Return to Video

36C3 - Warum die Card10 kein Medizinprodukt ist

  • 0:00 - 0:18
    36C3 Vorspannmusik
  • 0:18 - 0:23
    Herald: Rechts von mir steht der Phil und
    der Phil erzählt uns jetzt, was müssen
  • 0:23 - 0:29
    Medizinprodukthersteller einhalten und was
    nicht. Der Talk heißt "Warum der card10
  • 0:29 - 0:32
    kein Medizinprodukt ist".
    Dein Talk. Viel Spaß!
  • 0:32 - 0:43
    Phil: Danke schön. Ja. Applaus Vielen
    Dank, dass ich hier einen Vortrag halten
  • 0:43 - 0:51
    kann. Ich möchte kurz was zu meiner
    Person sagen. Angekündigt als Phil ist völlig
  • 0:51 - 0:56
    richtig. Ich arbeite seit über zehn Jahren
    in der Medizintechnik Branche, gerade die
  • 0:56 - 1:02
    Regularien ist was, wofür ich mich
    tierisch begeistern kann, also von dem
  • 1:02 - 1:09
    her. Ich kann verstehen, wenn das den ein
    oder anderen nicht sonderlich begeistert.
  • 1:09 - 1:16
    Ich finde das schön, aber gut. Ich werde
    sehr viele Beispiele bringen. Das heißt,
  • 1:16 - 1:20
    Gesetzestexte sind sehr genau. Bei den
    Beispielen verschwimmt es dann wieder.
  • 1:20 - 1:27
    Genauso versuche ich, Zahlen zu nennen.
    Ungefähr eine grobe Richtung vorzugeben.
  • 1:27 - 1:30
    Manche Sachen sind stark vereinfacht,
    dafür reicht die Zeit einfach nicht aus.
  • 1:30 - 1:35
    Bitte alles nicht eins zu eins nehmen,
    sondern nur eine Größenordnung. Mehr, mehr
  • 1:35 - 1:42
    ist hier schlicht und ergreifend in der
    Zeit nicht machbar. Also gut. Erstmal
  • 1:42 - 1:53
    Frage in die Runde: Wer weiß denn was die
    card10 ist? Wer hat einen? Okay gut, dann
  • 1:53 - 1:58
    erkläre ich nochmal ganz kurz was zu der
    Hardware selber. Also die card10 hab ich
  • 1:58 - 2:07
    mich hier von der Homepage das Bild
    geklaut. Ist, die Normen Gremien würden
  • 2:07 - 2:10
    jetzt sagen weareable, das bedeutet, es
    ist etwas, was in der Hand getragen werden
  • 2:10 - 2:16
    kann, dass es in der häuslichen Umgebung
    eingesetzt werden kann und
  • 2:16 - 2:21
    schwerpunktmäßig ganz viele Leuchtdioden
    hat blinken sollen. Display hat kleiner
  • 2:21 - 2:27
    Vibrationsmotor also so im ersten
    Augenblick gar nicht so Medizinprodukt.
  • 2:27 - 2:33
    Was mir jetzt unten auf dem Bild sehen
    kann, sind so große Metallflächen. Man
  • 2:33 - 2:39
    kann hier dann EKG ableiten, und das ist
    so dann der erste Punkt, wo es anfängt,
  • 2:39 - 2:46
    Richtung Medizinprodukt zu denken. Also
    das ist jetzt am Anfang, wo alle einmal
  • 2:46 - 2:52
    durch müssen. Medizinprodukt ist per Gesetz
    definiert und das Gesetz, über das ich
  • 2:52 - 2:57
    heute rede, ist die "Medical Device
    Regulation" ist ein europäisches Gesetz.
  • 2:57 - 3:08
    Was für Gesamteuropa gilt. Dann bitte ich
    einmal kurz die Erklärung durchzulesen.
  • 3:08 - 3:13
    Artikel 2 definiert Medizinprodukt. Ich
    möchte jetzt nicht in die Definition
  • 3:13 - 3:32
    reinreden, deswegen warte ich ein kurzen
    Moment. Das ist schon stark vereinfacht.
  • 3:32 - 3:39
    Was jetzt hier die wichtigen Punkte sind,
    also bezogen auf die card10 bedeutet
  • 3:39 - 3:45
    es, dass entweder ein Gerät oder eine
    Software oder beides in Kombination. Es
  • 3:45 - 3:50
    ist vom Hersteller dazu bestimmt,
    bestimmte Funktionen wie Diagnose,
  • 3:50 - 3:55
    Überwachung oder dergleichen
    durchzuführen. Das heißt, es kann sein,
  • 3:55 - 3:59
    dass die gleiche Sensorik in irgendeinem
    Produkt verbaut ist, wo der Hersteller
  • 3:59 - 4:03
    sagt, dass es gar keinen Medizinprodukt.
    Das hat gar keine medizinische
  • 4:03 - 4:08
    Zweckbestimmung. Manche Telefone haben das
    und gelten auch nicht als Medizinprodukte.
  • 4:08 - 4:14
    Und da muss dann der Hersteller gucken,
    was man mit dem Ding gemacht werden. Das
  • 4:14 - 4:18
    beantwortet dann auch sehr schnell die
    Frage. Mal gucken, wie das denn bei der
  • 4:18 - 4:31
    card10 aussieht. Eine Folie würde ich
    jetzt gerne weiter. Hier, Klasse. Dann die
  • 4:31 - 4:36
    sogenannte Zweckbestimmung vom Hersteller
    regelt genau das. Also mal auf die card10
  • 4:36 - 4:39
    Homepage gucken, ob man hier irgendwas
    findet. Zweckbestimmung muss in der
  • 4:39 - 4:42
    Gebrauchsanweisung stehen. Vielleicht
    findet sich ja irgendwie so etwas wie eine
  • 4:42 - 4:47
    Gebrauchsanweisung bei Tutorials.
    Vielleicht mal weiter gucken. Da steht was
  • 4:47 - 4:52
    von EKG. Ah ja. Schön klasse, das ist ja
    schon mal was, was du in die Richtung
  • 4:52 - 4:57
    geht. Und dann ist noch ein ellenlanger Text,
    der bisschen beschreibt, wie man aus dem
  • 4:57 - 5:02
    EKG dann tatsächlich etwas auswerten kann.
    Hab ich mal gemacht. Sah bei mir dann so
  • 5:02 - 5:08
    aus. Und also, was soll erreicht werden?
    Ich habe jetzt nichts gefunden, was auf
  • 5:08 - 5:13
    irgendeine Indikation hindeutet. Ich habe
    nichts gefunden, wo man EKG tatsächlich
  • 5:13 - 5:18
    vermessen könnte. Ich habe nichts
    gefunden, welche Krankheiten damit
  • 5:18 - 5:22
    diagnostiziert werden oder erkannt werden
    können? Ich habe keine Angaben zu
  • 5:22 - 5:26
    Patienten gefunden, keine Angaben zum
    Anwender. Damit hat das Ding keine
  • 5:26 - 5:30
    Zweckbestimmung und ist kein
    Medizinprodukt. Das ist jetzt meine
  • 5:30 - 5:37
    Einschätzung. Doch dann schauen wir
    weiter. Jetzt könnte man ja mal gedanklich
  • 5:37 - 5:44
    das Spiel spielen und ein Teil der card10
    zum Medizinprodukt machen. In dem Fall
  • 5:44 - 5:50
    wäre es am einfachsten zu sagen: Man macht
    einfach dieses Programm, was das EKG
  • 5:50 - 5:56
    anzeigt oder sich generell darum kümmert,
    zum Medizinprodukt. Medizinprodukte
  • 5:56 - 6:00
    brauchen eine Zweckbestimmung. Und so
    könnte jetzt beispielsweise die
  • 6:00 - 6:04
    Zweckbestimmung anfangen, dass man die EKG
    App, also ein Stück Software zum
  • 6:04 - 6:10
    Medizinprodukt macht und kurz beschreibt,
    wie es denn das Funktionsprinzip. Was kann
  • 6:10 - 6:16
    man damit machen? Was soll damit
    medizinisch erkannt werden? In dem Fall,
  • 6:16 - 6:23
    ob es einen regelmäßigen Sinusrythmus gibt
    und ein arterielles, eine arterielle
  • 6:23 - 6:28
    Vibration, das Vorhofflimmern und viel
    mehr ist mit einem Kanal EKG schon nicht
  • 6:28 - 6:35
    machbar. Bei der card10 habe ich zwei
    Elektronen, sprich medizinisch gesehen hat
  • 6:35 - 6:40
    man so einen Querschnitt durchs Herz, den
    man da feststellen kann. Größere EKGs
  • 6:40 - 6:45
    werden dann ums Herz herum geklebt, wo man
    dann verschiedene Schnitte hat, und kann
  • 6:45 - 6:49
    damit medizinisch deutlich mehr machen.
    Das ist bei einem Ein-Kanal EKG schlicht
  • 6:49 - 6:56
    und ergreifend nicht möglich. Das Zweite:
    Wo soll das Ganze angewendet werden? Also
  • 6:56 - 7:03
    die Umgebung beschreiben? Das nächste wäre
    dann. Von wem soll es verwendet werden und
  • 7:03 - 7:08
    von wem soll es nicht verwendet werden?
    Das ist jetzt auch nur fiktiv. Das muss
  • 7:08 - 7:12
    dann alles eine klinische Abteilung
    beantworten. Also auch hier beispielhaft
  • 7:12 - 7:18
    erklärt und eine contra Indikation. Also
    wo schließt man Sachen aus? Auch das ist
  • 7:18 - 7:23
    etwas, was dann die klinische Seite sehr
    gut beantworten kann. So könnte eine
  • 7:23 - 7:30
    Zweckbestimmung für eine EKG App aussehen
    und dann auch hier nochmal kurz erklärt.
  • 7:30 - 7:38
    Funktionsweise, Indikation, Kontra
    indikation. Das ist eine Zweckbestimmung.
  • 7:38 - 7:44
    Super! Das ist der erste Schritt. Jetzt
    haben wir eine Zweckbestimmung. Aber was
  • 7:44 - 7:51
    jetzt? Na ja, über die Zweckbestimmung
    können die Gruppen entsprechend klass... .
  • 7:51 - 7:55
    Kann das Produkt entsprechend per Gesetz
    klassifiziert werden? Die
  • 7:55 - 7:59
    Klassifizierungenregeln stehen auch im
    Gesetz. Ich habe immer versucht, mit
  • 7:59 - 8:04
    anzugeben, in welchen Artikel oder in
    welchem Anhang das stattfindet. Und was
  • 8:04 - 8:08
    sind die Klassifizierungen, die
    Medizinprodukte haben können? Ich habe das
  • 8:08 - 8:12
    versucht, ein bisschen grafisch
    darzustellen. Technisch gesehen ist es
  • 8:12 - 8:18
    nicht invasives Produkt, aber da fällt man
    in nichts rein. Nein, invasives Produkt
  • 8:18 - 8:23
    ist es auch nicht. Besondere Festlegungen
    gibt es auch nicht. Aber es ist ein
  • 8:23 - 8:29
    aktives Produkt. In dem Fall nur Software.
    Also fallen wir hier... Ach ne. Doch,
  • 8:29 - 8:34
    genau. In dem Fall fallen wir hier in
    Regel zehn rein. Diagnose und Überwachung.
