Interessanterweise haben nicht die Kliniken mit dem Artikel Bauchweh gehabt, sondern die Banken. Die Priorität, die viele Krankenhäuser und Klinikketten dem Thema DLP zuweisen, erscheint mir aber als das „heißere Eisen“. Die erste Erpressung durch die Veröffentlichung von Patientendaten steht uns offensichtlich erst noch bevor…

Mit besorgten Grüßen, Christian Johner

Die Donau-Universität plant für den nächsten Studiengang eine Preiserhöhung von ca. 1000,- EUR. All denjenigen, die sich bis Dezember für dieses Studium bewerben, sage ich aber den diesjährigen Preis zu. Geben Sie mir einfach Bescheid, wenn Sie Interesse haben. Falls Sie unsicher sind, empfehle ich Ihnen einen Schnuppertag am Institut, beispielsweise am 08. oder am 21. September, bei dem Sie nicht nur mit mir, sondern auch mit Studieren sprechen können. Dabei können wir abwägen, ob und wenn ja wie, Sie das Studium persönlich und in Ihrer Karriere beflügeln kann. Schicken Sie mir eine Nachricht, ich freue mich von Ihnen zu hören!

Herzliche Grüße, Ihr Christian Johner

Die DIW-Studie kommt zu dem Ergebnis, dass wir Deutschen 4,5 Mrd. verschenken, weil wir uns nicht ausreichend weiterbilden. Besonders interessant finde ich die Erkenntnis, dass 75 Prozent des (möglichen) Produktionswachstums durch die Nutzung der IT generiert würden. Bedauerlicherweise zielen jedoch nur 36 Prozent der Weiterbildungen auf die IT.

Aber nicht bei der Wahl des Themas (zuwenig IT), sondern auch hinsichtlich des Ergebnisses der Weiterbildung haben wir in Deutschland Nachholbedarf. Es gelingt uns durch die Weiterbildung nur 172 EUR pro Beschäftigtem und Jahr an Wertschöpfung zu generieren, während beispielsweise Schweden auf 329 EUR kommt. Noch weiter geht das Buch „Die Weiterbildungslüge“, das generell die Nachhaltigkeit von Seminaren anprangert. Dieses Problem beschäftigt mich seit längerem, und ich arbeite gerade an einem Konzept, welches die Umsetzung des Gelernten im Unternehmen sicherstellen wird. Mit den ersten interessierten Unternehmen bin ich intensiv dabei, dieses Konzept weiter zu entwickeln. Ich berichte demnächst mehr dazu.

Was mich genauso nachdenklich stimmt, ist die Tatsache, dass Weiterbildung noch immer ein Privileg der bereits Gebildeten zu sein scheint. Die oben genannte Studie stellt fest, dass sich 34% der Erwerbstätigen mit Hochschulabschluss aber nur 8% der Arbeitnehmer ohne Hochschulabschluss weiterbilden. Zu ähnlichen Ergebnissen bei Schülern kommt die Zeit in Ihrer aktuellen Ausgabe vom 27. November 2008. Hier nimmt Deutschland den unrühmlichen letzten Platz ein, weil die Schüler aus bildungsfernen Elternhäusern beim PISA-Mathetest am schlechtesten abschnitten (obige Abbildung).

Das halte ich besonders in der jetzigen wirtschaftlichen Lage für problematisch. Achim Berg (Geschäftsführung Microsoft Deutschland) stellt fest: „Berufliche Weiterbildung zahlt sich aus. Arbeitnehmer verdienen besser, erhöhen die  Produktivität und sichern dadurch den Erfolg des Unternehmens – und auch ihren eigenen Arbeitsplatz. Jobsuchende verbessern mit entsprechenden Zusatzkenntnissen ihre Chancen auf dem Arbeitsmarkt. IT-Kenntnisse spielen dabei eine entscheidende Rolle“.

Ich sehe es als meinen Auftrag, Menschen unabhängig von Ihrer Vorbildung zu unterstützen, wenn es um die Weiterbildung an der Nahtstelle von IT und Gesundheitswesen geht.

