Wie gefährdet die IT-Sicherheit im Gesundheitswesen ist, wissen wir nicht erst seit Februar 2016: Damals wurden die IT-Infrastrukturen vieler Kliniken durch einen einfachen Virenangriff stillgelegt. Daher drängen die Behörden strenger darauf, dass nicht nur Kliniken, sondern auch Hersteller die IT-Sicherheit ihrer (Medizin-)Produkte gewährleisten.

In diesem Artikel erhalten Sie einen Überblick darüber, was die IT-Sicherheit im Gesundheitswesen gefährdet und was Sie dagegen tun können und müssen. Damit wird es Ihnen gelingen, regulatorischen Ärger zu vermeiden und Produkte sicher zu entwickeln und zu betreiben.

Update: Im Kapitel 3. a) die aktuellen Veröffentlichungen des BSI eingefügt. Das verschafft Ihnen einen schnellen Überblick über 120 Seiten.

Das Common Vulnerability Scoring System CVSS dient in der IT Security nicht nur der Klassifizierung des Schweregrads von Software-Schwachstellen. Dieses CVSS-Framework wird auch genutzt, um diese Schwachstellen zu charakterisieren und einheitlich zu einzuschätzen.

Lernen Sie dieses Common Vulnerability Scoring System CVSS verstehen und damit die Meldungen der NIST. Diese Meldungen sollten Sie als Hersteller (z.B. von Medizinprodukten) kontinuierlich überwachen, um Risiken für Ihre Produkte einschätzen und beherrschen zu können. Das hilft Ihnen, die gesetzlichen Vorgaben zu erfüllen.

Die Normenfamilie IEC 60601 ist eigentlich nur für medizinisch elektrische Geräte anzuwenden. Doch die IEC 60601-4-5 bildet eine Ausnahme: Dieser Technical Report zur IT-Sicherheit hat alle Medizinprodukte im „Scope“, die in IT-Netzwerke eingebunden sind. Das betrifft auch Software as a Medical Device.

Erfahren Sie, welche Anforderungen die IEC 6TR 0601-4-5 an Hersteller und Betreiber stellt. Diese Norm gibt Ihnen z.B. konkrete Hinweise, welche Maßnahmen zur Verbesserung der IT-Sicherheit Sie umsetzen müssen und von welchen Faktoren diese Verpflichtung abhängt.

Damit will Ihnen die Norm helfen,

• sichere Produkte zu entwickeln,
• gleichzeitig unnötige Aufwände zu vermeiden und
• die Chancen zu erhöhen, Probleme bei der Zulassung Ihres Produkts zu vermeiden.

Am 17. April 2020 hat das Bundesgesundheitsministerium die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) als Referentenentwurf vorgelegt. Die DiGAV bestimmt die Voraussetzungen für eine Erstattung von digitalen Gesundheitsanwendungen (DiGA) durch die Krankenkassen.

Erfahren Sie, welche Anforderungen die Verordnung an die Hersteller stellt. So können Sie entscheiden, ob ein Antrag erfolgsversprechend ist und ob die Kosten dafür im Verhältnis zum erwarteten wirtschaftlichen Nutzen stehen.

Parallel zur DiGAV hat das BfArM eine Leitlinie veröffentlicht. Diese verrät auch, welchen amerikanischen Tech-Konzern Sie meiden sollten, um die Anforderungen der DiGAV zu erfüllen. Mehr dazu erfahren Sie im Abschnitt 6 „Anforderungen der DiGAV an die Produkte“.

Am 16.07.2020 hat der Europäische Gerichtshof (EuGH) das Privacy-Shield-Abkommen für ungültig erklärt (EuGH, Urt. v. 16.7.2020; Az. C‑311/18) . Das Urteil, das sozialen Medien wie Facebook Grenzen setzen sollte, hat massive Auswirkungen. Beispielsweise sind auch Medizinproduktehersteller betroffen, die Patientendaten in den Clouds der US-Techgiganten speichern. 

Ein Design Change ist eine Änderung der Auslegung eines Produkts. Es ist wichtig zu verstehen, wann solch eine Änderung als Significant Design Change zählt. Denn bei einem „Significant Design Change“ müssen meist Behörden und Benannte Stellen informiert und das Produkt muss neu zugelassen werden.

Bei einem „Significant Design Change“ können sich Hersteller in Europa nicht mehr auf die Übergangsfristen berufen, die die MDR im Artikel 120 gewährt.

Ebenso sind die Hersteller von bisherigen Klasse-I-Produkten betroffen, die unter der MDR erstmalig eine Benannte Stelle einbeziehen müssen.

Lesen Sie hier, welche Designänderungen als signifikant gelten. Damit vermeiden Sie Gesetzesverstöße, die sogar mit Freiheitsstrafen geahndet werden!

Das Transfer Learning ist ein spezieller Ansatz beim Machine Learning. Damit bezeichnet man die Wiederverwendung eines vortrainierten Modells (pre-trained model) für ein neues Problem.

Diese Wiederverwendung kann mehr als nur redundante Trainingsarbeit ersparen. Sie bedingt aber, dass Hersteller sich auf neue Fragen von Auditoren und Prüfern einstellen müssen.

Das Recycling und die Entsorgung von Medizinprodukten überlassen viele Hersteller den Betreibern, z.B. den Krankenhäusern. Dabei bietet diese letzte Phase des Produktlebenszyklus den Herstellern neue Möglichkeiten: von der Differenzierung über Kosteneinsparungen bis hin zu neuen Geschäftsmodellen.

An neuen Konzepten sind auch die Krankenhäuser interessiert, die durch die anhaltende Pandemie ökonomisch unter Druck stehen und zudem wachsende Müllmengen zu entsorgen haben.

Ein Beitrag von und mit Professor Werner Lorke

Unter Software als Medizinprodukt (Software as Medical Devicem SaMD) versteht man standalone (eigenständige) Software, die ein Medizinprodukt (MP) ist, aber nicht Teil eines solchen.

Sie ist nicht zu verwechseln mit Medical Device Software im Sinne der EU.

Erfahren Sie als Hersteller, wann Sie Software als Medizinprodukt und wann als Medical Device Software qualifizieren müssen. Damit vermeiden Sie juristische Konsequenzen und unnötige Aufwände.

Das Bundesdatenschutzgesetz fordert die Anonymisierung und Pseudonymisierung von personenbezogenen Daten. Was sich hinter den beiden Begriffen verbirgt und wie Sie die gesetzlichen Anforderungen erfüllen, erläutert dieser Artikel.

Update: HIPAA Forderungen berücksichtigt