  • 8:34 - 8:38
    Für reine Software Sachen gibt's nochmal
    eine eigene Klassifizierung. Aber in dem
  • 8:38 - 8:42
    Fall ist die nicht anwendbar. Ich möchte
    jetzt hier beispielhaft genau über diese
  • 8:42 - 8:52
    Regel 10 drüber gehen. Auch hier geht es
    darum, Produkte der Klasse, Produkte, die
  • 8:52 - 8:58
    in Klasse der Regel 10 reinfallen sind
    defaultmäßig erstmal Klasse 2a. Dann
  • 8:58 - 9:02
    gibt's bestimmte besondere Sachen, die
    dann doch noch mitanwendbar sind. Für die
  • 9:02 - 9:06
    card10 auch gar nicht so spannend, sondern
    der Abschnitt da unten ist das, was
  • 9:06 - 9:11
    interessant ist. Also Kontrolle von
    vitalen Körperfunktionen. Es wird sogar
  • 9:11 - 9:16
    ein Beispiel genannt, wo es genau ums Herz
    geht, und da steht dann drin: Wenn man da
  • 9:16 - 9:22
    in die Kategorie fällt, dann bitte 2b. Gut.
    Jetzt hab ich ganz viel über
  • 9:22 - 9:26
    Klassifizierungen geredet, auch so eine
    erste Einschätzung. Was haben jetzt die
  • 9:26 - 9:30
    Klassifizierungen da damit zu tun? Haben
    wir jetzt eine Zweckbestimmung? Jetzt
  • 9:30 - 9:38
    haben wir eine Klassifikation von den
    Sachen und. Wie geht's jetzt, wie geht es
  • 9:38 - 9:43
    jetzt weiter? Die Klassifizierungen
    bestimmen diesen Prozess des in Verkehr
  • 9:43 - 9:48
    Bringens. Je höher die Klassifizierung,
    umso mehr muss gemacht werden. Also
  • 9:48 - 9:53
    beispielhaft Produkte der Klasse eins. Da
    geht kein Risiko aus. Da muss nicht groß
  • 9:53 - 9:58
    was gemacht werden. Jedes Heftpflaster ist
    in Klasse 1 Produkt, jedes
  • 9:58 - 10:03
    Fieberthermometer ist ein Klasse 1
    Produkt. Bei Klasse 2a wird es dann schon
  • 10:03 - 10:08
    spannender. Da besteht ein sogenanntes
    Anwendungsrisiko. Also was fällt da rein?
  • 10:08 - 10:13
    Dental Implantate ist dann ein sehr guter
    Vertreter, Ultraschallgeräte, Hörgeräte.
  • 10:13 - 10:17
    Je nachdem, wie invasiv irgendein
    Medizinprodukt ist, erhöht sich auch die
  • 10:17 - 10:23
    Klassifizierung. Dann in der Klasse 2b
    kann schon ein bisschen mehr passieren.
  • 10:23 - 10:28
    Das sind die Geräte in der Regel auch
    invasiver. Da fallen dann Dialysegeräte
  • 10:28 - 10:34
    rein, Endoskope, Kondome,
    Empfängnisverhütung, alles Medizinprodukt.
  • 10:34 - 10:38
    Und dann Klasse 3, da gehts richtig zur
    Sache. Das sind implantierbare
  • 10:38 - 10:42
    Herzschrittmacher. Das sind automatische
    externe Defibrillatoren, das dann einfach
  • 10:42 - 10:47
    Geräte mit einem höheren oder dem höchsten
    Risiko, was per Gesetz vorgesehen ist.
  • 10:47 - 10:53
    Also gut, jetzt haben wir klassifiziert.
    Was muss man jetzt damit tun? Ich versuche
  • 10:53 - 10:59
    hier von links nach rechts einmal ein
    bisschen zu beleuchten, was bei einer
  • 10:59 - 11:07
    bestimmten Klassifizierung denn genau zu
    tun ist. Also für alle Produkte muss ein
  • 11:07 - 11:13
    Qualitätsmanagementssystem erstellt
    werden. Bei Produkten der Klasse 1 kann
  • 11:13 - 11:17
    man sich das Leben in bestimmten Bereichen
    ein bisschen leichter machen. Aber
  • 11:17 - 11:23
    grundsätzlich müssen das alle Produkte
    haben. Das nächste, was auch alle Produkte
  • 11:23 - 11:27
    haben müssen, ist eine sogenannte
    technische Dokumentation. Da wird
  • 11:27 - 11:31
    beschrieben, was während der Entwicklung
    alles passiert ist. Der nächste Schritt
  • 11:31 - 11:39
    ist. Ich mag nicht das sogenannte Audit
    durch die benannte Stelle. Das kann man
  • 11:39 - 11:45
    sich bei Klasse 1 Produkten sparen. Alle
    anderen Produkte werden immer durch eine
  • 11:45 - 11:51
    benannte Stelle mitüberprüft. Die benannte
    Stelle übernimmt keine Haftung, aber es
  • 11:51 - 11:56
    ist so zumindest sichergestellt, dass noch
    eine neutrale Stelle mit drauf geschaut
  • 11:56 - 12:03
    hat. Dann für Klasse drei Produkte. Das
    war eins zu viel. Gibt's nochmal eine besondere
  • 12:03 - 12:07
    Produktprüfung. Klar, dass sind die
    Produkte mit dem höchsten Risiko. Dann
  • 12:07 - 12:13
    kommt das CE-Kennzeichnungzertifikat. Das
    wird von der benannten Stelle ausgestellt
  • 12:13 - 12:18
    und bescheinigt. Gut. Klasse. Ihr dürft
    jetzt das CE-Zeichen anbringen. Euer
  • 12:18 - 12:27
    Produkt erfüllt die Anforderung vom
    Gesetz. Und im nächsten Schritt geht es
  • 12:27 - 12:34
    dann darum, eine eindeutige Kennung am
    Produkt anzubringen, den sogenannten
  • 12:34 - 12:40
    Unique Device Identifier. Man muss den
    registrieren, und der muss auf dem Produkt
  • 12:40 - 12:48
    und auf der Verpackung vorhanden sein. Und
    der letzte Schritt, mag
  • 12:48 - 12:57
    wieder nicht. Ist die Aufrechterhaltung
    dieses ganzen Systems: des QM-Systems und
  • 12:57 - 13:03
    sämtlichen Prozessen. Dann schauen wir mal
    rein, was man so exemplarisch bei einem 2b
  • 13:03 - 13:08
    Produkt alles machen müsste. Also
    QM-System, habe ich vorhin schon gesagt,
  • 13:08 - 13:13
    ist per Gesetz vorgeschrieben. Jetzt hat
    die Industrie nur festgestellt:
  • 13:13 - 13:18
    Gesetzestexte sind immer ein bisschen
    schwierig. Die sind
  • 13:18 - 13:24
    interpretationswürdig, ja, das ist immer
    nicht so leicht. Außerdem sind die Audits
  • 13:24 - 13:30
    teuer. Also was hat man gemacht? Es gibt
    Normen. Normen haben für die Industrie
  • 13:30 - 13:34
    unglaublich viele Vorteile. Es gibt
    weniger Interpretationsspielraum. Normen
  • 13:34 - 13:39
    sind deutlich klarer formuliert als im
    Gesetzestext. Außerdem sind sie
  • 13:39 - 13:43
    international anerkannt. Das heißt, wenn
    ich in ein Land gehe, kann ich mit einem
  • 13:43 - 13:47
    gleichen Bericht von der Norm in das
    nächste Land gehen, und die Audits sind
  • 13:47 - 13:53
    einfach leichter. Leichter bedeutet für
    die Industrie billiger. Damit verwenden so
  • 13:53 - 13:57
    gut wie alle die Normen. Und bei den
    Normen gibts die sogenannten
  • 13:57 - 14:04
    Normenvermutung, dass ist in dem Vienna
    Agreement (Wiener Abkommen) mit geregelt.
  • 14:04 - 14:07
    Es bedeutet: Wenn ich bestimmte Bereiche
    einer Norm erfülle, erfülle ich
  • 14:07 - 14:11
    automatisch bestimmte Bereiche vom
    Gesetzestext. Sprich, die benannten
  • 14:11 - 14:14
    Stellen stützen sich auf die
    Normenvermutung und sagen: Klasse, wenn
  • 14:14 - 14:18
    ihr das alles erfüllt, müssen wir das
    alles vom Gesetz gar nicht mehr prüfen.
  • 14:18 - 14:26
    Weil passt ganz automatisch. Dann sind wir
    stehen geblieben. Stimmt. Bei den Normen
  • 14:26 - 14:30
    ist eine Folie, die ich gar nicht mehr so
    im Kopf hatte. Ich möchte noch mal kurz
  • 14:30 - 14:35
    erklären, was es für Kategorien von Normen
    gibt. Die lassen sich grob in drei
  • 14:35 - 14:39
    Bereiche, einteilen einmal so in
    allgemeine Normen, dass dann häufig
  • 14:39 - 14:43
    Prozessnormen. Dann gibt's Normen zur
    Elektrotechnik und Normen zur
  • 14:43 - 14:48
    Telekommunikation. Elektrotechnik bedeutet
    ganz salopp alles, was einen Stecker hat,
  • 14:48 - 14:56
    Telekommunikation, ganz salopp alles, was
    funkt. Und in Deutschland haben wir hier
  • 14:56 - 15:01
    drei Organisationen, die sich darum
    kümmern. Das ist einmal die DIN für
  • 15:01 - 15:06
    allgemeine Sachen. DIN A4 müsste den
    meisten ein Begriff sein und dann die DKE,
  • 15:06 - 15:12
    VDE und die DIN. Die kümmern sich dann um
    die restlichen beiden Sachen. In Europa
  • 15:12 - 15:17
    haben wir cenelec, die sich
    einmal um die allgemeinen und um die
  • 15:17 - 15:22
    elektrischen Sachen kümmern und die
    Etsi, die die ganzen Funkstandard unter
  • 15:22 - 15:31
    sich verwaltet. International haben wir
    die ISO, die viel von den Prozessen
  • 15:31 - 15:37
    mitbetreut, die IEC, die die ganzen
    technischen Bereiche hat, und die ITU, was
  • 15:37 - 15:44
    die weltweite Funknorm ist. oder das
    Gremium, das sich darum kümmert, so genau.
  • 15:44 - 15:50
    Dann schauen wir noch mal zurück, wo wir
    stehen geblieben sind, und zwar beim QM-
  • 15:50 - 15:56
    System. Wir haben jetzt hier unser erstes
    Achievement, wir haben die ISO 13 485 QM-
  • 15:56 - 16:03
    Systeme. Das heißt, wir haben die erste
    anwendbare Norm für unser Medizinprodukt?
  • 16:03 - 16:07
    Ungefähr vom groben Aufbau her sieht das
    Ding so aus. Es ist unglaublich
  • 16:07 - 16:14
    beeindruckend, ist auch relativ groß, und
    was in diesen im Wesentlichen gefordert
  • 16:14 - 16:20
    ist, ist eine Geschäftspolitik. Die
    Qualitätspolitik muss festgelegt werden.
  • 16:20 - 16:26
    Es muss ein QM-Handbuch erstellt werden.
    Es muss eine Gesamtüberblick erstellt
  • 16:26 - 16:32
    werden. Was gibts im Unternehmen? Alles
    für Prozesse. Was gibt's im Unternehmen
  • 16:32 - 16:37
    alles für Verfahrensanweisungen. Wie
    gliedert sich das von oben herab? Es ist
  • 16:37 - 16:41
    tatsächlich in der Norm festgeschrieben,
    dass sich die oberste Leitung um genau
  • 16:41 - 16:46
    diese Punkte zu kümmern hat. Es darf nicht
    von der Belegschaft getrieben sein,
  • 16:46 - 16:53
    sondern von der Geschäftsführung selber.
