Organisatoren und herausragende Referenten des Symposiums
VDE-Symposium – IT-Vernetzung von Medizinsystemen
Die informationstechnische Vernetzung medizinischer Geräte und Systeme nimmt zu. Die Inhalte der in der EU harmonisierten internationalen Normen zum Risikomanagement (ISO 14971), zur Gebrauchsergonomie („Usability“ – IEC 62366) und Software (IEC 62304) wirken sich künftig bei der Systemintergration von Medizinprodukten (IEC 80001) auch für Betreiber aus. Diese beiden Einflussfaktoren führen zu weitreichenden Veränderungen in den Rahmenbedingungen von Krankenhäusern: War bislang der Hersteller eines Einzelgerätes im Gesamtsystem von Medizintechnik und IT für den störungsfreien Betrieb und die Interoperabilität im Prozess verantwortlich, so wird künftig der Betreiber des Gesamtsystems in die Pflicht genommen – also der Leistungserbringer. In dieser Ausgabe lesen Sie mehrere Artikel zu dieser aktuellen Herausforderung; der vorliegende Artikel fasst eine zweisprachige Veranstaltung des VDE-Institutes, Offenbach, und der Beratungsfirma Prosystem, Hamburg, Ende März in Frankfurt/Main zusammen.
Dies ist die Historie vernetzter Medizingeräte: „In Krankenhäusern existierten zwei physikalisch getrennte Netzwerk-Welten: Medizingeräte-Netzwerke etwa für Monitoring und Radiologie sowie Krankenhaus IT-Netzwerke insbesondere für die Verwaltung“, so Gerhard Weller von Siemens. Seine Liste charakteristischer Kriterien liest sich wie folgt: „Medizingeräte-Netzwerke wurden von Medizingeräteherstellern spezifiziert, geliefert, gewartet; sie waren den Qualitätsmaßnahmen der Medizingerätehersteller unterworfen; zur Verbindung der Medizingeräte ausgelegt, technisch unkompliziert; nicht für andere Geräte oder Netzwerke zugänglich; keinen ungeplanten Veränderungen ausgesetzt; sicher und zuverlässig im Betrieb; preiswert in Anschaffung und Betrieb; langjährig beschaffbar sowie beim Betreiber in der fachkundigen Verantwortung der Medizintechnik“. Heute, so der Experte weiter, verlieren physikalisch getrennte Medizingeräte-Netzwerke an Bedeutung; die Geräte werden zunehmend über allgemeine IT vernetzt. Patientenakten, KIS und das Postulat orts- und zeitunabhängiger Verfügbarkeit von Patienteninformationen fördern dies. Anwenderanforderungen, regulierte Medizingeräte und nicht regulierte IT-Geräte – Produktgruppen mit unterschiedlichen Sicherheitskonzepten – müssen unter einem Dach zusammengeführt werden. Die Zuständigkeit für die Vernetzung liegt bei der EDV-Abteilung – wer verantwortet die Medizingeräte?
Hin zur Eigenverantwortung
Betreiber von Krankenhäusern, so der Tenor der beiden Veranstaltungstage, tragen nach Umsetzung der Richtlinie 2007/47/EG im nächsten Jahr die Verantwortung für Planung, Verifikation, Validierung, Prüfung, Zertifizierung, Betrieb, Dokumentation und kontinuierliche Überprüfung ihrer Netzwerke, in die sie eigenständig Medizinprodukte einbinden. Dafür müssen sie entsprechend qualifiziertes Personal und geeignete Qualitäts- und Risikomanagementsysteme vorhalten. Krankenhausverantwortliche sollten deshalb verstärkt ihre Position in den Normierungsgremien einbringen; zum Zweck eines Dialogs mit Herstellern und Normierungsexperten hatten die Veranstalter international renommierte Referenten nach Frankfurt geholt. Hersteller wie Dräger, Medtronic, Philips und Siemens waren ebenso vertreten wie Normierungsexperten, Benannte Stellen, Berater sowie Leistungserbringer aus Erlangen und Heidelberg.
