Die Nichteinhaltung von Vorschriften kann Anbietern von Medizinprodukten im Falle eines Produktrückrufs oder einer Untersuchung Millionen an Geldbußen und Gebühren kosten. Um die Vorschriften einzuhalten, müssen Anbieter von Medizinprodukten neben der Dokumentation über Entwicklung und Produktion auch Aufzeichnungen über die Produkthistorie (DHR) führen, wie sie beispielsweise in ISO 13485 definiert sind.
Zum Zwecke der Rückverfolgbarkeit müssen die Hersteller von Medizinprodukten Fragen zur Verwendung der Produkte bereitwillig beantworten. Wenn sie diese Fragen unverzüglich beantworten können (der US Code of Federal Regulations, 21 CFR 821, schreibt beispielsweise 10 Tage vor), werden sie hoffentlich Strafmaßnahmen der Behörden vermeiden. Sie müssen die folgenden Fragen beantworten:
- WELCHE Version von wird/ wurde verwendet?
- WANN wurde die Version installiert, und wann wird/wurde sie verwendet?
Wenn ein Unternehmen diese Fragen nicht innerhalb des vorgeschriebenen Zeitrahmens beantworten kann, wird es wahrscheinlich als nicht konform eingestuft.
Es gibt jedoch eine gute Nachricht, wenn das Medizinprodukt softwaregesteuert ist: Ein Software-Entitlement-Management-System (EMS) kann verwendet werden, um die Daten darüber zurückzuverfolgen, welche Version und wann sie verwendet wurde, und somit eine wichtige Rolle bei der Bereitstellung der erforderlichen Informationen für den Device History Record spielen.
Fallstudie
Ein langjähriger öffentlicher europäischer Hersteller von medizinischen Geräten begann mit dem Verkauf seiner Geräte mit eingebetteter Software, hatte aber keine Möglichkeit, die gesamte Historie zu verfolgen. Dann kam es leider zu einem Produktrückruf. Das hat Ärger für dieses Unternehmen bedeutet. Mit einem unvollständigen DHR waren sie nicht in der Lage, die Nutzer zu erreichen und sie über den Rückruf zu informieren.
Die Folge: 800 Mio. US-Dollar an Bußgeldern und Gebühren für die Compliance-Untersuchung und die Auszahlung von Entschädigungen. Das Unternehmen wusste nicht einmal, ob einige der Geräte noch aktiv im Einsatz waren. Hätte das Unternehmen einen Mechanismus zur Aufzeichnung der Daten gehabt, hätte es keine Einbußen in Höhe von 800 Millionen Dollar hinnehmen müssen. Heute nutzen sie ihr jetzt eingeführtes Thales Sentinel Entitlement Management System, um einen solchen Verlust in Zukunft zu vermeiden.
Wie ein Berechtigungsmanagementsystem die Einhaltung der MedTech-Vorschriften unterstützt
Ein Entitlement Management System (EMS) wird zur Bereitstellung von Lizenzen und zur Vergabe von Berechtigungen für Funktionen und Fähigkeiten verwendet. Für Anbieter von MedTech-Gerätesoftware kann ein UMS auf folgende Weise dazu beitragen, Strafen für die Nichteinhaltung von Vorschriften zu vermeiden:
1. Verschlüsselung
Eine bewährte Lizenzierungs- und Berechtigungsplattform bietet kryptografisch sichere, fälschungssichere Lizenzschlüssel, die ein böswilliges Hacken des Medizinprodukts und seiner Software verhindern. Dies trägt dazu bei, genau das vom Hersteller erwartete Verhalten des Geräts durchzusetzen.
2. Prüfpfade für die Wartung
Ein EMS erstellt einen detaillierten Prüfpfad über Benutzerrollen und zeichnet auf, wer wann auf Informationen zugegriffen oder sie geändert hat. Diese Daten sind für Ermittlungen im Falle eines mutmaßlichen Verstoßes von entscheidender Bedeutung und stellen einen verantwortungsvollen Weg dar, den Aufsichtsbehörden gegenüber die Einhaltung der Vorschriften nachzuweisen.
3. Produktkatalogisierung
MedTech-Unternehmen müssen Informationen über die Architektur der Geräte erfassen, wie z. B. Hardware oder elektrische Komponenten, Baugruppen, die Art der Gummischläuche und so weiter. Sollte ein Rückruf oder eine Nachbesserung erforderlich sein, können problematische Produkte und Geräte durch eindeutige Gerätekennungen (Unique Device Identifiers, UDI) identifiziert werden, die sowohl von der Medizinprodukteverordnung der Europäischen Union (MDR) als auch von der US-amerikanischen FDA gefordert werden, die auch Datenbanken für diese UDIs bereitstellen. Durch den Verweis auf die UDI der Geräte aus den EMS-Ansprüchen oder dem Produktkatalog können die betreffenden Geräte schnell identifiziert, die Benutzer benachrichtigt und für CAPA (Korrektur- oder Vorbeugungsmaßnahmen) markiert werden.
4. Erzwingen von Compliance-spezifischen Funktionen
Ein UMS kann auch so konfiguriert werden, dass der Zugang zu Funktionen, die gegen Vorschriften verstoßen könnten, eingeschränkt wird. Beispielsweise kann ein EMS in Kombination mit einem Softwarelizenzierungssystem den Zugriff auf Funktionen für Marketing oder die gemeinsame Nutzung von Daten, die nicht den Vorschriften entsprechen, einschränken oder Funktionen nach Standort verwalten, um die Vorschriften nach Region einzuhalten.
5. Versionskontrolle und Aktualisierungen zur Einhaltung von Vorschriften
Ein EMS kann problemlos verschiedene Softwareversionen verwalten und sicherstellen, dass autorisierte Benutzer nur auf konforme Versionen zugreifen. Dies ist vor allem dann hilfreich, wenn Aktualisierungen vorgenommen werden, um Sicherheitslücken zu schließen oder um Änderungen zu berücksichtigen, die durch sich entwickelnde Vorschriften erforderlich sind.
Zusammenfassung
Ein Berechtigungsmanagementsystem ist ein leistungsfähiges Instrument für die Einhaltung der Vorschriften für MedTech-Geräte. Sie ermöglicht es Softwareanbietern, den Zugang und die Funktionen proaktiv zu verwalten und die Möglichkeit empfindlicher finanzieller Strafen für die Nichteinhaltung von Vorschriften und die daraus resultierende Schädigung des Markenrufs zu verringern. Zusammenfassend lässt sich sagen, dass die Wahl des richtigen UMS dazu beitragen kann, das Risiko der Nichteinhaltung von Vorschriften für Anbieter von Medizinproduktesoftware zu verringern.
