Neuregelung der EU-Richtlinie für Medizinprodukte verpflichtet nun auch Softwareentwickler zur lückenlosen Dokumentation
Am 29.03.2007 hat das Europäische Parlament die Änderung der EU- Richtlinie 93/42/EWG über Medizinprodukte beschlossen. Den neuen Vorgaben entsprechend zählt auch „vom Hersteller speziell zur Anwendung für diagnostische und/oder therapeutische Zwecke bestimmte und für ein einwandfreies Funktionieren des Medizinprodukts eingesetzte Software“ zu Medizinprodukten. Damit müssen auch Entwickler künftig nachweisen, dass sie die in der Richtlinie enthaltenen grundlegenden Gesundheits- und Sicherheitsanforderungen eingehalten haben. Die Anforderungen an Dokumentation und Variantenmanagement steigen.
Die Entscheidung, ob eine Software ein Medizinprodukt ist und damit den Bestimmungen der EU-Richtlinie über Medizinprodukte unterliegt, blieb bislang zu großen Teilen den Softwareherstellern überlassen. Diesen Spielraum soll die geplante Neufassung der Richtlinie 93/42/EWG, die in Deutschland über das Medizinproduktegesetzt umgesetzt wird, erheblich eingrenzen. So hält das Europäische Parlament in einer Stellungnahme fest: „Es ist eine Klarstellung erforderlich, dass Software als solche, wenn sie spezifisch vom Hersteller für einen oder mehrere der in der Definition von Medizinprodukt genannten medizinischen Zwecke bestimmt ist, ein Medizinprodukt ist.“ Und weiter: „Berücksichtigt man die zunehmende Bedeutung von Software für Medizinprodukte - entweder als eigenständiges Element oder als Bestandteil eines Medizinprodukts - sollte auch die Validierung von Software in Übereinstimmung mit dem Stand der Technik zu den grundlegenden Anforderungen gehören.“
Die Übergangsfrist für die Umsetzung der Änderungen in den EU-Mitgliedsstaaten beträgt 15 Monate, das heißt, bis zum 29. Juni 2008 müssen die entsprechenden Gesetze an die Änderungen angepasst werden. In Deutschland betrifft dies neben dem Medizinproduktegesetz unter anderem die Medizinprodukteverordnung, die Medizinprodukte-Betreiberverordnung und die Medizinprodukte - Sicherheitsplanverordnung.
Für die verschiedenen Anwendungsbereiche der Richtlinie werden unterschiedliche Übergangsregelungen gelten, so dass Hersteller von Medizingeräten Zeit haben, sich auf die neuen Maßgaben einzustellen. Je eher dies geschieht, um so besser die Chancen, konkurrenzfähig zu bleiben und sich im Wettbewerb durchzusetzen. „Gerade kleineren Betrieben entstehen Probleme dabei, die Anforderungen an medizinische Software zu erfüllen“, schätzt Ingenieur Florian Eisenberger, unabhängiger Berater und Spezialist für das Qualitätsmanagement in Medizintechnologieunternehmen. Ganz anders die Branchenführer: „Etablierte Hersteller wie Siemens Medical oder TomTec Imaging Systems haben ihre Produkte und Prozesse ohnehin meist einem Qualitätsmanagementverfahren unterzogen. Die Möglichkeit, Software entsprechend der Richtlinie 93/42/EWG zertifizieren zu lassen, besteht ja schon seit vier Jahren.“ Eisenberger zweifelt deshalb daran, dass die EU durch die Neufassung ihrem Ziel, mehr Klarheit über die Zuordnung von Software zu schaffen, viel näher gerückt ist. „Die Gretchenfrage bleibt jene nach der Klassifikation von Software. Zwar wird Software jetzt im Text der Richtlinie ausdrücklich erwähnt, ob sie jedoch – wie es in der Direktive heißt zur medizinischen Anwendung für Menschen bestimmt’ ist, also als Medizinprodukt gelten kann, ist nach wie vor verschieden auslegbar.“
Entsprechend ihrem Gefährdungspotenzial werden Medizinprodukte in die Klassen I, IIa, IIb und III eingestuft. Je nach Einstufung kommen unterschiedliche Verfahren der Konformitätsbewertung zur Anwendung: Reicht im einfachsten Fall eine Erklärung des Herstellers darüber aus, dass das Produkt den einschlägigen Bestimmungen der Richtlinie entspricht, müssen ab Klasse IIa zusätzlich entweder Produkt oder Produktion einer Qualitätssicherung unterzogen werden bzw. muss ein vollständiges QM-System implementiert sein. Damit kommt in Bezug auf die Dokumentationspflicht ein erheblicher Mehraufwand auf Hersteller zu, die noch nicht zertifiziert sind.