Herzliche Grüße, Christian Johner

Besorgte Grüße, Christian Johner

Dass man sich im Krankenhaus neue Krankheiten einfangen kann, wissen die meisten. Dass bei der Therapie von Krankheiten auch öfters was schief geht, ist mir ebenfalls klar. Dass aber auch die Therapie von Computerviren die Gesundheit schädigen kann, erschreckt dann schon.

So beschäftigt mich weiter die Frage, wie man hätte verfahren sollen,  wenn ein Virus trotz aller Sicherheitsmaßnahmen die klinischen IT-Systeme befällt:

• Soll man sofort ein Antivirusprogramm losschicken und die oben geschilderten Auswirkungen in Kauf nehmen?
• Oder soll man erst vorsichtig auf einem zweiten System testen, auch wenn dies Zeit kostet, in der der Virus die Systeme schädigen kann?

Ich freue mich über Ihre Kommentare!

Herzlichst, Christian Johner

Einen Patch auf den Rechnern einer Hochschule automatisiert einspielen zu lassen, mag sinnvoll sein. Das gleiche auf Systemen zu tun, die als Medizinprodukt klassifiziert sind, kann schlicht unzulässig sein. Es zu unterlassen u.U. ebenfalls. Eine logische Zwickmühle, eine echte „catch-22“ Situation.

Bitte Patch nicht sofort aufspielen!?

Ein Medizinprodukt ist ein durch Qualitätssicherungsprozesse “zertifiziertes” System. Die Hersteller gewährleisten nur dann, dass Ihre Systeme die „grundlegenden Anforderungen“ einhalten, wenn die Anwender an diesen Systemen keine Änderungen vornehmen. Das Aufspielen eines Windows-Patches, der vom Hersteller nicht auf seine Auswirkung auf das System geprüft wurde, stellt eine solche Änderung dar.

Bitte Patch sofort aufspielen!?

Andererseits zeigt die Erfahrung nicht nur deutscher Kliniken, dass die medizinischen Informationssysteme durch Würmer bereits stillgelegt wurden: Die Schadsoftware hatte soviel Netzwerklast verursacht, dass die Röntgengeräte nicht mehr mit dem RIS und das KIS nicht mehr mit dem LIS kommunizieren konnten. Welche Folgen ein Monitoring-System hat, das aufgrund von Netzwerküberlastung keine Alarme mehr übertragen bekommt, kann sich jeder selbst ausmalen.

Was tun?

Wir empfehlen zumindest das Folgende:

1. schützen Sie Ihre Infrastruktur durch geeignete Maßnahmen wie Firewalls, Antivirus-Software (muss bei Medizinprodukten mit dem Hersteller abgesprochen sein) und Verfahrensanweisungen für Anwender, IT und Medizintechnik. Auch eine Aufteilung der Netze in verschiedene Risikoklassen – so wie in einer der früheren Entwürfe zur IEC 80001 gefordert – kann eine geeignete Maßnahme sein.
2. prüfen Sie die Dokumentation Ihrer Medizinprodukte auf Hinweise, wie im Fall eines (Notfall-) Patches verfahren werden soll. Kommunizieren und schulen Sie diese Maßnahmen. Sie finden keine Hinweise dazu? Dann
3. verpflichten Sie Ihren Hersteller auf ein definiertes Vorgehen und legen Sie Verantwortlichkeiten vertraglich fest: In welcher Zeit muss wer welche Maßnahme ergriffen haben? Wer ist autorisiert, Patches aufzuspielen und wie viele Zeit wird dafür gewährt? Dieser Vertrag muss auch das Thema Haftung adressieren.
4. dokumentieren Sie Ihre komplette Netzwerk- und Medizingeräte-Infrastruktur. Identifizieren Sie mögliche Risiken. Bestimmen Sie eine Person – den Risikomanager – der diese Analyse und mögliche Maßnahmen kontinuierlich aktualisiert.
5. definieren Sie einen Eskalationsplan. Auch ein sehr gut abgesichertes Netzwerk ist gegen Schadsoftware nicht immun. Selbst andere Gründe können dazu führen, dass Teile Ihrer Infrastruktur nicht mehr verfügbar sind. Also regeln Sie:
   • Wie soll verfahren werden?
   • Wer übernimmt welche Aufgaben?
   • Was sind die Verantwortlichkeiten von Medizintechnik und IT?
   • In welcher Reihenfolge sind welche Systeme wieder herzustellen?
   • Wann und wie wird der Hersteller eingebunden?
   • Muss das BfArM informiert werden?

