Die Digitalisierung des Gesundheitswesens stellt an alle Beteiligten grosse Herausforderungen. Erst vor Kurzem rückten prekäre Zwischenfälle die Themen Cyber Security, Datenschutz und Datensicherheit in den Fokus. Die Attacke der Ransomware Wannacry vom 12. bis 15. Mai 2017 setzte insbesondere in Grossbritannien diverse Einrichtungen des National Health Service ausser Betrieb. Zu Beginn des Jahres 2017 wurde bekannt, dass Herzschrittmacher und Defibrillatoren des amerikanischen Herstellers St. Jude Medical über Sicherheitslücken angreifbar sind.

Entsprechend wurden Rufe nach Vorgaben des Gesetzgebers hinsichtlich Cyber Security an Hersteller von Medizintechnik laut. Als Business Unit Leiter System Quality Engineering stellte ich mich in meinem Vortrag bei der Konferenz «Information Security in Healthcare» in Rotkreuz der Frage: Welche gesetzlichen und normativen Vorgaben sind bereits vorhanden? Braucht es überhaupt noch zusätzliche Vorgaben für die Medizintechnik – oder genügen die bestehenden Gesetze und Normen? Zentrale Themen meines Vortrags «Gesetze und Normen 2018 – Auswirkungen für die Cyber-Sicherheit von Medizintechnik» waren die Abgrenzung und Vorgaben bezüglich Cyber Security und die neue Datenschutzgrundverordnung der EU – die DSGVO. Im Blog fasse ich meine Ausführungen für Sie zusammen.

Neuerungen für moderne Ansprüche: Diese Gesetze und Normen gelten 2018

Aktuell ist einiges in Bewegung auf gesetzlicher und normativer Ebene in der EU: Seit dem 26. Mai 2017 ist die MDR (Medical Device Regulation) bzw. die IVDR (Invitro Device Regulation) der europäischen Union formell in Kraft. Praktisch genau ein Jahr später hat die neue Datenschutzgrundverordnung DSGVO der europäischen Union ihre Gültigkeit erlangt. Zudem läuft aktuell die Überarbeitung der IEC 62304, deren modernisierte Version dieses Jahr erwartet wird und Medizintechnik Hersteller in ganz Europa sind dabei, sich nach der neuesten Ausgabe der ISO 13485 zu zertifizieren. Die MDR und die neue Ausgabe der IEC 62304 lösen so Gesetze und Normen ab, die in einer Zeit entstanden sind, als die Themen Cyber Security, Datenschutz und Datensicherheit noch keine Bedeutung hatten.

Cyber Security und Datensicherheit und Medizintechnik

Wichtig ist bereits die grundlegende Definition von Begriffen. In unserem Kontext soll von Cyber Security die Rede sein. Security bezeichnet den aktiven Schutz gegen Bedrohungen und Angriffen. Mit Safety ist der Schutz gegen passive, unabsichtliche Bedrohungen gemeint. Primär sind und waren Gesetze und Normen für Medizintechnik auf die Safety fokussiert. Cyber Security ist eine Voraussetzung für Datensicherheit und somit die Gewährleistung des Datenschutzes.

Wie steht es nun um neue bzw. überarbeitete Gesetze und Normen bzgl. Cyber Security? Die MDR bzw. die IVDR fordern im Anhang I die Gewährleistung von Informationssicherheit von Produkten und den Betrieb von Produkten. Die ISO 13485:2016 fordert den Schutz von vertraulichen Gesundheitsinformationen. Jedoch bleibt diese in Kapitel 7 sehr unkonkret bzgl. Vorgaben an die Cyber Security in der Produktentwicklung. Die neue Version der IEC 62304 wird eine Definition des Begriffs Security enthalten und verlangen, dass Requirements bzgl. Security an die zu erstellende Software spezifiziert sein müssen. Die IEC 60601-1 fordert in bestehenden Versionen bereits seit geraumer Zeit, dass Gefährdungssituationen bezogen auf die Security betrachtet werden sollen.

Die amerikanische FDA ist beim Thema Cyber Security weiter entwickelt als die EU. Zwar gibt es auf nationaler und administrativer Ebene keine formellen Gesetze. Jedoch hat die FDA aber bereits vier Guidance Dokumente veröffentlicht, die sich dem Thema annehmen. Das vierte Dokument richtet sich an Betreiber und betrifft Hersteller nur marginal. Die Guidance Dokumente sind teilweise sehr konkret, wie Cyber Security behandelt werden soll und geben z.B. Strategien vor, wie Cyber Security adressiert werden kann.

