-
36C3 Vorspannmusik
-
Herald: Rechts von mir steht der Phil und
der Phil erzählt uns jetzt, was müssen
-
Medizinprodukthersteller einhalten und was
nicht. Der Talk heißt "Warum der card10
-
kein Medizinprodukt ist".
Dein Talk. Viel Spaß!
-
Phil: Danke schön. Ja. Applaus Vielen
Dank, dass ich hier einen Vortrag halten
-
kann. Ich möchte kurz was zu meiner
Person sagen. Angekündigt als Phil ist völlig
-
richtig. Ich arbeite seit über zehn Jahren
in der Medizintechnik Branche, gerade die
-
Regularien ist was, wofür ich mich
tierisch begeistern kann, also von dem
-
her. Ich kann verstehen, wenn das den ein
oder anderen nicht sonderlich begeistert.
-
Ich finde das schön, aber gut. Ich werde
sehr viele Beispiele bringen. Das heißt,
-
Gesetzestexte sind sehr genau. Bei den
Beispielen verschwimmt es dann wieder.
-
Genauso versuche ich, Zahlen zu nennen.
Ungefähr eine grobe Richtung vorzugeben.
-
Manche Sachen sind stark vereinfacht,
dafür reicht die Zeit einfach nicht aus.
-
Bitte alles nicht eins zu eins nehmen,
sondern nur eine Größenordnung. Mehr, mehr
-
ist hier schlicht und ergreifend in der
Zeit nicht machbar. Also gut. Erstmal
-
Frage in die Runde: Wer weiß denn was die
card10 ist? Wer hat einen? Okay gut, dann
-
erkläre ich nochmal ganz kurz was zu der
Hardware selber. Also die card10 hab ich
-
mich hier von der Homepage das Bild
geklaut. Ist, die Normen Gremien würden
-
jetzt sagen weareable, das bedeutet, es
ist etwas, was in der Hand getragen werden
-
kann, dass es in der häuslichen Umgebung
eingesetzt werden kann und
-
schwerpunktmäßig ganz viele Leuchtdioden
hat blinken sollen. Display hat kleiner
-
Vibrationsmotor also so im ersten
Augenblick gar nicht so Medizinprodukt.
-
Was mir jetzt unten auf dem Bild sehen
kann, sind so große Metallflächen. Man
-
kann hier dann EKG ableiten, und das ist
so dann der erste Punkt, wo es anfängt,
-
Richtung Medizinprodukt zu denken. Also
das ist jetzt am Anfang, wo alle einmal
-
durch müssen. Medizinprodukt ist per Gesetz
definiert und das Gesetz, über das ich
-
heute rede, ist die "Medical Device
Regulation" ist ein europäisches Gesetz.
-
Was für Gesamteuropa gilt. Dann bitte ich
einmal kurz die Erklärung durchzulesen.
-
Artikel 2 definiert Medizinprodukt. Ich
möchte jetzt nicht in die Definition
-
reinreden, deswegen warte ich ein kurzen
Moment. Das ist schon stark vereinfacht.
-
Was jetzt hier die wichtigen Punkte sind,
also bezogen auf die card10 bedeutet
-
es, dass entweder ein Gerät oder eine
Software oder beides in Kombination. Es
-
ist vom Hersteller dazu bestimmt,
bestimmte Funktionen wie Diagnose,
-
Überwachung oder dergleichen
durchzuführen. Das heißt, es kann sein,
-
dass die gleiche Sensorik in irgendeinem
Produkt verbaut ist, wo der Hersteller
-
sagt, dass es gar keinen Medizinprodukt.
Das hat gar keine medizinische
-
Zweckbestimmung. Manche Telefone haben das
und gelten auch nicht als Medizinprodukte.
-
Und da muss dann der Hersteller gucken,
was man mit dem Ding gemacht werden. Das
-
beantwortet dann auch sehr schnell die
Frage. Mal gucken, wie das denn bei der
-
card10 aussieht. Eine Folie würde ich
jetzt gerne weiter. Hier, Klasse. Dann die
-
sogenannte Zweckbestimmung vom Hersteller
regelt genau das. Also mal auf die card10
-
Homepage gucken, ob man hier irgendwas
findet. Zweckbestimmung muss in der
-
Gebrauchsanweisung stehen. Vielleicht
findet sich ja irgendwie so etwas wie eine
-
Gebrauchsanweisung bei Tutorials.
Vielleicht mal weiter gucken. Da steht was
-
von EKG. Ah ja. Schön klasse, das ist ja
schon mal was, was du in die Richtung
-
geht. Und dann ist noch ein ellenlanger Text,
der bisschen beschreibt, wie man aus dem
-
EKG dann tatsächlich etwas auswerten kann.
Hab ich mal gemacht. Sah bei mir dann so
-
aus. Und also, was soll erreicht werden?
Ich habe jetzt nichts gefunden, was auf
-
irgendeine Indikation hindeutet. Ich habe
nichts gefunden, wo man EKG tatsächlich
-
vermessen könnte. Ich habe nichts
gefunden, welche Krankheiten damit
-
diagnostiziert werden oder erkannt werden
können? Ich habe keine Angaben zu
-
Patienten gefunden, keine Angaben zum
Anwender. Damit hat das Ding keine
-
Zweckbestimmung und ist kein
Medizinprodukt. Das ist jetzt meine
-
Einschätzung. Doch dann schauen wir
weiter. Jetzt könnte man ja mal gedanklich
-
das Spiel spielen und ein Teil der card10
zum Medizinprodukt machen. In dem Fall
-
wäre es am einfachsten zu sagen: Man macht
einfach dieses Programm, was das EKG
-
anzeigt oder sich generell darum kümmert,
zum Medizinprodukt. Medizinprodukte
-
brauchen eine Zweckbestimmung. Und so
könnte jetzt beispielsweise die
-
Zweckbestimmung anfangen, dass man die EKG
App, also ein Stück Software zum
-
Medizinprodukt macht und kurz beschreibt,
wie es denn das Funktionsprinzip. Was kann
-
man damit machen? Was soll damit
medizinisch erkannt werden? In dem Fall,
-
ob es einen regelmäßigen Sinusrythmus gibt
und ein arterielles, eine arterielle
-
Vibration, das Vorhofflimmern und viel
mehr ist mit einem Kanal EKG schon nicht
-
machbar. Bei der card10 habe ich zwei
Elektronen, sprich medizinisch gesehen hat
-
man so einen Querschnitt durchs Herz, den
man da feststellen kann. Größere EKGs
-
werden dann ums Herz herum geklebt, wo man
dann verschiedene Schnitte hat, und kann
-
damit medizinisch deutlich mehr machen.
Das ist bei einem Ein-Kanal EKG schlicht
-
und ergreifend nicht möglich. Das Zweite:
Wo soll das Ganze angewendet werden? Also
-
die Umgebung beschreiben? Das nächste wäre
dann. Von wem soll es verwendet werden und
-
von wem soll es nicht verwendet werden?
Das ist jetzt auch nur fiktiv. Das muss
-
dann alles eine klinische Abteilung
beantworten. Also auch hier beispielhaft
-
erklärt und eine contra Indikation. Also
wo schließt man Sachen aus? Auch das ist
-
etwas, was dann die klinische Seite sehr
gut beantworten kann. So könnte eine
-
Zweckbestimmung für eine EKG App aussehen
und dann auch hier nochmal kurz erklärt.
-
Funktionsweise, Indikation, Kontra
indikation. Das ist eine Zweckbestimmung.
-
Super! Das ist der erste Schritt. Jetzt
haben wir eine Zweckbestimmung. Aber was
-
jetzt? Na ja, über die Zweckbestimmung
können die Gruppen entsprechend klass... .
-
Kann das Produkt entsprechend per Gesetz
klassifiziert werden? Die
-
Klassifizierungenregeln stehen auch im
Gesetz. Ich habe immer versucht, mit
-
anzugeben, in welchen Artikel oder in
welchem Anhang das stattfindet. Und was
-
sind die Klassifizierungen, die
Medizinprodukte haben können? Ich habe das
-
versucht, ein bisschen grafisch
darzustellen. Technisch gesehen ist es
-
nicht invasives Produkt, aber da fällt man
in nichts rein. Nein, invasives Produkt
-
ist es auch nicht. Besondere Festlegungen
gibt es auch nicht. Aber es ist ein
-
aktives Produkt. In dem Fall nur Software.
Also fallen wir hier... Ach ne. Doch,
-
genau. In dem Fall fallen wir hier in
Regel zehn rein. Diagnose und Überwachung.
