Risikomanagement für medizinische IT-Netzwerke
| |||
Bereich | Gesundheitswesen | ||
Titel | Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten – Teil 1: Aufgaben, Verantwortlichkeiten und Aktivitäten (IEC 80001-1:2010) | ||
Letzte Ausgabe | November 2011 |
Die Norm Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten (EN 80001-1:2011), ist hauptsächlich für die Betreiber von medizinischen IT-Netzwerken (Krankenhäuser, Pflegeeinrichtungen sowie Arztpraxen etc.) gedacht. Diese Norm ist, wie alle Normen, nicht verpflichtend und hat nur Empfehlungscharakter. Die Empfehlungen sollten jedoch umgesetzt werden, um möglichen Haftungsansprüchen gegen den Betreiber des medizinischen IT-Netzwerkes (Krankenhausträger, Praxisbetreiber) entgegenzuwirken. Die Umsetzung sowie deren Dokumentation ist nicht formgebunden. Ein unabhängiges Auditing empfiehlt sich.
Aktuell gibt es in Deutschland keine gesetzliche Pflicht zur Anwendung des Risikomanagements. Seit der Publikation der Norm in 2011 ist keine neue Regelung zum Gesetz geworden. Daran ändert auch die Datenschutz-Grundverordnung (DSGVO) nichts, die lediglich den Datenschutz behandelt und damit die Datensicherheit und das Risikomanagement nur mittelbar erfasst.
Die Norm ist in Deutschland als DIN-Norm DIN EN 80001-1 veröffentlicht. Die internationale Norm ist die IEC 80001-1:2010 „Application of risk management for IT-networks incorporating medical devices“.
Definitionen
- Risikomanagement umfasst sämtliche Maßnahmen zur systematischen Erkennung, Analyse, Bewertung, Überwachung und Kontrolle von Risiken.
- Medizinische IT-Netzwerke sind IT-Netzwerke, in die mindestens ein Medizinprodukt eingebunden ist. Medizinprodukte sind definiert im Medizinproduktegesetz (MPG).
- Medizinprodukte sind alle einzeln oder miteinander verbunden verwendeten Instrumente, Apparate, Vorrichtungen, Software, Stoffe und Zubereitungen aus Stoffen oder andere Gegenstände einschließlich der vom Hersteller speziell zur Anwendung für diagnostische oder therapeutische Zwecke bestimmten und für ein einwandfreies Funktionieren des Medizinproduktes eingesetzten Software, die vom Hersteller zur Anwendung für Menschen mittels ihrer Funktionen zum Zwecke
- der Erkennung, Verhütung, Überwachung, Behandlung oder Linderung von Krankheiten,
- der Erkennung, Überwachung, Behandlung, Linderung oder Kompensierung von Verletzungen oder Behinderungen,
- der Untersuchung, der Ersetzung oder der Veränderung des anatomischen Aufbaus oder eines physiologischen Vorgangs oder
- der Empfängnisregelung
zu dienen bestimmt sind und deren bestimmungsgemäße Hauptwirkung im oder am menschlichen Körper weder durch pharmakologisch oder immunologisch wirkende Mittel noch durch Metabolismus erreicht wird, deren Wirkungsweise aber durch solche Mittel unterstützt werden kann.
Im Europäischen Raum ist der Begriff Medizinprodukt in der Verordnung (EU) 2017/745 über Medizinprodukte definiert.
Notwendigkeit
IT-Netzwerke erlangen nach und nach eine immer höhere Bedeutung in Krankenhäusern, zum Beispiel für die Dokumentation verschiedener Behandlungen, für die Speicherung und Übertragung von Bildern und medizinischen Daten. Durch den Einsatz solcher Netzwerke kann die Behandlungsqualität verbessert und die Patientensicherheit erhöht werden.
Aufgrund der Vielfältigkeit an Medizinprodukten existieren damit aber auch verschiedene Standards, Normen und Konfigurationen beim Betrieb dieser Medizinprodukte. Hier könnte es zu Störungen und Beeinträchtigungen des medizinischen IT-Netzwerkes kommen, wenn z. B. die neu einzubindenden Medizinprodukte nicht im vorab auf ihre Tauglichkeit für das medizinische IT-Netzwerk geprüft worden sind.
