Säkerhetskrav på medicinska informationssystem

Läkemedelsverket avser därför att inom myndighetens tillsynsverksamhet utveckla praxis samt informera tillverkare och leverantörer på svenska marknaden om att det medicintekniska regelverket ska tillämpas på de delar i ett system eller ett program som uppfyller definitionen av en medicinteknisk produkt.

Socialstyrelsen avser att meddela föreskrifter till stöd och hjälp för vårdgivare att ur ett patientsäkerhetsperspektiv arbeta mer metodiskt med implementering, drift, underhåll och uppgradering av program och system som används i klinisk verksamhet.

Gränserna mellan IT och medicinteknik suddas ut

Medicintekniska produkter har alltmer fått en direkt avgörande betydelse för diagnostik och behandling och en allt större betydelse inom vården. I vissa fall har produkterna en livsuppehållande funktion. Tillgången till bra och säkra medicintekniska produkter är en väsentlig förutsättning för dagens hälso- och sjukvård.

Den traditionella synen på en medicinteknisk produkt är att den är en fristående teknisk produkt, en ”stand alone-produkt”. Det vill säga en produkt inklusive sin mjukvara byggd för ett visst syfte utan någon avsikt att kopplas eller interagera med andra produkter. Defibrillatorer och mekaniska hjärtklaffar är exempel på ”stand alone”-produkter.

En tydlig trend är att allt fler medicintekniska produkter kan integreras i vårdgivarens patientadministrativa system. En EKG-apparat eller en digital röntgenkamera kan överföra data direkt till patientövervakningssystem eller andra patientadministrativa system. Gränserna mellan informationsteknologi (IT) och medicinteknik suddas därmed ut.

En annan trend är att hälso- och sjukvårdens informationshantering blir en alltmer integrerad del i den kliniska verksamheten. På marknaden erbjuds program och systemlösningar som erbjuder övervaknings- och beslutsstödtjänster för den individinriktade vården och behandlingen. Det är av synnerlig vikt att dessa produkter hanterar informationen på det sätt användaren tänkt sig och förespeglats. Detta förutsätter att produkten konstruerats för det tänkta användningsområdet.

Socialstyrelsens och Läkemedelsverkets utgångspunkt, vad beträffar såväl apparatur som mjukvara som tillverkas för att användas i klinisk verksamhet i hälso- och sjukvården, är att ansvaret är delat mellan tillverkare och vårdgivare.

Tillverkaren tar ansvar för säkerheten i sina produkter innan de släpps på marknaden. Vårdgivaren tar ansvar för att implementering, integration och förvaltning av medicinteknisk apparatur, program och system bedrivs systematiskt inom ramen för ett ledningssystem som bl.a. innefattar krav på riskanalyser, testning och dokumentation.

Patienter utsätts för risker när ansvaret är oklart mellan tillverkare och vårdgivare

Program och systemlösningar är inte alltid validerade för den faktiska användningen. De överlämnas ofta till vårdgivare med odefinierad regulatorisk referens, dvs det är inte klart vilken lagstiftning produkten tillhör och vilka legala (regulatoriska) krav som man kan åberopa och som man därmed bör kunna förvänta sig att produkten och dess tillverkare uppfyller. Vårdgivaren lämnas med användaransvar för ett system med bristfälligt underlag, som man inte har tillräcklig kunskap om. Systemet blir omöjligt att följa upp och det begränsar starkt möjligheter att göra riskanalys.

Terminologin i den befintliga lagstiftningen ger dålig vägledning då produktområdet utvecklats avsevärt sedan lagarna formulerades. Europeisk lagstiftning reglerar säkerheten hos sådana produkter som faller under definitionen av medicintekniska produkter (MTP). Lagstiftningen om MTP riktar sig till tillverkarna och är Läkemedelsverkets tillsynsansvar i Sverige. Nationell lagstiftning för alla medicinska informationssystem (MIS) inom sjukvården återfinns i allmänna termer i Socialstyrelsens föreskrifter och riktas då till användarna.

