Holen Sie sich das kostenlose Infopaket, das Ihnen hilft, Ihr Medizinsoftware-Audit sicher zu bestehen. Mit diesem Infopaket Den ganzen Beitrag lesen »

McAfee hat die Jahresprognose zur Cybersicherheit 2012 erstellt. Ein Abschnitt bereitet mir dabei besondere Sorgen:

“Hardwaregebundene Software kommt zum Beispiel in Autos, medizinischen Geräten, GPS-Empfängern, Routern, Digitalkameras und Druckern zum Einsatz. McAfee Labs erwartet, dass Hacker ab 2012 mit wachsendem Erfolg über “Proof-of-Concept-Codes” ausloten, ob und wie sie in diese Systeme eindringen können. Die dabei verwendeten hardwarespezifischen Schadprogramme versetzen sie in die Lage, Systeme und Daten langfristig und in großem Umfang zu manipulieren oder gar vollständig unter ihre Kontrolle zu bringen.”

Das hat Auswirkungen auf die Risikoanalyse, die die Medizinproduktehersteller erstellen müssen. Und diese Risikoanalyse wird möglicherweise ergeben, dass es Schutzmaßnahmen bedarf. Dinge, die man bisher als “vernünftigerweise nicht vorhersagbar” eingestuft hat, gilt es auf einmal zu betrachten.

Prüfen Sie, ob auch Ihre Produkte durch derartige Angriffe verwundbar sind! Wir haben schon genügend BfArM-Meldungen…

Ihr Chef ist ein selbstgefälliger Besserwisser? Ihre Kollege faul oder intrigant? Bereits das Aufstehen am Morgen widert Sie an und das Sie bekommen am Urlaubsende regelmäßig ein nervöse Bauchschmerzen?

Dann kündigen Sie bloß nicht! Denn momentan haben Sie nur ein “Weg-von-Motivation”. Sobald Sie aber weg sind, stehen Sie da – ohne Idee und ohne Motivation.

Was Sie jetzt brauchen ist eine “Hin-zu-Motivation”. Das setzt natürlich voraus, dass Sie wissen, was Sie wollen, dass Sie die Speisekarte an Möglichkeiten kennen. Doch woher?

Sie haben zumindest zwei Ansatzpunkte:

• Zum einen sollten Sie nachdenken, wie Ihr Traumjob beschaffen sein soll. Was Sie tun wollen, für wie viele Stunden täglich, an welchem Ort und mit welchen Menschen. Schreiben Sie das auf!
• Zum anderen können Sie bei mir vorbei kommen. Beispielsweise im Rahmen eines Schnuppertags am Institut. Geben Sie mir Bescheid, ich nehme mir Zeit für Sie, um Ihre Situation zu besprechen, um zu klären, wie Sie Ihren Weg am besten gehen.

Also rennen Sie nicht von etwas weg, sondern auf ein perfektes Leben zu. Ob das dann beim bisherigen Arbeitgeber sein wird, ist eine zweitrangige Frage.

Melden Sie sich bei mir. Ich helfe kostenlos und unverbindlich.

Zu meinem gestrigen Beitrag und meiner Frage, welche weiteren Kriterien noch relevant sein können, haben mich exzellente Antworten erreicht:

• Kann man den SOUP-Hersteller auditieren? (z.B. ein Lieferantenaudit des Entwicklungsprozesses und des Wartungsprozesses)
• Gibt es Berichte aus vorangegangenen Audits?
• Ist ein QM-System beim SOUP-Hersteller vorhanden? (z.B. nach Normen ISO 9001, ISO 13485, etc.)
• Ist die SOUP in anderen Medizinprodukten bereits im Einsatz?

Mit herzlichem Dank u.a. an Nadica Hrgarek aus Innsbruck!

