kma Online
IT-Infrastruktur

Risikomanagement bei der Beschaffung von vernetzter Medizintechnik

Potenzielle Risiken bei der Integration von Medizinprodukten in ein Krankenhaus-Netzwerk müssen möglichst schon im Vorfeld einer anstehenden Beschaffung erkannt und minimiert werden.

Risikomanagement

AdobeStock / wladimir

Symbolfoto

Der Krankenhauseinkauf steht zunehmend vor der Aufgabe, das Risikomanagement als wesentliche Komponente in ein Beschaffungsprojekt zu integrieren und auf diesem Weg eine Balance aus Sicherheit und ökonomischen Rahmenbedingungen zu schaffen. Die Sicherheitsanforderungen an die IT-Infrastruktur in Krankenhäusern steigen kontinuierlich. Ein aktuelles Beispiel sind die vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe und dem Bundesamt für Sicherheit in der Informationstechnik formulierten Auflagen zum Schutz kritischer Infrastrukturen (KRITIS).

Wie verwundbar die kritische IT-Infrastruktur immer noch ist, hat nicht zuletzt vor knapp zwei Jahren die rasend schnelle Verbreitung der Ransomware „WannaCry“ eindrucksvoll vor Augen geführt. Die Notwendigkeit, Netzwerke abzusichern und gegen Schadsoftware zu schützen, ist dringlicher denn je. Das gilt vor allem bei Netzwerken, die Medizinprodukte beinhalten und zur schnellen Verteilung von Informationen über den Patientenstatus vorgesehen sind. Die Risiken müssen möglichst bereits beim Design entsprechender Netzwerke und der Integration von Medizinprodukten erfasst und bewertet werden, um im späteren Betrieb ein größtmögliches Sicherheitsniveau zu gewährleisten.

Idealerweise kann der Auftraggeber die Risiken bereits vor der Beschaffung benennen und ist dadurch in der Lage, die Sicherheitskonzeption zusammen mit den Lieferanten zu entwickeln. Entscheidend ist es nun, den Prozess des Risikomanagements so mit dem Beschaffungsprozess zu verzahnen, dass sich das Verhältnis von Sicherheitsanforderungen, den dadurch erforderlichen Redundanzen und der Wirtschaftlichkeit in der richtigen Balance befindet.

Risiken identifizieren und minimieren

Ein Verfahren, Risiken zu identifizieren und zu minimieren, stellt die Norm DIN EN 80001-1 (IEC 80001-1) „Risikomanagement für IT-Netzwerke, die Medizinprodukte beinhalten“ bereit. Sie orientiert sich am Risikomanagementprozess, der anhand der harmonisierten Norm DIN EN ISO 14971 bei einem Konformitätsbewertungsverfahren für Medizinprodukte angewendet wird.

Es wäre nun aber falsch, von Lieferanten eine Zertifizierung von vernetzten Systemen nach der Norm DIN EN 80001-1 zu verlangen, da die Norm dies nicht vorsieht. Die Norm adressiert mit den Schutzzielen Sicherheit, Effektivität und Daten- und Systemsicherheit zunächst die Risikosphäre des Betreibers. Eine Anwendung ist jedoch nicht zwingend vorgeschrieben. Insofern beschreibt die Norm lediglich einen iterativen Prozess, der auf die möglichst vollständige Aufnahme, Bewertung und Einordnung aller sicherheitsrelevanten Informationen abzielt. Zu diesem Zweck schlägt DIN EN 80001-1 eine strukturierte Interaktion zwischen Anwendern, Medizintechnik, IT-Abteilung, Einkauf und Lieferanten vor, die über einen zentralen Knotenpunkt, den Med-IT-Risiko-Manager, organisiert und schriftlich dokumentiert wird. Verknüpft man diese Empfehlung noch mit einem konkreten Beschaffungsprojekt, liefert die Norm die Blaupause für ein Projektsteuerungsgremium mit geteilten Aufgaben und Verantwortlichkeiten. 

Vernetztes Patienten-MonitoringSystem als Anwendungsfall

In vielen Krankenhäusern wird beispielsweise im Zusammenhang mit der Beschaffung eines vernetzten Patienten-Monitoringsystems der Betreiber vor die Herausforderung gestellt, Prozesse des Risikomanagements und der Beschaffung zusammenzuführen und so eine sichere und zukunftsfähige Systemplattform für die Integration neuer Technologien zu implementieren.

Idealerweise etabliert sich im Vorfeld des Beschaffungsprojekts ein Projektteam aus Anwendern, Einkauf, Medizintechnik, IT-Abteilung und beauftragten Fachplanern, um in moderierten Gesprächen ein mehrschichtiges Konzept zu erarbeiten, das die medizinisch-funktionellen Anforderungen für das stationäre und mobile Patienten-Monitoring abbildet. Als weiterer konzeptioneller Baustein sollte sich das Feinkonzept für die zugrundeliegende IT-Infrastruktur anschließen, um die Leistungskriterien zu vervollständigen. In der Phase der konkreten Ausgestaltung des geplanten System-Roll-Outs muss der Betreiber auf grundlegende Informationen des Herstellers zurückgreifen.