-
Für reine Software Sachen gibt's nochmal
eine eigene Klassifizierung. Aber in dem
-
Fall ist die nicht anwendbar. Ich möchte
jetzt hier beispielhaft genau über diese
-
Regel 10 drüber gehen. Auch hier geht es
darum, Produkte der Klasse, Produkte, die
-
in Klasse der Regel 10 reinfallen sind
defaultmäßig erstmal Klasse 2a. Dann
-
gibt's bestimmte besondere Sachen, die
dann doch noch mitanwendbar sind. Für die
-
card10 auch gar nicht so spannend, sondern
der Abschnitt da unten ist das, was
-
interessant ist. Also Kontrolle von
vitalen Körperfunktionen. Es wird sogar
-
ein Beispiel genannt, wo es genau ums Herz
geht, und da steht dann drin: Wenn man da
-
in die Kategorie fällt, dann bitte 2b. Gut.
Jetzt hab ich ganz viel über
-
Klassifizierungen geredet, auch so eine
erste Einschätzung. Was haben jetzt die
-
Klassifizierungen da damit zu tun? Haben
wir jetzt eine Zweckbestimmung? Jetzt
-
haben wir eine Klassifikation von den
Sachen und. Wie geht's jetzt, wie geht es
-
jetzt weiter? Die Klassifizierungen
bestimmen diesen Prozess des in Verkehr
-
Bringens. Je höher die Klassifizierung,
umso mehr muss gemacht werden. Also
-
beispielhaft Produkte der Klasse eins. Da
geht kein Risiko aus. Da muss nicht groß
-
was gemacht werden. Jedes Heftpflaster ist
in Klasse 1 Produkt, jedes
-
Fieberthermometer ist ein Klasse 1
Produkt. Bei Klasse 2a wird es dann schon
-
spannender. Da besteht ein sogenanntes
Anwendungsrisiko. Also was fällt da rein?
-
Dental Implantate ist dann ein sehr guter
Vertreter, Ultraschallgeräte, Hörgeräte.
-
Je nachdem, wie invasiv irgendein
Medizinprodukt ist, erhöht sich auch die
-
Klassifizierung. Dann in der Klasse 2b
kann schon ein bisschen mehr passieren.
-
Das sind die Geräte in der Regel auch
invasiver. Da fallen dann Dialysegeräte
-
rein, Endoskope, Kondome,
Empfängnisverhütung, alles Medizinprodukt.
-
Und dann Klasse 3, da gehts richtig zur
Sache. Das sind implantierbare
-
Herzschrittmacher. Das sind automatische
externe Defibrillatoren, das dann einfach
-
Geräte mit einem höheren oder dem höchsten
Risiko, was per Gesetz vorgesehen ist.
-
Also gut, jetzt haben wir klassifiziert.
Was muss man jetzt damit tun? Ich versuche
-
hier von links nach rechts einmal ein
bisschen zu beleuchten, was bei einer
-
bestimmten Klassifizierung denn genau zu
tun ist. Also für alle Produkte muss ein
-
Qualitätsmanagementssystem erstellt
werden. Bei Produkten der Klasse 1 kann
-
man sich das Leben in bestimmten Bereichen
ein bisschen leichter machen. Aber
-
grundsätzlich müssen das alle Produkte
haben. Das nächste, was auch alle Produkte
-
haben müssen, ist eine sogenannte
technische Dokumentation. Da wird
-
beschrieben, was während der Entwicklung
alles passiert ist. Der nächste Schritt
-
ist. Ich mag nicht das sogenannte Audit
durch die benannte Stelle. Das kann man
-
sich bei Klasse 1 Produkten sparen. Alle
anderen Produkte werden immer durch eine
-
benannte Stelle mitüberprüft. Die benannte
Stelle übernimmt keine Haftung, aber es
-
ist so zumindest sichergestellt, dass noch
eine neutrale Stelle mit drauf geschaut
-
hat. Dann für Klasse drei Produkte. Das
war eins zu viel. Gibt's nochmal eine besondere
-
Produktprüfung. Klar, dass sind die
Produkte mit dem höchsten Risiko. Dann
-
kommt das CE-Kennzeichnungzertifikat. Das
wird von der benannten Stelle ausgestellt
-
und bescheinigt. Gut. Klasse. Ihr dürft
jetzt das CE-Zeichen anbringen. Euer
-
Produkt erfüllt die Anforderung vom
Gesetz. Und im nächsten Schritt geht es
-
dann darum, eine eindeutige Kennung am
Produkt anzubringen, den sogenannten
-
Unique Device Identifier. Man muss den
registrieren, und der muss auf dem Produkt
-
und auf der Verpackung vorhanden sein. Und
der letzte Schritt, mag
-
wieder nicht. Ist die Aufrechterhaltung
dieses ganzen Systems: des QM-Systems und
-
sämtlichen Prozessen. Dann schauen wir mal
rein, was man so exemplarisch bei einem 2b
-
Produkt alles machen müsste. Also
QM-System, habe ich vorhin schon gesagt,
-
ist per Gesetz vorgeschrieben. Jetzt hat
die Industrie nur festgestellt:
-
Gesetzestexte sind immer ein bisschen
schwierig. Die sind
-
interpretationswürdig, ja, das ist immer
nicht so leicht. Außerdem sind die Audits
-
teuer. Also was hat man gemacht? Es gibt
Normen. Normen haben für die Industrie
-
unglaublich viele Vorteile. Es gibt
weniger Interpretationsspielraum. Normen
-
sind deutlich klarer formuliert als im
Gesetzestext. Außerdem sind sie
-
international anerkannt. Das heißt, wenn
ich in ein Land gehe, kann ich mit einem
-
gleichen Bericht von der Norm in das
nächste Land gehen, und die Audits sind
-
einfach leichter. Leichter bedeutet für
die Industrie billiger. Damit verwenden so
-
gut wie alle die Normen. Und bei den
Normen gibts die sogenannten
-
Normenvermutung, dass ist in dem Vienna
Agreement (Wiener Abkommen) mit geregelt.
-
Es bedeutet: Wenn ich bestimmte Bereiche
einer Norm erfülle, erfülle ich
-
automatisch bestimmte Bereiche vom
Gesetzestext. Sprich, die benannten
-
Stellen stützen sich auf die
Normenvermutung und sagen: Klasse, wenn
-
ihr das alles erfüllt, müssen wir das
alles vom Gesetz gar nicht mehr prüfen.
-
Weil passt ganz automatisch. Dann sind wir
stehen geblieben. Stimmt. Bei den Normen
-
ist eine Folie, die ich gar nicht mehr so
im Kopf hatte. Ich möchte noch mal kurz
-
erklären, was es für Kategorien von Normen
gibt. Die lassen sich grob in drei
-
Bereiche, einteilen einmal so in
allgemeine Normen, dass dann häufig
-
Prozessnormen. Dann gibt's Normen zur
Elektrotechnik und Normen zur
-
Telekommunikation. Elektrotechnik bedeutet
ganz salopp alles, was einen Stecker hat,
-
Telekommunikation, ganz salopp alles, was
funkt. Und in Deutschland haben wir hier
-
drei Organisationen, die sich darum
kümmern. Das ist einmal die DIN für
-
allgemeine Sachen. DIN A4 müsste den
meisten ein Begriff sein und dann die DKE,
-
VDE und die DIN. Die kümmern sich dann um
die restlichen beiden Sachen. In Europa
-
haben wir cenelec, die sich
einmal um die allgemeinen und um die
-
elektrischen Sachen kümmern und die
Etsi, die die ganzen Funkstandard unter
-
sich verwaltet. International haben wir
die ISO, die viel von den Prozessen
-
mitbetreut, die IEC, die die ganzen
technischen Bereiche hat, und die ITU, was
-
die weltweite Funknorm ist. oder das
Gremium, das sich darum kümmert, so genau.
-
Dann schauen wir noch mal zurück, wo wir
stehen geblieben sind, und zwar beim QM-
-
System. Wir haben jetzt hier unser erstes
Achievement, wir haben die ISO 13 485 QM-
-
Systeme. Das heißt, wir haben die erste
anwendbare Norm für unser Medizinprodukt?
-
Ungefähr vom groben Aufbau her sieht das
Ding so aus. Es ist unglaublich
-
beeindruckend, ist auch relativ groß, und
was in diesen im Wesentlichen gefordert
-
ist, ist eine Geschäftspolitik. Die
Qualitätspolitik muss festgelegt werden.
-
Es muss ein QM-Handbuch erstellt werden.