    Solche Sachen gliedern sich dann immer so
  • 16:53 - 16:59
    stückchenweise in feinere Sachen auf von
    dem QM-Handbuch zu den
  • 16:59 - 17:03
    Verfahrensanweisungen zu
    Arbeitsanweisungen bis runter zu weiteren
  • 17:03 - 17:09
    mitgeltenden Dokumenten. Das können
    Templates sein, das können alles mögliche
  • 17:09 - 17:14
    sein. Und so gliedert sich das
    hierarchisch von oben nach unten. In dem
  • 17:14 - 17:20
    QM-System ist unglaublich viel definiert.
    Also bitte einmal beeindruckt gucken. Das
  • 17:20 - 17:24
    schreibt alles so ein QM-System vor. Was die
    haben wollen, ist einfach, dass es für
  • 17:24 - 17:30
    alles Mögliche einen Prozess gibt, also
    wirklich für so gut wie alles. Wenn man
  • 17:30 - 17:34
    das jetzt tatsächlich selber machen
    möchte, also nicht so beeindrucken lassen
  • 17:34 - 17:39
    von so einer Norm. Das Stichwort hier ist
    Risiko basiert. Man kann bei vielen Sachen
  • 17:39 - 17:42
    sagen: Da haben wir jetzt angefangen,
    haben die wichtigsten Sachen
  • 17:42 - 17:45
    identifiziert, haben irgendwo ein
    Assessment durchgeführt und starten jetzt
  • 17:45 - 17:50
    mit dem, wo wir sagen ist besonders
    kritisch. Die benannten Stellen wissen
  • 17:50 - 17:55
    das. Die haben auch Handlungsspielraum,
    die haben die sogenannten N-bock Guidances,
  • 17:55 - 17:59
    dann müssen die sich im Audit auch dran
    halten. Man hat hier die Möglichkeit, sich
  • 17:59 - 18:07
    stückchenweise zu verbessern. Dann schauen
    wir mal weiter. Die nächste Norm, die bei
  • 18:07 - 18:12
    uns Anwendung findet, ist die ISO 14971.
    Das ist eine Norm über das
  • 18:12 - 18:21
    Risikomanagement. Da möchte ich mal kurz
    kucken oder erklären, was es verschiedene
  • 18:21 - 18:27
    oder für verschiedene, verschiedene
    Schritte gibt, die durchzuführen sind. Der
  • 18:27 - 18:34
    erste Schritt, mit dem man beginnt, ist,
    so... Was habe ich geschrieben?
  • 18:34 - 18:37
    Rahmenbedingungen, ja. Das nimmt sich mit
    der Zweckbestimmung sofort die Hand. Man
  • 18:37 - 18:42
    muss hier festlegen, was sind die
    Funktionen des Gerätes? Was kann von den
  • 18:42 - 18:47
    Funktionen für ein Risiko ausgehen? Oder
    die Norm spricht, genauer gesagt, von
  • 18:47 - 18:52
    Gefährdungen. Gefährdungen ist definiert
    als potenzielle Schadensquelle. Und von
  • 18:52 - 18:57
    diesen Gefährdungen muss man sich über
    Events, die mit dem Produkt passieren
  • 18:57 - 19:04
    können, hin zu einer Gefährdungssituation
    arbeiten. Eine Gefährdungssituation ist
  • 19:04 - 19:09
    das erste Mal, wenn Menschen mit ins Spiel
    kommen. Banal gesagt. Das heißt irgendeine
  • 19:09 - 19:12
    Lampe, die an der Decke hängt und
    runterfallen kann ist erstmal eine
  • 19:12 - 19:17
    Gefährdung. Solange niemand unter der
    Lampe steht, wird diese Gefährdung nie zur
  • 19:17 - 19:23
    Gefährdungssituation. Und erst wenn
    Menschen mit dem Produkt interagieren oder
  • 19:23 - 19:29
    in deren Nutzungsumgebung sich aufhalten,
    dann kommt man zur Gefährdungssituation.
  • 19:29 - 19:32
    Von einer Gefährdungssituation muss man
    sich dann weiterhin bewegen zu einem
  • 19:32 - 19:38
    Risiko. Risiko ist so definiert, dass es
    die Kombination aus
  • 19:38 - 19:42
    Auftretendeswahrscheinlichkeit, einer
    Gefährdungssituation und dem daraus
  • 19:42 - 19:47
    resultierenden Schaden. Diese beiden Werte
    kann man dann in einer Matrix aufspannen
  • 19:47 - 19:54
    und Bereiche identifizieren, wo man sagt,
    die sind komplett inakzeptabel. Und andere
  • 19:54 - 20:00
    Bereiche, wo man sagt, das ist jetzt nicht
    akzeptabel, aber zumindest lassen wir das
  • 20:00 - 20:05
    jetzt mal so stehen, weil der Nutzen des
    Produkts überwiegt. All das passiert in
  • 20:05 - 20:10
    der Risikoanalyse. Das sind die
    Aktivitäten, die hier normativ
  • 20:10 - 20:17
    vorgeschrieben sind. Das nächste, was dann
    passiert, ist die Risikobewertung, wo man
  • 20:17 - 20:21
    dann genau sagt: Ich habe jetzt meine
    Risiken identifiziert. Ich habe mich von
  • 20:21 - 20:25
    den Gefährdungen rüber bewegt bis zu einem
    Risiko. Ich habe mir einen Graphen
  • 20:25 - 20:30
    aufgespannt. Und wie viele Risiken habe
    ich denn jetzt, die akzeptabel sind oder
  • 20:30 - 20:36
    inakzeptabel sind. Dieser ganze Prozess
    wiederum ist die Risikobeurteilung. Wenn
  • 20:36 - 20:41
    das so ist, kümmert man sich um die
    Risikobeherrschung. Risikobeherrschung
  • 20:41 - 20:45
    bedeutet, es werden
    Risikominimierungsmaßnahmen umgesetzt. Da
  • 20:45 - 20:49
    gibt es drei Möglichkeiten. Das erste ist
    eine Änderung per Design, wo man dann
  • 20:49 - 20:53
    sagt: Damit diese Gefährdung gar nicht
    erst auftreten kann, verändere ich mein
  • 20:53 - 21:00
    Produkt so, dass das technisch gar nicht
    mehr möglich ist. Bei einem EKG ist das
  • 21:00 - 21:04
    jetzt schwer. Das funktioniert halt
    einfach so, wie es funktioniert. Wer das
  • 21:04 - 21:08
    Produkt jetzt irgendwas, was Hitze
    erzeugt, dann könnte man sagen: Gut, bei
  • 21:08 - 21:13
    einem Kochfeld nimmt man kein
    Cerankochfeld, sondern Induktionskochfeld.
  • 21:13 - 21:17
    Dann kann man die Gefährdung verringern,
    dass sich jemand an der heißen Herdplatte
  • 21:17 - 21:22
    die Finger verbrennt. Wenn das nicht geht,
    muss man Schutzmaßnahmen implementieren.
  • 21:22 - 21:26
    Das ist die zweite vorgeschriebene
    Möglichkeit: einer Schutzmaßnahme kann ich
  • 21:26 - 21:29
    halt nur die Wahrscheinlichkeit
    verschieben? Die Gefährdung an sich bleibt
  • 21:29 - 21:34
    immer noch vorhanden. Die dritte
    Möglichkeit ist, die man da zur
  • 21:34 - 21:39
    Verfügung hat: Informationen oder
    Schulungen. Und damit ist man schon am
  • 21:39 - 21:44
    Ende der Risikobeherrschung. Mehr ist
    normativ gar nicht möglich. Im nächsten
  • 21:44 - 21:49
    Schritt wird die Risikoakzeptanz
    festgestellt, also die gesamte Risiken
  • 21:49 - 21:54
    betrachtet und geckuckt. Landet man jetzt
    nach risikominimierenden Maßnahmen im
  • 21:54 - 22:00
    akzeptablen Bereich? Wenn das auch der
    Fall ist, wird alles in Risikoberichten
  • 22:00 - 22:06
    niedergeschrieben und im letzten Schritt
    dann die nachgelagerte Phase gestartet.
  • 22:06 - 22:11
    Also haben die Angaben oder die Annahmen,
    die getroffen wurden, tatsächlich Bestand
  • 22:11 - 22:15
    gehabt? Oder hat man sich irgendwo völlig
    verschätzt? Das sind ganz neue
  • 22:15 - 22:20
    Gefährdungen aufgetreten, haben die
    Wahrscheinlichkeiten gepasst. Das ist auch
  • 22:20 - 22:27
    das, was normativ mit vorgeschrieben ist.
    Dann ist die nächste Norm, die anwendbar
  • 22:27 - 22:36
    ist. Die IEC 82304. Das ist eine Norm über
    sogenannte health Software. Dann schauen wir
  • 22:36 - 22:43
    da auch einmal kurz, kurz rein. Die Normen
    sind aus einer Zeit entstanden, wo sich
  • 22:43 - 22:47
    niemand vorstellen konnte, dass Software
    ein eigenständiges Betrieb, ein
  • 22:47 - 22:54
    eigenständiges Medizinprodukt sein kann.
    Und alle, oder so gut wie alle Normen sind
  • 22:54 - 22:58
    von Leuten geschrieben worden, die ein
    sehr starkes Hardware und Mechanik
  • 22:58 - 23:03
    Verständnis hatten. Deswegen wird man da
    ganz häufig so ein V-Modelle sehen oder
  • 23:03 - 23:09
    ein Wasserfallmodell oder dergleichen. Und
    so fängt auch diese Norm an. Das ist so
  • 23:09 - 23:13
    der Deckel, weil man vergessen hat,
    Software als eigenes Medizinprodukt
  • 23:13 - 23:18
    festzulegen. Das bedeutet man, man sagt
    jetzt hier gut ab jetzt für Software alles
  • 23:18 - 23:23
    schön gemacht. Aber bitte vergesst euer
    gesamtes System nicht, wo das
  • 23:23 - 23:27
    Medizinprodukt zum Einsatz kommt. Ihr
    müsst jetzt mindestens Systemanforderungen
  • 23:27 - 23:32
    haben. Dann macht sich die Norm das Leben
    extrem leicht und sagt, bitte macht alles,
  • 23:32 - 23:39
    was in der 62304 dran steht, und dockt
    dann wieder oben an und sagt: Jetzt haben
  • 23:39 - 23:43
    wir Anforderungen festgelegt. Die sollen
    jetzt bitte aber auch verifiziert werden.
  • 23:43 - 23:49
    Und on top of that kommt dann noch die
    Validierung. Das sind jetzt zwei Begriffe,
  • 23:49 - 23:53
    die stark auseinander getrennt werden
    müssen. Normativ gesehen ist eine
  • 23:53 - 23:59
    Verifikation, der objektive Nachweis, dass
    spezifizierte Anforderungen erfüllt sind.
