Kategorien: Risikomanagement & ISO 14971

6 Kommentare

  1. Bruno Gretler | Sonntag, 23. September 2018 um 17:23 Uhr - Antworten

    Hallo Christian
    Eventl sollte folgender Textteil geringfügig richtig gestellt werden…

    Textabschnitt: Typische Fehler beim Umgang mit dem Begriff „Gefährdung“

    Die Eingangsfrage lautet:
    Angenommen ein Patient kommt zu Schaden, weil eine stand-alone Software ein falsches Medikament anzeigt. Was ist dann die Gefährdung, fragt mich ein Beratungskunde. Die fehlerhafte Software oder die falsche Anzeige?

    Die Antwort auf die eingangs gestellte Frage lautet somit: Weder noch. Es ist das fehlerhaft (dosierte Medikament).

    Aus meiner Sicht sollte entweder die Frage oder die Antwort in diesem Beispiel angepasst werden.

    Eingangsfrage:
    Angenommen ein Patient kommt zu Schaden, weil eine stand-alone Software eine falsche Dosis eines Medikamentes anzeigt.

    Oder:
    Angenommen ein Patient kommt zu Schaden, weil eine stand-alone Software eine falsches Medikament anzeigt.

    Die Antwort dann entsprechend…
    – falsche dosiertes Medikament oder
    – falsches Medikament

    Liebe Grüsse,
    Bruno


    • Prof. Dr. Christian Johner | Sonntag, 23. September 2018 um 17:40 Uhr - Antworten

      Danke, lieber Bruno! Das bist Du noch auf einen uralten Beitrag gestoßen, der dringend der Aktualisierung bedarf. Ich habe das weitgehend schon getan, mache mich aber nochmals ans Werk. Danke!
      Liebe Grüße, Christian


  2. Ulrich Günther | Mittwoch, 9. September 2020 um 10:14 Uhr - Antworten

    Sehr geehrter Herr Johner,

    ich stimme Ihrer Feststellung zu, dass die Definition der „Gefährdung“ wirklich sehr schwer ist. Aus diesem Grund würde ich in Ihrem Beispiel die Gefährdung wahrscheinlich auch woanders sehen:

    Das Beispiel lautet:
    „Angenommen ein Patient kommt zu Schaden, weil eine stand-alone Software ein falsches Medikament anzeigt. Was ist dann die Gefährdung? Die fehlerhafte Software oder die falsche Anzeige?“

    Ihre Antwort dafür lautet:
    „Die Antwort auf die eingangs gestellte Frage lautet somit: Weder noch. Es ist das (fehlerhafte) Medikament.“

    Ich denke, es können hier zwei Szenarien für die Bewertung unterschieden werden:

    – Wenn man die Risikobetrachtung „nur“ für die Software vornimmt, dann wäre meine Analyse: Die Gefährdung liegt in der Funktion „Anzeigen eines Medikaments“. Denn sowohl „fehlerhafte Software“ sowie „falsche Anzeige“ sind ja bereits real gewordene Gefährdungssituationen. Das entspricht am meisten einem Besipiel für mechanische Gefährdung durch Lagern schwerer Güter in größeren Höhen, bei dem das Risiko „Person wird durch herabfallende Güter verletzt“ sich vermeiden ließe, indem direkt an der Gefährdung angegriffen wird und die Güter auf dem Boden gelagert werden. In Ihrem Beispiel ließe sich das Risiko vermeiden, indem direkt an der Gefährdung angegriffen wird und kein Medikament angezeigt wird, sondern z.B. „nur“ ein Diagnosehinweis oder ein Messwert. (Das ist ein gutes Beispiel der zunehmenden Verantwortungsübernahme durch eine Software, derer sich jeder Software-Entwickler bewusst sein sollte: Anzeigen eines nackten Messwerts (geringste Verantwortung) -> Anzeigen eines Analyseergebnis -> Anzeige einer Diagnose -> Anzeige einer Medikamentierung -> Start einer Behandlung, z.B. Infusion (höchste Verantwortung))

    – Erweitert man die Betrachtung auf den ganzen Prozess bis zum Schaden des Patienten kann man die Gefährdung natürlich in der Verwendung eines Medikaments sehen (auch hier ist das falsche Medikament bereits wieder der Beginn einer realgewordenen Gefährdungssituationskette), man kann aber auch als Gefährdung die Verwendung einer Software für die Definition eines Medikaments sehen.