Was schief gehen kann, geht schief. Das ist eine Binsenweisheit. Was mir aber einer meiner Master-Studenten am Institut über die KIS-Migration in einer Schwesterklinik erzählt, überrascht dann doch:

Die Kurzzusammenfassung wäre: Das Projekt war kein voller Erfolg. Die etwas längere Version ist:

• Die Phase Anforderungsanalyse hat man großzügig übersprungen.
• Man baute kein ganzheitliches Projektmanagement auf.
• Kommunikationswege waren nicht geregelt.
• Man hoffe, ein Projektplanungswerkzeug würde ausreichen. Dieses Werkzeug nutzte nur niemand.
• Die Ärzte als Interessensgruppe “vergaß” man.
• Zusätzliche Ressourcen für dieses Projekt wurden keine bereitgestellt. Man lastete es den Mitarbeitern einfach noch zusätzlich auf.
• Die Person, die für die Schulung verantwortlich gewesen wäre, wechselte in ein anderes Projekt.
• Auch standen die Lieferanten bereits unmittelbar nach dem Start des Projekts nicht mehr zur Verfügung.
• Die Anpassung der Software an die Gegebenheiten der Klinik erfolgten ebenso wenig wie die Bereitstellung der dazu notwendigen Hardware.

Ich bin sicher: Hätte man diese Liste der Versäumnisse und Fehler den Beteiligten vor dem Projekt gezeigt, hätten sie es ausgeschlossen, dass ihnen so etwas passieren kann. Aber es passiert. In dieser Klinik und vielen anderen. Doch woran liegt das?

• Ignoranz?
• Unwichtigkeit des Projekts?
• Mangelndes Fachwissen und fehlende Kompetenzen?

Zumindest im letzteren Fall hätte das berufsbegleitende Masterstudium “IT im Gesundheitswesen” helfen können. Denn hier stehen Themen auf dem Stundenplan wie

• Kommunikation, Verhandlungsführung
• Projektmanagement
• Anforderungsanalyse/Requirements Engineering
• Rechenzentrumsbetrieb
• usw.

Ein Studium wäre wohl um Größenordnungen günstiger gewesen als die Scherben dieses Projekts zu beseitigen. Vom Frust, den man sich hätte sparen können, ganz zu schweigen.

Interessiert? Dann melden Sie sich doch einfach bei mir.

Gerade “reviewe” ich die Curricula für den “Certified Professional for Medical Software” (CPMS). Eines der Lehrziele lautet:

“Die Lernenden kennen die Kriterien zur Auswahl von SOUPs”.

Doch was sind geeignete Kriterien?

Quelle: iStockphoto

Bisher sind uns folgende Kriterien eingefallen, die geeignet sind, um über den Einsatz der SOUP zu entscheiden:

• Bietet die SOUP die Funktionalität, die wir benötigen?
• Können wir der SOUP die von ihr notwendigen Laufzeitbedingungen wie Hardware, RAM, Betriebssystem usw. bereitstellen?
• Wie oft ist diese SOUP im Einsatz? =>Abschätzen der Fehlerwahrscheinlichkeit
• Veröffentlicht der Hersteller Buglisten? => Input für die Risikoanalyse
• Ist eine technische Dokumentation der SOUP verfügbar? Beispielsweise eine Architektur?
• Sind gar Testergebnisse wie beispielsweise bei den Apache-Projekten einsehbar?
• Ist möglicherweise sogar der Source-Code erhältlich?

Fallen Ihnen noch weitere relevante Kriterien ein? Dann schreiben Sie mir. Dann können wir diese im Curriculum berücksichtigen.

Das Bundesministerium für Bildung und Forschung hat den Bürgerreport “Hightech Medizin – Welche Gesundheit wollen wir?” veröffentlicht.