Trots att det finns en definition av MTP i lagstiftningen är gränsen mellan MTP och sådana MIS som inte är MTP oklar. Tillverkarna är försiktiga med att definiera sina system. Vi har sett tillverkare som utfärdat en försäkran om ”icke överensstämmelse” (med det medicintekniska direktivet). Motivet till dylika uttalanden torde vara att tillverkaren vill undslippa de kostnader som är förenade med det särskilda förfarande som ytterst syftar till att värna patientsäkerheten enligt lagen om medicintekniska produkter. Genom att deklarera att ett system inte är en MTP undandrar sig också tillverkaren ansvaret för att produkten är säker för sitt syfte.

Konsekvensen är ett bollande av ansvar mellan tillverkare och vårdgivare samt att patienter utsätts för risk.

Många viktiga program och informationssystem är berörda

Det är viktigt att inte låsa fast sig i befintlig nomenklatur då detta leder till en alltför snäv belysning av problemet. Sådana begrepp kan vara:

• Programmerbara elektromedicinska system (PEMS)
• Journalsystem
• Patientadministrativa system (PAS)
• Beslutstödssystem
• Medicinska IT-system 
• Medicinska informationssystem
• Medicinska informationsbehandlingssystem
• Medicinska instrumentdatasystem (MIDS)

Många viktiga program och informationssystem som används för patientens diagnos och behandling är därmed berörda:

• Programvaror som är knutna till en specifik fysisk medicinteknisk produkt, t ex i en datortomograf eller infusionspump).
• Programvaror som utför en medicinteknisk funktion, t ex bildbehandling
• Programvaror som lagrar medicinsk information, t ex PACS (PACS: Picture Archiving and Communication System)
• Programvaror som lagrar patientuppgifter, t ex RIS (RIS: Radiological Information System)
• Programvaror som används som beslutsstöd och planering, t ex dosplanering 
• Programvaror som kommunicerar med medicintekniska produkter
• Programvaror som hanterar provsvar för kemiska laboratorier
  

Programvaran måste betraktas som en "produkt”

Läkemedelsverket och Socialstyrelsen menar att säkerheten kan tillgodoses bara om programvaran betraktas som en "produkt” med specifikationer för en definierad avsedd användning, och med en ansvarig tillverkare som ger förutsättningar för en tydlig överlämning med reglerad produktuppföljning. Sådan uppföljning av produkter som satts på marknaden, sk ”Post Market Surveillance”, omfattar tillverkarens hantering av erfarenheter av produkterna, olyckor och tillbud (eng. vigilance), korrektiva åtgärder och återkallanden.

De krav som bör ställas, inkluderande riskhantering, validering och produktuppföljning, finns i de europeiska produktsäkerhetsregelverk som baseras på den så kallade 'Nya metoden'. Det medicintekniska regelverket är ett sådant, och många informationssystem tycks passa in i definitionen av MTP.

Medicintekniska produkter är indelade utifrån tre europeiska direktiv 'Aktiva Implanterbara produkter (AIMDD)', 'In-Vitrodiagnostiska produkter (IVDD)' och 'övriga medicintekniska produkter (MDD)', se definitioner i referenslista i slutet av dokumentet. Produkter inom MDD och IVDD klassificeras vidare med avseende på risknivå, alltså vilken risk produkten utsätter patienten för. Klassificeringen av de programmerbara systemen (som MD, IVD eller AIMD respektive i riskklasser) torde inte vara ett större problem än för andra MTP. Möjligen kan det vara oklart vilken verifieringsväg inom MDD eller IVDD som är lämplig. Några av de valbara vägarna innebärande kvalitetsstyrd slutkontroll eller produktion är t ex ofta en helt otillräcklig metod för en komplex programvara. Detta är ett erkänt problem som diskuteras mellan medlemsstaterna i EU. Svenska myndigheter bör verka för att detta löses i kommande revisioner av direktiven.