Zur künftigen Norm IEC 80001-1
„Werden Medizingeräte in IT-Netzwerke eingebunden, müssen die Sicherheitsanforderungen, die der Gesetzgeber für Medizinprodukte erlassen hat, auf den ‚zuverlässigen Betrieb im Netz’ übertragen werden“, beschrieb Michael Bothe vom VDE-Institut die Problemstellung. „Werden in einem System Produkte mehrerer Hersteller verwendet [was üblicherweise der Fall ist], so bietet die neue Norm IEC 80001 einen Risikomanagement-Ansatz, um die Zusammenarbeit der Parteien, die an der Integration der Geräte in dieses Netzwerk beteiligt sind, unter Federführung des Betreibers sicherheits- und vertragskonform zu regeln“. Die Norm enthält Vorschläge für Zuständigkeitsvereinbarungen, mit denen Inbetriebnahme, Anwendung, Neukonfigurierung und Außerbetriebnahme von IT-Netzwerken über den gesamten Lebenszyklus hinweg zu regeln sind. Der Schwerpunkt der IEC 80001-1, so Oliver Christ von Prosystem, „liegt auf Sicherheit, Leistungsfähigkeit, Datenschutz und Interoperabilität“; mit der Veröffentlichung als Norm ist Ende 2010 zu rechnen.
Krankenhäuser in den Dialog integrieren
In einem Panel, das der IT-Anbieter Oracle sponserte, diskutierten Expertenanwender aus Heidelberg und Mannheim, Vertreter von IT- und Medizintechnikunternehmen sowie aus dem Bereich Regulierung und Berater darüber, welche Konsequenzen sich aus den veränderten Rahmenbedingungen ergeben und wie sich Leistungserbringer heute auf die Veränderungen vorbereiten können. So beschrieb CIO Prof. Dr. Björn Bergh, wie das Heidelberger Uniklinikum eine Trennung von Medizintechnik- und IT-Netz realisiert, um Schwierigkeiten etwa bei der Datensicherheit zu vermeiden – ist also der Weg zurück in die getrennten Welten der richtige Ansatz?
Weitere Veranstaltungen zur Wissensvermittlung und Stärkung des Dialogs sind laut Bothe und Christ in Vorbereitung.
Lunch Panel: Expertenanwender diskutierten mit Vertretern von IT-, Medizintechnik- und Beratungsunternehmen sowie Regulierungseinrichtungen (Fotos: MR)
Werden Betreiber zu Herstellern oder erwirbt man bei Ikea komplette Möbel?
Sowohl Anbieter als auch Betreiber wollen Medizinprodukte günstig vernetzen. Viele Anbieter werben mit einer kostengünstigen Anbindung ihrer Produkte an das vorhandene IT-Netz. Betreiber und deren IT-Leiter sehen aufgrund der in den Medizinprodukten implementierten Netzwerkstandards keine Probleme.
Dabei wird die Tatsache verdrängt, dass man, wie im schwedischen Möbelhaus, nur einen Bausatz erwirbt und die Komponenten eigenverantwortlich zusammenstellt und betreibt. Zwar muss der Anbieter nach wie vor dafür gerade stehen, dass grundlegenden Sicherheitsanforderungen seiner Produkte erfüllt sind. Für die Funktion und die Sicherheit des Gesamtsystems ist er aber nicht mehr verantwortlich.
Hersteller des Gesamtsystems ist eindeutig der Betreiber.
Eine Lösung verspricht nun die IEC 80001. Jedes Krankenhaus soll für seine Installationen eine Risikobetrachtung durchführen. Dies erscheint notwendig, da aufgrund fehlender Standards keine IT-Installation der anderen gleicht. Konkrete Umsetzungsvorschläge sind aus der IEC 80001 nicht zu erwarten. Das Werkzeuge und Methoden für die Risikobetrachtung von Netzwerkinstallationen kaum zu finden sind wird außer Acht gelassen. Dafür wird auf Strukturen in Krankenhäusern gebaut, die dort nur in Einzelfällen zu finden sind (Stichwort: Netzwerkintegrator und Risikoverantwortlicher für Netzwerke).
IT Abteilungen die strukturiert arbeiten und ihre Systeme und Tätigkeiten gut dokumentieren werden mit IKEA Installationen wenig Probleme haben. Alle anderen sollten auf eine, durch den Hersteller validierte, von der normalen IT-Welt getrennte Vernetzung setzen.