Obwohl die ISO 14971 die Begriffe Gefährdung und Gefährdungssituation definiert, fällt es Medizinprodukte-Herstellern oft schwer, Sachverhalte den beiden Begriffen zuzuordnen. Dieser Artikel gibt Hilfestellung.
Definition von Gefährdung und Gefährdungssituation
Die ISO 14971 definiert:
- Gefährdung: Potenzielle Schadensquelle
- Gefährdungssituation: Umstände unter denen Menschen, Güter oder die Umwelt einer oder mehreren Gefährdungen ausgesetzt sind
Beispiele für Gefährdungen
Gefährdungen sind definitionsgemäß potentielle Schadensquellen. Man kann der Norm uneingeschränkt zustimmen, dass Viren, ionisierende Strahlung und sich bewegende Teile potentielle Schadensquellen sind. Aber eine Bedienungsanleitung? Eine unzureichende Spezifikation der Zweckbestimmung?
Das können Gründe sein, Glieder einer Ursachenkette, an deren Ende eine Gefährdung, dann eine Gefährdungssituation und dann ein Schaden steht.
Die ISO 14971 nennt als Beispiele für Gefährdungen:
- Chemische Gefährdungen
- Elektrische Energie
- Mechanische Energie
- Elektromagnetische Strahlung
- Thermische Gefährdung
- Biologische Gefährdungen
- Gefährdungen durch (falsche) Informationen wie Handbücher oder Anzeigen.
Das letzte Beispiel führt häufig zur Verwirrung, denn durch eine falsche Information oder falsche Anzeige ist noch nie jemand — direkt — zu Schaden gekommen. Vielmehr war die Information oder Anzeige ein Element eine Ursachenkette, die letztlich zu einer Gefährdung führt.
Daher empfehlen wir folgende Ergänzung der Definition von Gefährdung:
Die Gefährdung ist das letzte Element einer Ursachenkette vor der Gefährdungssituation.
Typische Fehler beim Umgang mit dem Begriff „Gefährdung“
Einführendes Beispiel
Angenommen ein Patient kommt zu Schaden, weil eine stand-alone Software ein falsches Medikament anzeigt. Was ist dann die Gefährdung? Die fehlerhafte Software oder die falsche Anzeige?
Das ist eine sehr gute Frage! Hier scheiden sich manchmal die Geister, weil eine präzise Definition fehlt. Die ISO 14971 spricht nur davon, dass eine Gefährdung eine potenzielle Schadensquelle sei. Damit macht sie aber nicht klar, welches Element einer Ursachenkette gemeint ist.
Daher kann man die Sache mit einer weiteren Definition klarstellen: Die Gefährdung ist das letzte Element einer Ursachenkette vor der Gefährdungssituation.
Damit sieht die Abfolge wie folgt aus:
- Auslösende Ursache: Software-Fehler
- Element der folgenden Ursachenkette: Falsche Anzeige eines Medikaments
- Gefährdung: Das Medikament (also eine chemische Gefährdung)
- Gefährdungssituation: Der Mensch, der diesem falschen Medikament ausgesetzt ist, z.B. bei der Einnahme
- Schaden: allergischer Schock
Die Antwort auf die eingangs gestellte Frage lautet somit: Weder noch. Es ist das (fehlerhafte) Medikament.
Nun gibt es Firmen, denen solche Konzepte zu „hoch“ sind und daher als Gefährdung immer das nach außen sichtbare Fehlverhalten des Geräts wählen. Das wäre in diesem Fall die falsche Anzeige. Bei physikalischen Größen wie Strom, Temperatur, scharfen Kanten stimmt das mit der oben genannten ergänzten Definition überein. Bei Informationen in der Regel aber nicht.
Auch die Festlegung, dass die Gefährdung dem äußeren Fehlverhalten entspricht ist eine nützlich. Wichtig ist, dass die Hersteller sich auf eine Festlegung einigen.
Begriffsverwirrungen
Ein Blick in die Risikomanagementakte vieler Medizintechnikhersteller offenbart, dass bereits die Grundlagen des Risikomanagements nicht ganz verstanden sind: In den Tabellen, welche die Risiken, deren Ursachen und Gegenmaßnahme miteinander verknüpfen, werden Ursachen mit Gefährdungen, Gefährdungen mit Gefährdungssituationen und Risiken mit Schäden verwechselt. Entsprechend unstrukturiert sehen die Akten aus, entsprechend chaotisch sind Gegenmaßnahmen mit Risiken verknüpft. Ein Einfallstor für Auditoren.