Val av verifieringsväg måste baseras på systemets risknivå – vad systemet kan ställa till med – och vad som kan ge acceptabla bevis på att den färdiga produkten är tillräckligt säker. Det är logiskt att en tillverkare av programvaror av lägsta MDD/IVDD-riskklass kan följa en verifieringsmetod för CE-märkning som säkerställer att de tillverkade produkterna uppfyller de väsentliga kraven men utan något krav på formellt kvalitetssystem och utan inblandning av anmält organ. Det är också logiskt att tillverkare av programvaror av högsta MDD/IVDD-riskklass och AIMD ska följa en verifieringsmetod med krav på fullständigt kvalitetssystem. Samtidigt är det rimligt att en tillverkare av programvaror av annan mellanliggande riskklass kan visa att vald verifieringsmetod ger tillräcklig säkerhetsnivå. För programvaror med en risknivå över den lägsta är det rimligt att anta att den, möjligen den enda, lämpliga verifieringsvägen är via ett fullständigt kvalitetssystem, exempelvis MDD bilaga II eller IVDD bilaga IV.

Det finns användbara standarder

Det finns ett antal användbara standarder för mjukvarusystem (se referenslista). Dessa innehåller krav på utvecklingsmodell, riskhantering, verifierings- och valideringsmetoder samt dokumentation. Vissa standarder visar på möjligheter för en uppdelning av systemet i mer eller mindre kritiska moduler, som därmed kan hanteras mer eller mindre ingående. Om systemet ska kombineras med andra system skall detta definieras, verifieras och valideras. I standarderna ges även vägledning i riskklassificering.

Standarderna ger alltså underlag för att uppfylla merparten av de regulatoriska kraven.

Förtydligande av kraven

Läkemedelsverket kommer att utveckla praxis i myndighetens tillsynsverksamhet samt informera tillverkare och leverantörer på svenska marknaden om

• att det medicintekniska regelverket ska tillämpas för de delar av produkten som uppfyller definitionen av en medicinteknisk produkt
• att tillverkare av berörda system ska följa lämplig verifieringsmetod i det medicintekniska regelverket 
• att systemets risknivå ska bedömas, motiveras och vara styrande för klassificering och verifieringsmetod 
• att programvaran om möjligt uppdelas i MTP och icke-MTP 
• att det kan vara lämpligt att överväga en uppdelning av systemet i moduler med olika risknivåer
• att man bör följa tillämpliga standarder för utveckling, verifiering och validering av programvara och informationssystem för klinisk verksamhet

Samtidigt konkretiserar Socialstyrelsen de krav som vårdgivaren ska ställa vid upphandling och ibruktagande av programmerbara system, utifrån de allmänna kraven i Socialstyrelsen föreskrifter, t ex SOSFS 2005:12 och SOSFS 2001:12 :

• Tillverkaren ska ha sett till att produkten är specificerad och klar innan den kan sättas i klinisk drift.
• Det ska finnas en tillverkare som tar tillverkaransvar.
• Tillverkaren ska avkrävas ett system för att följa upp produkter som satts på marknaden (såsom sk Post Market Clinical Follow up som finns för MTP). 
• Systemen får endast användas för sitt avsedda ändamål och inte kombineras eller utsträckas utöver det som validerats och godkänts utan att beslut om produktutveckling tas.
• Byte av mjukvara måste likställas med nyanskaffning och formaliseras med beställning, leveranskontroll, överlämnande och utbildning.

Socialstyrelsen förtydligar vidare vad som gäller för system under utveckling i nya föreskrifter om krav på ett ledningssystem för informationssäkerhet och patientsäkerhet i sjukvårdens informationshantering, t.ex:

• En produkt där användaren i någon mån deltar i utvecklingen, ska inte användas i klinisk rutindrift innan den är klar och godkänd och någon tillverkare har tagit på sig tillverkaransvaret. 
• En produkt som är under utveckling ska endast användas i särskilt reglerade, begränsade och kontrollerade förhållanden liknande klinisk prövning 
• Nya system, vare sig de är MTP eller inte, och som införs i ny miljö ska användas under särskild övervakning för att identifiera risker som inte har kunnat förutses

Läkemedelsverket och Socialstyrelsen vill också gemensamt förtydliga krav på system som ska integreras eller kommunicera med andra system. 

