Wird diese Nachricht nicht richtig dargestellt, klicken Sie bitte hier.

Johner Institut Logo
Instituts-Journal 03/21


Guten Morgen ,

noch arbeiten wir an der Auswertung unserer Umfrage zu MDR und IVDR. Aber die Erkenntnisse und mögliche Konsequenzen werden immer deutlicher:

1. Umfrageergebnisse zu MDR und IVDR

a) Erkenntnisse: So geht es nicht weiter

Diesen Weg wählt die EU

Mit den beiden EU-Verordnungen haben wir uns keinen Gefallen getan:

  • Die Hersteller müssen Milliarden aufbringen, vorwiegend für die Dokumentation.
  • Der Nachweis, dass dadurch eine zusätzliche Sicherheit für die Patienten geschaffen wird, bleibt noch zu erbringen (um es vorsichtig zu formulieren).
  • Hingegen ist offensichtlich, dass die Hersteller viele Produkte später oder gar nicht auf den Markt bringen werden. Die Preise werden steigen, Innovationen aber ausbleiben. Die Zahlen sprechen eine klare Sprache.

Von der Idee einer neuen Regulierung bis zur vollständigen Umsetzung von MDR und IVDR wird fast ein Vierteljahrhundert vergangen sein. Am Ende dieses Prozesses werden wir vor zwei regulatorischen Monolithen stehen.

Diesen Weg wählt die USA

Die FDA geht derweil genau den entgegengesetzten Weg: Sie dereguliert, agiert "evidence-based" und modularisiert die Zulassung. Der Direktor des CDRH sprach vor zwei Wochen von "Regulatory Lego". Seine Begründung für diesen Ansatz sollte uns zu denken geben:

  1. Die bisherigen (monolithischen) Verfahren sind völlig ungeeignet, um die Medizinprodukte des 21. Jahrhunderts zu regulieren.
  2. Wenn eine Behörde durch ihre Attitüde und ihre Regulierung den eigenen Standort schwächt, wird dieser den Anschluss verlieren.
Der FDA-Direktor sagte: „China is likely going to be the leader, a world leader of health tech, and we will increasingly rely on their imports.“

Was bedeutet es für Europa, wenn sich bereits die USA fürchten?

Fazit: So dürfen wir nicht weiter machen!

b) Konsequenzen: Das werden wir tun

Jammern hilft wenig. Es ist Zeit zum Handen. Zeit für diese Aufgaben:

  • Eine solide Faktenbasis für künftige Regulierungen schaffen
  • Konzepte für agile und produktspezifische Zulassungsverfahren erarbeiten
  • Indikatoren erheben, mit denen Behörden und Benannte Stellen problematische Produkte und Firmen früh erkennen sowie Kontrolle und Regulierung darauf fokussieren können
  • Systeme und Standards etablieren, um die Zulassung durch Digitalisierung zu beschleunigen. Damit meinen wir keine PDF-Dokumente, sondern die Etablierung von Interoperabilitätsstandards und organisationsübergreifenden Prozessen und Werkzeugen.

Genau diese Aufgaben werden wir am Johner Institut künftig noch stärker angehen. Damit möchten wir unseren Beitrag für eine bessere Regulierung sowie höhere Sicherheit und Wirksamkeit von Medizinprodukten leisten.

Wir suchen deshalb neue Kollegen, die uns bei der Erarbeitung und Vermittlung des notwendigen Wissens unterstützen. Hier erfahren Sie, wen wir suchen:

Helfen Sie uns dabei, diese Personen zu finden?

2. Cybersecurity und Datenschutz

Circa 50 Meldungen über Schwachstellen bei Softwareprodukten publiziert das NIST (National Institut for Standards and Technology) – pro Tag!

Damit kann man kaum Schritt halten. Und auch den regulatorischen Änderungen im Bereich IT-Sicherheit und Datenschutz lässt sich nur schwer folgen:

a) 180°-Wende beim BfArM? Wichtig für DiGA-Hersteller!

Bisher hatte die Behörde die folgende Meinung vertreten (s. DiGA-Leitfaden):

"Dienstleister aus den USA, auch solche mit Niederlassung in der EU, aber einem Mutterkonzern in den USA, dürfen aufgrund des EuGH-Urteils und den Vorgaben der DiGAV nicht für die Verarbeitung von personenbezogenen Daten herangezogen werden."

