|
noch arbeiten wir an der Auswertung unserer Umfrage zu MDR und IVDR. Aber die Erkenntnisse und mögliche Konsequenzen werden immer deutlicher: 1. Umfrageergebnisse zu MDR und IVDRa) Erkenntnisse: So geht es nicht weiterDiesen Weg wählt die EUMit den beiden EU-Verordnungen haben wir uns keinen Gefallen getan: - Die Hersteller müssen Milliarden aufbringen, vorwiegend für die Dokumentation.
- Der Nachweis, dass dadurch eine zusätzliche Sicherheit für die Patienten geschaffen wird, bleibt noch zu erbringen (um es vorsichtig zu formulieren).
- Hingegen ist offensichtlich, dass die Hersteller viele Produkte später oder gar nicht auf den Markt bringen werden. Die Preise werden steigen, Innovationen aber ausbleiben. Die Zahlen sprechen eine klare Sprache.
Von der Idee einer neuen Regulierung bis zur vollständigen Umsetzung von MDR und IVDR wird fast ein Vierteljahrhundert vergangen sein. Am Ende dieses Prozesses werden wir vor zwei regulatorischen Monolithen stehen. Diesen Weg wählt die USADie FDA geht derweil genau den entgegengesetzten Weg: Sie dereguliert, agiert "evidence-based" und modularisiert die Zulassung. Der Direktor des CDRH sprach vor zwei Wochen von "Regulatory Lego". Seine Begründung für diesen Ansatz sollte uns zu denken geben: - Die bisherigen (monolithischen) Verfahren sind völlig ungeeignet, um die Medizinprodukte des 21. Jahrhunderts zu regulieren.
- Wenn eine Behörde durch ihre Attitüde und ihre Regulierung den eigenen Standort schwächt, wird dieser den Anschluss verlieren.
Der FDA-Direktor sagte: „China is likely going to be the leader, a world leader of health tech, and we will increasingly rely on their imports.“
Was bedeutet es für Europa, wenn sich bereits die USA fürchten? Fazit: So dürfen wir nicht weiter machen! b) Konsequenzen: Das werden wir tunJammern hilft wenig. Es ist Zeit zum Handen. Zeit für diese Aufgaben: - Eine solide Faktenbasis für künftige Regulierungen schaffen
- Konzepte für agile und produktspezifische Zulassungsverfahren erarbeiten
- Indikatoren erheben, mit denen Behörden und Benannte Stellen problematische Produkte und Firmen früh erkennen sowie Kontrolle und Regulierung darauf fokussieren können
- Systeme und Standards etablieren, um die Zulassung durch Digitalisierung zu beschleunigen. Damit meinen wir keine PDF-Dokumente, sondern die Etablierung von Interoperabilitätsstandards und organisationsübergreifenden Prozessen und Werkzeugen.
Genau diese Aufgaben werden wir am Johner Institut künftig noch stärker angehen. Damit möchten wir unseren Beitrag für eine bessere Regulierung sowie höhere Sicherheit und Wirksamkeit von Medizinprodukten leisten. Wir suchen deshalb neue Kollegen, die uns bei der Erarbeitung und Vermittlung des notwendigen Wissens unterstützen. Hier erfahren Sie, wen wir suchen: 
Helfen Sie uns dabei, diese Personen zu finden? 2. Cybersecurity und DatenschutzCirca 50 Meldungen über Schwachstellen bei Softwareprodukten publiziert das NIST (National Institut for Standards and Technology) – pro Tag! Damit kann man kaum Schritt halten. Und auch den regulatorischen Änderungen im Bereich IT-Sicherheit und Datenschutz lässt sich nur schwer folgen: a) 180°-Wende beim BfArM? Wichtig für DiGA-Hersteller!Bisher hatte die Behörde die folgende Meinung vertreten (s. DiGA-Leitfaden): "Dienstleister aus den USA, auch solche mit Niederlassung in der EU, aber einem Mutterkonzern in den USA, dürfen aufgrund des EuGH-Urteils und den Vorgaben der DiGAV nicht für die Verarbeitung von personenbezogenen Daten herangezogen werden." In einem Schreiben vom 28.01. heißt es nun: "Dienstleister (z.B. Betreiber von Rechenzentren) aus den USA, mit (selbständiger) Niederlassung in der EU, aber einem Mutterkonzern in den USA, dürfen aufgrund des EuGH-Urteils und den Vorgaben der DiGAV nur unter bestimmten Voraussetzungen für die Verarbeitung von personenbezogenen Daten herangezogen werden." Das ist eine kleine, aber wesentliche Änderung, die die Türe doch ein wenig öffnet und es Herstellern erlaubt, mit Cloud-Systemen von US-Anbietern zu arbeiten. b) Veröffentlichungen des BSI: Der Stand der TechnikIm Dezember 2020 veröffentlichte das BSI zwei Dokumente: - Eine aktuelle Marktanalyse und IT-Sicherheitsbetrachtung. Sie trägt im Titel bereits ihren Fokus: eCare – Digitalisierung in der Pflege. Die Ergebnisse sind niederschmetternd.
- Das zweite Dokument heißt Cyber-Sicherheitsbetrachtung vernetzter Medizinprodukte.
Beide Publikationen sind für alle Hersteller vernetzter Medizinprodukte interessant, weil sie den Stand der Technik skizzieren und bei der Post-Market Surveillance berücksichtigt werden sollten. Im neuen Kapitel 3.a dieses Artikels zur IT-Sicherheit im Gesundheitswesen habe ich für Sie die beiden Dokumente, insgesamt über 120 Seiten, zusammengefasst. Das spart Ihnen Leseaufwand. c) IEC 60601-4-5 jetzt verfügbarIm Januar veröffentlichte das IEC den Technical Report IEC 60601-4-5 veröffentlicht. Er trägt den Titel "Medical electrical equipment - Part 4-5: Guidance and interpretation - Safety-related technical security specifications". Wir hatten bereits über die Entwicklung der Norm berichtet und Ihnen diese in einem Artikel vorgestellt. Jetzt haben wir diesen Beitrag aktualisiert. d) FDA: IT-Schwachstellen an Patienten kommunizierenBereits im Oktober 2020 hat die FDA einen Vorschlag unterbreitet mit dem Titel "Communicating Cybersecurity Vulnerabilities to Patients: Considerations for a Framework". Die Behörde freut sich auf Feedback. Beim Thema Kommunikation von Sicherheitslücken empfehle ich Ihnen auch den "Leitfaden zur Nutzung des MDS2", den Sie auf der Webseite des BSI bzw. der Allianz für Cybersicherheit herunterladen können. Weil es so viele Aktualisierungen gibt, wollten wir Ihnen nicht auch noch einen neuen Fachartikel zumuten. Aber passend zum Thema haben wir eine neue Episode unseres Podcasts veröffentlicht. Darin gibt ein Hersteller Anregungen, wie er durch eine systematische Verbesserung der IT-Sicherheit Marktvorteile erreicht. Herzliche Grüße Christian Johner
|
