Die neue Norm IEC 82304-1

Mehr Sicherheit beim Einsatz von Health-Software

Zu sehen ist eine grafische Darstellung eines Mannes mit Krawatte und Arztkittel. Es ist nur eine Hälfte des Oberkörpers zu sehen. Der rechte Zeigefinger zeigt auf einen runden Icon mit grünem Kreuz in der Mitte. Rundherum sind weitere Icons aus dem medizinischen Umfeld zu sehen.

Der Begriff Health Software umschreibt ein weites Feld: Apps auf mobilen Geräten gehören ebenso dazu wie Software für Laborinformationssysteme, für radiologische Informationssysteme, für computergesteuerte Diagnosen oder zur Analyse von medizinischen Bildern.

Quelle: bitontawan02/Fotolia

Smartphone-Apps organisieren Trainingseinheiten oder helfen bei der Gewichtsreduktion, Computerprogramme in Klink und Praxis analysieren Herzfrequenzen oder unterstützen die radiologische Diagnostik. Sie alle funktionieren als eigenständige Software, sogenannte Stand-alone-Software, und haben im weitesten Sinne mit Gesundheit zu tun. Für diese Health-Software gibt es mit dem neuen internationalen Standard IEC 82304-1 nun erstmals einen Leitfaden für das Risikomanagement. von Lisa Kempe

Mögliche Sicherheitsrisiken für die Anwender von Health-Software geraten zunehmend in den Fokus der Regulierer. Denn viele dieser Anwendungen unterliegen nicht der Klassifizierung als Medizinprodukt. Gleichwohl kann ihr Einsatz bei einer Fehlfunktion mit gesundheitlichen Risiken verbunden sein.

Zwei von drei Deutschen nutzen ein Smartphone, die Hälfte hat ein Tablet. Laut Bundesverband Medizintechnologie e.V. (BVMed) stehen für diese mobilen Geräte derzeit rund 100.000 Gesundheits-Apps zum Download bereit. Die kleinen Computerprogramme können oft kostenlos mit einem einfachen Klick aus dem App-Store auf das eigene Smartphone, Tablet oder den Desktop-Rechner heruntergeladen werden. Wenn es darum geht, die Qualität und Sicherheit dieser Anwendungen einzuschätzen, sind jedoch viele Nutzer überfordert. Mit der neuen Norm IEC 82304-1 haben nun zumindest die Hersteller ein Werkzeug an der Hand, das sie dabei unterstützt, über den gesamten Produktlebenszyklus entsprechende Gefahren für die Nutzer abzuwenden. Denn regulatorische Anforderungen gab es bislang nur für Software, die vom Hersteller als Medizinprodukt eingestuft wurden. Der Großteil der Anwendungen mit Gesundheitsbezug war davon nicht betroffen.

Lächelnder schlanker Mann um die 50, mit Brille und Halbglatze.

Christian Johner, von Haus aus promovierter Physiker, leitet das Johner Institut für IT im Gesundheitswesen in Konstanz. Als Professor unterrichtet er an der Hochschule in Konstanz Software-Architektur, Software-Engineering, Software-Qualitätssicherung und medizinische Informatik. Er lehrte oder lehrt an der Stanford University, der Universität Krems, der Universität St. Gallen und der Universität Würzburg.

Quelle: www.johner-institut.de

Im Oktober 2016 hat der Normenausschuss den Standard IEC 82304-1:2016 unter der Überschrift „Health software – Part 1: General requirements for product safety“ veröffentlicht. „Dieser Titel macht bereits klar, dass es darum geht, Anforderungen an jede Form von Health-Software zu formulieren – nicht nur an Software, die bereits ein Medizinprodukt ist. Vor dem Hintergrund des stark wachsenden Marktes für Software in den Bereichen Wellness, Fitness und Gesundheitsvorsorge macht das Sinn. Denn viele dieser Anwendungen können potenziell sicherheitskritisch sein. Für diesen Bereich gab es noch keine anwendbare Norm“, erläutert Professor Christian Johner, Leiter des Johner Instituts für IT im Gesundheitswesen.

Der Anwendungsbereich der IEC 82304-1 zielt auf eigenständige Software-Produkte, sogenannte „Stand-alone-Software“, ab, die dazu bestimmt ist, die Gesundheit oder die Pflege von individuellen Personen zu managen, zu erhalten oder zu verbessern. Diese Health-Software-Produkte laufen unabhängig auf allgemeinen Computersystemen, Handys oder Tabletts.