Für Hersteller ist die Erkenntnis oft überraschend, dass nicht mehr ihr Produkt die Gefährdung darstellen muss, insbesondere bei Benutzungsschnittstellen, die nicht gebrauchstauglich sind oder sogar falsche Daten anzeigen.
Innere und äußere Ursachenkette
In der klassischen Medizintechnik stellt nämlich immer die Außenkante des Medizinprodukts die Gefährdung dar:
- Das heiße Gehäuse (thermische Gefährdung)
- Das unter Spannung stehende Gehäuse (Gefährdung durch elektrische Energie)
- Die scharfe Kante (mechanische Gefährdung)
Nun kann es passieren, dass eine falsche Anzeige z.B. einer Medikamentendosis bei einem klinischen Informationssystem zu der Einnahme eines falschen Medikaments führt. D.h. nicht das Informationssystem stellt die Gefährdung dar, sonder das falsche Medikament (chemische Gefährdung). Dennoch muss der Hersteller diese Gefährdungen im Rahmen der Risikoanalyse analysieren und bewerten.
Beispiele für Gefährdungen durch Medizinprodukte
Kennen Sie die Veröffentlichung „TOP 10 HEALTH TECHNOLOGY HAZARDS FOR 2018“?
Fast jede zweite Gefährdung hat mehr oder weniger direkt mit Software zu tun.
- Alarm hazards
- Medication administration errors using infusion pumps
- Unnecessary exposures and radiation burns from diagnostic radiology procedures
- Patient/data mismatches in EHRs and other health IT systems
- Interoperability failures with medical devices and health IT systems
- Air embolism hazards
- Inattention to the needs of pediatric patients when using “adult” technologies
- Inadequate reprocessing of endoscopic devices and surgical instruments
- Caregiver distractions from smartphones and other mobile devices
- Surgical fires
Werden wir diesen Gefährdungen wirklich gerecht? Der Blick in manche Risikomanagementakte lässt mich zweifeln.
PS: Als Leser des ganzen Beitrags wissen Sie aber, dass obige Liste Gefährdungen und Ursachen für Gefährdungen vermischt…
Hallo Christian
Eventl sollte folgender Textteil geringfügig richtig gestellt werden…
Textabschnitt: Typische Fehler beim Umgang mit dem Begriff „Gefährdung“
Die Eingangsfrage lautet:
Angenommen ein Patient kommt zu Schaden, weil eine stand-alone Software ein falsches Medikament anzeigt. Was ist dann die Gefährdung, fragt mich ein Beratungskunde. Die fehlerhafte Software oder die falsche Anzeige?
…
Die Antwort auf die eingangs gestellte Frage lautet somit: Weder noch. Es ist das fehlerhaft (dosierte Medikament).
Aus meiner Sicht sollte entweder die Frage oder die Antwort in diesem Beispiel angepasst werden.
Eingangsfrage:
Angenommen ein Patient kommt zu Schaden, weil eine stand-alone Software eine falsche Dosis eines Medikamentes anzeigt.
…
Oder:
Angenommen ein Patient kommt zu Schaden, weil eine stand-alone Software eine falsches Medikament anzeigt.
…
Die Antwort dann entsprechend…
– falsche dosiertes Medikament oder
– falsches Medikament
Liebe Grüsse,
Bruno
Danke, lieber Bruno! Das bist Du noch auf einen uralten Beitrag gestoßen, der dringend der Aktualisierung bedarf. Ich habe das weitgehend schon getan, mache mich aber nochmals ans Werk. Danke!
