Was Software-Dienstleister bei Digitalisierungsprojekten in der Medizintechnik beachten müssen
In diesem Beitrag möchte ich gerne die wichtigsten Erkenntnisse meiner Thesis: „Relevante Richtlinien, Normen und Gesetze für in Deutschland agierende Software-Dienstleister in der Medizintechnik“ teilen.
Viele treibt beim Lesen des Titels vermutlich erstmal der Gedanke um: Scheinbar irgendetwas mit Vorgaben, Dienstleistern und Medizintechnik…
Ja ich weiß, das klingt erstmal sehr trocken, aber ist es gar nicht!
Medizintechnik digitalisieren – Wie sind hier die Spielregeln?
Im Endeffekt ist es ja so: Wer die (Spiel-)Regeln nicht befolgt – und dazu muss man sie erstmal kennen – der darf nicht mitmachen. Und dies gilt wohl ganz besonders in der Welt der Medizintechnik (MedTech). Schließlich geht es hier darum, umfangreiche Diagnosen, Behandlungen oder Therapien am Menschen anzuwenden. Es sollte also alles, egal ob Hardware oder Software, aber auch die Prozesse aller Beteiligten, so sicher wie irgendwie möglich gestaltet sein.
Mit Software-Dienstleister meine ich in meiner Thesis Dienstleister mit ähnlichen Leistungsangeboten wie doubleSlash. Denn auch für uns ist die Digitalisierung der Medizintechnik ein sehr spannendes, wenn auch nicht ganz neues Betätigungsfeld, das künftig weiter ausgebaut werden soll. Und genau hier kommen wieder die vorher erwähnten (Spiel-)Regeln, also Richtlinien, Normen und Gesetze, zum Tragen. Denn auch für uns gilt: Wir müssen bestimmte Rahmenwerke erfüllen, um uns am Markt beteiligen zu können. Herauszufinden, was es bei der Digitalisierung der MedTech Branche diesbezüglich zu beachten gilt, war Ziel meiner Arbeit.
Wichtige Rahmenwerke aus der Medizintechnik im Überblick
Bevor ich hier irgendwelche Erkenntnisse teile und mit diversen ISOs, IECs oder anderen Rahmenwerken um mich werfe, würde ich gerne eine Übersicht mit Rahmenwerken aus der Medizintechnik teilen. Diese werden kurz erklärt und nach ihrer Relevanz für Software-Dienstleister bewertet. Dadurch sollten die nachfolgenden Aussagen und Ergebnisse verständlich(er) sein.
Diese, für die Medizintechnik geltenden, wichtigsten Rahmenwerke konnte ich anhand von weitreichender Recherche und Experteninterviews mit Personen verschiedener Medizintechnikhersteller ausmachen.
Das Rad muss nicht neu erfunden werden – oft wird auf bestehende Normen aufgesetzt
Nun zu den wichtigsten Erkenntnissen der Arbeit. Zu Beginn war die Vermutung, dass Dienstleister, die sich im Bereich MedTech einbringen möchten, einige spezielle Rahmenwerke erfüllen müssen. Diese, so war die Vermutung, ändern sich auch je nach Leistungsangebot. Im Laufe der Arbeit, vor allem aber durch die Interviews, zeigte sich, dass wir als Dienstleister jedoch kaum spezielle Rahmenwerke erfüllen müssen.
Dafür gibt es zwei Gründe:
- Die Verantwortung für ein Produkt, egal ob Medizinprodukt oder nicht, liegt immer beim Hersteller. Es sei denn, der Dienstleister würde ein gesamtes Gewerk „herstellen“, dann wären wir aber Hersteller – dazu später mehr.
- Einige allgemeine Normen, wie beispielsweise die ISO 9001 und die ISO/IEC 27001 decken bereits einige Punkte spezieller Medizintechnik Normen ab. Ein Beispiel dazu: Wir erfüllen im Unternehmen die ISO 9001. Fordert ein Hersteller für die Zusammenarbeit die ISO 13485, müssen wir hierfür nicht zwangsweise zertifiziert sein. Viele Inhalte bzw. Vorgaben der ISO 13485 decken sich mit denen der ISO 9001, alles was nicht abgedeckt ist, könnte anhand von Schulungen sichergestellt werden.
Würden wir Standalone-Software unter unserem „Namen“ verkaufen, wären wir der Hersteller, und das ist nicht unser Ansatz. Im Umkehrschluss heißt das aber auch, dass der Herstellende seinen Lieferanten, also auch Dienstleistern, vorschreibt, was dieser für eine Zusammenarbeit „mitbringen“ muss. Dadurch, dass der Hersteller die Verantwortung trägt, also auch haftet, muss er sicherstellen, dass im Prozess alles ordentlich und so sicher wie möglich abläuft. Eine Zusammenarbeit wird unter anderem durch Lieferantenaudits geprüft. Nicht selten werden auch Basisschulungen durchgeführt, um die relevantesten Inhalte zu übermitteln.