    Für mich eine wichtige Frage in dieser Diskussion ist allerdings, in wieweit eine scharfe, genaue Definition zur der Qualität einer Risikoanalyse beiträgt. Sicherlich kann es die Übersichtlichkeit steigern, aber wichtiger scheint mir die Identifizierung von Gefährdungssituationen und den damit verbundenen Risiken (Schaden x Auftretenswahrscheinlichkeit) und daraus resultierend geeignete Gegenmaßnahmen, gleichgültig, ob sie an der Gefährdung oder der Gefährdungssituation angreifen.

    Mit Grüßen

    Ulrich Günther


    • Prof. Dr. Christian Johner | Mittwoch, 9. September 2020 um 14:51 Uhr - Antworten

      Sehr geehrter Herr Günther,

      danke für die wichtige Nachfrage!

      Wir haben diese Diskussion, da die Norm uns von Seiten der Definition etwas alleine lässt. Die Definition erlaubt sowohl das Medikament als auch die falsche Anzeige als Gefährdung zuzulassen.

      D.h. man benötigt eigene Definitionen, die die obige Definition präzisieren, um zu konsistenten Akten zu gelangen. Beispiele für diese Ergänzungen sind:

      1. Gefährdung := letztes Element der Ursachenkette vor der Gefährdungssituation. Dann ist das Medikament die Gefährdung.
      2. Gefährdung := äußeres Fehlverhalten des Produkts. Dann ist die falsche Anzeige die Gefährdung.

      Die genaue Festlegung ist deshalb wichtig, weil sonst inkonsistente Daten in der Akte landen, was wiederum zu unvollständigen weil unsystematischen Analysen führen kann.

      Konnte ich Ihre Frage beantworten? Falls nicht, dann haken Sie einfach nach.

      Beste Grüße, Christian Johner


  3. Markus Misselwitz | Mittwoch, 21. April 2021 um 10:26 Uhr - Antworten

    Stellt der unberechtige Abfluss von Patientendaten auch eine Gefährung dar? Ständig rutschen in unsere Analyse Datenschutzthemen (DSGVO, Mandantenfähigkeit) rein, wo ich immer argumentiere, dass von denen keine unmittelbare Gefahren auf Patienten ausgeht. Meiner Meinung sollten nur Gefahren betrachtet werden, die zu einem Vorkommnis führen könnten. Sehen Sie das genauso?

    Wie weit muss ich mit der Ursachenkette gehen? Man könnte ja argumentieren, dass die Patientendaten einer prominenten Person durch einen Softwarefehler abgeflossen sind und in einer Zeitung veröffentlicht wurden. Nun ist diese prominente Person depressiv geworden und hat einen Selbsttötungsversuch unternommen.


    • Prof. Dr. Christian Johner | Mittwoch, 21. April 2021 um 17:52 Uhr - Antworten

      Sehr geehrter Herr Misselwitz,

      die Frage, ob der Abfluss von Patientendaten eine Gefährdung darstellt, hängt davon ab, wie weit sie die Definition des Begriffs Schaden auslegen.

      Die ISO 14971 subsumiert unter dem Schaden nicht nur physische Verletzungen oder Beeinträchtigungen der Gesundheit, sondern auch die Beeinträchtigungen von Gütern oder der Umwelt. Wenn man Geld zu den Gütern zählt, dann müsste man Ihre Frage bejahen.

      Ich würde Ihnen aber empfehlen, die körperlichen Schäden und die finanziellen Schäden getrennt zu bewerten und zu betrachten. Sonst kommen Sie beim Thema Risikoakzeptanz in die unschöne Situation, beide Schäden miteinander aufwiegen zu müssen.

      Bei der Analyse von Ereignisketten soweit zu gehen, wie Sie es darstellen, halte ich für etwas zu weit hergeholt. Sie landen dann bei sehr kleinen Wahrscheinlichkeiten. Wenn Sie die alle berücksichtigen wollten, würde sich Ihre Risikoanalyse so aufblähen, bis sie kaum noch überblickbar wäre.

      Dass Sie aber die rechtlichen Folgen einer Datenschutzverletzung analysieren müssen, steht außer Frage.

      Viele Grüße, Christian Johner


Hinterlassen Sie einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.