Es muss eine Gesamtüberblick erstellt
-
werden. Was gibts im Unternehmen? Alles
für Prozesse. Was gibt's im Unternehmen
-
alles für Verfahrensanweisungen. Wie
gliedert sich das von oben herab? Es ist
-
tatsächlich in der Norm festgeschrieben,
dass sich die oberste Leitung um genau
-
diese Punkte zu kümmern hat. Es darf nicht
von der Belegschaft getrieben sein,
-
sondern von der Geschäftsführung selber.
Solche Sachen gliedern sich dann immer so
-
stückchenweise in feinere Sachen auf von
dem QM-Handbuch zu den
-
Verfahrensanweisungen zu
Arbeitsanweisungen bis runter zu weiteren
-
mitgeltenden Dokumenten. Das können
Templates sein, das können alles mögliche
-
sein. Und so gliedert sich das
hierarchisch von oben nach unten. In dem
-
QM-System ist unglaublich viel definiert.
Also bitte einmal beeindruckt gucken. Das
-
schreibt alles so ein QM-System vor. Was die
haben wollen, ist einfach, dass es für
-
alles Mögliche einen Prozess gibt, also
wirklich für so gut wie alles. Wenn man
-
das jetzt tatsächlich selber machen
möchte, also nicht so beeindrucken lassen
-
von so einer Norm. Das Stichwort hier ist
Risiko basiert. Man kann bei vielen Sachen
-
sagen: Da haben wir jetzt angefangen,
haben die wichtigsten Sachen
-
identifiziert, haben irgendwo ein
Assessment durchgeführt und starten jetzt
-
mit dem, wo wir sagen ist besonders
kritisch. Die benannten Stellen wissen
-
das. Die haben auch Handlungsspielraum,
die haben die sogenannten N-bock Guidances,
-
dann müssen die sich im Audit auch dran
halten. Man hat hier die Möglichkeit, sich
-
stückchenweise zu verbessern. Dann schauen
wir mal weiter. Die nächste Norm, die bei
-
uns Anwendung findet, ist die ISO 14971.
Das ist eine Norm über das
-
Risikomanagement. Da möchte ich mal kurz
kucken oder erklären, was es verschiedene
-
oder für verschiedene, verschiedene
Schritte gibt, die durchzuführen sind. Der
-
erste Schritt, mit dem man beginnt, ist,
so... Was habe ich geschrieben?
-
Rahmenbedingungen, ja. Das nimmt sich mit
der Zweckbestimmung sofort die Hand. Man
-
muss hier festlegen, was sind die
Funktionen des Gerätes? Was kann von den
-
Funktionen für ein Risiko ausgehen? Oder
die Norm spricht, genauer gesagt, von
-
Gefährdungen. Gefährdungen ist definiert
als potenzielle Schadensquelle. Und von
-
diesen Gefährdungen muss man sich über
Events, die mit dem Produkt passieren
-
können, hin zu einer Gefährdungssituation
arbeiten. Eine Gefährdungssituation ist
-
das erste Mal, wenn Menschen mit ins Spiel
kommen. Banal gesagt. Das heißt irgendeine
-
Lampe, die an der Decke hängt und
runterfallen kann ist erstmal eine
-
Gefährdung. Solange niemand unter der
Lampe steht, wird diese Gefährdung nie zur
-
Gefährdungssituation. Und erst wenn
Menschen mit dem Produkt interagieren oder
-
in deren Nutzungsumgebung sich aufhalten,
dann kommt man zur Gefährdungssituation.
-
Von einer Gefährdungssituation muss man
sich dann weiterhin bewegen zu einem
-
Risiko. Risiko ist so definiert, dass es
die Kombination aus
-
Auftretendeswahrscheinlichkeit, einer
Gefährdungssituation und dem daraus
-
resultierenden Schaden. Diese beiden Werte
kann man dann in einer Matrix aufspannen
-
und Bereiche identifizieren, wo man sagt,
die sind komplett inakzeptabel. Und andere
-
Bereiche, wo man sagt, das ist jetzt nicht
akzeptabel, aber zumindest lassen wir das
-
jetzt mal so stehen, weil der Nutzen des
Produkts überwiegt. All das passiert in
-
der Risikoanalyse. Das sind die
Aktivitäten, die hier normativ
-
vorgeschrieben sind. Das nächste, was dann
passiert, ist die Risikobewertung, wo man
-
dann genau sagt: Ich habe jetzt meine
Risiken identifiziert. Ich habe mich von
-
den Gefährdungen rüber bewegt bis zu einem
Risiko. Ich habe mir einen Graphen
-
aufgespannt. Und wie viele Risiken habe
ich denn jetzt, die akzeptabel sind oder
-
inakzeptabel sind. Dieser ganze Prozess
wiederum ist die Risikobeurteilung. Wenn
-
das so ist, kümmert man sich um die
Risikobeherrschung. Risikobeherrschung
-
bedeutet, es werden
Risikominimierungsmaßnahmen umgesetzt. Da
-
gibt es drei Möglichkeiten. Das erste ist
eine Änderung per Design, wo man dann
-
sagt: Damit diese Gefährdung gar nicht
erst auftreten kann, verändere ich mein
-
Produkt so, dass das technisch gar nicht
mehr möglich ist. Bei einem EKG ist das
-
jetzt schwer. Das funktioniert halt
einfach so, wie es funktioniert. Wer das
-
Produkt jetzt irgendwas, was Hitze
erzeugt, dann könnte man sagen: Gut, bei
-
einem Kochfeld nimmt man kein
Cerankochfeld, sondern Induktionskochfeld.
-
Dann kann man die Gefährdung verringern,
dass sich jemand an der heißen Herdplatte
-
die Finger verbrennt. Wenn das nicht geht,
muss man Schutzmaßnahmen implementieren.
-
Das ist die zweite vorgeschriebene
Möglichkeit: einer Schutzmaßnahme kann ich
-
halt nur die Wahrscheinlichkeit
verschieben? Die Gefährdung an sich bleibt
-
immer noch vorhanden. Die dritte
Möglichkeit ist, die man da zur
-
Verfügung hat: Informationen oder
Schulungen. Und damit ist man schon am
-
Ende der Risikobeherrschung. Mehr ist
normativ gar nicht möglich. Im nächsten
-
Schritt wird die Risikoakzeptanz
festgestellt, also die gesamte Risiken
-
betrachtet und geckuckt. Landet man jetzt
nach risikominimierenden Maßnahmen im
-
akzeptablen Bereich? Wenn das auch der
Fall ist, wird alles in Risikoberichten
-
niedergeschrieben und im letzten Schritt
dann die nachgelagerte Phase gestartet.
-
Also haben die Angaben oder die Annahmen,
die getroffen wurden, tatsächlich Bestand
-
gehabt? Oder hat man sich irgendwo völlig
verschätzt? Das sind ganz neue
-
Gefährdungen aufgetreten, haben die
Wahrscheinlichkeiten gepasst. Das ist auch
-
das, was normativ mit vorgeschrieben ist.
Dann ist die nächste Norm, die anwendbar
-
ist. Die IEC 82304. Das ist eine Norm über
sogenannte health Software. Dann schauen wir
-
da auch einmal kurz, kurz rein. Die Normen
sind aus einer Zeit entstanden, wo sich
-
niemand vorstellen konnte, dass Software
ein eigenständiges Betrieb, ein
-
eigenständiges Medizinprodukt sein kann.
Und alle, oder so gut wie alle Normen sind
-
von Leuten geschrieben worden, die ein
sehr starkes Hardware und Mechanik
-
Verständnis hatten. Deswegen wird man da
ganz häufig so ein V-Modelle sehen oder
-
ein Wasserfallmodell oder dergleichen. Und
so fängt auch diese Norm an. Das ist so
-
der Deckel, weil man vergessen hat,
Software als eigenes Medizinprodukt
-
festzulegen. Das bedeutet man, man sagt
jetzt hier gut ab jetzt für Software alles
-
schön gemacht. Aber bitte vergesst euer
gesamtes System nicht, wo das
-
Medizinprodukt zum Einsatz kommt. Ihr
müsst jetzt mindestens Systemanforderungen
-
haben. Dann macht sich die Norm das Leben
extrem leicht und sagt, bitte macht alles,
-
was in der 62304 dran steht, und dockt
dann wieder oben an und sagt: Jetzt haben
-
wir Anforderungen festgelegt. Die sollen
jetzt bitte aber auch verifiziert werden.
-
Und on top of that kommt dann noch die
Validierung. Das sind jetzt zwei Begriffe,
-
die stark auseinander getrennt werden
müssen. Normativ gesehen ist eine
-
Verifikation, der objektive Nachweis, dass
spezifizierte Anforderungen erfüllt sind.
