36C3 Vorspannmusik Herald: Rechts von mir steht der Phil und der Phil erzählt uns jetzt, was müssen Medizinprodukthersteller einhalten und was nicht. Der Talk heißt "Warum der card10 kein Medizinprodukt ist". Dein Talk. Viel Spaß! Phil: Danke schön. Ja. Applaus Vielen Dank, dass ich hier einen Vortrag halten kann. Ich möchte kurz was zu meiner Person sagen. Angekündigt als Phil ist völlig richtig. Ich arbeite seit über zehn Jahren in der Medizintechnik Branche, gerade die Regularien ist was, wofür ich mich tierisch begeistern kann, also von dem her. Ich kann verstehen, wenn das den ein oder anderen nicht sonderlich begeistert. Ich finde das schön, aber gut. Ich werde sehr viele Beispiele bringen. Das heißt, Gesetzestexte sind sehr genau. Bei den Beispielen verschwimmt es dann wieder. Genauso versuche ich, Zahlen zu nennen. Ungefähr eine grobe Richtung vorzugeben. Manche Sachen sind stark vereinfacht, dafür reicht die Zeit einfach nicht aus. Bitte alles nicht eins zu eins nehmen, sondern nur eine Größenordnung. Mehr, mehr ist hier schlicht und ergreifend in der Zeit nicht machbar. Also gut. Erstmal Frage in die Runde: Wer weiß denn was die card10 ist? Wer hat einen? Okay gut, dann erkläre ich nochmal ganz kurz was zu der Hardware selber. Also die card10 hab ich mich hier von der Homepage das Bild geklaut. Ist, die Normen Gremien würden jetzt sagen weareable, das bedeutet, es ist etwas, was in der Hand getragen werden kann, dass es in der häuslichen Umgebung eingesetzt werden kann und schwerpunktmäßig ganz viele Leuchtdioden hat blinken sollen. Display hat kleiner Vibrationsmotor also so im ersten Augenblick gar nicht so Medizinprodukt. Was mir jetzt unten auf dem Bild sehen kann, sind so große Metallflächen. Man kann hier dann EKG ableiten, und das ist so dann der erste Punkt, wo es anfängt, Richtung Medizinprodukt zu denken. Also das ist jetzt am Anfang, wo alle einmal durch müssen. Medizinprodukt ist per Gesetz definiert und das Gesetz, über das ich heute rede, ist die "Medical Device Regulation" ist ein europäisches Gesetz. Was für Gesamteuropa gilt. Dann bitte ich einmal kurz die Erklärung durchzulesen. Artikel 2 definiert Medizinprodukt. Ich möchte jetzt nicht in die Definition reinreden, deswegen warte ich ein kurzen Moment. Das ist schon stark vereinfacht. Was jetzt hier die wichtigen Punkte sind, also bezogen auf die card10 bedeutet es, dass entweder ein Gerät oder eine Software oder beides in Kombination. Es ist vom Hersteller dazu bestimmt, bestimmte Funktionen wie Diagnose, Überwachung oder dergleichen durchzuführen. Das heißt, es kann sein, dass die gleiche Sensorik in irgendeinem Produkt verbaut ist, wo der Hersteller sagt, dass es gar keinen Medizinprodukt. Das hat gar keine medizinische Zweckbestimmung. Manche Telefone haben das und gelten auch nicht als Medizinprodukte. Und da muss dann der Hersteller gucken, was man mit dem Ding gemacht werden. Das beantwortet dann auch sehr schnell die Frage. Mal gucken, wie das denn bei der card10 aussieht. Eine Folie würde ich jetzt gerne weiter. Hier, Klasse. Dann die sogenannte Zweckbestimmung vom Hersteller regelt genau das. Also mal auf die card10 Homepage gucken, ob man hier irgendwas findet. Zweckbestimmung muss in der Gebrauchsanweisung stehen. Vielleicht findet sich ja irgendwie so etwas wie eine Gebrauchsanweisung bei Tutorials. Vielleicht mal weiter gucken. Da steht was von EKG. Ah ja. Schön klasse, das ist ja schon mal was, was du in die Richtung geht. Und dann ist noch ein ellenlanger Text, der bisschen beschreibt, wie man aus dem EKG dann tatsächlich etwas auswerten kann. Hab ich mal gemacht. Sah bei mir dann so aus. Und also, was soll erreicht werden? Ich habe jetzt nichts gefunden, was auf irgendeine Indikation hindeutet. Ich habe nichts gefunden, wo man EKG tatsächlich vermessen könnte. Ich habe nichts gefunden, welche Krankheiten damit diagnostiziert werden oder erkannt werden können? Ich habe keine Angaben zu Patienten gefunden, keine Angaben zum Anwender. Damit hat das Ding keine Zweckbestimmung und ist kein Medizinprodukt. Das ist jetzt meine Einschätzung. Doch dann schauen wir weiter. Jetzt könnte man ja mal gedanklich das Spiel spielen und ein Teil der card10 zum Medizinprodukt machen. In dem Fall wäre es am einfachsten zu sagen: Man macht einfach dieses Programm, was das EKG anzeigt oder sich generell darum kümmert, zum Medizinprodukt. Medizinprodukte brauchen eine Zweckbestimmung. Und so könnte jetzt beispielsweise die Zweckbestimmung anfangen, dass man die EKG App, also ein Stück Software zum Medizinprodukt macht und kurz beschreibt, wie es denn das Funktionsprinzip. Was kann man damit machen? Was soll damit medizinisch erkannt werden? In dem Fall, ob es einen regelmäßigen Sinusrythmus gibt und ein arterielles, eine arterielle Vibration, das Vorhofflimmern und viel mehr ist mit einem Kanal EKG schon nicht machbar. Bei der card10 habe ich zwei Elektronen, sprich medizinisch gesehen hat man so einen Querschnitt durchs Herz, den man da feststellen kann. Größere EKGs werden dann ums Herz herum geklebt, wo man dann verschiedene Schnitte hat, und kann damit medizinisch deutlich mehr machen. Das ist bei einem Ein-Kanal EKG schlicht und ergreifend nicht möglich. Das Zweite: Wo soll das Ganze angewendet werden? Also die Umgebung beschreiben? Das nächste wäre dann. Von wem soll es verwendet werden und von wem soll es nicht verwendet werden? Das ist jetzt auch nur fiktiv. Das muss dann alles eine klinische Abteilung beantworten. Also auch hier beispielhaft erklärt und eine contra Indikation. Also wo schließt man Sachen aus? Auch das ist etwas, was dann die klinische Seite sehr gut beantworten kann. So könnte eine Zweckbestimmung für eine EKG App aussehen und dann auch hier nochmal kurz erklärt. Funktionsweise, Indikation, Kontra indikation. Das ist eine Zweckbestimmung. Super! Das ist der erste Schritt. Jetzt haben wir eine Zweckbestimmung. Aber was jetzt? Na ja, über die Zweckbestimmung können die Gruppen entsprechend klass... . Kann das Produkt entsprechend per Gesetz klassifiziert werden? Die Klassifizierungenregeln stehen auch im Gesetz. Ich habe immer versucht, mit anzugeben, in welchen Artikel oder in welchem Anhang das stattfindet. Und was sind die Klassifizierungen, die Medizinprodukte haben können? Ich habe das versucht, ein bisschen grafisch darzustellen. Technisch gesehen ist es nicht invasives Produkt, aber da fällt man in nichts rein. Nein, invasives Produkt ist es auch nicht. Besondere Festlegungen gibt es auch nicht. Aber es ist ein aktives Produkt. In dem Fall nur Software. Also fallen wir hier... Ach ne. Doch, genau. In dem Fall fallen wir hier in Regel zehn rein. Diagnose und Überwachung. Für reine Software Sachen gibt's nochmal eine eigene Klassifizierung. Aber in dem Fall