Patientensicherheit – Safety
Während das Englische die Begriffe Safety und Security unterscheidet, kennen wir im Deutschen nur die Sicherheit. Zwar haben beide Begriffe mit einander zu tun, sind aber nicht deckungsgleich.
Das Risikomanagement zählt zu den wichtigsten gesetzlichen Anforderungen, die Hersteller von Medizinprodukten erfüllen müssen.
Die ISO 14971 ist die Norm zur „Anwendung des Risikomanagements auf Medizinprodukte“. Sie beschreibt einen Risikomanagementprozess, der sicherstellen soll, dass die Risiken durch Medizinprodukte bekannt und beherrscht sowie im Vergleich zum Nutzen akzeptabel sind.
Abb. 1: Risikomanagementprozess nach ISO 14971 (zum Vergrößern klicken)
Inhalt
Sie finden auf dieser Seite Fachartikel …
- zu den Aktivitäten im Risikomanagementprozess, welche die ISO 14971 vorschreibt,
- zur Norm selbst,
- zum Zusammenspiel von Risikomanagement und der IT-Sicherheit,
- zur Anwendung der Norm in bestimmten Kontexten, z. B. bei Standalone-Software und
- dazu, wo Sie Unterstützung beim Risikomanagement bekommen.
1. Artikel zu Aktivitäten im Risikomanagementprozess
a) Risikomanagementplan
Der erste Schritt beim Risikomanagement für ein konkretes Produkt besteht darin, den Risikomanagementplan zu erstellen. Dieser legt fest,
- welche Rollen bzw. Personen (mit welchen Kompetenzen)
- welche Aktivitäten
- mit welchen Methoden
- zu welchem Zeitpunkt durchführen.
Diesen Risikomanagementplan muss die Verfahrensanweisung zum Risikomanagement einfordern
b) Gefährdungsanalyse
Hersteller müssen zuerst die Zweckbestimmung des Produkts festlegen.
Dann müssen sie im Rahmen einer Gefährdungsanalyse bzw. Risikoanalyse die Gefährdungen und Gefährdungssituationen identifizieren. Dazu gibt es mehrere Methoden:
- FMEA: Definition und Bedeutung am Beispiel von Medizinprodukten
- Fehlerbaumanalyse | FTA: Fault Tree Analysis
- HAZOP – Risikoanalyse nach IEC 61882
Um Gefährdungen zu identifizieren, die von fehlerhaften Prozessen ausgehen, empfiehlt sich die Prozess-FMEA (pFMEA).
c) Risikobewertung
Im nächsten Schritt müssen die Hersteller die Risiken abschätzen. Dazu müssen sie bestimmen:
- Die (möglichen) Schäden (gemäß ISO 14971) durch ihr Produkt
- Die Schweregrade möglicher Schäden gemäß ISO 14971. Bei manchen Schäden hilft die ICF bei der Klassifizierung der Schäden.
- Die Wahrscheinlichkeit des Auftretens dieser Schäden (diese Wahrscheinlichkeit ist bei Software besonders schwer abzuschätzen)
Viele Hersteller arbeiten mit einer Risikoprioritätszahl (RPZ). Dieses Konzept entspricht allerdings nicht der ISO 14971.
d) Risikoakzeptanz
Spätestens jetzt besteht die Aufgabe der Hersteller darin, ihre Kriterien für die Risikoakzeptanz zu bestimmen. Die Festlegung erfolgt meist in Form einer Risikoakzeptanzmatrix.
Dabei hilft auch der Benefit-Risk-Guidance der FDA.
Bei der Bewertung des Restrisikos sollten Sie diese Zahlen kennen. Auch die Kaplan-Meier-Kurve hilft im Risikomanagement.
e) Risikobeherrschung und Risikomanagementbericht
Gesetze wie die MDR und die IVDR verpflichten die Hersteller zur Risikominimierung bzw. Risikobeherrschung. D.h. sie müssen die Risiken so weit wie möglich und gemäß ihrer Akzeptanzkriterien reduzieren.
Sehr hilfreich bei Diskussionen mit Auditoren und Behörden sind der Artikel zu Informationen als Maßnahmen zur Risikominimierung sowie die Safety Assurance Cases, welche die FDA bei einigen Produkten sogar verlangt.
Die Ergebnisse aller bisherigen Aktivitäten müssen die Hersteller in einem Risikomanagementbericht dokumentieren. Bei dieser Bewertung sollten die Hersteller prüfen, dass sie die 7 häufigsten Fehler im Risikomanagement vermeiden.