-
Mehr nicht. Banal gesagt ist eine
Verifikation möglich, wenn ich ein Lineal
-
hinlegen kann. Wo ich dann sage: Klasse,
dass es in meinem definierten Bereich
-
innerhalb der Toleranz. Wenn ich irgendwas
messen kann. Eine Validierung ist so
-
definiert, dass die spezifizierten Nutzer
in ihrer spezifizierten Umgebung ihre
-
spezifizierten Anforderungen erfüllen
können. Ich kann ein Produkt bauen, was
-
die, was die Verifikation super bestanden
hat, aber niemand damit klar kommt. Weil
-
die Leute dann sagen: Hey, Moment, ist
jetzt das Ganze einer dunklen Umgebung
-
ein. Da ist Regen draußen. Ich habe eine
Scheißbeleuchtung. Ich kann damit nicht
-
arbeiten. Das geht nicht. Das ist dann der
Punkt, wo die Validierung fehlschlägt. Und
-
da greift diese Norm noch mitrein, wo sie
das oben mitdrauf setzt. Auch hier gibt's
-
dann Sachen, die neben zulaufen. Das eine
sind Begleitdokumente, die erstellt werden
-
müssen. Das ist eigentlich was, was über
die Hardwarenormen reinkommt. Bei rein
-
Software Produkten fehlt es dann
entsprechend. Also, was muss denn die
-
Gebrauchsanweisung oder in diverse andere
Sachen? Und auch hier ist dann wieder eine
-
nachgelagerte Phase, wo gesagt wird: Diese
ganzen Sachen müssen aufrechterhalten
-
werden. Dann die nächste Norm, die jetzt
hier schon angerissen worden ist die IEC
-
62304. Das ist eine reine Softwarenorm.
Das ist aus einer Zeit entstanden, wo man
-
dachte, Software ist immer Teil eines
Medizinprodukts. Aber es gab
-
Medizinprodukte, wo die Software so
grandios versagt hat, dass man dafür eine
-
eigene Norm geschaffen hat. Das Beispiel,
was man da recht gern nennt, ist der
-
sogenannte Terrak 25. Das war ein
Bestrahlungsgerät, ist als Nachfolgergerät
-
auf den Markt gekommen und hat die
Patienten förmlich auf den Tisch
-
verbrannt. Da ist so viel Strahlung in den
Körper rein, die Leute sind schreiend
-
davon gerannt. Und so ist dann diese Norm
entstanden. Und hier fängt die Norm an und
-
sagt: Wenn wir Software entwickeln wollt,
schon recht, aber plant das. Ihr könnt
-
nicht einfach drauflos entwickeln. Ihr
müsst euch Gedanken machen, was ihr denn
-
tun wollt. Das fängt an bei Software
Anforderungen, geht über eine Architektur,
-
geht über eine Implementierung, geht über
eine Verifikation, Integration. Da sagt
-
die Norm legt das am Anfang fest. Legt
fest, wie ihr Anforderungen erheben
-
wollt. Legt fest, wie die Integration
laufen soll, und wurschtelt nicht einfach
-
drauflos. Den nächsten Punkt, den sie
festlegt, sind Softwareanforderungen. Wie
-
haben die auszusehen? Was muss alles mit
beachtet werden? Dann geht es um die
-
Softwarearchitektur. Da sagt die Norm:
identifiziert Softwaresysteme. Also,
-
salopp gesagt alles, was eine eigene
Recheneinheit hat, eigener FPGA, eigener
-
DSP, eigene CPU, ist ein Softwaresystem.
Identifiziert das. Zerlegt eure
-
Softwarearchitektur weiter in ein
detailliertes Design. Dort ist dann die
-
Rede von sogenannten Softwareitems und
Softwareunits. Das heißt, ein
-
Softwaresystem zerlegt sich weiter in
Softwareitems. Softwareitems zerlegen sich
-
weiter in Softwareunits. Ab da ist dann
Schluss. Wo sich die Definitionen zwischen
-
Softwareitem und Softwareunit
unterscheidet, ist, dass der Hersteller
-
sagt: Können wir nicht weiter zerlegen?
Für was man sich da entscheidet, ist dem
-
Hersteller überlassen. Ob man da als
komplette runtergeht bis in den Assembler.
-
Das kann man machen. Viele Hersteller
sagen dann: na gut, es ist halt eine
-
Bibliothek, besteht aus ganz viel Zeug,
aber die Bibliothek ist jetzt so mal nicht
-
weiter zerlegbar. Belassen wir so, dass
sind unsere Software Units. Da hat man
-
eben die Freiheit, das zu tun, was man da
für richtig hält. Das Ganze muss auch
-
umgesetzt werden. Auch da gibt es
bestimmte Sachen, wo die Norm sagt: Haltet
-
die ein, und dann geht es diesen ganzen
Weg wieder hoch. Das Design, was man
-
gemacht hat, muss verifiziert werden. Die
Architektur, die man gemacht hat, muss
-
integriert werden. Alles entsprechend dem
Plan, den man zuvor festgelegt hat. Die
-
Anforderungen werden verifiziert, und dann
wird die Software freigegeben. Also, so
-
die Vorgaben. Auch hier gibt es bestimmte
Sachen, die dann noch allgemein
-
durchgeführt werden müssen. Das eine ist
die Softwarewartung, wo gesagt wird: Ja,
-
jetzt habt ihr irgendwas am Markt. Aber
wie geht ihr jetzt? Wie geht ihr damit um,
-
wenn die Sachen nicht so
funktionieren wie geplant?
-
Dann gibt es die Softwarekonfiguration,
das bedeutet welche Deliverables
-
oder welche Tools
werden miteingesetzt. Gibt es eine
-
Versionskontrolle? Ist vielleicht Git im
Einsatz, gibt es einen bestimmten
-
Branchingworkflow, der damit definiert
wurde. Habt ihr ein Integrationsserver?
-
Wenn ja, wie geht ihr damit um, wenn diese
Sachen geupdated werden, was auch das
-
soll gesteuert werden. Und da sind hier
Prozesse, die sich genau darum kümmern.
-
Das Letzte ist, der Software-
Problemlösungsprozess, der dann sagt, wenn
-
Änderungen reinkommen, müssen die
bestimmte Schritte mindestens durchlaufen.
-
atmet tief aushuh Nun gucken wir mal. Dann
müsste es eigentlich schon die nächste
-
Norm kommen. Die IEC 62366. Das ist die
Norm, über die, wie es auf Deutsch heißt
-
Gebrauchstauglichkeit. Im Englischen ist
es Usability. Die Usability Norm gliedert
-
sich in mehrere Teile. Die Kernaussage der
Norm ist, Gebrauchstauglichkeit kann nicht
-
am Anfang noch oben, kann nicht am Ende
noch zum Schluss drauf gestreut werden,
-
sondern muss von Anfang an durchgeführt
werden. Das heißt, es gibt einen
-
Entwicklungsprozess, der schon am Anfang
starten muss, und es gibt zum Schluss dann
-
noch eine entsprechende Bewertung. Die
Norm spricht davon formativer und
-
summativer Evaluation. Formativ ist das,
was während der Entwicklung passieren
-
muss, und summativ ist das, was zum
Schluss passieren muss. Dann, auch hier
-
wird wieder die Zweckbestimmung
aufgegriffen. Also es wird gesagt, legt
-
die Anwender fest, legt die Umgebung fest.
Was kann denn damit gemacht werden? Wie
-
funktioniert das denn? Also da greifen sie
in der Regel alle irgendwie, irgendwie mit
-
rein. Dass man diese Sachen, diese Sachen
mitbeschreiben muss, dann muss hier die
-
Gebrauchstauglichkeit spezifiziert werden.
Im einfachsten Fall ist es ein sogenannter
-
Styleguide, wo drinsteht: Unser Produkt ist
folgendermaßen aufgebaut. Die
-
Bedienelemente sind an folgenden Stellen.