Darin werden verschiedene Themenbereiche adressiert wie

• Datenschutz
• Gesundheitskarte
• Telemedizin und Telemonitoring
• Neue Berufsbilder
• Eigenverantwortung der Patienten

Gefreut hat mich auch die “Handlungsempfehlung III: Technik nutzerfreundlich gestalten”

Dazu ist geschrieben:

Die Technik soll für die verschiedenen Zielgruppen (medizinisches und Pflegepersonal, Patienten, Angehörige etc.) intuitiv bedienbar und verständlich sein. Neue Technologien müssen in die Betreuungsprozesse integriert werden. Das medizinische Personal soll in der Lage sein und Zeit haben, den Patienten über die Funktionalitäten der Medizingeräte aufzuklären und zu erklären, wie man sie nutzt.

Wie Recht haben sie! Leider wissen die wenigsten, wie man solche Technik “nutzerfreundlich gestaltet”. Außer man war beim Seminar “Usability, Requirements und IEC 62366″ meines Gurus Thomas Geis. Wer an diesem Seminar noch nicht teilgenommen hat, ist selbst schuld! Wirklich, für mich war es eines der Momente im Leben, wo ich vieles neu verstand. Einer meiner ganz großen Aha-Erlebnisse. So geht es übrigens auch den Teilnehmer meiner Masterstudiengänge. Nach den zwei Tagen bei Thomas Geis werden üblicherweise einige Projekt- und Masterarbeiten neu geschrieben.

Melden Sie sich bitte rechtzeitig an, am besten gleich. Ich habe in 2012 nur zwei Termine ergattern können.

“Medizin-Apps: Applaus oder Appfall?” titelt DocCheck in einem aktuellen Beitrag. Ein Beitrag zu einem wichtigen Thema – Apps für das Gesundheitswesen. Ein Beitrag, der Probleme anreist. Ein Beitrag, der meines Erachtens aber zu viele gefährliche Halbwahrheiten enthält. Gefährlich, weil Schlussfolgerungen nahegelegt werden, die geradezu fatale Konsequenzen nach sich ziehen können.

Der Autor hat absolut Recht, die Apps verbreiten sich rasend schnell, ohne dass die grundlegenden Anforderungen eingehalten werden. Das habe ich in einem früheren Beitrag bereits moniert.

Folgende Aussagen bereiten mir aber Bauchweh:

• “Ob Geräte unter das MPG fallen, entscheidet einzig und alleine der Hersteller”. Das ist eine zumindest missverständliche Formulierung. Richtig wäre: “Einzig und alleine der Hersteller entscheidet über die Zweckbestimmung.” Sobald diese Zweckbestimmung einer der Definitionen des MPGs genügt, ist das Produkt ein Medizinprodukt. Egal was der Hersteller dazu sagt, gleich ob er das Produkt als Medizinprodukt deklariert oder nicht. Die Definition ist das Entscheidende, genau sie wird ein Richter im Zweifelsfall bemühen.
• Was soll der Satz “Der Gesetzgeber sieht lediglich eine Prüfung nach geltendem EU-Recht” vor? (Gemeint ist wahrscheinlich nach bundesdeutschem Recht, das auf die EU-Richtlinien, konkret Anhang I verweist.)
  Ja nach was soll denn sonst geprüft werden? Gibt es jetzt auf einmal ein zweites Rechtssystem? Sollen, wie der Autor vorschlägt, Verbraucherschutzverbände darüber entscheiden? Da wird mir angst und bange. Die Vorstellung, dass ein Vertreter eines Verbraucherschutzverbands und nicht mehr Auditoren und damit Fachleute für Risikomanagement, Software-Engineering und Qualitätssicherung beteiligt sind, halte ich für absurd. Davon abgesehen: Welches Rechtsverständnis liegt hier zugrunde? Eine Institution wird zum Gesetzgeber, Richter und Henker in einer Person?
• Dass Ãœbertragungswege und Netzwerk-Komponenten nicht in den Zuständigkeitsbereich des MPG fallen, ist falsch. Der Hersteller muss im Rahmen der Zweckbestimmung genau diese Ãœbertragungswege definieren und im Risikomanagement berücksichtigen. Dass es hierbei Defizite gibt, stimmt jedoch.
• Mir war neu, dass die IEC 80001 einen besonderen Fokus auf dem Datenschutz hat. Und der Datenschutz ist in Deutschland sicher nicht unterreguliert. Wieso beklagt der Autor mangelnde Verpflichtungen?
• Indirekt wird der Eindruck erweckt, als gäbe es in Europa keine Prüfungen. Die gibt es aber bei Konformitätsbewertungen nach Anhang III explizit, bei denen nach Anhang II indirekt. Es gibt ausreichend Studien, die die Leistungsfähigkeit des europäischen Ansatzes belegen, der sich vor dem der FDA nicht zu verstecken braucht. In diesem Blog habe ich bereits darüber berichtet. Ich weiß nicht, an wie vielen Audits der Autor teilgenommen hat. Wenn er so viele schwitzende und nahezu ängstliche Vertreter der Hersteller gesehen hätte wie ich, würde sein Urteil möglicherweise anders ausfallen.
• Dass die Röntgenverordnung Tablet-PCs für die Primärbefundung verbietet, stimmt in dieser Form nicht, wie das der direkte Link vermuten lässt. Sicher: Die eigentliche Hürde wird die Kalibrierung und der Nachweis der grundlegenden Anforderungen in einer nicht nur mit Bezug auf die Beleuchtung schwer zu kontrollierenden Gebrauchsumgebung sein.
• Tablet-PCs mögen potenzielle Keimschleudern sein. Dem möchte ich nicht widersprechen. Sie sind aber immer noch leichter zu reinigen als manches Notebook oder auf einem Visitenwagen montierter PC.

