Dieser Artikel beschreibt,
- was gesetzliche Anforderungen sind, wie diese mit Stakeholder-Anforderungen und System-Anforderungen zusammenspielen,
- welche gesetzlichen Anforderungen es an deren Dokumentation gibt und
- wie Sie gesetzliche Anforderungen formulieren und damit dokumentieren können.
Gesetzliche Anforderungen versus Stakeholder-Anforderungen versus System-Anforderungen
Gesetzliche Anforderungen zählen zu den Stakeholder-Anforderungen
Unter gesetzlichen Anforderungen subsumieren wir hier alle Anforderungen, die in Regularien wie den Gesetzen, Verordnungen, Medizinprodukterichtlinien und harmonisierten Normen formuliert sind und die sich an die Hersteller von Medizinprodukten richten.
Die gesetzlichen Anforderungen zählen neben den Nutzungsanforderungen, organisatorischen und fachlichen Anforderungen sowie den Marktanforderungen zu den Stakeholder-Anforderungen.
Gesetzliche Anforderungen müssen in konkrete System-Anforderungen überführt werden
Verwechseln Sie nicht (wie die IEC 62304) Stakeholder-Anforderungen (hier in Form gesetzlicher Anforderungen) mit System- oder Software-Anforderungen. Die Software-Anforderungen dürfen gerade NICHT wie es die IEC 62304 vorschlägt, gesetzliche Anforderungen umfassen. Darin besteht genau die Wertschöpfung, wenn man die Stakeholder-Anforderungen in System- bzw. Software-Anforderungen überführt.
Beispielsweise könnte eine gesetzliche Forderung lauten, dass die Bestimmungen eines Datenschutzgesetzes zu erfüllen sind, das u.a. verbietet, dass unbefugte Dritte keine Patientendaten erkennen dürfen. Die Systemanforderung / System-Spezifikation hingegen würde beschreiben, dass die UI ein Login-Fenster hat und dass nur Personen, die im System als berechtigt hinterlegt sind, vom System die Patientendaten angezeigt bekommen.
Systemanforderungen müssen die Lösung konkret spezifizieren, die die gesetzlichen Anforderungen allgemein formulieren.
Gesetzliche Anforderungen an die Dokumentation gesetzlicher Anforderungen
Die gesetzlichen Anforderungen betreffen nicht nur die Medizinprodukte bzw. deren Entwicklung selbst, sondern auch die Dokumentation eben dieser gesetzlichen Anforderungen selbst. Die Hersteller müssen aufschreiben, welche gesetzlichen Anforderungen sie bzw. ihr Produkt erfüllt.
So verlangen sowohl die ISO 13485 als auch die „Quality System Regulations“ der FDA (21 CFR part 820), dass Hersteller von Medizinprodukten die gesetzlichen Anforderungen erfassen, dokumentieren und erfüllen. Selbst die IEC 62304 fordert dies in Kapitel 5.2.2 f).
Doch wie formuliert man gesetzliche Anforderungen korrekt und überprüfbar?
Dokumentation der gesetzlichen Anforderungen an Medizinprodukte
Wie bereits ausgeführt, sollten Sie nicht global auf gesetzliche Anforderungen der Art „Die Datenschutzbestimmungen sind zu beachten“ oder noch unspezifischer „die gesetzlichen Bestimmungen müssen eingehalten werden“ verweisen. Das ist ziemlich wertlos.
Etwas besser ist es, auf konkrete Paragraphen zu verweisen z.B. „Das Medizinprodukt muss die Anforderungen des BGB §630f Absatz 1 erfüllen“.
Thomas Geis empfiehlt, die gesetzlichen Anforderungen mit Hilfe einer Formulierungsschablone zu rephrasieren:
<Produkt | Natürliche Person | Juristische Person> muss < durch bestimmtes Verhalten X sicherstellen | Arbeitsergebnis Y in Form Z bereitstellen>.
Beispiel
„Das klinische Informationssystem muss Berichtigungen und Änderungen am ursprünglichen Inhalt erkennbar machen“.
Diese Formulierungsschablone können Sie nicht nur für gesetzliche, sondern auch für organisatorische Anforderungen nutzen, nur sich diese nicht an Produkte, sondern ausschließlich an natürliche oder juristische Personen werden.
Noch besser wäre es sogar, das System als Blackbox zu spezifizieren, d.h. genau zu dokumentieren, wie sich das System über seine Schnittstellen (insbesondere Benutzer-Schnittstelle, Datenschnittstellen, elektrische und mechanische Schnittstellen) nach außen verhält.
Weitere Formulierungsschablonen lernen Sie Seminar „Usability, Requirements & IEC 62366“ kennen, beispielsweise für die Formulierung von
- Kernaufgaben
- Vor- und Nachbedingungen
- Erfordernissen (hier gibt es mehrere Typen)
- Nutzungsanforderungen und andere Stakeholder-Anforderungen
- Systemanforderungen