DSGVO und Medizintechnik

Seit Mai 2018 gilt in der EU die neue Datenschutzgrundverordnung, welche 11 Kapitel und 99 Artikel umfasst. Die DSGVO regelt insbesondere Rechte und Pflichten von betroffenen Personen, Verantwortlichen und Auftragsverarbeitern sowie die Übermittlung an Drittländer.

Als «betroffene Person» gilt jeder, der sich in der EU aufhält und dessen Daten verarbeitet werden. Weiterhin gibt es einen für die Datenverarbeitung Verantwortlichen. Derjenige, der Daten einfordert. Hinzu kommt die Rolle des Auftragsverarbeiters.  Dieser übernimmt die Datenverarbeitung, wenn der Verantwortliche die Verarbeitung nicht selbst übernimmt, sondern delegiert. Beide Rollen können je nach Grösse oder Art der Daten gezwungen werden, einen Datenschutzbeauftragten zu bestimmen. Behörden haben das Recht und die Pflicht, Verantwortliche und Auftragsverantwortliche zu auditieren, um die Einhaltung der DSGVO gegen zu prüfen.

 

Betrachten wir nun, was das für Hersteller und Betreiber von Medizintechnik heisst:

  • Der Hersteller eines Medizinprodukts ist hinsichtlich seiner Produkte nicht direkt von der DSGVO betroffen (es sei denn, er wird durch entsprechende Web-Dienste selbst zum Betreiber)
  • Der Hersteller entwickelt Produkte für Betreiber, die Auftragsverantwortliche werden und für die die DSGVO verbindlich ist.

Damit ergeben sich also für die Hersteller von Medizinprodukten vor allem Systemanforderungen an ihre Produkte. Diese sollten sie umsetzen, damit die Betreiber entsprechend der DSGVO arbeiten können und ihre Produkte nicht von vornherein aus Beschaffungsprozessen ausscheiden.

Gesetze und Normen 2018 – Fazit und Ausblick

Bestehende Gesetze und Normen:

Die bestehenden Normen und Werkzeuge scheinen angemessen, um die Themen Datenschutz und Cyber Security zu adressieren. Ein zusätzliches Meldewesen für Cyber Security Vorkommnisse im Bereich Medizinprodukte scheint aktuell unnötig und mit der bestehenden Meldepflicht abgedeckt. Für Cyber Vorkommnisse jeglicher Art gibt es bereits Meldestellen, in der Schweiz z.B. Melani. Aktuell sollten hier nicht noch grössere Wettbewerbshürden aufgebaut werden. Wir sollten vor allem Entwickler und Betreiber sensibilisieren, mindestens grundlegende IT-Sicherheitsüberlegungen bezüglich Produkten und deren Einsatz anzustellen.

Datenschutz:

Zum Datenschutz kann festgehalten werden: Es braucht vor allem neue Produktfunktionen, die den Betreibern den DSGVO konformen Betrieb ermöglichen. Die Anforderungen an Funktionen und Design scheinen zunächst auf der Hand zu liegen, auch wenn deren Umsetzung mit einigem Aufwand verbunden sein kann. Bei der Auftragsverarbeitung und in diesem Zusammenhang der Verwendung von US-Clouddiensten besteht im Moment noch Rechtsunsicherheit.

Stand der Dinge in Europa:

Aktuell muss auch ganz klar gesagt werden, dass europäische Medizintechnikfirmen weitaus dringendere Sorgen als die Cyber Security haben: Letztes Jahr trat die neue MDR bzw. IVDR in Kraft, die einige Veränderungen bzgl. Zulassung und zusätzlichen Aufgaben in der Postmarket Phase von Medizinprodukten bedeutet. Neuzulassungen sowie die Anpassung von QMS Prozessen diesbezüglich benötigen im Moment die volle Aufmerksamkeit, um überhaupt die Versorgungssicherheit zu gewährleisten.

In der Schweiz kommt hinzu, dass in zwei Jahren die Staatsverträge bzgl. MDR mit der EU ausgearbeitet sein müssen. Aktuell befinden sich auch viele Firmen in der Umstellung auf die neue ISO 13485. Neue Anforderungen an Prozesse – z.B. die gesamte Softwareinventarisierung – stehen derzeit im Fokus von Auditoren und von Unternehmen. Zusätzlich sollten letztere höchstaktuell die Bestimmungen der DSGVO umsetzen, die jedes Unternehmen in Europa auf organisatorischer Ebene betreffen. Es scheint daher unwahrscheinlich und unrealistisch, dass in der Medizintechnik in nächster Zeit grössere Anstrengungen im Bereich Cyber Security stattfinden werden.

 

_________________________________________________________

Autor: Urs Müller – Business Unit Leiter System Quality Engineering, Mitglied der Geschäftsleitung