In den letzten 10 Jahren habe ich an wirklich vielen Audits teilgenommen – manchmal als Auditor, manchmal als Auditierter. Dabei ist mir eins klar geworden:

Wie wichtig auch die Phase *nach* der Entwicklung ist. Die Phase, in der Sie Rückmeldungen zu Ihrem Medizinprodukt bekommen. Es liegt sicher nicht am Sadismus der Auditoren, dass diese immer und immer wieder Abweichungen feststellen, mal nur als Minor Non-Conformity, mal mit der Konsequenz, dass das Zertifikat verweigert wird.

Damit Sie nicht in so eine unangenehme Situation kommen, habe ich all meine Erfahrungen, die ich in den Audits der letzten gesammelt habe, zusammengefasst und zwei webbased Trainings dazu entwickelt. Darin

• fasse ich für Sie kurz und leicht verständlich zusammen, was die Normen, speziell die ISO 13485, die IEC 62304 und die ISO 14971 wirklich verlangen,
• verrate ich Ihnen die häufigsten Fragen, die die Auditoren stellen,
• gebe ich Ihnen Tipps, welche Werkzeuge Sie einsetzen können und
• welche Parameter Sie erfassen und auswerten sollten.

Das erste dieser Trainings steht seit heute im Institutsclub für Sie bereit. Sie sind noch kein Mitglied? Dann beantragen Sie gleich die kostenlose und unverbindliche Probemitgliedschaft im Institutsclub. Sie gehen damit kein Risiko ein, Sie müssen die Probemitgliedschaft weder aktiv beenden, noch wandelt sie sich in eine Vollmitgliedschaft. Ist doch fair, oder?

Apps sind cool – speziell für das Gesundheitswesen. Zulassung und Konformitätsbewertung sind es weniger. Zumindest drängt sich mir dieser Eindruck auf, als ich die Beschreibung eines DICOM-Viewers für das iPhone und iPad lese.

Die Firma iPaxera wirbt mit einer

“sehr schnellen und einfach zu bedienenden PACS Applikation speziell entwickelt zum Betrachten und Befunden der Untersuchungen (DICOM Images) mit Ihrem IPad/iPhone/iPod”. Und weiter “iPaxera unterstützt DICOM Cine (Multi Frame) mit interaktivem Playback und ist sehr nützlich beim Anzeigen von Herzkatheder und Ultraschall Untersuchungen.”

Zum Befunden von Untersuchungen!? Damit ist die Software definitionsgemäß ein Medizinprodukt. Der Hersteller scheint das zu ahnen und schränkt ein:

“iPaxera hat noch nicht die 510(K) Freigabe der FDA erhalten. Daher soll iPaxera in der Zwischenzeit nur für weniger bedeutende Untersuchungen verwendet werden.”

Muss ich das verstehen? Es gibt weniger bedeutende Herzkatheder-Untersuchungen? War mir neu.

Neu war mir auch, dass eine FDA-Zulassung für den europäischen Markt ausreicht. Die deutschsprachige Webseite lässt zumindest vermuten, dass auch Kunden in Deutschland angesprochen sind. Damit haben wir eine Inverkehrbringung.

Ich empfinde es als befremdlich, wie sich der Hersteller, die Paxeramed Corp, wissentlich über Recht hinwegsetzt. Dabei ist doch Hilfe beim Zulassen von Software als Medizinprodukt doch wahrlich verfügbar.

Danke an Stephan Popp für den Tipp

McAfee hat die Jahresprognose zur Cybersicherheit 2012 erstellt. Ein Abschnitt bereitet mir dabei besondere Sorgen:

“Hardwaregebundene Software kommt zum Beispiel in Autos, medizinischen Geräten, GPS-Empfängern, Routern, Digitalkameras und Druckern zum Einsatz. McAfee Labs erwartet, dass Hacker ab 2012 mit wachsendem Erfolg über “Proof-of-Concept-Codes” ausloten, ob und wie sie in diese Systeme eindringen können. Die dabei verwendeten hardwarespezifischen Schadprogramme versetzen sie in die Lage, Systeme und Daten langfristig und in großem Umfang zu manipulieren oder gar vollständig unter ihre Kontrolle zu bringen.”

Das hat Auswirkungen auf die Risikoanalyse, die die Medizinproduktehersteller erstellen müssen. Und diese Risikoanalyse wird möglicherweise ergeben, dass es Schutzmaßnahmen bedarf. Dinge, die man bisher als “vernünftigerweise nicht vorhersagbar” eingestuft hat, gilt es auf einmal zu betrachten.

Prüfen Sie, ob auch Ihre Produkte durch derartige Angriffe verwundbar sind! Wir haben schon genügend BfArM-Meldungen…

Ihr Chef ist ein selbstgefälliger Besserwisser? Ihre Kollege faul oder intrigant? Bereits das Aufstehen am Morgen widert Sie an und das Sie bekommen am Urlaubsende regelmäßig ein nervöse Bauchschmerzen?