Ein Standard kommt selten allein

Im Gegensatz dazu ist die sogenannte „embedded Software“ fester Bestandteil eines Medizinproduktes, so dass hier der Standard IEC 62304 Anwendung findet. Auch bei Stand-alone-Software, die als Medizinprodukt klassifiziert ist, kommt die IEC 62304 zum Zug. „Die IEC 62304 formuliert Anforderungen an den Entwicklungsprozess von Medizinprodukte-Software. Jedoch deckt diese Norm nicht den Bereich der Validierung ab. Die IEC 82304 möchte diese Lücke schließen. Hier kann es je nach Produkt dann auch zu einem Zusammenspiel mit den Normen IEC 60601-1, IEC 62366 und ISO 14971 kommen“, erklärt Johner.

Die neue Norm ergänzt demnach nicht nur bestehende Standards wie die IEC 62304, die nur bei Software Anwendung findet, die als Medizinprodukt klassifiziert ist. Die neue Norm geht einen Schritt weiter und nimmt sich aller Stand-alone-Software-Produkte an, die in den Bereich Gesundheit hineinspielen und beispielsweise zur Vorsorge oder Verbesserung der Fitness eingesetzt werden, aber nicht als Medizinprodukt angesehen werden. Viele Hersteller und Entwickler von Gesundheits-Apps betreten damit Neuland in der Welt der Standards, Normen und Regularien rund um die Medizinproduktgesetzgebung.

Ein Risikomanagement über den gesamten Produktzyklus aufrecht zu erhalten, wie es nun die IEC 82304-1 fordert, ist eine große Herausforderung. Manche befürchten, dass mit zunehmender Regulierung Kreativität und Innovationsgeist der Entwickler auf der Strecke bleiben. Gleichzeitig wächst aber das Sicherheitsbedürfnis bei den Anwendern. „Normen haben den Anspruch, den Stand der Technik zu beschreiben. Für den Hersteller einer Nicht-Medizinprodukte-Software sind zwar weder die IEC 82304 noch die darin normativ referenzierte IEC 62304 verpflichtend. Aber im Schadensfall kann ein Gutachter darauf verweisen. Wenn der Hersteller diesen Anforderungen nicht genügt, ist er im Streitfall in der Defensive“, resümiert Johner.

Mehr im Internet:

Johner Institut GmbH: IEC 82304 – Was die Norm zu „Health Software“ fordert.

Hans Christian Wenner ist Mitglied im zuständigen Normungsgremium der Deutschen Kommission Elektrotechnik Elektronik IT (DKE). Im Interview berichtet er, was die neue Norm für Hersteller und Entwickler bedeutet.

Wie würden Sie den Kern der neuen Norm beschreiben?

Hans Christian Wenner: Bei der Konformitätsbewertung von Stand-alone-Software als Medizinprodukt bestand bislang eine „normative Lücke”. Diese wird nun von der IEC 82304-1 ausgefüllt. Neben der Einführung des Begriffs „Health-Software” beinhaltet die Norm übergeordnete System- bzw. Produkt-Anforderungen, die in der IEC 62304 „Medizingeräte-Software – Software-Lebenszyklus-Prozesse" nicht enthalten sind. Das sind beispielsweise Anforderungen an die Benutzerdokumentation, an die Validierung und an Post-Market Activities. Darüber hinaus fokussiert die IEC 82304-1 unter dem Begriff „Security“ bereits in Ansätzen auf die Informationssicherheit. Dies ist schon im Anwendungsbereich deutlich formuliert.

Zu sehen ist das Portrait eines Mannes mit Brille und weiß-grauem Bart, der in die Kamera schaut. Er trägt ein weißes Hemd, eine blaue Krawatte und ein schwarzes Sakko.

In seinem Ingenieurbüro berät Hans Christian Wenner Unternehmen bei der Entwicklung von Software für Medizinprodukte.

Quelle: Nicola Di Napoli

Lässt sich die Grenze zwischen Lifestyle-App und Medizinprodukt immer eindeutig ziehen?

Die IEC 82304-1 definiert den Begriff Health-Software. Diese wird zum Management, zum Erhalt oder zur Verbesserung der Gesundheit von einzelnen Personen eingesetzt. Health-Software umfasst also ein weites Umfeld in Bezug auf die Gesundheit des Einzelnen. Auch der Bereich der Pflege wird in der Definition mit einbezogen.

Die Norm nennt konkrete Beispiele für Software-Produkte, die innerhalb ihres Anwendungsbereiches liegen. Dazu gehören Apps auf mobilen Geräten, solange diese nicht über spezielle Sensoren oder Detektoren verfügen, Software für Laborinformationssysteme und für radiologische Informationssysteme ebenso wie Software für computergesteuerte Diagnosen oder zur Analyse von medizinischen Bildern. Nicht zu vergessen sind Apps zur Empfängnisverhütung, zum Stressabbau oder Fitness-Apps. Im Gegensatz zur reinen Fitness-App wird Software zur Empfängnisverhütung immer auch als Medizinprodukt eingestuft. In solchen Fällen kommen dann sowohl die ICE 62304 als auch die IEC 82304 zur Anwendung. Beide Normen ergänzen sich also.

