Medicinska IT-system och programvaror

Programvaror som utvecklats för ett ändamål som täcks av definitionen av medicintekniska produkter omfattats av det medicintekniska regelverket.

Gränserna mellan IT och medicinteknik suddas ut

Den traditionella synen på en medicinteknisk produkt är att den är en fristående teknisk produkt, det vill säga en produkt med mjukvara, byggd för ett visst syfte utan någon avsikt att den kopplas eller interageras med andra produkter. Defibrillatorer är exempel på den här typen av fristående produkter.
 
En tydlig trend är att allt fler medicintekniska produkter kan integreras i vårdgivarens patientadministrativa system. En EKG-apparat eller en digital röntgenkamera kan överföra data direkt till patientövervakningssystem eller andra patientadministrativa system. Gränserna mellan informationsteknologi (IT) och medicinteknik suddas därmed ut.
 
En annan trend är att hälso- och sjukvårdens informationshantering blir en alltmer integrerad del i den kliniska verksamheten. På marknaden erbjuds program och systemlösningar som erbjuder övervaknings- och beslutsstödtjänster för den individinriktade vården och behandlingen. Det är av synnerlig vikt att dessa produkter hanterar informationen på det sätt användaren tänkt sig och förespeglats. Detta förutsätter att produkten konstruerats för det tänkta användningsområdet.

Typiska program och informationssystem som är berörda

  • Programvaror som är knutna till en specifik fysisk medicinteknisk produkt, t.ex. i en datortomograf eller infusionspump
  • Programvaror som utför en medicinteknisk funktion, t.ex. bildbehandling
  • Programvaror som lagrar medicinsk information, t.ex. PACS (Picture Archiving and Communication System)
  • Programvaror som lagrar patientuppgifter, t.ex. RIS (Radiological Information System)
  • Programvaror som används som beslutsstöd och planering, t.ex. dosplanering för strålterapi
  • Programvaror som kommunicerar med medicintekniska produkter
  • Programvaror som hanterar provsvar för kemiska laboratorier

Patienter utsätts för risker när ansvaret är oklart mellan tillverkare och vårdgivare

Europeisk lagstiftning reglerar säkerheten hos sådana produkter som faller under definitionen av medicintekniska produkter (MTP). Lagstiftningen om MTP riktar sig till tillverkarna och är Läkemedelsverkets tillsynsansvar i Sverige. Nationell lagstiftning för alla medicinska informationssystem (MIS) inom sjukvården återfinns i allmänna termer i Socialstyrelsens föreskrifter och riktas då till användarna.
 
Socialstyrelsens och Läkemedelsverkets utgångspunkt, vad beträffar såväl apparatur som mjukvara som tillverkas för att användas i klinisk verksamhet i hälso- och sjukvården, är att ansvaret är delat mellan tillverkare och vårdgivare.
 
Tillverkaren tar ansvar för säkerheten i sina produkter innan de släpps på marknaden. Vårdgivaren tar ansvar för att implementering, integration och förvaltning av medicinteknisk apparatur, program och system bedrivs systematiskt inom ramen för ett ledningssystem som bl.a. innefattar krav på riskanalyser, testning och dokumentation. 

Programvaran måste betraktas som en "produkt”

Säkerheten kan endast tillgodoses om programvaran betraktas som en "produkt” med specifikationer för en definierad avsedd användning, och med en ansvarig tillverkare som ger förutsättningar för en tydlig överlämning med reglerad produktuppföljning. Sådan uppföljning av produkter som släppts ut på marknaden, sk ”Post Market Surveillance”, omfattar tillverkarens hantering av erfarenheter av produkterna, olyckor och tillbud, korrigerande åtgärder och återkallanden (eng. vigilans).

De krav som bör ställas, inkluderande riskhantering, validering och produktuppföljning, finns i Läkemedelsverkets föreskrifter. Val av verifieringsväg måste baseras på systemets risknivå – vad systemet kan ställa till med – och vad som kan ge acceptabla bevis på att den färdiga produkten är tillräckligt säker.