Wir haben folgendes Design gewählt
-
folgende Anordnungen, folgende Design
Patterns, und diese müssen dann wieder
-
verifiziert werden. Das heißt, ich kann im
besten Fall automatisiert prüfen. Befinden
-
sich die Elemente an den Stellen, wie wir
das am Anfang festgelegt haben. Oder
-
verändern sich die Menüs entsprechend, wie
es in diesem Designguide festgelegt wurde
-
und genauso wie die Sachen verifiziert
werden müssen, müssen hier die Sachen auch
-
wieder validiert werden. Das heißt, ich
muss mir wieder echte Nutzer mit ins Boot
-
holen und schauen: kommen die mit den
Sachen denn klar? Idealerweise sogar schon
-
während der Entwicklung. Dann haben wir
noch die ISO 15223. Das ist eine Norm, die
-
Regel kennzeichnen, die Regelsymbolik, die
greift die ganzen Sachen mit auf. Das ist
-
mit die günstigste Norm. Das ist kein
Fehler. Das sind tatsächlich nur 1000 Euro
-
in der Umsetzung. Die Norm an sich kostet
noch viel weniger. Aber man muss halt
-
wissen, wo die Symbole hingehören. Und das
schöne an der Norm ist, die ist zwar rein
-
für die Medizintechnik, aber die ISO ist
einfach so nett, dass sie die Symboliken
-
allgemein auf ihrer Homepage zur Verfügung
macht. Das heißt, man geht zur ISO, sucht
-
nicht nach der Medizintechniknorm, sondern
sucht nach der ISO 7000 und kann sich dann
-
hier durch die ISO Homepage durchbewegen
und landet dann zum Schluss bei den
-
Vorschausymbolen, die hier entsprechend
mit, mit verwendet werden können und kann
-
die Symbole hier anklicken. Hat sie in groß,
hat sie in digital, kann die in die Dokumente
-
einpflegen, wo sie hin müssen. Das ist
tatsächlich dann eine ganz, ganz feine
-
Sache. Dann möchte ich hier noch darauf
hinweisen: Die Zweckbestimmung ist
-
tatsächlich das entscheidende Dokument
oder der entscheidende Text. Hier wird
-
unglaublich viel festgelegt. Wenn man hier
am Anfang den Grundstein nicht sauber
-
formuliert hat, kann man da später in
immense Probleme rutschen, sobald die
-
benannten Stellen mit dabei sind. In
meinem Beispiel habe ich jetzt hier gesagt
-
card10 schön und recht super, aber nur ein
kleines Stück Software auf dem Ding, nicht
-
das ganze Gerät selber. Wäre das der Fall.
Also müsste die ganze Hardware
-
Medizinprodukt werden. Dann kommt mir hier
in ganz andere Gefilde. Man muss dann die
-
60601 Normenfamilie einhalten und hat
noch viele andere Regularien, die hier
-
mitgreifen. Man muss die Reach and Rohs
Richtlinien erfüllen. Man muss EMV
-
erfüllen, das es elektromagnetische
Verträglichkeit, man muss Biokommpt
-
miterfüllen, man muss Funknormen erfüllen,
Rüttel-, Schütteltests machen. Das ist
-
halt dann was, wenn sich das vermeiden
lässt, freut das natürlich den
-
Medizinproduktenhersteller. Und das ist
genau das, wie sich das in den
-
Entwicklungsmodell widerspiegelt. Dadurch,
dass viele Hersteller als Hardware-
-
Hersteller gestartet sind, kennen die nur
so ein V-Modell. Und das ist dann auch
-
eines der etabliertesten Modelle, die in
der Medizintechnik vorhanden sind. Hier
-
ist es natürlich auch möglich, agile
Methoden anzuwenden. Es gibt genug
-
Unternehmen, die genau das tun und was
sich da jetzt herausgestellt hat. Man
-
erhebt immer noch Nutzungsanforderungen
starr am Anfang. Aber sobald die da sind,
-
sagt man sich: Gut, wir haben bei uns
einen Scrum Prozess. Wir sind in
-
regulierten Markt. Wir könnten ja mal
sagen in die Definition auf done nehmen
-
wir mit auf, dass am Ende von jedem Sprint
bestimmte Dokumente zu erstellen sind. Und
-
innerhalb von einem Sprint kann ich mir
ihn aus dem Backlock meine Sachen
-
rausziehen und sagen: Gut, ich möchte
jetzt diese drei Sachen umsetzen und
-
erstelle für diese drei Sachen dann meine
Anforderungsdokumente, meine Architektur,
-
mein Design, mache meine Verifikation und
bewegt mich da stückhenweise wieder hoch.
-
Sprich ich kann auch in dem agilen Prozess
so kleine Mini Vs durchlaufen und das
-
ist dann, was es üblicherweise in der
Industrie umgesetzt wird. Viele andere
-
Sachen habe ich damals auch noch nicht
gesehen. Genau, das ist das jetzt, was ich
-
grad gesagt habe. Es ist alles stark
V-Modell getrieben. Da kommen die Leute
-
schlicht und ergreifend her. Was anderes
kennen Sie nicht, was es nicht gibt, oder?
-
Ich sollte sagen, noch nicht gibt, ist
eine Norm für Security und Safety? Es gibt
-
Guidances. Das BSI ist in den ganzen
Normengremien mit dabei. Das ist ganz
-
lustig. Wenn ich in den Normengremien mit
drin sitzte, werde ich recht gern als
-
Vereinsjugend bezeichnet, weil ich den
Altersdurchschnitt nochmal um 25 Jahre
-
nach unten senke. lacht Das sind einfach
Themen, das ist nicht in den Köpfen. Es
-
wird vermutlich nächstes Jahr zwei, drei
Normen zu dem Thema geben. Aber im Moment
-
gibts nichts, und dementsprechend ist das
Thema was was von Herstellern, ich sage
-
mal nicht auf höchster Priorität steht.
Genauso kappeln sich die Hersteller recht
-
gern mit den Betreibern.
Wenn jetzt jemand sagt,
-
wir haben jetzt unser tolles
Gerät, das hat eine [unverständlich]-
-
Schnittstelle, das kann keine
Ahnung, was alles tolles im Netzwerk
-
machen. Bitte, lieber Betreiber, liebes
Krankenhaus kümmer dich darum, dass das
-
in der geschützten Umgebung ist. Weil wir
nämlich keinen Wert auf solche Themen
-
gelegt haben. Und dann sagt der Hersteller
"Not my Department", muss sich bitte der
-
Betreiber drum kümmern. Mal gucken,
vielleicht ändert sich dann demnächst
-
noch. Wir werden sehen. So, jetzt sind wir
mit der Entwicklung fertig. Also kommt die
-
benannte Stelle und führt Audits durch.
Einmal wird die Entwicklung und die
-
technische Dokumentation vom Produkt
auditiert. Das heißt, je nachdem welche
-
Klassifikationen wollen die halt mehr oder
weniger sehen. Das nächste, was auditiert
-
wird, ist das QM-System. Also in dem Fall
ein Audit von der 13485. Dafür gibts auch
-
ein schickes Zertifikat. Und dann gibt's
ein Zertifikat, das man entsprechend nach
-
Anhang vom Gesetz bestimmte Sachen in
Verkehr bringen darf. Also man erklärt
-
dann die Konformität. Das ist in Europa
tatsächlich ganz wichtig. Es gibt nicht
-
die Zulassung. Der Hersteller erklärt die
Konformität selbst. In Amerika muss ich
-
zur FDA gehen und bekommen dann da
clearance oder approval. Das heißt, da
-
bekomme ich tatsächlich als Hersteller
eine Zulassung. In Europa macht man das
-
selber. Und wie so eine Konformitäts-
erklärung auszusehen hat, steht im
-
Gesetz. Das heißt, der Anhang 4 regelt.
Bitte erfülle sämtliche Anforderungen aus
-
Anhang 1, also die grundlegenden
Sicherheits- und Leistungsanforderungen.
-
Dann im Anhang II erstellt eine technische
Dokumentation mit den entsprechenden
-
Normen, sobald man denn meint, dass die
anwendbar sind. Und der dritte Schritt ist
-
Überwachung nach in Verkehr bringen. Viele
Normen haben diese Phase eh schon mit
-
dabei, aber das jetzt eben per Gesetz
vorgeschrieben. Dann können wir die
-
Konformität erklären mit der sogenannten
Konformitätserklärung. Es muss tatsächlich
-
ein formales Dokument sein, wo bestimmte
Sachen mit drin sind. Also um welche Firma
-
handelt es sich? Wo ist denn die zu
finden? Es müssen eindeutige Nummern
-
vergeben werden. Es muss das Produkt
eindeutig benannt werden, es muss die
-
Risikoklasse mit dabei sein. Die benannte
Stelle, also bei Klasse 2a, 2b und Klasse
-
3 Produkten. Und es muss zum Schluss ein
Datum drauf sein, eine Unterschrift. Das
-
ist eines der wenigen Dokumente, die
wirklich so richtig formell schweren
-
Prozess mit, mit sich fordern. Wenn das
geschafft ist, super! Anhang 5. CE-
-
Kennzeichen, das Kennzeichen in der
Medizintechnik, bedeutet genau das. Man
-
hat die Konformität erklärt. Das Produkt
ist zumindest laut Ansicht der benannten
-
Stelle und des Herstellers sicher, und
unten dran steht die Nummer von der
-
benannten Stelle. In dem Fall jetzt 0123,
das wäre der TüV Süd. Je nachdem, wo man
-
hingeht, hat man ein anderes Kürzel dran.