  • 23:59 - 24:05
    Mehr nicht. Banal gesagt ist eine
    Verifikation möglich, wenn ich ein Lineal
  • 24:05 - 24:09
    hinlegen kann. Wo ich dann sage: Klasse,
    dass es in meinem definierten Bereich
  • 24:09 - 24:15
    innerhalb der Toleranz. Wenn ich irgendwas
    messen kann. Eine Validierung ist so
  • 24:15 - 24:21
    definiert, dass die spezifizierten Nutzer
    in ihrer spezifizierten Umgebung ihre
  • 24:21 - 24:25
    spezifizierten Anforderungen erfüllen
    können. Ich kann ein Produkt bauen, was
  • 24:25 - 24:30
    die, was die Verifikation super bestanden
    hat, aber niemand damit klar kommt. Weil
  • 24:30 - 24:33
    die Leute dann sagen: Hey, Moment, ist
    jetzt das Ganze einer dunklen Umgebung
  • 24:33 - 24:37
    ein. Da ist Regen draußen. Ich habe eine
    Scheißbeleuchtung. Ich kann damit nicht
  • 24:37 - 24:43
    arbeiten. Das geht nicht. Das ist dann der
    Punkt, wo die Validierung fehlschlägt. Und
  • 24:43 - 24:48
    da greift diese Norm noch mitrein, wo sie
    das oben mitdrauf setzt. Auch hier gibt's
  • 24:48 - 24:56
    dann Sachen, die neben zulaufen. Das eine
    sind Begleitdokumente, die erstellt werden
  • 24:56 - 25:01
    müssen. Das ist eigentlich was, was über
    die Hardwarenormen reinkommt. Bei rein
  • 25:01 - 25:05
    Software Produkten fehlt es dann
    entsprechend. Also, was muss denn die
  • 25:05 - 25:12
    Gebrauchsanweisung oder in diverse andere
    Sachen? Und auch hier ist dann wieder eine
  • 25:12 - 25:16
    nachgelagerte Phase, wo gesagt wird: Diese
    ganzen Sachen müssen aufrechterhalten
  • 25:16 - 25:22
    werden. Dann die nächste Norm, die jetzt
    hier schon angerissen worden ist die IEC
  • 25:22 - 25:28
    62304. Das ist eine reine Softwarenorm.
    Das ist aus einer Zeit entstanden, wo man
  • 25:28 - 25:32
    dachte, Software ist immer Teil eines
    Medizinprodukts. Aber es gab
  • 25:32 - 25:37
    Medizinprodukte, wo die Software so
    grandios versagt hat, dass man dafür eine
  • 25:37 - 25:41
    eigene Norm geschaffen hat. Das Beispiel,
    was man da recht gern nennt, ist der
  • 25:41 - 25:46
    sogenannte Terrak 25. Das war ein
    Bestrahlungsgerät, ist als Nachfolgergerät
  • 25:46 - 25:53
    auf den Markt gekommen und hat die
    Patienten förmlich auf den Tisch
  • 25:53 - 25:58
    verbrannt. Da ist so viel Strahlung in den
    Körper rein, die Leute sind schreiend
  • 25:58 - 26:07
    davon gerannt. Und so ist dann diese Norm
    entstanden. Und hier fängt die Norm an und
  • 26:07 - 26:12
    sagt: Wenn wir Software entwickeln wollt,
    schon recht, aber plant das. Ihr könnt
  • 26:12 - 26:15
    nicht einfach drauflos entwickeln. Ihr
    müsst euch Gedanken machen, was ihr denn
  • 26:15 - 26:20
    tun wollt. Das fängt an bei Software
    Anforderungen, geht über eine Architektur,
  • 26:20 - 26:27
    geht über eine Implementierung, geht über
    eine Verifikation, Integration. Da sagt
  • 26:27 - 26:33
    die Norm legt das am Anfang fest. Legt
    fest, wie ihr Anforderungen erheben
  • 26:33 - 26:37
    wollt. Legt fest, wie die Integration
    laufen soll, und wurschtelt nicht einfach
  • 26:37 - 26:43
    drauflos. Den nächsten Punkt, den sie
    festlegt, sind Softwareanforderungen. Wie
  • 26:43 - 26:47
    haben die auszusehen? Was muss alles mit
    beachtet werden? Dann geht es um die
  • 26:47 - 26:54
    Softwarearchitektur. Da sagt die Norm:
    identifiziert Softwaresysteme. Also,
  • 26:54 - 26:59
    salopp gesagt alles, was eine eigene
    Recheneinheit hat, eigener FPGA, eigener
  • 26:59 - 27:05
    DSP, eigene CPU, ist ein Softwaresystem.
    Identifiziert das. Zerlegt eure
  • 27:05 - 27:11
    Softwarearchitektur weiter in ein
    detailliertes Design. Dort ist dann die
  • 27:11 - 27:16
    Rede von sogenannten Softwareitems und
    Softwareunits. Das heißt, ein
  • 27:16 - 27:21
    Softwaresystem zerlegt sich weiter in
    Softwareitems. Softwareitems zerlegen sich
  • 27:21 - 27:27
    weiter in Softwareunits. Ab da ist dann
    Schluss. Wo sich die Definitionen zwischen
  • 27:27 - 27:31
    Softwareitem und Softwareunit
    unterscheidet, ist, dass der Hersteller
  • 27:31 - 27:36
    sagt: Können wir nicht weiter zerlegen?
    Für was man sich da entscheidet, ist dem
  • 27:36 - 27:41
    Hersteller überlassen. Ob man da als
    komplette runtergeht bis in den Assembler.
  • 27:41 - 27:45
    Das kann man machen. Viele Hersteller
    sagen dann: na gut, es ist halt eine
  • 27:45 - 27:49
    Bibliothek, besteht aus ganz viel Zeug,
    aber die Bibliothek ist jetzt so mal nicht
  • 27:49 - 27:53
    weiter zerlegbar. Belassen wir so, dass
    sind unsere Software Units. Da hat man
  • 27:53 - 27:58
    eben die Freiheit, das zu tun, was man da
    für richtig hält. Das Ganze muss auch
  • 27:58 - 28:03
    umgesetzt werden. Auch da gibt es
    bestimmte Sachen, wo die Norm sagt: Haltet
  • 28:03 - 28:07
    die ein, und dann geht es diesen ganzen
    Weg wieder hoch. Das Design, was man
  • 28:07 - 28:10
    gemacht hat, muss verifiziert werden. Die
    Architektur, die man gemacht hat, muss
  • 28:10 - 28:16
    integriert werden. Alles entsprechend dem
    Plan, den man zuvor festgelegt hat. Die
  • 28:16 - 28:23
    Anforderungen werden verifiziert, und dann
    wird die Software freigegeben. Also, so
  • 28:23 - 28:29
    die Vorgaben. Auch hier gibt es bestimmte
    Sachen, die dann noch allgemein
  • 28:29 - 28:34
    durchgeführt werden müssen. Das eine ist
    die Softwarewartung, wo gesagt wird: Ja,
  • 28:34 - 28:38
    jetzt habt ihr irgendwas am Markt. Aber
    wie geht ihr jetzt? Wie geht ihr damit um,
  • 28:38 - 28:41
    wenn die Sachen nicht so
    funktionieren wie geplant?
  • 28:41 - 28:47
    Dann gibt es die Softwarekonfiguration,
    das bedeutet welche Deliverables
  • 28:47 - 28:51
    oder welche Tools
    werden miteingesetzt. Gibt es eine
  • 28:51 - 28:54
    Versionskontrolle? Ist vielleicht Git im
    Einsatz, gibt es einen bestimmten
  • 28:54 - 29:00
    Branchingworkflow, der damit definiert
    wurde. Habt ihr ein Integrationsserver?
  • 29:00 - 29:06
    Wenn ja, wie geht ihr damit um, wenn diese
    Sachen geupdated werden, was auch das
  • 29:06 - 29:10
    soll gesteuert werden. Und da sind hier
    Prozesse, die sich genau darum kümmern.
  • 29:10 - 29:14
    Das Letzte ist, der Software-
    Problemlösungsprozess, der dann sagt, wenn
  • 29:14 - 29:20
    Änderungen reinkommen, müssen die
    bestimmte Schritte mindestens durchlaufen.
  • 29:20 - 29:28
    atmet tief aushuh Nun gucken wir mal. Dann
    müsste es eigentlich schon die nächste
  • 29:28 - 29:36
    Norm kommen. Die IEC 62366. Das ist die
    Norm, über die, wie es auf Deutsch heißt
  • 29:36 - 29:43
    Gebrauchstauglichkeit. Im Englischen ist
    es Usability. Die Usability Norm gliedert
  • 29:43 - 29:53
    sich in mehrere Teile. Die Kernaussage der
    Norm ist, Gebrauchstauglichkeit kann nicht
  • 29:53 - 29:58
    am Anfang noch oben, kann nicht am Ende
    noch zum Schluss drauf gestreut werden,
  • 29:58 - 30:02
    sondern muss von Anfang an durchgeführt
    werden. Das heißt, es gibt einen
  • 30:02 - 30:08
    Entwicklungsprozess, der schon am Anfang
    starten muss, und es gibt zum Schluss dann
  • 30:08 - 30:14
    noch eine entsprechende Bewertung. Die
    Norm spricht davon formativer und
  • 30:14 - 30:19
    summativer Evaluation. Formativ ist das,
    was während der Entwicklung passieren
  • 30:19 - 30:28
    muss, und summativ ist das, was zum
    Schluss passieren muss. Dann, auch hier
  • 30:28 - 30:33
    wird wieder die Zweckbestimmung
    aufgegriffen. Also es wird gesagt, legt
  • 30:33 - 30:38
    die Anwender fest, legt die Umgebung fest.
    Was kann denn damit gemacht werden? Wie
  • 30:38 - 30:43
    funktioniert das denn? Also da greifen sie
    in der Regel alle irgendwie, irgendwie mit
  • 30:43 - 30:50
    rein. Dass man diese Sachen, diese Sachen
    mitbeschreiben muss, dann muss hier die
  • 30:50 - 30:56
    Gebrauchstauglichkeit spezifiziert werden.
    Im einfachsten Fall ist es ein sogenannter
  • 30:56 - 31:01
    Styleguide, wo drinsteht: Unser Produkt ist
    folgendermaßen aufgebaut. Die
  • 31:01 - 31:06
    Bedienelemente sind an folgenden Stellen.