Trotz dieser Bedenken möchte ich einige Gedanken des Autors bekräftigen:

• Das Maß, in dem deutsche Behörden proaktiv überwachen und eingreifen, stellt ein Problem dar. Die Explosion an Softwarefehlern (ich hatte bereits mehrfach berichtet) scheint ohne erkennbare Konsequenzen zu bleiben.
• Die Risiken, die durch die Vielzahl an Apps entstehen, sind nicht ausreichend untersucht. Hier schlampen die meisten Hersteller fundamental.
• Dennoch: Die Möglichkeiten, die sich durch diese Geräteklasse entstanden sind, sind faszinierend.

Der Trend zu mobilen Anwendungen im Gesundheitswesen, zu SmartPhones und Tablets, wird sich so einfach nicht umkehren lassen. Auch nicht durch eine FDA, die wie der Autor richtig sagt, konkretere Richtlinien publiziert hat als die Europäer.

Sie kennen die conhIT, den jährlich stattfindenden Branchentreff der Healthcare IT in Berlin? Dann wissen Sie auch, dass diese hochkarätige Kombination aus Fachmesse, Kongress und Akademie nicht kostenlos ist.
Dieses Jahr – und nur bis zum 31.01.2012 (!) – können Sie die Eintrittskarten für Fachmesse und Kongress kostenlos bestellen! Sie müssen nur den etwas kryptischen Link kennen: [hier klicken]. Sichern Sie sich gleich diese zeitlich befristete Chance!

Mein Tipp: Buchen Sie mindestens eins der Akademieseminare mit! Beispielsweise das zum Thema Geschäftsprozessmodellierung mit BPMN. Wer sich mit klinischen Workflows befasst, wer Abläufe in klinischen Informationssystemen abbilden möchte, sollte diese „state-of-the-art“ Modellierungssprache beherrschen. Denn, das ist zumindest meine Meinung: EPKs sind langsam „out“.

Normalerweise kostet solch ein erstklassiger halbtägiger Workshop 250 EUR. Mit sensationellen 75 EUR sind Sie dabei. Ich finde, das ist ein absolutes Schnäppchen. Übrigens: Diesen „Hands-on-Workshop“ begleite und orchestriere ich persönlich und gehe fest davon aus, dass er wie letztes Jahr bald ausverkauft sein wird.