Liebe Grüße, Christian
Sehr geehrter Herr Johner,
ich stimme Ihrer Feststellung zu, dass die Definition der „Gefährdung“ wirklich sehr schwer ist. Aus diesem Grund würde ich in Ihrem Beispiel die Gefährdung wahrscheinlich auch woanders sehen:
Das Beispiel lautet:
„Angenommen ein Patient kommt zu Schaden, weil eine stand-alone Software ein falsches Medikament anzeigt. Was ist dann die Gefährdung? Die fehlerhafte Software oder die falsche Anzeige?“
Ihre Antwort dafür lautet:
„Die Antwort auf die eingangs gestellte Frage lautet somit: Weder noch. Es ist das (fehlerhafte) Medikament.“
Ich denke, es können hier zwei Szenarien für die Bewertung unterschieden werden:
– Wenn man die Risikobetrachtung „nur“ für die Software vornimmt, dann wäre meine Analyse: Die Gefährdung liegt in der Funktion „Anzeigen eines Medikaments“. Denn sowohl „fehlerhafte Software“ sowie „falsche Anzeige“ sind ja bereits real gewordene Gefährdungssituationen. Das entspricht am meisten einem Besipiel für mechanische Gefährdung durch Lagern schwerer Güter in größeren Höhen, bei dem das Risiko „Person wird durch herabfallende Güter verletzt“ sich vermeiden ließe, indem direkt an der Gefährdung angegriffen wird und die Güter auf dem Boden gelagert werden. In Ihrem Beispiel ließe sich das Risiko vermeiden, indem direkt an der Gefährdung angegriffen wird und kein Medikament angezeigt wird, sondern z.B. „nur“ ein Diagnosehinweis oder ein Messwert. (Das ist ein gutes Beispiel der zunehmenden Verantwortungsübernahme durch eine Software, derer sich jeder Software-Entwickler bewusst sein sollte: Anzeigen eines nackten Messwerts (geringste Verantwortung) -> Anzeigen eines Analyseergebnis -> Anzeige einer Diagnose -> Anzeige einer Medikamentierung -> Start einer Behandlung, z.B. Infusion (höchste Verantwortung))
– Erweitert man die Betrachtung auf den ganzen Prozess bis zum Schaden des Patienten kann man die Gefährdung natürlich in der Verwendung eines Medikaments sehen (auch hier ist das falsche Medikament bereits wieder der Beginn einer realgewordenen Gefährdungssituationskette), man kann aber auch als Gefährdung die Verwendung einer Software für die Definition eines Medikaments sehen.
Für mich eine wichtige Frage in dieser Diskussion ist allerdings, in wieweit eine scharfe, genaue Definition zur der Qualität einer Risikoanalyse beiträgt. Sicherlich kann es die Übersichtlichkeit steigern, aber wichtiger scheint mir die Identifizierung von Gefährdungssituationen und den damit verbundenen Risiken (Schaden x Auftretenswahrscheinlichkeit) und daraus resultierend geeignete Gegenmaßnahmen, gleichgültig, ob sie an der Gefährdung oder der Gefährdungssituation angreifen.
Mit Grüßen
Ulrich Günther
Sehr geehrter Herr Günther,
danke für die wichtige Nachfrage!
Wir haben diese Diskussion, da die Norm uns von Seiten der Definition etwas alleine lässt. Die Definition erlaubt sowohl das Medikament als auch die falsche Anzeige als Gefährdung zuzulassen.
D.h. man benötigt eigene Definitionen, die die obige Definition präzisieren, um zu konsistenten Akten zu gelangen. Beispiele für diese Ergänzungen sind:
Die genaue Festlegung ist deshalb wichtig, weil sonst inkonsistente Daten in der Akte landen, was wiederum zu unvollständigen weil unsystematischen Analysen führen kann.
Konnte ich Ihre Frage beantworten? Falls nicht, dann haken Sie einfach nach.
Beste Grüße, Christian Johner
Stellt der unberechtige Abfluss von Patientendaten auch eine Gefährung dar? Ständig rutschen in unsere Analyse Datenschutzthemen (DSGVO, Mandantenfähigkeit) rein, wo ich immer argumentiere, dass von denen keine unmittelbare Gefahren auf Patienten ausgeht. Meiner Meinung sollten nur Gefahren betrachtet werden, die zu einem Vorkommnis führen könnten. Sehen Sie das genauso?
Wie weit muss ich mit der Ursachenkette gehen? Man könnte ja argumentieren, dass die Patientendaten einer prominenten Person durch einen Softwarefehler abgeflossen sind und in einer Zeitung veröffentlicht wurden. Nun ist diese prominente Person depressiv geworden und hat einen Selbsttötungsversuch unternommen.