    Wir haben folgendes Design gewählt
  • 31:06 - 31:12
    folgende Anordnungen, folgende Design
    Patterns, und diese müssen dann wieder
  • 31:12 - 31:20
    verifiziert werden. Das heißt, ich kann im
    besten Fall automatisiert prüfen. Befinden
  • 31:20 - 31:26
    sich die Elemente an den Stellen, wie wir
    das am Anfang festgelegt haben. Oder
  • 31:26 - 31:32
    verändern sich die Menüs entsprechend, wie
    es in diesem Designguide festgelegt wurde
  • 31:32 - 31:37
    und genauso wie die Sachen verifiziert
    werden müssen, müssen hier die Sachen auch
  • 31:37 - 31:41
    wieder validiert werden. Das heißt, ich
    muss mir wieder echte Nutzer mit ins Boot
  • 31:41 - 31:46
    holen und schauen: kommen die mit den
    Sachen denn klar? Idealerweise sogar schon
  • 31:46 - 31:55
    während der Entwicklung. Dann haben wir
    noch die ISO 15223. Das ist eine Norm, die
  • 31:55 - 32:00
    Regel kennzeichnen, die Regelsymbolik, die
    greift die ganzen Sachen mit auf. Das ist
  • 32:00 - 32:05
    mit die günstigste Norm. Das ist kein
    Fehler. Das sind tatsächlich nur 1000 Euro
  • 32:05 - 32:10
    in der Umsetzung. Die Norm an sich kostet
    noch viel weniger. Aber man muss halt
  • 32:10 - 32:19
    wissen, wo die Symbole hingehören. Und das
    schöne an der Norm ist, die ist zwar rein
  • 32:19 - 32:25
    für die Medizintechnik, aber die ISO ist
    einfach so nett, dass sie die Symboliken
  • 32:25 - 32:32
    allgemein auf ihrer Homepage zur Verfügung
    macht. Das heißt, man geht zur ISO, sucht
  • 32:32 - 32:39
    nicht nach der Medizintechniknorm, sondern
    sucht nach der ISO 7000 und kann sich dann
  • 32:39 - 32:46
    hier durch die ISO Homepage durchbewegen
    und landet dann zum Schluss bei den
  • 32:46 - 32:53
    Vorschausymbolen, die hier entsprechend
    mit, mit verwendet werden können und kann
  • 32:53 - 32:57
    die Symbole hier anklicken. Hat sie in groß,
    hat sie in digital, kann die in die Dokumente
  • 32:57 - 33:03
    einpflegen, wo sie hin müssen. Das ist
    tatsächlich dann eine ganz, ganz feine
  • 33:03 - 33:09
    Sache. Dann möchte ich hier noch darauf
    hinweisen: Die Zweckbestimmung ist
  • 33:09 - 33:15
    tatsächlich das entscheidende Dokument
    oder der entscheidende Text. Hier wird
  • 33:15 - 33:19
    unglaublich viel festgelegt. Wenn man hier
    am Anfang den Grundstein nicht sauber
  • 33:19 - 33:24
    formuliert hat, kann man da später in
    immense Probleme rutschen, sobald die
  • 33:24 - 33:28
    benannten Stellen mit dabei sind. In
    meinem Beispiel habe ich jetzt hier gesagt
  • 33:28 - 33:34
    card10 schön und recht super, aber nur ein
    kleines Stück Software auf dem Ding, nicht
  • 33:34 - 33:39
    das ganze Gerät selber. Wäre das der Fall.
    Also müsste die ganze Hardware
  • 33:39 - 33:45
    Medizinprodukt werden. Dann kommt mir hier
    in ganz andere Gefilde. Man muss dann die
  • 33:45 - 33:52
    60601 Normenfamilie einhalten und hat
    noch viele andere Regularien, die hier
  • 33:52 - 33:57
    mitgreifen. Man muss die Reach and Rohs
    Richtlinien erfüllen. Man muss EMV
  • 33:57 - 34:01
    erfüllen, das es elektromagnetische
    Verträglichkeit, man muss Biokommpt
  • 34:01 - 34:07
    miterfüllen, man muss Funknormen erfüllen,
    Rüttel-, Schütteltests machen. Das ist
  • 34:07 - 34:12
    halt dann was, wenn sich das vermeiden
    lässt, freut das natürlich den
  • 34:12 - 34:17
    Medizinproduktenhersteller. Und das ist
    genau das, wie sich das in den
  • 34:17 - 34:22
    Entwicklungsmodell widerspiegelt. Dadurch,
    dass viele Hersteller als Hardware-
  • 34:22 - 34:28
    Hersteller gestartet sind, kennen die nur
    so ein V-Modell. Und das ist dann auch
  • 34:28 - 34:33
    eines der etabliertesten Modelle, die in
    der Medizintechnik vorhanden sind. Hier
  • 34:33 - 34:37
    ist es natürlich auch möglich, agile
    Methoden anzuwenden. Es gibt genug
  • 34:37 - 34:47
    Unternehmen, die genau das tun und was
    sich da jetzt herausgestellt hat. Man
  • 34:47 - 34:53
    erhebt immer noch Nutzungsanforderungen
    starr am Anfang. Aber sobald die da sind,
  • 34:53 - 34:58
    sagt man sich: Gut, wir haben bei uns
    einen Scrum Prozess. Wir sind in
  • 34:58 - 35:03
    regulierten Markt. Wir könnten ja mal
    sagen in die Definition auf done nehmen
  • 35:03 - 35:09
    wir mit auf, dass am Ende von jedem Sprint
    bestimmte Dokumente zu erstellen sind. Und
  • 35:09 - 35:12
    innerhalb von einem Sprint kann ich mir
    ihn aus dem Backlock meine Sachen
  • 35:12 - 35:17
    rausziehen und sagen: Gut, ich möchte
    jetzt diese drei Sachen umsetzen und
  • 35:17 - 35:21
    erstelle für diese drei Sachen dann meine
    Anforderungsdokumente, meine Architektur,
  • 35:21 - 35:25
    mein Design, mache meine Verifikation und
    bewegt mich da stückhenweise wieder hoch.
  • 35:25 - 35:30
    Sprich ich kann auch in dem agilen Prozess
    so kleine Mini Vs durchlaufen und das
  • 35:30 - 35:35
    ist dann, was es üblicherweise in der
    Industrie umgesetzt wird. Viele andere
  • 35:35 - 35:42
    Sachen habe ich damals auch noch nicht
    gesehen. Genau, das ist das jetzt, was ich
  • 35:42 - 35:46
    grad gesagt habe. Es ist alles stark
    V-Modell getrieben. Da kommen die Leute
  • 35:46 - 35:51
    schlicht und ergreifend her. Was anderes
    kennen Sie nicht, was es nicht gibt, oder?
  • 35:51 - 35:57
    Ich sollte sagen, noch nicht gibt, ist
    eine Norm für Security und Safety? Es gibt
  • 35:57 - 36:04
    Guidances. Das BSI ist in den ganzen
    Normengremien mit dabei. Das ist ganz
  • 36:04 - 36:09
    lustig. Wenn ich in den Normengremien mit
    drin sitzte, werde ich recht gern als
  • 36:09 - 36:13
    Vereinsjugend bezeichnet, weil ich den
    Altersdurchschnitt nochmal um 25 Jahre
  • 36:13 - 36:19
    nach unten senke. lacht Das sind einfach
    Themen, das ist nicht in den Köpfen. Es
  • 36:19 - 36:25
    wird vermutlich nächstes Jahr zwei, drei
    Normen zu dem Thema geben. Aber im Moment
  • 36:25 - 36:30
    gibts nichts, und dementsprechend ist das
    Thema was was von Herstellern, ich sage
  • 36:30 - 36:35
    mal nicht auf höchster Priorität steht.
    Genauso kappeln sich die Hersteller recht
  • 36:35 - 36:38
    gern mit den Betreibern.
    Wenn jetzt jemand sagt,
  • 36:38 - 36:39
    wir haben jetzt unser tolles
    Gerät, das hat eine [unverständlich]-
  • 36:39 - 36:42
    Schnittstelle, das kann keine
    Ahnung, was alles tolles im Netzwerk
  • 36:42 - 36:47
    machen. Bitte, lieber Betreiber, liebes
    Krankenhaus kümmer dich darum, dass das
  • 36:47 - 36:51
    in der geschützten Umgebung ist. Weil wir
    nämlich keinen Wert auf solche Themen
  • 36:51 - 36:56
    gelegt haben. Und dann sagt der Hersteller
    "Not my Department", muss sich bitte der
  • 36:56 - 37:02
    Betreiber drum kümmern. Mal gucken,
    vielleicht ändert sich dann demnächst
  • 37:02 - 37:08
    noch. Wir werden sehen. So, jetzt sind wir
    mit der Entwicklung fertig. Also kommt die
  • 37:08 - 37:13
    benannte Stelle und führt Audits durch.
    Einmal wird die Entwicklung und die
  • 37:13 - 37:18
    technische Dokumentation vom Produkt
    auditiert. Das heißt, je nachdem welche
  • 37:18 - 37:23
    Klassifikationen wollen die halt mehr oder
    weniger sehen. Das nächste, was auditiert
  • 37:23 - 37:32
    wird, ist das QM-System. Also in dem Fall
    ein Audit von der 13485. Dafür gibts auch
  • 37:32 - 37:37
    ein schickes Zertifikat. Und dann gibt's
    ein Zertifikat, das man entsprechend nach
  • 37:37 - 37:45
    Anhang vom Gesetz bestimmte Sachen in
    Verkehr bringen darf. Also man erklärt
  • 37:45 - 37:50
    dann die Konformität. Das ist in Europa
    tatsächlich ganz wichtig. Es gibt nicht
  • 37:50 - 37:55
    die Zulassung. Der Hersteller erklärt die
    Konformität selbst. In Amerika muss ich
  • 37:55 - 37:59
    zur FDA gehen und bekommen dann da
    clearance oder approval. Das heißt, da
  • 37:59 - 38:02
    bekomme ich tatsächlich als Hersteller
    eine Zulassung. In Europa macht man das
  • 38:02 - 38:08
    selber. Und wie so eine Konformitäts-
    erklärung auszusehen hat, steht im
  • 38:08 - 38:15
    Gesetz. Das heißt, der Anhang 4 regelt.
    Bitte erfülle sämtliche Anforderungen aus
  • 38:15 - 38:20
    Anhang 1, also die grundlegenden
    Sicherheits- und Leistungsanforderungen.
  • 38:20 - 38:27
    Dann im Anhang II erstellt eine technische
    Dokumentation mit den entsprechenden
  • 38:27 - 38:32
    Normen, sobald man denn meint, dass die
    anwendbar sind. Und der dritte Schritt ist
  • 38:32 - 38:37
    Überwachung nach in Verkehr bringen. Viele
    Normen haben diese Phase eh schon mit
  • 38:37 - 38:44
    dabei, aber das jetzt eben per Gesetz
    vorgeschrieben. Dann können wir die
  • 38:44 - 38:48
    Konformität erklären mit der sogenannten
    Konformitätserklärung. Es muss tatsächlich
  • 38:48 - 38:53
    ein formales Dokument sein, wo bestimmte
    Sachen mit drin sind. Also um welche Firma
  • 38:53 - 38:57
    handelt es sich? Wo ist denn die zu
    finden? Es müssen eindeutige Nummern
  • 38:57 - 39:02
    vergeben werden. Es muss das Produkt
    eindeutig benannt werden, es muss die
  • 39:02 - 39:08
    Risikoklasse mit dabei sein. Die benannte
    Stelle, also bei Klasse 2a, 2b und Klasse
  • 39:08 - 39:15
    3 Produkten. Und es muss zum Schluss ein
    Datum drauf sein, eine Unterschrift. Das
  • 39:15 - 39:21
    ist eines der wenigen Dokumente, die
    wirklich so richtig formell schweren
  • 39:21 - 39:28
    Prozess mit, mit sich fordern. Wenn das
    geschafft ist, super! Anhang 5. CE-
  • 39:28 - 39:34
    Kennzeichen, das Kennzeichen in der
    Medizintechnik, bedeutet genau das. Man
  • 39:34 - 39:40
    hat die Konformität erklärt. Das Produkt
    ist zumindest laut Ansicht der benannten
  • 39:40 - 39:44
    Stelle und des Herstellers sicher, und
    unten dran steht die Nummer von der
  • 39:44 - 39:51
    benannten Stelle. In dem Fall jetzt 0123,
    das wäre der TüV Süd. Je nachdem, wo man
  • 39:51 - 40:00
    hingeht, hat man ein anderes Kürzel dran.