Zusammenfassend brauchen wir als Dienstleister also keine speziellen Medizintechnik-Zertifizierungen. Diese können vom Hersteller aber in manchen Fällen gefordert werden. Das hängt stark vom Produkt bzw. Projekt ab. Es gibt ein paar Punkte, auf die Hersteller besonders viel Wert legen:
- ISO 9001 und ISO 27001 Zertifizierung
- Funktionierendes und gutes QM-System
- Hohes Maß an Sicherheit im Unternehmen (beispielsweise durch regelmäßige Schulungen)
- Erfahrungen im MedTech Bereich
- Wobei diese Erfahrung viele Facetten hat und viele andere Bereiche hier mit reinspielen, wie etwa stabil laufende Prozesse im Unternehmen.
- Herstellern ist es fast unmöglich unerfahrenen Dienstleistern das nötige Wissen zu übermitteln, da vor allem in der MedTech spezielle Prozesse unter strikten Vorgaben eingehalten werden müssen.
Regelwerke vs. Praktische Umsetzung: Wo liegen die Fallstricke in Digitalisierungsprojekten der Medizintechnik?
Neben den strengen Regularien gibt es weitere Faktoren, auf die die Akteure in einem Digitalisierungsprojekt im Bereich MedTech achten müssen. Tätigkeiten, die ein Dienstleister bei Medizinprodukten nicht übernehmen darf, gibt es in erster Linie nicht. Wobei es auch hier wieder aufs Produkt bzw. Projekt ankommt. Herausfordernd wird es, sobald Patient:innendaten einsehbar sind. Diese unterliegen strengsten Datenschutzrichtlinien und sind sogenannte besonders schützenswerte Daten. Auch der Hersteller darf keinen Zugriff auf diese Daten haben. Die Patient:innendaten müssen stark anonymisiert werden und es dürfen keine Rückschlüsse auf zu entsprechende Person möglich sein.
Andere Hürden betreffen die Hersteller selbst, können aber durchaus interessant für Dienstleister sein. Zum einen ist es schwierig oder vielmehr nicht gerne gesehen , wenn Daten in einer Cloud, statt auf On-Premise-Systemen gespeichert werden . Hier wird bereits nach einer guten Lösung gesucht.
Zum anderen haben Hersteller Probleme damit , dass von den oft alten Rahmenwerken vorgesehene V-Modell mit moderner Softwareentwicklung in Einklang zu bringen. Die Herausforderung ist hier, bei jeder kleinen Änderung eine Risikoanalyse durchzuführen und zu prüfen, ob alle Rahmenwerke eingehalten werden. Eine Gefährdung der Patientinnen und Patienten muss immer ausgeschlossen werden können.
Das waren längst nicht alle Inhalte der Arbeit, einige wichtige Erkenntnisse konnte ich aber in knappen Sätzen wiedergeben. Ich hoffe mit den Ergebnissen etwas mehr Einblick in unsere Reise in die Medizintechnik-Welt geben zu können.
Mehr zu Digitalisierung in der MedTech erfahren
| Rahmenwerte | Beschreibung | Relevanz | Einschätzung / Zusatzinfo |
| DIN EN ISO 13485 | Umfassendes Qualitätsmanagementsystem für das Design und die Herstellung von Medizinprodukten | Mittel | Erleichtert es dem Hersteller falls Zertifikat beim Dienstleister vorhanden. Verantwortung für das Produkt liegt weiterhin beim Hersteller. |
| DIN EN ISO 14971 | Anwendung des Risikomanagement auf Medizinprodukte |
Gering | |
| DIN EN ISO 14155 | Klinische Prüfung von Medizinprodukten an Menschen | Irrelevant | |
| IEC 60601-1 | Elektrische Sicherheit von Medizinprodukten |
Irrelevant | |
| IEC 62304 | Mindestanforderungen an die wichtigsten Software- Lebenszyklus-Prozesse | Mittel | |
| IEC 82304 | Reguliert Software-Produkte in der Medizin, Gesundheit, Wellness und Mobile Medical Apps | Mittel | |
| IEC 81001-5-1 | Cybersecurity Norm: IT-Sicherheit im Software-Lebenszyklus | Hoch (ab Harmonisierung 2024) | Gültig ab 2024, schließt dringende Lücken in IEC 62304 und 82304 Hier sind Informationen zu dieser Norm. |
| IEC 62366 | Gebrauchstauglichkeit von Medizinprodukten | Gering | |
| MDR | EU-Verordnung für Medizinprodukte. Anforderungen um Medizinprodukte in Europa verkaufen zu können. | Hoch | |
| IVDR | EU-Verordnung für In-Vitro- Diagnostika. Regelt dessen Markt. | Gering | |
| MPDG | Löst das MPG ab. Regelt Inverkehrbringen und Inbetriebnahme von Medizinprodukten. |
Gering | |
| KHZG | Setzt Zukunftsprogramm Krankenhäuser um. Treibt Digitalisierung voran. | Irrelevant (Da keine Vorgaben für Hersteller und DL) | Betrifft nur indirekt z.B. durch mehr Aufträge. |
| ISO / IEC 27001 | IT-Grundschutz | Hoch | Keine spezielle Medizintechnik Norm. Wird aber immer wichtiger und Zertifizierung ist häufig Voraussetzung für Zusammenarbeit mit Hersteller. |
| ISO 9001 | Norm für Qualitätsmanagement | Hoch | „Basis-Norm“; Zertifizierung ist meist Voraussetzung für Zusammenarbeit mit Herstellern. |