• Gränssnitt ska vara definierade antingen genom standardiserade format eller genom uppräkning av sådana system som tillverkaren har konstaterat vara kompatibla.  
• System ska vara skyddade mot virusangrepp utan att validering blir ogiltig. 
• Det aktuella systemet ska inte störa andra system.
• Om kommunikationskanaler och länkar inte är egna tillbehör utan t ex befintliga lokala nätverk, Internet, telenät, kabel etc., som man har mer eller mindre inblick i eller kontroll över, bör dessa betraktas som ett försörjningssystem .

Tillverkaren måste då ta hänsyn till svagheter genom en riskanalys av en sådan länk och ta ställning till vad som händer vid ett avbrott samt vid behov överväga åtgärd för att kompensera för kommunikationsbortfall.

Framtida regleringsarbete nödvändigt

Det viktigt att frågan förtydligas i de europeiska direktiven för MTP. Läkemedelsverket kommer att verka aktivt i de EU-grupperingar man deltar i för att det tydligare ska framgå av regelverket att det omfattar vissa mjukvaror och systemlösningar för kliniskt bruk.

Socialstyrelsen kommer i samband med författningsarbete kring ett ledningssystem för informationssäkerhet och patientsäkerhet för hälso- och sjukvårdens samt smittskyddets informationshantering ”bygga in” ett SDLF (System Development Life Cycle) som beaktar MTP, bl.a. baserad på ITIL (Information Tecnology Infrastructure Library) och CobiT (Control Objectives for Information and Related Technology).

Den pågående omarbetningen av SOSFS 2001:12, om hantering av medicintekniska produkter, kommer att förtydliga ansvaret för vårdgivarens ansvar när det gäller medicintekniska produkter med tillhörande informationssystem.

Referenslista

De medicintekniska direktiven

Medicintekniska produkter indelas i tre olika produktgrupper:

• Active Implantable Medical Devices - AIMD
• Medical Devices - MD
• In Vitro Diagnostic Medical Devices - IVD

Tre Europeiska direktiv reglerar hur medicintekniska produkter får placeras på marknaden och tas i bruk:

• Active Implantable Medical Devices Directive (AIMDD)
  Directive 90/385/EEC - OJ L189/ 20.7.90,
• Medical Devices Directive (MDD)
  Directive 93/42/EEC - OJ 169/ 12.7.93
• In Vitro Diagnostic Medical Devices Directive (IVDD)
  Directive 98/79/EC - OJ331/ 7.12.98
  

Se länk i högermarginalen för mer information.

Användbara standarder för mjukvarusystem

• IEC 62304, Ed. 1: Medical device software – Software life cycle processes,
• IEC 60601-1:2005, Medical electrical equipment – Part 1: General requirements for basic safety and essential performance,
• CEN/TS 15260:2006 Health informatics: Classification of safety risks from health informatics products,
• EN 1041:1998 Information supplied by the manufacturer with medical devices,
• EN ISO 14155 Clinical investigation of medical devices for human subjects.
• ISO 13485:2003 Quality management systems – Requirements for regulatory purposes.
• ISO/IEC 9003:2004 Software engineering – Guidelines for the application of ISO 9001:2000 to computer software.
• ISO TR 14969:2004 Medical devices – Quality management systems – Guidance on the application of ISO13485:2003
• ISO/FDIS 14971 Medical Devices – Application of Risk Management to Medical Devices – 2005.
• IEC 61508-3:1998. Functional safety of electrical/electronic/programmable electronic safety-related systems – Software Requirements. December 1998.
• IEC 61508-51998. Functional safety of electrical/electronic/programmable electronic safety-related systems – Examples of methods for the determination of safety integrity levels. November 1998.

¹ Försörjningssystem är ett begrepp som bl a används i Socialstyrelsen föreskrift om kvalitetssystem i vården SOSFS 2005:12:
Försörjning av tjänster, produkter och teknik
7 § Ledningssystemet skall säkerställa att det finns rutiner för inköp av tjänster, produkter, försörjningssystem (t.ex. el, vatten och gasanläggningar) och informationssystem (t.ex. tele och data) från leverantörer som är bedömda och godkända, och säker användning och hantering av produkter, försörjningssystem och informationssystem.