In einem Schreiben vom 28.01. heißt es nun:

"Dienstleister (z.B. Betreiber von Rechenzentren) aus den USA, mit (selbständiger) Niederlassung in der EU, aber einem Mutterkonzern in den USA, dürfen aufgrund des EuGH-Urteils und den Vorgaben der DiGAV nur unter bestimmten Voraussetzungen für die Verarbeitung von personenbezogenen Daten herangezogen werden."

Das ist eine kleine, aber wesentliche Änderung, die die Türe doch ein wenig öffnet und es Herstellern erlaubt, mit Cloud-Systemen von US-Anbietern zu arbeiten.

b) Veröffentlichungen des BSI: Der Stand der Technik

Im Dezember 2020 veröffentlichte das BSI zwei Dokumente:

  1. Eine aktuelle Marktanalyse und IT-Sicherheitsbetrachtung. Sie trägt im Titel bereits ihren Fokus: eCare – Digitalisierung in der Pflege. Die Ergebnisse sind niederschmetternd.
  2. Das zweite Dokument heißt Cyber-Sicherheitsbetrachtung vernetzter Medizinprodukte.

Beide Publikationen sind für alle Hersteller vernetzter Medizinprodukte interessant, weil sie den Stand der Technik skizzieren und bei der Post-Market Surveillance berücksichtigt werden sollten.

Im neuen Kapitel 3.a dieses Artikels zur IT-Sicherheit im Gesundheitswesen habe ich für Sie die beiden Dokumente, insgesamt über 120 Seiten, zusammengefasst. Das spart Ihnen Leseaufwand.

c) IEC 60601-4-5 jetzt verfügbar

Im Januar veröffentlichte das IEC den Technical Report IEC 60601-4-5 veröffentlicht. Er trägt den Titel "Medical electrical equipment - Part 4-5: Guidance and interpretation - Safety-related technical security specifications".

Wir hatten bereits über die Entwicklung der Norm berichtet und Ihnen diese in einem Artikel vorgestellt. Jetzt haben wir diesen Beitrag aktualisiert.

d) FDA: IT-Schwachstellen an Patienten kommunizieren

Bereits im Oktober 2020 hat die FDA einen Vorschlag unterbreitet mit dem Titel "Communicating Cybersecurity Vulnerabilities to Patients: Considerations for a Framework". Die Behörde freut sich auf Feedback.

Beim Thema Kommunikation von Sicherheitslücken empfehle ich Ihnen auch den "Leitfaden zur Nutzung des MDS2", den Sie auf der Webseite des BSI bzw. der Allianz für Cybersicherheit herunterladen können. 

Weil es so viele Aktualisierungen gibt, wollten wir Ihnen nicht auch noch einen neuen Fachartikel zumuten. Aber passend zum Thema haben wir eine neue Episode unseres Podcasts veröffentlicht. Darin gibt ein Hersteller Anregungen, wie er durch eine systematische Verbesserung der IT-Sicherheit Marktvorteile erreicht.

Herzliche Grüße

Christian Johner


Die nächsten Seminare und Veranstaltungen 

Derzeit finden alle Seminare online statt.



Aktualisierungen

Jede Woche aktualisieren wir Artikel. Dieses Mal besonders beachtenswert:

  • Privacy Shield-Abkommen: Die neue Vorgabe des BfArMs ergänzt
  • DiGAV: Hinweis auf die neue Vorgabe des BfArMs ergänzt
  • IEC 60601-4-5: Artikel aktualisiert, Veröffentlichung erwähnt
  • IT-Sicherheit im Gesundheitswesen: Zusammenfassung der BSI-Publikation "e-Care" und "Cyber-Sicherheitsbetrachtung vernetzter Medizinprodukte" ergänzt
  • CVSS (Common Vulnerability Scoring System): Definitionen eingefügt
  • Jobs: Merantix sucht Regulatory Affairs Experten/Expertin
  • Unsere Job-Angebote: Dass wir auch suchen, wissen Sie ja von oben.


Johner Institut GmbH
Prof. Dr. Christian Johner

Reichenaustr. 1
78467 Konstanz
Deutschland

+49 (0) 7531 94500 20
info@johner-institut.de
Link zur Webseite
Geschäftsführer: Prof. Dr. Christian Johner
Register: HRB: 710768 - Amtsgericht Freiburg
Tax ID: DE292335387

You can subscribe here to the English version of this journal.

Wenn Sie diese E-Mail (an: unknown@noemail.com) nicht mehr empfangen möchten, können Sie sie hier abbestellen.