    So, im nächsten Schritt muss dann die UDI
  • 40:00 - 40:06
    registriert werden, also der Unique Device
    Identifier. Der muss nicht nur aufs
  • 40:06 - 40:11
    Produkt selber, sondern auch entsprechend
    auf die Verpackungen und Verpackungen und
  • 40:11 - 40:16
    alles Mögliche. UDI hier anzureisen, würde
    den Rahmen endgültig sprengen. Aber
  • 40:16 - 40:23
    zumindest kurz möchte ich darauf eingehen.
    Die UDI gliedert sich in zwei Bereiche:
  • 40:23 - 40:32
    Einmal die UDI-DI und die UDI-PI. Die UDI-
    DI ist ein statischer Teil, der das Gerät
  • 40:32 - 40:37
    identifiziert, der das Unternehmen
    identifiziert. Das ist ein Teil. Wie
  • 40:37 - 40:43
    gesagt, der bleibt einigermaßen fest. Dan gibt
    es den zweiten Teil, der dynamisch ist, also wann
  • 40:43 - 40:48
    wurde das Ganze hergestellt? Welche
    Chargennummer, Seriennummer mit dabei,
  • 40:48 - 40:55
    hat das ganze ein Verfallsdatum. Die ganzen Sachen,
    das heißt diese Nummer. Der zweite Teil
  • 40:55 - 41:00
    mit am laufenden Meter. Je nachdem, wie
    viel man in Verkehr bringen möchte, nur
  • 41:00 - 41:07
    herstellt. Wenn man seine UDI registriert
    hat, dann hat man tatsächlich, was die
  • 41:07 - 41:14
    Entwicklung angeht, alles durchlaufen und
    kann sich dann um die Aufrechterhaltung
  • 41:14 - 41:20
    kümmern. Also das nächste Kapitel, was
    dann hier anwendbar ist. Überwachung.
  • 41:20 - 41:29
    Vigilanz und diese Themen.
    Aufrechterhaltung bedeutet: Die
  • 41:29 - 41:35
    Zertifikate müssen erneuert werden. Alle
    diese Zertifikate haben Ablaufdatum. Auch
  • 41:35 - 41:45
    die Konformitäterklärung hat meines
    Wissens ein Ablaufdatum und hier genau
  • 41:45 - 41:53
    doch kann man. Das heißt, es muss
    kontinuierliche Bewertungen geben. Es
  • 41:53 - 41:57
    dürfen auch unangekündigte Audits
    durchgeführt werden, also sowohl selber
  • 41:57 - 42:02
    als Hersteller. Kann man seine Lieferanten
    auditieren als auch die benannten Stellen
  • 42:02 - 42:07
    dürfen den Hersteller auditieren. Und es
    gibt ein ganz nettes Video von dem
  • 42:07 - 42:13
    französischen Unternehmen, was in der
    Rolle des Herstellers und Zulieferers ist.
  • 42:13 - 42:19
    Und ich hatte, glaube ich, um die 20
    Audits in einem Jahr, wo Sie dann
  • 42:19 - 42:23
    angefangen haben. Ja, gut, jetzt kam die
    benannte Stelle, jetzt kam irgendeinen
  • 42:23 - 42:27
    Hersteller wo sie Lieferant sind, wo sie
    dann genau die gleichen Dokumente aus der
  • 42:27 - 42:32
    Schublade herausgezogen haben und das
    Audit dann nochmal so durchgeführt haben.
  • 42:32 - 42:39
    Diese Audits sind auch ein sehr formaler
    Prozess. Üblicherweise nimmt man
  • 42:39 - 42:44
    sogenanntes Frontroom, Backroom
    Setting, das bedeutet, es gibt einen Raum,
  • 42:44 - 42:48
    wo man mit dem Auditor hingeht, und diesen
    Raum verlässt der Auditor die gesamte Zeit
  • 42:48 - 42:53
    nicht. Wenn der irgendwas sehen möchte,
    dann fragte er: Was ist die
  • 42:53 - 42:59
    Zweckbestimmung? Gräbt sich dann von da
    aus stückchenweise durch. Der Backroom hört
  • 42:59 - 43:04
    per Skype oder wie auch immer Audio,
    Schalte, Chat, was weiß denn ich zu und
  • 43:04 - 43:10
    steht on demand an, wenn es ein Papier
    basiertes System, das tatsächlich am
  • 43:10 - 43:15
    Drucker, erstellt Kopien, die als solche
    gekennzeichnet sind, und bringt die dann
  • 43:15 - 43:18
    ganz brav in den Frontroom, wo man sagt:
    Hier lieber Auditor, das hast du
  • 43:18 - 43:23
    angefordert und jetzt guckt mal, ob das
    dann passt. In digitalen Systemen ist es
  • 43:23 - 43:28
    dann einfacher. Aber das ist ein ganz
    typisches Setting. Dass man diese Bereiche
  • 43:28 - 43:40
    auseinander zieht. Dann gehören eben
    solche Prozesse mit ins QM-System. Das
  • 43:40 - 43:44
    heißt, man braucht ein System für
    Marktüberwachung, für Änderungswesen, für
  • 43:44 - 43:51
    ständige Verbesserungen oder für CcpAs:
    Current Correctiv and Präventive Actions.
  • 43:51 - 43:57
    Und damit bin ich jetzt tatsächlich am
    Ende. Das wäre jetzt einmal die gesamte
  • 43:57 - 44:04
    Produktentwicklung mit Aufrechterhaltung
    in groben Schritten abgerissen. Ich hab
  • 44:04 - 44:08
    noch einen Podcast, wenn noch Fragen da
    sind? Vielen Dank!
  • 44:08 - 44:12
    Applaus
  • 44:12 - 44:17
    Herald: Phil, vielen, vielen Dank! Dann haben
    wir jetzt sogar noch Zeit für Fragen. Wir
  • 44:17 - 44:21
    haben ein Saalmikrofon hier aufgebaut, die
    eins, zwei, drei. Bitte stellt euch dahin,
  • 44:21 - 44:26
    wenn ihr Fragen habt, und ich nehme euch
    einfach dran. Wir haben noch nichts aus
  • 44:26 - 44:30
    dem Internet, da kommt vielleicht noch
    was. Aber Micro 2 dann bitte.
  • 44:30 - 44:34
    Mik 2: Hallo. Bei vielen Folien, glaube
    ich, könnte man die Überschrift
  • 44:34 - 44:42
    Medizintechnik ersetzen auch durch
    Automotive oder Aerospace. Die Themen sind
  • 44:42 - 44:46
    die gleichen, die Normen unterscheiden sich,
    haben andere Nummer, unterscheiden Sie
  • 44:46 - 44:49
    sich aber im Wesentlichen die Themen sind
    ähnlich, also Qualitätsmanagement,
  • 44:49 - 44:53
    Risikomanagement und so. Gibt es etwas in
    der Medizintechnik, was sich deutlich von
  • 44:53 - 44:59
    anderen Bereichen mit kritischen Systemen
    abhebt.
  • 44:59 - 45:05
    Phil: Von den Anforderungen her nicht.
    Jeder regulierte Bereich hat bestimmte
  • 45:05 - 45:11
    Sachen, die festgelegt werden müssen. Was
    in der Medizintechnik das größte Problem
  • 45:11 - 45:16
    ist, ich sage mal, ein Flugzeug ist immer
    ähnlich aufgebaut, ein Auto ist immer
  • 45:16 - 45:21
    ähnlich aufgebaut. Die Medizintechnik. Die
    ganzen Normen, die es da gibt. Es muss
  • 45:21 - 45:26
    funktionieren von einem Heftpflaster bei
    einer Mullbinden, einem Rollstuhl bis hin
  • 45:26 - 45:31
    zu implantierbaren Herzschrittmachern.
    Diese Diversität in den Normen abzubilden
  • 45:31 - 45:35
    ist ein Riesenproblem, weil sich im
    Endeffekt kein Hersteller da so richtig
  • 45:35 - 45:40
    wiederfindet. Das ist das, was in der
    Medizintechnik die größte Herausforderung
  • 45:40 - 45:44
    ist. Alle unter einen Hut zu bekommen.
    Aber die Anforderungen sind in jedem
  • 45:44 - 45:52
    regulierten Bereich die gleichen.
    Frage: Die Anmerkung: Das Thema, dass
  • 45:52 - 45:57
    Software also als Nachgedanke dann meist
    noch hinten dran gemacht wurde und die
  • 45:57 - 46:00
    Normen mit im Hintergrund Hardware
    geschrieben wurden. Das ist auch in
  • 46:00 - 46:06
    anderen Bereichen genau der gleiche Fall.
    Phil: Ich kenne das aus der Luft und
  • 46:06 - 46:11
    Raumfahrt. Da ändert man lieber fünf
    Hardware Geräte außen herum, bevor man die
  • 46:11 - 46:17
    Software anfasst. So schlimm ist es in der
    Medizintechnik dann doch nicht.
  • 46:17 - 46:19
    Herald: Dann gehen wir
    rüber auf Mikrofon 1 Bitte!
  • 46:19 - 46:26
    Mik 1: Hi, vielen Dank! Das klingt ja
    jetzt schon alles sehr, sehr kompliziert.
  • 46:26 - 46:32
    Für mich stellt sich so ein bisschen die Frage:
    Was ist denn die Vorschrift? Wann muss ich mein
  • 46:32 - 46:40
    Gerät als mein Produkt als Medizinprodukt
    sehen? Wann, wann habe ich als Firma die
  • 46:40 - 46:46
    Vorschrift oder den Anreiz, das zu tun?
    Nun zeigt mich auch die Zertifizierung
  • 46:46 - 46:52
    spare ich mir das ja, alles kompliziert?
    Phil: Die pragmatische Antwort auf die
  • 46:52 - 47:00
    Frage ist: wenn, das Mitbewerber spitz
    bekommen? Wird eine Klage eingereicht. Und
  • 47:00 - 47:04
    was dann passiert ist: Das Ganze landet
    vor Gericht, und ein Gutachter erstellt
  • 47:04 - 47:11
    für einen die Zweckbestimmung. Und wenn
    das jetzt offensichtlich ist, also bei
  • 47:11 - 47:15
    bestimmten Geräten, kann man es einfach
    nicht mehr wegdiskutieren, wenn man sagt:
  • 47:15 - 47:19
    es soll an Patienten angewendet werden,
    ist invasiv, steuert Funktionen vom
  • 47:19 - 47:25
    Herzen. Da wird es schwierig. Wenn das
    jetzt Borderline Produkte sind, sollte man
  • 47:25 - 47:29
    sich sehr genau Gedanken machen, wo man
    sagt: In dieser Definition falle ich
  • 47:29 - 47:35
    garantiert nicht rein. Ansonsten bekommt
    man die Zweckbestimmung und in der Regel
  • 47:35 - 47:38
    nicht zu den Gunsten. Aber die
    Zweckbestimmung mit den
  • 47:38 - 47:41
    Klassifizierungsregeln am Anfang, wo ich
    gezeigt habe, die Definition
  • 47:41 - 47:46
    Medizinprodukt unbedingt durchlesen, da
    steht alles Wichtige drin. Da ist auch die
  • 47:46 - 47:53
    Abgrenzung zum Beispiel zu Pharmakologie.
    Herald: Dann gehen wir rüber zum
  • 47:53 - 47:56
    Microfon 2.
    Mik 2: Ich habe hier im Moment eine Smart
  • 47:56 - 48:00
    Watch um, die hat auch eine EKG drin.