Dann kündigen Sie bloß nicht! Denn momentan haben Sie nur ein “Weg-von-Motivation”. Sobald Sie aber weg sind, stehen Sie da – ohne Idee und ohne Motivation.

Was Sie jetzt brauchen ist eine “Hin-zu-Motivation”. Das setzt natürlich voraus, dass Sie wissen, was Sie wollen, dass Sie die Speisekarte an Möglichkeiten kennen. Doch woher?

Sie haben zumindest zwei Ansatzpunkte:

• Zum einen sollten Sie nachdenken, wie Ihr Traumjob beschaffen sein soll. Was Sie tun wollen, für wie viele Stunden täglich, an welchem Ort und mit welchen Menschen. Schreiben Sie das auf!
• Zum anderen können Sie bei mir vorbei kommen. Beispielsweise im Rahmen eines Schnuppertags am Institut. Geben Sie mir Bescheid, ich nehme mir Zeit für Sie, um Ihre Situation zu besprechen, um zu klären, wie Sie Ihren Weg am besten gehen.

Also rennen Sie nicht von etwas weg, sondern auf ein perfektes Leben zu. Ob das dann beim bisherigen Arbeitgeber sein wird, ist eine zweitrangige Frage.

Melden Sie sich bei mir. Ich helfe kostenlos und unverbindlich.

Zu meinem gestrigen Beitrag und meiner Frage, welche weiteren Kriterien noch relevant sein können, haben mich exzellente Antworten erreicht:

• Kann man den SOUP-Hersteller auditieren? (z.B. ein Lieferantenaudit des Entwicklungsprozesses und des Wartungsprozesses)
• Gibt es Berichte aus vorangegangenen Audits?
• Ist ein QM-System beim SOUP-Hersteller vorhanden? (z.B. nach Normen ISO 9001, ISO 13485, etc.)
• Ist die SOUP in anderen Medizinprodukten bereits im Einsatz?

Mit herzlichem Dank u.a. an Nadica Hrgarek aus Innsbruck!

Was schief gehen kann, geht schief. Das ist eine Binsenweisheit. Was mir aber einer meiner Master-Studenten am Institut über die KIS-Migration in einer Schwesterklinik erzählt, überrascht dann doch:

Die Kurzzusammenfassung wäre: Das Projekt war kein voller Erfolg. Die etwas längere Version ist:

• Die Phase Anforderungsanalyse hat man großzügig übersprungen.
• Man baute kein ganzheitliches Projektmanagement auf.
• Kommunikationswege waren nicht geregelt.
• Man hoffe, ein Projektplanungswerkzeug würde ausreichen. Dieses Werkzeug nutzte nur niemand.
• Die Ärzte als Interessensgruppe “vergaß” man.
• Zusätzliche Ressourcen für dieses Projekt wurden keine bereitgestellt. Man lastete es den Mitarbeitern einfach noch zusätzlich auf.
• Die Person, die für die Schulung verantwortlich gewesen wäre, wechselte in ein anderes Projekt.
• Auch standen die Lieferanten bereits unmittelbar nach dem Start des Projekts nicht mehr zur Verfügung.
• Die Anpassung der Software an die Gegebenheiten der Klinik erfolgten ebenso wenig wie die Bereitstellung der dazu notwendigen Hardware.

Ich bin sicher: Hätte man diese Liste der Versäumnisse und Fehler den Beteiligten vor dem Projekt gezeigt, hätten sie es ausgeschlossen, dass ihnen so etwas passieren kann. Aber es passiert. In dieser Klinik und vielen anderen. Doch woran liegt das?

• Ignoranz?
• Unwichtigkeit des Projekts?
• Mangelndes Fachwissen und fehlende Kompetenzen?

Zumindest im letzteren Fall hätte das berufsbegleitende Masterstudium “IT im Gesundheitswesen” helfen können. Denn hier stehen Themen auf dem Stundenplan wie

• Kommunikation, Verhandlungsführung
• Projektmanagement
• Anforderungsanalyse/Requirements Engineering
• Rechenzentrumsbetrieb
• usw.

Ein Studium wäre wohl um Größenordnungen günstiger gewesen als die Scherben dieses Projekts zu beseitigen. Vom Frust, den man sich hätte sparen können, ganz zu schweigen.

Interessiert? Dann melden Sie sich doch einfach bei mir.

Gerade “reviewe” ich die Curricula für den “Certified Professional for Medical Software” (CPMS). Eines der Lehrziele lautet:

“Die Lernenden kennen die Kriterien zur Auswahl von SOUPs”.