So, im nächsten Schritt muss dann die UDI
-
registriert werden, also der Unique Device
Identifier. Der muss nicht nur aufs
-
Produkt selber, sondern auch entsprechend
auf die Verpackungen und Verpackungen und
-
alles Mögliche. UDI hier anzureisen, würde
den Rahmen endgültig sprengen. Aber
-
zumindest kurz möchte ich darauf eingehen.
Die UDI gliedert sich in zwei Bereiche:
-
Einmal die UDI-DI und die UDI-PI. Die UDI-
DI ist ein statischer Teil, der das Gerät
-
identifiziert, der das Unternehmen
identifiziert. Das ist ein Teil. Wie
-
gesagt, der bleibt einigermaßen fest. Dan gibt
es den zweiten Teil, der dynamisch ist, also wann
-
wurde das Ganze hergestellt? Welche
Chargennummer, Seriennummer mit dabei,
-
hat das ganze ein Verfallsdatum. Die ganzen Sachen,
das heißt diese Nummer. Der zweite Teil
-
mit am laufenden Meter. Je nachdem, wie
viel man in Verkehr bringen möchte, nur
-
herstellt. Wenn man seine UDI registriert
hat, dann hat man tatsächlich, was die
-
Entwicklung angeht, alles durchlaufen und
kann sich dann um die Aufrechterhaltung
-
kümmern. Also das nächste Kapitel, was
dann hier anwendbar ist. Überwachung.
-
Vigilanz und diese Themen.
Aufrechterhaltung bedeutet: Die
-
Zertifikate müssen erneuert werden. Alle
diese Zertifikate haben Ablaufdatum. Auch
-
die Konformitäterklärung hat meines
Wissens ein Ablaufdatum und hier genau
-
doch kann man. Das heißt, es muss
kontinuierliche Bewertungen geben. Es
-
dürfen auch unangekündigte Audits
durchgeführt werden, also sowohl selber
-
als Hersteller. Kann man seine Lieferanten
auditieren als auch die benannten Stellen
-
dürfen den Hersteller auditieren. Und es
gibt ein ganz nettes Video von dem
-
französischen Unternehmen, was in der
Rolle des Herstellers und Zulieferers ist.
-
Und ich hatte, glaube ich, um die 20
Audits in einem Jahr, wo Sie dann
-
angefangen haben. Ja, gut, jetzt kam die
benannte Stelle, jetzt kam irgendeinen
-
Hersteller wo sie Lieferant sind, wo sie
dann genau die gleichen Dokumente aus der
-
Schublade herausgezogen haben und das
Audit dann nochmal so durchgeführt haben.
-
Diese Audits sind auch ein sehr formaler
Prozess. Üblicherweise nimmt man
-
sogenanntes Frontroom, Backroom
Setting, das bedeutet, es gibt einen Raum,
-
wo man mit dem Auditor hingeht, und diesen
Raum verlässt der Auditor die gesamte Zeit
-
nicht. Wenn der irgendwas sehen möchte,
dann fragte er: Was ist die
-
Zweckbestimmung? Gräbt sich dann von da
aus stückchenweise durch. Der Backroom hört
-
per Skype oder wie auch immer Audio,
Schalte, Chat, was weiß denn ich zu und
-
steht on demand an, wenn es ein Papier
basiertes System, das tatsächlich am
-
Drucker, erstellt Kopien, die als solche
gekennzeichnet sind, und bringt die dann
-
ganz brav in den Frontroom, wo man sagt:
Hier lieber Auditor, das hast du
-
angefordert und jetzt guckt mal, ob das
dann passt. In digitalen Systemen ist es
-
dann einfacher. Aber das ist ein ganz
typisches Setting. Dass man diese Bereiche
-
auseinander zieht. Dann gehören eben
solche Prozesse mit ins QM-System. Das
-
heißt, man braucht ein System für
Marktüberwachung, für Änderungswesen, für
-
ständige Verbesserungen oder für CcpAs:
Current Correctiv and Präventive Actions.
-
Und damit bin ich jetzt tatsächlich am
Ende. Das wäre jetzt einmal die gesamte
-
Produktentwicklung mit Aufrechterhaltung
in groben Schritten abgerissen. Ich hab
-
noch einen Podcast, wenn noch Fragen da
sind? Vielen Dank!
-
Applaus
-
Herald: Phil, vielen, vielen Dank! Dann haben
wir jetzt sogar noch Zeit für Fragen. Wir
-
haben ein Saalmikrofon hier aufgebaut, die
eins, zwei, drei. Bitte stellt euch dahin,
-
wenn ihr Fragen habt, und ich nehme euch
einfach dran. Wir haben noch nichts aus
-
dem Internet, da kommt vielleicht noch
was. Aber Micro 2 dann bitte.
-
Mik 2: Hallo. Bei vielen Folien, glaube
ich, könnte man die Überschrift
-
Medizintechnik ersetzen auch durch
Automotive oder Aerospace. Die Themen sind
-
die gleichen, die Normen unterscheiden sich,
haben andere Nummer, unterscheiden Sie
-
sich aber im Wesentlichen die Themen sind
ähnlich, also Qualitätsmanagement,
-
Risikomanagement und so. Gibt es etwas in
der Medizintechnik, was sich deutlich von
-
anderen Bereichen mit kritischen Systemen
abhebt.
-
Phil: Von den Anforderungen her nicht.
Jeder regulierte Bereich hat bestimmte
-
Sachen, die festgelegt werden müssen. Was
in der Medizintechnik das größte Problem
-
ist, ich sage mal, ein Flugzeug ist immer
ähnlich aufgebaut, ein Auto ist immer
-
ähnlich aufgebaut. Die Medizintechnik. Die
ganzen Normen, die es da gibt. Es muss
-
funktionieren von einem Heftpflaster bei
einer Mullbinden, einem Rollstuhl bis hin
-
zu implantierbaren Herzschrittmachern.
Diese Diversität in den Normen abzubilden
-
ist ein Riesenproblem, weil sich im
Endeffekt kein Hersteller da so richtig
-
wiederfindet. Das ist das, was in der
Medizintechnik die größte Herausforderung
-
ist. Alle unter einen Hut zu bekommen.
Aber die Anforderungen sind in jedem
-
regulierten Bereich die gleichen.
Frage: Die Anmerkung: Das Thema, dass
-
Software also als Nachgedanke dann meist
noch hinten dran gemacht wurde und die
-
Normen mit im Hintergrund Hardware
geschrieben wurden. Das ist auch in
-
anderen Bereichen genau der gleiche Fall.
Phil: Ich kenne das aus der Luft und
-
Raumfahrt. Da ändert man lieber fünf
Hardware Geräte außen herum, bevor man die
-
Software anfasst. So schlimm ist es in der
Medizintechnik dann doch nicht.
-
Herald: Dann gehen wir
rüber auf Mikrofon 1 Bitte!
-
Mik 1: Hi, vielen Dank! Das klingt ja
jetzt schon alles sehr, sehr kompliziert.
-
Für mich stellt sich so ein bisschen die Frage:
Was ist denn die Vorschrift? Wann muss ich mein
-
Gerät als mein Produkt als Medizinprodukt
sehen? Wann, wann habe ich als Firma die
-
Vorschrift oder den Anreiz, das zu tun?
Nun zeigt mich auch die Zertifizierung
-
spare ich mir das ja, alles kompliziert?
Phil: Die pragmatische Antwort auf die
-
Frage ist: wenn, das Mitbewerber spitz
bekommen? Wird eine Klage eingereicht. Und
-
was dann passiert ist: Das Ganze landet
vor Gericht, und ein Gutachter erstellt
-
für einen die Zweckbestimmung. Und wenn
das jetzt offensichtlich ist, also bei
-
bestimmten Geräten, kann man es einfach
nicht mehr wegdiskutieren, wenn man sagt:
-
es soll an Patienten angewendet werden,
ist invasiv, steuert Funktionen vom
-
Herzen. Da wird es schwierig. Wenn das
jetzt Borderline Produkte sind, sollte man
-
sich sehr genau Gedanken machen, wo man
sagt: In dieser Definition falle ich
-
garantiert nicht rein. Ansonsten bekommt
man die Zweckbestimmung und in der Regel
-
nicht zu den Gunsten. Aber die
Zweckbestimmung mit den
-
Klassifizierungsregeln am Anfang, wo ich
gezeigt habe, die Definition
-
Medizinprodukt unbedingt durchlesen, da
steht alles Wichtige drin. Da ist auch die
-
Abgrenzung zum Beispiel zu Pharmakologie.
Herald: Dann gehen wir rüber zum
-
Microfon 2.
