch 10 X X X Malw arebef all durch USB-Sticks - keine Überw achung der Vitaldaten spürbar unw ahrscheinlich Gering 11 X X Def ekt - keine Patientenbeatmung möglich katastrophal unw ahrscheinlich Hoch 12 X X Def ekt Sensoren & Kabel - Patientenbeatmung eingeschränkt kritisch selten Hoch 13 X Akustischer Alarm w ird nicht w ahrgenommen - Einleitung von Gegemaßnahmen erfolgt nicht bzw. nur verzögert - Beatmung unterbrochen kritisch häufig Hoch 14 X X X Malw arebef all durch USB-Sticks - keine Überw achung der Vitaldaten kritisch unw ahrscheinlich Moderat 15 X Bedienfehler - Patientenbeatmung eingeschränkt kritisch selten Hoch 16 X X Def ekt am Modul - keine HZV-Messung möglich spürbar sehr selten Moderat 17 X X Def ekt Sensoren & Kabel - keine HZV-Messung möglich spürbar selten Moderat 18 X X Def ekt am Sw itch - keine Übertragung der Beatmungsparameter und Alarme - keine zentrale Überw achung der Vitalparameter kritisch unw ahrscheinlich Moderat 19 X Fremdzugriff auf Daten - Kompromittierung sensibler Daten (Patientendaten, Betriebsinterna, etc.) kritisch unw ahrscheinlich Moderat 20 X X Perf ormanceprobleme / Timelags - Zeitverzögerung bei der Übertragung zeitkritischer Vitaldaten & Alarmsignale kritisch möglich Hoch - Bereitstellung Ersatzmonitor auf Station - Servicevertrag (Updates, Wartung, etc.) - geregelter First-Line-Support durch Medizintechnik - Bereitstellung mehrerer Austauschmodule auf Station - Servicevertrag (Updates, Wartung, etc.) - First-Line-Support durch Medizintechnik þ Clusterung der Einzelrisiken nach Risikofeldern - Bereitstellung eines Pools an Austauschkabeln - First-Line-Support durch Medizintechnik - Weiterschaltung Alarmsignal auf zusätzliche Alarmgebeber (Monitorzentrale, Flurdisplay, DECT, Smartphone, etc.) - geregeltes Patchmanagement, Update der Firmw are - Anw ender und Besucher sensibilisieren - regelmäßige Personalschulungen / Einw eisungen - Feedback der Medizintechnik bei Häufung von Fehlerursachen - Servicevertrag (Updates, Wartung, etc.) - eventl. kurzfristige Personalaufstockung zur manuellen Überw achung - First-Line-Support durch Medizintechnik - zentrale Bereitstellung von Austauschmonitoren - First-Line-Service durch Medizintechnik þ Eindeutige Laufnummer für jedes Risiko þ Potentielle Auswirkungen pro Risiko - Weiterschaltung Alarmsignal auf zusätzliche Alarmgebeber (Flurdisplay, DECT, Smartphone, etc.) - entsprechendes Betriebskonzept mit passender Personalplanung - geregeltes Patchmanagement, Update der Firmw are - Anw ender und Besucher sensibilisieren - Geräteselbsttests und regelmäßige Wartung & Prüfung - Bereitstellung Ausw eichgerät (eventl. Transportbeatmungsgerät) - manuelle Beatmung - Servicevertrag (Updates, Wartung, etc.) þ Aufzeigen der betroffenen Gruppen - geregelter First-Line-Support durch Medizintechnik - Bereitstellung eines Pools an Austauschkabeln - tägliche Gerätechecks und regelmäßige Wartung durch Hersteller - manuelle Beatmung - First-Line-Support durch Medizintechnik - Weiterschaltung Alarmsignal auf zusätzliche Alarmgebeber (Monitorzentrale, Flurdisplay, DECT, Smartphone, etc.) - geregeltes Patchmanagement, Update der Firmw are - Anw ender und Besucher sensibilisieren - regelmäßige Personalschulungen / Einw eisungen - Feedback der Medizintechnik bei Häufung von Fehlerursachen - Bereitstellung Ersatzmodulauf Station - Servicevertrag (Updates, Wartung, etc.) - geregelter First-Line-Support durch Medizintechnik - Bereitstellung eines Pools an Austauschkabeln - First-Line-Support durch Medizintechnik - Überw achung