ist die nicht anwendbar. Ich möchte jetzt hier beispielhaft genau über diese Regel 10 drüber gehen. Auch hier geht es darum, Produkte der Klasse, Produkte, die in Klasse der Regel 10 reinfallen sind defaultmäßig erstmal Klasse 2a. Dann gibt's bestimmte besondere Sachen, die dann doch noch mitanwendbar sind. Für die card10 auch gar nicht so spannend, sondern der Abschnitt da unten ist das, was interessant ist. Also Kontrolle von vitalen Körperfunktionen. Es wird sogar ein Beispiel genannt, wo es genau ums Herz geht, und da steht dann drin: Wenn man da in die Kategorie fällt, dann bitte 2b. Gut. Jetzt hab ich ganz viel über Klassifizierungen geredet, auch so eine erste Einschätzung. Was haben jetzt die Klassifizierungen da damit zu tun? Haben wir jetzt eine Zweckbestimmung? Jetzt haben wir eine Klassifikation von den Sachen und. Wie geht's jetzt, wie geht es jetzt weiter? Die Klassifizierungen bestimmen diesen Prozess des in Verkehr Bringens. Je höher die Klassifizierung, umso mehr muss gemacht werden. Also beispielhaft Produkte der Klasse eins. Da geht kein Risiko aus. Da muss nicht groß was gemacht werden. Jedes Heftpflaster ist in Klasse 1 Produkt, jedes Fieberthermometer ist ein Klasse 1 Produkt. Bei Klasse 2a wird es dann schon spannender. Da besteht ein sogenanntes Anwendungsrisiko. Also was fällt da rein? Dental Implantate ist dann ein sehr guter Vertreter, Ultraschallgeräte, Hörgeräte. Je nachdem, wie invasiv irgendein Medizinprodukt ist, erhöht sich auch die Klassifizierung. Dann in der Klasse 2b kann schon ein bisschen mehr passieren. Das sind die Geräte in der Regel auch invasiver. Da fallen dann Dialysegeräte rein, Endoskope, Kondome, Empfängnisverhütung, alles Medizinprodukt. Und dann Klasse 3, da gehts richtig zur Sache. Das sind implantierbare Herzschrittmacher. Das sind automatische externe Defibrillatoren, das dann einfach Geräte mit einem höheren oder dem höchsten Risiko, was per Gesetz vorgesehen ist. Also gut, jetzt haben wir klassifiziert. Was muss man jetzt damit tun? Ich versuche hier von links nach rechts einmal ein bisschen zu beleuchten, was bei einer bestimmten Klassifizierung denn genau zu tun ist. Also für alle Produkte muss ein Qualitätsmanagementssystem erstellt werden. Bei Produkten der Klasse 1 kann man sich das Leben in bestimmten Bereichen ein bisschen leichter machen. Aber grundsätzlich müssen das alle Produkte haben. Das nächste, was auch alle Produkte haben müssen, ist eine sogenannte technische Dokumentation. Da wird beschrieben, was während der Entwicklung alles passiert ist. Der nächste Schritt ist. Ich mag nicht das sogenannte Audit durch die benannte Stelle. Das kann man sich bei Klasse 1 Produkten sparen. Alle anderen Produkte werden immer durch eine benannte Stelle mitüberprüft. Die benannte Stelle übernimmt keine Haftung, aber es ist so zumindest sichergestellt, dass noch eine neutrale Stelle mit drauf geschaut hat. Dann für Klasse drei Produkte. Das war eins zu viel. Gibt's nochmal eine besondere Produktprüfung. Klar, dass sind die Produkte mit dem höchsten Risiko. Dann kommt das CE-Kennzeichnungzertifikat. Das wird von der benannten Stelle ausgestellt und bescheinigt. Gut. Klasse. Ihr dürft jetzt das CE-Zeichen anbringen. Euer Produkt erfüllt die Anforderung vom Gesetz. Und im nächsten Schritt geht es dann darum, eine eindeutige Kennung am Produkt anzubringen, den sogenannten Unique Device Identifier. Man muss den registrieren, und der muss auf dem Produkt und auf der Verpackung vorhanden sein. Und der letzte Schritt, mag wieder nicht. Ist die Aufrechterhaltung dieses ganzen Systems: des QM-Systems und sämtlichen Prozessen. Dann schauen wir mal rein, was man so exemplarisch bei einem 2b Produkt alles machen müsste. Also QM-System, habe ich vorhin schon gesagt, ist per Gesetz vorgeschrieben. Jetzt hat die Industrie nur festgestellt: Gesetzestexte sind immer ein bisschen schwierig. Die sind interpretationswürdig, ja, das ist immer nicht so leicht. Außerdem sind die Audits teuer. Also was hat man gemacht? Es gibt Normen. Normen haben für die Industrie unglaublich viele Vorteile. Es gibt weniger Interpretationsspielraum. Normen sind deutlich klarer formuliert als im Gesetzestext. Außerdem sind sie international anerkannt. Das heißt, wenn ich in ein Land gehe, kann ich mit einem gleichen Bericht von der Norm in das nächste Land gehen, und die Audits sind einfach leichter. Leichter bedeutet für die Industrie billiger. Damit verwenden so gut wie alle die Normen. Und bei den Normen gibts die sogenannten Normenvermutung, dass ist in dem Vienna Agreement (Wiener Abkommen) mit geregelt. Es bedeutet: Wenn ich bestimmte Bereiche einer Norm erfülle, erfülle ich automatisch bestimmte Bereiche vom Gesetzestext. Sprich, die benannten Stellen stützen sich auf die Normenvermutung und sagen: Klasse, wenn ihr das alles erfüllt, müssen wir das alles vom Gesetz gar nicht mehr prüfen. Weil passt ganz automatisch. Dann sind wir stehen geblieben. Stimmt. Bei den Normen ist eine Folie, die ich gar nicht mehr so im Kopf hatte. Ich möchte noch mal kurz erklären, was es für Kategorien von Normen gibt. Die lassen sich grob in drei Bereiche, einteilen einmal so in allgemeine Normen, dass dann häufig Prozessnormen. Dann gibt's Normen zur Elektrotechnik und Normen zur Telekommunikation. Elektrotechnik bedeutet ganz salopp alles, was einen Stecker hat, Telekommunikation, ganz salopp alles, was funkt. Und in Deutschland haben wir hier drei Organisationen, die sich darum kümmern. Das ist einmal die DIN für allgemeine Sachen. DIN A4 müsste den meisten ein Begriff sein und dann die DKE, VDE und die DIN. Die kümmern sich dann um die restlichen beiden Sachen. In Europa haben wir cenelec, die sich einmal um die allgemeinen und um die elektrischen Sachen kümmern und die Etsi, die die ganzen Funkstandard unter sich verwaltet. International haben wir die ISO, die viel von den Prozessen mitbetreut, die IEC, die die ganzen technischen Bereiche hat, und die ITU, was die weltweite Funknorm ist. oder das Gremium, das sich darum kümmert, so genau. Dann schauen wir noch mal zurück, wo wir stehen geblieben sind, und zwar beim QM- System. Wir haben jetzt hier unser erstes Achievement, wir haben die ISO 13 485 QM- Systeme. Das heißt, wir haben die erste anwendbare Norm für unser Medizinprodukt? Ungefähr vom groben Aufbau her sieht das Ding so aus. Es ist unglaublich beeindruckend, ist auch relativ groß, und was in diesen im Wesentlichen gefordert ist, ist eine Geschäftspolitik. Die Qualitätspolitik muss festgelegt werden. Es muss ein QM-Handbuch erstellt werden. Es muss eine Gesamtüberblick erstellt werden. Was gibts im Unternehmen? Alles für Prozesse. Was gibt's im Unternehmen alles für Verfahrensanweisungen. Wie gliedert sich das von oben herab? Es ist tatsächlich in