WELCHE ROLLE SPIELT DIE ISO/IEC 80001 IM GESUNDHEITS- UND SOZIALWESEN? Ing. Mag. Wolfgang Schmidhuber calpana business consulting gmbh
Relevanz der ISO/IEC 80001 durch das MPG Als ÖNORM EN 80001 ist die ISO/IEC 80001 Stand der (medizinischen) Wissenschaften und Technik im Sinne des MPG 8(1) Voraussetzungen für das Inverkehrbringen und die Inbetriebnahme 6. Es ist verboten, e in Verkehr zu bringen, zu errichten, zu installieren, in Betrieb zu nehmen oder anzuwenden, wenn der begründete Verdacht besteht, dass sie die grundlegenden Anforderungen im Sinne der 8 und 9 und einer Verordnung nach 10 oder zutreffendenfalls die Anforderungen des 11 nicht erfüllen oder ihr Verfalldatum abgelaufen ist. Grundlegende Anforderungen 8. (1) e müssen so ausgelegt und hergestellt sein, dass ihre Anwendung weder den klinischen Zustand oder die Sicherheit der Patienten noch die Sicherheit der Anwender oder Dritter gefährdet, wenn sie unter den vorgesehenen Bedingungen und zu den vorgesehenen Zwecken eingesetzt werden. Etwaige Risiken und Nebenwirkungen, die bei bestimmungsgemäßer Installation, Implantation oder Anwendung auftreten können, müssen unter Berücksichtigung der Wirksamkeit der e nach dem Stand der medizinischen Wissenschaften und der Technik vertretbar sein und der Schutz der Gesundheit und Sicherheit muss gewährleistet sein.
Was ist ein und dessen Zubehör? Definition entsprechend der europäischen Richtlinien 2007/47/EG Definition im Sinne der Richtlinie 2007/47/EG e im Sinne der Richtlinie 93/42/EWG sind alle einzeln oder miteinander verbunden verwendeten Instrumente, Apparate, Vorrichtungen, Software, Stoffe oder anderen Gegenstände, einschließlich der vom Hersteller speziell zur Anwendung für diagnostische und/oder therapeutische Zwecke bestimmten und für ein einwandfreies Funktionieren des s eingesetzten Software, die vom Hersteller zur Anwendung für Menschen für folgende Zwecke bestimmt sind: Erkennung, Verhütung, Überwachung, Behandlung oder Linderung von Krankheiten; Erkennung, Überwachung, Behandlung, Linderung oder Kompensierung von Verletzungen oder Behinderungen; Untersuchung, Ersatz oder Veränderung des anatomischen Aufbaus oder eines physiologischen Vorgangs; Empfängnisregelung und deren bestimmungsgemäße Hauptwirkung im oder am menschlichen Körper weder durch pharmakologische oder immunologische Mittel noch metabolisch erreicht wird, deren Wirkungsweise aber durch solche Mittel unterstützt werden kann. Zubehör zu einem ist ein Gegenstand, der selbst kein Produkt ist, sondern nach seiner vom Hersteller speziell festgelegten Zweckbestimmung zusammen mit einem Produkt zu verwenden ist, damit dieses entsprechend der vom Hersteller des Produkts festgelegten Zweckbestimmung des Produkts angewendet werden kann.
Stand der (medizinischen) Wissenschaften und der Technik Die Normen und Standards beschreiben den Stand der (medizinischen) Wissenschaften und der Technik, der von gesetzeswegen gefordert wird ISO/IEC 27001:2013 ISO/IEC 27002:2013 Information technology -- Security techniques -- Information security management systems Requirements Information technology -- Security techniques -- Code of practice for information security controls ISO 27799:2008 Health informatics -- Information security management in health using ISO/IEC 27002 IEC 80001-1:2010 IEC/TR 80001-2-1:2012 IEC/TR 80001-2-2:2012 IEC/TR 80001-2-3:2012 IEC/TR 80001-2-4:2012 IEC/TR 80001-2-5:2014 ISO/TR 80001-2-6:2014 Part 1: Roles, responsibilities and activities Part 2-1: Step by Step Risk Management of Medical IT-Networks; Practical Applications and Examples Part 2-2: Guidance for the communication of medical device security needs, risks and controls Part 2-3: Guidance for wireless networks Part 2-4: General implementation guidance for Healthcare Delivery Organizations Part 2-5: Application guidance -- Guidance for distributed alarm systems Part 2-6: Application guidance -- Guidance for responsibility agreements
Die ISO/IEC 80001 Die ISO/IEC 80001 regelt die Anwendung des Risikomanagements für IT-Netzwerke, die e beinhalten Medizinische IT-Netzwerke sind IT-Netzwerke, in die mindestens ein eingebunden ist. Ziele der ISO/IEC 80001 Implementierung eines RM-Prozess für Medizinische IT-Netzwerke Festlegung gewichteter Schutzziele - Risiko-Politik des Betreibers für: Sicherheit (für Patienten, Anwender und Dritte) Effektivität / Wirksamkeit (einer Gesundheitsmaßnahme/unternehmensinterner Workflow) Daten & Systemsicherheit (Vertraulichkeit, Verfügbarkeit, Korrektheit) Integration von en in IT-Netze nur mit wirksamen Schutzmaßnahmen Verbesserung der Kommunikation intern und zwischen Betreiber, MP Hersteller und Lieferanten sonstiger (IT)-Produkte) Änderungen nur nach Freigabe durch den Med. IT-Risikomanager durch (Änderungs-, Konfigurations-, Überwachungs- und Ereignis-Management) Bewusste Entscheidung über Rest-Risiken in Med. IT-Netzwerken