Besonders relevant für die Sicherheit der Produkte ist das Management der unterschiedliches Produkt-Releases- und Adaptionen. Hier kam es in der Vergangenheit schon zu schweren Unfällen: So führten nachträgliche Anpassungen und Korrekturen an der Software des Bestrahlungsgerätes Therac-25 zu teils lethalen Verstrahlungen der Patienten. Diese sollten sich eigentlich einer Krebs-Therapie unterziehen. Selbst nachdem der Fehler festgestellt worden war, resultierte die Kombination aus mangelnder Dokumentation der Software, der Unfähigkeit des kanadischen Herstellers AECL, Auftreten und Art der Fehler zu rekonstruieren, sowie dem Fehlen jeglicher Managementprozesse zum Umgang mit solchen Vorfällen noch zwei Jahre später in schweren Unfällen mit teils tödlichem Ausgang.
„Das Beispiel zeigt wie wichtig eine transparente Dokumentation und festgelegte Handlungsroutinen für das Sicherheitsmanagement sind“, sagt Dirk Assmann-Staudt, selbst Informatiker und IT-Berater. Im Auftrag des Softwareentwicklers newTrust betreut er Unternehmen bei der Einführung von Anwendungen für das Variantenmanagement. Seine Erfahrung: „In kleineren Unternehmen, die viel Zeit und Arbeit in ihre Produkte und wenig in bürokratische Abläufe investieren, spielen Dokumentationen von Releases und Updates meist eine untergeordnete Rolle. Viele Chefs verlassen sich darauf, dass ihre Mitarbeiter den Produktlebenszyklus der verschiedenen Entwicklungen aus dem Gedächtnis nachvollziehen können.“ – Höchst bedenklich bei einem so komplexen und sicherheitsrelevanten Produkt wie Medizingerätesoftware.
Assmann-Staudt begrüßt es deswegen, dass die Neuregelung der EU-Medizinprodukterichtlinie Interpretationsspielräume schließt. „Ohne gesetzliche Vorgaben sind nur wenige Unternehmen bereit, Geld und Arbeitsaufwand in die Dokumentation zu investieren. Das ist vor allem bei abteilungsübergreifenden Themen wie dem Varianten- und Releasemanagement zu beobachten. Dabei spielen eine übersichtliche Dokumentation und der schnelle Zugriff auf Informationen die wichtigste Rolle beim Product Lifecycle Management von Medizinprodukten. Es muss sichergestellt werden, dass Valididierungsprozesse, Freigaben und Änderungen von Software ohne langes Suchen nachvollziehbar bleiben. Hier besteht ein großer Nachholbedarf. Wir müssen weg von Excel-Tabellen und Behelfs-Datenbanken.“
Existiert kein transparentes Variantenmanagementsystem, fällt es Mitarbeitern aus Entwicklung, Vertrieb und Kundenservice schwer, den Überblick über Produktvarianten, Funktionalitäten und Updates zu behalten. „Im Garantiefall muss der Hersteller nachweisen können, dass er sich bei Entwicklung und Produktion an gesetzliche Vorschriften gehalten hat“, so Dirk Assmann-Staudt. „Das fällt ihm mit einem gut geführten Variantenmanagementsystem deutlich leichter.“
Am 29.03.2007 hat das Europäische Parlament die Änderung der EU- Richtlinie 93/42/EWG über Medizinprodukte beschlossen. Den neuen Vorgaben entsprechend zählt auch „vom Hersteller speziell zur Anwendung für diagnostische und/oder therapeutische Zwecke bestimmte und für ein einwandfreies Funktionieren des Medizinprodukts eingesetzte Software“ zu Medizinprodukten. Damit müssen auch Entwickler künftig nachweisen, dass sie die in der Richtlinie enthaltenen grundlegenden Gesundheits- und Sicherheitsanforderungen eingehalten haben. Die Anforderungen an Dokumentation und Variantenmanagement steigen.