Förtydligande av kraven

I Läkemedelsverkets skrift ”Medicinska informationssystem – vägledning för kvalificering och klassificering av programvaror med ett medicinskt syfte” finns information som kan hjälpa tillverkare att förstå de krav som ställs på deras programvaror samt hur de omfattas av det medicintekniska regelverket. Skriften tar upp regelverk, definitioner, kvalificering, system, moduler, klassificering, riskhantering samt innehåller flera produktexempel på typiska medicinska informationssystem.
 
Samtidigt har Socialstyrelsen konkretiserat de krav som vårdgivaren ska ställa vid upphandling och ibruktagande av programmerbara system, utifrån de allmänna kraven i Socialstyrelsens föreskrifter, t.ex. SOSFS 2008:1 och SOSFS 2008:14.
 
Läkemedelsverket och Socialstyrelsen vill också gemensamt förtydliga krav på system som ska integreras eller kommunicera med andra system.

  • Gränssnitt ska vara definierade antingen genom standardiserade format eller genom uppräkning av sådana system som tillverkaren har konstaterat vara kompatibla.  
  • System ska vara skyddade mot virusangrepp utan att validering blir ogiltig. 
  • Det aktuella systemet ska inte störa andra system.
  • Om kommunikationskanaler och länkar inte är egna tillbehör utan t.ex. befintliga lokala nätverk, Internet, telenät, kabel etc., som man har mer eller mindre inblick i eller kontroll över, bör dessa betraktas som ett försörjningssystem.

Tillverkaren måste ta hänsyn till svagheter genom en riskanalys av en sådan länk och ta ställning till vad som händer vid ett avbrott samt vid behov överväga åtgärd för att kompensera för kommunikationsbortfall.
 
I socialstyrelsens föreskrifter SOSFS 2008:1, om hantering av medicintekniska produkter, förtydligas ansvaret för vårdgivarens ansvar när det gäller medicintekniska produkter med tillhörande informationssystem.

Det finns användbara standarder

Det finns ett antal användbara standarder för mjukvarusystem. Dessa innehåller krav på utvecklingsmodell, riskhantering, verifierings- och valideringsmetoder samt dokumentation. Vissa standarder visar på möjligheter för en uppdelning av systemet i mer eller mindre kritiska moduler, som därmed kan hanteras mer eller mindre ingående. Om systemet ska kombineras med andra system ska detta definieras, verifieras och valideras. I standarderna ges även vägledning i riskklassificering. Standarderna ger alltså underlag för att uppfylla merparten av de regulatoriska kraven.

Användbara standarder för mjukvarusystem

  • IEC 62304 Medical device software – Software life cycle processes.
  • IEC 60601-1 Medical electrical equipment – Part 1: General requirements for basic safety and essential performance.
  • CEN/TS 15260 Health informatics: Classification of safety risks from health informatics products.
  • EN 1041 Information supplied by the manufacturer with medical devices.
  • EN ISO 14155 Clinical investigation of medical devices for human subjects.
  • ISO 13485 Quality management systems – Requirements for regulatory purposes.
  • ISO/IEC 9003 Software engineering – Guidelines for the application of ISO 9001:2000 to computer software.
  • ISO TR 14969 Medical devices – Quality management systems – Guidance on the application of ISO 13485.
  • ISO 14971 Medical Devices – Application of Risk Management to Medical Devices.
  • IEC 61508-3 Functional safety of electrical/electronic/programmable electronic safety-related systems – Software Requirements.
  • IEC 61508-5 Functional safety of electrical/electronic/programmable electronic safety-related systems – Examples of methods for the determination of safety integrity levels.
  • IEC 80001-1 Application of risk management for IT-networks incorporating medical devices.
 
 
 

Läkemedelsverket, Box 26, 751 03 Uppsala | 018-17 46 00 | registrator@mpa.se | Ytterligare kontaktinformation | Om cookies