Mik 2: Ich habe hier im Moment eine Smart
-
Watch um, die hat auch eine EKG drin.
Allerdings ist das in Europa deaktiviert,
-
so wie bei ganz vielen anderen Herstellern.
Wir haben jetzt unseren wohl definierten
-
Prozess gesehen. Da frage ich mich dann:
Warum schaffen große Hersteller wie
-
Samsung oder Apple das eigentlich nicht so
einen Prozess in kurzer Zeit zu
-
durchlaufen, um solche Features
bereitzustellen?
-
Phil: Die Apple Watch ist ein sehr schönes
Beispiel. Die ist mittlerweile in Europa
-
als Medizinprodukt in Verkehr gebracht,
auch nicht die Apple Watch selber. Die
-
hat sich nämlich genau den gleichen Kunstgriff
erlaubt. Die hat zwei Apps als
-
Medizinprodukt deklariert. Das eine ist
die EKG App, was nahezu die identische
-
Zweckbestimmung hat, wie das, was wir hier
gesehen haben. Das andere ist die App. Ich
-
glaube, das war eine Sturzerkennung oder
irgendwie sowas. Und diese beiden Sachen
-
sind Medizinprodukt, mehr nicht. Und auch
für diese beiden Sachen findet man eine
-
Zweckbestimmung. Für diese beiden Sachen
findet man das CE-Zeichen, und wenn man da
-
drauf schaut, findet man exakt das, was
wir gesehen haben, und zwar die Kennummer
-
0123, wo der TüV Süd in diesem
Konformitätbewertungsverfahren mit dabei
-
war. Was wiederum bedeutet: Das sind
mindestens Klasse 2a Medizinprodukte, aber
-
die gesamte Hardware. Da hat sich Apple
gesagt: Das macht keinen Sinn. Die
-
Hardware an sich, also das Hauptziel der
Apple Watch ist nicht Medizinprodukt. Da
-
soll jeder Krethi und Plethi für das Ding
entwickeln können. Das können sie gar
-
nicht kontrollieren und wollen sie auch
gar nicht. Und deswegen haben Sie ja
-
gesagt: Über die beiden Bereiche. Da
behalten wir uns unsere
-
Entscheidungshoheit, und nur wir können da
Änderungen vornehmen. Hat das die Frage
-
beantwortet?
Mik 1: Ja. Eigentlich interessierte mich
-
noch, warum das eigentlich so lange
dauert. Auch die Apple Watch hat ja Monate
-
Startverzögerung gehabt in Europa.
Phil: Das ist richtig. Apple ist in dem
-
Fall ein amerikanisches Unternehmen. Die
haben ihre erste Einreichung bei der FDA
-
gemacht. Da wussten sie genau, was zu tun.
Und eine FDA ist eine Behörde. Die hat sehr
-
strikte Prozesse, an die sie sich selber
halten muss. Da war es leichter, eine
-
Vorhersage zu treffen, wann sie von der
FDA die Clearance bekommen. Bei einer
-
benannten Stelle gibts diese genauen
Vorhersagen nicht. Die haben nur ihre
-
Richtlinien, an denen sie sich orientieren
können. Und wenn der TüV Süd sagt: Ja,
-
gut, schön und recht, was die FDA da
gesagt hat. Aber wir haben bei uns noch
-
eine Norm mehr, die wir als anwendbar
sehen. Erfüllt die bitte oder gibt uns
-
zumindest Nachweisdokumente, dass ihr
die erfüllt habt. Dann müssen die
-
nachliefern. Und die FDA ist nicht so
stark Normen getrieben. Die sind mehr
-
Gesetzesgetrieben. Und das ist meine
Vermutung, warum Apple da länger gebraucht
-
hat: Weil sie mit einem ganz anderen
Mindset an die Sache herangehen. Weil sie
-
amerikanisch sind, weil sie einen anderen
Blick auf die Welt haben. Aber ich war
-
nicht dabei, ist nur eine Mutmaßung.
Herald: Super, dann schauen wir mal rüber
-
Internet.
Signal-Engel: Eine kurze Frage aus dem
-
Internet: Kosten diese unabhängigen Audits
durch die benannte Stelle auch Geld?
-
Phil: Es ist so, genau, der Hersteller
sucht sich eine benannte Stelle, also
-
Dekra oder wen auch immer. Ich finde, wenn
wir hier von Europa Stellen haltende,
-
benannte Stelle aus dem europäischen Raum
und Zahl dieser benannten Stelle Geld, und
-
die führt dann das Audit durch. Das ist
ein bisschen ein Interessenkonflikt, aber
-
die benannten Stellen legen sehr hohen
Wert darauf zu sagen: Wir bekommen zwar
-
von den Herstellern das Geld, aber können
auf dem Papier beweisen, dass wir uns
-
soweit neutral verhalten haben und nicht
einfach irgendwelchen Scheiss
-
durchgewunken. Da ist
Brustimplantateskandal, TüV Rheinland mal
-
in die Kritik geraten. Aber die konnten
dann auch zeigen: Wir haben hier alles in
-
unserer Macht stehende getan, aber gegen
kriminelle Handlungen, da können wir uns
-
auch nicht schützen.
Herald: Und rüber zur 1 Bitte.
-
Mik 1: Bei der Medizinproduktentwicklung
entfällt oder entsteht sehr viel
-
Dokumentation. Gibt es eine Möglichkeit
für den Patienten, für den Nutzer der
-
Medizinprodukte an diese
Dokumentation, an die
-
technische Dokumentation
ranzukommen,
-
beispielsweise über das
demdie?
-
Phil: Nein, besteht nicht. Wir befinden
uns gerade in einer Änderung von Gesetzen.
-
Im Moment, das habe ich jetzt still
heimlich verschwiegen. Wir haben noch ein
-
altes Gesetz Die MDD gilt noch bis Mai
nächsten Jahres. Danach gilt die MDR, und
-
mit der MDR wird eine europäische
Datenbank eingeführt. Die ist nicht
-
komplett öffentlich, aber halb öffentlich.
Man kann bestimmte Sachen einsehen, aber
-
die Hersteller sagen: Das ist unser
Geschäftsgeheimnis. Das ist das, was
-
unsere Kernkompetenz ausmacht. Wir können
nicht unsere technische Dokumentation
-
rausgeben. Per Gesetzt ist vorgeschrieben,
dass bestimmte Sachen in der
-
Gebrauchsanweisung drin stehen müssen,
dass bestimmte Sachen angegeben müssen
-
sein müssen die UDI und die ganzen
Kennzeichnungen. Das ist genau
-
vorgeschrieben. Aber an die technische
Dokumentation wird man nicht hinkommen.
-
Man kann das sogar noch weiter treiben,
indem man einen Freedom of Information Act
-
an die FDA stellt, um so an die technische
Dokumentation hinzukommen. Aber auch da
-
sagt die FDA: Wenn wir das einmal machen,
kommt niemand mehr zu uns. Also nein. An
-
die technische Doku kommt man nicht hin,
an die Begleitdokumente, die für den
-
Endnutzer bestimmt sind, auf die man,
an die auf jeden Fall.
-
Herald: Dann gehen wir rüber auf die 2.
Mik 2: Vielen Dank für den Vortrag. Ich
-
habe in der Radiologie jetzt sehr oft
beobachtet, dass es kleine Firmen gibt,
-
die die Bilder, die aus dem CT oder MRT
kommen, mit irgendwelchen Algorithmen
-
belegen, irgendwelche neuen Bilder
generieren oder irgendwelche Analysen
-
machen und dann hinterher sagen: Ja, aber
wir sind kein Medizinprodukt. Wir machen
-
das nur im Endeffekt für die Wissenschaft,
was wir hier machen. Und wenn du das
-
klinisch einsetzt, lieber Arzt, dann
machst du das selber und du triffst ja die
-
Entscheidung über das, was du mit deinem
originären Bild einmal da gemacht hast.
-
Ist das in irgendeiner Art oder Weise
legitim? Ist das machbar für so kleine
-
Open-Source-Projekte, die etwas mit
Bildern machen möchten?