Sehr geehrter Herr Misselwitz,
die Frage, ob der Abfluss von Patientendaten eine Gefährdung darstellt, hängt davon ab, wie weit sie die Definition des Begriffs Schaden auslegen.
Die ISO 14971 subsumiert unter dem Schaden nicht nur physische Verletzungen oder Beeinträchtigungen der Gesundheit, sondern auch die Beeinträchtigungen von Gütern oder der Umwelt. Wenn man Geld zu den Gütern zählt, dann müsste man Ihre Frage bejahen.
Ich würde Ihnen aber empfehlen, die körperlichen Schäden und die finanziellen Schäden getrennt zu bewerten und zu betrachten. Sonst kommen Sie beim Thema Risikoakzeptanz in die unschöne Situation, beide Schäden miteinander aufwiegen zu müssen.
Bei der Analyse von Ereignisketten soweit zu gehen, wie Sie es darstellen, halte ich für etwas zu weit hergeholt. Sie landen dann bei sehr kleinen Wahrscheinlichkeiten. Wenn Sie die alle berücksichtigen wollten, würde sich Ihre Risikoanalyse so aufblähen, bis sie kaum noch überblickbar wäre.
Dass Sie aber die rechtlichen Folgen einer Datenschutzverletzung analysieren müssen, steht außer Frage.
Viele Grüße, Christian Johner
Sehr geehrter Herr Prof. Johner,
ich finde die Diskussion rund um die Definition von Gefährdung sehr spannend und möchte mit dem folgenden Beispiel dazu – hoffentlich nicht zur Verwirrung- beitragen:
Das Medizinprodukt „X“ wir vom Anwender falsch bedient. Die falsche Bedienung führt zu einer zu niedrigeren Zugabe des Arzneimittels Y.
Gefährdungssituation: Ein Patient wird behandelt und (durch die Fehlbedienung) bekommt er eine zu niedrige Dosis des Arzneimittels Y.
Gefährdung: „biochemische Gefährdung“ (zu niedrige Dosis eines Arzneimittels).
Die Gefährdung ist nicht der Anwendungsfehler. Der Anwendungsfehler ist ein Element der Ursachenkette.
Sehen Sie das auch so?
Danke und beste Grüße
Alberto Di Benedetto
Sehr geehrter Herr Di Benedetto,
das ist ein sehr schönes Beispiel, und ich stimme Ihnen völlig zu.
Die sehr breite Definition von Gefährdung hätte zwar erlaubt, den Anwenderfehler auch als solche zu bezeichnen, aber im Artikel ging es mir genau darum, das einzuschränken, um ein handhabbares Konzept zu haben. Sie haben das perfekt aufgegriffen.
Beste Grüße, Christian Johner
Sehr geehrter Herr Prof. Johner,
vielen Dank für Ihre Rückmeldung.
Bezüglich meines Beispiels könnte man vielleicht als Gefährdung „Fehlende Therapie“ angeben. Unter „Fehlende Therapie“ sind alle Gefährdungen zu verstehen, die mit einer nicht erfolgten Therapie zusammenhängen (z.B. unerwünschte biochemische Prozesse im Körper des Patienten). Es ist eine Art Sammelbegriff für alle chemischen und biologischen Vorgängen im Körper des Patienten, die anders als gewünscht stattfinden (das hängt natürlich vom spezifischen Fall ab).
Warum diese Präzisierung? Wenn beispielsweise eine zu hohe Dosis eines Arzneimittels aufgrund eines Anwenderfehlers verabreicht wird, ist die „chemische Gefährdung“ auf das Arzneimittel zurückzuführen. Wird hingegen das Arzneimittel nicht verabreicht, ist die chemische Gefährdung nicht auf das Arzneimittel zurückzuführen sondern auf das Fehlen des Arzneimittels, das heißt auf das Nichtzustandekommen der Therapie. Daher wäre vielleicht beim zweiten Nachdenken eine „fehlende Therapie“ – oder in gewissen Fällen eine verspätete bzw. eine nicht vollständige Therapie – als Gefährdung zu betrachten.
Herzlichen Dank und beste Grüße,
Alberto Di Benedetto