All diese Schritte zu planen und auch zu üben(!), ist aufwendig. Das stimmt. Im Krisenfall in unkoordinierte Panik zu verfallen, ist aber unprofessionell und stellt keine Alternative dar. Die Koordination sollte einem IT-Sicherheitsbeauftragten übertragen werden, also einem Experten in Sachen IT-Sicherheit. Leider haben nur die wenigsten Kliniken einen solchen Spezialisten und müssen sich notfalls externe Hilfe herbeiholen.

Herzliche Grüße, Ihr Christian Johner

Das Buch vermittelt das dazu notwendige Wissen: IT-Themen werden genauso behandelt wie Prozessmanagement und IT-Recht. Kommunikationsstandards werden ebenso erklärt wie betriebswirtschaftliche Grundlagen. Und Sie als Leser lernen, wie man Teams führt und Software gesetzeskonform entwickelt.

Ich bin sicher, dass es kein gleichartiges Buch auf dem Markt gibt. Es ist ein Buch von Praktikern für Praktiker. Ein Nachschlagewerk, das alle relevanten Themen umfasst und das Konzentrat dessen darstellt, was die Teilnehmenden in den berufsbegleitenden Masterstudiengängen lernen.

Nicht unwesentliche Teile des Sommers habe ich damit verbracht, eigene Texte zu schreiben und die meiner Autoren zu ergänzen und anzupassen. Damit wirkt das Buch nun wie aus einem Guss. Ab heutige ist es nun Aufgabe des Lektorats, dem Werk seinen letzten Schliff zu verpassen und es auf dem Markt zu bringen. Ich gestehe, dass es fast ein Kindheitstraum war, eines Tages bei Hanser ein Buch veröffentlichen zu dürfen. Dieser Traum dürfte in sehr absehbarer Zeit war werden.

Wenn Sie über den Veröffentlichungstermin informiert werden wollen, gar in den Genuss des Einführungsrabatts kommen möchten, den der Verlag nur sehr kurzfristig gewährt, sollten Sie sich unbedingt in den Newsletter des Instituts eintragen. Dieser hält Sie auch bei den Webinaren auf dem Laufenden. Übrigens: Das nächste Webinar findet am Dienstag statt.

Liebe Grüße, Christian Johner

Ich freue mich auch, dass ich die Veranstaltung mit einer einstündigen Keynote eröffnen darf. Und Sie als Leser meines Blogs können sich bereits heute die Präsentation dazu herunterladen. Ist das kein Service?

In der Hoffnung, Sie in München zu treffen,
Ihr Christian Johner

1. Wie unterscheidet sich die Zulassung von Software als Medizinprodukt (genau genommen muss man vom Konformitätsbewertungsverfahren sprechen) von der Zulassung anderer Medizinprodukte?
2. Was sind die typischen Fehler, welche dem Auditor bei Softwareentwicklungsabteilungen auffallen?

Dr. Wagners Antworten sind kurz und präzise – so wie man das von einem Auditor eben erwartet:

Besonderheiten bei der Zulassung medizinischer Software

Hier gibt es zuerst keine besonderen Forderungen. Wie bei allen Produkten muss der Hersteller die grundlegenden Anforderungen, die in der Medizinprodukterichtlinie 93/42/EC genannt sind, erfüllen. Diesen Nachweis kann der Hersteller besonders einfach erbringen, wenn er die Einhaltung von Normen, besonders von harmonisierten Normen nachweist.  Bei Software, die gemeinsam mit Hardware zugelassen wird, zählen zu diesen Normen sicher die Mitglieder der Normenfamilie IEC 60601-1. Besonders zu nennen sind die IEC 60601-1-4 und die IEC 60601-1-6 (Gebrauchstauglichkeit). Demnächste wird eine weitere Norm harmonisiert, die IEC 62304, die den Lebenszyklus von medizinischer Software beschreibt.