-
Phil: Das ist ein Graubereich, wenn der
Hersteller sagt, dass es nur für klinische
-
Forschung, dass es nur um mal irgendwas zu
testen. Und man das dann für etwas anderes
-
einsetzt, schiebt der Hersteller die
Verantwortung an den Betreiber. Wenn das
-
jetzt in größerem Rahmen passiert, wird
eine benannte Stelle oder eine
-
Landesbehörde oder eine europäische
Behörde, die ihm irgendwann Einhalt
-
gebieten. Und dann passiert genau das. Das
kommt vor Gericht, und dann wird ein
-
Gutachter Zweckbestimmungen erstellen. Das
andere ist: Es gibt auch Softwaresysteme
-
zum Beispiel gerade in der Radiologie, die
eine Bestrahlungensplanung machen. Da
-
greift dieses Mittel nicht mehr. Wenn das
ein Hersteller machen würde, der sagt: na
-
gut, irgendein Betreiber hat jetzt
Bestrahlungsgerät, nimmt sich von einem
-
kleinen Unternehmen eine Software für eine
Bestrahlungensplanung, wo halt man genau
-
schaut, wo soll da jetzt durchgeschossen
werden? Das wird nicht mehr funktionieren.
-
Bei so anderen Grenzfällen möglich. Ob das
auf Dauer funktioniert? Dass halt man
-
tatsächlich die Frage.
Herald: Da gehen wir rüber auf die Eins.
-
Mik 1: Vielen Dank! Da schließt sich meine
Frage direkt ein bisschen an: Wie wird die
-
Einhaltung dieser Norm denn enforced? Das
heißt, wenn jetzt Ärzte den card10
-
verwenden an Patienten, um damit irgendwas
zu überwachen, oder irgendwelche Flower-
-
Power Enterprises irgendwelche Produkte
liefern, die von Krankenhäusern, weil es
-
billiger ist, verwendet würde, wer würde
das wann, wo, wie feststellen, und was
-
würde dagegen unternommen? Man kann ja
nichts dagegen tun, wenn man den card10
-
quasi als Medizinprodukt einsetzt. Wie
würde dagegen vorgegangen, und wer hätte
-
dann was zu befürchten?
Phil: Der einfachste Weg ist, den Weg über
-
die BfArM zu wählen. Das BfArM ist das
Bundesinstitut für Arzneimittel und
-
Medizinprodukte. Dort können solche
Vorkommnisse gemeldet werden, und die
-
kümmern sich dann sehr schnell um solche
Sachen. Klar, auch die haben manchmal sehr
-
viel zu tun. Aber das ist die erste
Anlaufstelle für sowas.
-
Mik 1: Aber wer würde denn jetzt belangt?
Wenn ein Arzt card10 einsetzt als
-
Medizinprodukt, obwohl es keins ist? Wird
dann jemand die Zweckbestimmung für das
-
card10 feststellen und card10 hätte ein
Problem, oder hätte der Arzt ein Problem?
-
Phil: Das muss ein Gutachter feststellen.
Das ist dann das, was vor Gericht
-
passiert. Wenn in der Zweckbestimmung
rauskommt, die Leute haben alles richtig
-
gemacht. Das ist kein Medizinprodukt. Das
kann keine Erkennung von irgendwas
-
stattfinden, was meiner Ansicht nach im
Moment der Fall ist. Dann wird der Arzt
-
oder der Betreiber in dem Fall dafür
haftbar gemacht, weil er irgendwas
-
eingesetzt hat, was nicht für die Umgebung
gemacht ist. Wenn in der Zweckbestimmung
-
herauskommt durch diesen Gutachter.
Moment, man kann ja hier bestimmte,
-
bestimmte Arten von Herzerkrankungen
feststellen. Das Gerät sagt einem ja sehr
-
genau. Oder alarmiert sogar sehr genau,
wann was passiert. Dann ist der Hersteller
-
mit dabei. Das passiert alles in der
card10 nicht, aber es dreht sich dann
-
immer um die Zweckbestimmung, die
formuliert wird. Und da müsste man jetzt
-
Kristallkugel raten, was tatsächlich vom
Gutachter geschrieben wird.
-
Herald: Haben wir aus dem Internet? Dann
machen wir mal direkt weiter mit Mikrofon.
-
1 bitte!
Mik 1: Wenn ich sie richtig verstanden
-
habe, dann hat Apple argumentiert, dass
die Apple Watch primär andere Ansatzzwecke
-
hat, als irgendwelche Lebenswerte zu
messen. Ich kenne das Produkt card10
-
nicht. Aber hat die Hardware denn
irgendwelche anderen Einsatzzwecke als
-
diese medizinischen? Wie haben Sie sich da
raus geredet? Weil sich das irgendwie aus
-
diesem Vortrag alleine so anhört, als wäre
das wirklich primär für medizinische
-
Zwecke da.
Phil: Gut, ich habe jetzt den Medizinzweck
-
natürlich hervorgehoben, weil das ein
Bereich, in dem ich mich sehr gut
-
auskenne. Die card10 an sich kann neben
vielen tausend anderen Sachen auch ein EKG
-
ableiten. Kann das aber mehr schlecht als
recht darstellen. Schneider. Es tut mir
-
leid, aber. Das Ding kann, kann oder soll
für so viel mehr eingesetzt werden als für
-
das EKG, wo ich jetzt einfach mal
behaupte, die Leute sollen dafür Software
-
schreiben. Es soll einfach zugänglich
sein. Es soll sich mit anderen card10s
-
irgendwie vernetzen können. Man soll auf
dem Display hübsche Sachen darstellen
-
können. Man soll einstellen können, ob ich
jetzt gerade mit anderen reden möchte oder
-
ob ich eigentlich gerade keinen Bock hab.
Und das sind so die hauptsächlich gute
-
Dinge.
Herald: Blinken tut das Ding, das darfst
-
nicht vergessen!
Phil: Ganz wild, stimmt. Und das wäre
-
jetzt mein Ansatzpunkt, wo ich sag: Ja,
das EKG ist halt auch mit dabei. Aber es
-
ist halt eine nette Spielerei. Aber das
ist nicht das, was die card10 an sich
-
ausmachen soll.
Mik 1: Weil ich dann geglaubt habe, dass
-
es wirklich nur für diesen einen Zweck
eigentlich gebrauchbar ist, dann haben Sie
-
das beantwortet. Danke.
Herald: Direckt weiter mit Mikrofon. 1,
-
bitte.
Mik 1: Guten Abend! Ich hätte zwei
-
kleinere Fragen. Das erste: Könnte es
passieren, dass so etwas wie Google
-
Scholar oder Papp Mails, was Ärzte im
Alltag häufig benutzen, um Entscheidungen
-
zu treffen für ihre Patienten auch unter
das Medizinprodukte Gesetz fallen könnte.
-
Und zweitens die Abgrenzung zum Kategorie 3
scheint mir zu sein, wenn man eine
-
potenziell lebensbedrohliche oder sehr,
sehr gefährliche Entscheidung in einer
-
Software beispielsweise herbeiführen
würde. In der Medizin ist es jetzt aber
-
auch so, dass Patienten ganz leicht
Allergien auf Medikamente entwickeln
-
können, die auch ganz alltäglich sind und
damit an Penicillin beispielsweise sterben
-
könnten. Inwiefern wird darauf Rücksicht
genommen? Ich sage nur Banalitäten, in der
-
Medizin ganz einfach verheerende Folgen
haben können und das dann dazu führt, dass
-
ich ein kleines Produkt letztendlich so
ausbauen muss wie den Roboter, der mir
-
mein Herz automatisch transplantiert.
Phil: Die zweite Frage kann ich recht
-
leicht beantworten. Das richtet sich an
die Klassifizierungsregeln. Ich habe jetzt
-
nur die Regel 10 an den Beamer geworfen.
Man muss für das Produkt, was man hat, die
-
Funktionen kennen, die Zweckbestimmung
haben und kann dann genau durch diese
-
Regeln systematisch durchgehen. Dort wird
exakt erklärt: Wenn ich ein Produkt habe,
-
was bestimmte, bestimmte Features hat,
wenn es eine gewisse Invasivität hat, dann
-
lande ich in diesen ganzen Kategorien.
Alle Regeln hier aufzuzeigen ist relativ
-
mühselig, und das macht es ein bisschen
schwierig. Bei der ersten Frage müssen wir
-
uns, glaub ich, mal persönlich
zusammensetzen. Die Google? Was war das?
-
Scola?
Frage: Ja, Google Scola und pub mate oder
-
uptodate. Da gibts ja viele Plattformen,
wo Ärzte fündig werden.
-
Phil: Da weiß ich jetzt tatsächlich gar
nicht, was die machen. Da kann ich jetzt,
-
kann ich jetzt gar nicht so viel dazu
sagen. Das tut mir leid.
-
Herald: So, wir haben keine Zeit mehr und
auch keine Fragen. Phil, du bist erlöst.
-
Vielen, vielen Dank. Das ist noch mal dein
Applaus.
-
Phil: Danke schön.
-
Applaus
-
36c3 Abspannmusik
-
Untertitel erstellt von c3subtitles.de
im Jahr 2020. Mach mit und hilf uns!