der Norm festgeschrieben, dass sich die oberste Leitung um genau diese Punkte zu kümmern hat. Es darf nicht von der Belegschaft getrieben sein, sondern von der Geschäftsführung selber. Solche Sachen gliedern sich dann immer so stückchenweise in feinere Sachen auf von dem QM-Handbuch zu den Verfahrensanweisungen zu Arbeitsanweisungen bis runter zu weiteren mitgeltenden Dokumenten. Das können Templates sein, das können alles mögliche sein. Und so gliedert sich das hierarchisch von oben nach unten. In dem QM-System ist unglaublich viel definiert. Also bitte einmal beeindruckt gucken. Das schreibt alles so ein QM-System vor. Was die haben wollen, ist einfach, dass es für alles Mögliche einen Prozess gibt, also wirklich für so gut wie alles. Wenn man das jetzt tatsächlich selber machen möchte, also nicht so beeindrucken lassen von so einer Norm. Das Stichwort hier ist Risiko basiert. Man kann bei vielen Sachen sagen: Da haben wir jetzt angefangen, haben die wichtigsten Sachen identifiziert, haben irgendwo ein Assessment durchgeführt und starten jetzt mit dem, wo wir sagen ist besonders kritisch. Die benannten Stellen wissen das. Die haben auch Handlungsspielraum, die haben die sogenannten N-bock Guidances, dann müssen die sich im Audit auch dran halten. Man hat hier die Möglichkeit, sich stückchenweise zu verbessern. Dann schauen wir mal weiter. Die nächste Norm, die bei uns Anwendung findet, ist die ISO 14971. Das ist eine Norm über das Risikomanagement. Da möchte ich mal kurz kucken oder erklären, was es verschiedene oder für verschiedene, verschiedene Schritte gibt, die durchzuführen sind. Der erste Schritt, mit dem man beginnt, ist, so... Was habe ich geschrieben? Rahmenbedingungen, ja. Das nimmt sich mit der Zweckbestimmung sofort die Hand. Man muss hier festlegen, was sind die Funktionen des Gerätes? Was kann von den Funktionen für ein Risiko ausgehen? Oder die Norm spricht, genauer gesagt, von Gefährdungen. Gefährdungen ist definiert als potenzielle Schadensquelle. Und von diesen Gefährdungen muss man sich über Events, die mit dem Produkt passieren können, hin zu einer Gefährdungssituation arbeiten. Eine Gefährdungssituation ist das erste Mal, wenn Menschen mit ins Spiel kommen. Banal gesagt. Das heißt irgendeine Lampe, die an der Decke hängt und runterfallen kann ist erstmal eine Gefährdung. Solange niemand unter der Lampe steht, wird diese Gefährdung nie zur Gefährdungssituation. Und erst wenn Menschen mit dem Produkt interagieren oder in deren Nutzungsumgebung sich aufhalten, dann kommt man zur Gefährdungssituation. Von einer Gefährdungssituation muss man sich dann weiterhin bewegen zu einem Risiko. Risiko ist so definiert, dass es die Kombination aus Auftretendeswahrscheinlichkeit, einer Gefährdungssituation und dem daraus resultierenden Schaden. Diese beiden Werte kann man dann in einer Matrix aufspannen und Bereiche identifizieren, wo man sagt, die sind komplett inakzeptabel. Und andere Bereiche, wo man sagt, das ist jetzt nicht akzeptabel, aber zumindest lassen wir das jetzt mal so stehen, weil der Nutzen des Produkts überwiegt. All das passiert in der Risikoanalyse. Das sind die Aktivitäten, die hier normativ vorgeschrieben sind. Das nächste, was dann passiert, ist die Risikobewertung, wo man dann genau sagt: Ich habe jetzt meine Risiken identifiziert. Ich habe mich von den Gefährdungen rüber bewegt bis zu einem Risiko. Ich habe mir einen Graphen aufgespannt. Und wie viele Risiken habe ich denn jetzt, die akzeptabel sind oder inakzeptabel sind. Dieser ganze Prozess wiederum ist die Risikobeurteilung. Wenn das so ist, kümmert man sich um die Risikobeherrschung. Risikobeherrschung bedeutet, es werden Risikominimierungsmaßnahmen umgesetzt. Da gibt es drei Möglichkeiten. Das erste ist eine Änderung per Design, wo man dann sagt: Damit diese Gefährdung gar nicht erst auftreten kann, verändere ich mein Produkt so, dass das technisch gar nicht mehr möglich ist. Bei einem EKG ist das jetzt schwer. Das funktioniert halt einfach so, wie es funktioniert. Wer das Produkt jetzt irgendwas, was Hitze erzeugt, dann könnte man sagen: Gut, bei einem Kochfeld nimmt man kein Cerankochfeld, sondern Induktionskochfeld. Dann kann man die Gefährdung verringern, dass sich jemand an der heißen Herdplatte die Finger verbrennt. Wenn das nicht geht, muss man Schutzmaßnahmen implementieren. Das ist die zweite vorgeschriebene Möglichkeit: einer Schutzmaßnahme kann ich halt nur die Wahrscheinlichkeit verschieben? Die Gefährdung an sich bleibt immer noch vorhanden. Die dritte Möglichkeit ist, die man da zur Verfügung hat: Informationen oder Schulungen. Und damit ist man schon am Ende der Risikobeherrschung. Mehr ist normativ gar nicht möglich. Im nächsten Schritt wird die Risikoakzeptanz festgestellt, also die gesamte Risiken betrachtet und geckuckt. Landet man jetzt nach risikominimierenden Maßnahmen im akzeptablen Bereich? Wenn das auch der Fall ist, wird alles in Risikoberichten niedergeschrieben und im letzten Schritt dann die nachgelagerte Phase gestartet. Also haben die Angaben oder die Annahmen, die getroffen wurden, tatsächlich Bestand gehabt? Oder hat man sich irgendwo völlig verschätzt? Das sind ganz neue Gefährdungen aufgetreten, haben die Wahrscheinlichkeiten gepasst. Das ist auch das, was normativ mit vorgeschrieben ist. Dann ist die nächste Norm, die anwendbar ist. Die IEC 82304. Das ist eine Norm über sogenannte health Software. Dann schauen wir da auch einmal kurz, kurz rein. Die Normen sind aus einer Zeit entstanden, wo sich niemand vorstellen konnte, dass Software ein eigenständiges Betrieb, ein eigenständiges Medizinprodukt sein kann. Und alle, oder so gut wie alle Normen sind von Leuten geschrieben worden, die ein sehr starkes Hardware und Mechanik Verständnis hatten. Deswegen wird man da ganz häufig so ein V-Modelle sehen oder ein Wasserfallmodell oder dergleichen. Und so fängt auch diese Norm an. Das ist so der Deckel, weil man vergessen hat, Software als eigenes Medizinprodukt festzulegen. Das bedeutet man, man sagt jetzt hier gut ab jetzt für Software alles schön gemacht. Aber bitte vergesst euer gesamtes System nicht, wo das Medizinprodukt zum Einsatz kommt. Ihr müsst jetzt mindestens Systemanforderungen haben. Dann macht sich die Norm das Leben extrem leicht und sagt, bitte macht alles, was in der 62304 dran steht, und dockt dann wieder oben an und sagt: Jetzt haben wir Anforderungen festgelegt. Die sollen jetzt bitte aber auch verifiziert werden. Und on top of that kommt dann noch die Validierung. Das sind jetzt zwei Begriffe, die stark auseinander getrennt werden müssen. Normativ gesehen ist eine Verifikation, der objektive Nachweis, dass spezifizierte Anforderungen erfüllt sind. Mehr nicht. Banal gesagt ist eine Verifikation möglich, wenn ich ein Lineal