Auch beim Konformitätsbewertungsverfahren gibt es ein paar Unterschiede, weil einige Verfahren  nicht besonders für Software anwendbar sind. Beispielsweise könnten Medizinprodukte der Klasse I mit Messfunktion nach Anhang VII für die Entwicklung und für die Produktion nach einem der Anhänge IV, V oder VI zugelassen werden. Somit würde die benannte Stelle die Produktion überwachen. Die Produktion beschränkt sich aber auf die Vervielfältigung von CDs, und das stellt nun wirklich nicht das Hauptproblem dar. Auch eine Baumusterprüfung (Anhang III) eignet sich eher für Prüfung der mechanischen oder elektrischen Sicherheit von Medizingeräten und weniger der Überprüfung von Millionen Code-Zeilen. Insofern muss der Entwicklungsprozess und nicht nur das Endprodukt geprüft werden.

Das Konformitätsbewertungsverfahren insgesamt – und das sein nochmals betont – unterscheidet sich nicht.

Typische Fehler 

Ich muss gestehen, hier war ich schon neugierig, was ein so erfahrener Auditor typischerweise als Problem findet. So berichtet mit Dr. Wagner:

Speziell bei kleineren Firmen fehlen Ressourcen für Dokumentation.

• Dies wirkt sich dahingehend aus, dass die Spezifikation sowie die Verifikation und Validierung nicht ausreichend dokumentiert sind. Bei letzteren wird nicht dargelegt, was die Inputs, was die Outputs, was die Erwartungswerte und was die Akzeptanzkriterien sind. 
• Ebenfalls unzureichend dokumentiert sind in der Software verbliebene Anomalien und die Kriterien für deren Akzeptanz. 
• Weiterhin fällt auf, dass mangelndes Konfigurationsmanagement zu nicht konsistenter Dokumentation, speziell des Technical Files, führt. So kann nicht mehr reproduziert werden, welche Version der Unterlagen zum Zeitpunkt der Einreichung und zum jetzigen Zeitpunkt aktuell waren bzw. sind. 
• An das oben Gesagte: Bei den Prüfaufzeichnungen fehlen oft Informationen darüber “wer hat geprüft”, “was wurde geprüft”. 
• Und schließlich fällt auf, dass nur unzureichend rückverfolgbar ist, ob und wie die Anforderungen und die Risikokontrollmaßnahmen bei der Umsetzung und der Verifikation bzw. Validierung berücksichtigt wurden. 

Man kann, so Dr. Wagner, aber keineswegs behaupten, dass kleine Firmen schlechter seien. Die großen Firmen haben aufgrund der zahlreichen internen und externen Schnittstellen, z.B. zu externen Dienstleistern, einen besonderen Dokumentationsaufwand und -bedarf.

Soweit der erste Teil meines Reiseberichts. Demnächst berichte ich über das Thema “Wann wird Software zum Medizinprodukt?”

Bis dann,

liebe Grüße

Euer Christian

Jeder spricht davon, wie notwendig die Digitalisierung im Gesundheitswesen ist, und fordert das papierlose Krankenhaus. Doch was passiert vielerorts? Dokumente werden einfach gescannt. Arztbriefe als unstrukturierter Text erfasst. So füllen Terrabyte dieser Texte die Datenbanken der Krankenhausinformationssysteme. Daten die kaum durchsucht oder gar ausgewertet werden können. Oder konnten?

Dr. Daumkes Unternehmen Averbis scheint mit der Entwicklung ihrer Produkte einen Durchbruch erreicht zu haben. Der ideale Zeitpunkt für Investoren?!

PS: Wer sich für das Thema Datensicherheit und Datenschutz interessiert, sollte unbedingt ein Webinar oder Seminar von Peter Pharow am Institut besuchen.