Also zögern Sie nicht, sparen Sie bares Geld und bestellen Sie diesen Akademie-Workshop und Ihre kostenlose Eintrittskarte gleich jetzt!

Wir sehen uns spätestens in Berlin!

Ich habe eine ganz klare Meinung:

Bildung ist ein Grundrecht! Bildung ist der Treibstoff, der unsere Gesellschaft weiterbringt. Bildung ist die beste Investition – sowohl für den Staat/die Gesellschaft, als auch für jeden einzelnen.

Alles andere wäre auch fatal in einer Welt, in der sich das Wissen nicht mehr in Jahrhunderten wie früher, sondern innerhalb weniger Jahre jeweils verdoppelt. Dass diejenigen am erfolgreichsten sind, die diesem Wandel am besten folgen, ihn sogar treiben können, weiß jeder. Manche empfinden dies als ein Rennen, das sie nicht gewinnen können, andere empfinden es als ein Schlaraffenland der Möglichkeiten.

Eines empört mich: Deutschland blamiert sich dabei, Kinder aus bildungsfernen Schichten zu einem Uni-Abschluss zu führen. Es sind peinliche zwei Prozent(!) wie Spiegel ONLINE berichtet.

Weil die Empörung aber nichts verbessert, werde ich an meinem Institut – in Kooperation mit der Donau-Uni in Krems – weiter daran arbeiten, eine Chancengleichheit herzustellen. Nicht die Abschlüsse der Eltern, nicht die eigenen Hochschulabschlüsse sollen maßgeblich sein, sondern die eigene Leidenschaft, der Lernwille, die bisherige Berufserfahrung und die Entschlossenheit, selbst einen Mastertitel zu erwerben. Mit dem MSc und dem MBA habe ich gleich zwei Studiengänge im Angebot.

Spiegel ONLINE hat den Missstand mit “Abgehängt bleibt abgehängt” übertitelt. Lassen Sie sich nicht abhängen! Ich helfe Ihnen, ganz vorne dabei zu sein! Fordern Sie die Studienbroschüre an oder melden Sie sich direkt bei mir!

In der Theorie ist es einfach, eine Risikobewertungsmatrix zu bestimmen. Zwei Achsen, je eine für die Schweregrad und die Wahrscheinlichkeit von Schäden, für jede dieser Achsen ein paar Kategorien einzeichnen und dann den rechten oberen Bereich als inakzeptable Risiken und den links unten als akzeptable definieren. Fertig ist der Lack!

Leider ist das in der Praxis nicht ganz so einfach. Bereits bei der Definition der Schweregradachse gibt es einige Fallen zu beachten. Zum Beispiel genügt es nicht, ein paar Bezeichnungen wie unwesentlich, leicht, schwer, kritisch und katastrophal an die Kategorien zu schreiben. Sie benötigen klare Klassifizierungsregeln, beispielsweise

• Tod (ja oder nein)
• Lebenskritischer Schaden (ja oder nein)
• Ärztliche Intervention notwendig (ja oder nein)
• Reversibler Schaden (ja oder nein)

Doch selbst damit gibt es noch offene Fragen: Was ist denn schlimmer, ein lebensbedrohlicher nicht reversibler Schaden oder ein nicht lebensbedrohlicher nicht reversibler? Ein verlorener Daumen oder ein dauerhaft behindertes Bein? Pest oder Cholera?

Einmal mehr wird klar: Die Definition dieser ethischen Grundsätze ist keine Aufgabe der Entwicklung, sondern eine des Managements. Genau das fordert auch die ISO 14971.

PS: Tipps und Videotrainings zum Erstellen der Risikobewertungsmatrix und zur Risikoanalyse speziell bei Software finden Sie im Institutsclub. Beantragen Sie gleich eine kostenlose und unverbindliche Probemitgliedschaft!