    Allerdings ist das in Europa deaktiviert,
  • 48:00 - 48:03
    so wie bei ganz vielen anderen Herstellern.
    Wir haben jetzt unseren wohl definierten
  • 48:03 - 48:06
    Prozess gesehen. Da frage ich mich dann:
    Warum schaffen große Hersteller wie
  • 48:06 - 48:10
    Samsung oder Apple das eigentlich nicht so
    einen Prozess in kurzer Zeit zu
  • 48:10 - 48:14
    durchlaufen, um solche Features
    bereitzustellen?
  • 48:14 - 48:19
    Phil: Die Apple Watch ist ein sehr schönes
    Beispiel. Die ist mittlerweile in Europa
  • 48:19 - 48:24
    als Medizinprodukt in Verkehr gebracht,
    auch nicht die Apple Watch selber. Die
  • 48:24 - 48:27
    hat sich nämlich genau den gleichen Kunstgriff
    erlaubt. Die hat zwei Apps als
  • 48:27 - 48:33
    Medizinprodukt deklariert. Das eine ist
    die EKG App, was nahezu die identische
  • 48:33 - 48:37
    Zweckbestimmung hat, wie das, was wir hier
    gesehen haben. Das andere ist die App. Ich
  • 48:37 - 48:43
    glaube, das war eine Sturzerkennung oder
    irgendwie sowas. Und diese beiden Sachen
  • 48:43 - 48:48
    sind Medizinprodukt, mehr nicht. Und auch
    für diese beiden Sachen findet man eine
  • 48:48 - 48:54
    Zweckbestimmung. Für diese beiden Sachen
    findet man das CE-Zeichen, und wenn man da
  • 48:54 - 48:59
    drauf schaut, findet man exakt das, was
    wir gesehen haben, und zwar die Kennummer
  • 48:59 - 49:05
    0123, wo der TüV Süd in diesem
    Konformitätbewertungsverfahren mit dabei
  • 49:05 - 49:11
    war. Was wiederum bedeutet: Das sind
    mindestens Klasse 2a Medizinprodukte, aber
  • 49:11 - 49:16
    die gesamte Hardware. Da hat sich Apple
    gesagt: Das macht keinen Sinn. Die
  • 49:16 - 49:22
    Hardware an sich, also das Hauptziel der
    Apple Watch ist nicht Medizinprodukt. Da
  • 49:22 - 49:25
    soll jeder Krethi und Plethi für das Ding
    entwickeln können. Das können sie gar
  • 49:25 - 49:28
    nicht kontrollieren und wollen sie auch
    gar nicht. Und deswegen haben Sie ja
  • 49:28 - 49:32
    gesagt: Über die beiden Bereiche. Da
    behalten wir uns unsere
  • 49:32 - 49:38
    Entscheidungshoheit, und nur wir können da
    Änderungen vornehmen. Hat das die Frage
  • 49:38 - 49:41
    beantwortet?
    Mik 1: Ja. Eigentlich interessierte mich
  • 49:41 - 49:44
    noch, warum das eigentlich so lange
    dauert. Auch die Apple Watch hat ja Monate
  • 49:44 - 49:48
    Startverzögerung gehabt in Europa.
    Phil: Das ist richtig. Apple ist in dem
  • 49:48 - 49:52
    Fall ein amerikanisches Unternehmen. Die
    haben ihre erste Einreichung bei der FDA
  • 49:52 - 49:58
    gemacht. Da wussten sie genau, was zu tun.
    Und eine FDA ist eine Behörde. Die hat sehr
  • 49:58 - 50:03
    strikte Prozesse, an die sie sich selber
    halten muss. Da war es leichter, eine
  • 50:03 - 50:07
    Vorhersage zu treffen, wann sie von der
    FDA die Clearance bekommen. Bei einer
  • 50:07 - 50:13
    benannten Stelle gibts diese genauen
    Vorhersagen nicht. Die haben nur ihre
  • 50:13 - 50:17
    Richtlinien, an denen sie sich orientieren
    können. Und wenn der TüV Süd sagt: Ja,
  • 50:17 - 50:21
    gut, schön und recht, was die FDA da
    gesagt hat. Aber wir haben bei uns noch
  • 50:21 - 50:26
    eine Norm mehr, die wir als anwendbar
    sehen. Erfüllt die bitte oder gibt uns
  • 50:26 - 50:30
    zumindest Nachweisdokumente, dass ihr
    die erfüllt habt. Dann müssen die
  • 50:30 - 50:36
    nachliefern. Und die FDA ist nicht so
    stark Normen getrieben. Die sind mehr
  • 50:36 - 50:41
    Gesetzesgetrieben. Und das ist meine
    Vermutung, warum Apple da länger gebraucht
  • 50:41 - 50:45
    hat: Weil sie mit einem ganz anderen
    Mindset an die Sache herangehen. Weil sie
  • 50:45 - 50:49
    amerikanisch sind, weil sie einen anderen
    Blick auf die Welt haben. Aber ich war
  • 50:49 - 50:54
    nicht dabei, ist nur eine Mutmaßung.
    Herald: Super, dann schauen wir mal rüber
  • 50:54 - 50:57
    Internet.
    Signal-Engel: Eine kurze Frage aus dem
  • 50:57 - 51:02
    Internet: Kosten diese unabhängigen Audits
    durch die benannte Stelle auch Geld?
  • 51:02 - 51:08
    Phil: Es ist so, genau, der Hersteller
    sucht sich eine benannte Stelle, also
  • 51:08 - 51:13
    Dekra oder wen auch immer. Ich finde, wenn
    wir hier von Europa Stellen haltende,
  • 51:13 - 51:18
    benannte Stelle aus dem europäischen Raum
    und Zahl dieser benannten Stelle Geld, und
  • 51:18 - 51:24
    die führt dann das Audit durch. Das ist
    ein bisschen ein Interessenkonflikt, aber
  • 51:24 - 51:28
    die benannten Stellen legen sehr hohen
    Wert darauf zu sagen: Wir bekommen zwar
  • 51:28 - 51:34
    von den Herstellern das Geld, aber können
    auf dem Papier beweisen, dass wir uns
  • 51:34 - 51:38
    soweit neutral verhalten haben und nicht
    einfach irgendwelchen Scheiss
  • 51:38 - 51:43
    durchgewunken. Da ist
    Brustimplantateskandal, TüV Rheinland mal
  • 51:43 - 51:49
    in die Kritik geraten. Aber die konnten
    dann auch zeigen: Wir haben hier alles in
  • 51:49 - 51:54
    unserer Macht stehende getan, aber gegen
    kriminelle Handlungen, da können wir uns
  • 51:54 - 52:00
    auch nicht schützen.
    Herald: Und rüber zur 1 Bitte.
  • 52:00 - 52:05
    Mik 1: Bei der Medizinproduktentwicklung
    entfällt oder entsteht sehr viel
  • 52:05 - 52:08
    Dokumentation. Gibt es eine Möglichkeit
    für den Patienten, für den Nutzer der
  • 52:08 - 52:11
    Medizinprodukte an diese
    Dokumentation, an die
  • 52:11 - 52:12
    technische Dokumentation
    ranzukommen,
  • 52:12 - 52:16
    beispielsweise über das
    demdie?
  • 52:16 - 52:21
    Phil: Nein, besteht nicht. Wir befinden
    uns gerade in einer Änderung von Gesetzen.
  • 52:21 - 52:26
    Im Moment, das habe ich jetzt still
    heimlich verschwiegen. Wir haben noch ein
  • 52:26 - 52:32
    altes Gesetz Die MDD gilt noch bis Mai
    nächsten Jahres. Danach gilt die MDR, und
  • 52:32 - 52:36
    mit der MDR wird eine europäische
    Datenbank eingeführt. Die ist nicht
  • 52:36 - 52:40
    komplett öffentlich, aber halb öffentlich.
    Man kann bestimmte Sachen einsehen, aber
  • 52:40 - 52:44
    die Hersteller sagen: Das ist unser
    Geschäftsgeheimnis. Das ist das, was
  • 52:44 - 52:49
    unsere Kernkompetenz ausmacht. Wir können
    nicht unsere technische Dokumentation
  • 52:49 - 52:52
    rausgeben. Per Gesetzt ist vorgeschrieben,
    dass bestimmte Sachen in der
  • 52:52 - 53:00
    Gebrauchsanweisung drin stehen müssen,
    dass bestimmte Sachen angegeben müssen
  • 53:00 - 53:03
    sein müssen die UDI und die ganzen
    Kennzeichnungen. Das ist genau
  • 53:03 - 53:08
    vorgeschrieben. Aber an die technische
    Dokumentation wird man nicht hinkommen.
  • 53:08 - 53:12
    Man kann das sogar noch weiter treiben,
    indem man einen Freedom of Information Act
  • 53:12 - 53:17
    an die FDA stellt, um so an die technische
    Dokumentation hinzukommen. Aber auch da
  • 53:17 - 53:22
    sagt die FDA: Wenn wir das einmal machen,
    kommt niemand mehr zu uns. Also nein. An
  • 53:22 - 53:26
    die technische Doku kommt man nicht hin,
    an die Begleitdokumente, die für den
  • 53:26 - 53:32
    Endnutzer bestimmt sind, auf die man,
    an die auf jeden Fall.
  • 53:32 - 53:37
    Herald: Dann gehen wir rüber auf die 2.
    Mik 2: Vielen Dank für den Vortrag. Ich
  • 53:37 - 53:40
    habe in der Radiologie jetzt sehr oft
    beobachtet, dass es kleine Firmen gibt,
  • 53:40 - 53:43
    die die Bilder, die aus dem CT oder MRT
    kommen, mit irgendwelchen Algorithmen
  • 53:43 - 53:47
    belegen, irgendwelche neuen Bilder
    generieren oder irgendwelche Analysen
  • 53:47 - 53:52
    machen und dann hinterher sagen: Ja, aber
    wir sind kein Medizinprodukt. Wir machen
  • 53:52 - 53:55
    das nur im Endeffekt für die Wissenschaft,
    was wir hier machen. Und wenn du das
  • 53:55 - 54:00
    klinisch einsetzt, lieber Arzt, dann
    machst du das selber und du triffst ja die
  • 54:00 - 54:04
    Entscheidung über das, was du mit deinem
    originären Bild einmal da gemacht hast.
  • 54:04 - 54:09
    Ist das in irgendeiner Art oder Weise
    legitim? Ist das machbar für so kleine
  • 54:09 - 54:14
    Open-Source-Projekte, die etwas mit
    Bildern machen möchten?
  • 54:14 - 54:22
    Phil: Das ist ein Graubereich, wenn der
    Hersteller sagt, dass es nur für klinische
  • 54:22 - 54:28
    Forschung, dass es nur um mal irgendwas zu
    testen. Und man das dann für etwas anderes
  • 54:28 - 54:33
    einsetzt, schiebt der Hersteller die
    Verantwortung an den Betreiber. Wenn das
  • 54:33 - 54:38
    jetzt in größerem Rahmen passiert, wird
    eine benannte Stelle oder eine
  • 54:38 - 54:42
    Landesbehörde oder eine europäische
    Behörde, die ihm irgendwann Einhalt
  • 54:42 - 54:45
    gebieten. Und dann passiert genau das. Das
    kommt vor Gericht, und dann wird ein
  • 54:45 - 54:51
    Gutachter Zweckbestimmungen erstellen. Das
    andere ist: Es gibt auch Softwaresysteme
  • 54:51 - 54:56
    zum Beispiel gerade in der Radiologie, die
    eine Bestrahlungensplanung machen. Da
  • 54:56 - 55:01
    greift dieses Mittel nicht mehr. Wenn das
    ein Hersteller machen würde, der sagt: na
  • 55:01 - 55:05
    gut, irgendein Betreiber hat jetzt
    Bestrahlungsgerät, nimmt sich von einem
  • 55:05 - 55:09
    kleinen Unternehmen eine Software für eine
    Bestrahlungensplanung, wo halt man genau
  • 55:09 - 55:13
    schaut, wo soll da jetzt durchgeschossen
    werden? Das wird nicht mehr funktionieren.