hinlegen kann. Wo ich dann sage: Klasse, dass es in meinem definierten Bereich innerhalb der Toleranz. Wenn ich irgendwas messen kann. Eine Validierung ist so definiert, dass die spezifizierten Nutzer in ihrer spezifizierten Umgebung ihre spezifizierten Anforderungen erfüllen können. Ich kann ein Produkt bauen, was die, was die Verifikation super bestanden hat, aber niemand damit klar kommt. Weil die Leute dann sagen: Hey, Moment, ist jetzt das Ganze einer dunklen Umgebung ein. Da ist Regen draußen. Ich habe eine Scheißbeleuchtung. Ich kann damit nicht arbeiten. Das geht nicht. Das ist dann der Punkt, wo die Validierung fehlschlägt. Und da greift diese Norm noch mitrein, wo sie das oben mitdrauf setzt. Auch hier gibt's dann Sachen, die neben zulaufen. Das eine sind Begleitdokumente, die erstellt werden müssen. Das ist eigentlich was, was über die Hardwarenormen reinkommt. Bei rein Software Produkten fehlt es dann entsprechend. Also, was muss denn die Gebrauchsanweisung oder in diverse andere Sachen? Und auch hier ist dann wieder eine nachgelagerte Phase, wo gesagt wird: Diese ganzen Sachen müssen aufrechterhalten werden. Dann die nächste Norm, die jetzt hier schon angerissen worden ist die IEC 62304. Das ist eine reine Softwarenorm. Das ist aus einer Zeit entstanden, wo man dachte, Software ist immer Teil eines Medizinprodukts. Aber es gab Medizinprodukte, wo die Software so grandios versagt hat, dass man dafür eine eigene Norm geschaffen hat. Das Beispiel, was man da recht gern nennt, ist der sogenannte Terrak 25. Das war ein Bestrahlungsgerät, ist als Nachfolgergerät auf den Markt gekommen und hat die Patienten förmlich auf den Tisch verbrannt. Da ist so viel Strahlung in den Körper rein, die Leute sind schreiend davon gerannt. Und so ist dann diese Norm entstanden. Und hier fängt die Norm an und sagt: Wenn wir Software entwickeln wollt, schon recht, aber plant das. Ihr könnt nicht einfach drauflos entwickeln. Ihr müsst euch Gedanken machen, was ihr denn tun wollt. Das fängt an bei Software Anforderungen, geht über eine Architektur, geht über eine Implementierung, geht über eine Verifikation, Integration. Da sagt die Norm legt das am Anfang fest. Legt fest, wie ihr Anforderungen erheben wollt. Legt fest, wie die Integration laufen soll, und wurschtelt nicht einfach drauflos. Den nächsten Punkt, den sie festlegt, sind Softwareanforderungen. Wie haben die auszusehen? Was muss alles mit beachtet werden? Dann geht es um die Softwarearchitektur. Da sagt die Norm: identifiziert Softwaresysteme. Also, salopp gesagt alles, was eine eigene Recheneinheit hat, eigener FPGA, eigener DSP, eigene CPU, ist ein Softwaresystem. Identifiziert das. Zerlegt eure Softwarearchitektur weiter in ein detailliertes Design. Dort ist dann die Rede von sogenannten Softwareitems und Softwareunits. Das heißt, ein Softwaresystem zerlegt sich weiter in Softwareitems. Softwareitems zerlegen sich weiter in Softwareunits. Ab da ist dann Schluss. Wo sich die Definitionen zwischen Softwareitem und Softwareunit unterscheidet, ist, dass der Hersteller sagt: Können wir nicht weiter zerlegen? Für was man sich da entscheidet, ist dem Hersteller überlassen. Ob man da als komplette runtergeht bis in den Assembler. Das kann man machen. Viele Hersteller sagen dann: na gut, es ist halt eine Bibliothek, besteht aus ganz viel Zeug, aber die Bibliothek ist jetzt so mal nicht weiter zerlegbar. Belassen wir so, dass sind unsere Software Units. Da hat man eben die Freiheit, das zu tun, was man da für richtig hält. Das Ganze muss auch umgesetzt werden. Auch da gibt es bestimmte Sachen, wo die Norm sagt: Haltet die ein, und dann geht es diesen ganzen Weg wieder hoch. Das Design, was man gemacht hat, muss verifiziert werden. Die Architektur, die man gemacht hat, muss integriert werden. Alles entsprechend dem Plan, den man zuvor festgelegt hat. Die Anforderungen werden verifiziert, und dann wird die Software freigegeben. Also, so die Vorgaben. Auch hier gibt es bestimmte Sachen, die dann noch allgemein durchgeführt werden müssen. Das eine ist die Softwarewartung, wo gesagt wird: Ja, jetzt habt ihr irgendwas am Markt. Aber wie geht ihr jetzt? Wie geht ihr damit um, wenn die Sachen nicht so funktionieren wie geplant? Dann gibt es die Softwarekonfiguration, das bedeutet welche Deliverables oder welche Tools werden miteingesetzt. Gibt es eine Versionskontrolle? Ist vielleicht Git im Einsatz, gibt es einen bestimmten Branchingworkflow, der damit definiert wurde. Habt ihr ein Integrationsserver? Wenn ja, wie geht ihr damit um, wenn diese Sachen geupdated werden, was auch das soll gesteuert werden. Und da sind hier Prozesse, die sich genau darum kümmern. Das Letzte ist, der Software- Problemlösungsprozess, der dann sagt, wenn Änderungen reinkommen, müssen die bestimmte Schritte mindestens durchlaufen. atmet tief aushuh Nun gucken wir mal. Dann müsste es eigentlich schon die nächste Norm kommen. Die IEC 62366. Das ist die Norm, über die, wie es auf Deutsch heißt Gebrauchstauglichkeit. Im Englischen ist es Usability. Die Usability Norm gliedert sich in mehrere Teile. Die Kernaussage der Norm ist, Gebrauchstauglichkeit kann nicht am Anfang noch oben, kann nicht am Ende noch zum Schluss drauf gestreut werden, sondern muss von Anfang an durchgeführt werden. Das heißt, es gibt einen Entwicklungsprozess, der schon am Anfang starten muss, und es gibt zum Schluss dann noch eine entsprechende Bewertung. Die Norm spricht davon formativer und summativer Evaluation. Formativ ist das, was während der Entwicklung passieren muss, und summativ ist das, was zum Schluss passieren muss. Dann, auch hier wird wieder die Zweckbestimmung aufgegriffen. Also es wird gesagt, legt die Anwender fest, legt die Umgebung fest. Was kann denn damit gemacht werden? Wie funktioniert das denn? Also da greifen sie in der Regel alle irgendwie, irgendwie mit rein. Dass man diese Sachen, diese Sachen mitbeschreiben muss, dann muss hier die Gebrauchstauglichkeit spezifiziert werden. Im einfachsten Fall ist es ein sogenannter Styleguide, wo drinsteht: Unser Produkt ist folgendermaßen aufgebaut. Die Bedienelemente sind an folgenden Stellen. Wir haben folgendes Design gewählt folgende Anordnungen, folgende Design Patterns, und diese müssen dann wieder verifiziert werden. Das heißt, ich kann im besten Fall automatisiert prüfen. Befinden sich die Elemente an den Stellen, wie wir das am Anfang festgelegt haben. Oder verändern sich die Menüs entsprechend, wie es in diesem Designguide festgelegt wurde und genauso wie die Sachen verifiziert werden müssen, müssen hier die Sachen auch wieder validiert werden. Das heißt, ich muss mir wieder echte Nutzer mit ins Boot holen und schauen: kommen die mit den Sachen denn klar? Idealerweise sogar schon während der Entwicklung. Dann