Einfach erklärt: Die verschiedenen Aspekte von Software in der Medizintechnik

01/03/2022
Thorsten Stumpf, Expert Medical Software, Verification & Regulatory Affairs bei Metecon, legt knapp und präzise dar, welche Unterscheidungen es in puncto Software im medizintechnischen Kontext zu machen gilt und warum die regulatorische Würdigung von Software im und als Produkt unabdingbar ist.

Die Digitalisierung ist eine der größten Herausforderungen im Gesundheitswesen – und wird es in der nächsten Zeit auch bleiben. Im Kontext der Pandemie wurde uns das deutlich vor Augen geführt: die ungelöste Aufgabe der Erfassung, Verarbeitung und Bereitstellung von Daten mittels Software, die bis heute gescheiterte und dabei immanent wichtige Vernetzung relevanter Behörden, kurz: die nicht stattfindende digitale Transformation des Gesundheitswesens, die viele Bürger angstvoll in die Zukunft oder zumindest auf den nächsten Herbst blicken lässt.

Digitalisierung in der Gesundheitspolitik hat dabei viele verschiedene Aspekte, u. a. die damit einhergehenden, neuen Anforderungen an Medizinprodukte und Medizinproduktehersteller: So müssen nicht nur das Medizinprodukt selbst, sondern auch Sie als Hersteller in immer umfangreicherem Maß Daten verarbeiten und zur Verfügung stellen. Das hat zur Folge, dass Software – also Software im und als Produkt sowie Software, die beim Hersteller für regulatorische Prozesse im Einsatz ist – zunehmend in den regulatorischen Fokus gerückt wurde und wird. Das ist wichtig und richtig. Doch lassen Sie uns für die weiterführende Betrachtung zwischen Software in ihrem Nutzungskontext unterschieden:

  1. Software zur Abbildung Qualitätsmanagement-relevanter Prozesse,
  2. Software als Medizinprodukt bzw. Software als Teil eines Medizinprodukts.

Software zur Abbildung Qualitätsmanagement-relevanter Prozesse


Software ist unverzichtbar, sowohl bei der Überwachung und Rückverfolgbarkeit des Produkts als auch im Prozessmanagement innerhalb des Qualitätsmanagementsystems (QMS). Warum? Ganz einfach: Weil die Datenverarbeitung andernfalls nicht mehr in vertretbarem Aufwand abbildbar wäre. Datenverarbeitung wird immer komplexer; Ursache dafür ist zum einen die zunehmende Digitalisierung von zuvor analogen Produktakten, zum anderen gibt es immer mehr zu verwaltende regulatorische Daten über die verschiedenen Lebenszyklen der Produkte, wie bspw. UDI-Datenbanken, erweitertes Berichtswesen und Trendanalysen.

Diese zunehmende Digitalisierung innerhalb der Ausgestaltung des QMS wurde entsprechend in der EN ISO 13485:2016 gewürdigt. So müssen nun Computersysteme im Kontext des Qualitätsmanagementsystems vor der ersten Verwendung für den entsprechenden vorgesehenen Nutzungskontext validiert sein. Dies setzt neben der eigentlichen Kompetenz der Durchführung einer Validierung auch ein IT-Management beim Hersteller voraus, das folgende Aspekte gewährleisten kann:

  1. die vollständige Identifikation der Software mit genauem Verwendungszweck und
  2. eine Versionskontrolle (einheitliche Versionen und Updates).

Aus der bisherigen Praxis im QMS können Sie die Anforderungen an die Validierung schnell vor sehr große Herausforderungen stellen: Durch die gewohnte Praxis fällt es meist schon schwer, allein die in Verwendung befindlichen Computersysteme in einem systematischen Ansatz zu erfassen und eine anforderungskonforme Dokumentation zu erstellen. Welches die bisher bewährtesten Vorgehensmodelle hier sind, werden wir in einem zukünftigen Artikel beleuchten.

Software als Medizinprodukt bzw. Software als Teil eines Medizinprodukts


Um den Marktanforderungen und Nutzungsgewohnheiten der Anwender in besserem Maße gerecht zu werden, wird im Medizinproduktebereich die Bedeutung der Software im und als Produkt immer größer. Neben der immer komplexer werdenden Umsetzung der Benutzerführung und Funktionalitäten hinsichtlich der Datenauswertung nimmt auch die Vernetzung der Produkte immer weiter zu.

Dementsprechend war es folgerichtig, Software als Produkt sowie die erweiterte Risikobetrachtung von vernetzten Produkten (Informationssicherheit) zu würdigen - sowohl in der Verordnung 2017/745 der Europäischen Union in den Grundlegenden Sicherheits- und Leistungsanforderungen als auch in der Klassifizierung. Andere Länder wie USA oder China haben schon ähnliche oder auch weitergehende regulatorische Anforderungen etabliert oder arbeiten gerade daran, diese im jeweiligen gesetzlichen Rahmen umzusetzen.

IEC TR 60601-4-5: Endlich Fokus auf die Informationssicherheit


Um den regulatorischen Anforderungen hinsichtlich Software gerecht zu werden, wurden bislang die einschlägigen Normen EN 62304, EN 82304-1 bzw. EN 60601-1 herangezogen. Für die regulatorischen geforderten weiterführenden Betrachtungen hinsichtlich der Vernetzung des Produkts ist der bisherige normative Rahmen jedoch nicht mehr hinreichend. Natürlich konnte man sich bisher an den internationalen Veröffentlichungen zu Vorgehensmodellen in der Informationssicherheit bedienen, allerdings musste hier immer die individuelle Auslegung dargelegt werden. Mit neueren Normen wie der IEC TR 60601-4-5 wird die Informationssicherheit im Medizinproduktekontext betrachtet, so dass ein konkreter Bezug zu den regulatorischen Anforderungen gezogen werden kann.

Die Darstellung des Informationssicherheitskontext des Medizinprodukts durch die vorgeschlagenen Informationssicherheitsklassen in der IEC TR 60601-1-4-5 und die daraus verbesserte Kommunikation mit z. B. den Betreibern oder auch Behörden bzw. Benannten Stellen ist ein wichtiger Baustein im Digitalisierungskonzept vernetzter Produkte. Mit der zunehmenden Bedeutung von Medizinprodukten in der digitalen Infrastruktur müssen Sie als Hersteller aber auch für den Ernstfall gerüstet sein. Deshalb sollte die Informationssicherheit als wichtiger Teil der PMS-Aktivitäten mitberücksichtigt werden. Und auch klare Strategien für erfolgreiche Angriffe auf die eigenen Medizinprodukte im Feld müssen im Unternehmen abgebildet sein. Diese Themen werden wir in zukünftigen Artikeln weiter beleuchten.

Was heute aber sicher schon deutlich wurde ist, wie vielschichtig das Thema ist. Für eine erfolgreiche und effiziente Digitalisierung im Gesundheitssystem ist eine regulatorische Würdigung von Software im und als Produkt unabdingbar. Und als regulatorisch gut aufgestellter Medizinproduktehersteller tragen Sie dazu bei, dass unser Gesundheitssystem zukunftsfest wird und für weitere große Herausforderungen wie z. B. selbstlernende Systeme gerüstet ist.

Wir möchten dazu unseren Beitrag leisten. Sprechen Sie uns an!

Herzliche Grüße

Thorsten Stumpf
Expert Medical Software,
Verification & Regulatory Affairs

T: +49 621 123469-27
thorsten.stumpf@metecon.de