Die gesetzlichen Vorschriften für Medizinprodukte wurden europaweit verschärft. Die Medical Devices Regulation (MDR) erhöht die Anforderungen auch für Schweizer Hersteller. Entwickler von medizinischer Software sollten die neue Verordnung genau unter die Lupe nehmen. Neben der Sicherheit der Patienten müssen sie auch die Datensicherheit gewährleisten.
Undichte Silikon-Brustimplantate, giftige Hüftprothesen oder fehlerhafte Stents – mangelhafte Medizinprodukte sorgten in den letzten Jahren immer wieder für Schlagzeilen. Um die Patienten zu schützen, hat die EU die Kontrollmechanismen für Medizinprodukte verschärft. Auch die Schweiz hat ihre Vorschriften entsprechend angepasst. Spätestens ab dem 26. Mai 2020 müssen Hersteller ein Zertifikat nach der neuen Verordnung Medical Devices Regulation (MDR) vorlegen, wenn sie ein neues Produkt auf den Markt bringen möchten.
Die Gesetzesänderung betrifft nicht nur Anbieter von medizinischer Hardware, sondern auch Software-Entwickler, die im Gesundheitsbereich tätig sind. Schliesslich spielt Software bei modernen Medizinprodukten eine immer wichtigere Rolle, deren Versagen gravierende Konsequenzen für Patienten zur Folge haben kann. Deshalb hat das Europäische Parlament erstmals medizinischer Software einen Gesetzesartikel gewidmet. Die neuen Klassifizierungsregeln führen dazu, dass die meisten Software-Produkte in eine höhere Risikoklasse eingestuft werden.
Für Software-Entwickler bedeutet dies: Für die medizinische Zulassung einer Software wird der Aspekt Sicherheit auch stärker gewichtet. Wer eine medizinische Software entwickelt, muss nachweisen, dass genügend Massnahmen umgesetzt wurden, um sowohl die Sicherheit und Leistungsfähigkeit als auch den Schutz sensibler Daten zu gewährleisten. Im Zuge zunehmender Vernetzung von Medizinprodukten, was eine spezielle Anwendung des Internet of Things (IoT) darstellt, geht es zudem auch darum, die IoT Security sicherzustellen und Cyber-Risiken zu minimieren.
Doch was gilt gemäss der MDR-Verordnung als medizinische Software? Entscheidend ist primär die medizinische Zweckbestimmung für Menschen: Unter das Gesetz fällt jegliche Software, die der Diagnose, Überwachung, Behandlung oder Linderung von Krankheiten, Verletzungen oder Behinderungen dient. Ebenso, wenn es um Verhütung, Vorhersage oder Prognose von Krankheiten geht. Darunter fällt also beispielsweise Software, die Patientendaten für die Diagnosestellung auswertet und etwa den Herzrhythmus analysiert, oder eine App, die Vorschläge für Korrekturinsulin macht. Ein elektronisches Patientenaktensystem gilt hingegen nicht als medizinische Software.
Medizinische Software wird entsprechend der MDR-Verordnung einer bestimmten Risikoklasse zugeordnet, wobei gilt: Je höher die Klasse, desto höher die zu erwartenden Verfahrensaufwände. Steuert eine Software ein Medizinprodukt oder beeinflusst sie dessen Anwendung, wird sie derjenigen Risikoklasse zugeordnet, welcher das primäre Produkt angehört. Andernfalls wird Software für sich allein klassifiziert.
Je nach Risikoklasse kommen unterschiedliche Konformitätsbewertungsverfahren zum Einsatz – von der Selbstdeklaration, über die Produktprüfung zusammen mit einer Baumusterprüfung bis hin zur Beurteilung der technischen Dokumentation und des Qualitätsmanagementsystems. Die Konformitätsbewertungsstellen der Schweizerischen Vereinigung für Qualitäts- und Management-systeme (SQS) überprüft Medizinprodukte auf ihre Übereinstimmung mit den gesetzlichen Anforderungen. Nach erfolgreich abgeschlossenen Verfahren werden den Herstellern die passenden Zertifikate ausgestellt, was diese ermächtigt, ihre Produkte MDR-konform in Verkehr zu bringen.
Für Unternehmen, die nicht primär aus dem Medizinproduktbereich kommen, wie beispielsweise Pharmaunternehmen, Versicherungen, App-Entwickler oder Hersteller von Bildverarbeitungssoftware, stellt die Gesetzesänderung einen Fallstrick dar: Es besteht das Risiko, dass das Projekt kurz vor Markteintritt abgebrochen werden muss, weil sich zeigt, dass die Software nicht MDR-konform ist. Hohe Entwicklungskosten, aber kein Return on Investment – das wäre fatal. Deshalb gilt es, den Zweck bei der Produktentwicklung so früh wie möglich zu bestimmen, da dieser für die Konformität mit der MDR-Verordnung zentral ist.
Auch Updates bringen künftig erhöhte Risiken mit sich. Bei Änderungen an einer Software beurteilt die zuständige Konformitätsbewertungsstelle, ob das Update mit einem Nachtrag zur bestehenden Bescheinigung genehmigt werden kann oder ob eine neue Konformitätsbewertung notwendig ist. Eine erneute Zertifizierung kann hohe Kosten verursachen und die Rentabilität eines Produkts gefährden. Deshalb gilt es, sowohl die Software als auch die Dokumentation und das Qualitätsmanagement so zu konzipieren, dass nicht bei jedem Update ein neues Zertifikat eingeholt werden muss, sondern ein Nachtrag ausreicht.
Welche Klassifizierungsregeln gemäss der MDR-Verordnung gelten und was es bei Software-Updates zu beachten gilt, lesen Sie im Whitepaper «Software im Kontext der Medical Device Regulation (MDR)».