Um medizinische IT-Netzwerke möglichst ohne Ausfälle zu betreiben, bedarf es eines Risikomanagements, welches mögliche Netzwerkausfälle frühzeitig erkennt und, falls eine Störung auftritt, festlegt, wie diese schnellstmöglich zu beseitigen ist.
Nach aktuellen IT-Zwischenfällen (2016: Locky, 2017: WannaCry) infolge derer Daten in klinischen IT-Netzwerke derart beschädigt wurden, dass wichtige Funktionen und auch vernetzte Medizingeräte nicht ausreichend verfügbar waren, ist die Bedeutung des IT-Risikomanagement deutlicher geworden.
Verantwortlichkeiten
Im nahen Bereich des Krankenhauses ist die IT-Abteilung (Informationstechnik), die Medizintechnik, die Haustechnik, die Abteilung Einkauf und/oder der Risikomanager verantwortlich für das Risikomanagement. Externe Partner sind die Medizinprodukte-Hersteller und mögliche Dienstleister. Diese Zusammenarbeit wird durch eine Verantwortlichkeitsvereinbarung (siehe DIN EN 80001-1:2011) geregelt.[1]
Die Gesamtverantwortung für das Risikomanagement liegt beim Krankenhausträger als in der Norm genannte „Verantwortliche Organisation“.
Schutzziele laut Norm EN 80001-1:2011
Schutzziele sind:
- Sicherheit: Sicherheit von Patienten, Anwendern und Dritten.
- Daten und Systemsicherheit: Sicherheit von Daten und datenverarbeitenden Systemen
- Effektivität: Effektivität von diversen Abläufen, zum Beispiel einer Behandlungsmaßnahme, Informationsweitergaben
Damit sollen mögliche Gefährdungen minimiert oder ganz ausgeschlossen werden.
Das Schutzziel Sicherheit wird auf Situationen analysiert, die im Hinblick auf die Patientensicherheit Gefährdungssituationen für ein Medizinprodukt darstellen. Zum Beispiel könnten dies defekte Hard- und Software des Medizinproduktes sein.
Das Schutzziel Daten- und Systemsicherheit wird auf Situationen analysiert, in welchen es um die Sicherheit von Daten geht, wie der Verfügbarkeit und Vertraulichkeit dieser Daten. Zum Beispiel könnten dies Patientendaten aus dem Krankenhausinformationssystem (KIS) betreffen oder auch Schäden durch Manipulation der Daten, wie sie durch Hacker verursacht werden können.
Das Schutzziel Effektivität analysiert die Ergebnisse, die erreicht wurden in Hinblick auf die Durchführung von z. B. einer Gesundheitsmaßnahme oder klinischen Abläufen.
Maßnahmen für die Einführung eines Risikomanagements
Gemäß der Norm sind insbesondere folgende Maßnahmen für die Einführung eines Risikomanagements von wesentlicher Bedeutung:
- Festlegung der Verantwortlichkeiten
- Ernennung eines Risikomanagers
- Einführung eines Risikomanagement-Prozesses
Der Prozess des Risikomanagements ist für alle drei oben genannten Schutzziele durchzuführen.