des Sw itch in zentraler IT-Abteilung - Sw itch mit doppeltem Netzteil nutzen - redundante Netzw erktopologie - Servicevertrag (Updates, Wartung, etc.) þ Bewertung nach Schweregrad & Eintrittswahrscheinlichkeit þ Zuordnung der Schutzziele DIN EN 80001 - freie Ports sperren (physisch + Firew all) - aktiver MAC-Adressenfilter - logische Trennung, virtuell oder durch Hardw are, des Netzw erkes in eigenen IP-Bereich - geregeltes Patchmanagement - Servicevertrag (Updates, Wartung, etc.) - Dimensionierung Netzw erk gem. Vorgaben MP-Hersteller - freie Ports sperren (physisch + Firew all) - aktiver MAC-Adressenfilter - logische Trennung, virtuell oder durch Hardw are, des Netzw erkes in eigenen IP-Bereich - geregeltes Patchmanagement - Servicevertrag (Updates, Wartung, etc.) 26
Risikomatrix vor Optimierungsmaßnahmen 6 HOCH katastrophal 5 1 2 Schweregrad kritisch 4 spürbar 3 gering 2 13 1 2 4 5 5 5 2 6 unbedeutend 1 0 GERING MODERAT 0 grau 1 unwahrscheinlich 2 sehr 3 selten selten 4 möglich 5 häufig 6 7 Eintrittswahrscheinlichkeit akzeptabler Bereich, keine weiteren Maßnahmen notwendig zu prüfender Bereich, Risiko-Nutzen-Analyse inakzeptabler Bereich, Risiko nicht vertretbar 27
Risikomatrix nach Optimierungsmaßnahmen 6 katastrophal 5 HOCH Schweregrad kritisch 4 spürbar 3 gering 2 3 7 9 2 8 5 3 3 2 2 1 1 unbedeutend 1 0 1 GERING MODERAT 0 grau 1 unwahrscheinlich 2 sehr 3 selten selten 4 möglich 5 häufig 6 7 Eintrittswahrscheinlichkeit akzeptabler Bereich, keine weiteren Maßnahmen notwendig zu prüfender Bereich, Risiko-Nutzen-Analyse inakzeptabler Bereich, Risiko nicht vertretbar 28
Erstellung Risikomanagementakte 29
(2) Vernetzte Medizinprodukte und IT-Systeme 1 Herausforderungen / Problemstellungen 2 Aufgabenstellung / Ziele 3 Lösungsszenario 4 Lösung 5 Zusammenfassung und Fazit 6 Ausblick 30
Machen Sie mit, wählen Sie Thema (2)! Wir suchen Ø Zwei (2) Krankenhaus-Partner, die thematischen Bedarf haben und das Thema mit uns kompetent und nachhaltig bis zur Präsentation der Entscheidungsvorlage auf der MEDICA, im besten Fall natürlich darüber hinaus, voran treiben wollen. Ø Einen Berater als Projektleiter und Coach Wir bieten Ø Erfahrung und Kompetenz in der Etablierung und Umsetzung von Risikomanagementprozessen Ø Pilotprojekt als Grundlage für die Realisierung eines PDMS 4.0 mit intelligenten Regelwerken zur effizienten Entscheidungsunterstützung. 31
(2) Vernetzte Medizinprodukte und IT-Systeme 1 Herausforderungen / Problemstellungen 2 Aufgabenstellung / Ziele 3 Lösungsszenario 4 Lösung 5 Zusammenfassung und Fazit 6 Ausblick 32
Ausblick 33
Klinischer Nutzen? PDMS als sichere Datenquelle für Entscheidungsunterstützungssysteme Frühwarnsysteme Sepsis Erkennung Kontinuierliches Parameter-Screening zur Früherkennung Medikamentensicherheit ID PHARMA & AiDKlinik Erlössicherung Externe Algorithmen & Regelwerke Codier-Unterstützung, Abrechnungsrelevante Analysen Unterstützung im Verordnungsprozess 34
Grundlage: Sichere Interoperabilität PDMS Externes Regelwerk Bereitstellung von Daten Darstellung von Ergebnissen Sichere Kommunikation 35
Umsetzungsbeispiel: Sepsis Früherkennung SEPSISERKENNUNG TECHNISCHES KONZEPT SmartSonar Sepsis Wissensbasis (Leitlinien) Benutzeroberfläche KLINISCHE ENTSCHEIDUNG Auswertung Controller Information Daten + Ergebnisse D-205-2014 Laborbefunde ICM/PDMS G erätedaten(b eatmung und Monitoring) Krankenhaus Informationssystem 36
Ihre Chance: Wählen Sie Thema (2)!!! Elmar Horst Senior Consultant Hospital Solution, Dräger Telefon: 0160-93 980 310 E-Mail: elmar.horst@draeger.com