haben wir noch die ISO 15223. Das ist eine Norm, die Regel kennzeichnen, die Regelsymbolik, die greift die ganzen Sachen mit auf. Das ist mit die günstigste Norm. Das ist kein Fehler. Das sind tatsächlich nur 1000 Euro in der Umsetzung. Die Norm an sich kostet noch viel weniger. Aber man muss halt wissen, wo die Symbole hingehören. Und das schöne an der Norm ist, die ist zwar rein für die Medizintechnik, aber die ISO ist einfach so nett, dass sie die Symboliken allgemein auf ihrer Homepage zur Verfügung macht. Das heißt, man geht zur ISO, sucht nicht nach der Medizintechniknorm, sondern sucht nach der ISO 7000 und kann sich dann hier durch die ISO Homepage durchbewegen und landet dann zum Schluss bei den Vorschausymbolen, die hier entsprechend mit, mit verwendet werden können und kann die Symbole hier anklicken. Hat sie in groß, hat sie in digital, kann die in die Dokumente einpflegen, wo sie hin müssen. Das ist tatsächlich dann eine ganz, ganz feine Sache. Dann möchte ich hier noch darauf hinweisen: Die Zweckbestimmung ist tatsächlich das entscheidende Dokument oder der entscheidende Text. Hier wird unglaublich viel festgelegt. Wenn man hier am Anfang den Grundstein nicht sauber formuliert hat, kann man da später in immense Probleme rutschen, sobald die benannten Stellen mit dabei sind. In meinem Beispiel habe ich jetzt hier gesagt card10 schön und recht super, aber nur ein kleines Stück Software auf dem Ding, nicht das ganze Gerät selber. Wäre das der Fall. Also müsste die ganze Hardware Medizinprodukt werden. Dann kommt mir hier in ganz andere Gefilde. Man muss dann die 60601 Normenfamilie einhalten und hat noch viele andere Regularien, die hier mitgreifen. Man muss die Reach and Rohs Richtlinien erfüllen. Man muss EMV erfüllen, das es elektromagnetische Verträglichkeit, man muss Biokommpt miterfüllen, man muss Funknormen erfüllen, Rüttel-, Schütteltests machen. Das ist halt dann was, wenn sich das vermeiden lässt, freut das natürlich den Medizinproduktenhersteller. Und das ist genau das, wie sich das in den Entwicklungsmodell widerspiegelt. Dadurch, dass viele Hersteller als Hardware- Hersteller gestartet sind, kennen die nur so ein V-Modell. Und das ist dann auch eines der etabliertesten Modelle, die in der Medizintechnik vorhanden sind. Hier ist es natürlich auch möglich, agile Methoden anzuwenden. Es gibt genug Unternehmen, die genau das tun und was sich da jetzt herausgestellt hat. Man erhebt immer noch Nutzungsanforderungen starr am Anfang. Aber sobald die da sind, sagt man sich: Gut, wir haben bei uns einen Scrum Prozess. Wir sind in regulierten Markt. Wir könnten ja mal sagen in die Definition auf done nehmen wir mit auf, dass am Ende von jedem Sprint bestimmte Dokumente zu erstellen sind. Und innerhalb von einem Sprint kann ich mir ihn aus dem Backlock meine Sachen rausziehen und sagen: Gut, ich möchte jetzt diese drei Sachen umsetzen und erstelle für diese drei Sachen dann meine Anforderungsdokumente, meine Architektur, mein Design, mache meine Verifikation und bewegt mich da stückhenweise wieder hoch. Sprich ich kann auch in dem agilen Prozess so kleine Mini Vs durchlaufen und das ist dann, was es üblicherweise in der Industrie umgesetzt wird. Viele andere Sachen habe ich damals auch noch nicht gesehen. Genau, das ist das jetzt, was ich grad gesagt habe. Es ist alles stark V-Modell getrieben. Da kommen die Leute schlicht und ergreifend her. Was anderes kennen Sie nicht, was es nicht gibt, oder? Ich sollte sagen, noch nicht gibt, ist eine Norm für Security und Safety? Es gibt Guidances. Das BSI ist in den ganzen Normengremien mit dabei. Das ist ganz lustig. Wenn ich in den Normengremien mit drin sitzte, werde ich recht gern als Vereinsjugend bezeichnet, weil ich den Altersdurchschnitt nochmal um 25 Jahre nach unten senke. lacht Das sind einfach Themen, das ist nicht in den Köpfen. Es wird vermutlich nächstes Jahr zwei, drei Normen zu dem Thema geben. Aber im Moment gibts nichts, und dementsprechend ist das Thema was was von Herstellern, ich sage mal nicht auf höchster Priorität steht. Genauso kappeln sich die Hersteller recht gern mit den Betreibern. Wenn jetzt jemand sagt, wir haben jetzt unser tolles Gerät, das hat eine [unverständlich]- Schnittstelle, das kann keine Ahnung, was alles tolles im Netzwerk machen. Bitte, lieber Betreiber, liebes Krankenhaus kümmer dich darum, dass das in der geschützten Umgebung ist. Weil wir nämlich keinen Wert auf solche Themen gelegt haben. Und dann sagt der Hersteller "Not my Department", muss sich bitte der Betreiber drum kümmern. Mal gucken, vielleicht ändert sich dann demnächst noch. Wir werden sehen. So, jetzt sind wir mit der Entwicklung fertig. Also kommt die benannte Stelle und führt Audits durch. Einmal wird die Entwicklung und die technische Dokumentation vom Produkt auditiert. Das heißt, je nachdem welche Klassifikationen wollen die halt mehr oder weniger sehen. Das nächste, was auditiert wird, ist das QM-System. Also in dem Fall ein Audit von der 13485. Dafür gibts auch ein schickes Zertifikat. Und dann gibt's ein Zertifikat, das man entsprechend nach Anhang vom Gesetz bestimmte Sachen in Verkehr bringen darf. Also man erklärt dann die Konformität. Das ist in Europa tatsächlich ganz wichtig. Es gibt nicht die Zulassung. Der Hersteller erklärt die Konformität selbst. In Amerika muss ich zur FDA gehen und bekommen dann da clearance oder approval. Das heißt, da bekomme ich tatsächlich als Hersteller eine Zulassung. In Europa macht man das selber. Und wie so eine Konformitäts- erklärung auszusehen hat, steht im Gesetz. Das heißt, der Anhang 4 regelt. Bitte erfülle sämtliche Anforderungen aus Anhang 1, also die grundlegenden Sicherheits- und Leistungsanforderungen. Dann im Anhang II erstellt eine technische Dokumentation mit den entsprechenden Normen, sobald man denn meint, dass die anwendbar sind. Und der dritte Schritt ist Überwachung nach in Verkehr bringen. Viele Normen haben diese Phase eh schon mit dabei, aber das jetzt eben per Gesetz vorgeschrieben. Dann können wir die Konformität erklären mit der sogenannten Konformitätserklärung. Es muss tatsächlich ein formales Dokument sein, wo bestimmte Sachen mit drin sind. Also um welche Firma handelt es sich? Wo ist denn die zu finden? Es müssen eindeutige Nummern vergeben werden. Es muss das Produkt eindeutig benannt werden, es muss die Risikoklasse mit dabei sein. Die benannte Stelle, also bei Klasse 2a, 2b und Klasse 3 Produkten. Und es muss zum Schluss ein Datum drauf sein, eine Unterschrift. Das ist eines der wenigen Dokumente, die wirklich so richtig formell schweren Prozess mit, mit sich fordern. Wenn das geschafft ist, super! Anhang 5. CE- Kennzeichen, das Kennzeichen in der Medizintechnik, bedeutet genau das. Man hat die Konformität erklärt. Das