Dieser Artikel beschreibt,
- was gesetzliche Anforderungen sind, wie diese mit Stakeholder-Anforderungen und System-Anforderungen zusammenspielen,
- welche gesetzlichen Anforderungen es an deren Dokumentation gibt und
- wie Sie gesetzliche Anforderungen formulieren und damit dokumentieren können.
Gesetzliche Anforderungen versus Stakeholder-Anforderungen versus System-Anforderungen
Gesetzliche Anforderungen zählen zu den Stakeholder-Anforderungen
Unter gesetzlichen Anforderungen subsumieren wir hier alle Anforderungen, die in Regularien wie den Gesetzen, Verordnungen, Medizinprodukterichtlinien und harmonisierten Normen formuliert sind und die sich an die Hersteller von Medizinprodukten richten.
Die gesetzlichen Anforderungen zählen neben den Nutzungsanforderungen, organisatorischen und fachlichen Anforderungen sowie den Marktanforderungen zu den Stakeholder-Anforderungen.
Gesetzliche Anforderungen müssen in konkrete System-Anforderungen überführt werden
Verwechseln Sie nicht (wie die IEC 62304) Stakeholder-Anforderungen (hier in Form gesetzlicher Anforderungen) mit System- oder Software-Anforderungen. Die Software-Anforderungen dürfen gerade NICHT wie es die IEC 62304 vorschlägt, gesetzliche Anforderungen umfassen. Darin besteht genau die Wertschöpfung, wenn man die Stakeholder-Anforderungen in System- bzw. Software-Anforderungen überführt.
Beispielsweise könnte eine gesetzliche Forderung lauten, dass die Bestimmungen eines Datenschutzgesetzes zu erfüllen sind, das u.a. verbietet, dass unbefugte Dritte keine Patientendaten erkennen dürfen. Die Systemanforderung / System-Spezifikation hingegen würde beschreiben, dass die UI ein Login-Fenster hat und dass nur Personen, die im System als berechtigt hinterlegt sind, vom System die Patientendaten angezeigt bekommen.
Systemanforderungen müssen die Lösung konkret spezifizieren, die die gesetzlichen Anforderungen allgemein formulieren.
Gesetzliche Anforderungen an die Dokumentation gesetzlicher Anforderungen
Die gesetzlichen Anforderungen betreffen nicht nur die Medizinprodukte bzw. deren Entwicklung selbst, sondern auch die Dokumentation eben dieser gesetzlichen Anforderungen selbst. Die Hersteller müssen aufschreiben, welche gesetzlichen Anforderungen sie bzw. ihr Produkt erfüllt.
So verlangen sowohl die ISO 13485 als auch die „Quality System Regulations“ der FDA (21 CFR part 820), dass Hersteller von Medizinprodukten die gesetzlichen Anforderungen erfassen, dokumentieren und erfüllen. Selbst die IEC 62304 fordert dies in Kapitel 5.2.2 f).
Doch wie formuliert man gesetzliche Anforderungen korrekt und überprüfbar?
Dokumentation der gesetzlichen Anforderungen an Medizinprodukte
Wie bereits ausgeführt, sollten Sie nicht global auf gesetzliche Anforderungen der Art „Die Datenschutzbestimmungen sind zu beachten“ oder noch unspezifischer „die gesetzlichen Bestimmungen müssen eingehalten werden“ verweisen. Das ist ziemlich wertlos.
Etwas besser ist es, auf konkrete Paragraphen zu verweisen z.B. „Das Medizinprodukt muss die Anforderungen des BGB §630f Absatz 1 erfüllen“.
Thomas Geis empfiehlt, die gesetzlichen Anforderungen mit Hilfe einer Formulierungsschablone zu rephrasieren:
<Produkt | Natürliche Person | Juristische Person> muss < durch bestimmtes Verhalten X sicherstellen | Arbeitsergebnis Y in Form Z bereitstellen>.
Beispiel
„Das klinische Informationssystem muss Berichtigungen und Änderungen am ursprünglichen Inhalt erkennbar machen“.
Diese Formulierungsschablone können Sie nicht nur für gesetzliche, sondern auch für organisatorische Anforderungen nutzen, nur sich diese nicht an Produkte, sondern ausschließlich an natürliche oder juristische Personen werden.
Noch besser wäre es sogar, das System als Blackbox zu spezifizieren, d.h. genau zu dokumentieren, wie sich das System über seine Schnittstellen (insbesondere Benutzer-Schnittstelle, Datenschnittstellen, elektrische und mechanische Schnittstellen) nach außen verhält.
Weitere Formulierungsschablonen lernen Sie Seminar „Usability, Requirements & IEC 62366“ kennen, beispielsweise für die Formulierung von
- Kernaufgaben
- Vor- und Nachbedingungen
- Erfordernissen (hier gibt es mehrere Typen)
- Nutzungsanforderungen und andere Stakeholder-Anforderungen
- Systemanforderungen
Von allen Stakeholderanforderungen haben wir bei den regulatorischen Anforderungen die größten Probleme, die richtige Ebene und den richtigen Detaillierungsgrad zu finden. Wie im Artikel beschrieben, ist es wenig hilfreich die „Erfüllung der regulatorischen Anforderungen von Land X“ anzufordern.
Auch wenn das theroretisch schlüssig wäre, erscheint es aber auch kaum praktikabel, alle anwendbaren Gesetzeswerke und Regulierungen in Einzelanforderungen herunterzubrechen und im Rahmen der Produktentwicklung zu validieren. Oder versucht man eine Zwischenebene abzubilden und nimmt z.B. die Erfüllung von Grundlegenden Anforderungen (z.B. GSPR in der EEA) als Stakeholderanforderung auf.
Die Anwendbarkeit der meisten Normen, wenn sie nicht reine Prozessnormen sind, ist in der Regel von der technischen Realisierung abhängig und damit gehören diese eher in die Systemanforderungen. Wenn man das macht, ist aber immer noch die Frage, von welchen Stakeholderanforderungen sie sich sinnvollerweise ableiten.
Leider habe ich dazu – auch in Diskussion mit einigen Experten – noch keine best practice gefunden. Gibt es dazu Empfehlungen des Johner-Instituts?
Sehr geehrter Herr Müller,
Sie stellen eine sehr gute, wichtige und anspruchsvolle Frage! Herzlichen Dank!
Zum Glück enthält Ihre Frage bereits einen Teil einer möglichen Antwort:
Einerseits müssen die anwendbaren regulatorischen Anforderungen alle erfasst werden. Andererseits sind diese sehr oft entweder Prozessanforderungen oder nur schwer greifbar. Daher reduziert sich deren Anzahl.
Ein Beschränken auf die GSPRs reicht aber nicht. Die sind noch nicht prüfbar. Beispielsweise reicht es nicht, eine „state of the art IT security“ zu fordern. Das ist zwar eine korrekte Stakeholder-Anforderung, aber eben keine prüfbare Systemanforderung. Es gibt aber dazu passende konkrete Vorgaben, z.B. dass das System nach n fehlerhaften Passwort-Eingaben weitere Versuche für m Minuten unterbindet. Das lässt sich prüfen.
Ich hoffe, meine Antwort hat ausreichend viel mit Ihrer Frage zu tun, andernfalls einfach nachhaken.
Viele Grüße
Christian Johner