Doch was sind geeignete Kriterien?

Quelle: iStockphoto

Bisher sind uns folgende Kriterien eingefallen, die geeignet sind, um über den Einsatz der SOUP zu entscheiden:

• Bietet die SOUP die Funktionalität, die wir benötigen?
• Können wir der SOUP die von ihr notwendigen Laufzeitbedingungen wie Hardware, RAM, Betriebssystem usw. bereitstellen?
• Wie oft ist diese SOUP im Einsatz? =>Abschätzen der Fehlerwahrscheinlichkeit
• Veröffentlicht der Hersteller Buglisten? => Input für die Risikoanalyse
• Ist eine technische Dokumentation der SOUP verfügbar? Beispielsweise eine Architektur?
• Sind gar Testergebnisse wie beispielsweise bei den Apache-Projekten einsehbar?
• Ist möglicherweise sogar der Source-Code erhältlich?

Fallen Ihnen noch weitere relevante Kriterien ein? Dann schreiben Sie mir. Dann können wir diese im Curriculum berücksichtigen.

Das Bundesministerium für Bildung und Forschung hat den Bürgerreport “Hightech Medizin – Welche Gesundheit wollen wir?” veröffentlicht.

Darin werden verschiedene Themenbereiche adressiert wie

• Datenschutz
• Gesundheitskarte
• Telemedizin und Telemonitoring
• Neue Berufsbilder
• Eigenverantwortung der Patienten

Gefreut hat mich auch die “Handlungsempfehlung III: Technik nutzerfreundlich gestalten”

Dazu ist geschrieben:

Die Technik soll für die verschiedenen Zielgruppen (medizinisches und Pflegepersonal, Patienten, Angehörige etc.) intuitiv bedienbar und verständlich sein. Neue Technologien müssen in die Betreuungsprozesse integriert werden. Das medizinische Personal soll in der Lage sein und Zeit haben, den Patienten über die Funktionalitäten der Medizingeräte aufzuklären und zu erklären, wie man sie nutzt.

Wie Recht haben sie! Leider wissen die wenigsten, wie man solche Technik “nutzerfreundlich gestaltet”. Außer man war beim Seminar “Usability, Requirements und IEC 62366″ meines Gurus Thomas Geis. Wer an diesem Seminar noch nicht teilgenommen hat, ist selbst schuld! Wirklich, für mich war es eines der Momente im Leben, wo ich vieles neu verstand. Einer meiner ganz großen Aha-Erlebnisse. So geht es übrigens auch den Teilnehmer meiner Masterstudiengänge. Nach den zwei Tagen bei Thomas Geis werden üblicherweise einige Projekt- und Masterarbeiten neu geschrieben.

Melden Sie sich bitte rechtzeitig an, am besten gleich. Ich habe in 2012 nur zwei Termine ergattern können.

“Medizin-Apps: Applaus oder Appfall?” titelt DocCheck in einem aktuellen Beitrag. Ein Beitrag zu einem wichtigen Thema – Apps für das Gesundheitswesen. Ein Beitrag, der Probleme anreist. Ein Beitrag, der meines Erachtens aber zu viele gefährliche Halbwahrheiten enthält. Gefährlich, weil Schlussfolgerungen nahegelegt werden, die geradezu fatale Konsequenzen nach sich ziehen können.

Der Autor hat absolut Recht, die Apps verbreiten sich rasend schnell, ohne dass die grundlegenden Anforderungen eingehalten werden. Das habe ich in einem früheren Beitrag bereits moniert.

Folgende Aussagen bereiten mir aber Bauchweh:

• “Ob Geräte unter das MPG fallen, entscheidet einzig und alleine der Hersteller”. Das ist eine zumindest missverständliche Formulierung. Richtig wäre: “Einzig und alleine der Hersteller entscheidet über die Zweckbestimmung.” Sobald diese Zweckbestimmung einer der Definitionen des MPGs genügt, ist das Produkt ein Medizinprodukt. Egal was der Hersteller dazu sagt, gleich ob er das Produkt als Medizinprodukt deklariert oder nicht. Die Definition ist das Entscheidende, genau sie wird ein Richter im Zweifelsfall bemühen.
• Was soll der Satz “Der Gesetzgeber sieht lediglich eine Prüfung nach geltendem EU-Recht” vor? (Gemeint ist wahrscheinlich nach bundesdeutschem Recht, das auf die EU-Richtlinien, konkret Anhang I verweist.)
  Ja nach was soll denn sonst geprüft werden? Gibt es jetzt auf einmal ein zweites Rechtssystem? Sollen, wie der Autor vorschlägt, Verbraucherschutzverbände darüber entscheiden? Da wird mir angst und bange. Die Vorstellung, dass ein Vertreter eines Verbraucherschutzverbands und nicht mehr Auditoren und damit Fachleute für Risikomanagement, Software-Engineering und Qualitätssicherung beteiligt sind, halte ich für absurd. Davon abgesehen: Welches Rechtsverständnis liegt hier zugrunde? Eine Institution wird zum Gesetzgeber, Richter und Henker in einer Person?
• Dass Ãœbertragungswege und Netzwerk-Komponenten nicht in den Zuständigkeitsbereich des MPG fallen, ist falsch. Der Hersteller muss im Rahmen der Zweckbestimmung genau diese Ãœbertragungswege definieren und im Risikomanagement berücksichtigen. Dass es hierbei Defizite gibt, stimmt jedoch.
• Mir war neu, dass die IEC 80001 einen besonderen Fokus auf dem Datenschutz hat. Und der Datenschutz ist in Deutschland sicher nicht unterreguliert. Wieso beklagt der Autor mangelnde Verpflichtungen?
• Indirekt wird der Eindruck erweckt, als gäbe es in Europa keine Prüfungen. Die gibt es aber bei Konformitätsbewertungen nach Anhang III explizit, bei denen nach Anhang II indirekt. Es gibt ausreichend Studien, die die Leistungsfähigkeit des europäischen Ansatzes belegen, der sich vor dem der FDA nicht zu verstecken braucht. In diesem Blog habe ich bereits darüber berichtet. Ich weiß nicht, an wie vielen Audits der Autor teilgenommen hat. Wenn er so viele schwitzende und nahezu ängstliche Vertreter der Hersteller gesehen hätte wie ich, würde sein Urteil möglicherweise anders ausfallen.
• Dass die Röntgenverordnung Tablet-PCs für die Primärbefundung verbietet, stimmt in dieser Form nicht, wie das der direkte Link vermuten lässt. Sicher: Die eigentliche Hürde wird die Kalibrierung und der Nachweis der grundlegenden Anforderungen in einer nicht nur mit Bezug auf die Beleuchtung schwer zu kontrollierenden Gebrauchsumgebung sein.
• Tablet-PCs mögen potenzielle Keimschleudern sein. Dem möchte ich nicht widersprechen. Sie sind aber immer noch leichter zu reinigen als manches Notebook oder auf einem Visitenwagen montierter PC.

Trotz dieser Bedenken möchte ich einige Gedanken des Autors bekräftigen:

• Das Maß, in dem deutsche Behörden proaktiv überwachen und eingreifen, stellt ein Problem dar. Die Explosion an Softwarefehlern (ich hatte bereits mehrfach berichtet) scheint ohne erkennbare Konsequenzen zu bleiben.
• Die Risiken, die durch die Vielzahl an Apps entstehen, sind nicht ausreichend untersucht. Hier schlampen die meisten Hersteller fundamental.
• Dennoch: Die Möglichkeiten, die sich durch diese Geräteklasse entstanden sind, sind faszinierend.

Der Trend zu mobilen Anwendungen im Gesundheitswesen, zu SmartPhones und Tablets, wird sich so einfach nicht umkehren lassen. Auch nicht durch eine FDA, die wie der Autor richtig sagt, konkretere Richtlinien publiziert hat als die Europäer.

Sie kennen die conhIT, den jährlich stattfindenden Branchentreff der Healthcare IT in Berlin? Dann wissen Sie auch, dass diese hochkarätige Kombination aus Fachmesse, Kongress und Akademie nicht kostenlos ist.
Dieses Jahr – und nur bis zum 31.01.2012 (!) – können Sie die Eintrittskarten für Fachmesse und Kongress kostenlos bestellen! Sie müssen nur den etwas kryptischen Link kennen: [hier klicken]. Sichern Sie sich gleich diese zeitlich befristete Chance!

Mein Tipp: Buchen Sie mindestens eins der Akademieseminare mit! Beispielsweise das zum Thema Geschäftsprozessmodellierung mit BPMN. Wer sich mit klinischen Workflows befasst, wer Abläufe in klinischen Informationssystemen abbilden möchte, sollte diese „state-of-the-art“ Modellierungssprache beherrschen. Denn, das ist zumindest meine Meinung: EPKs sind langsam „out“.

Normalerweise kostet solch ein erstklassiger halbtägiger Workshop 250 EUR. Mit sensationellen 75 EUR sind Sie dabei. Ich finde, das ist ein absolutes Schnäppchen. Übrigens: Diesen „Hands-on-Workshop“ begleite und orchestriere ich persönlich und gehe fest davon aus, dass er wie letztes Jahr bald ausverkauft sein wird.

Also zögern Sie nicht, sparen Sie bares Geld und bestellen Sie diesen Akademie-Workshop und Ihre kostenlose Eintrittskarte gleich jetzt!

Wir sehen uns spätestens in Berlin!