Medizinisches IT-Netzwerk - Verantwortung Die Verantwortung für das Risikomanagement von en (MP) liegt beim Implementierer bzw. Inverkehrbringer des MP, MP-Anlage bzw. MP-System MP-System medizin. Anlage MP-H. A MP-H. A MP-H. A medizin. Anlage Verantwortung Vorschrift MP-Hersteller A ISO 14971 MP-Hersteller A ISO 14971 MP-H. A MP-H. B MP-H. B MP-Hersteller B ISO 14971 KH-Betreiber ISO/IEC 80001-1 Nicht-
Rechtswirkungen der ÖNORM EN 80001-1 Eine Interpretation der zivilrechtlichen und strafrechtlichen Wirkungen der Norm ÖNORM EN 80001 bzw. ISO IEC 80001 zur Anwendung des Risikomanagements für Medizinische IT-Netzwerke Kernpunkt der rechtlichen Betrachtung ist die Verpflichtung zur Einhaltung des 80 MPG(A) e zur gemeinsamen Anwendung mit anderen en, mit Zubehör, mit Software, oder mit anderen Gegenständen dürfen nur dann verbunden werden, wenn diese Verbindung im Hinblick auf die medizinische Sicherheit und Funktionstüchtigkeit unbedenklich ist. Zivilrechtliche Verantwortlichkeit Haftung Schadensersatz Strafrechtliche Verantwortlichkeit Verletzung der Sorgfaltspflicht Konsequenzen aus Schädigung einzelner Individuen Verwaltungsrechtliche Verantwortlichkeit Verwaltungsstrafen ( 25.000,- bzw. 50.000,-) Organisationsverschulden der verantwortlichen Leitung
Ist die ISO/IEC 80001 daher zwingend erforderlich? Grundsätzlich sieht das österreichische Gesetz ausdrücklich keine Konsequenzen für den Fall der Nichteinhaltung der technischen Regelungen der ÖNORM vor. Aber, das egesetz 8 MPG gibt vor, dass nur jene e angewendet [..] werden dürfen, bei denen etwaige Risiken [ ] nach dem Stand der medizinischen Wissenschaften und der Technik vertretbar sind. Und e zur gemeinsamen Anwendung mit anderen en, mit Zubehör, mit Software, oder mit anderen Gegenständen dürfen nur dann verbunden werden, wenn diese Verbindung im Hinblick auf die medizinische Sicherheit und Funktionstüchtigkeit unbedenklich ist ( 80 MPG) Die ISO/IEC 80001 ist per Definition Stand der Technik -> die Ausrichtung an dieser Norm ist daher geeignet den Anforderungen des egeseztes zu entsprechen.
Was ist daher zu tun? Ausrichtung an der ISO/IEC 80001 1. Grundsatzentscheidung: Werden e in das IT-Netzwerk integriert? 2. Management Commitment: Das TOP Management erstellt/überarbeitet Policies, stellt die erforderlichen Ressourcen bereit und setz den Risikomanagement Prozess auf. 3. Change-Release Management: 1. Von der verantwortlichen Organisation kommt die Anforderung: Bestimmte e einzusetzen Ziel und Verwendungszweck des MP Nutzen und Erwartung durch Integration in IT-Netzwerk Akzeptanzkriterien für Restrisiken 2. Vom -Hersteller kommen: Zweck der Anbindung an ein MED-IT-Netzwerk Implementierungsspezifikationen Eine Liste an Gefahrensituationen 3. Vom IT-Netzwerk Provider kommen: Implementierungsrandbedingungen Implementierungsvorschlag Computer- und Netzsicherheitshinweise Notfallplanung 4. Der MED-IT-Netzwerk Risikomanagement steuert den Planungs- und Risikomanagement Prozess. ZIEL: akzeptiertes Risiko! 4. Go Live: 1. Die verantwortliche Organisation prüft das verbleibende Restrisiko 2. Der MED-IT-Risikomanager gibt den Live-Betrieb frei 5. Live Environment Risk Management: 1. Monitoring Prüfen auf Änderungen der Umgebung und des Stands der Technik Einhaltung der Leistungsfähigkeit und Service-Vereinbarungen 2. Event Management Dokumentation und Berichten von Vorkommnisse Erkennen von notwendigen Änderungen
Key Findings 1. Med. IT Risikomanagement ist nicht neu sondern bereits jetzt eine gesetzliche Vorgabe! 2. Med. IT Risikomanagement ist im Kern eine organisatorische Aufgabenstellung! 3. Betreiber und Dienstleister sind in der Pflicht auch ein Med. IT Risikomanagement zu betreiben! 4. Der Stand der med. Wissenschaft und Technik ist in der Norm ISO/IEC 80001 festgeschrieben! Vielen Dank für Ihre Aufmerksamkeit! calpana business consulting gmbh A-4020 Linz, Blumauerstraße 43 Tel: +43 (732) 601216-0 Copyright 2016 www.calpana.com www.crisam.net