La non conformità normativa può costare alle aziende del settore dei dispositivi medici milioni di euro in multe e costi logistici per il ritiro del prodotto o spese legate alle indagini. In particolare, per mantenere la conformità alle normative, le aziende produttrici di dispositivi medici devono conservare i registri della storia del dispositivo (DHR - Device History Record), in particolare per quanto riguarda standard come la norma ISO 13485, insieme alla documentazione relativa allo sviluppo e alla produzione.
Ai fini della tracciabilità, i fornitori di dispositivi medici sono tenuti a rispondere prontamente alle domande relative all'utilizzo del dispositivo. Se sono in grado di rispondere a queste domande con immediatezza (ad esempio, il Codice dei regolamenti federali degli Stati Uniti, 21 CFR 821, richiede 10 giorni), si spera che evitino misure punitive da parte delle autorità. Devono rispondere a quanto segue:
- QUALE versione del software è interessato?
- QUANDO è stata installata la versione e quando la usano?
Se un'azienda non è in grado di rispondere a queste domande entro i tempi richiesti, sarà probabilmente considerata non conforme.
Tuttavia, ci sono buone notizie se il dispositivo medico è basato sul software: Un sistema di gestione dei diritti del software (EMS) può essere utilizzato per tracciare i dati relativi alla versione e al momento in cui è stato utilizzato, e quindi svolgere un ruolo significativo nel fornire le informazioni necessarie per il Device History Record (DHR).
Caso di studio
Un produttore pubblico europeo di dispositivi medici di lunga data ha iniziato a vendere i propri dispositivi con software incorporato, ma non disponeva di un mezzo per tracciarne la storia completa. Poi è arrivata la sfortunata necessità di richiamare il prodotto. Questo ha comportato problemi per l'azienda. Con un DHR incompleto, non è stato possibile raggiungere gli utenti e avvisarli del richiamo.
La conseguenza: 800 milioni di dollari in multe, commissioni per le indagini di conformità e risarcimenti. L'azienda non sapeva nemmeno se alcuni dei dispositivi fossero ancora attivamente in uso. Se avesse avuto a disposizione un meccanismo di registrazione, avrebbe evitato il colpo finanziario da 800 milioni di dollari. Oggi, per evitare una simile perdita in futuro, utilizza il sistema di gestione dei diritti d'uso Thales Sentinel, ormai implementato.
In che modo un sistema di gestione dei diritti di proprietà del software aiuta la conformità nel settore MedTech
Un Entitlement Management System (EMS) viene utilizzato per fornire le licenze e abilitare funzionalità e capacità. I modi in cui un sistema di gestione dei diritti può aiutare a evitare multe per non conformità nel settore MedTech sono i seguenti:
1. Crittografia
Una piattaforma collaudata di gestione delle licenze e dei diritti fornisce chiavi di licenza crittograficamente sicure e a prova di manomissione che impediscono l'hacking doloso dei dispositivi medici e del loro software. In questo modo è possibile garantire che il dispositivo funzioni esattamente come previsto dal produttore.
2. Audit trail della manutenzione
Un sistema di gestione dei diritti (EMS) compila un audit trail dettagliato sui ruoli degli utenti e registra gli accessi o le modifiche alle informazioni e i relativi tempi. Questi dati sono fondamentali per le indagini in caso di sospetta violazione e rappresentano un modo responsabile per la dimostrazione proattiva della conformità agli enti normativi.
3. Catalogazione dei prodotti
Le aziende del settore MedTech sono soggette a requisiti normativi che impongono la registrazione della documentazione relativa all'architettura dei loro dispositivi, come i componenti hardware o elettrici, gli assemblaggi, la tipologia di tubi di gomma e così via. Nel caso siano necessari richiami o correzioni, i prodotti e i dispositivi problematici possono essere identificati tramite gli UDI (Unique Device Identifiers), il cui uso è richiesto dal Regolamento sui dispositivi medici dell'Unione Europea (MDR) e dalla FDA statunitense, che mantengono anche database per la loro registrazione. Associando i diritti EMS o le specifiche del catalogo prodotti al numero UDI, è possibile identificare rapidamente i dispositivi interessati, notificare gli utenti e aprire un processo CAPA (azione correttiva o preventiva).
4. Applicazione di funzioni specifiche per la conformità
Un sistema di gestione dei diritti può anche essere configurato per limitare l'accesso a funzionalità che potrebbero portare a violazioni normative. Ad esempio, la combinazione di un EMS con un sistema di licenze software può impedire che i dati vengano utilizzati per funzioni di marketing o condivisione non conforme di dati, oppure può gestire i set di funzionalità in base alla posizione per rispettare le normative regionali.
5. Controllo della versione e aggiornamenti di conformità
Un sistema di gestione dei diritti è in grado di gestire facilmente le diverse versioni del software e garantire che gli utenti autorizzati accedano solo alle versioni conformi. Questa capacità è particolarmente utile quando vengono effettuati aggiornamenti per risolvere vulnerabilità di sicurezza o per incorporare modifiche richieste da nuove normative.
Sommario
Un sistema di gestione dei diritti è uno strumento potente per la conformità alle normative dei dispositivi MedTech. Consente ai fornitori di software di gestire in modo proattivo l'accesso e le funzionalità, riducendo la possibilità di incorrere in pesanti sanzioni finanziarie per la mancata conformità e i conseguenti danni alla reputazione del marchio. In conclusione, la scelta del giusto EMS può contribuire a mitigare il rischio di non conformità normativa per i fornitori di software per dispositivi medici.
