Page 106 - index
P. 106
IT-Sicherheit im Krankenhaus Das Ergebnis der Risikoermittlung und das festgestellte Restri- Vorgaben aus der MPBetreibV, ohne dass die Belange der IT-
Praktischer Betrieb von vernetzten
Medizinprodukten
siko muss dem Unternehmer (Krankenhausleitung) zur Über-
Der Betrieb von MP erfordert wieder die Umsetzung der
nahme vorgelegt werden.
In einer Risikoakte werden die Ergebnisse dokumentiert.
Sicherheit dabei zu kurz kommen dürfen.
Ein Risikomanager (Kümmerer) verfolgt das Risiko bis zum
Das Aufspielen von Sicherheitspatchen muss immer in
Erreichen des gesetzten Ziels, anschließend wird im norma-
len PDCA - Zyklus die Wirksamkeit der vorgesehenen Maß-
Freigabe ein patch zu installieren hätte das Erlöschen der
nahmen überwacht. Interne Audits sind hier ein praktikables Verbindung mit der Freigabe des Herstellers erfolgen. Ohne
Werkzeug zur Wirksamkeitskontrolle. Zulassung des MP zur Folge. Die gemeinsame Installation
mit anderen Programmen erfordert ebenfalls die Freigabe des
Beschaffungsprozess Herstellers, hier ist immer ein Blick in die Gebrauchsanwei-
Im praktischen Beschaffungsprozess sollte vom Einkauf initiiert sung des Herstellers vor dem Kauf von Nutzen.
eine erste Risikoabschätzung unabhängig vom ausgewählten Instandhaltungsmaßnahmen von MP sind in den §5 und
Produkt durchgeführt werden, hieraus können sich wertvolle 7 MPBetreibV geregelt. Hier werden auch die Anforderun-
Hinweise für die Leistungsbeschreibung der notwendigen gen an diejenigen definiert, die Instandhaltung ausführen
Anforderungen ergeben. dürfen.
Nach dem Abschluss des Kaufvertrages vor der Lieferung
erfolgt dann die abschließende Risikobewertung. Zusammenfassung
Die Installationsvoraussetzungen sind in allen Themenbe- Die Integration vernetzter Medizinprodukte in den moder-
reichen zu erfüllen, dazu gehören auch die infrastrukturellen nen Krankenhausbetrieb wird zunehmend notwendig. Pati-
Gegebenheiten (Strom, Klima, IT-Vernetzung, etc.). entensicherheit und IT-Sicherheit müssen dabei immer im
Vor der Beschaffung ist genau zu prüfen welche unterschied- notwendigen Umfang berücksichtigt werden.
lichen Auswirkungen in der Folge notwendig werden, beispiels- Jede Integration erfordert eine Risikobewertung und hat
weise wenn das augenscheinlich vergleichbare Gerät als Medi- einen Anwendungsprozess zur Folge.
zinprodukt bzw. als Zubehör zum Medizinprodukt angeboten Die gesetzlichen Grundlagen insbesondere des MP-
wird (Beispiel: Befundungsbildschirm, etc.). Rechtes sind komplex, das erfordert kollegiale Zusammenar-
Hier sind insbesondere Kombinationsmöglichkeiten und beit aller Beteiligter in den Krankenhäusern.
Einweisungspflichten zu nennen.
Dokumentation bei der Lieferung
Bei der Lieferung und Installation bietet sich die Dokumenta-
tion aller Kenndaten und die Darstellung der Einbindung in
das vorgesehene Netzwerksegment an.
Die Erhebung aller Daten gemäß Medizinprodukterecht,
ergänzt um die notwendigen IT-spezifischen Daten, ist bei der
Inbetriebnahme vorzunehmen.
Bei komplexen Installationen ist zunächst in einem Testsys-
tem zu arbeiten, um mögliche Rückwirkungen auf bestehende
Systeme rechtzeitig zu erkennen. Dies ist in der späteren Folge
auch bei Änderungen (Updates, Patches, etc.) erforderlich und Bild 2: Nationales Medizinprodukterecht mit Sanktionen
im Ergebnis zu dokumentieren.
Spätere Änderungen z.B. durch Softwareupdates machen
ggf. eine neue Einweisung erforderlich.
Dieser Schulungsprozess ist für alle Medizinprodukte ver-
bindlich, also auch wenn es sich um „Software als Medizinpro-
dukt“ handelt.
Bild 3: Risikomanagement und Schutzziele
Krankenhaus-IT Journal 6 /2022
106