Die Entscheidung, ob eine Software ein Medizinprodukt ist und damit den Bestimmungen der EU-Richtlinie über Medizinprodukte unterliegt, blieb bislang zu großen Teilen den Softwareherstellern überlassen. Diesen Spielraum soll die geplante Neufassung der Richtlinie 93/42/EWG, die in Deutschland über das Medizinproduktegesetzt umgesetzt wird, erheblich eingrenzen. So hält das Europäische Parlament in einer Stellungnahme fest: „Es ist eine Klarstellung erforderlich, dass Software als solche, wenn sie spezifisch vom Hersteller für einen oder mehrere der in der Definition von Medizinprodukt genannten medizinischen Zwecke bestimmt ist, ein Medizinprodukt ist.“ Und weiter: „Berücksichtigt man die zunehmende Bedeutung von Software für Medizinprodukte - entweder als eigenständiges Element oder als Bestandteil eines Medizinprodukts - sollte auch die Validierung von Software in Übereinstimmung mit dem Stand der Technik zu den grundlegenden Anforderungen gehören.“
Die Übergangsfrist für die Umsetzung der Änderungen in den EU-Mitgliedsstaaten beträgt 15 Monate, das heißt, bis zum 29. Juni 2008 müssen die entsprechenden Gesetze an die Änderungen angepasst werden. In Deutschland betrifft dies neben dem Medizinproduktegesetz unter anderem die Medizinprodukteverordnung, die Medizinprodukte-Betreiberverordnung und die Medizinprodukte - Sicherheitsplanverordnung.
Für die verschiedenen Anwendungsbereiche der Richtlinie werden unterschiedliche Übergangsregelungen gelten, so dass Hersteller von Medizingeräten Zeit haben, sich auf die neuen Maßgaben einzustellen. Je eher dies geschieht, um so besser die Chancen, konkurrenzfähig zu bleiben und sich im Wettbewerb durchzusetzen. „Gerade kleineren Betrieben entstehen Probleme dabei, die Anforderungen an medizinische Software zu erfüllen“, schätzt Ingenieur Florian Eisenberger, unabhängiger Berater und Spezialist für das Qualitätsmanagement in Medizintechnologieunternehmen. Ganz anders die Branchenführer: „Etablierte Hersteller wie Siemens Medical oder TomTec Imaging Systems haben ihre Produkte und Prozesse ohnehin meist einem Qualitätsmanagementverfahren unterzogen. Die Möglichkeit, Software entsprechend der Richtlinie 93/42/EWG zertifizieren zu lassen, besteht ja schon seit vier Jahren.“ Eisenberger zweifelt deshalb daran, dass die EU durch die Neufassung ihrem Ziel, mehr Klarheit über die Zuordnung von Software zu schaffen, viel näher gerückt ist. „Die Gretchenfrage bleibt jene nach der Klassifikation von Software. Zwar wird Software jetzt im Text der Richtlinie ausdrücklich erwähnt, ob sie jedoch – wie es in der Direktive heißt zur medizinischen Anwendung für Menschen bestimmt’ ist, also als Medizinprodukt gelten kann, ist nach wie vor verschieden auslegbar.“
Entsprechend ihrem Gefährdungspotenzial werden Medizinprodukte in die Klassen I, IIa, IIb und III eingestuft. Je nach Einstufung kommen unterschiedliche Verfahren der Konformitätsbewertung zur Anwendung: Reicht im einfachsten Fall eine Erklärung des Herstellers darüber aus, dass das Produkt den einschlägigen Bestimmungen der Richtlinie entspricht, müssen ab Klasse IIa zusätzlich entweder Produkt oder Produktion einer Qualitätssicherung unterzogen werden bzw. muss ein vollständiges QM-System implementiert sein. Damit kommt in Bezug auf die Dokumentationspflicht ein erheblicher Mehraufwand auf Hersteller zu, die noch nicht zertifiziert sind.