Produkt ist zumindest laut Ansicht der benannten Stelle und des Herstellers sicher, und unten dran steht die Nummer von der benannten Stelle. In dem Fall jetzt 0123, das wäre der TüV Süd. Je nachdem, wo man hingeht, hat man ein anderes Kürzel dran. So, im nächsten Schritt muss dann die UDI registriert werden, also der Unique Device Identifier. Der muss nicht nur aufs Produkt selber, sondern auch entsprechend auf die Verpackungen und Verpackungen und alles Mögliche. UDI hier anzureisen, würde den Rahmen endgültig sprengen. Aber zumindest kurz möchte ich darauf eingehen. Die UDI gliedert sich in zwei Bereiche: Einmal die UDI-DI und die UDI-PI. Die UDI- DI ist ein statischer Teil, der das Gerät identifiziert, der das Unternehmen identifiziert. Das ist ein Teil. Wie gesagt, der bleibt einigermaßen fest. Dan gibt es den zweiten Teil, der dynamisch ist, also wann wurde das Ganze hergestellt? Welche Chargennummer, Seriennummer mit dabei, hat das ganze ein Verfallsdatum. Die ganzen Sachen, das heißt diese Nummer. Der zweite Teil mit am laufenden Meter. Je nachdem, wie viel man in Verkehr bringen möchte, nur herstellt. Wenn man seine UDI registriert hat, dann hat man tatsächlich, was die Entwicklung angeht, alles durchlaufen und kann sich dann um die Aufrechterhaltung kümmern. Also das nächste Kapitel, was dann hier anwendbar ist. Überwachung. Vigilanz und diese Themen. Aufrechterhaltung bedeutet: Die Zertifikate müssen erneuert werden. Alle diese Zertifikate haben Ablaufdatum. Auch die Konformitäterklärung hat meines Wissens ein Ablaufdatum und hier genau doch kann man. Das heißt, es muss kontinuierliche Bewertungen geben. Es dürfen auch unangekündigte Audits durchgeführt werden, also sowohl selber als Hersteller. Kann man seine Lieferanten auditieren als auch die benannten Stellen dürfen den Hersteller auditieren. Und es gibt ein ganz nettes Video von dem französischen Unternehmen, was in der Rolle des Herstellers und Zulieferers ist. Und ich hatte, glaube ich, um die 20 Audits in einem Jahr, wo Sie dann angefangen haben. Ja, gut, jetzt kam die benannte Stelle, jetzt kam irgendeinen Hersteller wo sie Lieferant sind, wo sie dann genau die gleichen Dokumente aus der Schublade herausgezogen haben und das Audit dann nochmal so durchgeführt haben. Diese Audits sind auch ein sehr formaler Prozess. Üblicherweise nimmt man sogenanntes Frontroom, Backroom Setting, das bedeutet, es gibt einen Raum, wo man mit dem Auditor hingeht, und diesen Raum verlässt der Auditor die gesamte Zeit nicht. Wenn der irgendwas sehen möchte, dann fragte er: Was ist die Zweckbestimmung? Gräbt sich dann von da aus stückchenweise durch. Der Backroom hört per Skype oder wie auch immer Audio, Schalte, Chat, was weiß denn ich zu und steht on demand an, wenn es ein Papier basiertes System, das tatsächlich am Drucker, erstellt Kopien, die als solche gekennzeichnet sind, und bringt die dann ganz brav in den Frontroom, wo man sagt: Hier lieber Auditor, das hast du angefordert und jetzt guckt mal, ob das dann passt. In digitalen Systemen ist es dann einfacher. Aber das ist ein ganz typisches Setting. Dass man diese Bereiche auseinander zieht. Dann gehören eben solche Prozesse mit ins QM-System. Das heißt, man braucht ein System für Marktüberwachung, für Änderungswesen, für ständige Verbesserungen oder für CcpAs: Current Correctiv and Präventive Actions. Und damit bin ich jetzt tatsächlich am Ende. Das wäre jetzt einmal die gesamte Produktentwicklung mit Aufrechterhaltung in groben Schritten abgerissen. Ich hab noch einen Podcast, wenn noch Fragen da sind? Vielen Dank! Applaus Herald: Phil, vielen, vielen Dank! Dann haben wir jetzt sogar noch Zeit für Fragen. Wir haben ein Saalmikrofon hier aufgebaut, die eins, zwei, drei. Bitte stellt euch dahin, wenn ihr Fragen habt, und ich nehme euch einfach dran. Wir haben noch nichts aus dem Internet, da kommt vielleicht noch was. Aber Micro 2 dann bitte. Mik 2: Hallo. Bei vielen Folien, glaube ich, könnte man die Überschrift Medizintechnik ersetzen auch durch Automotive oder Aerospace. Die Themen sind die gleichen, die Normen unterscheiden sich, haben andere Nummer, unterscheiden Sie sich aber im Wesentlichen die Themen sind ähnlich, also Qualitätsmanagement, Risikomanagement und so. Gibt es etwas in der Medizintechnik, was sich deutlich von anderen Bereichen mit kritischen Systemen abhebt. Phil: Von den Anforderungen her nicht. Jeder regulierte Bereich hat bestimmte Sachen, die festgelegt werden müssen. Was in der Medizintechnik das größte Problem ist, ich sage mal, ein Flugzeug ist immer ähnlich aufgebaut, ein Auto ist immer ähnlich aufgebaut. Die Medizintechnik. Die ganzen Normen, die es da gibt. Es muss funktionieren von einem Heftpflaster bei einer Mullbinden, einem Rollstuhl bis hin zu implantierbaren Herzschrittmachern. Diese Diversität in den Normen abzubilden ist ein Riesenproblem, weil sich im Endeffekt kein Hersteller da so richtig wiederfindet. Das ist das, was in der Medizintechnik die größte Herausforderung ist. Alle unter einen Hut zu bekommen. Aber die Anforderungen sind in jedem regulierten Bereich die gleichen. Frage: Die Anmerkung: Das Thema, dass Software also als Nachgedanke dann meist noch hinten dran gemacht wurde und die Normen mit im Hintergrund Hardware geschrieben wurden. Das ist auch in anderen Bereichen genau der gleiche Fall. Phil: Ich kenne das aus der Luft und Raumfahrt. Da ändert man lieber fünf Hardware Geräte außen herum, bevor man die Software anfasst. So schlimm ist es in der Medizintechnik dann doch nicht. Herald: Dann gehen wir rüber auf Mikrofon 1 Bitte! Mik 1: Hi, vielen Dank! Das klingt ja jetzt schon alles sehr, sehr kompliziert. Für mich stellt sich so ein bisschen die Frage: Was ist denn die Vorschrift? Wann muss ich mein Gerät als mein Produkt als Medizinprodukt sehen? Wann, wann habe ich als Firma die Vorschrift oder den Anreiz, das zu tun? Nun zeigt mich auch die Zertifizierung spare ich mir das ja, alles kompliziert? Phil: Die pragmatische Antwort auf die Frage ist: wenn, das Mitbewerber spitz bekommen? Wird eine Klage eingereicht. Und was dann passiert ist: Das Ganze landet vor Gericht, und ein Gutachter erstellt für einen die Zweckbestimmung. Und wenn das jetzt offensichtlich ist, also bei bestimmten Geräten, kann man es einfach nicht mehr wegdiskutieren, wenn man sagt: es soll an Patienten angewendet werden, ist invasiv, steuert Funktionen vom Herzen. Da wird es schwierig. Wenn das jetzt Borderline Produkte sind, sollte man sich sehr genau Gedanken machen, wo man sagt: In dieser Definition falle ich garantiert nicht rein. Ansonsten bekommt man die Zweckbestimmung und in der Regel nicht zu den Gunsten. Aber die Zweckbestimmung mit den Klassifizierungsregeln am Anfang, wo ich gezeigt habe, die Definition Medizinprodukt