Ergänzungsnormen für das Risikomanagement IEC/TR 80001-2-1
- Technical Report IEC/TR 80001 Part-2-1: 2012 – Step by step risk management of medical IT-networks; Practical applications and examples
- Technical Report IEC/TR 80001 Part-2-2: 2012 – Guidance for the communication of medical device security needs, risks and controls
- Technical Report IEC/TR 80001 Part-2-3: 2012 – Guidance for wireless networks
- Technical Report IEC/TR 80001 Part-2-4: 2012 – General implementation guidance for healthcare delivery organizations
- Technical Report IEC/TR 80001 Part-2-5: 2014 – Guidance for distributed alarm systems
- Technical Report ISO/TR 80001 Part 2-6: 2014 – Guidance for responsibility agreements
- Technical Report ISO/TR 80001 Part-2-7: 2015 – Guidance for healthcare delivery organizations (HDOs) on how to self-assess their conformance with IEC 80001-1
- Technical Report IEC/TR 80001 Part-2-8: 2016 – Guidance on standards for establishing the security capabilities identified in IEC 80001-2-2
- Technical Report IEC/TR 80001 Part-2-9: 2017 – Guidance for use of security assurance cases to demonstrate confidence in Part-2-2 security capabilities
Wichtige Gesetze und Begleitnormen
- Medizinproduktegesetz (MPG)
- Medizinprodukte-Betreiberverordnung (MPBetreibV)
- EN 60601-1 „Medizinische elektrische Geräte“
- EN 62304 „Medizingeräte-Software-Software-Lebenszyklus-Prozesse“
- EN 61907 „Zuverlässigkeit von Kommunikationsnetzen“
- EN 62366 „Medizinprodukte-Anwendung der Gebrauchstauglichkeit auf Medizinprodukte“
- EN ISO 14971 „Anwendung des Risikomanagements auf Medizinprodukte“
- ISO/IEC 20000
- ISO/IEC 27001
- ISO 13485
10-Punkte-Plan
Auf Basis des Technical Report TR 719 „Step by Step risk Management of medical IT-Networks“ wird die Risikoanalyse durchgeführt. Dies geschieht im Rahmen eines 10-Punkte-Planes:[2]
Dieser ist in 5 Abschnitte eingeteilt:
- Risiken erfassen
- Qualitative Risikoanalyse
- Quantitative Risikoanalyse
- Risikoantworten planen
- Risiken beobachten und kontrollieren
Bevor man mit dem „10-Punkte-Plan“ beginnt, ist es sinnvoll, eine IST-Analyse sämtlicher Netzwerke und Medizinprodukte, die an ein solches Netzwerk angeschlossen werden können, durchzuführen. Hierbei wird in der DKG-Broschüre empfohlen, eine Bestandsliste zu erstellen und einen Netzplan der Netzwerke zu erarbeiten.[3] Diese Bestandsliste ist ein wichtiges Werkzeug für den Risikomanager und wird in der Risikomanagement-Akte gespeichert.
Risikomanagement-Akte
In der Risikomanagement-Akte werden die Ergebnisse aller Analysen, notwendige Dokumente, Aufzeichnungen, Dateien usw. gespeichert und verwaltet. Dies geschieht durch den Risikomanager, welcher auch gegenüber der verantwortlichen Leitung über sämtliche Vorgänge und Änderungen eine Berichtspflicht hat.
Gesetzliche Regelung
Das Klinische Risikomanagement soll laut einem Beschluss des Gemeinsamen Bundesausschusses vom 23. Januar 2014, (gemäß § 137 Abs. 1 Satz 3 Nr. 1 SGB V über die grundsätzlichen Anforderungen an ein einrichtungsinternes Qualitätsmanagement für nach § 108 SGB V zugelassene Krankenhäuser in der Fassung vom 21. Juni 2005 (BAnz Nr. 242, S. 16 896)), bald verpflichtend für Krankenhäuser werden.[4][5][6]
Gehört ein Krankenhaus zur kritischen Infrastruktur (mehr als 30.000 stationäre Fälle), so muss es gemäß B3S spezifiziert sein. Dieser branchenspezifische Sicherheitsstandard erfordert eine Risikomanagementmethode gemäß DIN EN 80001-1.[7]
Weblinks
- Beschluss des Gemeinsamen Bundesausschusses
- Chancen und Potentiale EN 80001-1:2011 von Armin Gärtner
Literatur
DKG-Broschüre Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten (DIN EN 80001-1:2011). 1. Auflage. Deutsche Krankenhaus Verlagsgesellschaft mbH, Düsseldorf 2011, ISBN 978-3-942734-19-6, S. 81.
Einzelnachweise
- ↑ dkgev.de
- ↑ dkgev.de
- ↑ dkgev.de
- ↑ http://www.g-ba.de/downloads/39-261-1919/2014-01-23_KQM-RL_137-1d.pdf PDF-Datei des Gemeinsamen Bundesausschusses, abgerufen am 25. März 2014.
- ↑ https://www.g-ba.de/ Webseite des Gemeinsamen Bundesausschusses, abgerufen am 25. Februar 2014.
- ↑ johner-institut.de
- ↑ Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus. In: https://www.dkgev.de/themen/digitalisierung-daten/informationssicherheit-und-technischer-datenschutz/informationssicherheit-im-krankenhaus/. Deutsche Krankenhausgesellschaft e. V. 2021, abgerufen am 15. Juni 2021.