All diese Aufzeichnungen und Dokumente bilden dann die Risikomanagementakte.
f) Nachgelagerte Phase
Damit endet das Risikomanagement nicht. Vielmehr folgt die Post-Market-Phase bzw. die nachgelagerte Phase, wie die ISO 14971 sie nennt. Ein Teil derer ist die Post-Market Surveillance und Überwachung der Produkte im Markt.
2. Fachartikel zur Norm
Die DIN EN ISO 14971 liegt in der Version 2022 vor. Die letzte wesentliche Änderung stammt aus dem Jahr 2019. Diese Änderungen wurden mit der dritten Ausgabe der ISO 14971 eingeführt. Damit wird die EN ISO 14971:2012 mit dem Annex ZA obsolet.
Im Beitrag zu den harmonisierten Normen erfahren Sie mehr zur Bedeutung der Präfixe wie DIN, EN und ISO.
Wie Hersteller die (neue Version) der Norm anwenden sollten, beschreibt der Beitrag zur ISO 24971.
Wichtig ist auch die Frage, ob die ISO 14971 überhaupt anwendbar ist. In diesem Kontext sind die Begriffe vorhersehbarer Missbrauch und anormaler Gebrauch wichtig.
In anderen Rechtsbereichen wird die ISO 31000 genutzt, die für die Medizinproduktehersteller zumindest als Anregung dienen kann.
3. Fachartikel zum Zusammenspiel von Risikomanagement und IT-Sicherheit
Bei Medizinprodukten, die Software enthalten oder Software sind, wirkt sich die IT-Sicherheit wesentlich auf die Risiken aus. Hilfreich sind hier folgende Publikationen:
- Übersichtsartikel zur IT-Security im Allgemeinen und zur IT-Sicherheit im Gesundheitswesen und den regulatorischen Anforderungen
- Cybersecurity in Medical Devices: Die Guidance-Dokumente der FDA
- AAMI TIR 57: IT-Sicherheit und Risikomanagement
- UL 2900: Weshalb Sie den IT-Security-Standard kennen, aber niemals kaufen sollten
- Medical Cloud: Cloud Computing im Gesundheitswesen
- ISO/IEC 15408: IT-Sicherheit von (Medizin-)Produkten bewerten
4. Fachartikel zu bestimmten Kontexten
a) Fachartikel für Software-Hersteller
Für Medizinprodukte, die Software enthalten oder eine Standalone-Software sind, empfehlen sich diese Fachartikel:
b) Fachartikel für andere Organisationen
Das Risikomanagement bei Medizinprodukteherstellern unterscheidet sich in manchen Aspekten von dem Risikomanagement bei anderen Organisationen:
- Risikomanagement vernetzter Krankenhaus-IT & IEC 80001-1
- Risikomanagement bei Entwicklungsdienstleistern
- Risikomanagement im Krankenhaus und bei anderen Betreibern
Das Johner Institut hilft
Nutzen Sie die Unterstützung des Johner Instituts:
- Haben Sie noch Fragen zum Risikomanagement? Dann nutzen Sie das kostenfreie Micro-Consulting.
- Im Seminar „Risikomanagement & ISO 14971“ lernen Sie die gesetzlichen Anforderungen an das Risikomanagement kennen und erfüllen.
- Der Auditgarant zeigt Ihnen mit Videotrainings, wie Sie Schritt für Schritt eine schlanke und ISO 14971 konforme Risikomanagementakte erstellen. Zusätzlich nimmt Ihnen ein vollständiger Satz an Templates für eine Risikomanagementakte viel Arbeit ab.
- Nutzen Sie auch die Unterstützung des Risikomanagement-Teams. Es hilft Ihnen, Ihre Akten zu schreiben, zu prüfen und auf Audits und Reviews vorzubereiten.
Melden Sie sich gleich, damit wir die nächsten Schritte besprechen können. So stellen Sie sicher, dass die „Zulassung“ sicher gelingt und Ihre Produkte schnell in den Markt kommen.
UL 2900 – weshalb Sie den IT-Security-Standard kennen, aber niemals kaufen sollten
Der UL 2900-2-1 nennt sich „Particular Requirements for Network Connectable Components of Healthcare and Wellness Systems“. Er zählt zur UL-2900-Familie, der Normenfamilie zur IT-Security. Lesen Sie in diesem Artikel, welche Schwächen der Standard hat und unter welchen Umständen er Ihnen dennoch nützlich sein kann.
