Medicintekniska produkter kopplas ofta till datanätverk för att kunna dra de driftsmässiga fördelar som det medför. Genom en extern anslutning kan data från den medicintekniska produkten exempelvis matas in direkt i journalsystem och/eller lagras på centrala servrar.
Detta är ofta driftsfunktioner som implementeras av kreativa medicintekniska ingenjörer och, som i den bästa av världar, underlättar för sjukvården. En anslutning till Internet ger också tillverkaren av medicintekniska produkter en teoretisk möjlighet att sköta uppdateringar och dylikt av sin produkt på distans.
Extern anslutning av en medicinteknisk produkt ger många intressanta möjligheter och rimmar väl med Socialdepartementets ambition om ett ökat nyttjande av IT i vården. Den faktiska situationen är att medicintekniska produkter kommunicerar med varandra och med utrustning för medicinsk informatik i ökande omfattning. Myntets baksida är att dylika anslutningar också medför en del problem.
Läkemedelsverket får ofta frågan hur lagen om medicintekniska produkter skall tillämpas avseende tillverkarens ansvar för exempelvis skydd mot e-virus som kan invadera medicintekniska produkter. Vår ståndpunkt är att tillverkaren alltid har fullt ansvar för säkerhet och funktion hos sin produkt då den används i den miljö och på det sätt som tillverkaren avsett. Detta gäller hela produkten inklusive eventuell programvara. Om tillverkaren har valt att använda programvaror från annan tillverkare (t.ex. Microsoft) i sin produkt skall tillverkaren ta ansvar för hela produkten inklusive av honom inköpt/licensierad programvara.
Resonemanget stöds av de väsentliga krav som anges i bilaga 1 till Läkemedelsverkets föreskrifter (LVFS 2003:11) om medicintekniska produkter. Där framgår att om en medicinteknisk produkt är avsedd att användas tillsammans med andra produkter eller utrustningar, så måste hela kombinationen vara säker och inte försämra produkternas angivna prestanda. För att kunna CE-märka en medicinteknisk produkt måste tillverkaren alltså undersöka hur, och under vilka förhållanden hans produkt kan fungera i den miljö som den är avsedd att användas. Om det finns begränsningar i möjligheterna att kombinera produkten så skall dessa framgå av märkningen eller bruksanvisningen.
Vidare framgår enligt 3 § i Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2001:12) om användning och egentillverkning av medicintekniska produkter i hälso- och sjukvården att vårdgivaren har ansvaret för att bestämmelserna i 9 § i lagen (1993:584) om medicintekniska produkter efterlevs. Detta betyder att endast de produkter som uppfyller kraven i lagen och Läkemedelsverkets föreskrifter får tas i bruk. Därtill skall vårdgivaren utse en verksamhetschef att ansvara de medicintekniska produkterna enligt SOSFS 2001:12.
Enligt vår uppfattning bör således ansvarsfrågan redan vara beaktad i samband med upphandlingen av den medicintekniska produkten ifråga. Innan en vårdgivare upphandlar och tar i bruk en medicinteknisk produkt bör även en riskanalys göras för att utröna om ett inköpt system kan kombineras med befintliga medicintekniska produkter och/eller anslutas till ett större datanätverk.
Det bör normalt inte vara användaren som skall sköta uppdateringar av programvaror i den medicintekniska produkten (uppdateringar av själva produkten, anti-virusprogram, patchar från Microsoft etc.) eftersom dessa ingrepp kan påverka funktionen hos den medicintekniska produkten. Det är vidare självklart att tillverkaren inte kan ta fullt ansvar för funktion och säkerhet hos sin produkt om nya, samverkande, programvaror ändras/installeras av användaren utan dennes vetskap. Byte av delar av programvaran/operativsystem/virusskydd påverkar ofta driftsituationen hos själva applikationen. Om tillverkaren inte har för avsikt att sköta uppdateringar av sin produkt (och verifiera att den nya installationen fungerar) genom att installera säkerhetspatchar och/eller virusskydd kan den produkten inte anslutas till vårdinrättningens allmänna datanätverk.
Att avstå från att låta en medicinteknisk produkt kommunicera med omvärlden är ett säkert sätt att undvika e-virus. En tillverkare kan inte svära sig fri genom att säga att ”det problemet uppstod på grund av att Microsofts program inte var säkert” eller ”den typen av virusattack hade vi inte planerat för”. Är tillverkaren inte säker på funktionen hos en annan tillverkares programmoduler skall dessa inte ingå i den medicintekniska produkten.
För det fall att hälso- och sjukvården väljer att själva sköta uppdateringar av programvaror i den medicintekniska produkten skall reglerna för egentillverkning enligt Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2001:12) om användning och egentillverkning av medicintekniska produkter i hälso- och sjukvården tillämpas, vilket för med sig att vårdgivaren då själv har det fulla ansvaret för den medicintekniska produkten ifråga. Det skall noteras att säkerhetskraven för en egentillverkad medicinteknisk produkt är desamma som för en CE-märkt produkt avsedd att sättas ut på marknaden, de väsentliga kraven skall vara uppfyllda.
Anmälningsplikten för problem orsakade av felfunktion i mjukvaran är densamma som anmälningsplikten för andra problem med medicintekniska produkter.
Ovanstående text har, i huvudsak, utarbetats tillsammans med Socialstyrelsen.