unbedingt durchlesen, da steht alles Wichtige drin. Da ist auch die Abgrenzung zum Beispiel zu Pharmakologie. Herald: Dann gehen wir rüber zum Microfon 2. Mik 2: Ich habe hier im Moment eine Smart Watch um, die hat auch eine EKG drin. Allerdings ist das in Europa deaktiviert, so wie bei ganz vielen anderen Herstellern. Wir haben jetzt unseren wohl definierten Prozess gesehen. Da frage ich mich dann: Warum schaffen große Hersteller wie Samsung oder Apple das eigentlich nicht so einen Prozess in kurzer Zeit zu durchlaufen, um solche Features bereitzustellen? Phil: Die Apple Watch ist ein sehr schönes Beispiel. Die ist mittlerweile in Europa als Medizinprodukt in Verkehr gebracht, auch nicht die Apple Watch selber. Die hat sich nämlich genau den gleichen Kunstgriff erlaubt. Die hat zwei Apps als Medizinprodukt deklariert. Das eine ist die EKG App, was nahezu die identische Zweckbestimmung hat, wie das, was wir hier gesehen haben. Das andere ist die App. Ich glaube, das war eine Sturzerkennung oder irgendwie sowas. Und diese beiden Sachen sind Medizinprodukt, mehr nicht. Und auch für diese beiden Sachen findet man eine Zweckbestimmung. Für diese beiden Sachen findet man das CE-Zeichen, und wenn man da drauf schaut, findet man exakt das, was wir gesehen haben, und zwar die Kennummer 0123, wo der TüV Süd in diesem Konformitätbewertungsverfahren mit dabei war. Was wiederum bedeutet: Das sind mindestens Klasse 2a Medizinprodukte, aber die gesamte Hardware. Da hat sich Apple gesagt: Das macht keinen Sinn. Die Hardware an sich, also das Hauptziel der Apple Watch ist nicht Medizinprodukt. Da soll jeder Krethi und Plethi für das Ding entwickeln können. Das können sie gar nicht kontrollieren und wollen sie auch gar nicht. Und deswegen haben Sie ja gesagt: Über die beiden Bereiche. Da behalten wir uns unsere Entscheidungshoheit, und nur wir können da Änderungen vornehmen. Hat das die Frage beantwortet? Mik 1: Ja. Eigentlich interessierte mich noch, warum das eigentlich so lange dauert. Auch die Apple Watch hat ja Monate Startverzögerung gehabt in Europa. Phil: Das ist richtig. Apple ist in dem Fall ein amerikanisches Unternehmen. Die haben ihre erste Einreichung bei der FDA gemacht. Da wussten sie genau, was zu tun. Und eine FDA ist eine Behörde. Die hat sehr strikte Prozesse, an die sie sich selber halten muss. Da war es leichter, eine Vorhersage zu treffen, wann sie von der FDA die Clearance bekommen. Bei einer benannten Stelle gibts diese genauen Vorhersagen nicht. Die haben nur ihre Richtlinien, an denen sie sich orientieren können. Und wenn der TüV Süd sagt: Ja, gut, schön und recht, was die FDA da gesagt hat. Aber wir haben bei uns noch eine Norm mehr, die wir als anwendbar sehen. Erfüllt die bitte oder gibt uns zumindest Nachweisdokumente, dass ihr die erfüllt habt. Dann müssen die nachliefern. Und die FDA ist nicht so stark Normen getrieben. Die sind mehr Gesetzesgetrieben. Und das ist meine Vermutung, warum Apple da länger gebraucht hat: Weil sie mit einem ganz anderen Mindset an die Sache herangehen. Weil sie amerikanisch sind, weil sie einen anderen Blick auf die Welt haben. Aber ich war nicht dabei, ist nur eine Mutmaßung. Herald: Super, dann schauen wir mal rüber Internet. Signal-Engel: Eine kurze Frage aus dem Internet: Kosten diese unabhängigen Audits durch die benannte Stelle auch Geld? Phil: Es ist so, genau, der Hersteller sucht sich eine benannte Stelle, also Dekra oder wen auch immer. Ich finde, wenn wir hier von Europa Stellen haltende, benannte Stelle aus dem europäischen Raum und Zahl dieser benannten Stelle Geld, und die führt dann das Audit durch. Das ist ein bisschen ein Interessenkonflikt, aber die benannten Stellen legen sehr hohen Wert darauf zu sagen: Wir bekommen zwar von den Herstellern das Geld, aber können auf dem Papier beweisen, dass wir uns soweit neutral verhalten haben und nicht einfach irgendwelchen Scheiss durchgewunken. Da ist Brustimplantateskandal, TüV Rheinland mal in die Kritik geraten. Aber die konnten dann auch zeigen: Wir haben hier alles in unserer Macht stehende getan, aber gegen kriminelle Handlungen, da können wir uns auch nicht schützen. Herald: Und rüber zur 1 Bitte. Mik 1: Bei der Medizinproduktentwicklung entfällt oder entsteht sehr viel Dokumentation. Gibt es eine Möglichkeit für den Patienten, für den Nutzer der Medizinprodukte an diese Dokumentation, an die technische Dokumentation ranzukommen, beispielsweise über das demdie? Phil: Nein, besteht nicht. Wir befinden uns gerade in einer Änderung von Gesetzen. Im Moment, das habe ich jetzt still heimlich verschwiegen. Wir haben noch ein altes Gesetz Die MDD gilt noch bis Mai nächsten Jahres. Danach gilt die MDR, und mit der MDR wird eine europäische Datenbank eingeführt. Die ist nicht komplett öffentlich, aber halb öffentlich. Man kann bestimmte Sachen einsehen, aber die Hersteller sagen: Das ist unser Geschäftsgeheimnis. Das ist das, was unsere Kernkompetenz ausmacht. Wir können nicht unsere technische Dokumentation rausgeben. Per Gesetzt ist vorgeschrieben, dass bestimmte Sachen in der Gebrauchsanweisung drin stehen müssen, dass bestimmte Sachen angegeben müssen sein müssen die UDI und die ganzen Kennzeichnungen. Das ist genau vorgeschrieben. Aber an die technische Dokumentation wird man nicht hinkommen. Man kann das sogar noch weiter treiben, indem man einen Freedom of Information Act an die FDA stellt, um so an die technische Dokumentation hinzukommen. Aber auch da sagt die FDA: Wenn wir das einmal machen, kommt niemand mehr zu uns. Also nein. An die technische Doku kommt man nicht hin, an die Begleitdokumente, die für den Endnutzer bestimmt sind, auf die man, an die auf jeden Fall. Herald: Dann gehen wir rüber auf die 2. Mik 2: Vielen Dank für den Vortrag. Ich habe in der Radiologie jetzt sehr oft beobachtet, dass es kleine Firmen gibt, die die Bilder, die aus dem CT oder MRT kommen, mit irgendwelchen Algorithmen belegen, irgendwelche neuen Bilder generieren oder irgendwelche Analysen machen und dann hinterher sagen: Ja, aber wir sind kein Medizinprodukt. Wir machen das nur im Endeffekt für die Wissenschaft, was wir hier machen. Und wenn du das klinisch einsetzt, lieber Arzt, dann machst du das selber und du triffst ja die Entscheidung über das, was du mit deinem originären Bild einmal da gemacht hast. Ist das in irgendeiner Art oder Weise legitim? Ist das machbar für so kleine Open-Source-Projekte, die etwas mit Bildern machen möchten? Phil: Das ist ein Graubereich, wenn der Hersteller sagt, dass es nur für klinische Forschung, dass es nur um mal irgendwas zu testen. Und man das dann für etwas anderes einsetzt, schiebt der Hersteller die Verantwortung an den Betreiber. Wenn das jetzt in größerem Rahmen passiert, wird eine benannte Stelle oder eine Landesbehörde