WeiterlesenAAMI TIR 57: IT-Sicherheit und Risikomanagement
Der TIR 57 ist ein „Technical Information Report“ der amerikanischen AAMI. Er möchte Hilfestellung dabei geben, Risiken durch mangelnde IT-Sicherheit von Medizinprodukten zu erkennen und zu beherrschen und so die Anforderungen der ISO 14971 an das Risikomanagement zu erfüllen.
Weiterlesen
Vorhersehbarer Missbrauch
Die Begriffe ‚vernünftigerweise vorhersehbarer Missbrauch‘ (‚reasonable foreseeable misuse‘), ‚anormaler Gebrauch‘ (‚abnormal use‘), ‚korrekter Gebrauch‘ (‚correct use‘) und ‚bestimmungsgemäßer Gebrauch‘ (’normal use‘) stammen aus den Normen ISO 14971 und IEC 62366-1. Leider erscheinen die Definitionen nicht gut aufeinander abgestimmt zu sein. Allerdings sind sie substantiell für das Verständnis, wie die Normen, in denen diese Begriffe erwähnt werden,…
WeiterlesenISO/IEC 15408: IT-Sicherheit von (Medizin-)Produkten bewerten
Die ISO/IEC 15408-1 trägt den Titel „Information technology — Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general model“. Sie beschreibt ganz allgemein, wie man bei der Bewertung der IT-Sicherheit z.B. von Produkten vorgehen soll. Die konkreten Hinweise, wie geprüft werden soll, finden sich in dem zweiten und dritten Teil…
WeiterlesenAnormaler Gebrauch – unterschiedliche Begriffswelten in den Normen
Anormaler Gebrauch: Eine von vielen möglichen Fehlhandlungen Irrtum, Benutzungsfehler, anormaler Gebrauch, Aufmerksamkeitsfehler, vernünftigerweise vorhersehbarer Erinnerungsfehler, vorhersehbarer Missbrauch. Die Liste möglicher (Fehl-) Handlungen ist lang, die die Normen betrachtet haben möchten. Doch Vorsicht: Die Normen zur Gebrauchstauglichkeit (IEC 62366:2007 und IEC 62366-1:2015) und die Norm zum Risikomanagement (ISO 14971) verwenden unterschiedliche Begriffe. Dieser Artikel bringt Licht ins…
Weiterlesen
ISO 24971: Wie Sie die ISO 14971 anwenden sollten
Die ISO 24971 ist die Norm, die meine Auditoren-Kollegen oft zücken, wenn es mit Medizinprodukte-Hersteller Diskussionen über die Auslegung der ISO 14971 gibt. Sie kennen die ISO 24971 nicht? Sie möchten diese Norm nicht kaufen? Kein Problem, ich habe diese Technical Report für Sie gelesen und zusammengefasst.
WeiterlesenRestrisiko: Diese Zahlen sollten Sie kennen
Ein Restrisiko ist laut ISO 14971 das „Risiko, das nach Durchführung von Maßnahmen zur Risikobeherrschung verbleibt.“ Doch welche Restrisiken sind akzeptabel? Damit tun sich viele Medizinproduktehersteller schwer. Inhaltsübersicht Anforderungen der ISO 14971 » Welche Restrisiken sind akzeptabel? » Zahlen, die Sie kennen sollten » Informationen über Restrisiken » Lesen Sie hier, wie Sie zu belastbaren…
Weiterlesen
CIRS (Critical Incident Reporting System) auch für Hersteller?
CIRS sind seit Jahren im Gesundheitswesen und der Luftfahrt gesetzlich vorgeschrieben, um Meldungen über kritische Vorkommnisse anonym sammeln, auswerten und daraus Schlüsse für ein sichereres Arbeiten ziehen zu können. Bei Medizinprodukteherstellern sind CIRS keine Pflicht. Ein Fehler? Lesen Sie, wie Sie als Medizinproduktehersteller von CIRS profitieren können.
Kaplan-Meier Kurve im Risikomanagement
Mit Schätzungen nach Kaplan-Meier können Sie beispielsweise die Überlebenswahrscheinlichkeit abschätzen, dass Ihre Patienten trotz oder wegen Ihres Medizinprodukts überleben. Während in der Pharma-Forschung diese Kaplan-Meier-Kurven Stand der Technik sind, werden sie von Medizinprodukteherstellern häufig ignoriert. Dabei gibt es viele Fälle, in denen Ihnen die Kaplan-Meier-Statistik regulatorisch relevante Informationen liefern könnte.