Nicht in den Anwendungsbereich der Norm fällt beispielsweise Software, die sich nicht mit Gesundheitsfragen von Einzelpersonen beschäftigen, Krankenhaus-Abrechnungssysteme, Verwaltungssoftware für die Geräteinstandhaltung, Elektronische Logbücher für Pflegeheime, Software für epidemiologische Studien oder Software für die Ausbildung und zum Selbststudium von medizinischen Fachkräften. Nicht immer ist die Abgrenzung zum Medizinprodukt eindeutig. Erschwerend kommt hinzu, dass es je nach Land oder Wirtschaftsraum unterschiedliche regulatorische Anforderungen gibt.

Was sind die wichtigsten Konsequenzen, die die neue Norm für die Hersteller mit sich bringt? Welche Tipps haben Sie für Software-Entwickler, die sich erstmals damit konfrontiert sehen?

Für Hersteller stellt die IEC 82304-1 eine erhebliche Erleichterung dar, denn sie bringt Klarheit, wie eine eigenständige Software regulatorisch zu bewerten ist. Hersteller, die sich bislang nicht eingehend genug mit der Thematik beschäftigt haben und denen vielleicht auch gar nicht bewusst war, dass sie ein Medizinprodukt herstellen, werden möglicherweise überrascht sein. Das wird potenziell auf eine große Anzahl von Anbietern zutreffen, die wir aus den einschlägigen App-Stores für mobile Geräte kennen. Durch die zu erwartende striktere Umsetzung der gesetzlichen Vorgaben (Anmerkung der Redaktion: siehe unten) wird nun erwartet, dass sie bestimmte regulatorische Anforderungen erfüllen, die durch die Normen beschrieben werden. Möglicherweise stehen diese Hersteller den Inhalten dieser Normen deshalb zunächst skeptisch bis ablehnend gegenüber. Gibt man der Norm allerdings eine Chance, wird man feststellen, dass die Forderungen dem entsprechen, was man ohnehin tun würde, um eine gute Software-Qualität im Sinne von Kundenzufriedenheit zu erreichen. Dies ist auch mein Tipp: Geben Sie der Norm eine Chance!

Wird die neue Norm das riesige Angebot Fitness- und Gesundheits-Apps einschränken?

Diese Prognose ist schwer zu treffen, zumal die Norm keinen gesetzlich bindenden Charakter hat. Normen dienen lediglich dazu, den Stand der Technik zu definieren. Inwiefern der Gesetzgeber diesen Stand der Technik dann durchsetzen wird, muss abgewartet werden. Es ist jedoch deutlich zu erkennen, dass die Regulierer dem Thema „Software” in der jüngsten Vergangenheit mit besonderem Interesse begegnen, zum Beispiel in der FDA-Leitlinie „Mobile Medical Applications – Guidance for Industry and Food and Drug Administration Staff” sowie in der neuen Medizinprodukte-Verordnung.

Brauchen wir in Zukunft mehr Normen und Regulierung im Hinblick auf die Einhaltung von Datenschutzbestimmungen?

Die EU-Kommission plant, 2017 einen freiwilligen Verhaltenskodex für Hersteller von Gesundheits-Apps vorzulegen, eine Selbstverpflichtung zur Einhaltung von Datenschutzbestimmungen und Qualitätsrichtlinien. Der sogenannte „Code of Conduct“ der EU beinhaltet praktische Richtlinien für App-Entwickler. Hinsichtlich des Datenschutzes gilt es, die Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten personenbezogenen Daten sicherzustellen. Die wichtigsten Elemente des Code of conduct sind: die Notwendigkeit, die Einwilligung des Nutzers zur Verarbeitung personenbezogener Daten einzuholen, den Datenschutz durch Design und geeignete Wahl von Vorgabewerten zu gewährleisten sowie die Reglementierung von Datenübertragungen an einen Ort außerhalb der EU. Insbesondere für Daten, die von Kindern stammen, werden besondere, restriktivere Anforderungen gestellt werden.

Die Inhalte der IEC 82304-1 in Bezug auf die Informationssicherheit sind vor diesem Hintergrund als erster Ansatz zu verstehen. Eine Präzisierung ist in Form von Normungsvorhaben vorgesehen, in denen die Anforderungen an die Informationssicherheit bei „Health Software” formuliert werden sollen. Geplant ist, diese Vorhaben im Jahr 2017 auf den Weg zu bringen.

Mehr im Internet:

BfArM-Orientierungshilfe Medical Apps

FDA-Guidance “Mobile Medical Applications – Guidance for Industry and Food and Drug Administration Staff”

© Medizintechnologie.de