Zu diesem Zweck empfiehlt es sich, genügend zeitliche wie inhaltliche Freiräume für die gemeinsame Entwicklung und Abstimmung des Konzepts im Prozess der Beschaffung vorzusehen. Durch die gegenseitige Justierung von Betreiber / Auftraggeber und Hersteller / Lieferant wird vermieden, dass konzeptionelle Fehler später zu Sicherheitslecks werden, die nach der Implementierung nur noch schwer zu beheben sind. 

Auftraggeber und Lieferanten im Dialog

Eine der Kernforderungen bei der Etablierung eines vernetzten Patienten-Monitoringsystems besteht darin zu verhindern, dass ein Broadcaststurm im allgemeinen Kliniknetzwerk, der durch Schadsoftware verursacht werden könnte, keine Auswirkungen auf die Verfügbarkeit des Netzwerks hat, in welchem Alarme von den Patientenmonitoren auf die Zentrale übertragen werden. Deshalb dürfen nur definierte Übergangspunkte von einem in das andere Netzwerk vorhanden sein. Dennoch soll das Patienten-Monitoringnetzwerk analog zum allgemeinen Kliniknetzwerk leicht administrierbar bleiben, damit Veränderungen in der Konfiguration schnell und zentral durchgeführt werden können. Außerdem müssen unter Umständen Informationen aus dem allgemeinen Kliniknetzwerk auch am Patientenbett verfügbar gemacht werden.

Die Komplexität der zu behandelnden Punkte setzt voraus, dass ein gemeinsames Verständnis der verwendeten Begriffe für den Prozess der Beschaffung existiert und schriftlich fixiert wird. Das ist in zweierlei Hinsicht von Nutzen: Zum einen wird Klarheit über den Umfang der anzubietenden Leistungen hergestellt, zum anderen auch der Grundstein für die Fortführung des Risikomanagements während des regulären Systembetriebs gelegt. Darüber hinaus erzeugt dieses Vorgehen eine Dokumentation zu der Frage, auf welchen Leitideen und Leitfragen die Beschaffungsentscheidung und die Festlegung auf einen Lieferanten basiert. 

Perspektiven des Risikomanagements

Bei Beschaffungen von vernetzter Medizintechnik werden jetzt und auch künftig die Kooperation mit internen und externen Partnern und der Austausch von Informationen die entscheidenden Elemente zur Herstellung einer größeren Betriebssicherheit sein. Dafür müssen noch einige Barrieren abgebaut und innovative Wege bei der Gestaltung des Beschaffungsprozesses beschritten werden, da das integrierte Risikomanagement auch in anderen Bereichen eine immer größere Bedeutung erhält. Als Beispiele seien hier nur die Qualitätsmanagementnorm DIN EN ISO 9001:2015, die Medizinproduktebetreiberverordnung in der neuen Fassung von 2017 und das IT-Sicherheitsgesetz von 2015 genannt.

Es reicht nicht aus, die Verbindung eines Medizinprodukts zum Netzwerk als reine „Plug-and-play“-Funktion zu verstehen, die doch grundsätzlich von jedem Lieferanten bereitgestellt und im Krankenhaus adaptiert werden kann. Der Einkauf im Krankenhaus wird sich also in Zukunft verstärkt mit dem Risikomanagement bei Beschaffungen von vernetzter Medizintechnik auseinandersetzen müssen. Ein gut eingespieltes Lieferantenmanagement kann ihn dabei unterstützen und dazu beitragen, unabhängig von einer Einzelbeschaffung im Vorfeld die Leistungsfähigkeit der Lieferanten mit den eigenen Sicherheitsanforderungen abzugleichen und Risiken durch standardisierte, lieferantenbezogene Checklisten zu erkennen.

  • Schlagwörter:
  • Risikomanagement
  • Beschaffung
  • Medizintechnik

Kommentare (0)

Kommentar hinzufügen

Um einen Kommentar hinzuzufügen melden Sie sich bitte an oder registrieren Sie sich.

Jetzt anmelden/registrieren

Klinik Einkauf Magazin

Das neue Magazin für Klinikeinkäufer, Logistiker und Entscheider im Beschaffungsprozess.

Jetzt kostenlos testen!

Neueste Termine

22.10.2019 - 23.10.2019 | Maritim Hotel Bellevue Kiel

23.10.2019 - 23.10.2019 | Luzerner Kantonsspital

11.11.2019 - 12.11.2019 | Berlin

13.11.2019 - 15.11.2019 | Berlin

18.11.2019 - 21.11.2019 | Düsseldorf

Alle Termine