Besonders relevant für die Sicherheit der Produkte ist das Management der unterschiedliches Produkt-Releases- und Adaptionen. Hier kam es in der Vergangenheit schon zu schweren Unfällen: So führten nachträgliche Anpassungen und Korrekturen an der Software des Bestrahlungsgerätes Therac-25 zu teils lethalen Verstrahlungen der Patienten. Diese sollten sich eigentlich einer Krebs-Therapie unterziehen. Selbst nachdem der Fehler festgestellt worden war, resultierte die Kombination aus mangelnder Dokumentation der Software, der Unfähigkeit des kanadischen Herstellers AECL, Auftreten und Art der Fehler zu rekonstruieren, sowie dem Fehlen jeglicher Managementprozesse zum Umgang mit solchen Vorfällen noch zwei Jahre später in schweren Unfällen mit teils tödlichem Ausgang.
„Das Beispiel zeigt wie wichtig eine transparente Dokumentation und festgelegte Handlungsroutinen für das Sicherheitsmanagement sind“, sagt Dirk Assmann-Staudt, selbst Informatiker und IT-Berater. Im Auftrag des Softwareentwicklers newTrust betreut er Unternehmen bei der Einführung von Anwendungen für das Variantenmanagement. Seine Erfahrung: „In kleineren Unternehmen, die viel Zeit und Arbeit in ihre Produkte und wenig in bürokratische Abläufe investieren, spielen Dokumentationen von Releases und Updates meist eine untergeordnete Rolle. Viele Chefs verlassen sich darauf, dass ihre Mitarbeiter den Produktlebenszyklus der verschiedenen Entwicklungen aus dem Gedächtnis nachvollziehen können.“ – Höchst bedenklich bei einem so komplexen und sicherheitsrelevanten Produkt wie Medizingerätesoftware.
Assmann-Staudt begrüßt es deswegen, dass die Neuregelung der EU-Medizinprodukterichtlinie Interpretationsspielräume schließt. „Ohne gesetzliche Vorgaben sind nur wenige Unternehmen bereit, Geld und Arbeitsaufwand in die Dokumentation zu investieren. Das ist vor allem bei abteilungsübergreifenden Themen wie dem Varianten- und Releasemanagement zu beobachten. Dabei spielen eine übersichtliche Dokumentation und der schnelle Zugriff auf Informationen die wichtigste Rolle beim Product Lifecycle Management von Medizinprodukten. Es muss sichergestellt werden, dass Valididierungsprozesse, Freigaben und Änderungen von Software ohne langes Suchen nachvollziehbar bleiben. Hier besteht ein großer Nachholbedarf. Wir müssen weg von Excel-Tabellen und Behelfs-Datenbanken.“
Existiert kein transparentes Variantenmanagementsystem, fällt es Mitarbeitern aus Entwicklung, Vertrieb und Kundenservice schwer, den Überblick über Produktvarianten, Funktionalitäten und Updates zu behalten. „Im Garantiefall muss der Hersteller nachweisen können, dass er sich bei Entwicklung und Produktion an gesetzliche Vorschriften gehalten hat“, so Dirk Assmann-Staudt. „Das fällt ihm mit einem gut geführten Variantenmanagementsystem deutlich leichter.“