oder eine europäische Behörde, die ihm irgendwann Einhalt gebieten. Und dann passiert genau das. Das kommt vor Gericht, und dann wird ein Gutachter Zweckbestimmungen erstellen. Das andere ist: Es gibt auch Softwaresysteme zum Beispiel gerade in der Radiologie, die eine Bestrahlungensplanung machen. Da greift dieses Mittel nicht mehr. Wenn das ein Hersteller machen würde, der sagt: na gut, irgendein Betreiber hat jetzt Bestrahlungsgerät, nimmt sich von einem kleinen Unternehmen eine Software für eine Bestrahlungensplanung, wo halt man genau schaut, wo soll da jetzt durchgeschossen werden? Das wird nicht mehr funktionieren. Bei so anderen Grenzfällen möglich. Ob das auf Dauer funktioniert? Dass halt man tatsächlich die Frage. Herald: Da gehen wir rüber auf die Eins. Mik 1: Vielen Dank! Da schließt sich meine Frage direkt ein bisschen an: Wie wird die Einhaltung dieser Norm denn enforced? Das heißt, wenn jetzt Ärzte den card10 verwenden an Patienten, um damit irgendwas zu überwachen, oder irgendwelche Flower- Power Enterprises irgendwelche Produkte liefern, die von Krankenhäusern, weil es billiger ist, verwendet würde, wer würde das wann, wo, wie feststellen, und was würde dagegen unternommen? Man kann ja nichts dagegen tun, wenn man den card10 quasi als Medizinprodukt einsetzt. Wie würde dagegen vorgegangen, und wer hätte dann was zu befürchten? Phil: Der einfachste Weg ist, den Weg über die BfArM zu wählen. Das BfArM ist das Bundesinstitut für Arzneimittel und Medizinprodukte. Dort können solche Vorkommnisse gemeldet werden, und die kümmern sich dann sehr schnell um solche Sachen. Klar, auch die haben manchmal sehr viel zu tun. Aber das ist die erste Anlaufstelle für sowas. Mik 1: Aber wer würde denn jetzt belangt? Wenn ein Arzt card10 einsetzt als Medizinprodukt, obwohl es keins ist? Wird dann jemand die Zweckbestimmung für das card10 feststellen und card10 hätte ein Problem, oder hätte der Arzt ein Problem? Phil: Das muss ein Gutachter feststellen. Das ist dann das, was vor Gericht passiert. Wenn in der Zweckbestimmung rauskommt, die Leute haben alles richtig gemacht. Das ist kein Medizinprodukt. Das kann keine Erkennung von irgendwas stattfinden, was meiner Ansicht nach im Moment der Fall ist. Dann wird der Arzt oder der Betreiber in dem Fall dafür haftbar gemacht, weil er irgendwas eingesetzt hat, was nicht für die Umgebung gemacht ist. Wenn in der Zweckbestimmung herauskommt durch diesen Gutachter. Moment, man kann ja hier bestimmte, bestimmte Arten von Herzerkrankungen feststellen. Das Gerät sagt einem ja sehr genau. Oder alarmiert sogar sehr genau, wann was passiert. Dann ist der Hersteller mit dabei. Das passiert alles in der card10 nicht, aber es dreht sich dann immer um die Zweckbestimmung, die formuliert wird. Und da müsste man jetzt Kristallkugel raten, was tatsächlich vom Gutachter geschrieben wird. Herald: Haben wir aus dem Internet? Dann machen wir mal direkt weiter mit Mikrofon. 1 bitte! Mik 1: Wenn ich sie richtig verstanden habe, dann hat Apple argumentiert, dass die Apple Watch primär andere Ansatzzwecke hat, als irgendwelche Lebenswerte zu messen. Ich kenne das Produkt card10 nicht. Aber hat die Hardware denn irgendwelche anderen Einsatzzwecke als diese medizinischen? Wie haben Sie sich da raus geredet? Weil sich das irgendwie aus diesem Vortrag alleine so anhört, als wäre das wirklich primär für medizinische Zwecke da. Phil: Gut, ich habe jetzt den Medizinzweck natürlich hervorgehoben, weil das ein Bereich, in dem ich mich sehr gut auskenne. Die card10 an sich kann neben vielen tausend anderen Sachen auch ein EKG ableiten. Kann das aber mehr schlecht als recht darstellen. Schneider. Es tut mir leid, aber. Das Ding kann, kann oder soll für so viel mehr eingesetzt werden als für das EKG, wo ich jetzt einfach mal behaupte, die Leute sollen dafür Software schreiben. Es soll einfach zugänglich sein. Es soll sich mit anderen card10s irgendwie vernetzen können. Man soll auf dem Display hübsche Sachen darstellen können. Man soll einstellen können, ob ich jetzt gerade mit anderen reden möchte oder ob ich eigentlich gerade keinen Bock hab. Und das sind so die hauptsächlich gute Dinge. Herald: Blinken tut das Ding, das darfst nicht vergessen! Phil: Ganz wild, stimmt. Und das wäre jetzt mein Ansatzpunkt, wo ich sag: Ja, das EKG ist halt auch mit dabei. Aber es ist halt eine nette Spielerei. Aber das ist nicht das, was die card10 an sich ausmachen soll. Mik 1: Weil ich dann geglaubt habe, dass es wirklich nur für diesen einen Zweck eigentlich gebrauchbar ist, dann haben Sie das beantwortet. Danke. Herald: Direckt weiter mit Mikrofon. 1, bitte. Mik 1: Guten Abend! Ich hätte zwei kleinere Fragen. Das erste: Könnte es passieren, dass so etwas wie Google Scholar oder Papp Mails, was Ärzte im Alltag häufig benutzen, um Entscheidungen zu treffen für ihre Patienten auch unter das Medizinprodukte Gesetz fallen könnte. Und zweitens die Abgrenzung zum Kategorie 3 scheint mir zu sein, wenn man eine potenziell lebensbedrohliche oder sehr, sehr gefährliche Entscheidung in einer Software beispielsweise herbeiführen würde. In der Medizin ist es jetzt aber auch so, dass Patienten ganz leicht Allergien auf Medikamente entwickeln können, die auch ganz alltäglich sind und damit an Penicillin beispielsweise sterben könnten. Inwiefern wird darauf Rücksicht genommen? Ich sage nur Banalitäten, in der Medizin ganz einfach verheerende Folgen haben können und das dann dazu führt, dass ich ein kleines Produkt letztendlich so ausbauen muss wie den Roboter, der mir mein Herz automatisch transplantiert. Phil: Die zweite Frage kann ich recht leicht beantworten. Das richtet sich an die Klassifizierungsregeln. Ich habe jetzt nur die Regel 10 an den Beamer geworfen. Man muss für das Produkt, was man hat, die Funktionen kennen, die Zweckbestimmung haben und kann dann genau durch diese Regeln systematisch durchgehen. Dort wird exakt erklärt: Wenn ich ein Produkt habe, was bestimmte, bestimmte Features hat, wenn es eine gewisse Invasivität hat, dann lande ich in diesen ganzen Kategorien. Alle Regeln hier aufzuzeigen ist relativ mühselig, und das macht es ein bisschen schwierig. Bei der ersten Frage müssen wir uns, glaub ich, mal persönlich zusammensetzen. Die Google? Was war das? Scola? Frage: Ja, Google Scola und pub mate oder uptodate. Da gibts ja viele Plattformen, wo Ärzte fündig werden. Phil: Da weiß ich jetzt tatsächlich gar nicht, was die machen. Da kann ich jetzt, kann ich jetzt gar nicht so viel dazu sagen. Das tut mir leid. Herald: So, wir haben keine Zeit mehr und auch keine Fragen. Phil, du bist erlöst. Vielen, vielen Dank. Das ist noch mal dein Applaus. Phil: Danke schön. Applaus 36c3 Abspannmusik Untertitel erstellt von c3subtitles.de im Jahr 2020. Mach mit und hilf uns!