  • 55:13 - 55:19
    Bei so anderen Grenzfällen möglich. Ob das
    auf Dauer funktioniert? Dass halt man
  • 55:19 - 55:26
    tatsächlich die Frage.
    Herald: Da gehen wir rüber auf die Eins.
  • 55:26 - 55:30
    Mik 1: Vielen Dank! Da schließt sich meine
    Frage direkt ein bisschen an: Wie wird die
  • 55:30 - 55:37
    Einhaltung dieser Norm denn enforced? Das
    heißt, wenn jetzt Ärzte den card10
  • 55:37 - 55:41
    verwenden an Patienten, um damit irgendwas
    zu überwachen, oder irgendwelche Flower-
  • 55:41 - 55:46
    Power Enterprises irgendwelche Produkte
    liefern, die von Krankenhäusern, weil es
  • 55:46 - 55:52
    billiger ist, verwendet würde, wer würde
    das wann, wo, wie feststellen, und was
  • 55:52 - 55:56
    würde dagegen unternommen? Man kann ja
    nichts dagegen tun, wenn man den card10
  • 55:56 - 56:02
    quasi als Medizinprodukt einsetzt. Wie
    würde dagegen vorgegangen, und wer hätte
  • 56:02 - 56:06
    dann was zu befürchten?
    Phil: Der einfachste Weg ist, den Weg über
  • 56:06 - 56:11
    die BfArM zu wählen. Das BfArM ist das
    Bundesinstitut für Arzneimittel und
  • 56:11 - 56:16
    Medizinprodukte. Dort können solche
    Vorkommnisse gemeldet werden, und die
  • 56:16 - 56:22
    kümmern sich dann sehr schnell um solche
    Sachen. Klar, auch die haben manchmal sehr
  • 56:22 - 56:26
    viel zu tun. Aber das ist die erste
    Anlaufstelle für sowas.
  • 56:26 - 56:31
    Mik 1: Aber wer würde denn jetzt belangt?
    Wenn ein Arzt card10 einsetzt als
  • 56:31 - 56:36
    Medizinprodukt, obwohl es keins ist? Wird
    dann jemand die Zweckbestimmung für das
  • 56:36 - 56:41
    card10 feststellen und card10 hätte ein
    Problem, oder hätte der Arzt ein Problem?
  • 56:41 - 56:44
    Phil: Das muss ein Gutachter feststellen.
    Das ist dann das, was vor Gericht
  • 56:44 - 56:48
    passiert. Wenn in der Zweckbestimmung
    rauskommt, die Leute haben alles richtig
  • 56:48 - 56:52
    gemacht. Das ist kein Medizinprodukt. Das
    kann keine Erkennung von irgendwas
  • 56:52 - 56:57
    stattfinden, was meiner Ansicht nach im
    Moment der Fall ist. Dann wird der Arzt
  • 56:57 - 57:00
    oder der Betreiber in dem Fall dafür
    haftbar gemacht, weil er irgendwas
  • 57:00 - 57:06
    eingesetzt hat, was nicht für die Umgebung
    gemacht ist. Wenn in der Zweckbestimmung
  • 57:06 - 57:12
    herauskommt durch diesen Gutachter.
    Moment, man kann ja hier bestimmte,
  • 57:12 - 57:17
    bestimmte Arten von Herzerkrankungen
    feststellen. Das Gerät sagt einem ja sehr
  • 57:17 - 57:23
    genau. Oder alarmiert sogar sehr genau,
    wann was passiert. Dann ist der Hersteller
  • 57:23 - 57:28
    mit dabei. Das passiert alles in der
    card10 nicht, aber es dreht sich dann
  • 57:28 - 57:32
    immer um die Zweckbestimmung, die
    formuliert wird. Und da müsste man jetzt
  • 57:32 - 57:39
    Kristallkugel raten, was tatsächlich vom
    Gutachter geschrieben wird.
  • 57:39 - 57:43
    Herald: Haben wir aus dem Internet? Dann
    machen wir mal direkt weiter mit Mikrofon.
  • 57:43 - 57:47
    1 bitte!
    Mik 1: Wenn ich sie richtig verstanden
  • 57:47 - 57:53
    habe, dann hat Apple argumentiert, dass
    die Apple Watch primär andere Ansatzzwecke
  • 57:53 - 58:00
    hat, als irgendwelche Lebenswerte zu
    messen. Ich kenne das Produkt card10
  • 58:00 - 58:05
    nicht. Aber hat die Hardware denn
    irgendwelche anderen Einsatzzwecke als
  • 58:05 - 58:15
    diese medizinischen? Wie haben Sie sich da
    raus geredet? Weil sich das irgendwie aus
  • 58:15 - 58:19
    diesem Vortrag alleine so anhört, als wäre
    das wirklich primär für medizinische
  • 58:19 - 58:23
    Zwecke da.
    Phil: Gut, ich habe jetzt den Medizinzweck
  • 58:23 - 58:27
    natürlich hervorgehoben, weil das ein
    Bereich, in dem ich mich sehr gut
  • 58:27 - 58:33
    auskenne. Die card10 an sich kann neben
    vielen tausend anderen Sachen auch ein EKG
  • 58:33 - 58:41
    ableiten. Kann das aber mehr schlecht als
    recht darstellen. Schneider. Es tut mir
  • 58:41 - 58:52
    leid, aber. Das Ding kann, kann oder soll
    für so viel mehr eingesetzt werden als für
  • 58:52 - 58:57
    das EKG, wo ich jetzt einfach mal
    behaupte, die Leute sollen dafür Software
  • 58:57 - 59:02
    schreiben. Es soll einfach zugänglich
    sein. Es soll sich mit anderen card10s
  • 59:02 - 59:07
    irgendwie vernetzen können. Man soll auf
    dem Display hübsche Sachen darstellen
  • 59:07 - 59:12
    können. Man soll einstellen können, ob ich
    jetzt gerade mit anderen reden möchte oder
  • 59:12 - 59:16
    ob ich eigentlich gerade keinen Bock hab.
    Und das sind so die hauptsächlich gute
  • 59:16 - 59:18
    Dinge.
    Herald: Blinken tut das Ding, das darfst
  • 59:18 - 59:22
    nicht vergessen!
    Phil: Ganz wild, stimmt. Und das wäre
  • 59:22 - 59:26
    jetzt mein Ansatzpunkt, wo ich sag: Ja,
    das EKG ist halt auch mit dabei. Aber es
  • 59:26 - 59:32
    ist halt eine nette Spielerei. Aber das
    ist nicht das, was die card10 an sich
  • 59:32 - 59:35
    ausmachen soll.
    Mik 1: Weil ich dann geglaubt habe, dass
  • 59:35 - 59:39
    es wirklich nur für diesen einen Zweck
    eigentlich gebrauchbar ist, dann haben Sie
  • 59:39 - 59:43
    das beantwortet. Danke.
    Herald: Direckt weiter mit Mikrofon. 1,
  • 59:43 - 59:47
    bitte.
    Mik 1: Guten Abend! Ich hätte zwei
  • 59:47 - 59:51
    kleinere Fragen. Das erste: Könnte es
    passieren, dass so etwas wie Google
  • 59:51 - 59:58
    Scholar oder Papp Mails, was Ärzte im
    Alltag häufig benutzen, um Entscheidungen
  • 59:58 - 60:03
    zu treffen für ihre Patienten auch unter
    das Medizinprodukte Gesetz fallen könnte.
  • 60:03 - 60:10
    Und zweitens die Abgrenzung zum Kategorie 3
    scheint mir zu sein, wenn man eine
  • 60:10 - 60:16
    potenziell lebensbedrohliche oder sehr,
    sehr gefährliche Entscheidung in einer
  • 60:16 - 60:20
    Software beispielsweise herbeiführen
    würde. In der Medizin ist es jetzt aber
  • 60:20 - 60:24
    auch so, dass Patienten ganz leicht
    Allergien auf Medikamente entwickeln
  • 60:24 - 60:29
    können, die auch ganz alltäglich sind und
    damit an Penicillin beispielsweise sterben
  • 60:29 - 60:37
    könnten. Inwiefern wird darauf Rücksicht
    genommen? Ich sage nur Banalitäten, in der
  • 60:37 - 60:42
    Medizin ganz einfach verheerende Folgen
    haben können und das dann dazu führt, dass
  • 60:42 - 60:48
    ich ein kleines Produkt letztendlich so
    ausbauen muss wie den Roboter, der mir
  • 60:48 - 60:52
    mein Herz automatisch transplantiert.
    Phil: Die zweite Frage kann ich recht
  • 60:52 - 60:57
    leicht beantworten. Das richtet sich an
    die Klassifizierungsregeln. Ich habe jetzt
  • 60:57 - 61:04
    nur die Regel 10 an den Beamer geworfen.
    Man muss für das Produkt, was man hat, die
  • 61:04 - 61:09
    Funktionen kennen, die Zweckbestimmung
    haben und kann dann genau durch diese
  • 61:09 - 61:15
    Regeln systematisch durchgehen. Dort wird
    exakt erklärt: Wenn ich ein Produkt habe,
  • 61:15 - 61:20
    was bestimmte, bestimmte Features hat,
    wenn es eine gewisse Invasivität hat, dann
  • 61:20 - 61:26
    lande ich in diesen ganzen Kategorien.
    Alle Regeln hier aufzuzeigen ist relativ
  • 61:26 - 61:32
    mühselig, und das macht es ein bisschen
    schwierig. Bei der ersten Frage müssen wir
  • 61:32 - 61:36
    uns, glaub ich, mal persönlich
    zusammensetzen. Die Google? Was war das?
  • 61:36 - 61:40
    Scola?
    Frage: Ja, Google Scola und pub mate oder
  • 61:40 - 61:45
    uptodate. Da gibts ja viele Plattformen,
    wo Ärzte fündig werden.
  • 61:45 - 61:50
    Phil: Da weiß ich jetzt tatsächlich gar
    nicht, was die machen. Da kann ich jetzt,
  • 61:50 - 61:54
    kann ich jetzt gar nicht so viel dazu
    sagen. Das tut mir leid.
  • 61:54 - 61:58
    Herald: So, wir haben keine Zeit mehr und
    auch keine Fragen. Phil, du bist erlöst.
  • 61:58 - 62:00
    Vielen, vielen Dank. Das ist noch mal dein
    Applaus.
  • 62:00 - 62:02
    Phil: Danke schön.
  • 62:02 - 62:06
    Applaus
  • 62:06 - 62:10
    36c3 Abspannmusik
  • 62:10 - 62:31
    Untertitel erstellt von c3subtitles.de
    im Jahr 2020. Mach mit und hilf uns!
Title:
36C3 - Warum die Card10 kein Medizinprodukt ist
Description:

more » « less
Video Language:
German
Duration:
01:02:31

German subtitles

Revisions Compare revisions