In diesem Artikel ist beschrieben worden inwieweit ein Medizinprodukt laut dem Medizinprodukt geschützt werden muss.


Wir haben uns die Frage gestellt inwieweit man als Softwareentwickler den Datenschutz von einem Medizinprodukt umsetzten muss. Ist der Softwareentwickler verpflichtet die Software zu beschränken oder muss es die Praxis bzw. das Krankenhaus selbst umsetzten?

 


IT Security für Software in Medizinprodukten

Oft setzten die Softwareunternehmen die technische Umsetzung der IT Security unzureichend um. Meist ist es darauf zurückzuführen, dass die Regeln unbekannt bzw. nicht recherchiert worden sind. Nicht nur der Softwareentwickler, sondern auch die Organisation, die das Produkt einsetzt hat zu IT-Sicherheit beizutragen. Jedoch kann die Organisation nur technische Maßnahmen umsetzten. Es sollen drei Prinzipien der IT-Sicherheit verfolgt werden:

  • Schutz und Vertraulichkeit gegen unerlaubten Zugriff, unerlaubte Veränderungen und Zerstörung bzw. Löschung
  • Vollständigkeit, Richtigkeit und Gültigkeit der Daten (Integrität)
  • Nur an den autorisierten Stellen kontinuierliche Verfügbarkeit der medizinischen Informationen

Die Prinzipien gelten nicht nur für Medizinprodukte, sondern auch für die angeknüpften Systemkomponenten (Zubehör, Verbrauchsmaterialien, Informationsnetzwerk und so weiter), die integriert sind. Die Spezifikationen und Detailanforderungen können je nach Komponente unterschiedlich ausfallen. Desweitern muss weitere Punkte berücksichtigt werden.

Vorsorgen durch beabsichtigtes Eindringen

Es muss vor vorhersehbaren Fehlgebrauch geschützt werden. Darunter fällt auch, dass die Software so gesichert werden muss, dass kein Eindringen durch beispielsweise Hacker von außen möglich ist.

 


Risikomanagement

Ein kontinuierliches Risikomanagement ist für die Integrität in ein Netzwerk erforderlich. Es muss das ganze Netzwerk inklusive Datentransfer betrachtet werden. Aufgrund, dass das Netzwerk kein statisches Gebilde ist muss ein kontinuierliches Risikomanagement vorgenommen werden. Dazu werden alle Beteiligten herangezogen (IT-Betreuung, Hersteller des Produkts und Anwenderorganisation) und alle Änderungen auf deren Einflüsse evaluiert. Desweiten müssen zudem folgende Schnittstellen beachtet werden.

  • Benutzer (lokal und remote)
  • Service (betroffene Organisation und Hersteller)
  • IT-Administrator
  • Gegebenenfalls angeschlosse Geräte oder Software wie PACS, LIS, ...
  • Schnittstellen (USB, CD, DVD)

Diese Informationen können aus der europäischen Richtlinie und der amerikanischen Gesetzgebung entnommen werden. In 45 CFR 164.306(a) sind die Anforderungen beschrieben worden:

Ensure the confidentiality, integrity, and availability of all electornic protected health informationen the covered entity creates, receives, maintains, or transmits.

1. Protect against any reasonably anticipated threats or hazards to the security or integrity of such information.

2. Protect agains any reasonably anticipated uses or disclosures of such information that are not permitted or required under subpart E of this part.

3. Ensure compliance with this subpart by its workforce.

 


Berechtigungen

In 45 CFR 162 (Health Information Portability and Accountability Act- HIPAA) sind Anweisungen beschrieben die für ein Medizinprodukt umsetzt werden müssen. Egal ob es sich um eine Software, ein Gerät, ein System oder ein Produkt handelt.

Authentifizierung des Benutzers

Der Benutzer muss sich mit einem Login authentifizieren. Nur berechtigte Personen dürfen Einstellungen vornehmen können.

Definition von Roles

Es müssen verschiedene Benutzerlevel definiert werden mit verschiedenen Berechtigungen (r/w/x): Benutzer, Leiter, Administrator, Service.

Authentifizierung für die Wartung

Sobald ein System/Produkt/Gerät gewartet werden muss, muss der der Service auch authentifizieren. Die physikalischen Personen und Daten müssen entkoppelt geschützt werden.

Schutz vor unerlaubten Zugriff

Es dürfen keine Patientendaten missbräuchlich von dritten verändert oder gelöscht werden.

Deaktivieren von nicht verwendeter Zusatzsoftware

Nicht verwendete Zusatzsoftware soll deaktiviert werden um Schnittstellen wie offene Ports zu schließen.

Code schützen

Es muss ein Schutz gegen die Aktualität des Codes sichergestellt werden durch Patches und Updates. Auch für das Betriebssystem.

Zugriff von außen

Es müssen Schutzmechanismen für den Lokalen- und Remote-Zugriff gewährleistet werden.

Passwörter

Es muss auf sichere Passwörter geprüft werden. Zudem soll geprüft, ob die Passwörter periodisch geändert worden sind.

Backups

Backups und Archive dürfen ebenso nur von berechtigten Personen verwaltet werden.

Netzwerk

Es muss gewährleistet werden, dass die Daten sicher über das Netzwerk übertragen werden. Beispielsweise eine Übertragungssicherheit durch Codierung.

 


Quellen

[1] Logo von https://pixabay.com/de/regeln-tafel-kreise-schrift-1752415

[2] Anforderungen an Medizinprodukte: Praxisleitfaden für Hersteller und Zulieferer, Johann Harer und Christian Baumgartner (Autor), Carl Hanser Verlag GmbH & Co. KG; Auflage: 3. (7. Mai 2018), ISBN-10: 3446453776

[3] Basiswissen Medizinische Software: Aus- und Weiterbildung zum Certified Professional for Medical Software, Christan Johner, Matthias Hözer-Klüpfel und Sven Wittorf, dpunkt.verlag GmbH; Auflage: 1 (2011), ISBN-13: 978-3-89864-688-8

 

Suche

Kategorien

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.